Europska komisija usvojila je u ponedjeljak, 10. srpnja, novu odluku o adekvatnosti europsko-američkih pravila za zaštitu privatnosti podataka, u trećem pokušaju da se omogući transatlantski protok podataka
Dva ranija pokušaja su srušena sudskim odlukama.
Europska komisija objavila je svoj prvi nacrt odluke o adekvatnosti podataka sa SAD-om u prosincu prošle godine, nakon što je američki predsjednik Joe Biden u listopadu potpisao izvršnu uredbu o tome.
Bidenova uredba
Prijenos osobnih podataka korisnika iz EU u SAD Sud Europske unije proglasio je nezakonitim u dva ključna predmeta. U posljednjem slučaju, nazvanom Schrems II, sudsko vijeće je u odluci ukazalo na nesrazmjeran pristup i neadekvatnu zaštitu podataka europskih korisnika koje su u posjedu američkih sigurnosnih službi, kako je prvi put to svijetu otkrio Edward Snowden 2013. godine.
Bidenova izvršna uredba namijenjena je rješavanju tih problema jer uvodi zaštitne mjere za osobne podatke građana EU, a time uvodi ograničenje pristupa istima za američke obavještajne službe, kao i neovisan mehanizam pravnog lijeka.
Na tiskovnoj konferenciji, europski povjerenik za pravosuđe Didier Reynders rekao je kako "osobni podaci sada mogu slobodno i sigurno teći iz Europskog gospodarskog prostora (EEA) u SAD".
Odluka o adekvatnosti podataka
Prošlog tjedna američka ministrica za trgovinu Gina Raimondo najavila je da su provedene sve američke obveze iz europsko-američkog okvira za zaštitu privatnosti podataka, posebno u pogledu mehanizma pravne zaštite i ograničenja uvedenih za obavještajne službe.
Također prošlog tjedna, predstavnici zemalja članica EU usvojili su velikom većinom odluku o adekvatnosti podataka. Prema Reyndersu, Komisija je ostvarila "značajan napredak" i uspjela pritom postići "pravu ravnotežu" između kolektivne sigurnosti i prava pojedinaca.
Važna dopuna u tekstu u odnosu na izvornu odluku jest klauzula po kojoj kad god neka organizacija ne postupa u skladu sa zahtjevima nekog europskog tijela za zaštitu podataka, slučaj treba proslijediti američkom ministarstvu trgovine i Saveznoj komisiji za trgovinu (FTC).
Osim toga, u odluci su sad detaljnije navedeni uvjeti za izdavanje sudskih naloga za pristup podacima u posjedu američkih kompanija, za svrhe koje su u javnom interesu ili u sklopu istražnih naloga.
Jasnije definirati razdoblje čuvanja podataka
Nadalje, od obavještajnih službi traži se da jasno definiraju period čuvanja podataka i razloge za to, koji moraju uključivati vrste podataka koji se arhiviraju i jesu li potrebni za zaštitu neke osobe.
Obavještajne službe će pritom biti stavljene pod nadzorom Odbora za nadzor privatnosti i građanskih sloboda (PCLOB) američke vlade, koji će imati pristup svim relevantnim dokumentima, uključujući i one s oznakom povjerljivosti.
Europska komisija zadržava pravo da redovno preispituje odluku o adekvatnosti podataka, počevši od godinu dana nakon njenog stupanja na snagu. Među pitanjima koje će se redovno preispitivati bit će mehanizam pravne zaštite, kao i suradnja između američkih i europskih tijela.
Kritike zbog odluke
Međutim, konačna verzija odluke o adekvatnosti podataka nije zadovoljila sve dionike.
Europski odbor za zaštitu podataka (EDPB), koji okuplja sva europska tijela koja se bave zaštitom podataka, u veljači je istaknuo nekoliko točaka u kojima bi se odluka trebala poboljšati, posebice u pogledu korisničkih prava, daljnjeg prosljeđivanja podataka, kao i privremenog prikupljanja podataka na veliko.
Osim toga, europska regulatorna tijela napomenula su da bi trebalo pomno pratiti kako će mehanizam pravne zaštite funkcionirati u praksi te kako će se točno u praksi tumačiti načela nužnosti i proporcionalnosti.
Konkretno, koncept "razmjernog pristupa" podacima mogao bi biti protivan Povelji EU o temeljnim pravima, jer je prepušteno sudskoj praksi američkih sudova da definiraju taj koncept.
Mehanizam pravne zaštite još je jedan kontroverzni dio odluke. Osim posebnog službenika za zaštitu građanskih sloboda (Civil Liberties Protection Officer), sastoji se i od Suda za reviziju zaštite podataka (Data Protection Review Court), koji nije potpuno neovisan, jer spada pod izvršnu vlast SAD-a.
Schrems III?
"Sama najava kako je nešto 'novo,' 'robusno' ili 'učinkovito', nije dovoljna da ga odobri Europski sud," komentirao je austrijski aktivist Max Schrems, po kojemu su nazvana dva ranija sudska postupka, dodavši kako bi za funkcioniranje ovih pravila bile potrebne i izmjene američkog zakona o nadzoru, "ali to jednostavno nismo dobili."
Upitan o potencijalnoj novoj tužbi, nazvanoj Schrems III, povjerenik Reynders rekao je kako bi bilo korisno da se novi sustav testira prije nego ga se izvede pred sud. Rekao je i kako je razgovarao sa Schremsom prije uvođenja nove odluke, kao i s drugim dionicima.
Schrems, s druge strane, kaže kako očekuje da se najnovija verzija odluke o adekvatnosti opet vrati na sud "do početka sljedeće godine," koji bi potom mogao suspendirati primjenu odluke "dok preispituje njen sadržaj".
(Preveo David Spaić-Kovačić. Originalan članak pročitajte ovdje: EU Commission adopts new EU-US data transfer framework)