VODIČ ZA GRAĐANE EU – SAD ŠTIT PRIVATNOSTI · klauzule, obvezujuća korporativna pravila i Štit privatnosti. Ukoliko se koristi Štit privatnosti, tvrtke Ukoliko se koristi

Justice and Consumers

VODIČ ZA GRAĐANE EU – SAD ŠTIT PRIVATNOSTI

Europe Direct is a service to help you find answers to your questions about the European Union.

Freephone number (*):00 800 6 7 8 9 10 11

(*) Certain mobile telephone operators do not allow access to 00 800 numbers or these calls may be billed.

GUIDE TO THE EU-U.S. PRIVACY SHIELDEuropean CommissionDirectorate-General for Justice and Consumers

2016 — pp. 24 — 21 × 21 cm

© European Union, 2016 Reproduction is authorised provided the source is acknowledged.

Printed in Belgium

Print ISBN 978-92-79-60823-0 doi:10.2838/12912 DS-04-16-641-EN-C

PDF ISBN 978-92-79-60824-7 doi:10.2838/199012 DS-04-16-641-EN-N

7

9

16

Sadržaj

Uvod

Obveze tvrtki sa certifikatom Štita privatnosti i vaša prava odnosna na korištenje vaših osobnih podataka

Kako mogu podnijeti pritužbu protiv tvrtke s certifikatom Štita privatnosti?

Institut pravobranitelja: kako podnijeti pritužbu protiv javnog tijela SAD-a 21

7

Uvod

Što je EU-SAD Štit privatnosti i zašto ga trebamo?

Europska unija (EU) i Sjedinjene Američke Države (SAD) imaju jake trgovačke veze. Iznošenje osobnih podataka važan su i nužan dio transatlantskih odnosa, posebice u današnjoj globalnoj digitalnoj ekonomiji. Brojna iznošenja uključuju prikupljanje i korištenje osobnih podataka, primjerice vašeg imena, broja telefona, datuma rođenja, kućne adrese, e-mail adresu, broj kreditne kartice, OIB, korisničko ime, spol i bračni status, ili bilo koje druge vrste informacija koje omogućuju identifikaciju. Na primjer, vaši osobni podaci se mogu prikupljati u EU od strane podružnice ili poslovnog partnera neke američke tvrtke koja prima podatke i obrađuje ih u SAD-u.

Europska unija (EU) i Sjedinjene Američke Države (SAD) imaju jake trgovačke veze. Iznošenje osobnih podataka važan su i nužan dio transatlantskih odnosa, posebice u današnjoj globalnoj digitalnoj ekonomiji. Brojna iznošenja uključuju prikupljanje i korištenje osobnih podataka, primjerice vašeg imena, broja telefona, datuma rođenja, kućne adrese, e-mail adresu, broj kreditne kartice, OIB, korisničko ime, spol i bračni status, ili bilo koje druge vrste informacija koje omogućuju identifikaciju. Na primjer, vaši osobni podaci se mogu prikupljati u EU od strane podružnice ili poslovnog partnera neke američke tvrtke koja prima podatke i obrađuje ih u SAD-u.

To je slučaj, na primjer, kada kupujete robu ili uslugu on-line, kada koristite društvene mreže ili usluge pohrane podataka u oblaku, ili ako ste zaposlenik tvrtke u EU koja je podružnica tvrtke u SAD-u (npr. tvrtka majka) koja obrađuje osobne podatke. Zakon EU nalaže da kada se vaši osobni podaci iznose u SAD da isti i dalje uživaju visoku razinu zaštite. Za to se brine novi protokol za siguran prijenos podataka nazvan „EU-SAD Štit privatnosti“. Štit Privatnosti omogućuje da se vaši osobni podaci iznose iz EU u SAD, pod uvjetom da ta tvrtka obrađuje (npr. koristi, pohranjuje i dalje iznosi) vaše osobne podatke u skladu sa jakim setom pravila i zaštitnih mjera za zaštitu osobnih podataka. Zaštita koja se pruža vašim podacima se primjenjuje bez obzira jeste li građanin EU ili niste.

Uvod

Uvod

8

Obveze tvrtki s certifikatom Štita privatnosti i vaša prava odnosna na korištenje vaših osobnih podataka

Kako radi Štit privatnosti?

