Da bi se mogli prenositi osobni podaci iz EU/EEA u neku treću zemlju izvan EU/EEA bez ikakvih prepreka, Europska komisija temeljem članka 45. GDPR-a i nakon detaljne procjene donosi odluku o primjerenosti mjera zaštite prava i sloboda pojedinaca u toj zemlji s obzirom na zaštitu osobnih podataka.
Popis zemalja, odnosno, destinacija koje se, parafrazirat ćemo, "smatraju dijelom EU/EEA" kad je u pitanju prijenos osobnih podataka, je u ovom trenutku slijedeći:
Andora
Argentina
Kanada (samo komercijalne organizacije)
Farski otoci
Guernsey
Izrael
Isle of Man
Japan
Jersey
Novi Zeland
Južna Koreja
Švicarska
Ujedinjeno Kraljevstvo
Urugvaj
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
SAD na ovom popisu nisu, a svi smo svjesni da se uvjerljivo najveći dio naših osobnih podataka prenosi u SAD.
Pri tom se pod prijenosom osobnih podataka u SAD smatra i pristup osobnim podacima smještenima u EU/EEA od strane entiteta iz SAD.
A zašto SAD nisu zemlja s primjerenom zaštitom osobnih podataka?
Prilikom procjene primjerenosti stupnja zaštite Europska komisija osobito uzima u obzir sljedeće elemente:
(a) vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;
(b) postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i
(c) međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.
Činjenica je i da se prijenosi osobnih podataka u SAD ne mogu zaustaviti niti je to ikome stalo.
Iz tog razloga i iz razloga postignutog dogovora o načelima budućeg Transatlantskog okvira za privatnost podataka između EU i SAD 25.03.2022., očekuje se uskoro i donošenje valjanog pravnog mehanizma, kojim bi SAD postale zemlja s primjerenom zaštitom.
Bez dubokih promjena u pravnom sustavu SAD u području nacionalne sigurnosti isto neće biti moguće, a ovaj politički sporazum odškrinuo je vrata takvim promjenama.
Nužnost donošenja političke odluke najavljivali smo još prije godinu i pol dana:
https://www.biconsult.hr/gdprcroatia/867-kako-ce-americki-predsjednicki-izbori-utjecati-na-rjesavanje-pitanja-prijenosa-osobnih-podataka-u-sad