Ravnatelj Agencije za zaštitu osobnih podataka Zdravko Vukić sudjelovao je 28. veljače na sjednici Europskog odbora za zaštitu podataka na kojem je usvojeno mišljenje o nacrtu Odluke o primjerenosti u pogledu okvira za zaštitu podataka između EU-a i SAD-a. Europski odbor za zaštitu podataka pozdravlja znatna poboljšanja, kao što su uvođenje zahtjeva koji utjelovljuju načela nužnosti i proporcionalnosti za prikupljanje podataka u SAD-u i novi mehanizam pravne zaštite za ispitanike u EU-u. Istodobno izražava zabrinutost i traži pojašnjenja u pogledu nekoliko točaka. Pojašnjenja se posebno odnose na određena prava ispitanika, daljnje prijenose, područje primjene izuzeća, privremeno masovno prikupljanje podataka i praktično funkcioniranje mehanizma pravne zaštite.
Europski odbor za zaštitu podataka pozdravio bi ne samo stupanje na snagu već i donošenje Odluke pod uvjetom da sve američke obavještajne agencije donesu ažurirane politike i postupke za provedbu Izvršnog naloga 14086. EDPB preporučuje Komisiji da ocijeni te ažurirane politike i postupke te da svoju procjenu podijeli s Europskim odborom za zaštitu podataka.
Predsjednica Europskog odbora za zaštitu podataka Andrea Jelinek izjavila je: “Visoka razina zaštite podataka ključna je za zaštitu prava i sloboda pojedinaca iz EU-a. Iako potvrđujemo da su poboljšanja u pravnom okviru SAD-a znatna, preporučujemo da se otklone izražene zabrinutosti i da se pruže tražena pojašnjenja kako bi se osiguralo da odluka o primjerenosti bude održiva. Iz istog razloga smatramo da bi se nakon prvog preispitivanja Odluke o primjerenosti naknadna preispitivanja trebala provoditi najmanje svake tri godine te je EDPB predan tome da daje svoje doprinos.”
Nacrt odluke o primjerenosti, koji je Europska komisija objavila 13. prosinca 2022., temelji se na Okviru za zaštitu privatnosti podataka između EU-a i SAD-a (DPF) koji bi trebao zamijeniti sustav zaštite privatnosti „Štit privatnosti“ koji je Sud EU-a poništio u presudi Schrems II. Ključna komponenta DPF-a su Okvirna načela privatnosti podataka između EU-a i SAD-a, koja je izdalo Ministarstvo trgovine SAD-a. DPF se primjenjuje samo na američke organizacije koje su se samocertificirale. Europski odbor za zaštitu podataka sada je donio mišljenje o Nacrtu odluke u kojem se razmatraju komercijalni aspekti i pristup američkih javnih tijela podacima te njihova upotreba.
Kad je riječ o komercijalnim aspektima, Europski odbor za zaštitu podataka pozdravlja niz ažuriranih načela u Okviru za zaštitu privatnosti podataka između EU-a i SAD-a (DPF) u odnosu na „Štit privatnosti“. Također napominje da je niz načela i dalje u osnovi isti kao i u okviru „Štita privatnosti“. S obzirom na navedeno i dalje postoje određene zabrinutosti u pogledu, na primjer, nekih izuzeća od prava na pristup, nepostojanja ključnih definicija, nedostatka jasnoće u pogledu primjene načela DPF-a na izvršitelje obrade, širokog izuzeća od prava na pristup javno dostupnim informacijama i nedostatka posebnih pravila o automatiziranom donošenju odluka i izradi profila. Europski odbor za zaštitu podataka nadalje ponavlja da se razina zaštite ne smije ugroziti daljnjim prijenosima. Stoga EDPB poziva Komisiju da pojasni da zaštitne mjere koje je početni primatelj nametnuo uvozniku u trećoj zemlji moraju biti učinkovite u svjetlu zakonodavstva treće zemlje, prije daljnjeg prijenosa.
Nadalje, Europski odbor za zaštitu podataka traži od Komisije da pojasni područje primjene izuzeća u pogledu obveze poštovanja načela DPF-a te naglašava važnost učinkovitog nadzora i provedbe DPF-a. Europski odbor za zaštitu podataka pomno će pratiti te aspekte, zajedno s učinkovitošću pravnih lijekova koji se pružaju ispitanicima iz EU-a čiji se osobni podaci obrađuju na način da se krši Okvir za zaštitu privatnosti podataka između EU-a i SAD-a (DPF).
Kad je riječ o pristupu vlade podacima koji se prenose SAD-u, Europski odbor za zaštitu podataka prima na znanje znatna poboljšanja uvedena Izvršnim nalogom 14086. Izvršni nalog uvodi koncepte nužnosti i proporcionalnosti u pogledu prikupljanja obavještajnih podataka u SAD-u (obavještajne podatke o signalima).
Nadalje, novim mehanizmom pravne zaštite stvaraju se prava za pojedince iz EU-a i isti podliježe preispitivanju Odbora za nadzor privatnosti i građanskih sloboda (PCLOB). Izvršnim nalogom se uvodi i više zaštitnih mjera kako bi se osigurala neovisnost Suda za preispitivanje zaštite podataka (DPRC), što nije bio slučaj s prethodnim mehanizmom Pravobranitelja, te se uvode učinkovitiji pravni lijekovi u slučajevima kršenja prava ispitanika, uključujući dodatne zaštitne mjere za ispitanike.
Europski odbor za zaštitu podataka ističe da je potrebno pomno pratiti praktičnu primjenu novouvedenih načela nužnosti i proporcionalnosti. Potrebna je i dodatna jasnoća u pogledu privremenog masovnog prikupljanja te daljnjeg zadržavanja i širenja skupnih podataka.
Europski odbor za zaštitu podataka također izražava zabrinutost zbog nepostojanja zahtjeva za prethodno odobrenje neovisnog tijela za masovno prikupljanje podataka (eng. data in bulk) u skladu s Izvršnim nalogom br. 12333, kao i zbog nedostatka sustavnog neovisnog ex post preispitivanja od strane suda ili jednako neovisnog tijela.
Kad je riječ o prethodnom neovisnom odobrenju nadzora u skladu s odjeljkom 702. FISA-e, Europski odbor za zaštitu podataka izražava žaljenje zbog toga što Sud FISA-e ne preispituje usklađenost s Izvršnim nalogom 14086 pri potvrđivanju programa kojima se odobrava ciljanje osoba koje nisu američki državljani, iako su obavještajna tijela koja provode program njime vezana. Posebno bi bila korisna izvješća PCLOB-a o tome kako će se provoditi zaštitne mjere Izvršnog naloga 14086 i kako se te zaštitne mjere primjenjuju kada se podaci prikupljaju u skladu s odjeljkom 702. FISA-e i Izvršnim nalogom 12333.
Kad je riječ o mehanizmu pravne zaštite, Europski odbor za zaštitu podataka prepoznaje dodatne zaštitne mjere, kao što su uloga posebnih zagovornika i preispitivanje mehanizma pravne zaštite od strane PCLOB-a. Europski odbor za zaštitu podataka istodobno je zabrinut zbog opće primjene standardnog odgovora Suda za preispitivanje zaštite podataka (DPRC) kojim se podnositelja pritužbe obavještava da nisu utvrđene povrede ili da je donesena odluka kojom se nalažu odgovarajuće korektivne mjere, posebno s obzirom na to da se na tu odluku ne može uložiti žalba. Europski odbor za zaštitu podataka stoga poziva Komisiju da pomno prati praktično funkcioniranje tog mehanizma.