Europski odbor za zaštitu podataka (European Data Protection Board EDPB), koji nadgleda rad nacionalnih CNIL-ova, objavio je svoje preporuke o uvjetima koje treba ispuniti kako bi se legalno prenijeli podaci izvan EU-a, posebno u Sjedinjene Američke Države.

šest uvjeta za prijenos podataka iz EU u treće zemlje

Sud Europske unije (Court of Justice of the European Union CJEU) u srpnju ove godine donio je odluku o poništenju sporazuma između EU i SAD o prijenosu podataka a na osnovu tužbe austrijskog aktiviste za zaštitu privatnosti Maximilliana Schremsa, slučaj poznat kao odluka Schrems II. Odlukom je utvrđeno da tzv. Štiti privatnosti (EU-US Privacy Shield) ne štiti podatke iz EU kada se prenesu u SAD pa ni u slučaju kada su od američkih tvrtki pohranjeni izvan SAD. Odjeljak 702. američkog Zakona o nadzoru vanjske obavještajne službe (US Foreign Intelligence Surveillance Act FISA) dopušta agencijama za nacionalnu sigurnost da prikuplja strane obavještajne podatke koji pripadaju neamerikancima smještenim izvan SAD-a. To znači da obavještajne službe SAD imaju pristup podacima svojih tehnoloških tvrtki bez obzira gdje se njihovi podaci nalazili, dakle i izvan SAD.

U srpnju je CJEU utvrdio da su pojedinačni sporazumi koji olakšavaju globalni prijenos podataka EU-a, poznati kao Standardne ugovorne klauzule (Standard Contractual Clauses SCC), teoretski valjani, ali da nacionalni rizici trebaju uzeti u obzir rizike povezane s prijenosom podataka u neke strane države.

„Ako ne postoji valjana odluka Europske komisije o adekvatnosti nadležna nadzorna tijela dužna su obustaviti ili zabraniti prijenos osobnih podataka u treću zemlju za koje utvrde da se zaštitne klauzule o zaštiti privatnosti podaka nisu ili se ne mogu poštivati prema EU pravilima​​”, utvrdio je CJEU.

Nakon odluke u srpnju uslijedila je pravna neizvjesnost o prijenosu podataka iz EU. Neizvjesnost je najviše izražena u poslovnom svijetu jer je godišnja vrijednost gospodarskih odnosa između Europe i SAD oko 7,1 bilijuna američkih dolara. Presuda Europskog suda poništila je odluku Europske komisije o adekvatnosti iz 2016. koja je temelj EU-US Štita privatnosti, na koji se više od 5.300 tvrtki oslanjalo na prijenose osobnih podataka potrebnih za provođenje transatlantske trgovine u skladu s EU pravila o zaštiti podataka.

Andrea Jelinek, predsjednica EDPB-a

Preporuke EDPB-a, koje su ujedno i obvezujuće, utvrđuju uvjete koji moraju biti zadovoljeni o prijenosu podataka i nakon što je prestao važiti Štit privatnosti. Prije izrade preporuka trajala je javna rasprava o prijenosu podataka koja je trajala od 11 do 30. studenoga ove godine.

“Posljedice presude Schrems II proširuju se na sve transfere (podataka) u treće zemlje. Stoga ne postoji jedinstveno rješenje za sve transfere, jer bi to značilo ignoriranje različitosti situacija s kojima se susreću izvoznici podataka “, rekla je predsjednica EDPB-a Andrea Jelinek.

Europski odbor utvrđuje da su upravitelji podataka koji se oslanjaju na mehanizam standardnih ugovornih klauzula, od slučaja do slučaja, dužni provjeriti pruža li zakonodavstvo treće zemlje razinu zaštite jednaku onoj zajamčenoj u Europskom gospodarskom prostoru. (European Economic Area EEA). Naglašava se kako je u svojoj odluci CJEU dozvolio izvoznicima podataka da osiguraju dodatna jamstva standardnim ugovornim klauzulama kako bi ostvarili učinkovito poštivanje ove razine zaštite podataka kada jamstva sadržana u klauzulama nisu dovoljna. (foto Claudio Rousselon; CC, i EDPB)

Podijeli:

 

Vezane objave