Prijenos osobnih podataka u Sjedinjene Američke Države

Prijenos osobnih podataka u Sjedinjene Američke Države

Europska komisija („Komisija”) usvojila je dana 10. srpnja 2023. godine Provedbenu odluku Komisije od 10. srpnja 2023. na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća o primjerenoj razini zaštite osobnih podataka u skladu s okvirom EU-a i SAD-a za privatnost podataka („Odluka o primjerenosti”), koja u svojem prilogu sadrži okvir EU-a i SAD-a za privatnost podataka (DPF – EU-US Data Privacy Framework).

Time je Komisija odlučila da Sjedinjene Američke Države („SAD”), za potrebe članka 45. Opće uredbe o zaštiti podataka, osiguravaju primjerenu razinu zaštite osobnih podataka koji se prenose iz EU-a organizacijama u SAD-u koje su uvrštene na „Popis organizacija uključenih u okvir za privatnost podataka”, koji vodi i objavljuje Ministarstvo trgovine SAD-a.

Kako se osobni podaci mogu prenijeti u SAD na temelju okvira EU-a i SAD-a za privatnost podataka?

Odluka o primjerenosti primjenjuje se od 10. srpnja 2023. godine. To znači da se od tog datuma prijenosi iz EU-a organizacijama u SAD-u koje su uvrštene na „Popis organizacija uključenih u okvir za privatnost podataka” mogu temeljiti na Odluci o primjerenosti, bez potrebe za oslanjanjem na instrumente za prijenos iz članka 46. Opće uredbe o zaštiti podataka.

To znači i da se prijenosi na temelju Odluke o primjerenosti ne moraju nadopunjavati dodatnim mjerama u smislu Preporuke 01/2020 o mjerama kojima se dopunjuju instrumenti za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU, a koje je Europski odbor za zaštitu podataka usvojio 18. lipnja 2021. godine.

Popis organizacija uključenih u okvir za privatnost podataka nalazi se na sljedećoj poveznici: https://www.dataprivacyframework.gov/s/participant-search.

Kako se osobni podaci mogu prenijeti u SAD ako uvoznik podataka nije uvršten na „Popis organizacija uključenih u okvir za privatnost podataka”?

Prijenosi organizacijama u SAD-u koje nisu uvrštene na „Popis organizacija uključenih u okvir za privatnost podataka” ne mogu se temeljiti na Odluci o primjerenosti i zahtijevat će odgovarajuće zaštitne mjere, provediva prava i učinkovite pravne lijekove za ispitanike (primjerice  putem standardnih klauzula o zaštiti podataka ili obvezujućih korporativnih pravila), u skladu s člankom 46. Opće uredbe o zaštiti podataka.

Sve zaštitne mjere koje je vlada SAD-a uspostavila u području nacionalne sigurnosti (uključujući mehanizam pravne zaštite) primjenjuju se na sve podatke prenesene u SAD bez obzira na instrument za prijenos koji je u primjeni. Stoga bi, pri procjeni učinkovitosti odabranog instrumenta za prijenos iz članka 46. Opće uredbe o zaštiti podataka, izvoznici podataka trebali uzeti u obzir procjenu koju je Komisija provela u Odluci o primjerenosti.

Mogu li ispitanici u EU-u podnijeti pritužbe u skladu s okvirom EU-a i SAD-a za privatnost podataka?

Pojedinci čiji se podaci prenose u SAD na temelju Odluke o primjerenosti imaju na raspolaganju nekoliko mehanizama pravne zaštite ako smatraju da određena organizacija iz SAD-a ne poštuje okvir EU-a i SAD-a za privatnost podataka. Pojedince se potiče da najprije podnesu pritužbu toj organizaciji u SAD-u.

Ako Vaš problem nije riješen nakon inicijalnog kontakta s organizacijom u SAD-u ili se ne želite izravno obratiti toj organizaciji, svoju pritužbu možete poslati Agenciji za zaštitu osobnih podataka putem pošte na sljedeću adresu:

Agencija za zaštitu osobnih podataka

Selska cesta 136

10000 Zagreb

uz naznaku : DPF komercijalna pritužba

• Predložak obrasca za pritužbu na obradu osobnih podataka od strane organizacije u SAD-u koja je uvrštena na Popis organizacija uključenih u okvir za privatnost podataka na hrvatskom jeziku na sljedećoj poveznici: https://azop.hr/wp-content/uploads/2024/08/dpf_template-complaint-form_commercial-complaints_HR_21062024.docx., a na engleskom jeziku na poveznici: https://www.edpb.europa.eu/system/files/2024-04/dpf_template-complaint-form_commercial-complaints_en.pdf. Korištenje ovog obrasca nije obvezno.

