Nový EU-U.S. Data Privacy Framework (DPF), teda Rámec ochrany osobných údajov konštatuje, že USA zabezpečujú ochranu osobných údajov porovnateľnú s ochranou osobných údajov v EÚ. Nový Rámec vstúpil do platnosti 11. júla.
“Osobné údaje môžu teraz voľne a bezpečne prúdiť z Európskeho hospodárskeho priestoru do Spojených štátov bez akýchkoľvek ďalších podmienok alebo povolení,” uviedol na pondelkovej tlačovej konferencii európsky komisár pre spravodlivosť Didier Reynders.
“Rozhodnutie o primeranosti zabezpečuje, že údaje sa môžu prenášať medzi Európskou úniou a USA na základe stabilného a dôveryhodného usporiadania, ktoré chráni jednotlivcov a poskytuje právnu istotu spoločnostiam.”
Ministerstvo spravodlivosti USA a Úrad riaditeľa národnej spravodajskej služby USA oznámili splnenie záväzkov podľa výkonného nariadenia prezidenta Joea Bidena. Za DPF hlasovalo 7. júla 24 členských štátov EÚ, ktoré predstavujú populáciu viac ako 424 miliónov, pričom tri nemenované členské štáty sa zdržali hlasovania.
O čom vlastne Rámec je
V tlačovej správe zverejnenej Európskou komisiou sa uvádza, že „rámec ochrany osobných údajov medzi EÚ a USA zavádza nové záväzné záruky na riešenie všetkých obáv vznesených Európskym súdnym dvorom vrátane obmedzenia prístupu spravodajských služieb USA k údajom EÚ na to, čo je nevyhnutné a primerané“ a zriadením súdu na preskúmanie ochrany údajov”.
Nový súd pre kontrolu ochrany údajov bude mať právomoc nariadiť vymazanie údajov, ak sa zistí, že boli zhromaždené v rozpore s novými zárukami. A Európania budú môcť bezplatne podávať sťažnosti miestnemu úradu na ochranu údajov bez toho, aby museli preukazovať, že k ich údajom mali prístup USA.
Predsedníčka Európskej komisie Ursula von der Leyenová uviedla, že nový Rámec „zaistí Európanom bezpečný tok údajov a prinesie právnu istotu spoločnostiam na oboch stranách Atlantiku“. Povedala, že USA “implementovali bezprecedentné záväzky na vytvorenie nového rámca.”
Americký univerzitný doktor práv vo Washingtone a mimoriadny profesor Alexander Joel, CIPP/G, CIPP/US, uviedol, že USA podnikli „bezprecedentné kroky“ na riešenie problémov, ktoré nastolil SDEÚ.
Európsky výbor pre ochranu údajov vypracuje v najbližších týždňoch „informačnú poznámku pre zainteresované strany o dôsledkoch DPF“, uviedla predsedníčka Anu Talusová.
EDPB “sa teší na účasť Európskej komisie na jej ďalšom plenárnom zasadnutí, kde objasní konečné znenie rozhodnutia o primeranosti a zmeny vyplývajúce zo stanoviska EDPB,” uviedla.
A Max Schrems uviedol, že túto novú dohodu napadne. Presnejšie, ním vedená organizácia NOYB uviedla, že sa proti Rámcu odvolá, pričom poznamenala, že „tretí pokus Európskej komisie dosiahnuť stabilnú dohodu o prenose údajov medzi EÚ a USA sa pravdepodobne vráti na Súdny dvor (Európskej únie) v priebehu niekoľkých mesiacov. Organizácia uviedla, že USA neriešili „zásadné“ otázky dohľadu.
Čo robiť
- Skontrolujte si dokumentáciu
- Uvádzate v nej, že do tretích krajín prenášate osobné údaje na základe Safe Habour? Alebo Privacy Shield? Zle! Tieto dohody sú dávno neplatné.
- Uvádzate v nej, že do tretích krajín prenášate osobné údaje na základe SSC a prijali ste dodatočné opatrenia a vypracovali analýzu vplyvu prenosu osobných údajov do tretích krajín? Už sa to má vzťahovať len na krajiny iné ako USA.
Prepíšme to spolu!
Môžme si vydýchnuť pri používaní všetkých nástrojov hostovaných v USA. Vitajte, Google, Meta, Mailchimp a všemožné pluginy na WordPresse. Už sme GDPR compliant. Sme v súlade s GDPR.
Len pripomeniem, že to, že tieto platformy už sú v súlade s GDPR neznamená, že sú skutočne aj 100% bezpečné. Takže technické opatrenia ostávajú ako povinné a v príslušných prípadoch sa nezbavíme ani zodpovednosti za vykonanie analýzy vplyvu spracovateľských činností. Sprostredkovateľské zmluvy sú stále povinné zo zákona. A v prípade úniku osobných údajov platí zodpovednosť za únik a škody, aj za tie spôsobené sprostredkovateľom. Tak vyberajme múdro.
Tak ako bola rozhodnutím Schrems zrušná pôvodná dohoda Safe Habor a jej nástupkyňa US-EU Privacy Shield (Schrems II.), aj Data Privacy Framework bude napadnutý Maxom Schremsom a jeho nyob tímom. Dá sa predpokladať, že uspeje. Neudeje sa to extra rýchlo, takže nejaký čas môžeme používať všetky US based nástroje legálne.
Ja osobne budem aktualizovať dokumentáciu v organizáciách, kde pôsobím ako zodpovedná osoba a u mojich klientov. Ale verziu, podľa ktorej žiadne dohody s USA neplatia, si dobre odložím.
Zdroj: https://iapp.org/news/a/european-commission-adopts-eu-u-s-adequacy-decision/