Europska komisija usvojila je 10. srpnja Odluku o primjerenosti okvira za zaštitu podataka između EU-a i SAD-a. U odluci o primjerenosti zaključeno je da Sjedinjene Američke Države osiguravaju odgovarajuću razinu zaštite – u usporedbi s onom EU-a – za osobne podatke koji se prenose iz EU-a u poduzeća iz SAD-a koja sudjeluju u okviru za zaštitu podataka između EU-a i SAD-a.
U odluci se zaključuje da Sjedinjene Američke Države osiguravaju odgovarajuću razinu zaštite – usporedivu s onom Europske unije – za osobne podatke koji se prenose iz EU-a američkim poduzećima u skladu s novim okvirom. Na temelju nove Odluke o primjerenosti osobni podaci mogu sigurno prenositi iz EU-a poduzećima iz SAD-a koja sudjeluju u Okviru, bez uvođenja dodatnih mjera za zaštitu podataka.
Okvirom EU-a i SAD-a za zaštitu podataka uvode se nove obvezujuće zaštitne mjere za rješavanje svih pitanja koja je izrazio Sud Europske unije, uključujući ograničavanje pristupa obavještajnih službi SAD-a podacima EU-a na ono što je nužno i proporcionalno te uspostavu Suda za preispitivanje zaštite podataka (DPRC), kojem će pojedinci iz EU-a imati pristup. Novim okvirom uvode se znatna poboljšanja u usporedbi s mehanizmom koji je postojao u okviru sustava zaštite privatnosti. Na primjer, ako DPRC utvrdi da su podaci prikupljeni protivno novim zaštitnim mjerama, moći će naložiti brisanje podataka. Novim zaštitnim mjerama u području pristupa vlade podacima dopunit će se obveze na koje će se morati obvezati poduzeća iz SAD-a koja uvoze podatke iz EU-a.
Odluka o primjerenosti uslijedila je nakon što je SAD potpisao Izvršni nalog o „poboljšanju zaštitnih mjera u području signalno-obavještajnih aktivnosti Sjedinjenih Američkih Država”, kojim su uvedene nove obvezujuće zaštitne mjere za rješavanje pitanja koja je Sud Europske unije istaknuo u svojoj odluci u predmetu Schrems II iz srpnja 2020. Konkretno, nove obveze bile su usmjerene na to da obavještajne agencije SAD-a mogu pristupiti podacima samo u mjeri u kojoj je to nužno i razmjerno te da se uspostavi neovisan i nepristran mehanizam pravne zaštite za obradu i rješavanje pritužbi Europljana u vezi s prikupljanjem njihovih podataka za potrebe nacionalne sigurnosti.
Često postavljana pitanja
1. Što je odluka o primjerenosti?
Odluka o primjerenosti jedan je od alata predviđenih Općom uredbom o zaštiti podataka (GDPR) za prijenos osobnih podataka iz EU-a u treće zemlje koje, prema procjeni Komisije, pružaju razinu zaštite osobnih podataka usporedivu s onom u Europskoj uniji.
Kao rezultat odluka o primjerenosti, osobni podaci mogu slobodno i sigurno prenositi iz Europskog gospodarskog prostora (EGP), koji uključuje 27 država članica EU-a te Norvešku, Island i Lihtenštajn, u treću zemlju, bez dodatnih uvjeta ili odobrenja. Drugim riječima, prijenosi u treću zemlju mogu se obrađivati na isti način kao i prijenosi podataka unutar EU-a.
Odlukom o primjerenosti okvira EU-a i SAD-a za zaštitu podataka obuhvaćeni su prijenosi podataka od bilo kojeg javnog ili privatnog subjekta u EGP-u poduzećima iz SAD-a koja sudjeluju u okviru za zaštitu podataka između EU-a i SAD-a.
2. Koji su kriteriji za procjenu primjerenosti?
Primjerenost ne zahtijeva da sustav zaštite podataka treće zemlje bude identičan sustavu EU-a, već se temelji na standardu „bitne istovjetnosti”. Uključuje sveobuhvatnu procjenu okvira zemlje za zaštitu podataka, kako zaštite koja se primjenjuje na osobne podatke, tako i dostupnih mehanizama nadzora i pravne zaštite.
Europska tijela za zaštitu podataka izradila su popis elemenata koji se moraju uzeti u obzir pri toj procjeni: https://ec.europa.eu/newsroom/article29/items/614108/en.
