Učimo od EU institucija, točnije od nadzornog tijela za zaštitu podataka za EU institucije - EDPS (European Data Protection Supervisor).
EDPS je javno objavio Strategiju postupanja EU institucija sa Schrems II presudom Europskog suda 16. srpnja 2020, kojom je praktički svaki prijenos osobnih podataka u SAD doveden u stanje nezakonitosti, uključujući i korištenje cloud servisa, Microsoft Office 365 paketa, društvenih mreža i niza drugih internetskih platformi.
Dokument Strategije EDPS je na ovom linku:
https://edps.europa.eu/sites/edp/files/publication/2020-10-29_edps_strategy_schremsii_en_0.pdf
Iz njega valja izvući ključne detalje kako bi svaka organizacija za sebe mogla naći rješenje ozakonjenja vlastitih prijenosa osobnih podataka u SAD.
U prvom redu EDPS poziva sva EU tijela da obustave prijenose osobnih podataka u SAD, gdje god takav prijenos nije nužan.
Prisjetimo se, prije pola godine EDPS je zabranio korištenje Whatsapp aplikacija u EU tijelima.
Prvi korak u osiguranju zakonitosti prijenosa osobnih podataka u SAD mora biti pronalaženje istine, odnosno, koji podaci se iz kojih sustava, u koje svrhe i zbog koje potrebe, prenose u SAD, i kakav rizik za pojedince predstavlja takav prijenos s obzirom na nedovoljnu razinu zaštite privatnosti i prava pojedinaca u postupcima sigurnosnih agencija SAD nad građanima EU.
Da ponovimo gradivo, svaka zemlja ima svoje zakone u području sigurnosno-obavještajnih aktivnosti i svoje agencije i institucije koje djeluju u tom području. Naravno, u SAD postoji niz sigurnosno-obavještajnih agencija koje nadziru pojedince diljem svijeta, i tu ne bi bilo spora da su prava građana EU u takvim postupanjima osigurana na razini istoj kakvu SAD pruža svojim građanima ili kakvu EU zemlje članice pružaju svojim građanima.
Posljedica takve dikriminacije i nedovoljne zaštite prava EU građana je sudsko ukidanje valjanosti EU-US Privacy Shielda kao mehanizma slobodnog protoka osobnih podataka iz EU u SAD, a podredno su i ostali mehanizmi uz GDPR-a za takve prijenose praktički dovedeni u neprimjenjivost.
Posljedica presude Europskog suda je ta da se svaki pravni subjekt u EU mora pobrinuti sam za sebe u osiguranju zakonitosti takvog prijenosa, uz prijetnju kaznama u slučaju izostanka osiguranja usklađenosti.
Takav rizik postoji cijelo ovo vrijeme od srpnja 2020. i postojat će do donošenja Smjernica na razini EU, a do tada svaki pravni subjekt preuzima rizik za sebe.