Ako se bavite prekograničnim poslovanjem, e-trgovinom, online uslugama ili radite sa partnerima iz SAD-a, EU-SAD Okvir za zaštitu podataka (DPF) nudi značajne prednosti. Ovaj okvir, koji je na snazi već više od godinu dana, pojednostavljuje prenose podataka iz Evropske unije (a potencijalno i iz Srbije u bliskoj budućnosti) u Sjedinjene Američke Države. Oslanjanjem na DPF, možete pojednostaviti usklađenost, izbegavajući složenije mere kao što su dodavanje Standardnih ugovornih klauzula (SCC) u ugovore, sprovođenje procena uticaja prenosa podataka (DTIA) ili primenu drugih zaštitnih radnji za međunarodne prenose podataka.
Ovaj okvir pruža jednostavniji put za održavanje usklađenosti, uz osiguranje da transatlantski tokovi podataka ispunjavaju neophodne standarde privatnosti.
Jula 2023. godine, Evropska komisija donela je odluku o adekvatnosti. Odluka je proizvod trogodišnjih pregovora i saradnje između vlasti Evropske unije i Sjedinjenih Američkih Država u vezi sa prenosom podataka o ličnosti iz EEA (Evropske ekonomske zajednice) na teritoriju Sjedinjenih Američkih Država. Prethodno je američki predsednik potpisao izvršnu naredbu o unapređenju zaštite ličnih podataka u oblasti obaveštajnih aktivnosti Sjedinjenih Američkih Država, čime je obezbeđen viši nivo zaštite podataka o ličnosti unutar granica SAD i otvorio put za usvajanje odluke EU o adekvatnosti.
Hronološki sled i izazovi prenosa podataka o ličnosti preko Atlantika
Opšta uredba o zaštiti podataka o ličnosti (GDPR) postavlja zahteve za prenos podataka iz Evropske unije u treće zemlje, i podaci se mogu slobodno prenositi u zemlje van EU samo ako su vlasti EU utvrdile da zakonodavstvo zemlje primaoca obezbeđuje adekvatan nivo zaštite. Status Sjedinjenih Američkih Država po ovom pitanju nije bio dosledan u prethodnom periodu.
Radi boljeg razumevanja šta je dovelo do novog EU-SAD okvira za zaštitu podataka, kratko ćemo se osvrnuti na hronološki sled događaja:
- Prvi put kada su SAD uvrštene na listu zemalja za koje se smatra da pružaju podjednaku zaštitu podataka o ličnosti kao članice EU bilo je 2000. godine, kada je razvijen pravni okvir „Sigurna luka“ (Safe Harbour Privacy Principles).
- Godine 2015, nakon što je otkriveno kako američka vlada pristupa podacima koje čuvaju velike američke tehnološke kompanije, Evropski sud pravde doneo je odluku u slučaju Šrems I [1] kojom je poništio pravni okvir „Sigurna luka“. Ova odluka je Sjedinjenim Američkim Državama oduzela njihov povlašćeni položaj.
- Nakon toga, 2016. godine, stupio je na snagu novi okvir nazvan „EU-U.S. Privacy Shield“ i omogućio je ponovni slobodan prenos podataka u SAD.
- Godine 2020, američki subjekti su doživeli tzv. deža vu kada je Evropski sud pravde doneo odluku u slučaju Šrems II [2], kojom je poništio „EU-U.S. Privacy Shield“ i ponovo pooštrio pravila za međunarodni prenos podataka.
- U 2023. godini, svedočili smo novoj saradnji u oblasti zaštite podataka između EU i SAD. Vreme će pokazati hoće li se istorija ponoviti ili će ovo biti treća sreća.
