Prenosite podatke o ličnosti u SAD? Nova pravila igre su na snazi!

SAD

Ukoliko se bavite e-trgovinom, pružate i nudite usluge putem interneta, sarađujete sa firmama iz SAD ili samo koristite servere koji se nalaze u SAD, za Vas će biti značajna informacija da važe nova pravila u vezi sa podacima koje na taj način iznosite ili razmenjujete sa američkim subjektima.

Naime, 16. jula 2020. godine presudom Suda Pravde EU stavljen je van snage EU-US Privacy Shield, sporazum koji je predstavljao pravni okvir za prenos podataka o ličnosti iz Evropske Unije u Sjedinjene Američke Države. Posledice takve odluke najviše će osetiti kako evropski, tako i domaći privredni subjekti koji razmenjuju podatke o ličnosti sa američkim kompanijama i drugim entitetima. Koliko će navedena presuda imati značajne implikacije, govori i podatak istraživanja UCL Evropskog Insituta, da skoro 1600 kompanija (što čini 30% od ukupnog broja), koristi mehanizme Privacy Shield-a kako bi podatke o zaposlenima vratili u SAD.

Šta je EU-US Privacy Shield i kako je oboren?

Kada se podaci prenose između zemalja članica EU, odnosno u zemlje koje po pravilu pružaju adekvatan nivo zaštite podataka[1], prenos se odvija nesmetano i nisu potrebni dodatni uslovi ili odobrenja kada se takav transfer vrši.

Međutim, SAD se ne nalaze na listi zemalja koje pružaju adekvatan nivo zaštite podataka o ličnosti, što ne čudi imajući u vidu skandale sa američkim bezbednosnim agencijama, kao i gigantima poput Facebook-a. Takođe, pravo na privatnost nije podignuto na rang ustavnih prava u SAD-u, dok je u EU pravo na privatnost i zaštita podataka o ličnosti fundamentalno pravo svih građana EU. Osim toga, američki subjekti po default-u mogu da obrađuju podatke o ličnosti, dok za svaku obradu podataka o ličnosti u EU, subjekti moraju da imaju zakonit pravni osnov.

Zbog svega navedenog, SAD su svrstane u kategoriju takozvanih trećih zemalja, pa je preduslov za zakonit prenos podataka američkim uvoznicima podataka bilo formiranje mehanizma koji bi bio garancija da će preneti podaci biti osigurani na prikladan način.

slika sa tekstom

Usvajanjem EU-US Privacy Shield-a znatno je olakšan transfer podataka između zemalja EU i SAD-a. Dovoljno je bilo da se subjekt iz SAD-a registruje i uskladi poslovanje sa pravilima navedenog mehanizma, plati određenu naknadu i prenos podataka je mogao da se vrši bez smetnje.

Ipak, samo pitanje bezbednosti takvog transfera je pokrenuto tek na inicijativu Maksa Šremsa (Max Schrems), aktiviste za prava na privatnost, koji stoji iza celog slučaja „obaranja“ Privacy Shield-a.

Navedena inicijativa je onončana presudom Suda, nakon što je utvrđeno da EU-US Privacy Shield građanima Evropske Unije, čiji podaci se prenose u SAD, ne pruža zaštitu u onolikoj meri u kojoj je to neophodno radi zaštite njihovog prava na privatnost.

Pored zemalja članica EU, dejstvo odluke proširuje se i na sve države koje to nisu ali se na njih primenjuje GDPR (Opšta uredba o zaštiti podataka o ličnosti), te će posledice rušenja Privacy Shield-a biti osetne i u odnosu na sve rukovaoce i obrađivače podataka o ličnosti koji iz Republike Srbije prenose podatke u SAD.

Koje su posledice i nova pravila?

