Feralis

Privacy Center Rijeka

en hr
Feralis
CONTACT DETAILS
feralis@feralis.hr HR +385 91 7881535, +385 99 5639746
BUSINESS DETAILS

Registration number: 8004472

OIB: 10548359023

IBAN: HR1224020061100940597 (Erste bank)

SWIFT/BIC: ESBCHR22

  • Početna
  • Usluge
  • DPO klub
  • DPO trgovina
  • DPO magazin
  • O nama
  • Kontakt

Kako je pao "ŠTIT PRIVATNOSTI"

Kako je pao

Kako je pao "ŠTIT PRIVATNOSTI"

17.07.2020. 13:00:00

Zaštita osobnih podataka Magazin

Ovih je dana Sud Europske unije u slučaju „Facebook Ireland and Schrems“ donio presudu (Judgment of the Court of Justice in Case C-311/18) kojom Odluku 2016/1250 poznatu kao Privacy Shield  (Štit privatnosti) proglašava nevaljanom. 

 

Zašto i što to zapravo znači?

 

U slučaju kada se osobni podaci prenose izvan EU, odredbe GDPR određuju da je nužno osigurati određene mehanizme zaštite. Takvi mehanizmi  mogu biti prijenosi na temelju odluke Europske komisije o primjerenosti (prijenos u npr. Švicarsku, Argentinu, SAD..), obvezujuća korporativna pravila – BCR  (pravila koja u skladu s regulativom uređuje grupacija samostalno)  ili pak standardne ugovorene klauzule – SCC (set unaprijed definiranih odredbi propisanih Odlukom Europske komisije).
 
Bitno je istaknuti da postoje i propisana odstupanja u posebnim situacijama kada je moguć prijenos podataka i bez poduzimanja definiranih mjera zaštite. To će biti onda  kada  je osoba sama pristala na takav prijenos, kada je prijenos nužan za izvršavanje ugovora među strankama ili za provedbu predugovornih mjera, kada je prijenos nužan za izvršavanje ugovora sklopljenog u interesu ispitanika kao i onda kada je takav prijenos nužan radi javnog interesa, ostvarivanja pravnih zahtjeva, za zaštitu životno važnih interesa ili kad se ispune uvjeti za prijenos iz javno dostupnih registara.

 

Međutim, o svim navedenim mehanizmima zaštite možemo govoriti tek onda kada je zadovoljeno osnovno načelo obrade osobnih podataka koje zahtjeva da voditelj i izvršitelj obrade osiguravaju primjenu i postupanje s osobnim podacima u skladu s GDPR odnosno, ekvivalentno proporcionalnu razinu zaštite koju jamči GDPR.

 

Konkretno, to bi, između ostaloga, značilo da tvrtka u SAD koja prima podatke građana EU mora jamčiti primjenu i postupanje s podacima u skladu s odredbama GDPR.

 

Gdje je u toj priči Privacy Shield?

 

Prije svega trebamo razumjeti što je Privacy Shield. To je Odluka o europsko-američkom sustavu zaštite privatnosti donesena je 12. srpnja 2016. koja predstavlja GDPR-om predviđen mehanizam zaštite na temelju odluke o primjerenosti. Ono je okvir, mehanizam zaštite kojim se štite temeljna prava građana EU-u čiji se osobni podaci prenose u SAD u komercijalne svrhe te se osigurava pravna jasnoća poduzećima koja se u poslovanju oslanjaju na transatlantski prijenos podataka.
 
Na primjer, prilikom kupnje na internetu ili korištenja socijalnim medijima u EU-u osobne podatke u EU-u može prikupljati podružnica ili poslovni partner američkog poduzeća i potom ih prebaciti u SAD. Primjerice, putnička agencija iz EU-a može poslati imena, podatke za kontakt i brojeve kreditnih kartica hotelu u SAD-u koji je registriran u sustavu zaštite privatnosti.
 
