LESSON 7

Nakon što je u srpnju ove godine Europski sud pravde donio presudu poznatu pod nazivom ˝Schrems II˝ europsko nadzorno tijelo, EDPS, je na vlastitu inicijativu provelo istragu korištenja Microsoft proizvoda od strane europskih institucija.

Uzimajući u obzir opseg korištenja Microsoft alata i programa od strane europskih institucija kao i zahtjeve koji proizlaze iz ˝Schremsa II˝, nalazi istrage su bili zapanjujući.

EDPS je ustvrdio kako su, između ostalog, postojeći ugovori Microsofta i EU institucija omogućili Microsoftu mijenjanje parametara obrade podataka u ime europskih institucija. EU institucije nisu imale nikakvu kontrolu nad lokacijom velike količine podataka niti su kontrolirale prijenos tih podataka. Također, razina znanja o prirodi, rasponu i svrhama obrade te o rizicima koji iz obrade proizlaze za ispitanike je bila nedostatna.

EDPS je preporučio nekoliko mjera koje institucije moraju poduzeti kao bi se poslovanje s Microsoftom uskladilo s Regulativom i novonastalim stanjem.

Nova Strategija EDPSa za institucije i tijela Europske unije kojom se nastoji uskladiti djelovanje europskih institucija s presudom „Schrems II“ naslanja se upravo na preporuke proizašle iz istrage poslovanja s Microsoftom.

Strategijom je djelovanje nadzornog tijela podijeljeno u dvije faze. U prvoj fazi glavni cilj je utvrditi koje je hitne mjere za usklađivanje i prilagodbu prilikom prijenosa podataka u Sjedinjene Američke Države potrebno donijeti.

Djelujući u skladu sa strategijom nadzorno tijelo je već početkom listopada 2020. godine izdalo naredbu tijelima i institucijama Europske unije da krenu u reviziju svih važećih ugovora i obrada podataka koje se tiču prijenosa podataka u treće zemlje.

Institucije su obvezne identificirati sve prijenose podataka u treće zemlje te detaljno opisati način obrade podataka, alate koji se koriste prilikom prijenosa, kategorije podataka koje su podložne prijenosu i kategorije ispitanika čiji se podaci prenose.

Također, obveza institucija i tijela je izraditi izvješće u kojem se specificiraju rizici i praznine koji su identificirani prilikom prvog pregleda svih prijenosa podataka. Osobito se očekuje se od institucija EU da nadzornom tijelu pruže transparentne informacije u pogledu ilegalnih i visokorizičnih prijenosa u SAD.

U drugoj fazi provedbe Strategije EDPSa institucije će biti obvezne provesti analizu utjecaja prijenosa.

Cilj analize je utvrditi je li razina zaštite osobnih podataka zajamčena u trećim zemljama jednaka razini zaštite na području Europske unije odnosno unutar EEZa. Ovisno o ishodima analize utjecaja prijenosa institucije i tijela Europske unije će nadzornom tijelu pružiti informacije o prijenosima podataka u treće zemlje koje ne zadovoljavaju tražene standarde zaštite osobnih podatka, prijenosima koji su obustavljeni zbog neusklađenosti propisa trećih zemalja i dr.

Cilj ove strategije EDPSa je upravo na temelju ovih izvješća i analiza, koje su institucije Europske unije dužne provesti, izvesti zaključke i pouke koji će služiti kao podloga za izradu dugoročnih smjernica za buduće prijenose. Zanimljivo je spomenuti kako EDPS ne isključuje mogućnost izrade zajedničke i koordinirane procjene zaštite osobnih podataka u trećim zemljama.

Jeste li vi proveli koji od spomenutih koraka?