Nakon odluke Schrems II, sve tvrtke koje se oslanjaju na prijenose osobnih podataka između EU i SAD čekaju daljnje smjernice kako bi utvrdile na koji način ispuniti nove EU standarde, ali i obveze koje im je nametnula spomenuta odluka Suda.
Osiguravanje kontinuiteta protoka podataka iz Europe u SAD nije apstraktno pitanje za tvrtke, s obzirom na milijarde dolara digitalne trgovine između EU i američkih gospodarstava.
Većina tvrtki, još uvijek, Privacy Shield prepoznaju kao vrijednost te smatraju kako i dalje trebaju nastaviti poštivati načela koja im je nametnuo Privacy Shield kako bi pokazale usklađenost i odgovornost te zadržale povjerenje svojih europskih partnera i kupaca. Iako Schrems II jasno stavlja do znanja da štit privatnosti (˝Privacy Shield˝) više nije valjani mehanizam prijenosa, odgovorne tvrtke vraćaju se prvim načelima, dokumentirajući napore kako bi održale odgovarajuću internu praksu privatnosti dok čekaju daljnju razjašnjenost od regulatora EU.
Trenutno u SAD-u ne postoji rješenje za sprječavanje prijenosa podataka koji se dijele i putem kolačića. Umjesto toga, pojedini stručnjaci za zaštitu privatnosti provjeravaju njihov protok, koji se podaci prenose te utvrđuju rizike i pravne obveze. Poslovni čelnici preispituju svoje pojedinačne situacije i razgovaraju sa savjetnicima o tome koji je mehanizam prijenosa – ili kombinacija mehanizama – najprikladniji za dokazivanje poštivanja u trenutku kada su gotovo svi transferi između EU-a i SAD-a na tankom ledu.
Dio ove ˝zagonetke˝ je jedinstveni mehanizam prijenosa koji trenutno nije doveden u pitanje: odstupanja prema članku 49. Opće uredbe o zaštiti podataka (GDPR).
Odstupanja: izuzetak, dodatak ili zaustavljanje?
Odstupanje znači „izuzeće, iznimka od propisanih pravila ili ublažavanje pravila ili važećih zakona/ propisa“. Članak 49. GDPR-a naslovljen je “Odstupanja za posebne situacije” i opisuje pravni pristup prijenosu osobnih podataka izvan EU-a kada svi ostali pravni mehanizmi (opisani u člancima 45.-48.) nisu dostupni.
Pred kraj odluke suda Schrems II, Sud navodi da njegova odluka o poništavanju štita privatnosti neće stvoriti “pravni vakuum” odnosno pravnu prazninu za prijenos podataka jer organizacije i dalje mogu primijeniti članak 49. vezan uz odstupanja u posebnim situacijama. Slično tome, u svojim smjernicama, Europski odbor za zaštitu podataka (EDPB) ukazuje na odstupanja kao na raspoloživi mehanizam za daljnji prijenos podataka u SAD ˝pod uvjetom da su utvrđeni uvjeti navedeni u [čl. 49] primjenjivi.˝
EDPB upućuje tvrtke koje se žele oslanjati na odstupanja i na svoje smjernice iz čl. 49 Opće uredbe o zaštiti podataka. Da bi se koristilo bilo koje od ovih odstupanja, tvrtke moraju voditi računa o detaljima i dokumentirati svoju odluku. Svako odstupanje dolazi sa svojim skupom administrativnih i tehničkih zahtjeva stoga morate biti pažljivi i posavjetovati se sa pravnim stručnjakom.
ODSTUPANJA ZA POSEBNE SITUACIJE/ ČLANAK 49. OPĆE UREDBE O ZAŠTITI PODATAKA
Idemo ih sada malo detaljnije razložiti u nastavku…
1. Izričiti pristanak/ privola kao iznimka.
Prvo odstupanje može se koristiti za prijenose između EU-a i SAD-a ako tvrtka dobije pristanak ispitanika za prijenos svojih osobnih podataka u Sjedinjene Države. EDPB pažljivo naglašava da su za to potrebni svi elementi bilo kojeg drugog pristanka (privole) prema GDPR-u. Potpunu analizu ovih zahtjeva potražite u smjernicama EDPB- a o privoli .
