EU US Privacy Shield: pitanje zaštite i uporabe osobnih podataka u digitalnom svijetu

Europska komisija je 12. srpnja 2016. usvojila odluku o EU-US Privacy -Shieldu (PS) koji predstavlja novi okvir za zaštitu temeljnih prava svake osobe čiji se osobni podaci prenose u SAD. On također donosi pravnu sigurnost poslovnom sektoru koji se oslanja na transatlantske transfere podataka.

Privacy Shield uključuje:

  • Stroge obveze zaštite podataka tvrtki koje dobivaju osobne podatke iz EU
  • Zaštitu koja se tiče pristupa podacima američke vlade
  • Učinkovitu zaštitu privatnosti i mogućnost žalbe za fizičke osobe
  • Godišnje revizije kojima se nadzire njegova implementacija.
  • PS odgovara standardima Europskog suda koji je 6. listopada 2015. proglasio prethodni sporazum tzv. Safe Harbour, nevažećim.

 

Što je europsko-američki sustav zaštite privatnosti?

Europska unija (EU) i Sjedinjene Američke Države (SAD) imaju čvrste trgovinske veze. Prijenos osobnih podataka važan je element transatlantskog odnosa, posebice u današnjem globalnom digitalnom gospodarstvu. Brojne transakcije uključuju prikupljanje i upotrebu osobnih podataka, primjerice imena, broja telefona, datuma rođenja, kućne adrese i adrese e-pošte, broja kreditne kartice, broja nacionalnog osiguranja ili broja zaposlenika, korisničkog imena, spola i bračnog statusa ili bilo koje druge informacije koja omogućuje vašu identifikaciju.

Podatke u EU-u mogu prikupljati podružnica ili poslovni partner američkog poduzeća koje prima podatke te ih zatim upotrebljava u SAD, pri kupnji robe ili usluga na internetu, upotrebi usluga društvenih medija ili pohrane podataka u oblaku, ili ako ste zaposlenik poduzeća sa sjedištem u EU-u za koje kadrovske podatke obrađuje poduzeće u SAD-u. Pravo EU zahtijeva se da se visok stupanj zaštite osigura i nakon prijenosa podataka SAD-u, što se osigurava europsko-američkim sustavom zaštite privatnosti. Sustav omogućuje prijenos vaših osobnih podataka iz EU-a poduzeću u SAD-u uz uvjet da to poduzeće vaše osobne podatke obrađuje (npr. upotrebljava, pohranjuje i prenosi dalje) prema čvrstom skupu pravila i mjera za zaštitu podataka. Vaši su podaci zaštićeni neovisno o tome jeste li građanin EU-a ili ne.

 

Kako funkcionira sustav zaštite privatnosti?

Ako se upotrebljava sustav zaštite privatnosti, poduzeća iz SAD-a moraju najprije na to pristati pri Ministarstvu trgovine SAD-a. Ministarstvo trgovine nadležno je za upravljanje sustavom zaštite privatnosti i osiguravanje da poduzeća ispunjavaju svoje obveze. Svoje „članstvo” u sustavu zaštite privatnosti poduzeća moraju obnoviti svake godine. (Popis organizacija u sustavu zaštite privatnosti može se pronaći na internetskim stranicama Ministarstva trgovine (https://www.privacyshield.gov/welcome). Na popisu ćete pronaći podatke o svim poduzećima u sustavu zaštite privatnosti te vrsti osobnih podataka koje upotrebljavaju i usluga koje pružaju, a može se pronaći i popis poduzeća koja više nisu u sustavu zaštite privatnosti.

Sustav zaštite privatnosti pruža vam niz prava, a poduzeća su obvezana štiti vaše osobne podatke u skladu s „načelima privatnosti”.

  1. Pravo na informiranost: poduzeće u sustavu zaštite privatnosti mora vas informirati o:
  • vrsti osobnih podataka koje obrađuje;
  • razlozima obrade vaših osobnih podataka;
  • o svojoj namjeri da prenese vaše osobne podatke drugom poduzeću i razlozima prijenosa;
  • vašem pravu da od poduzeća zatražite pristup svojim osobnim podacima;
  • vašem pravu da odlučite dopuštate li poduzeću da vaše podatke upotrebljava za „bitno drukčije” potrebe ili da ih otkrije drugom poduzeću (takozvano pravo na „izuzeće”). Ako su podaci osjetljivi (na primjer, podaci o vašem etničkom podrijetlu ili zdravstvenom stanju), poduzeće u sustavu zaštite privatnosti mora vas obavijestiti da takve podatke može upotrebljavati ili otkriti samo uz vaše dopuštenje (takozvano pravo na „davanje pristanka”);
  • načinu na koji se obratiti poduzeću ako imate pritužbu o upotrebi vaših osobnih podataka;
  • neovisnom tijelu za rješavanje sporova u EU-u ili SAD-u gdje možete pokrenuti postupak;
  • vladinoj agenciji u SAD-u koja je nadležna za provođenje istrage i izvršenje obveza poduzeća u okviru sustava, itd.
  1.  Ograničenja  upotrebe vaših podataka u različite svrhe:  U načelu, poduzeće u sustavu zaštite privatnosti može upotrebljavati vaše osobne podatke samo u svrhu u koju su izvorno prikupljeni ili koju ste naknadno odobrili.
  2. Smanjenje količine podataka i obveza čuvanja podataka isključivo u potrebnom razdoblju:  Poduzeće u sustavu zaštite privatnosti može primati i obrađivati osobne podatke samo ako su relevantni za potrebe obrade te mora osigurati da su upotrijebljeni podaci točni, pouzdani, potpuni i ažurirani. Osobne podatke smije čuvati isključivo koliko je potrebno za potrebe obrade.
  3. Obveza zaštite sigurnosti podataka: Poduzeće mora osigurati da se vaši osobni podaci čuvaju u sigurnom okruženju i štite od gubitka, zloupotrebe, neovlaštene upotrebe, otkrivanja, izmjene ili uništenja.
  4. Obveza zaštite podataka u slučaju prijenosa drugom poduzeću: poduzeće u sustavu zaštite privatnosti može, u određenim okolnostima i uzimajući u obzir svrhu u koju su ih dobili, vaše osobne podatke prenijeti drugom poduzeću. Neovisno o tome gdje se nalazi, unutar ili izvan SAD-a, poduzeće koje prima podatke mora osigurati jednaku razinu zaštite osobnih podataka.
  5. Pravo pristupa i ispravljanja podataka: Imate pravo tražiti od poduzeća u sustavu zaštite privatnosti da vam omogući pristup vašim osobnim podacima.
  6. Pravo na podnošenje pritužbi i pravo na pravno sredstvo
  7. Zaštita u slučaju pristupa javnih tijela SAD-a: Sustav zaštite privatnosti osigurava da podacima pristupaju isključivo u mjeri potrebnoj kako bi se postigao određeni cilj u javnom interesu, kao što su nacionalna sigurnost.

 

Više o EU-US Privacy Shield na poveznicama:

 

Napomena: autor teksta je HUP, Odjel za politike EU i međunarodne poslove.