Za iznošenje osobnih podataka iz EU u SAD dostupno je više različitih alata kao što su ugovorne klauzule, obvezujuća korporativna pravila i Štit privatnosti. Ukoliko se koristi Štit privatnosti, tvrtke iz SAD-a se moraju prijaviti Američkom Ministarstvu trgovine. Obaveze prijavljivanja tvrtki u okviru Štita privatnosti sadržane su u „Načelima privatnosti“. Ovaj odjel je odgovoran za upravljanje i administriranje privatnosti štit i osigurati da tvrtke živjeti do svoje obveze. Ovo Ministarstvo je odgovorno za upravljanje i administriranje Štita privatnosti i osiguravanje da tvrtke poštuju svoje obaveze. Kako bi se mogle certificirati, tvrtke moraju imati politiku privatnosti u skladu s Načelima privatnosti. Moraju obnoviti svoje „članstvo“ u Štitu privatnosti na godišnjoj bazi. Ukoliko te ne učine, ne mogu više primati i koristiti osobne podatke iz EU pod navedenim pravnim okvirom.

Ukoliko želite znati da li tvrtka ima certifikat Štita privatnosti, možete provjeriti Listu Štita privatnosti na službenoj web stranici Ministarstva trgovine (https://www.privacyshield.gov/welcome ). Ovaj popis će vam pružiti podatke o svim tvrtkama koje su korisnice Štita privatnosti, vrsti osobnih podataka koje obrađuju, te o vrsti usluga koje nude. Također možete pronaći listu tvrtki koje više nisu dio Štita privatnosti. To znači da više ne smiju primati vaše osobne podatke u sklopu Štita privatnosti. Također, ove tvrtke smiju zadržati vaše osobne podatke ako se obvežu Ministarstvu trgovine da će i dalje primjenjivati Načela privatnosti.

Uvod

9



Štit privatnosti vam osigurava određena prava i tvrtke su dužne štiti vaše osobne podatke sukladno „Načelima privatnosti“.

1. Vaše pravo da budete informirani

Tvrtka sa certifikatom Štita privatnosti mora vas obavijestiti o:

• vrsti osobnih podataka koju obrađuje;• razlogu zašto obrađuje vaše osobne podatke;• ukoliko namjerava iznositi vaše osobne podatke drugoj tvrtki i razlozima;• vašem pravu da upitate tvrtku za pristup vašim osobnim podacima;• vaše pravo da odlučite hoćete li dopustiti tvrtki da koristiti vaše osobne podatke na "znatno drugačiji" način, ili ih otkriti drugoj tvrtki (također poznat kao pravo na "opt-out"). Kada su podaci osjetljivi, (to su npr. vaše etničko podrijetlo ili podaci o vašem zdravlju) tvrtka sa certifikatom Štita privatnosti mora vas obavijestiti o činjenici da može koristiti ili otkriti takve podatke samo ako ima vašu privolu (također poznat kao i pravo na "opt-in")• kako da kontaktirate tvrtku ako imate prigovor o korištenju vaših osobnih podataka;• neovisnom tijelu za rješavanje sporova, bilo u EU-u ili SAD-u, gdje možete iznijeti svoj slučaj;• vladinoj agenciji u SAD-u koja je odgovorna za istraživanje i provođenje obveza tvrtki u sklopu pravnog okvira;• mogućnost da će možda morati odgovoriti na zakonite zahtjeve američkih tijela javne vlasti da objavi podatke o vama

Tvrtka sa certifikatom Štita privatnosti mora vam pružiti poveznicu na svoju politiku privatnosti ukoliko ima službenu web stranicu ili vam omogućiti drugačiji pristup ukoliko nema javno dostupnu web stranicu. Također vam mora pružiti poveznicu na listu tvrtki sa certifikatom Štita privatnosti na službenoj web stranici Ministarstva trgovine tako da jednostavno možete provjeriti status pojedine tvrtke.