Da bi se tvrtke mogle osloniti na odstupanje- izričiti pristanak/ privola, pristanak mora biti:
Eksplicitan. Budući da redoviti (ne-eksplicitni) pristanak prema GDPR-u već zahtijeva “izjavu ili jasnu potvrdnu akciju”, izričiti pristanak mora zahtijevati nešto više od ovoga. U svojim smjernicama za privolu EDPB pojašnjava: „Izraz izričit odnosi se na način na koji suglasnost izražava ispitanik. To znači da ispitanik mora dati izričitu izjavu o pristanku. ” Primjer je provedba dvostupanjske provjere pristanka.
Slobodno dan. EDPB ne obrazlaže ovaj zahtjev u svojim smjernicama vezanim uz članak 49. Opće uredbe o zaštiti podataka, ali zato se isto obrazlaže u smjernicama o privoli. U pravilu GDPR propisuje da ako ispitanik nema stvarnog izbora, primjerice osjeća se prisiljen pristati ili da će snositi negativne posljedice ako ne pristane, tada pristanak neće biti valjan. Nadalje, voditelji obrade moraju biti sposobni dokazati da je „bilo moguće povući pristanak/ privolu bez ikakve štete za ispitanika“.
Specifičan. U kontekstu prijenosa podataka, posebna privola znači da je ispitanik izričito pristao na određeni prijenos (ili skup prijenosa) prije nego što se prijenos dogodio. Ispitanika se mora obavijestiti o prijenosu ( dovoljno jasno, razumljivo, na njemu jednostavnom jeziku, uz detalje prijenosa i u obliku koji udovoljava ostalim zahtjevima) i to prije nego na isti pristane kako bi prije davanja privole bio adekvatno obavješten o posljedicama.
Jednoznačan, jasan. Opet, smjernice EDPB-a o privoli pružaju daljnje smjernice o ovom zahtjevu, posebno: “Mora biti očito da je ispitanik pristao na točno određenu obradu.”
Informiran. U kontekstu prijenosa podataka, EDPB navodi mnoge detalje o kojima bi pojedinci trebali biti obaviješteni u trenutku kada se od njih zatraži pristanak, “posebno u pogledu mogućeg rizika prijenosa”. Voditelj obrade bi prilikom dobivanja pristanka trebao u obavijest uključivati “specifične okolnosti prijenosa”, uključujući obvezno:
· identitet voditelja obrade,
· svrha prijenosa,
· vrsta podataka,
· postojanje prava na povlačenje privole,
· kategorije primatelja,
· zemlja u koju se prenose podaci i
· činjenica da je privola adekvatan pravni osnov prijenosa.
Važno je naglasiti da iz važećih propisa proizlazi obveza ˝da se ispitanici također informiraju o specifičnim rizicima koji proizlaze iz činjenice da će se njihovi podaci prenijeti u zemlju koja ne pruža odgovarajuću zaštitu i da se ne provode odgovarajuće zaštitne mjere s ciljem pružanja zaštite podataka.˝
2. Potrebno za izvršenje ugovora.
Postoje dva odstupanja vezana uz okolnost da je prijenos nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu ˝predugovornih˝ mjera na zahtjev ispitanika.
a. Prvo se primjenjuje ako postoji izravna veza između voditelja obrade i ispitanika. Također da prijenos omogućuje tvrtki prijenos podataka za „predugovorne mjere poduzete na zahtjev nositelja podataka“.
b. Drugo odstupanje od ugovora predviđa ugovor između voditelja obrade i „druge fizičke ili pravne osobe“ (uključujući tvrtku) koji je „u interesu subjekta podataka“.
U ovim okolnostima prijenosi podataka moraju biti nužni prema ugovoru i povremeni . Da bi se prošao test nužnosti, mora postojati “tijesna i značajna veza između prijenosa podataka i uvjeta ugovora.” EDPB daje primjer tako uske veze: “prijenos osobnih podataka koji se tiču njihovih pojedinačnih klijenata od strane turističkih agencija u hotele ili druge komercijalne partnere koji bi bili pozvani boraviti od tih klijenata u inozemstvu.”
