Prijenos osobnih podataka u Sjedinjene Američke Države
Europska komisija („Komisija”) usvojila je dana 10. srpnja 2023. godine Provedbenu odluku Komisije od 10. srpnja 2023. na temelju Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća o primjerenoj razini zaštite osobnih podataka u skladu s okvirom EU-a i SAD-a za privatnost podataka („Odluka o primjerenosti”), koja u svojem prilogu sadrži okvir EU-a i SAD-a za privatnost podataka (DPF – EU-US Data Privacy Framework). Time je Komisija odlučila da Sjedinjene Američke Države („SAD”), za potrebe članka 45. Opće uredbe o zaštiti podataka, osiguravaju primjerenu razinu zaštite osobnih podataka koji se prenose iz EU-a organizacijama u SAD-u koje su uvrštene na „Popis organizacija uključenih u okvir za privatnost podataka”, koji vodi i objavljuje Ministarstvo trgovine SAD-a.
Kako se osobni podaci mogu prenijeti u SAD na temelju okvira EU-a i SAD-a za privatnost podataka?
Odluka o primjerenosti primjenjuje se od 10. srpnja 2023. godine. To znači da se od tog datuma prijenosi iz EU-a organizacijama u SAD-u koje su uvrštene na „Popis organizacija uključenih u okvir za privatnost podataka” mogu temeljiti na Odluci o primjerenosti, bez potrebe za oslanjanjem na instrumente za prijenos iz članka 46. Opće uredbe o zaštiti podataka. To znači i da se prijenosi na temelju Odluke o primjerenosti ne moraju nadopunjavati dodatnim mjerama u smislu Preporuke 01/2020 o mjerama kojima se dopunjuju instrumenti za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU, a koje je Europski odbor za zaštitu podataka usvojio 18. lipnja 2021. godine. Popis organizacija uključenih u okvir za privatnost podataka nalazi se na sljedećoj poveznici: https://www.dataprivacyframework.gov/s/participant-search.
Kako se osobni podaci mogu prenijeti u SAD ako uvoznik podataka nije uvršten na „Popis organizacija uključenih u okvir za privatnost podataka”?
Prijenosi organizacijama u SAD-u koje nisu uvrštene na „Popis organizacija uključenih u okvir za privatnost podataka” ne mogu se temeljiti na Odluci o primjerenosti i zahtijevat će odgovarajuće zaštitne mjere, provediva prava i učinkovite pravne lijekove za ispitanike (primjerice putem standardnih klauzula o zaštiti podataka ili obvezujućih korporativnih pravila), u skladu s člankom 46. Opće uredbe o zaštiti podataka. Sve zaštitne mjere koje je vlada SAD-a uspostavila u području nacionalne sigurnosti (uključujući mehanizam pravne zaštite) primjenjuju se na sve podatke prenesene u SAD bez obzira na instrument za prijenos koji je u primjeni. Stoga bi, pri procjeni učinkovitosti odabranog instrumenta za prijenos iz članka 46. Opće uredbe o zaštiti podataka, izvoznici podataka trebali uzeti u obzir procjenu koju je Komisija provela u Odluci o primjerenosti.
Mogu li ispitanici u EU-u podnijeti pritužbe u skladu s okvirom EU-a i SAD-a za privatnost podataka?
Pojedinci čiji se podaci prenose u SAD na temelju Odluke o primjerenosti imaju na raspolaganju nekoliko mehanizama pravne zaštite ako smatraju da određena organizacija iz SAD-a ne poštuje okvir EU-a i SAD-a za privatnost podataka. Pojedince se potiče da najprije podnesu pritužbu toj organizaciji u SAD-u. Ako Vaš problem nije riješen nakon inicijalnog kontakta s organizacijom u SAD-u ili se ne želite izravno obratiti toj organizaciji, svoju pritužbu možete poslati Agenciji za zaštitu osobnih podataka putem pošte na sljedeću adresu:
Agencija za zaštitu osobnih podataka
Ulica grada Vukovara 54
10000 Zagreb
uz naznaku : DPF komercijalna pritužba
- Predložak obrasca za pritužbu na obradu osobnih podataka od strane organizacije u SAD-u koja je uvrštena na Popis organizacija uključenih u okvir za privatnost podataka na hrvatskom jeziku na sljedećoj poveznici: https://azop.hr/wp-content/uploads/2024/08/dpf_template-complaint-form_commercial-complaints_HR_21062024.docx., a na engleskom jeziku na poveznici: https://www.edpb.europa.eu/system/files/2024-04/dpf_template-complaint-form_commercial-complaints_en.pdf. Korištenje ovog obrasca nije obvezno.