10


2. Ograničenja za upotrebu vaših podataka u različite svrhe

U načelu, tvrtka sa certifikatom Štita privatnosti može koristiti vaše osobne podatke samo u svrhu za koju su prvobitno podaci prikupljani ili onu koju ste vi naknadno odobrili. Ukoliko želi koristiti vaše podatke u drugu svrhu, to ovisi o tome koliko početna svrha odstupa od nove svrhe:

• koristiti podatke za svrhu koja je nespojiva s početnom svrhom nikad nije dozvoljeno;

• ako je nova svrha drugačija ali povezan sa početnom svrhom , tvrtka sa certifikatom Štitaprivatnosti može koristiti vaše podatke samo ako se vi tome ne usprotivite, ili u slučaju obradeosjetljivih podataka, ako ste suglasni;

• ukoliko je nova svrha različita od početne ali je i dalje slična u mjeri da se ne bi smatralaznatno drugačijom, takva upotreba je dozvoljena.

Na primjer, ukoliko je vaš poslodavac proslijedio/iznio vaše osobne podatke u SAD na daljnju obradu, tada tvrtki iz SAD-a može biti dopušteno koristiti ove podatke kako bi vam ponudili policu osiguranja ili mirovinsko osiguranje, sve dok se vi ne usprotivite takvoj upotrebi. S druge strane, ta tvrtka ne smije prosljeđivati vaše podatke trećoj strani kako bi vam se nudila roba i usluge koje nemaju nikakve veze sa vašim zaposlenjem.

Također imate pravo birati želite li dopustiti tvrtki sa certifikatom Štita privatnosti da prosljeđuje vaše osobne podatke drugoj tvrtki, bilo da se nalazi u SAD-u ili u drugoj ne-EU zemlji. U slučaju kada nemate takav izbor a kada će vaši podaci biti proslijeđeni drugoj tvrtki (također poznat kao „agent“) na obradu u ime i prema uputama tvrtke sa certifikatom Štita privatnosti, tvrtka sa certifikatom Štita privatnosti treba potpisati ugovor sa agentom kako bi se pružila jednaka garancija sigurnosti podataka sadržana u okviru Štita privatnosti. I tvrtka sa certifikatom Štita privatnosti može se smatrati odgovornom za aktivnosti agenta ukoliko on ne poštuje pravila.

11


3. Minimizacija podataka i obveza čuvanja vaših podataka koliko je to potrebno

Tvrtka sa certifikatom Štita privatnosti može zaprimati i obrađivati osobne podatke u mjeri u kojoj je to potrebno kako bi se ispunila svrha obrade, i mora osigurati da su podaci koji se koriste točni, pouzdani, potpuni i ažurirani. Dozvoljeno je zadržavati vaše osobne podatke sve dok je to potrebno za ispunjenje svrhe obrade. Može zadržati vaše osobne podatke na dulje razdoblje jedino ako im je potrebno za posebne svrhe, kao što je arhiviranje u javnom interesu, novinarstvo, književnost i umjetnost, znanstvena ili povijesna istraživanja, ili za statističku analizu. Ako se vaši osobni podaci i dalje obrađuju u navedene svrhe, tvrtka takve obrade mora se uskladiti s Načelima privatnosti.

4. Obveza za osiguravanje svojih podataka

Tvrtka mora osigurati da se vaši osobni podaci čuvaju u sigurnom okruženju i da su osigurana od gubitka, zlouporabe, neovlaštenog pristupa, otkrivanja, izmjene ili uništenja, uzimajući u obzir prirodu podataka i rizike koji su uključeni u obradu.

5. Obveza za zaštitu vaših podataka ako su prebačeni u drugu tvrtku

Kao što je gore navedeno (točka 2.), pod određenim uvjetima, vodeći računa o svrsi za koju je dobila vaše osobne podatke, tvrtka sa certifikatom Štita privatnosti može ih prenijeti na drugu tvrtku. To se može dogoditi, na primjer kada tvrtka dijeli vaše podatke (s tvrtkom koja sama odlučuje o tome kako koristiti podatke, tzv. "voditelj zbirke") bez vašeg prigovora na to ili kada ste zaključili sporazum s pod izvršiteljem tzv.“agentom“. Bez obzira na njegov položaj, unutar ili izvan SAD, tvrtka koja prima podatke mora osigurati istu razinu zaštite osobnih podataka kao što je zajamčeno pod okriljem Štita privatnosti. To zahtijeva ugovor između tvrtke sa certifikatom Štita privatnosti i treće strane s definiranjem uvjeta pod kojima treća strana može koristiti Vaše osobne podatke i odgovarati za zaštitu podataka. Ovaj Ugovor mora obvezati treću stranu da obavijesti tvrtku sa certifikatom Štita privatnosti o situacijama kada ne može nastaviti ispunjavati svoje obveze, u kojem slučaju mora prestati koristiti podatke. Stroži propisi primjenjuju se u situaciji u kojem treća strana djeluje kao agent u ime tvrtke sa certifikatom Štita privatnosti. U ovom slučaju, tvrtka sa certifikatom Štita privatnosti može se smatrati odgovornim za postupke agenta koji ne slijedi svoje obveze kako bi zaštitili vaše osobne podatke.