Da bi prošao povremeni test, EDPB preporučuje analizu od slučaja do slučaja, ali napominje da bi se “prijenos podataka koji se redovito odvija u stabilnom odnosu smatrao sustavnim i ponavljanim, dakle premašujući” povremeni “karakter.” Kao jedan primjer, EDPB opisuje situaciju kada „banka u EU prenosi osobne podatke u banku u trećoj zemlji kako bi izvršila klijentov zahtjev za izvršenje plaćanja, sve dok se taj prijenos ne dogodi u okviru stabilnog odnosa suradnje dviju banaka. ”
3. Prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtijeva; prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik ne može fizički ii pravno dati privolu.
Ova odstupanja predstavljaju krajnje sredstvo u slučajevima kada vam nisu dostupna nikakva druga izuzeća ili drugi pravni mehanizmi prijenosa. Prijenosi prema ovom odstupanju ne smiju se ponavljati i moraju se odnositi na „ograničeni broj ispitanika“.
Uz gore navedeno nužno je odrediti i izvršiti administrativne zahtjeve, uključujući zahtjev da se o prijenosu obavijesti i ispitanika i nadzorno tijelo. Odluka da se osloni na to odstupanje treba biti dokumentirana s procjenom koja pokazuje zašto nije dostupan drugi mehanizam. EDPB vjeruje da ovaj zahtjev “podrazumijeva da izvoznik podataka može pokazati ozbiljne pokušaje u tom pogledu, uzimajući u obzir okolnosti prijenosa.”
EDPB prepoznaje da praktična stvarnost može igrati ulogu u ovoj procjeni, poput poteškoća za mala i srednja poduzeća da osiguraju obvezujuća korporativna pravila kao mehanizam prijenosa ili u slučaju kada je „uvoznik podataka izričito odbio pristupiti prijenosu podataka˝ ili ugovor na temelju standardnih klauzula o zaštiti podataka i/ili nijedna druga opcija nije dostupna (uključujući, ovisno o slučaju, izbor drugog uvoznika podataka).”
Nakon što je dokumentirao da nije dostupan nijedan drugi mehanizam, voditelj obrade podataka koji se želi osloniti na ovo odstupanje mora također pokazati da prijenos udovoljava standardu za „nužne“ legitimne interese. EDPB je istaknuo „primjenjivat će se određeni viši prag koji će zahtijevati da uvjerljivi legitimni interes bude bitan za tvrtku koja upravlja podacima. Na primjer, to može biti slučaj ako je voditelj obrade prisiljen prenijeti osobne podatke kako bi zaštitio svoju organizaciju ili sustave od ozbiljne neposredne štete ili od ozbiljne kazne koja bi ozbiljno utjecala na njegovo poslovanje. ”
Konačno, EDPB savjetuje tvrtkama da primijene test uravnoteženja analizirajući utvrđene uvjerljive legitimne interese u odnosu na prava ispitanika. Tamo gdje postoje rizici za identificirane ispitanike, voditelj obrade trebao bi osigurati i dokumentirati “odgovarajuće zaštitne mjere” oko zaštite predmetnih podataka. Kao što objašnjava EDPB, „ovaj zahtjev naglašava posebnu ulogu zaštitnih mjera koje mogu igrati ulogu u smanjenju neprimjerenog utjecaja prijenosa podataka na ispitanike i time u utječu na ravnotežu prava i interesa do te mjere da interesi voditelja obrade neće biti nadjačani.”
Ograničeni, ali dostupni mehanizam
U ovo nesigurno vrijeme za prijenos osobnih podataka između EU i SAD-a, članak 49. Opće uredbe ostaje legitimna, iako ograničena opcija za tvrtke. Svako odstupanje zahtijeva da tvrtka koja se oslanja na njega samostalno procijeni okolnosti prijenosa kako bi se osiguralo da se mogu ispuniti uvjeti za uporabu odstupanja – vjerojatno kombinacijom administrativnih, pravnih i tehničkih mjera. Nužno je uz sve obveze koje smo naveli voditi pisanu evidenciju o analizama i svim poduzetim radnjama kako bi se osiguralo poštivanje.
Ovaj je blog dio serije o implikacijama odluke Schrems II na prijenos podataka između EU i SAD-a.