Ključne promene koje donosi EU-SAD okvir za zaštitu podataka
EU-SAD okvir za zaštitu podataka potencijalno predstavlja ključni pomak u regulativi prenosa podataka. Ova regulatorna nadogradnja ima za cilj da obnovi način na koji kompanije rukuju podacima o ličnosti između Evropske unije i Sjedinjenih Američkih Država. U sledećim pasusima istražujemo prednosti koje ovaj okvir pruža za prenos podataka, uključujući pojednostavljene procese, poboljšane mere zaštite podataka i unapređene mehanizme za zaštitu prava. Hajde da istražimo kako ove promene oblikuju budućnost transatlantske razmene podataka.
a. Olakšan prenos podataka
U suštini, kompanijama se savetuje da primenjuju politike privatnosti koje su usklađene sa relevantnim principima zaštite podataka kako bi olakšale prenos podataka u kojem učestvuju i izbegle primenu standardnih ugovornih klauzula i procene uticaja međunarodnog prenosa podataka. To mogu postići dobijanjem sertifikacije od strane američkog Ministarstva trgovine, američkog organa koji će ocenjivati zahteve za sertifikaciju i kontinuirano pratiti ispunjavanje zahteva za sertifikaciju.
b. Dodatne mere zaštite
EU-SAD okvir za zaštitu podataka donosi dodatne zaštitne mere podacima o ličnosti pojedinaca iz Evropske unije tako što ograničava pristup tim informacijama od strane američkih organa vlasti. Pristup podacima sada je ograničen samo u meri u kojoj je to potrebno i proporcionalno za zaštitu nacionalne bezbednosti. Takođe, ako podaci nisu prikupljeni u skladu sa novim zaštitnim merama ili se više ne koriste u svrhu za koju su prikupljeni, ovaj okvir predviđa brisanje takvih podataka.
c. Nezavisan i nepristrasan mehanizam zaštite prava
Građani iz EU imaće priliku da osporavaju prikupljanje podataka i da se žale nezavisnim i nepristrasnim organima u vezi sa prikupljanjem i obradom svojih podataka o ličnosti. Naime,mehanizam zaštite funkcioniše tako da pojedinci mogu direktno da podnose žalbe svojim nacionalnim organima za zaštitu podataka o ličnosti. Nakon toga, žalbe se šalju u SAD putem Evropskog odbora za zaštitu podataka i ocenjivaće ih Poverenik za zaštitu građanskih sloboda u Sjedinjenim Američkim Država. U slučaju negativne odluke, pojedinci bi mogli uložiti žalbu novostvorenom Sudu za procenu zaštite podataka (Data Protection Review Court – DPRC).
Evropska komisija će pažljivo pratiti razvoj situacije u vezi sa zaštitom podataka o ličnosti u Sjedinjenim Američkim Državama i kontinuirano razmatrati novousvojenu odluku o adekvatnosti.
Naposletku, navedene zaštite nisu ograničene samo na prenos ličnih podataka ka sertifikovanim kompanijama, već će takođe olakšati i učiniti sigurnijim ostale takve prekogranične prenose podataka, čak i u slučajevima kada je potrebno primeniti standardne ugovorne klauzule.
Kako DPF utiče na američke kompanije?
Ako američke kompanije žele da koriste odredbe pravnog okvira EU-SAD okvir za zaštitu podataka prvo moraju da usvoje politiku privatnosti koja je usklađena sa ovom regulativom i da obave samosertifikaciju na veb sajtu Ministarstva trgovine Sjedinjenih Američkih Država, koji je dostupan od 17. jula 2023. godine. Ministarstvo trgovine Sjedinjenih Američkih Država će kontinuirano nadzirati samosertifikovane američke kompanije kako bi se obezbedilo da se pridržavaju EU-SAD okvira za zaštitu podataka, što će uključivati i nasumične provere.
Slično tome, američke kompanije mogu da se oslone na sličan mehanizam i u pogledu prenosa, odnosno uvoza podataka o ličnosti iz Velike Britanije i Švajcarske.
Počevši od 12. oktobra 2023. godine, američke organizacije koje koriste proširenje EU-SAD Okvira za zaštitu podataka (DPF) na Ujedinjeno Kraljevstvo Velike Britanije mogu primati podatke o ličnosti sa teritorije UK i Gibraltara prema novim propisima o adekvatnosti. Ova pravila formiraju „most “ između Ujedinjenog Kraljevstva i EU-SAD DPF-a, osiguravajući da prenos podataka iz UK i Gibraltara prema SAD budu u skladu sa zakonodavstvom UK.