12


6. Vaše pravo na pristup i ispravku vaših podataka

Imate pravo tražiti tvrtku sa certifikatom Štita privatnosti da vam da pristup vašim osobnim podacima. To znači da imate pravo da se vaši podaci dostavljaju vama, ali i dobiti informacije o svrsi za koju se podaci obrađuju, o kojim se kategorijama osobnih podataka radi i identitet primatelja kojima se podaci otkrivaju. Nakon toga možete zatražiti tvrtku da ispravi, promijeni ili izbriše podatke ako nisu točni, zastarjeli ili su obrađeni u suprotnosti sa pravilima Štita privatnosti. Tvrtka također mora potvrditi da li ili ne drži ili obrađuje vaše osobne podatke. Vi uglavnom niste dužni davati nikakve razloge zašto želite pristupiti vašim podacima, međutim, tvrtka može zatražiti da to učinite ako je vaš zahtjev preopćenit ili nejasan. Tvrtka mora odgovoriti na vaš zahtjev u razumnom vremenskom roku. Tvrtka može ponekad biti u mogućnosti ograničiti vam pravo pristupa, ali samo u određenim situacijama kao kad bi osiguravanje pristupa ugrozilo povjerljivost, kršenje profesionalnih prava ili prouzročilo sukob sa zakonskim obvezama. Pravo na pristup može biti osobito korisno ako se vaši osobni podaci koriste za donošenje odluke koja bi mogla značajno utjecati na vas. U tim situacijama u kojima to obično postaje relevantno (npr. pozitivna ili negativna odluka o poslu, kredit i sl), američki zakon predviđa dodatna prava koja vam omogućavaju da bolje razumijete u kojoj mjeri su vaši podaci uzeti u obzir.

13


7. Vaše pravo na podnošenje prigovora i dobivanje pravnog savjeta

Ako tvrtka ne poštuje pravila navedena u Štitu privatnosti i krši svoje obveze prema zaštiti vaših osobnih podataka, imate se pravo žaliti i dobiti pravni savjet, bez ikakvih troškova. Tvrtke sa certifikatom Štita privatnosti su dužne osigurati drugi neovisni mehanizam za provjeru neriješenih pritužbi. Na primjer, oni mogu birati alternativno rješavanje sporova (ADR) ili dostaviti nadzoru nacionalnog tijela za zaštitu podataka (DPA). Prema tome, kao pojedinac imate nekoliko mogućnosti podnijeti tužbu:

1. Prema tvrtki sa certifikatom Štita privatnosti u SAD-u;

2. Nezavisni mehanizam provjere, kao što ADR ili DPA;

3. Ministarstvo trgovine SAD-a, samo kroz DPA;

4. Savezna trgovinska komisija SAD-a (ili SAD Ured za transporte, ako se prigovor odnosi nazračnog prijevoznika ili prodavatelja karata);

5. Komisija Štita privatnosti (ako neke druge mogućnosti nisu dale rezultat).

Nacionalno tijelo za zaštitu podataka

Tijelo za zaštitu podataka uspostavljeno u svakoj državi članici EU-a odgovorno je za zaštitu i provođenje zakona o zaštiti podataka na nacionalnoj razini.

14

Tijelo za alternativno rješavanje sporova

Tijelo za alternativno rješavanje sporova je privatno tijelo koje se bavi žalbama protiv tvrtki. Kada se opredjeljuje za ADR, tvrtka sa certifikatom Štita privatnosti mora izabrati hoće li podnijeti prigovor ADR u EU ili SAD-u. Postupak kojim ADR obrađuje svoje pritužbe ovisi o specifičnom tijelu koje je odabrano.

