1.8.2023
OS POD
> Varstvo osebnih podatkov

Svetlejša prihodnost za iznose podatkov v ZDA

So bili v zadnjem času prenosi podatkov v ZDA za vas oteženi in predvsem negotovi?

Potem ko je bil julija 2020 v posledici sodbe Schrems II razveljavljen zasebnostni ščit, so prenosi podatkov v ZDA postali precej oteženi, predvsem pa negotovi. Pravna podlaga za iznos so bile v večini primerov standardne pogodbene klavzule (»klavzule«), vendar pa v posledici zgoraj citirane sodbe niti to samo po sebi ni bilo dovolj. Upravljavci (ali obdelovalci) osebnih podatkov, ki so le-te prenašali v ZDA, so morali poleg tega raziskati še, ali klavzule glede na pravni red ZDA (še zlasti pristojnosti obveščevalnih agencij) zadoščajo za enako oziroma primerljivo raven varstva podatkov, kot je zagotovljena v EU, ali pa so potrebni še dodatni varstveni ukrepi. Takšne presoje so naporne in negotove, v praksi pa je tak pristop verjetno pomenil, da so bili le redki prenosi dejansko skladni z GDPR.

Zato je dobrodošel sklep Evropske komisije (EK) o ustreznosti (»sklep«), ki omogoča prenos osebnih podatkov iz EU tistim podjetjem, ki sodelujejo v okviru za varstvo zasebnosti podatkov med EU in ZDA (angl. EU-US Data Privacy Framework (DPF)). Sprejet je bil in velja od 10. julija 2023. Za razliko od običajnih sklepov o ustreznosti, ki veljajo za posamezno državo v celoti, deluje DPF na podoben princip kot prej veljavni zasebnostni ščit, torej po principu certifikacije posameznih podjetij. Sklep o ustreznosti velja in predstavlja ustrezno pravno podlago samo za prenos tako certificiranim podjetjem. Seznam le-teh je dostopen na spletni strani ameriškega ministrstva za trgovino.

Kljub podobnosti z zasebnostnim ščitom DPF uvaja še določene dodatne varovalke, ki bodo zagotovile, da bo raven varstva osebnih podatkov primerljiva tisti v EU:

  1. Družbe v ZDA se bodo lahko certificirale pod DPF, če se bodo zavezale, da bodo izpolnjevale podroben sklop obveznosti glede varstva zasebnosti, na primer zahtevo po izbrisu osebnih podatkov, ko niso več potrebni za namen, za katerega so bili zbrani, in zagotavljanju neprekinjenega varstva, kadar se osebni podatki posredujejo tretjim osebam. Prav tako bodo morale objaviti svojo politiko zasebnosti ter povezavo do spletne strani ameriškega ministrstva za trgovino, kjer so na voljo dodatne informacije glede certifikacije in pravic posameznikov.
  2. Dodatno varstvo bodo imeli posamezniki tudi iz naslova dodatnih pravnih sredstev, in sicer preko brezplačnih neodvisnih mehanizmov za reševanje sporov, arbitraže ter novoustanovljenega sodišča za presojo varstva podatkov (DPRC) v ZDA v zvezi z obdelavo osebnih podatkov s strani ameriških obveščevalnih agencij.
  3. Po enem letu od uveljavitve bodo EK in pristojni organi ZDA pregledali delovanje novega okvira in presodili tako njegovo ustreznost kot tudi ustreznost implementacije vseh v njem predvidenih ukrepov. Nato ga bodo še nadalje obdobno preverjali, in sicer najmanj na vsaka 4 leta.

Upravljavci in obdelovalci, ki bodo želeli osebne podatke prenesti v ZDA, bodo tako morali preveriti, ali je posamezna družba (tj. uvoznik podatkov) veljavno certificirana v okviru DPF in z njimi skleniti zgolj ustrezno pogodbo o (na primer) obdelavi osebnih podatkov. Za zakonitost prenosa pa v takem primeru ne bo potrebno skleniti še standardnih pogodbenih klavzul. Seveda pa sklep ne vpliva na veljavnost že sklenjenih standardnih pogodbenih klavzul in se le-te lahko (oziroma v nekateri primerih morajo) še naprej uporabljajo kot podlaga za prenos osebnih podatkov.

V tem prispevku obravnavana sprememba je vsekakor dobrodošla ne le za družbe, ki imajo z družbami v ZDA neposredne stike ali pa imajo v ZDA podružnice ali družbe v skupini. Večina družb v Sloveniji (in EU) namreč uporablja neke vrste storitev iz ZDA, na primer programsko opremo, strežnike, digitalne storitve ali naročeno obdelavo podatkov (npr. Google Analytics). V vseh teh primerih se bodo družbe po novem lahko zanesle na novi sklep o ustreznosti (pod pogojem seveda, da bodo poslovale s certificiranimi družbami).