Slično tome, Švajcarsko-američki okvir za zaštitu podataka o ličnosti (Swiss-U.S. DPF) omogućava prenos podataka iz Švajcarske ka organizacijama u SAD-u počevši od 15. septembra 2024. godine, kada je Švajcarska dodelila status adekvatnosti Švajcarsko-američkom okviru. Iako su principi DPF-a za prenose podataka iz Švajcarske bili na snazi od 17. jula 2023. godine, prenosi u okviru ovog okvira zahtevali su formalno priznanje adekvatnosti, čime su sada usklađeni sa švajcarskim zakonodavstvom.
Šta ako je vaša kompanija u Evropskoj uniji?
Evropske kompanije moraju biti oprezne kome šalju podatke o ličnosti i moraju biti svesne obaveze da obezbede jednak nivo zaštite i sigurnosti podataka o ličnosti čak i kada nisu više pod njihovom isključivom kontrolom. Ako šalju podatke o ličnosti kompanijama koje učestvuju u EU-SAD okviru za zaštitu podataka, prenos se može izvršiti bez bilo kakvih prepreka ili dodatnih napora.
S druge strane, ako primalac podataka nije sertifikovan od strane Ministarstva trgovine Sjedinjenih Američkih Država, međunarodni prenos podataka će biti podložan postojećim pravilima, što uključuje obavezu primene standardnih ugovornih klauzula, procenu uticaja međunarodnog prenosa podataka i preduzimanje svih neophodnih mera kako bi se postigao ekvivalentan nivo zaštite podataka onom koji je predviđen GDPR-om.
Ministarstvo trgovine Sjedinjenih Američkih Država vodi listu sertifikovanih kompanija koje ispunjavaju uslove za učešće u EU-SAD okviru za zaštitu podataka i ta lista je dostupna na njihovom veb sajtu.
Šta ako ste srpska kompanija?
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije još uvek nije zauzeo zvaničan stav u vezi sa prenosom ličnih podataka u SAD na osnovu EU-SAD okvira za zaštitu podataka. S obzirom na to da su ranije dozvoljeni slobodni prenosi podataka zavisili isključivo od pravnog okvira „EU-U.S. Privacy Shield“ (koji više nije važeći), ovo pitanje ostaje nerešeno. Međutim, s obzirom na to da regulativa o zaštiti podataka o ličnosti Republike Srbije ima tendenciju da bude usklađena sa regulativom EU, verujemo da je samo pitanje vremena pre nego što se prednosti ove odluke odraze i na prenose podataka iz Srbije u SAD.
Pravni okvir se već dovodi u pitanje
Predsednik neprofitne organizacije NOYB, Maks Šrems, izjavio je da veruje da je odluka Evropske komisije proizvod političkih interesa, a ne stvarne brige za privatnost pojedinaca kako je to predstavljeno. Takođe je rekao da je EU-SAD okvir za zaštitu podataka čista kopija prethodnih sporazuma između EU i SAD-a u vezi sa zaštitom podataka, bez značajnijih razlika.
Pored toga, NOYB je najavio da će osporavati novi transatlantski sporazum čim se ispune uslovi za njegovu primenu.
Čini se da je odluka o adekvatnosti bila kompromis koji nastoji da uspostavi ravnotežu između postizanja dva ključna cilja.
Jedan od ciljeva je da je da prenos podataka o ličnosti uvek prati jednak stepen zaštite, čak i kada se radi o prenosima podataka na druge kontinente.
Drugi cilj je svođenje prepreka ekonomskom rastu na najmanji mogući nivo olakšavanjem saradnje između evropskih i američkih kompanija.
U svakom slučaju, dok je EU-SAD okvir za zaštitu podataka na snazi, kompanije će imati autonomiju da same procene da li žele da koriste njegove prednosti i da odluče kako žele da zaštite podatke o ličnosti koje prikupljaju i prenose.