Proglašenjem EU-US Privacy Shield-a nevažećim, Sjedinjene Američke Države su vraćene na status treće zemlje u koje se podaci o ličnosti mogu prenositi samo ukoliko se utvrdi da su ’adekvatne’ za prenos podataka iz evropskih zemalja. Jedan od mehanizama kojim se obezbeđuje adekvatan nivo zaštite prilikom transfera podataka su Standardne Ugovorne Klauzule (Standard Contractual Clauses – SCC) usvojene od strane Evropske komisije.

To konkretno znači da će svi subjekti iz EU koji razmenjuju podatke o ličnosti sa subjektima iz SAD, biti dužni da zaključe odgovarajuće ugovore koristeći Standardne Ugovorne Klauzule.

Osnovni nedostatak Standardnih Ugovornih Klauzula jeste činjenica da je u praksi veoma teško proveriti da li ih se ugovorne strane pridržavaju. Naime, to bi podrazumevalo aktivnu ulogu subjekta koji prenosi podatke u SAD, da detaljno ispita da li primalac podataka (koji se nalazi u SAD-u) ispunjava sve uslove zaštite prenetih podataka, što u praksi može biti gotovo neizvodljivo.

Ipak, iako Klauzule formalno predstavljaju validan osnov za prenos podataka u treće zemlje, kada je reč o SAD-u, njihova primena više nije neograničena. Sud je prilikom donošenja presude zaključio da se Klauzule ubuduće ne mogu koristiti prilikom prenosa ličnih podataka u SAD bez dodatne provere, za čije sprovođenje je odgovoran izvoznik podataka.

slika sa dužim tekstom

Ako uzmemo u obzir činjenicu da je rukovalac podataka o ličnosti odgovoran za izbor obrađivača podataka i potencijalno curenje podataka koje se može dogoditi  u SAD-u, kao i da subjekti čiji su podaci povređeni mogu svoje zahteve da upere direktno prema rukovaocu, neadekvatan izbor obrađivača iz SAD-a može skupo da Vas košta.

Šta to znači za Srbiju?

Ukoliko ste mislili da će Vas nove obaveze i pravila zaobići jer poslujete u Srbiji, prevarili ste se.

Naime, kako je domaći Zakon o zaštiti podataka o ličnosti (dalje: ZZPL) preuzeo gotovo sva pravila iz GDPR-a (o čemu smo pisali u blogu 9 najčešćih zabluda poslodavaca u pogledu zaštite podataka o ličnosti) sve posledice po prenos podataka iz EU osetiće se i kada je reč o prenosu iz Srbije u SAD.

Dakle, kada prenosite podatke iz Srbije u SAD, potrebno je da obezbedite primereni nivo zaštite podataka o ličnosti[2]S obzirom da je Privacy Shield oboren, dužni ste da primenite druge mehanizme koji Vam stoje na raspolaganju.

O navedenom se izjasnio i Poverenik ističući da u skladu sa odlukom Evropske komisije proizlazi da Sjedinjene Američke Države na osnovu Privacy Shield framework-a više ne obezbeđuju primereni nivo zaštite ni sa stanovišta Zakona o zaštiti podataka o ličnosti.

Poverenik je apelovao na sve rukovaoce i obrađivače da je potrebno da pronađu druge mehanizme prenosa podataka u Sjedinjene Američke Države propisane ZZPL. Takođe, Poverenik je uputio zvaničan dopis Vladi Republike Srbije u cilju usaglašavanja Odluke Vlade o listi država u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti, tačnije uklanjanje SAD sa navedene liste.

Koji su to drugi mehanizmi?

Kao i u EU, na raspolaganju Vam stoje Standardne Ugovorne Klauzule, ali koje je doneo Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (dalje: Poverenik). Drugim rečima, u obavezi ste da zaključite odgovarajuće ugovore sa Vašim saradnicima iz SAD-a ukoliko želite da budete sigurni da postupate u skladu sa ZZPL.

Na primer:

slika sa tekstom

ili

slika sa tekstom

ili

mala slika sa tekstom

dužni ste da zaključite odgovarajuće ugovore sa američkom firmom i regulišete pitanje prenosa podataka u SAD.

