V zadnjem obdobju lahko opazimo pomembne odločitve evropskih nadzornih organov za varstvo podatkov, ki veliko upravljavcev postavlja v nemogoč položaj. Večina namreč (vsaj v ožjem obsegu) osebne podatke obdeluje pri obdelovalcih ali skupnih upravljavcih s sedežem v ZDA.

Dve odločbi, ki sta ju izdala nadzorna organa v Evropi in sta bili objavljeni v drugem tednu januarja 2022, sta ugotovili, da sta dve spletni strani, eno vodi izvajalec Evropskega parlamenta (EP), drugo avstrijsko podjetje, nezakonito osebne podatke prenesli v ZDA zgolj tako, da sta na naprave svojih obiskovalcev namestili piškotke (Google Analytics in Stripe), ki sta jih zagotovili dve ameriški družbi. Obe odločbi temeljita na proučevanju zaščitnih ukrepov za prenose, ki so jih uvedli upravljavci (pravne osebe, odgovorne za spletna mesta).

Obe odločbi potrjujeta, da potrebujejo vsi prenosi osebnih podatkov iz EU v ZDA »dodatne ukrepe«, poleg zaščitnih ukrepov iz člena 46 GDPR, če ni odločbe o ustreznosti, in v skladu s trenutnim pravnim okvirom ZDA za dostop vlade do osebnih podatkov za nacionalne varnostne namene, kot je ocenilo Sodišče EU v sodbi Schrems II iz leta 2020. Poleg tega avstrijski primer kaže, da morajo dodatni ukrepi, sprejeti za zaščito prenosov v ZDA, da bi bili učinkoviti, »odpraviti možnost nadzora in dostopa [do osebnih podatkov] s strani ameriških obveščevalnih agencij«.

Gre za zelo pomembni odločitvi, ki sta usklajeni v opravljenih analizah in argumentih ter napovedujeta podobne odločitve tudi drugih nadzornih organov. O odprtih vprašanjih in rešitvah na tem področju bomo govorili tudi na konferenci 8. dnevi prava zasebnosti in varovanja informacij 12. in 13. maja 2022 v Parku Postojnska jama.

Avtorica: Bojana Pleterski, direktorica Info hiše, d. o. o.