Od otkrića Edwarda Snowdena 2013. godine o nadzoru NSA, javnost je svjesnija američkih obavještajnih zakona kojima se omogućuje presretanje i praćenje podataka o građanima EU (FISA sekcija 702, EO 12333, US Cloud Act) uz umanjena temeljna prava građana EU u postupcima koji se vode u SAD u odnosu na prava koja se osiguravaju građanima SAD.
Odmah po tim otkrićima je dugogodišnjim sudskim postupkom globalno poznatog naziva "Schrems II", iniciranim od strane austrijskog odvjetnika Maxa Schremsa, pokrenuto preispitivanje zakonitosti prijenosa osobnih podataka korisnika Facebooka iz irske podružnice u SAD i srušena je bilateralna platforma EU-US Privacy Shield, koja je do tada niz godina osiguravala zakonitost prijenosa osobnih podataka u SAD, a koje radimo svi i svaki dan i o kojima ovisimo, počevši od operativnih sustava na našim računalima i pametnim uređajima, aplikacija, poslovnih sustava, društvenih mreža, Cloud servisa, svega…
Presudom Schrems II Europskog suda https://curia.europa.eu/juris/liste.jsf?num=C-311/18 od 16.07.2020. gotovo svi prijenosi osobnih podataka iz EU u SAD postali su nezakoniti.
Sad je toj nezakonitosti vrijeme isteklo i, u izostanku novih političkih rješenja na relaciji EU-SAD, sva odgovornost za ozakonjenje prijenosa osobnih podataka u SAD je prebačena na obveznike GDPR-a.
Kao "zamjensko zakonito rješenje" svaki voditelj ili izvršitelj obrade, da kolokvijalno pojednostavimo, svaki pravni subjekt u RH i EU, mora odmah pronaći neki drugi temelj zakonitosti prijenosa osobnih podataka u SAD traženjem rješenja u člancima 46-49. GDPR-a.
Članak 46. stavak 1. GDPR-a određuje ovu obvezu, citiramo: "osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita."
Uvjerljivo najzastupljenije "zamjensko" rješenje koje će mnogi od nas morati implementirati jesu:
Standardne ugovorne klauzule (Standard Contractual Clauses, SCC) + Dodatne mjere
Kako bi ozakonili prijenos podataka u SAD, ali i u svaku "treću zemlju", odnosno, zemlju izvan EEA (osim Andore, Argentine, Kanade za komercijalne organizacije, Farskih otoka, Guernsey, Izraela, Isle of Man, Japana, Jerseya, Novog Zelanda, Švicarske, Urugvaja i UK u koje je prijenos dozvoljen bez posebnih preduvjeta), pravni subjekti kao izvoznici podataka dužni su izraditi procjenu učinka prijenosa (Transfer Impact Assessment, TIA) kojom se moraju preispitati i dokumentirati posebne okolnosti svakog prijenosa, relevantne zakoni i prakse odredišne zemlje te relevantni ugovorne, tehničke i organizacijske zaštitne mjere za povećanje zaštite prenesenih podataka radi procjene razine zaštite u toj trećoj zemlji.
Na neki su način izvoznici podataka obvezni učiniti ono što Europska komisija nije uspjela.
Od slučaja do slučaja analiza zaštite koju pruža treća zemlja uvoznika podataka i provedba odgovarajućih dodatnih zaštitnih mjera kada postoje naznake da tamošnje zakonodavstvo može utjecati na temeljna prava i slobode građana EU – primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja – uvoznik podataka u trećoj zemlji mora uvesti dodatne mjere kako bi zaštitio osobne podatke koji dolaze iz EU/EEA. To mogu biti tehničke, organizacijske i/ili ugovorne mjere.
To će biti vrlo opterećujuće za mikro, male i srednje poduzetnike, ali i velike organizacije koje obavljaju stotine, ako ne i tisuće, prijenosa osobnih podataka iz EU/EEA.
O tome smo vrlo kritički pričali na međunarodnoj konferenciji 28.01.2021., na YouTube snimci od 03:03:33 https://www.youtube.com/watch?v=i_rmxGpcFxA
Koje štivo gotovo svaki pravni subjekt mora dobro proučiti?
- Standardne ugovorne klauzule
Europska komisija je u lipnju 2021. usvojila dva skupa Standardnih ugovornih klauzula (SCC):
- za reguliranje odnosa između voditelja obrade prema izvršitelju obrade ili kaskadno prema njegovom podizvršitelju, ali nisu obvezujuće: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915
- za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914
Važno je znati da se stare, dosadašnje SCC, može ugovarati do 27.09.2021., a svi pravni subjekti koji ih imaju već stare sklopljene iste moraju zamijeniti novima do 27.12.2022. godine.
- EDPB Preporuke o mjerama kojima se dopunjuju alati za prijenos kako bi se osigurala usklađenost s razinom zaštite osobnih podataka EU-a
Te preporuke daju hodogram usklađivanja u 6 koraka:
Korak 1 - Analizirati i mapirati svoje prijenose podataka u treće zemlje
Korak 2 - Utvrditi odgovarajuće zaštitne mjere iz članaka 46. ili 49. iz poglavlja V. GDPR-a.
Korak 3 - Procjeniti ima li u zakonima i/ili sudskoj praksi treće zemlje išta što bi moglo utjecati na učinkovitost odgovarajućih zaštitnih mjera,
Korak 4 - Utvrditi i donijeti dodatne mjere potrebne za dostizanje razine zaštite prenesenih podataka do standarda EU u bitnoj istovjetnosti
Korak 5 - Poduzeti sve formalne korake u uvođenju dodatnih mjera
Korak 6 - U odgovarajućim vremenskim razmacima ponovno provjeravati razinu zaštite osobnih podataka koje prenosimo u treće zemlje
Lokalizacija podataka, koju preporučuju neki profesionalci, ne može biti rješenje za bijeg iz ove kompleksne priče, jer se prijenosom osobnih podataka smatra i situacija kada su osobni podaci fizički pohranjeni u EU ali im pristupa pravni entitet izvan EU/EEA.
Poseban izazov će biti na temu ozakonjenja korištenja Cloud usluga izvan EU/EEA, čitajući preporuke nismo pronašli kvalitetno rješenje.
Enkripcija osobnih podataka može postati rješenjem, pod uvjetom da ključ za enkripciju ostane u EU i ni na koji način ne bude dostupan entitetu u trećoj zemlji. To može biti poseban problem kada se podacima u trećoj zemlji mora pristupiti iz EU.
Kao što vidimo, ova je tematika izuzetno kompleksna i bit će predmetom naših daljnjih razrada i postova, korak po korak.
Izvor u odličnom članku:
https://www.datarainbow.eu/schrems-ii-and-international-data-transfers/