3. Što je okvir za zaštitu podataka između EU-a i SAD-a?
Komisija je u svojoj odluci o primjerenosti pažljivo procijenila zahtjeve koji proizlaze iz okvira EU-a i SAD-a za zaštitu podataka, kao i ograničenja i zaštitne mjere koji se primjenjuju kada bi javna tijela SAD-a pristupila osobnim podacima koji se prenose u SAD, posebno za potrebe kaznenog progona i nacionalne sigurnosti.
Na temelju toga u odluci o primjerenosti zaključuje se da Sjedinjene Američke Države osiguravaju odgovarajuću razinu zaštite osobnih podataka koji se iz EU-a prenose poduzećima koja sudjeluju u okviru EU-a i SAD-a za zaštitu podataka. Donošenjem odluke o primjerenosti europski subjekti mogu prenositi osobne podatke društvima sudionicama u Sjedinjenim Američkim Državama bez uvođenja dodatnih mjera za zaštitu podataka.
Okvirom se pojedincima iz EU-a čiji bi se podaci prenosili poduzećima sudionicama u SAD-u omogućuje nekoliko novih prava (npr. dobivanje pristupa svojim podacima ili dobivanje ispravka ili brisanja netočnih ili nezakonito obrađenih podataka). Osim toga, nudi različite načine pravne zaštite u slučaju pogrešnog postupanja s njihovim podacima, među ostalim prije besplatnog neovisnog mehanizma za rješavanje sporova i arbitražnog vijeća.
Američka poduzeća mogu potvrditi svoje sudjelovanje u okviru EU-a i SAD-a za zaštitu podataka obvezujući se na ispunjavanje detaljnog skupa obveza u pogledu privatnosti. To bi, na primjer, moglo uključivati načela privatnosti kao što su ograničavanje svrhe, smanjenje količine podataka i zadržavanje podataka, kao i posebne obveze u pogledu sigurnosti podataka i razmjene podataka s trećim stranama.
Okvirom će upravljati Ministarstvo trgovine SAD-a, koje će obrađivati zahtjeve za certifikaciju i pratiti ispunjavaju li poduzeća koja sudjeluju i dalje zahtjeve za certifikaciju. Savezna trgovinska komisija SAD-a provodit će usklađenost američkih poduzeća s njihovim obvezama u okviru EU-a i SAD-a za zaštitu podataka.
4. Koja su ograničenja i zaštitne mjere u pogledu pristupa obavještajnih agencija SAD-a podacima?
Ključni element pravnog okvira SAD-a na kojem se temelji odluka o primjerenosti odnosi se na Izvršni nalog o „jačanju zaštitnih mjera u kontekstu signalno-obavještajnih aktivnosti Sjedinjenih Američkih Država”, koji je predsjednik Biden potpisao 7. listopada i koji je popraćen propisima koje je donio glavni državni odvjetnik. Ti su instrumenti doneseni kako bi se riješila pitanja koja je Sud istaknuo u svojoj presudi u predmetu Schrems II.
Za Europljane čiji se osobni podaci prenose u SAD, Izvršnim nalogom predviđa se:
- Obvezujuće zaštitne mjere kojima se obavještajnim tijelima SAD-a ograničava pristup podacima na ono što je nužno i razmjerno za zaštitu nacionalne sigurnosti;
- Pojačani nadzor aktivnosti obavještajnih službi SAD-a kako bi se osigurala usklađenost s ograničenjima nadzornih aktivnosti; i
- Uspostava neovisnog i nepristranog mehanizma pravne zaštite, koji uključuje novi sud za preispitivanje zaštite podataka radi istrage i rješavanja pritužbi u vezi s pristupom američkih tijela za nacionalnu sigurnost njihovim podacima.
5. Koji je novi mehanizam pravne zaštite u području nacionalne sigurnosti i kako ga pojedinci mogu iskoristiti?
Vlada SAD-a uspostavila je novi dvoslojni mehanizam pravne zaštite, s neovisnim i obvezujućim ovlastima, za obradu i rješavanje pritužbi svih pojedinaca čiji su podaci preneseni iz EGP-a poduzećima u SAD-u o prikupljanju i upotrebi njihovih podataka od strane američkih obavještajnih agencija.
