NEWSLETTER
Budite u toku sa najvažnijim informacijama
Ako se bavite prekograničnim aktivnostima, e-trgovinom, pružate online usluge ili sarađujete sa američkim firmama, imamo obećavajuće vesti za vas. Dugo očekivani EU-SAD okvir za zaštitu podataka napokon je stupio na snagu, najavljujući novo doba u prenosu podataka preko Atlantika. Ova regulativa ima za cilj da pojednostavi proces prenosa podataka o ličnosti iz Evropske unije (i potencijalno iz Srbije u bliskoj budućnosti) u Sjedinjene Američke Države, nudeći vam prednost zaobilaženja komplikovanih postupaka kao što su uključivanje SCC-a (Standardnih ugovornih klauzula) u ugovore o prenosu podataka, sprovođenje DTIA (Procene uticaja međunarodnog prenosa podataka) i preduzimanje drugih mera zaštite podataka koji se prenose na strane teritorije.
Dana 10.07.2023. godine, Evropska komisija donela je odluku o adekvatnosti. Odluka je proizvod trogodišnjih pregovora i saradnje između vlasti Evropske unije i Sjedinjenih Američkih Država u vezi sa prenosom podataka o ličnosti iz EEA (Evropske ekonomske oblasti) na teritoriju Sjedinjenih Američkih Država. Prethodno je američki predsednik potpisao izvršnu naredbu o unapređenju zaštite ličnih podataka u oblasti obaveštajnih aktivnosti Sjedinjenih Američkih Država, čime je obezbeđen viši nivo zaštite podataka o ličnosti unutar granica SAD i otvorio put za usvajanje odluke EU o adekvatnosti.
Opšta uredba o zaštiti podataka o ličnosti (GDPR) postavlja zahteve za prenos podataka iz Evropske unije u treće zemlje, i podaci se mogu slobodno prenositi u zemlje van EU samo ako su vlasti EU utvrdile da zakonodavstvo zemlje primaoca obezbeđuje adekvatan nivo zaštite. Status Sjedinjenih Američkih Država po ovom pitanju nije bio dosledan u prethodnom periodu.
Radi boljeg razumevanja šta je dovelo do novog EU-SAD okvir za zaštitu podataka, ovde možete pronaći hronološki sled događaja:
EU-SAD okvir za zaštitu podataka potencijalno predstavlja ključni pomak u regulativi prenosa podataka. Ova regulatorna nadogradnja ima za cilj da obnovi način na koji kompanije rukuju podacima o ličnosti između Evropske unije i Sjedinjenih Američkih Država. U sledećim pasusima istražujemo ključne prednosti koje ovaj okvir pruža za prenos podataka, uključujući pojednostavljene procese, poboljšane mere zaštite podataka i unapređene mehanizme za zaštitu prava. Hajde da istražimo kako ove promene oblikuju budućnost transatlantske razmene podataka.
U suštini, kompanijama se savetuje da primenjuju politike privatnosti koje su usklađene sa relevantnim principima zaštite podataka kako bi olakšale prenos podataka u kojem učestvuju i izbegle primenu standardnih ugovornih klauzula i procene uticaja međunarodnog prenosa podataka. To mogu postići dobijanjem sertifikacije od strane američkog Ministarstva trgovine, američkog organa koji će ocenjivati zahteve za sertifikaciju i kontinuirano pratiti ispunjavanje zahteva za sertifikaciju.
EU-SAD okvir za zaštitu podataka donosi dodatne zaštitne mere ličnih podataka pojedinaca iz Evropske unije tako što ograničava pristup tim informacijama od strane američkih organa vlasti. Pristup podacima sada je ograničen samo u meri u kojoj je to potrebno i proporcionalno za zaštitu nacionalne bezbednosti. Takođe, ako lični podaci nisu prikupljeni u skladu sa novim zaštitnim merama ili se više ne koriste u svrhu za koju su prikupljeni, ovaj okvir predviđa brisanje takvih podataka.
Građani iz EU imaće priliku da osporavaju prikupljanje podataka i da se žale nezavisnim i nepristrasnim vlastima u vezi sa prikupljanjem i obradom svojih ličnih podataka. Naime, novi mehanizam zaštite će funkcionisati tako što će pojedinci moći direktno da podnose žalbe svojim nacionalnim organima za zaštitu podataka o ličnosti. Nakon toga, žalbe će biti poslate SAD-u putem Evropskog odbora za zaštitu podataka i ocenjivaće ih Poverenik za zaštitu građanskih sloboda u Sjedinjenim Američkim Država. U slučaju negativne odluke, pojedinci bi mogli uložiti žalbu novostvorenom Sudu za pregled zaštite podataka (Data Protection Review Court – DPRC).
Evropska komisija će pažljivo pratiti razvoj situacije u vezi sa zaštitom podataka o ličnosti u Sjedinjenim Američkim Državama i kontinuirano razmatrati ovogodišnju odluku o adekvatnosti.