Nacionalno tijelo za zaštitu podataka

Tijelo za zaštitu podataka uspostavljeno u svakoj državi članici EU-a odgovorno je za zaštitu i provođenje zakona o zaštiti podataka na nacionalnoj razini.

• Ministarstvo trgovine SAD-a i Savezna trgovinska komisija SAD-a

S američke strane, i Ministarstvo trgovine i Savezna trgovinska komisija SAD rješavaju pritužbe. Iako se uvijek možete izravno obratiti ovim američkim tijelima, jednostavniji način je da se obratite svom nacionalnom tijelu za zaštitu osobnih podataka koje će usmjeriti vaš prigovor preko Atlantika.

• Komisija Štita privatnosti

Komisija Štita privatnosti je "arbitražni mehanizam" koji se sastoji od tri neutralna arbitara, što znači da rješava sporove bez odlaska na sud. Njezine odluke su, međutim, obvezujuće i provedive u američkim sudovima. Samo vi možete pokrenuti arbitražu kroz Komisiju Štita privatnosti pod određenim uvjetima (posebno prije iscrpljivanja određenih drugih mogućnosti ispravka). Tvrtka sa certifikatom Štita privatnosti nema isto pravo, jer je arbitraža isključivo namijenjena vašoj zaštiti.


15

8. Ispravak u slučaju pristupa od strane tijela javne vlasti SAD-a

Konačno, zaštita vaših osobnih podataka također može biti pod utjecajem američkih tijela javne vlasti kada pristupaju vašim podacima. Štit privatnosti osigurava da će do toga doći samo u mjeri u kojoj je potrebno za provođenje cilja javnog interesa, kao što su nacionalna sigurnost ili provođenje zakona. Dok vam postojeći zakon SAD pruža zaštitu i pravni savjet u području provedbe zakona, Štit privatnosti po prvi put stvara poseban instrument za rješavanje pitanja pristupa zbog nacionalne sigurnosti, tzv. mehanizam pravobranitelja (vidi dio C).


16



Štit privatnosti Vam na više načina pruža mogućnost podnošenja pritužbe protiv tvrtke, na primjer ako vi smatrate da ista ne obrađuje vaše osobne podatke na ispravan način ili ako ne postupa sukladno propisima. Imate slobodu izbora onog mehanizma prijave pritužbe za koji smatrate da je najprikladniji i najprilagođeniji vašoj pritužbi.

Pritužbu možete podnijeti na sljedeće načine:

1.Tvrtka iz SAD-a s certifikatom Štita privatnosti. Tvrtka Vam uvijek mora pružati kontakt podatke osobe kojoj se možete izravno obratiti u vezi bilo kojeg pitanja ili pritužbe. Navedena tvrtka mora Vam odgovoriti u roku od 45 dana od dana primitka pritužbe. U odgovoru treba biti navedeno smatra li se Vaša pritužba opravdana, a u tom slučaju treba se navesti i rješenje koje će tvrtka implementirati. Tvrtka je dužna razmotriti svaku pritužbu osim one koje su očito neutemeljene.

2.Neovisno tijelo za alternativno rješavanje sporova (ARS). Primijenit će se u slučaju da tvrtka s certifikatom Štita privatnosti odabere ARS kao neovisni mehanizam. Tada će na internetskoj stranici tvrtke morati biti objavljena informacija i poveznica na internetsku stranicu neovisnog tijela ARS, koja mora sadržavati informacije o svojim uslugama uključujući i postupak rješavanja sporova. Ova neovisna tijela moraju imati ovlast učinkovitog rješavanja nepravilnosti i izricanja sankcija, u svrhu osiguranja da tvrtka s certifikatom Štita privatnosti ispunjava svoje obveze zaštite Vaših osobnih podataka. Vi ćete biti u mogućnosti koristiti ovaj mehanizam bez bilo kakvih plaćanja.

17

3. Nacionalno tijelo za zaštitu podataka. Tvrtka s certifikatom Štita privatnosti može u načelu slobodno odabrati neko tijelo za zaštitu podataka iz Europske unije kako bi isto postupalo kao neovisno tijelo rješavanje sporova. Međutim, kada tvrtka obrađuje osobne podatke iz područja upravljanja ljudskim resursima (kadrovski osobni podaci), obvezna je nadležnost tih nacionalnih tijela za zaštitu podataka. To znači da se zaposlenik uvijek može obratiti svojem nacionalnom tijelu za zaštitu podataka povodom bilo kakve pritužbe vezane za prijenos osobnih podataka iz područja radnih odnosa tvrtci s certifikatom Štita privatnosti. Nadalje, čak i ako nacionalno tijelo za zaštitu podataka nema nadzornih ovlasti nad konkretnom tvrtkom s certifikatom Štita privatnosti, uvijek je moguće obratiti se tom nacionalnom tijelu koji može proslijediti Vaš zahtjev nadležnim vlastima u SAD-u (vidjeti dolje).