Privacy Shield pružao je visoku razinu zaštite prilikom prijenosa podataka, međutim, GDPR  u članku 44. uređuje opće načelo prijenosa osobnih podataka u treće zemlje ali i u druge treće zemlje iz tih zemalja, a s kojim se Privacy Shield nije u potpunosti uskladio.  Kada je u pitanju prijenos na temelju Odluke o primjerenosti, što je slučaj s Privacy Shield, nadzorno tijelo ima dužnost obustaviti ili zabraniti prijenos osobnih podataka u treću zemlju kada smatra da klauzule o zaštiti podataka nisu ili ne mogu biti poštovane u toj zemlji i da se zaštita prenesenih podataka koja se zahtijeva sukladno GDPR ne može osigurati drugim sredstvima. Isto vrijedi i za prijenos podataka iz te treće zemlje u neku drugu treću zemlju, a što nije bilo regulirano sa Štitom privatnosti niti je takvo nešto predviđeno samim zakonodavnim sustavom SAD. Analogno s time, dovodi se u pitanje i postupanje javnopravnih tijela (uključujući sigurnosne službe i drugo) u pitanju zaštite osobnih podataka u postupanju po službenoj dužnosti te postupanje u svezi ostvarivanja prava zaštite  EU građana onda kada dođe do povrede njihovih osobnih podataka (kao što je ostvarivanje pravnih zahtjeva kada dođe do povrede osobnih podataka).

Europski nadzornik za zaštitu podataka još je 2016. godine u svom Mišljenju o nacrtu odluke o primjerenosti zaštite privatnosti između EU-a i SAD-a naglasio da "primjerenost" ne zahtijeva usvajanje pravnog okvira u SAD koji je istovjetan onome koji postoji u EU. Međutim, gledano kao cjelina, „Zaštita privatnosti” i američki pravni poredak trebaju obuhvatiti sve ključne elemente europskog okvira za zaštitu podataka, a prijedlog Privacy Shield-a ne uključuje adekvatno sve mjere za zaštitu europskih prava pojedinca na privatnost i zaštitu podataka.

 

U skladu s time, valjanost Privacy Shield nije dovedena u pitanje radi naravi samih ugovornih klauzula već radi mehanizama koji ne omogućuju osiguranje razine zaštite koja se zahtjeva pravom Europske unije  (GDPR) obustavu ili zabranu prijenosa osobnih podataka temeljenih na takvim klauzulama te u slučaju povrede tih klauzula ili nemogućnosti njihova poštovanja.

Zaključno možemo reći da je Privacy Shield proglašen nevaljanim zbog činjenice da SAD ne osigurava zadovoljavajuću razinu primjene GDPR-a onda kada takva zaštita nije posebno uređena putem predviđenih mehanizama zaštite. Odnosno, zakonodavni okvir SAD nije ekvivalentan zaštiti koju pruža  EU i stoga se bez dodatnog uređenja tog pitanja građanima EU ne može jamčiti proporcionalno jednaka razina zaštite osobnih podataka.

Povezane teme:

AZOP o slučaju Shrems i Štitu privatnosti

LGPD - brazilski GDPR

Povezane usluge:

DPO - Vanjski službenik za zaštitu podataka

 


Ines Bolkovac, DPO



HR DPO - UČLANI SE

Kategorije
  • Zaštita osobnih podataka
  • GDPR & osjetljivi podaci
  • GDPR & mediji, photo
  • DPO praksa
  • Magazin
Korisni linkovi
  • AZOP - Agencija za zaštitu podataka
  • Europski nadzornik za zaštitu podataka
  • EDPB - Europski odbor za zaštitu podataka
  • Europska komisija
  • EUR-Lex
GDPR korisni dokumenti
  • GDPR - Opća uredba o zaštiti podataka
  • Zakon o provedbi Opće uredbe o zaštiti podataka
  • Direktiva 2002/58 (E-privacy)
  • GDPR - Opća uredba o zaštiti podataka
  • Zakon o provedbi Opće uredbe
  • Smjernice o službenicima
  • Smjernice o transparentnosti
  • Smjernice o privoli
  • Smjernice o procijeni učinka
  • Smjernice o obavješćivanju o povredi
  • Smjernice o voditeljima i izvršiteljima obrade
  • Smjernice o novčanim kaznama
  • Smjernice o obradi putem video uređaja EN
  • Smjernice o prenosivosti podataka
  • Smjernice o automatiziranom donošenju odluka i izradi profila
  • WP mišljenje o obradi podataka na radnom mjestu
  • WP mišljenje o obradi za potrebe transparentnosti u javnom sektoru
  • WP mišljenje o "otvorenim podacima"
  • WP mišljenje o anonimizaciji
  • WP mišljenje o enkripciji
  • WP mišljenje u prijedlogu E-privacy
  • EDPS o obradi podataka u javnom sektoru
  • EDPS o digitalnoj etici

Copyright © 2021 Feralis

Ova stranica koristi kolačiće kako bi se osiguralo bolje korisničko iskustvo i funkcionalnost stranica. Za nastavak pregleda i korištenje kliknite "Slažem se".
Slažem se
Upravljanje kolačićima
Bitni kolačići web stranice
Google Analytics
Google Tag Manager