Evropska komisija i Evropski odbor za zaštitu podataka („EDPB“) nedavno su objavili izveštaje o prvoj godini primene novog EU–SAD Okvira za zaštitu podataka – Data Privacy Framework („DPF“). Izveštaji pružaju analizu implementacije mehanizama zaštite podataka o ličnosti prilikom prenosa podataka između EU i SAD, kao i daljih izazova.

Dok Evropska komisija ističe značajan napredak u primeni, EDPB ukazuje na pitanja koja zahtevaju dalju pažnju. Ovi izveštaji predstavljaju važan korak u proceni održivosti i budućnosti DPF-a.

Šta je DPF i koje novine je doneo?

Novi pravni okvir za prenos podataka o ličnosti između EU i SAD, uspostavljen Odlukom Evropske komisije br. C (2023) 4745 od 10. jula 2023. godine („Odluka“), omogućava prenos podataka bez dodatnih zaštitnih mera uz ocenu da SAD pružaju primeren nivo zaštite. Ova Odluka predstavlja treći pokušaj uspostavljanja mehanizma prenosa podataka između EU i SAD, nakon što su prethodni – Privacy Shield i Safe Harbour – poništeni presudama Schrems I i Schrems II Evropskog suda pravde zbog nedostatka adekvatnih zaštitnih mera.

Među ključnim novinama koje donosi novi DPF jesu ograničavanje pristupa američkih obaveštajnih službi podacima EU na ono što je neophodno i proporcionalno, kao i uspostavljanje Suda za reviziju zaštite podataka – Data Protection Review Court, kome građani EU mogu podneti pritužbu. Američke kompanije koje pristupe okviru putem sertifikacije obavezuju se da poštuju stroge uslove, uključujući brisanje podataka kada više nisu potrebni i osiguranje kontinuiteta zaštite pri deljenju podataka s trećim licima.

Više o mehanizmima novog pravnog okvira prenosa podataka o ličnosti između EU i SAD ovom mehanizmu, pisali smo u jednom od naših prethodnih članaka, koji je dostupan ovde.

Izveštaj Evropske komisije: Prvo ocenjivanje efikasnosti DPF-a

Evropska komisija je nedavno dostavila izveštaj o primeni DPF-a Evropskom parlamentu i Savetu Evrope, u kojem je zaključila da su američke vlasti uspostavile potrebne strukture i procedure kako bi DPF funkcionisao efikasno, što predstavlja važan korak u jačanju transatlantske saradnje u oblasti zaštite podataka.

U svom izveštaju, Evropska komisija je analizirala da li su svi ključni elementi DPF-a uspostavljeni i kako se primenjuju mehanizmi zaštite podataka od strane sertifikovanih kompanija. Zaključak sprovedene analize je da su američka regulatorna tela uspostavila sertifikacioni proces, a do sada je više od 2.800 američkih kompanija sertifikovano prema DPF-u, što je povećanje u odnosu na prethodni sporazum, Privacy Shield. Tokom prve godine primene, odbijeno je svega 33 zahteva za sertifikaciju, a uspostavljen je i mehanizam za podsećanje organizacija na obavezu ponovne sertifikacije.

Izveštaj ističe pravne i regulatorne promene u SAD-u koje uključuju administrativne korake unutar obaveštajnih agencija i Ministarstva pravde, omogućavajući efikasniju implementaciju DPF-a. Međutim, zabrinutost izaziva praksa američkih obaveštajnih agencija da kupuju podatke o ličnosti od komercijalnih brokera, što bi moglo zaobići obaveze propisane DPF-om.

Izveštaj se osvrće na napredak u uspostavljanju Suda za reviziju zaštite podataka, koji je još uvek u ranoj fazi rada. Iako je sud postavljen kako bi građani EU mogli da podnose žalbe na postupanje američkih obaveštajnih agencija u vezi sa zaštitom njihovih ličnih podataka, broj podnetih pritužbi je trenutno mali. Ovo može ukazivati na to da građani nisu dovoljno informisani o postojanju ovog suda ili o načinu podnošenja pritužbi, zbog čega je važno da se nastavi sa edukacijom građana i širenjem informacija o ovom mehanizmu.

