Nedavna odluka Suda Europske unije u slučaju C-311/18 (“Schems II”) odjeknula je u stručnim krugovima i u svijetu. Sud EU je odlučio da EU-US Privacy Shield više nije primjerena podloga za prijenose osobnih podataka iz EU u SAD. U slučaju da voditelji obrade ne osiguraju druge, primjerene mjere zaštite za prijenos osobnih podataka iz EU u SAD, takvi prijenosi moraju se suspendirati.
Budući da se radi o odluci koja ima utjecaja na gotovo sve organizacije unutar EU koje posluju sa SAD-om, Europski odbor za zaštitu podataka (EDPB) odlučio je dodatno pojasniti razmjere i moguće utjecaje te odluke. U svojem najnovijem dokumentu, dali su odgovore na najčešća pitanja u vezi sa “Schrems II” slučajem. Kroz tih 11 pitanja s vrlo detaljno objašnjenim odgovorima objasnili su koje mogućnosti su na raspolaganju voditeljima obrade koji i dalje žele vršiti prijenose osobnih podataka iz EU prema SAD-u.
U pogledu dodatnih zaštitnih mjera koje je potrebno osigurati prilikom prijenosa u SAD ili ostale treće zemlje nisu bili konkretni, nego su samo zaključili da je “mjere potrebno utvrditi za svaki prijenos pojedinačno”. Druge mjere zaštite, kao što su standardne ugovorne klauzule (SCC) i obvezujuća korporativna pravila (BCR) mogu biti primjenjive za prijenos osobnih podataka iz EU prema SAD-u, ali izvoznik podataka u EU i uvoznik podataka u SAD-u obvezni su prethodno provjeriti i osigurati da će preneseni podaci biti štićeni te da će ispitanicima biti dostupna prava, najmanje u mjeri u kojoj je to zahtjevano GDPR-om.
O posljedicama i utjecaju odluke Suda Europske unije u “Schems II” slučaju i sami smo se oglasili u nedavnoj objavi.
? Najčešća pitanja i odgovori u vezi odluke CJEU u slučaju “Schems II” (EDPB)
? Objava za medije br. 91/20 (CJEU)
? C-311/18 presuda (na hrvatskom jeziku)