Da bi pritužba bila dopuštena, pojedinci ne moraju dokazivati da su njihove podatke zapravo prikupile američke obavještajne agencije. Pojedinci mogu podnijeti pritužbu svojem nacionalnom tijelu za zaštitu podataka, koje će osigurati da se pritužba pravilno prenese i da se pojedincu dostave sve dodatne informacije koje se odnose na postupak, uključujući informacije o ishodu postupka. Time se osigurava da se pojedinci mogu obratiti nadležnom tijelu u svojoj zemlji na vlastitom jeziku. Europski odbor za zaštitu podataka će pritužbe proslijediti SAD-u.
Prvo, pritužbe će istražiti takozvani „službenik za zaštitu građanskih sloboda” obavještajne zajednice SAD-a. Ta je osoba odgovorna za osiguravanje usklađenosti američkih obavještajnih agencija s privatnošću i temeljnim pravima.
Drugo, pojedinci imaju mogućnost žalbe na odluku službenika za zaštitu građanskih sloboda pred novoosnovanim Sudom za preispitivanje zaštite podataka (DPRC). Sud se sastoji od članova koji nisu članovi vlade SAD-a, a koji su imenovani na temelju posebnih kvalifikacija, mogu se razriješiti dužnosti samo iz razloga kao što je kaznena osuda ili se smatraju mentalno ili fizički nesposobnima za obavljanje svojih zadaća i ne mogu primati upute od vlade. DPRC ima ovlasti za istraživanje pritužbi pojedinaca iz EU-a, među ostalim za dobivanje relevantnih informacija od obavještajnih agencija, te može donositi obvezujuće korektivne odluke. Na primjer, ako DPRC utvrdi da su podaci prikupljeni protivno zaštitnim mjerama predviđenima u Izvršnom nalogu, može naložiti brisanje podataka.
Sud će u svakom slučaju odabrati posebnog odvjetnika s relevantnim iskustvom kako bi podržao Sud, koji će osigurati da su interesi podnositelja pritužbe zastupljeni i da je Sud dobro obaviješten o činjeničnim i pravnim aspektima predmeta. Time će se osigurati zastupljenost obiju strana i uvesti važna jamstva u pogledu poštenog suđenja i pravičnog postupka.
Nakon što službenik za zaštitu građanskih sloboda ili DPRC dovrši istragu, podnositelj pritužbe bit će obaviješten da nije utvrđeno kršenje zakona SAD-a ili da je povreda utvrđena i ispravljena. U kasnijoj fazi podnositelj pritužbe bit će obaviješten i kada informacije o postupku pred DPRC-om, kao što je obrazložena odluka Suda, više ne podliježu zahtjevima povjerljivosti.
6. Kada će se odluka primjenjivati?
Odluka o primjerenosti stupila je na snagu 10. srpnja.
Ne postoji vremensko ograničenje, ali Komisija će stalno pratiti relevantna kretanja u Sjedinjenim Američkim Državama i redovito preispitivati odluku o primjerenosti.
Prvo preispitivanje provest će se u roku od jedne godine nakon stupanja na snagu odluke o primjerenosti kako bi se provjerilo funkcioniraju li svi relevantni elementi pravnog okvira SAD-a učinkovito u praksi. Nakon toga, ovisno o ishodu tog prvog preispitivanja, Komisija će, uz savjetovanje s državama članicama EU-a i tijelima za zaštitu podataka, odlučiti o učestalosti budućih preispitivanja, koja će se provoditi najmanje svake četiri godine.
Odluke o primjerenosti mogu se prilagoditi ili čak povući u slučaju razvoja događaja koji utječu na razinu zaštite u trećoj zemlji.
7. Kakav je utjecaj odluke na mogućnost korištenja drugih alata za prijenos podataka u Sjedinjene Američke Države?
Sve zaštitne mjere koje je vlada SAD-a uspostavila u području nacionalne sigurnosti (uključujući mehanizam pravne zaštite) primjenjuju se na sve prijenose podataka u skladu s Općom uredbom o zaštiti podataka na poduzeća u SAD-u, bez obzira na korištene mehanizme prijenosa. Te zaštitne mjere stoga olakšavaju i upotrebu drugih alata, kao što su standardne ugovorne klauzule i obvezujuća korporativna pravila.
Više informacija dostupno je na internetskoj stranici Europske komisije: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721 .