Evropska komisija je u svom izveštaju zaključila da je, uprkos izazovima, prva godina primene DPF-a donela značajan napredak u transatlantskoj zaštiti podataka, ističući da dalja saradnja između EU i SAD-a ostaje ključna za stabilnost i razvoj ovog mehanizma zaštite podataka.

Izveštaj Evropskog odbora za zaštitu podataka: Izazovi u primeni i preporuke za razvoj

Nedugo nakon podnošenja izveštaja Evropske komisije, Evropski odbor za zaštitu podataka usvojio je izveštaj o prvoj reviziji DPF-a, uz osvrt na njegove ključne aspekte. U izveštaju su prepoznati napori američkih vlasti i Evropske komisije u primeni ovog okvira, ali i određeni izazovi u njegovoj implementaciji.

Što se tiče komercijalnih aspekata, EDPB je pohvalio korake američkog Ministarstva trgovine, koje je razvilo sertifikacioni proces, uključujući ažuriranje procedura, edukaciju kompanija i podizanje svesti o DPF-u.

Kada je reč o pristupu podacima o ličnosti od strane američkih vlasti, EDPB je analizirao sprovođenje zaštitnih mera poput principa neophodnosti i proporcionalnosti, kao i mehanizama za zaštitu prava građana. Odbor je pozvao Evropsku komisiju da nastavi sa praćenjem ovih aspekata i da obrati posebnu pažnju na razvoj zakonodavnog okvira u SAD-u, naročito u svetlu izmena Zakona o nadzoru stranih obaveštajnih službi.

EDPB je takođe razmatrao preporuke u vezi sa pristupom podacima koji se čuvaju u cilju sprovođenja zakona. Upozorio je na mogućnost ugrožavanja osnovnih prava građana, naročito prava na privatnost, usled preširokih zahteva za čuvanjem podataka koje bi mogli postaviti organi vlasti. Odbor je naglasio da ovakve mere moraju biti u skladu sa principima neophodnosti i proporcionalnosti, kako je to utvrđeno Poveljom o osnovnim pravima EU i praksom Evropskog suda pravde.

Uz to, EDPB je ukazao na značaj očuvanja sigurnosti enkripcije i odbacio predloge koji bi mogli oslabiti njenu efektivnost, poput omogućavanja udaljenog pristupa podacima pre njihove enkripcije. EDPB je zaključio da je održavanje poverenja u tehnologije, uz poštovanje privatnosti i slobode izražavanja, ključno za dalji razvoj digitalne ekonomije.

Izveštaj EDPB-a naglašava potrebu za kontinuiranim praćenjem primene DPF-a i preporučuje da sledeća revizija primene DPF-a bude sprovedena u roku od tri godine. Ovi zaključci ukazuju na važnost balansiranja između zaštite privatnosti i efektivnog sprovođenja zakona u transatlantskoj saradnji.

Budućnost DPF-a: Sledeći koraci u jačanju saradnje i zaštite privatnosti

Iako je prva godina primene EU-SAD Okvira za zaštitu podataka (DPF) donela značajan napredak u pogledu usklađivanja američkih regulatornih tela sa evropskim standardima zaštite podataka, budućnost ovog pravnog okvira je i dalje neizvesna. Dalji razvoj primene i saradnja EU-SAD zavisi od političkih promena, naročito u svetlu nedavno održanih predsedničkih izbora koji su doneli promenu administracije u SAD-u.

Ključ uspeha daljeg razvoja i adekvatne primene DPF-a leži u stalnom praćenju implementacije zaštitnih mera i osiguravanju da američke vlasti održavaju visoke standarde zaštite podataka. Evropska unija mora nastaviti da vrši pritisak na SAD kako bi se u potpunosti obezbedila prava građana, čime bi se omogućio dugoročni uspeh ovog okvira.

U tom kontekstu, dalje unapređenje sistema zaštite podataka i jačanje DPF-a kroz nove regulatorne inicijative i usklađivanje sa tehnološkim napretkom biće od ključne važnosti.

Ove promene treba da obezbede ravnotežu između slobode prenosa podataka i zaštite privatnosti, omogućujući siguran okvir za buduće transatlantske veze.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.