Ako se bavite prekograničnim aktivnostima, e-trgovinom, pružate online usluge ili sarađujete sa američkim firmama, imamo obećavajuće vesti za vas. Dugo očekivani EU-SAD okvir za zaštitu podataka napokon je stupio na snagu, najavljujući novo doba u prenosu podataka preko Atlantika. Ova regulativa ima za cilj da pojednostavi proces prenosa podataka o ličnosti iz Evropske unije (i potencijalno iz Srbije u bliskoj budućnosti) u Sjedinjene Američke Države, nudeći vam prednost zaobilaženja komplikovanih postupaka kao što su uključivanje SCC-a (Standardnih ugovornih klauzula) u ugovore o prenosu podataka, sprovođenje DTIA (Procene uticaja međunarodnog prenosa podataka) i preduzimanje drugih mera zaštite podataka koji se prenose na strane teritorije.
Dana 10.07.2023. godine, Evropska komisija donela je odluku o adekvatnosti. Odluka je proizvod trogodišnjih pregovora i saradnje između vlasti Evropske unije i Sjedinjenih Američkih Država u vezi sa prenosom podataka o ličnosti iz EEA (Evropske ekonomske oblasti) na teritoriju Sjedinjenih Američkih Država. Prethodno je američki predsednik potpisao izvršnu naredbu o unapređenju zaštite ličnih podataka u oblasti obaveštajnih aktivnosti Sjedinjenih Američkih Država, čime je obezbeđen viši nivo zaštite podataka o ličnosti unutar granica SAD i otvorio put za usvajanje odluke EU o adekvatnosti.
Hronološki sled i izazovi prenosa podataka o ličnosti preko Atlantika
Opšta uredba o zaštiti podataka o ličnosti (GDPR) postavlja zahteve za prenos podataka iz Evropske unije u treće zemlje, i podaci se mogu slobodno prenositi u zemlje van EU samo ako su vlasti EU utvrdile da zakonodavstvo zemlje primaoca obezbeđuje adekvatan nivo zaštite. Status Sjedinjenih Američkih Država po ovom pitanju nije bio dosledan u prethodnom periodu.
Radi boljeg razumevanja šta je dovelo do novog EU-SAD okvir za zaštitu podataka, ovde možete pronaći hronološki sled događaja:
- Prvi put kada su SAD uvrštene na listu zemalja za koje se smatra da pružaju podjednaku zaštitu podataka o ličnosti kao članice EU bilo je 2000. godine, kada je razvijen pravni okvir „Sigurna luka“ (Safe Harbour Privacy Principles).
- Godine 2015, nakon što je otkriveno kako američka vlada pristupa podacima koje čuvaju velike američke tehnološke kompanije, Evropski sud pravde doneo je odluku u slučaju Šrems I [1] kojom je poništio pravni okvir „Sigurna luka“. Ova odluka je Sjedinjenim Američkim Državama oduzela njihov povlašćeni položaj.
- Nakon toga, 2016. godine, stupio je na snagu novi okvir nazvan „EU-U.S. Privacy Shield“ i omogućio je ponovni prenos podataka u SAD.
- Godine 2020, američki subjekti su doživeli tzv. deža vu kada je Evropski sud pravde doneo odluku u slučaju Šrems II [2], kojom je poništio „EU-U.S. Privacy Shield“ i ponovo pooštrio pravila za međunarodni prenos podataka.
- Sada, 2023. godine, svedoci smo nove saradnje u oblasti zaštite podataka između EU i SAD. Vreme će pokazati hoće li se istorija ponoviti ili će ovo biti treća sreća.
Glavne promene koje donosi EU-SAD okvir za zaštitu podataka
EU-SAD okvir za zaštitu podataka potencijalno predstavlja ključni pomak u regulativi prenosa podataka. Ova regulatorna nadogradnja ima za cilj da obnovi način na koji kompanije rukuju podacima o ličnosti između Evropske unije i Sjedinjenih Američkih Država. U sledećim pasusima istražujemo ključne prednosti koje ovaj okvir pruža za prenos podataka, uključujući pojednostavljene procese, poboljšane mere zaštite podataka i unapređene mehanizme za zaštitu prava. Hajde da istražimo kako ove promene oblikuju budućnost transatlantske razmene podataka.
a. Olakšan prenos podataka
U suštini, kompanijama se savetuje da primenjuju politike privatnosti koje su usklađene sa relevantnim principima zaštite podataka kako bi olakšale prenos podataka u kojem učestvuju i izbegle primenu standardnih ugovornih klauzula i procene uticaja međunarodnog prenosa podataka. To mogu postići dobijanjem sertifikacije od strane američkog Ministarstva trgovine, američkog organa koji će ocenjivati zahteve za sertifikaciju i kontinuirano pratiti ispunjavanje zahteva za sertifikaciju.
b. Dodatne mere zaštite
EU-SAD okvir za zaštitu podataka donosi dodatne zaštitne mere ličnih podataka pojedinaca iz Evropske unije tako što ograničava pristup tim informacijama od strane američkih organa vlasti. Pristup podacima sada je ograničen samo u meri u kojoj je to potrebno i proporcionalno za zaštitu nacionalne bezbednosti. Takođe, ako lični podaci nisu prikupljeni u skladu sa novim zaštitnim merama ili se više ne koriste u svrhu za koju su prikupljeni, ovaj okvir predviđa brisanje takvih podataka.
c. Nezavisan i nepristrasan mehanizam zaštite prava
Građani iz EU imaće priliku da osporavaju prikupljanje podataka i da se žale nezavisnim i nepristrasnim vlastima u vezi sa prikupljanjem i obradom svojih ličnih podataka. Naime, novi mehanizam zaštite će funkcionisati tako što će pojedinci moći direktno da podnose žalbe svojim nacionalnim organima za zaštitu podataka o ličnosti. Nakon toga, žalbe će biti poslate SAD-u putem Evropskog odbora za zaštitu podataka i ocenjivaće ih Poverenik za zaštitu građanskih sloboda u Sjedinjenim Američkim Država. U slučaju negativne odluke, pojedinci bi mogli uložiti žalbu novostvorenom Sudu za pregled zaštite podataka (Data Protection Review Court – DPRC).
