S razvojem globalne digitalne ekonomije raste potreba bolje zaštite osobnih podataka građana EU. Prikupljanje i daljnja obrada osobnih podataka, poput primjerice vašeg imena, broja telefona, e-mail adrese, broja kreditne kartice ili bilo kojeg drugog podatka koje omogućuje vašu identifikaciju, podliježe strogim europskim i nacionalnim pravilima zaštite podataka. To posebno vrijedi u slučaju iznošenja osobnih podataka izvan granica EU, kao primjerice u SAD. Naime, nerijetko je slučaj da osobni podaci prikupljeni u EU od strane podružnica američkih tvrtki ili njihovih inozemnih partnera iznose i dalje obrađuju u SAD-u.
>>>Tim Berners-Lee: internet je ‘najveća nadzorna mreža svijeta’
S aspekta prava EU, kada se osobni podaci iznose u SAD traži se da istima i dalje bude zajamčena adekvatna razina zaštite s osnove nacionalnog prava ili međunarodno preuzetih obveza. Do nedavno, zaštita privatnosti temeljila se na tzv. odluci o adekvatnosti Europske komisije, poznatijoj po nazivu Sigurna luka (eng. Safe Harbor). Međutim, Europski Sud je početkom listopada 2015. Odluku o Sigurnoj luci proglasio nevažećom te je postalo neophodno usvojiti novi pravni okvir za transatlantski prijenos podataka.
Što je i kako radi EU-SAD Štit privatnosti?
Nakon intenzivnih pregovora vođenih između EU i SAD-a i postignutog političkog sporazuma iz veljače 2016.g., Europska Komisija je 12. srpnja 2016.g. usvojila europsko-američki sustav zaštite privatnosti odnosno Štit privatnosti (eng. Privacy Shield). Štit privatnosti, kao novi pravni okvir za transatlantsku razmjenu osobnih podataka u komercijalne svrhe, temelji se na dobrovoljnoj osnovi.
Ukoliko tvrtke iz SAD-a žele sudjelovati u sustavu zaštite privatnosti radi prijenosa osobnih podataka iz EU-a, od 1. kolovoza 2016.g. moraju obaviti samocertificiranje u pogledu pridržavanja skupa "Načela privatnosti" pri Ministarstvu trgovine SAD-a. Članstvo u Štitu privatnosti mora se obnavljati na godišnjoj razini. Ukoliko želite saznati da li tvrtka ima certifikat Štita privatnosti, potrebno je provjeriti službenu internet stranicu Ministarstva trgovine koja objavljuje obvezujući Popis organizacija u sustavu zaštite privatnosti.
Novi sustav zaštite privatnosti sastoji se od skupa "Načela privatnosti" kojih su se tvrtke dužne pridržavati te obveza preuzetih od strane vlade SAD-a. U odnosu na prijašnji okvir Sigurne luke, Štit privatnosti donosi niz značajnih poboljšanja i bolje standarde zaštite osobnih podataka.
Radi boljeg razumijevanja vaših prava prilikom korištenja vaših osobnih podatka, u nastavku iznosimo pregled najznačajnijih obveza tvrtki sukladno "Načelima privatnosti".
Značajno proširenje obveze obavješćivanja i mogućnosti izbora
Tvrtka koja je certificirana u okviru Štita privatnosti morat će Vas obavijestiti, između ostalog, o sljedećem:
- vrsti osobnih podatka koju obrađuje,
- svrhama za koje prikuplja vaše osobne podatke i za što ih upotrebljava,
- vašem pravu da pristupite svojim osobnim podacima,
- o vrsti i identitetu trećih strana kojima otkriva vaše osobe podatke i u koje svrhe to čini,
- neovisnom tijelu za rješavanje sporova, bilo u EU-u ili SAD-u, gdje možete iznijeti svoj slučaj,
- mogućnosti da u određenim okolnostima zatražite obvezujuću arbitražu,
- zahtjevu za otkrivanje osobnih podataka kao odgovor na zakonite zahtjeve javnih tijela,
- vašoj odgovornosti u slučajevima daljnjeg prijenosa osobnih podataka trećim stranama; itd.
Štit privatnosti zahtijeva da vam tvrtka ponudi mogućnost odabira "odustanka" (tzv. pravo na "opt-out") hoćete li dopustiti da se vaši osobni podaci otkrivaju trećoj osobi ili koriste u svrhu koja se "značajno razlikuje" od svrhe za koju su izvorno prikupljeni.
Tvrtka sa certifikatom Štita privatnosti mora vam pružiti poveznicu na svoju politiku privatnosti ukoliko ima službenu internet stranicu ili vam omogućiti drugačiji pristup ukoliko nema dostupu internet stranicu. Također mora navesti poveznicu na popis organizacija u sustavu Štita Privatnosti.
