Posljedice pada Privacy Shielda – pitanja i odgovori

Sud Europske unije (CJEU) je srušio Privacy Shield. Kako će to utjecati na poslovanja poduzeća u Hrvatskoj? Koje su alternative za razmjenu osobnih podataka između EU i SAD? Donosimo vam najvažnije informacije.

Što je Privacy Shield?

EU-US Privacy Shield je sporazum kojeg su 2016. godine sklopili Europska komisija i američko Ministarstvo trgovine. Svrha sporazuma bila je osigurati da su prijenosi i daljnja obrada osobnih podataka koje tvrtke iz EU prenesu u SAD usklađeni s europskim propisima o zaštiti osobnih podataka.

Kako funkcionira Privacy Shield?

Pristupanje Privacy Shieldu je u potpunosti dobrovoljno, a funkcionira prema modelu samocertifikacije. Ukupno je više od 5.000 tvrtki iz SAD-a prošlo postupak samocertifikacije te “jamče” da će uvezene podatke obrađivati i štititi sukladno europskim propisima. Popis certificiranih tvrtki dostupan je na službenoj stranici Privacy Shielda.

Zašto je Privacy Shield stavljen van snage?

Sud Europske unije je presudom u slučaju C-311/18 od 16. srpnja 2020. godine utvrdio da Privacy Shield ne pruža dovoljnu razinu zaštite EU građanima čiji podaci su preneseni u SAD. Preciznije, osobni podaci EU građana, uključujući njihovo ponašanje, navike, stavove, stil života i dr. izloženi su nadzoru američkih obavještajnih službi, čak i bez sudskog naloga, a samim tim i bez mogućnosti pravne zaštite za pojedinca.

Kako je moguće da američke obavještajne službe “slobodno” nadziru EU građane i obrađuju njihove podatke?

Praćenje stranih državljana bez njihova znanja ozakonjeno je propisom Foreign Intelligence Surveillance Act (FISA). Dopuna ovog zakona, tzv. “Section 702” regulira nadzor stranih državljana koji se nalaze izvan teritorija SAD. U odnosu na američke državljane koje štiti Ustav SAD-a, strani državljani su nezaštićeni i nemaju čak ni informaciju da su predmet nadzora.

Jesu li sve tvrtke i djelatnosti u SAD-u izložene nadzoru prema FISA?

Nisu. Temeljem FISA, nadziru se “pružatelji elektroničkih komunikacijskih usluga”, npr. telekomi, messengeri, platforme za video konferencije i razmjenu poruka i sl.
Osiguratelji, banke, marketinške agencije, trgovački lanci i sl. tipično nisu pružatelji elektroničkih komunikacijskih usluga te nisu obuhvaćeni nadzorom prema FISA.

Kakve veze Privacy Shield ima s vašim poslovanjem?

Ako koristite “elektroničke komunikacijske usluge” čiji je pružatelj tvrtka koja je certificirana u okviru Privacy Shielda, npr. Amazon Web Services cloud servis za pohranu podataka ili Mailchimp servis za automatizirano slanje elektroničke pošte, razmislite o drugim mogućnostima. Provjerite jesu li partneri čije usluge koristite na Privacy Shield popisu.

Koje su alternative Privacy Shieldu?

Za svako pravilo postoji iznimka. Prema članku 49. GDPR-a moguć je prijenos podataka u treće zemlje (izvan EU/EEA) bez posebnih mjera zaštite i dodatnih ugovora u bilo kojoj od sljedećih situacija:
a) ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;
b) prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;
c) prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;
d) prijenos je nužan iz važnih razloga javnog interesa;
e) prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;
f) prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;
g) prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.

Što ako ni članak 49. GDPR-a nije primjenjiv?

Postoji rješenje i za takve situacije, a to su Standardne ugovorne klauzule (SCC). SCC se potpisuju između tvrtke koja “izvozi” podatke i tvrtke u trećoj zemlji koja “uvozi” podatke.
Ipak, ako je tvrtka s kojom želite potpisati ugovorne klauzule “davatelj elektroničke komunikacijske usluge” u SAD, nećete se moći osloniti niti na ovo rješenje. U takvom slučaju trebat ćete te usluge povjeriti nekoj tvrtki iz EU, bez obzira na moguće veće troškove.

Što je s prijenosima osobnih podataka u ostale treće zemlje, npr. Srbiju, BiH ili Kinu?

U slučaju prijenosa osobnih podataka prema ostalim trećim zemljama mogu se koristiti standardne ugovorne klauzule uz obveznu provjeru da li neki od nacionalnih zakona te zemlje onemogućuje ispunjavanje ugovorenih prava i obveza (npr. ovlasti nacionalnih vlada i sigurnosno-obavještajnih službi).