Danas smo objavili informaciju da je međunarodna online konferencija o prijenosu osobnih podataka u SAD organizirana od strane GoDaddy, kao globalno priznatog imena u internet svijetu, odgođena do daljnjega.
 
Bili smo pozvani u svojstvu panelista kako bi, iz perspektive poznavatelja zamršenosti situacije i pronalazitelja rješenja postizanja usklađenosti poslovnih ciljeva sa strogim obvezama u području zaštite osobnih podataka, dali otvorena mišljenja i savjete što je organizacijama svih profila činiti kako bi uskladili svoje poslovanje s nedavnom presudom Europskog suda (EUCJ) u vezi zakonitosti prijenosa osobnih podataka iz EU u SAD.
 
Pri tom je važno znati da se pod prijenosom podataka u SAD smatra i slučaj da su npr. podaci fizički smješteni u EU ali pristup do njih ima organizacija iz SAD.
 
Pronašli samo friško objavljenu analizu svjetski poznatih imena u području prava i zaštite privatnosti, i moramo priznati da nismo još do sada čitali ovako dobar, izravan i iskren tekst o činjenicama koje obilježavaju stvarnost današnjice, koji samo potkrjepljuje naša stajališta kakva smo imali namjeru iznijeti na konferenciji.
 
A stvarnost je takva da je presuda EUCJ i srpnja 2020., koliko god po našim saznanjima politički "pogurana", zaista ispravna i bolna pljuska Europskoj komisiji i Europskom odboru za zaštitu podataka kao tijelima EU koja moraju donositi odluke o usklađenosti prijenosa osobnih podataka izvan EU.
 
Isto tako, presuda EUCJ je praktički i faktički utvrdila da je gotovo svaki prijenos osobnih podataka iz EU u SAD danas nezakonit, odnosno, da nijedna mogućnost iz članaka 44-49. GDPR-a u kojima se definiraju zakoniti temelji za prijenos u treće zemlje, što se tiče prijenosa u SAD nije više primjenjiva.
 
Samim time bi gotovo svaki prijenos podataka u SAD morao biti obustavljen od 16. srpnja 2020. Osim npr. prijenosa podataka kada npr. kupujete avio kartu ili hotelski smještaj u SAD ili nešto na Amazonu...
 
Da, u ovom trenutku u tekstu GDPR-a za redovite i učestale prijenose osobnih podataka iz vaše organizacije u SAD, ukidanjem EU-US Privacy Shielda više ne postoji legalni način da to činite.
 
Standardne ugovorne klauzule (SCC) i Obvezujuća korporativna pravila (BCR), kao opcija #2, moguća su samo ako imate dovoljno znanja i dokaza da treća zemlja i njezin sigurnosno-obavještajni sustav poštuje svjetske konvencije i EU pravo zaštite pojedinaca.
 
A SAD više ne spadaju u skupinu takvih zemalja, kao što nisu niz posljednjih godina, ali su političkom odlukom Europske komisije bili "oukej".
 
SCC i BCR teoretski možete uzeti za valjani pravni temelj samo ako uvedete i dodatne sigurnosne mjere, koje EUCJ nije definirao, ali se Europski odbor za zaštitu podataka EDPB još u srpnju obvećao da će ih objaviti za tjedan dana.
 
Nema ih ni danas. Europska nadzorna tijela donose neusklađene izjave, neka traže da se prijenosi odmah obustave, neka šute...
 
AZOP je možda i najbolje nastupio - objavio je stajalište EDPB i točka:
 
https://azop.hr/aktualno/detaljnije/34.-plenarna-sjednica-europskog-odbora-za-zastitu-podatka-izjava-vezano-za
 
Vjerujte nam, bolje je i tako nego kad vidimo prijedloge stručnih nadležnih EU tijela koja predlažu da se osobni podaci obvezno enkriptiraju pri prijenosu u EU kako ih NSA, CIA ili FBI ne bi mogli čitati.
 
Hmm. Još razmišljamo bismo li se smijali ili plakali.
 
Pogledajmo kako hrvatski Zakon o elektroničkim komunikacijama
 
https://mmpi.gov.hr/UserDocsImages/arhiva/ZEK2008-2017-procisceni.pdf
 
u svom članku 108. stavku 8. kaže:
 
(8) Na zahtjev nadležnih tijela iz stavka 3. ovoga članka operatori iz stavka 1. ovoga članka moraju onemogućiti korisnicima usluga uporabu programa za kodiranje (enkripciju) sadržaja komunikacije ili omogućiti nadležnim tijelima iz stavka 3. ovoga članka provedbu mjera za uklanjanje kodiranja (enkripcije) u svrhu osiguranja i održavanja funkcije tajnog nadzora elektroničkih komunikacijskih mreža i usluga.
 
Onda vam jasno da ništa enkriptirano za prethodno navedene sigurnosne institucije SAD ne predstavlja problem u čitanju. Mogu ih omesti samo naočale s krivom dioptrijom ;-)
 
No, dobro, EU-US Privacy Shield više ne postoji i kako je presudom EUCJ u srpnju dokazano, da sigurnosno-obavještajni sustav SAD ne poštuje prava praćenih osoba iz EU kako to nalažu EU propisi, danas više ne postoji zakoniti pravni temelj za prijenos osobnih podataka iz EU u SAD.
 
Čak se ni vaši lajkovi na ovaj post ne bi smjeli više prenositi u SAD. Niti bi se vaši dokumenti u Microsoft, Google, Amazon i sličnim cloudovima smjeli više prenositi tamo gdje jesu. I bezbroj takvih slulčajeva koji čine naš poslovni i privatni život danas takvima kakvi jesu.
 
Članak na donjem linku daje jasan put ka rješenju. A to je političko rješenje.
 
Politika je držala EU-US Privacy Shield zakonitim, politika je gurnula stvar da ga EUCJ poništi, politika mora naći načina kako osigurati da svijet i dalje funkcionira na zakonitim temeljima. Lijepo se spominje i Kongres kao predstavničko tijelo SAD.
 
Nitko praktički nije od 16. srpnja 2020. obustavio prijenos osobnih podataka iz EU u SAD, osim naivnih štrebera. Nitko nije prestao koristiti Facebook, Whatsapp, Microsoft, Apple, Amazon...EU institucije i dalje naveliko koriste sve te alate, jel? Možda i sam EUCJ ima MIcrosoft Office 365 ;-)
 
Nitko nije prestao zbog toga koristiti Google Analytics i slati podatke u Google Inc. u SAD. Pa čak ni naš AZOP nije to učinio:
 
https://azop.hr/uvjeti/detaljnije/kolacici-cookies
 
Zašto? Jer današnju civilizaciju i globalni poredak nije moguće zamisliti bez prijenosa osobnih podataka u SAD.
 
Jesmo li pogriješili ako kažemo da se čekaju američki predsjednički izbori?
 
https://iapp.org/news/a/legal-remedies-to-u-s-surveillance-after-schrems-ii/