Evropska komisija će pažljivo pratiti razvoj situacije u vezi sa zaštitom podataka o ličnosti u Sjedinjenim Američkim Državama i kontinuirano razmatrati ovogodišnju odluku o adekvatnosti.
Naposletku, navedene zaštite nisu ograničene samo na prenos ličnih podataka ka sertifikovanim kompanijama, već će takođe olakšati i učiniti sigurnijim ostale prekogranične prenose podataka, čak i u slučajevima kada je potrebno primeniti standardne ugovorne klauzule. Ako želite da saznate više o međunarodnom prenosu ličnih podataka, to možete učiniti čitanjem našeg bloga na temu međunarodnog prenos podataka o ličnosti.
Kako se ovo odnosi na vas ukoliko je kompanija u Americi?
Ako američke kompanije žele da koriste odredbe pravnog okvira EU-SAD okvir za zaštitu podataka prvo moraju da usvoje politiku privatnosti koja je usklađena sa ovom regulativom i da obave samosertifikaciju na novom veb sajtu Ministarstva trgovine Sjedinjenih Američkih Država, koji je dostupan od 17. jula 2023. godine. Ministarstvo trgovine Sjedinjenih Američkih Država će kontinuirano nadzirati samosertifikovane američke kompanije kako bi se obezbedilo da se pridržavaju EU-SAD okvir za zaštitu podataka, što će uključivati i nasumične provere. Procedura za kompanije koje su učestvovale u prethodnom pravnom okviru „EU-U.S. Privacy Shield“ će biti pojednostavljena ako obave samosertifikaciju do 10. oktobra 2023. godine.
Slično tome, američke kompanije već mogu da se prijave za prijem podataka o ličnosti iz Velike Britanije i Švajcarske koristeći ove mehanizme, ali se i dalje ne mogu osloniti na njih dok adekvatni pravni okviri ne stupe na snagu u ove dve države.
Šta ako je vaša kompanija u Evropskoj uniji?
Evropske kompanije moraju biti oprezne kome šalju podatke o ličnosti i moraju biti svesne obaveze da obezbede jednak nivo zaštite i sigurnosti podataka o ličnosti čak i kada nisu više pod njihovom isključivom kontrolom. Ako šalju podatke o ličnosti kompanijama koje učestvuju u EU-SAD okvir za zaštitu podataka, prenos se može izvršiti bez bilo kakvih prepreka ili dodatnih napora.
S druge strane, ako primalac podataka nije sertifikovan od strane Ministarstva trgovine Sjedinjenih Američkih Država, međunarodni prenos podataka će biti podložan postojećim pravilima, što uključuje obavezu primene standardnih ugovornih klauzula, procenu uticaja međunarodnog prenosa podataka i preduzimanje svih neophodnih mera kako bi se postigao ekvivalentan nivo zaštite podataka onom koji je predviđen GDPR-om.
Ministarstvo trgovine Sjedinjenih Američkih Država će voditi listu sertifikovanih kompanija koje ispunjavaju uslove za učešće u EU-SAD okvir za zaštitu podataka i ta lista će biti dostupna na njegovom veb sajtu.
Šta ako ste srpska kompanija?
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije još uvek nije zauzeo zvaničan stav u vezi sa prenosom ličnih podataka u SAD na osnovu EU-SAD okvir za zaštitu podataka. S obzirom na to da su ranije dozvoljeni slobodni prenosi podataka zavisili isključivo od pravnog okvira „EU-U.S. Privacy Shield“ (koji više nije važeći), ovo pitanje ostaje nerešeno. Međutim, s obzirom na to da regulativa o zaštiti podataka o ličnosti Republike Srbije ima tendenciju da bude usklađena sa regulativom EU, verujemo da je samo pitanje vremena pre nego što se prednosti ove odluke odraze i na prenose podataka iz Srbije u SAD.
Pravni okvir se već dovodi u pitanje
Predsednik neprofitne organizacije NOYB, Maks Šrems, izjavio je da veruje da je odluka Evropske komisije proizvod političkih interesa, a ne stvarne brige za privatnost pojedinaca kako je to predstavljeno. Takođe je rekao da je EU-SAD okvir za zaštitu podataka čista kopija prethodnih sporazuma između EU i SAD-a u vezi sa zaštitom podataka, bez značajnijih razlika.
Pored toga, NOYB je najavio da će osporavati novi transatlantski sporazum čim se ispune uslovi za njegovu primenu, tj. kada se implementira njegov mehanizam za međunarodni prenos podataka.
Čini se da je odluka o adekvatnosti bila kompromis koji nastoji da uspostavi ravnotežu između postizanja dva ključna cilja.
Jedan od ciljeva je da je da prenos podataka o ličnosti uvek prati jednak stepen zaštite, čak i kada se radi o prenosima podataka na druge kontinente.
Drugi cilj je svođenje prepreka ekonomskom rastu na najmanji mogući nivo olakšavanjem saradnje između evropskih i američkih kompanija.
U svakom slučaju, dok je EU-SAD okvir za zaštitu podataka na snazi, kompanije će imati autonomiju da same procene da li žele da koriste njegove prednosti i da odluče kako žele da zaštite podatke o ličnosti koje prikupljaju i prenose.