Cjelovitost podataka i ograničenje svrhe obrade podataka
Voditelji obrade iz EU ne mogu prenositi osobne podatke američkim tvrtkama u nezakonite svrhe, odnosno u neograničene svrhe. Naime, tvrtke sa certifikatom Štita privatnosti ograničene su na obradu osobnih podataka u onoj mjeri u kojoj je to relevantno za svrhu obrade te ne mogu obrađivati osobne podatke na način koji nije u skladu s početnom svrhom za koju su prikupljeni ili za koju ste vi naknadno dali odobrenje. Dodatno, Štit privatnosti izričito osigurava da tvrtka mora poštovati Načela privatnosti sve dok čuva vaše osobne podatke.
Stroži zahtjevi i odgovornost za daljnji prijenos osobnih podatka
Ukoliko tvrtka želi prenijeti vaše osobne podatke trećoj strani koja djeluje kao voditelj obrade (tj. tvrtki koja utvrđuje svrhu obrade i sredstva za obradu osobnih podataka), ona mora postupiti u skladu s načelima obavješćivanja i izbora te sklopiti pisani ugovor s trećom stranom koja djeluje kao voditelj obrade. Nadalje, treća strana je dužna osigurati da se podaci mogu obrađivati samo u ograničene i posebno navedene svrhe u skladu s vašim pristankom te da će primatelj osigurati jednaku razinu zaštite kao i Načela privatnosti.
>>Snowden: Ekstremni nadzor u UK ide dalje od mnogih autokracija
Nadalje, da bi mogla prenijeti osobne podatke trećoj strani koja djeluje kao posrednik (tj. izvršitelj obrade), tvrtka mora postupiti sukladno definiranim zahtjevima, između ostalog, prenositi takve podatke samo u ograničene i posebne svrhe, te provjeriti da posrednik osigurava najmanje istu razinu zaštite kao što je zajamčeno pod okriljem Štita privatnosti, itd.
Učinkovita zaštita prava građana EU: stroža pravna sredstva
Ako smatrate da su vaši podaci zloupotrijebljeni ili se ne obrađuju na ispravan način možete podnijeti pritužbu izravno samoj tvrtki sa certifikatom Štita privatnosti, koja vam mora odgovoriti u roku od 45 dana od primitka pritužbe. Također, imate mogućnost iskoristiti neki od neovisnih mehanizama za provjeru neriješenih pritužbi, kao što su alternativno rješavanje sporova (ARS) ili možete dostaviti pritužbu nadzoru nacionalnog tijela za zaštitu podataka koje će surađivati sa Saveznom trgovinskom komisijom kako bi se osiguralo da se vaše pritužbe istraže i riješe. Ako se predmet ne može riješiti drugim sredstvima, kao krajnja mjera postoji mehanizam arbitraže. Predviđeni set pravnih lijekova nudi različite mogućnosti kako bi se zadovoljile različite potrebe pojedinaca.
Neovisna pravna sredstva za rješavanje sporova mogu uključivati javno objavljivanje u slučaju nesukladnosti, naknadu za gubitke nastale pojedincu kao posljedica nesukladnosti, brisanje podataka, prestanak obrade osobnih podataka, itd.
Mehanizam zajedničkog godišnjeg preispitivanja i stroge obveze tvrtki sa certifikatom Štita privatnosti
Štit privatnosti je predmet godišnjeg preispitivanja od strane Europske Komisije i Ministarstva trgovine SAD-a, za razliku od prijašnjeg trogodišnjeg preispitivanja u okviru Sigurne luke. U slučaju nesukladnosti sa Štitom privatnosti, tvrtke se mogu suočiti sa sankcijama te uklanjanjem s Popisa organizacija u sustavu zaštite privatnosti.
Jasna ograničenja i mjere zaštite u vezi pristupa podacima od strane američke vlasti
SAD je isključio mogućnost neselektivnog masovnog nadziranja osobnih podataka koji se prenose u SAD. Ciljano prikupljanje osobnih podataka ima prioritet nad skupnim prikupljanjem.
Vlada SAD-a je po prvi put pružila pisane izjave i jamstva da će pristup američkih javnih tijela osobnim podacima za potrebe provedbe zakona, nacionalne sigurnosti i drugih javnih interesa biti predmet jasnih ograničenja, mjera zaštite i mehanizama nadzora.
Pravna zaštita građana EU-a u području nacionalne sigurnosti omogućena je kroz funkciju pravobranitelja u okviru Ministarstva vanjskih poslova, koji je neovisan o američkoj obavještajnoj zajednici. Pravobranitelj je odgovoran za istraživanje i odgovaranje na pritužbe građana EU vezano za pristup njihovim osobnim podacima.
>>>ENISA: Ukidanje enkripcije šteti ekonomiji, ugrožava privatnost i sigurnost nevinih
Očekuje se da će se novim sustavom zaštite privatnosti vratiti povjerenje potrošača u transatlantski prijenos osobnih podataka budući da Štit privatnosti predstavlja čvrst pravni okvir kojim se osigurava da se prijenos osobnih podataka odvija u najboljim i najsigurnijim uvjetima.
Autorice: Petra Šantić i Darija Lončarić