 

• Dokument koji opisuje postupak rješavanja pritužbe na obradu osobnih podataka od strane organizacije u SAD-u koja je uvrštena na Popis organizacija uključenih u okvir za privatnost podataka nalazi se na sljedećoj poveznici: https://www.edpb.europa.eu/system/files/2024-04/dpf_rules-of-procedure_informal-panel-dpas_en.pdf.

 

• Odgovori na najčešće postavljena pitanja o okviru EU-a i SAD-a za privatnost podataka za EU pojedince nalaze se na sljedećoj poveznici: https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_en.

 

• Odgovori na najčešće postavljena pitanja o okviru EU-a i SAD-a za privatnost podataka za EU poslovne subjekte nalaze se na sljedećoj poveznici: https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-businesses_en.

Kako ispitanici iz EU-a mogu iskoristiti novi mehanizam pravne zaštite u području nacionalne sigurnosti?

Bez obzira na instrument za prijenos koji se upotrebljava za prijenos njihovih osobnih podataka u SAD, ispitanici u EU-u mogu podnijeti pritužbu svojem nacionalnom tijelu za zaštitu podataka kako bi iskoristili novi mehanizam pravne zaštite u području nacionalne sigurnosti. Taj mehanizam omogućuje pojedincima da podnesu pritužbu u slučaju da smatraju da američke obavještajne službe nezakonito obrađuju njihove osobne podatke. Međutim, ovaj mehanizam pravne zaštite primjenjuje se isključivo na osobne podatke prenesene u SAD nakon 10. srpnja 2023. godine.

Nacionalno tijelo za zaštitu podataka osigurat će da se pritužba dostavi Europskom odboru za zaštitu podataka, koji će pritužbu proslijediti tijelima SAD-a nadležnima za rješavanje pritužbe. Nadalje, tijelo za zaštitu podataka osigurat će da se ispitaniku pruže informacije o postupku rješavanja pritužbe, među ostalim o ishodu podnesene pritužbe. Da bi pritužba bila dopuštena, pojedinci ne moraju dokazati da su njihove podatke zapravo prikupile obavještajne agencije SAD-a.

• Predložak obrasca za pritužbu u području nacionalne sigurnosti na hrvatskom jeziku nalazi se na sljedećoj poveznici:  https://azop.hr/wp-content/uploads/2024/08/edpb_dpf_template-complaint-form_national-security-purposes_HR_21062024.docx. Predložak obrasca dostupan je i na engleskom jeziku na sljedećoj poveznici: https://www.edpb.europa.eu/system/files/2024-04/edpb_dpf_template-complaint-form_national-security-purposes_en.pdf. Korištenje ovog obrasca je obvezno.
  

Molimo da ispunjeni obrazac pritužbe pošaljete Agenciji za zaštitu osobnih podataka na sljedeću adresu:

Agencija za zaštitu osobnih podataka

Selska cesta 136

10000 Zagreb

uz naznaku : DPF pritužba – nacionalna sigurnost

• Dokument „Informativna obavijest o mehanizmu pravne zaštite za EU/EGP pojedince u odnosu na navodna kršenja američkog zakonodavstva u odnosu na njihove podatke prikupljene od američkih tijela nadležnih za nacionalnu sigurnost“ 
• Pravila postupanja s Vašom pritužbom 
• Poslovnik „neformalnog odbora tijela za zaštitu podataka EU-a” u skladu s okvirom EU-a i SAD-a za podataka

Hoće li se Odluka o primjerenosti preispitati?

Prvo preispitivanje Odluke o primjerenosti provest će se godinu dana nakon njezina stupanja na snagu kako bi se provjerilo jesu li svi elementi u potpunosti provedeni i djelotvorni u praksi. Nakon prvog preispitivanja i ovisno o njegovu ishodu Komisija će, uz savjetovanje s Europskim odborom za zaštitu podataka i državama članicama EU-a, odlučiti o učestalosti naknadnih preispitivanja, koja će se u svakom slučaju provoditi najmanje svake četiri godine.