01 avg, 2023

EU-U.S. Okvir za zaštitu podataka: Nova odluka o adekvatnosti za prekogranični protok podataka između EU i SAD

Dana 10. jula 2023. godine, Evropska komisija („EU Komisija“) je usvojila svoju odluku o adekvatnosti za EU-U.S. Okvir za zaštitu podataka („EU-U.S. Data Privacy Framework – DPF“).  Ovom odlukom se utvrđuje da Sjedinjene Američke Države („SAD“) obezbeđuju adekvatan nivo zaštite podataka – sličan onom u Evropskoj uniji („EU“).

Šta ovo znači za fizička i pravna lica u EU?

Dugoočekivana odluka donosi konačno rešenje za pravnu nesigurnost koja je okruživala izvoz podataka korisnika iz EU od strane američkih kompanija, što je bio problem za hiljade preduzeća u proteklim godinama.  Opšta uredba o zaštiti podataka („General Data Protection Regulation – GDPR“) daje ovlašćenje EU Komisiji da utvrdi, putem sprovedenih akta, da li neka zemlja van EU obezbeđuje „adekvatan nivo zaštite“ za podatke o ličnosti, koji je ekvivalentan nivou zaštite koji se pruža unutar EU.  Sa novom odlukom o adekvatnosti na snazi, podaci o ličnosti mogu sigurno i slobodno da teku iz EU ka američkim kompanijama koje učestvuju u DPF, eliminišući potrebu za dodatnim merama zaštite podataka poput standardnih ugovornih klauzula („Standard Contractual Clauses – SCC“) ili obavezujućih poslovnih pravila („Binding Corporate Rules – BCR“).

Osnovni principi novog EU-U.S. Okvira za zaštitu podataka

  • Nova serija pravila i obavezujućih zaštitnih mera kojima se ograničava pristup podacima od strane američkih bezbednosnih agencija samo na ono što je neophodno i proporcionalno za zaštitu nacionalne bezbednosti; američke obaveštajne agencije će usvojiti postupke kako bi osigurale efikasan nadzor novih standarda zaštite privatnosti i građanskih sloboda;
  • Novi dvostepeni sistem za istraživanje i rešavanja pritužbi Evropljana na pristup podacima od strane američkih bezbednosnih agencija, uključujući Sud za reviziju zaštite podataka („Data Protection Review Court – DPRC“). Fizička lica mogu podneti pritužbu svom nacionalnom organu za zaštitu podataka o ličnosti, čak i ako ne znaju da li su američke bezbednosne agencije prikupljale njihove podatke; nakon toga, DPRC će nezavisno istražiti i rešiti pritužbe, uključujući i usvajanje obavezujućih mera za otklanjanje posledica potencijalnih povreda;
  • Jake obaveze za kompanije koje obrađuju podatke koji se prenose iz EU, uključujući zahtev za samoprocenjivanje da se pridržavaju standarda posredstvom američkog Ministarstva trgovine („US Department of Commerce“).

Američke kompanije imaju mogućnost da se pridruže DPF tako što će se obavezati da poštuju obiman skup obaveza u vezi sa zaštitom privatnosti.  Ove obaveze uključuju brisanje podataka o ličnosti kada više nisu neophodni za prvobitnu svrhu za koju su prikupljani, kao i osiguravanje kontinuirane zaštite podataka koje se dele sa trećim stranama.

DPF uvodi praktične mere koje imaju za cilj da adresiraju pitanja zabrinutosti iz presude Schrems II Suda pravde Evropske unije („Court of Justice of the European Union – CJEU„) iz jula 2020. godine.  Ove mere uključuju ograničavanje pristupa EU podacima od strane američkih bezbednosnih agencija samo na ono što je neophodno i proporcionalno, kao i uspostavljanje DPRC za rešavanje pritužbi fizičkih lica u EU u vezi sa prikupljanjem njihovih podataka iz razloga nacionalne bezbednosti.

U poređenju s Privacy Shield, novi DPF donosi značajna poboljšanja.  Na primer, ako DPRC utvrdi da su podaci prikupljeni kršeći nove zaštitne mere, imaće ovlašćenje da naredi brisanje takvih podataka.  Unapređene mere u vezi s pristupom podacima od strane vladinih agencija dopuniće obaveze koje se zahtevaju od američkih kompanija koje uvoze podatke iz EU.

Fizička lica iz EU imaće koristi od nekoliko mehanizama privremenih mera ako američke kompanije nepravilno rukuju njihovim podacima.  Mere zaštite koje je uspostavila SAD takođe će uopšte  olakšati prekogranični protok podataka, jer se DPF takođe primenjuje kada se podaci prenose posredstvom drugih kanala, kao što su SCC i BCR.

