So morda mimo časi, ko uporaba različnih storitev družb s sedežem v ZDA oziroma drugače povezanih z ZDA zaradi razlik na področju varstva osebnih podatkov in s strani Sodišča Evropske Unije razveljavljenih dogovorov (Safe Harbour / Varni pristan in potem še Privacy Shield/ Zasebnostni ščit) ni mogla biti povsem zakonita? So frustracije ob uporabi storitev globalnih velikanov preteklost?
Tako se vsaj zdi ob novici, da je Evropska komisija podpisala »EU-US Data Privacy Framework« - Okvir oziroma okvirni dogovor o zasebnosti podatkov. Ne prenaglimo se. V resnici ni tako enostavno.
Podpis dogovora sicer pomeni, da ZDA od 10. julija letos zagotavljajo ustrezno raven varstva osebnih podatkov, ki se iz EU posredujejo [nekaterim] organizacijam v ZDA. Evropska Komisija bo po enem letu pregledala izvajanje sporazuma, če bo zadovoljna, bodo naslednje revizije vsaka štiri leta. Na strani organizacij v ZDA je iniciativa, da gredo skozi postopek samocertifikacije po kriterijih Ministrstva za trgovino - US Department of Commerce. Ta bo vzdrževal in dal na voljo javnosti verodostojen seznam organizacij v ZDA, ki so se samocertificirale in izjavile, da so zavezane spoštovanju načel iz dogovora - »EU-US Data Privacy Framework«.
Zdi se, kot že videno v primeru predhodnih dogovorov. Ali je kaj in kaj je tokrat drugače?
Odločitev o ustreznosti sledi podpisu izvršnega ukaza o „okrepitvi zaščitnih ukrepov za obveščevalne dejavnosti Združenih držav“ na strani ZDA, s katerim so bili uvedeni novi zavezujoči zaščitni ukrepe za obravnavanje točk, ki jih je izpostavilo Sodišče Evropske unije v svoji odločitvi Schrems II iz julija 2020. »Po novem« lahko ameriške obveščevalne agencije dostopajo do podatkov iz EU le v obsegu, ki je potreben in sorazmeren.
Dodani naj bi bili novi nadzorni mehanizmi, vključno z možnostjo neodvisnega in nepristranskega pravnega mehanizma za obravnavanje in reševanje pritožb Evropejcev v zvezi z zbiranjem njihovih podatkov za namene nacionalne varnosti.
In zdaj?
Za začetek bo delo na področju prenosa osebnih podatkov v ZDA olajšano. Četudi bi tudi »EU-US Data Privacy Framework« pred Sodiščem Evropske Unije čakala enaka usoda kot njena predhodnika, bo vse skupaj trajalo nekaj let. Po drugi strani pa gre prav zaradi neslavne preteklosti vseh dosedanjih dogovorov v zvezi s prenosom osebnih podatkov v ZDA v praksi vztrajati pri določitvi dodatnih zaščitnih ukrepov, predvsem s poudarkom na tehničnih ukrepih (morda je čas za bolj prisotno prakso kriptiranja). Ker je precej gotovo, da bo »EU-US Data Privacy Framework« pred Sodiščem Evropske Unije izpodbijan (ne vemo le, ali bo tudi izpodbit) je morda že v izhodišči modro imeti v vidu plan B – torej enega od drugih mehanizmov za zagotavljanje zakonitega prenosa osebnih podatkov v ZDA. In na koncu – mogoče je čas tudi za nekaj zmernega evropskega patriotizma, ki pomeni iskanje partnerjev za izvajanje storitev na stari celini.
Bomo videli, kaj bo prinesla prihodnost.
Več o novem dogovoru lahko preberete na spletnih straneh Evropske Komisije, o njem je pisal tudi kolega Federico Merengo (objava na njegovem Linkedin profilu, ki sem jo v delih povzela).
Odvetnica mag. Rosana Lemut Strle
Comments