Primili smo nekoliko upita, čak i od poslovnih subjekata izvan EU, da damo savjete kako se uskladiti s GDPR-om i nedavnom presudom Suda EU (CJEU, Court of Justice of the EU) kojom je EU-US Privacy Shield kao ugovorna platforma proglašen nevažećim.

Naravno, težište je na prijenosu osobnih podataka iz EU od strane poslovnih subjekata u svojstvu voditelja obrade u SAD, bez obzira radilo se samo o spremanju podataka u Cloud servisima, korištenju usluga distribucije newslettera, usluga web hostinga ili poslovnih stranica na društvenim mrežama.

Praktički je velika većina prijenosa "preko noći" postala nezakonitom, odnosno, neusklađenom s GDPR-om, pa su već neki relevantni mediji počeli nazivati sadašnje stanje katastrofičnim nazivom "Privacy Earthquake".

 

Zašto je tome tako?

Temeljem još donedavno važećeg EU-US Privacy Shield okvira Europska komisija je još 2016. godine ocijenila da je prijenos osobnih podataka u SAD putem takvog okvira moguć bez ikakvih daljnjih prepreka.

Prema dostupnim IAPP izvorima 60% organizacija u EU prenosi osobne podatke u SAD temeljem EU-US Privacy Shield okvira, a među njima su i globalno najveća tehnološka i internetska imena današnjice, uključujući i platforme na kojima objavljujemo ovaj post (Facebook, Instagram, LinkedIn).

 

Što se promijenilo?

EU-US Privacy Shield više ne postoji, Sud EU ga je proglasio nevažećim.

Stoga se moramo fokusirati na čitanje članaka 45-49. GDPR-a i EDPB Smjernica 2/2018 o odstupanjima iz članka 49. Uredbe 2016/679 , gdje ćemo uočiti da nam još jedino preostaju slijedeće opcije za zakonit prijenos osobnih podataka u SAD, ukoliko ih ne radimo samo povremeno i ako se ne ponavljaju i ako nisu u vrlo ograničenom volumenu:

 

1. Standard Contractual Clauses - ugovor ili sastavni dio ugovora u koji se ugrađuje njihov tekst koji je utvrdila Europska komisija i koji ne smijemo mijenjati

2. Binding Corporate Rules - skup pravila koje definiraju grupe poduzetnika koji se bave istom gospodarskom djelatnošću ili multinacionalne korporacije čije se podružnice nalaze u EU i izvan EU, a u konačnici ih odobravaju nadzorna tijela kakav postupak može ozbiljno potrajati.

3. Privole osoba o čijim se osobnim podacima radi uz prethodno informiranje o svim rizicima prijenosa osobnih podataka u SAD - teško je za očekivati da će poslovni subjekt odlučiti se temeljiti svoju strategiju i očuvanje korisničke baze privolama svakog pojedinog klijenta ili korisnika, koje svi oni mogu bez posljedica u svakom trenutku povući.

 

Što moramo učiniti i što nam preostaje?

U svakom slučaju moramo osigurati svoju punu usklađenost s GDPR-om i presudom Suda EU.

Ako je vaša organizacija voditelj obrade koji prenosi osobne podatke iz EU u SAD tamošnjim voditeljima ili izvršiteljima obrade, morate ih zatražiti da zajedno izvršite analizu usklađenosti obrada.

Konkretno, morate provjeriti jesu li oni obveznici suradnje s američkim institucijama nacionalne sigurnosti, odnosno, primjenjuje li se na njih članak 702 FISA (Federal Investigation Surveillance Act).

 

A. Ako nisu obveznici FISA zakonskog okvira

Potpišite Standard Contractual Clauses i pratite novosti i daljnje upute nadzornih tijela. Za sad možete mirno spavati.

 

B. Ako vaši partneri u SAD jesu FISA obveznici

Moramo vam reći da ste u vrlo neugodnoj poziciji. Naime, bez obzira što pisalo u Standard Contractual Clauses, američki zakonski okvir u području nacionalne sigurnosti dakako ima nemjerljivo veću težinu na teritoriju SAD i time derogira smisao Standard Contractual Clauses.

U tom slučaju morate implementirati dodatne mjere osiguranja, koje se u ovom trenutku samo nagađaju i svi čekamo EDPB (European Data Protection Board) da ih definira.

Ako i kada EDPB definira dodatne mjere i možete ih osigurati, sklopite Standard Contractual Clauses.

Ako niste u mogućnosti osigurati dodatne EDPB mjere, možete sklopiti Standard Contractual Clauses, ali je vaš prijenos osobnih podataka nezakonit i morali biste ga odmah zaustaviti.

Ukoliko se ipak odlučite nastaviti s prijenosom unatoč nezakonitosti, morate o tome informirati nadzorno tijelo.

A time se ne postiže nikakvo rješenje, zar ne?

 

P.S. Još uvijek se nadamo da će političkim dogovorom na relaciji SAD - EU doći do konzistentnijeg i održivog rješenja. Na primjer, ukidanjem nekih članaka u FISA, hahahah...