- Dokument koji opisuje postupak rješavanja pritužbe na obradu osobnih podataka od strane organizacije u SAD-u koja je uvrštena na Popis organizacija uključenih u okvir za privatnost podataka nalazi se na sljedećoj poveznici: https://www.edpb.europa.eu/system/files/2024-04/dpf_rules-of-procedure_informal-panel-dpas_en.pdf.
- Odgovori na najčešće postavljena pitanja o okviru EU-a i SAD-a za privatnost podataka za EU pojedince nalaze se na sljedećoj poveznici: https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-individuals_en.
- Odgovori na najčešće postavljena pitanja o okviru EU-a i SAD-a za privatnost podataka za EU poslovne subjekte nalaze se na sljedećoj poveznici: https://www.edpb.europa.eu/our-work-tools/our-documents/other-guidance/eu-us-data-privacy-framework-faq-european-businesses_en.
Kako ispitanici iz EU-a mogu iskoristiti novi mehanizam pravne zaštite u području nacionalne sigurnosti?
Bez obzira na instrument za prijenos koji se upotrebljava za prijenos njihovih osobnih podataka u SAD, ispitanici u EU-u mogu podnijeti pritužbu svojem nacionalnom tijelu za zaštitu podataka kako bi iskoristili novi mehanizam pravne zaštite u području nacionalne sigurnosti. Taj mehanizam omogućuje pojedincima da podnesu pritužbu u slučaju da smatraju da američke obavještajne službe nezakonito obrađuju njihove osobne podatke. Međutim, ovaj mehanizam pravne zaštite primjenjuje se isključivo na osobne podatke prenesene u SAD nakon 10. srpnja 2023. godine. Nacionalno tijelo za zaštitu podataka osigurat će da se pritužba dostavi Europskom odboru za zaštitu podataka, koji će pritužbu proslijediti tijelima SAD-a nadležnima za rješavanje pritužbe. Nadalje, tijelo za zaštitu podataka osigurat će da se ispitaniku pruže informacije o postupku rješavanja pritužbe, među ostalim o ishodu podnesene pritužbe. Da bi pritužba bila dopuštena, pojedinci ne moraju dokazati da su njihove podatke zapravo prikupile obavještajne agencije SAD-a.
- Predložak obrasca za pritužbu u području nacionalne sigurnosti na hrvatskom jeziku nalazi se na sljedećoj poveznici: https://azop.hr/wp-content/uploads/2024/08/edpb_dpf_template-complaint-form_national-security-purposes_HR_21062024.docx. Predložak obrasca dostupan je i na engleskom jeziku na sljedećoj poveznici: https://www.edpb.europa.eu/system/files/2024-04/edpb_dpf_template-complaint-form_national-security-purposes_en.pdf. Korištenje ovog obrasca je obvezno.
Molimo da ispunjeni obrazac pritužbe pošaljete Agenciji za zaštitu osobnih podataka na sljedeću adresu:
Agencija za zaštitu osobnih podataka
Ulica grada Vukovara 54
10000 Zagreb
uz naznaku : DPF pritužba – nacionalna sigurnost
- Dokument „Informativna obavijest o mehanizmu pravne zaštite za EU/EGP pojedince u odnosu na navodna kršenja američkog zakonodavstva u odnosu na njihove podatke prikupljene od američkih tijela nadležnih za nacionalnu sigurnost“
- Pravila postupanja s Vašom pritužbom
- Poslovnik „neformalnog odbora tijela za zaštitu podataka EU-a” u skladu s okvirom EU-a i SAD-a za podataka
Hoće li se Odluka o primjerenosti preispitati?
Prvo preispitivanje Odluke o primjerenosti provest će se godinu dana nakon njezina stupanja na snagu kako bi se provjerilo jesu li svi elementi u potpunosti provedeni i djelotvorni u praksi. Nakon prvog preispitivanja i ovisno o njegovu ishodu Komisija će, uz savjetovanje s Europskim odborom za zaštitu podataka i državama članicama EU-a, odlučiti o učestalosti naknadnih preispitivanja, koja će se u svakom slučaju provoditi najmanje svake četiri godine.