Presudom Schrems II Europskog suda:
 
https://curia.europa.eu/juris/liste.jsf?num=C-311/18
 
od 16.07.2020. gotovo svi prijenosi osobnih podataka iz EU u SAD postali su praktički nezakoniti, a teško je naći poslovni subjekt koji ih ne radi.
 
Sad je toj nezakonitosti vrijeme isteklo i, u izostanku novih političkih rješenja na relaciji EU-SAD, sva odgovornost za ozakonjenje prijenosa osobnih podataka u SAD je prebačena na obveznike GDPR-a.
 
Kao "zamjensko zakonito rješenje" svaki voditelj ili izvršitelj obrade, da kolokvijalno pojednostavimo, svaki pravni subjekt u RH i EU, mora odmah pronaći neki drugi temelj zakonitosti prijenosa osobnih podataka u SAD traženjem rješenja u člancima 46-49. GDPR-a.
 
Članak 46. stavak 1. GDPR-a određuje ovu obvezu, citiramo: "osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita."
 
Uvjerljivo najzastupljenije "zamjensko" rješenje koje će mnogi od nas morati implementirati jesu:
 
Standardne ugovorne klauzule (Standard Contractual Clauses, SCC) + Dodatne mjere
 
Kako bi ozakonili prijenos podataka u SAD, ali i u svaku "treću zemlju", odnosno, zemlju izvan EEA (osim Andore, Argentine, Kanade za komercijalne organizacije, Farskih otoka, Guernsey, Izraela, Isle of Man, Japana, Jerseya, Novog Zelanda, Švicarske, Urugvaja i UK u koje je prijenos dozvoljen bez posebnih preduvjeta), pravni subjekti kao izvoznici podataka dužni su izraditi procjenu učinka prijenosa (Transfer Impact Assessment, TIA) kojom se moraju preispitati i dokumentirati posebne okolnosti svakog prijenosa, relevantne zakoni i prakse odredišne zemlje te relevantni ugovorne, tehničke i organizacijske zaštitne mjere za povećanje zaštite prenesenih podataka radi procjene razine zaštite u toj trećoj zemlji.
 
Od slučaja do slučaja analiza zaštite koju pruža treća zemlja uvoznika podataka i provedba odgovarajućih dodatnih zaštitnih mjera kada postoje naznake da tamošnje zakonodavstvo može utjecati na temeljna prava i slobode građana EU – primjerice kada postoji potencijalni rizik od tajnog nadzora ili praćenja – uvoznik podataka u trećoj zemlji mora uvesti dodatne mjere kako bi zaštitio osobne podatke koji dolaze iz EU/EEA. To mogu biti tehničke, organizacijske i/ili ugovorne mjere.
 
To će biti vrlo opterećujuće za mikro, male i srednje poduzetnike, ali i velike organizacije koje obavljaju stotine, ako ne i tisuće, prijenosa osobnih podataka iz EU/EEA.
 
O tome smo vrlo kritički pričali na međunarodnoj konferenciji 28.01.2021., na YouTube snimci od 03:03:33 https://www.youtube.com/watch?v=i_rmxGpcFxA
 
Koje štivo gotovo svaki pravni subjekt mora dobro proučiti?
 
1. Standardne ugovorne klauzule
 
Europska komisija je u lipnju 2021. usvojila dva skupa Standardnih ugovornih klauzula (SCC):
 
- za reguliranje odnosa između voditelja obrade prema izvršitelju obrade ili kaskadno prema njegovom podizvršitelju, ali nisu obvezujuće: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32021D0915
 
- za ozakonjenje prijenosa osobnih podataka u treće zemlje, izrađene modularno: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914
 
Važno je znati da se stare, dosadašnje SCC, može ugovarati do 27.09.2021., a svi pravni subjekti koji ih imaju već stare sklopljene iste moraju zamijeniti novima do 27.12.2022. godine.
 
 
2. EDPB Preporuke o mjerama kojima se dopunjuju alati za prijenos kako bi se osigurala usklađenost s razinom zaštite osobnih podataka EU-a
 
https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
 
Te preporuke daju hodogram usklađivanja u 6 koraka:
 
Korak 1 - Analizirati i mapirati svoje prijenose podataka u treće zemlje
 
Korak 2 - Utvrditi odgovarajuće zaštitne mjere iz članaka 46. ili 49. iz poglavlja V. GDPR-a.
 
Korak 3 - Procjeniti ima li u zakonima i/ili sudskoj praksi treće zemlje išta što bi moglo utjecati na učinkovitost odgovarajućih zaštitnih mjera,
 
Korak 4 - Utvrditi i donijeti dodatne mjere potrebne za dostizanje razine zaštite prenesenih podataka do standarda EU u bitnoj istovjetnosti
 
Korak 5 - Poduzeti sve formalne korake u uvođenju dodatnih mjera
 
Korak 6 - U odgovarajućim vremenskim razmacima ponovno provjeravati razinu zaštite osobnih podataka koje prenosimo u treće zemlje
 
OPREZ:
 
Lokalizacija podataka, koju preporučuju neki profesionalci, ne može biti rješenje za bijeg iz ove kompleksne priče, jer se prijenosom osobnih podataka smatra i situacija kada su osobni podaci fizički pohranjeni u EU ali im pristupa pravni entitet izvan EU/EEA.
 
Poseban izazov će biti na temu ozakonjenja korištenja Cloud usluga izvan EU/EEA, čitajući preporuke nismo pronašli kvalitetno rješenje.
 
Enkripcija osobnih podataka može postati rješenjem, pod uvjetom da ključ za enkripciju ostane u EU i ni na koji način ne bude dostupan entitetu u trećoj zemlji. To može biti poseban problem kada se podacima u trećoj zemlji mora pristupiti iz EU.
 
Kao što vidimo, ova je tematika izuzetno kompleksna i bit će predmetom naših daljnjih razrada i postova, korak po korak.
 
Za pomoć objavljujemo link na predložak za izradu TIA - Transfer Impact Assessment analize, izrađen i javno objavljen od strane IAPP (International Association of Privacy Professionals) kojem je autor ovog članka član:
 
https://iapp.org/resources/article/transfer-impact-assessment-templates/
 
Nažalost, ova tematika će biti mnogim pravnim subjektima nepremostiva prepreka.