Naposletku, navedene zaštite nisu ograničene samo na prenos ličnih podataka ka sertifikovanim kompanijama, već će takođe olakšati i učiniti sigurnijim ostale prekogranične prenose podataka, čak i u slučajevima kada je potrebno primeniti standardne ugovorne klauzule. Ako želite da saznate više o međunarodnom prenosu ličnih podataka, to možete učiniti čitanjem našeg bloga na temu međunarodnog prenos podataka o ličnosti.
Ako američke kompanije žele da koriste odredbe pravnog okvira EU-SAD okvir za zaštitu podataka prvo moraju da usvoje politiku privatnosti koja je usklađena sa ovom regulativom i da obave samosertifikaciju na novom veb sajtu Ministarstva trgovine Sjedinjenih Američkih Država, koji je dostupan od 17. jula 2023. godine. Ministarstvo trgovine Sjedinjenih Američkih Država će kontinuirano nadzirati samosertifikovane američke kompanije kako bi se obezbedilo da se pridržavaju EU-SAD okvir za zaštitu podataka, što će uključivati i nasumične provere. Procedura za kompanije koje su učestvovale u prethodnom pravnom okviru „EU-U.S. Privacy Shield“ će biti pojednostavljena ako obave samosertifikaciju do 10. oktobra 2023. godine.
Slično tome, američke kompanije već mogu da se prijave za prijem podataka o ličnosti iz Velike Britanije i Švajcarske koristeći ove mehanizme, ali se i dalje ne mogu osloniti na njih dok adekvatni pravni okviri ne stupe na snagu u ove dve države.
Evropske kompanije moraju biti oprezne kome šalju podatke o ličnosti i moraju biti svesne obaveze da obezbede jednak nivo zaštite i sigurnosti podataka o ličnosti čak i kada nisu više pod njihovom isključivom kontrolom. Ako šalju podatke o ličnosti kompanijama koje učestvuju u EU-SAD okvir za zaštitu podataka, prenos se može izvršiti bez bilo kakvih prepreka ili dodatnih napora.
S druge strane, ako primalac podataka nije sertifikovan od strane Ministarstva trgovine Sjedinjenih Američkih Država, međunarodni prenos podataka će biti podložan postojećim pravilima, što uključuje obavezu primene standardnih ugovornih klauzula, procenu uticaja međunarodnog prenosa podataka i preduzimanje svih neophodnih mera kako bi se postigao ekvivalentan nivo zaštite podataka onom koji je predviđen GDPR-om.
Ministarstvo trgovine Sjedinjenih Američkih Država će voditi listu sertifikovanih kompanija koje ispunjavaju uslove za učešće u EU-SAD okvir za zaštitu podataka i ta lista će biti dostupna na njegovom veb sajtu.
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije još uvek nije zauzeo zvaničan stav u vezi sa prenosom ličnih podataka u SAD na osnovu EU-SAD okvir za zaštitu podataka. S obzirom na to da su ranije dozvoljeni slobodni prenosi podataka zavisili isključivo od pravnog okvira „EU-U.S. Privacy Shield“ (koji više nije važeći), ovo pitanje ostaje nerešeno. Međutim, s obzirom na to da regulativa o zaštiti podataka o ličnosti Republike Srbije ima tendenciju da bude usklađena sa regulativom EU, verujemo da je samo pitanje vremena pre nego što se prednosti ove odluke odraze i na prenose podataka iz Srbije u SAD.
Predsednik neprofitne organizacije NOYB, Maks Šrems, izjavio je da veruje da je odluka Evropske komisije proizvod političkih interesa, a ne stvarne brige za privatnost pojedinaca kako je to predstavljeno. Takođe je rekao da je EU-SAD okvir za zaštitu podataka čista kopija prethodnih sporazuma između EU i SAD-a u vezi sa zaštitom podataka, bez značajnijih razlika.
Pored toga, NOYB je najavio da će osporavati novi transatlantski sporazum čim se ispune uslovi za njegovu primenu, tj. kada se implementira njegov mehanizam za međunarodni prenos podataka.
Čini se da je odluka o adekvatnosti bila kompromis koji nastoji da uspostavi ravnotežu između postizanja dva ključna cilja.
Jedan od ciljeva je da je da prenos podataka o ličnosti uvek prati jednak stepen zaštite, čak i kada se radi o prenosima podataka na druge kontinente.
Drugi cilj je svođenje prepreka ekonomskom rastu na najmanji mogući nivo olakšavanjem saradnje između evropskih i američkih kompanija.
U svakom slučaju, dok je EU-SAD okvir za zaštitu podataka na snazi, kompanije će imati autonomiju da same procene da li žele da koriste njegove prednosti i da odluče kako žele da zaštite podatke o ličnosti koje prikupljaju i prenose.