Sa druge strane, ako se na Vas eksteritorijalno primenjuje GDPR (o čemu smo pisali u tekstu Primena GDPR u Srbiji), na Vas se primenjuju sve obaveze i pravila kao i kada se prenos podataka vrši iz EU u SAD.

Dakle, za sve srpske privrednike važiće isto pravilo kao i za ostatak Evropske unije: prilikom zaključenja ugovora sa obrađivačima iz SAD-a, biće neminovno sprovođenje odgovarajućih provera radi utvrđivanja da li su ispunjeni uslovi u pogledu zaštite prenetih podataka o ličnosti. U suprotnom, prete Vam novčane kazne koje propisuje ZZPL u svojim kaznenim odredbama, kao i penali predviđeni odredbama GDPR-a (ukoliko postoje uslovi za eksteritorijalnu primenu GDPR-a). Svakako da kao pitanje ostaje kako će ’dodatne provere’ zaista izgledati u praksi?

Ako Vam sve ovo deluje previše komplikovano, alternativa koja Vam stoji na raspolaganju je da za svaki prenos podataka u SAD tražite odobrenje Poverenika. U poređenju sa tom opcijom, složićete se da Standardne Ugovorne Klauzule ipak ne izgledaju tako loše.

Ipak, postoje izuzeci

Izuzetak od novih pravila koja su posledica presude Suda Pravde EU su situacije u kojima je prekogranični prenos u SAD dozvoljen bez ispunjavanja dodatnih uslova (poput primene Klauzula ili odobrenja Poverenika), a propisuje ih izričito ZZPL ili GDPR. Dakle, u određenim slučajevima će prenos podataka u SAD ipak biti dozvoljen, bez obzira što ne postoji EU-US Privacy Shield.

Prema ZZPL, prenos podataka u SAD možete vršiti, nezavisno od ništavosti Privacy Shield-a i bez primene posebnih mera, u sledećim situacijama:

  • Dali ste izričit pristanak za prenos Vaših podataka o ličnosti u SAD, a prethodno ste informisani o rizicima prenosa, s obzirom na nepostojanje Privacy Shield-a ili drugih zaštitnih mehanizama. Vaš pristanak uvek možete da povučete.
  • Prenos je neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca, odnosno za zaključenje ugovora – na pimer, poručili ste robu iz SAD-a, a kako bi Vam roba bila isporučena, neophodno je da date Vašu adresu. S obzirom da se ugovor bez toga ne može izvršiti, ZZPL dozvoljava izuzetak od gore navedenih pravila.
  • Kada je prenos neophodan da biste podneli, ostvarili ili odbranili Vaš pravni zahtev – na primer, tražite povraćaj novca od američke kompanije, prenos podataka je dozvoljen.

Još neki od izuzetaka se odnose na ostvarivanje važnog javnog interesa Republike Srbije, zaštitu životno važnih interesa fizičkog lica, kao i prenos pojedinih podataka o ličnosti sadržanih u javnom registru, ali koji će se u praksi koristiti veoma retko.

Svakako da će posledice obaranja EU-US Privacy Shield-a najviše osetiti subjekti koji prenose podatke američkim IT kompanijama ili skladište prikupljene podatke na američkim serverima, što će dovesti do toga da će mnoge evropske, američke i srpske firme celo svoje poslovanje morati da prilagode novonastalim okolnostima.

[1] Na nivou EU, smatra se da postoji adekvatan nivo zaštite kada se prenos vrši između članica EU, a Evropska Komisija donosi odluku o listi zemalja van EU koje pružaju adekvatan nivo zaštite (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).

[2] U Srbiji, Vlada Republike Srbije donosi odluku o listi zemalja koje pružaju adekvatan nivo zaštite prilikom međunarodnog transfera podataka (Sajt Poverenika: https://www.poverenik.rs/sr/)

Najnovije:

NEWSLETTER

Budite u toku sa najvažnijim informacijama

NOVI SAD

BEOGRAD

NOVI SAD

BEOGRAD