Danas je Europski sud (CJEU, EU Court of Justice) objavio presudu kojom utvrđuje da je EU - US Privacy Shield nezakonit, odnosno, da isti više ne predstavlja zakonit temelj za prijenos osobnih podataka iz EU u USA.
 
Vijest možete pročitati i na službenom linku Suda
 
https://curia.europa.eu/jcms/jcms/Jo2_7052/en/
 
No 91/2020 : 16 July 2020
Judgment of the Court of Justice in Case C-311/18
Facebook Ireland and Schrems
 
Moramo priznati da smo zatečeni ovom odlukom, ali ne zato jer je podržavamo, već zato jer je EU - US Privacy Shield, kao sporazumni odnos dviju ozbiljnih strana kojim se utvrđuju pravila prijenosa osobnih podataka građana, stanovnika i posjetitelja EU u USA i obratno, uključujući i mjere nadzora postupanja s osobnim podacima, na snazi i u punoj primjeni još od 2016. godine.
 
Da, nije nam jasno zašto se tek sada donosi odluka kojom će se izazvati tektonske promjene u odnosu na tehnološke i internetske gigante današnjice.
 
Štoviše, takvim političkim sporazumom između EU i USA 2016. godine uspostavljen je pravni režim kojim se osobni podaci iz EU mogu prenositi u USA pravnim subjektima koji su uključeni u taj sporazum, i takvim su sporazumom USA postale država u koja, u većem dijelu svog tržišta i gospodarstva, osigurava primjerenu razinu zaštite osobnih podataka.
 
Naravno, EU - US Privacy Shield time omogućava da se naši osobni podaci bez ikakvih prepreka iznose iz EU i prenose Facebooku i ostalim globalnim tehnološkim i internetskim gigantima.
 
Kad kažemo "bez prepreka" mislimo na režim potpune slobode prijenosa osobnih podataka iz EU američkim kompanijama, ustanovama, udrugama i svim pravnim subjektima u USA koji su obuhvaćeni predmetnim sporazumom, bez potrebe za poduzimanjem drugih radnji ili dokaza o usklađenosti, na način kako to vrijedi za prijenos osobnih podataka unutar EU i EEA.
 
U praksi to znači da je prijenos osobnih podataka iz Hrvatske u BiH puno ograničeniji i zahtjevniji po pitanju ispunjavanja određenih preduvjeta iz GDPR-a, nego prijenos iz EU Facebooku, Googleu i sličnima.
 
Štoviše, i mi smo radili na projektu ozakonjivanja prijenosa osobnih podataka iz Hrvatske u jednu globalnu poznatu humanitarnu organizaciju sa sjedištem u USA, ali pošto ista nije supotpisnica EU - US Privacy Shield platforme, morali smo osigurati jednu od drugih kompleksnijih mjera za omogućavanje takvog prijenosa.
 
No, eto, Europski sud je presudio, i velika većina dosadašnjih transfera osobnih podataka dovedena je u pitanje, štoviše utvrđena nezakonitom.
 
Konkretno, USA prestaje biti zemlja koja osigurava primjerenu zaštitu osobnih podataka i Europska komisija bi temeljem odluke Suda morala izbrisati USA iz popisa non-EU zemalja koje zadovoljavaju stroga mjerila za slobodan prijenos osobnih podataka, čiji popis možete vidjeti ovdje:
 
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
 
Što sad preostaje svih pravnim subjektima u EU koji bi željeli na zakonit način prenositi osobne podatke iz EU u US?
 
Ne bi nas čudilo da će politika ponovno dogovoriti nekakav poseban aranžman, i da će američka strana dati "dodatna jamstva" kojima će se ipak EU - US Privacy Shield održati valjanim.
 
Međutim, to je vrlo neizvjesno.
 
Stoga svaki pravni subjekt može sam sebe zaštititi na način da s poslovnim subjektom ili međunarodnim udruženjem koji imaju sjedište u USA odmah sklope tzv. Standard Contractual Clauses ili standardne klauzule o zaštiti podataka koje možete pronaći ovdje:
 
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en