Ovim se (bar za sada) približavamo stavljanju tačke na probleme koji su se pojavili nakon što je Evropski sud pravde u julu 2020. proglasio nevažećim Privacy Shield, prethodni sporazum koji je predstavljao osnov za razmenu podataka između ova dva međunarodna entiteta.
Iako je trebalo više od dve godine da se novi regulatorni okvir donese, što je za ovako osetljivo pitanje i velike probleme koje je nedostatak sporazuma donosio izuzetno dug period, činjenica da je ovaj dokument sveobuhvatniji od njegovih prethodnika donekle opravdava vreme koje je bilo potrebno za njegovo usaglašavanje.
Takođe, za razliku od dokumenata Privacy Shield i Safe Harbor Privacy Principles, kao neuspelih pokušaja da se ovo pitanje reši u najboljem interesu obe strane, novi dokument ima sasvim generički naziv: EU–USA Data Privacy Framework, a ova uopštena fraza ima za cilj da ukaže na šire dejstvo samog akta, kao i na činjenicu da se njime objedinjuju sve svrhe u koje se podaci obrađuju, razmenjuju i pohranjuju.
Struktura dokumenta
Dakle, za razliku od prethodnih sporazuma između EU i SAD, koji su bili vezani samo za određenu oblast zaštite podataka o ličnosti − kao što se, recimo, Privacy Shield odnosio samo na komercijalne aspekte transatlanske obrade − novi Pravni okvir zaokružuje razmenu podataka u svim sferema, kako privatnim tako i javnopravnim. Sa akcentom na regulisanje bezbednosnoinformacionih aspekata kontrole podataka građana EU, obradu podataka stanovnika Unije uslovljava i poštovanje principa neophodnosti i proporcionalnosti, čija primena ima bogatu istoriju unutar EU, kako kroz regulativu, tako i kroz tumačenja Evropskog suda za ljudska prava i Evropskog suda pravde.
Odgovor Evropske unije
Na bazi ove izvršne naredbe, Evropska komisija priprema nacrt odgovora odnosno odluke povodom procedure usvajanja i od strane EU.
Nezvaničan stav Unije jeste da su od strane Sjedinjenih Država u tekst novog Pravnog okvira implementirana prava i obaveze dogovorene na zajedničkim sastancima iz marta ove godine, kao i da je napravljen veliki napredak u odnosu na Privacy Shield. Primarna karakteristika dogovorenih principa odnosi se na ograničenje pristupa podacima građana EU od strane američkih obaveštajnih službi, sa izuzetkom situacija kada je ta obrada neophodna u cilju zaštite nacionalne bezbednosti.
Procedura usvajanja dokumenta od strane EU podrazumeva najpre pribavljanje mišljenja Evropskog borda za zaštitu podataka o ličnosti (European Data Protection Board), da bi dokument uopšte mogao biti odobren od strane Evropske komisije. Konačnu reč, u svakom slučaju, ima Evropski parlament, koji takvu odluku ima pravo da preispituje.
Institucionalni sistem kontrole primene novog pravnog okvira po pritužbama građana
Novim Pravnim okvirom propisana je obaveza osnivanja posebnog sudskog tela (Data Protection Review Court), koje bi imalo zadatak da drugostepeno odlučuje po žalbama građana EU u vezi sa potencijalnim pristupom podacima od strane američkih bezbednosnih službi ili novog Pravnog okvira uopšte. Predmetni sud imao bi funkciju kontrole odluka Lica za zaštitu građanskih sloboda (Civil Liberties Protection Officer) kome bi prethodno bile direktno upućivane pritužbe i koji bi po pritužbama prvostepeno odlučivao. Lice za zaštitu građanskih sloboda preuzelo bi funkciju rešavanja slučajeva po pritužbama građana od prethodnog Privacy Shield Ombudsmana (Ombudsperson), čija je funkcija bila propisana istoimenim aktom.
Ukoliko bi u žalbenom postupku Sudsko telo za zaštitu podataka o ličnosti utvrdilo da su podaci o ličnosti prikupljeni odnosno obrađivani protivno novom Pravnom okviru, ima mogućnost da, između ostalog, naredi prekid obrade i brisanje podataka o ličnosti.
Očekivanja od novog pravnog okvira
Stručna javnost je za sada uzdržana i očigledno se čeka dublja analiza propisa i provera kako će sve funkcionisati u praksi. Austrijski državljanin Maksimilijan Šrems (Maximilian Schrems), po čijim tužbama su i prethodni sporazumi preispitivani, već se u prvim izjavama ogradio navodeći da novi akt tek treba da bude predmet analize, ali da mu se na prvi pogled čini da ključni problemi još uvek nisu rešeni i da će pitanje i ovih pravila, pre ili kasnije, dobiti epilog pred Evropskim sudom pravde.
U svakom slučaju, kompanije kojima se poslovni model zasniva na razmeni podataka o ličnosti između EU i SAD uglavnom imaju velika očekivanja od ovog dokumenta, najviše iz praktičnih razloga. Početak primene novog Pravnog okvira značio bi i prekid dosadašnje prakse koja se primenjuje od 2020. godine, a koja transfer podataka zasniva na komercijalnim ugovorima, odnosno standardnim ugovornim klazulama koje su najzastupljeniji mehanizam za prekookeansku obradu podataka.