Novi pravni okvir za prenos podataka između EU i SAD

Evropska komisija je dana 10.07.2023. godine usvojila Odluku o adekvatnosti („Adequacy Decision“) okvira za zaštitu privatnosti podataka između Evropske Unije i Sjedinjenih Američkih Država, u kojoj se ističe da Sjedinjene Američe Države obezbjeđuju odgovarajući nivo zaštite ličnih podataka koji se prenose iz Unije u organizacije u Sjedinjenim Američkim Državama, koje se nalaze na listi Okvira za zaštitu privatnosti podataka (EU-U.S. Data Privacy Framework). Listom upravlja i javno je objavljuje Ministarstvo trgovine SAD.

Odluka ima sprovedbeni karakter i donesena je u skladu sa članom 45. Opšte uredbe o zaštiti podataka (2016/679, GDPR), kojim je propisano da se prenos ličnih podataka u treću zemlju ili međunarodnu organizaciju može vršiti u slučaju da je Komisija donijela odluku da treća zemlja, teritorija ili jedan ili više sektora unutar te zemlje ili međunarodna organizacija obezbjeđuje adekvatan nivo zaštite.

Na osnovu donesene Odluke o adekvatnosti, lični podaci mogu se bezbjedno prenositi iz Evropske Unije u američke organizacije i kompanije koje učestvuju u Okviru, bez potrebe ispunjavanja uslova koji se odnose na dodatne mjere zaštite ličnih podataka.

Tako je ustanovljen novi pravni okvir za transatlantski prenos ličnih podataka, imajući u vidu da nakon odluke Suda pravde Evropske unije u predmetu Schrems II, iz jula 2020. godine, nije postojao pravni okvir za vršenje takvog prenosa. Sud je u navedenom predmetu zauzeo jasan stav da dotadašnji pravni instrument, poznat kao Privacy Shield, ne obezbjeđuje adekvatan nivo zaštite podataka zbog široke prakse nadzora nad podacima u SAD, posebno od strane obavještajnih službi, kao i nedostatka mogućnosti obeštećenja građana Unije u slučaju povrede njihovih prava.

Nakon poništenja prethodne Odluke o adekvatnosti od strane Suda pravde, Evropska komisija i vlada SAD pristupili su pregovorima o novom okviru koji se bavi pitanjima koja je pokrenuo Sud u svojoj presudi. U prethodne tri godine preduzete su brojne aktivnosti na institucionalnom nivou, između Unije i Sjedinjenih Američkih Država, kako bi se uspostavili pravni mehanizmi za prenos ličnih podataka, koje su konačno rezultirale Odlukom o adekvatnosti i usvajanjem novog Okriva za zaštitu privatnosti podataka.

Okvir uvodi nove obavezujuće zaštitne mjere za rješavanje svih problema iznesenih od strane Evropskog suda pravde u predmetu Schrems II, uključujući ograničavanje pristupa američkim obaveštajnim službama podacima iz Unije na ono što je neophodno i proporcionalno, te uspostavljanje Suda za reviziju zaštite podataka (Data Protection Review Court- DPRC), kome će pojedinci iz Unije imati pristup. S tim u vezi, ako DPRC utvrdi da su podaci prikupljeni suprotno propisanim mjerama zaštite, ima ovlašćenje da izda naredbu za brisanje predmetnih podataka.

Privredni subjekti iz SAD biće uvršteni na listu Okvira za zaštitu privatnosti podataka ukoliko se obavežu da će poštovati obaveze u vezi sa zaštitom privatnosti podataka, koje su detaljno propisane u Aneksu 1 Odluke Komisije. Takve obaveze su, između ostalog, obavještavanje nosioca podataka o svim bitnim aspektima obrade ličnih podataka, ponuda nosiocu podataka da izabere da li želi da podaci budu učinjeni dostupnim trećoj strani ili da se koriste u svrhu koja je suštinski drugačija od svrhe za koju su podaci prvobitno prikupljeni, primjena odgovarajućih mjera zaštite od gubitka, zloupotrebe, neovlaštenog pristupa, izmjene ili uništavanja podataka itd.

Pojedinci iz Unije će na osnovu Okvira moći da zaštite svoja prava putem obraćanja nezavisnim, alternativnim mehanizmima za rješavanje sporava i panelima arbitara. Takođe, Odlukom je ustanovljena mogućnost pristupa nezavisnom i nepristrasnom mehanizmu obeštećenja u vezi sa prikupljanjem i upotrebom ličnih podataka pojedinaca od strane američkih obaveštajnih agencija, što uključuje novoformirani Sud za reviziju zaštite podataka (DPRC).

Još jedna od prednosti koja se ističe jeste što se zaštitne mjere američke vlade u oblasti nacionalne bezbjednosti primjenjuju na svaki prenos podataka američkim kompanijama, u skladu sa GDPR, pa će biti olakšano i korišćenje drugih instrumenata zaštite propisanih GDPR kao što su, na primjer, standardne ugovorne klauzule i obavezujuća korporativna pravila.

Dakle, donošenje akta kojim se uređuje prenos ličnih podataka iz Evropske Unije i SAD i vice versa, ima za cilj jačanje zaštite privatnosti nosilaca podataka kod obrade i transfera ličnih podataka, te generalno podizanje nivoa pravne sigurnosti u ovoj oblasti. Posebnu važnost će novi pravni okvir za prenos podataka imati za multinacionalne korporacije i velike tehnološke kompanije, čije poslovanje je gotovo nezamislivo bez prenosa velike količine ličnih podataka između zemalja Unije i SAD.

Na kraju, ostaje da vidimo kako će se u praksi pokazati primjena Okvira za zaštitu privatnosti podataka i u kojem pravcu će ići dalji razvoj i saradnja između Unije i SAD u oblasti zaštite privatnosti i ličnih podataka. U svakom slučaju, donošenje akta kojim se omogućava prenos podataka predstavlja veliki korak naprijed u kompilkovani odnosima u ovoj oblasti i predstavlja pozitivan primjer koji treba slijediti u bilateralnim odnosima sa drugim državama sa kojima Unija nema uspostavljen (adekvatan) pravni okvir za transfer podataka.

Autor teksta: Igor Letica

E-mail: [email protected]

About the author