Pogled u budućnost

Odluka o adekvatnosti stupila je na snagu odmah po usvajanju 10. jula 2023. godine. Kako bi se osigurala stalna zaštita ličnih podataka koji pripadaju pojedincima u EU, EU Komisija će redovno vršiti reviziju DPF.   Prva revizija je zakazana za godinu dana od početka primene DPF.

Ostanite u toku za više detalja o DPF i postupku samoprocenjivanja, koji će biti objavljeni na posebnoj veb stranici DPF koju je uspostavilo američko Ministarstvo trgovine. Podsećamo, Ministarstvo trgovine SAD upravlja i nadgleda DPF, dok će američka Federalna komisija za trgovini („US Federal Trade Commission“) budno osiguravati usklađenost poslovanja američkih kompanija.

Da li je u pitanju suštinska promena ili samo privremeno rešenje za problem prenosa podataka?

Prenos podataka o ličnosti iz EU u SAD je proglašen nezakonitim u dve značajne presude Suda pravde Evropske unije, pri čemu je poslednja bila u slučaju Schrems II, koja je naglasila zabrinutosti zbog neproporcionalnog pristupa i nedovoljne zaštite evropskih podataka od strane američkih bezbednosnih agencija.  Nakon što je Sud pravde Evropske unije poništio prethodnu odluku o adekvatnosti u vezi s EU-U.S. Privacy Shield, EU Komisija i američka vlada su stupile u razgovore kako bi stvorile novi okvir koji će rešiti sporna pitanja.

Iako je DPF dugo iščekivan i dobrodošao kod mnogih, očekuje se da će se suočiti sa pravnim izazovima u budućnosti, slično prethodnim okvirima poput Safe Harbour i Privacy Shield.  Aktivista za privatnost Max Schrems, koji je pokrenuo gorepomenute slučajeve, ističe da proste ocene da je DPF nešto „novo“, „sveobuhvatno“ ili „efikasno“ neće biti dovoljne u očima Suda pravde Evropske unije. Schrems očekuje da će najnovija verzija odluke o adekvatnosti „biti ponovo pred Sudom pravde Evropske unije početkom naredne godine“, što bi čak moglo „suspendovati primenu novog dogovora dok se ne razmotri njegova sadržina“.

Hoće li Sud pravde Evropske unije doneti odlučujuću presudu koja će postaviti temelje za harmoničan protok podataka između EU i SAD? Ovo će vreme pokazati.  U međuvremenu, podaci i dalje teku, a DPF bar za sada ima ključnu ulogu u sagi o deljenju podataka!

Zemlje Zapadnog Balkana i Međunarodni Prenosi Podataka

EU-U.S.  Okvir za zaštitu podataka otvara pitanja u vezi sa prenosom podataka iz zemalja Zapadnog Balkana („ZB„) u SAD. Konkretno, sve zemlje ZB su se obavezale u svojim Sporazumima o stabilizaciji i pridruživanju („SSP„) da usaglase svoje nacionalne zakonodavstva u vezi sa zaštitom ličnih podataka. Nacionalni zakoni o zaštiti podataka o ličnosti u zemljama ZB sadrže odredbe o međunarodnom prenosu podataka, koji se primenjuju i na SAD.

U slučaju Srbije, podaci se mogu međunarodno prenositi u zemlje ili međunarodne organizacije za koje je EU utvrdila da obezbeđuju primeren nivo zaštite. Međutim, novi EU-SAD Okvir za zaštitu podataka mora biti odobren od strane vlade koja utvrđuje listu zemalja u formi odluke. Slično, Crna Gora dozvoljava prenos podataka u SAD, na osnovu odluke EU o primerenosti.  Nasuprot tome, u Bosni i Hercegovini, kao i Severnoj Makedoniji, u slučaju potrebe za prenosom podataka u treće zemlje, uključujući SAD, još uvek zahteva prethodno obaveštenje ili odobrenje od nacionalnih organa za zaštitu podataka. Ovi organi i dalje ocenjuju primerenost zaštite podataka uzimajući u obzir okolnosti svakog pojedinačnoga slučaja pre nego što odobre međunarodni prenos podataka što značajno usložnjava proces transfera podataka iz ovih jurisdikcija.

Ukoliko EU-U.S. Okvir za zaštitu podataka konačno zaživi, očekuje se da će sve zemlje ZB prihvatiti ovaj mehanizam čime bi problem izvoza podataka u SAD konačno bio rešen.

Autori:

Milica Novaković

Nikola Ivković