Nacionalno tijelo za zaštitu podataka predat će tvrtci svoje mišljenje što je prije moguće, a najkasnije u roku od 60 dana od dana primitka pritužbe. Vi ćete biti upoznati s tim mišljenjem, koje će biti javno u granicama dopuštenoga. Tvrtka će imati tada 25 dana da uskladi svoje djelovanje s mišljenjem, a ako to ne učini nacionalno nadzorno tijelo može proslijediti predmet Saveznom trgovinskom odboru u SAD-u radi eventualnog prisilnog postupanja. Tijelo za zaštitu podataka može također obavijestiti Ministarstvo trgovine SAD-a o odbijanju tvrtke da postupi prema mišljenju nacionalnog nadzornog tijela što može dovesti do brisanja tvrtke iz Popisa Štita privatnosti ako se nastavi takvo neusklađeno poslovanje. Nadalje, ako iz pritužbe proizlazi da je prijenos osobnih podataka tvrtci s certifikatom Štita privatnosti protivan europskim propisima o zaštiti podataka, tijelo za zaštitu podataka može djelovati protiv europske tvrtke koja iznosi osobne podatke i, bude li potrebno, narediti prekid iznošenja. To uključuje slučajeve kada tvrtka iz Europske unije ima razloga vjerovati da trvtka s certifikatom Štita privatnosti ne poštuje načela Štita privatnosti.

Kako mogu podnijeti pritužbu protiv tvrtke s certifikatom Štita privatnosti ?

18

4. Ministarstvo trgovine. Čak i ako nacionalno tijelo za zaštitu podataka nema nadzorne ovlasti uodnosu na tvrtku s certifikatom Štita privatnosti protiv koje podnesete pritužbu, to nacionalno tijelomože ipak pritužbu proslijediti Ministarstvu trgovine SAD-a. To će se učiniti putem novo uspostavljene,specijalizirane kontaktne točke zadužene isključivo za izravnu vezu s tijelima za zaštitu podataka.Ministarstvo će ocijeniti Vašu pritužbu i odgovoriti nacionalnom tijelu za zaštitu podataka u roku od 90dana. Ministarstvo trgovine također može proslijediti pritužbe Saveznom trgovinskom odboru (iliMinistarstvu prometa).

5. Savezni trgovinski odbor. Možete podnijeti pritužbu izravno Saveznom trgovinskom odboru na istinačin kao i državljani SAD-a putem: www.ftc.gov/complaint. Savezni trgovinski odbor će takođerpregledati pritužbe koje zaprimi od Ministarstva trgovine SAD-a, europskih nacionalnih tijela za zaštitupodataka i neovisnih tijela za alternativno rješavanje sporova. Slično kao s Ministarstvom trgovine,Savezni trgovinski odbor uspostavio je specijaliziranu kontaktnu točku radi izravnog povezivanja stijelima za zaštitu podataka iz Europske unije, a kako bi se olakšalo prosljeđivanje pritužbi i unaprijedilasuradnja u vezi s istima.

6. (Arbitrarni) Panel Štita privatnosti. Ako je Vaš zahtjev, nakon korištenja drugih mehanizama upotpunosti ili djelomično neriješen nakon korištenja ostalih mehanizama pritužbe, ili ako nistezadovoljni načinom na koji je postupano po Vašem zahtjevu, imate pravo na traženje zaštite putemdruge opcije: obvezujuće arbitraže.


19

Tko može inicirati postupak arbitraže?

Važno je znati kako samo Vi, kao pojedinac čiji se podaci obrađuju, možete započeti postupak protiv tvrtke s certifikatom Štita privatnosti putem obvezujuće i ovršne arbitraže.

Kada možete započeti arbitražu?

Tvrtka s certifikatom Štita privatnosti bit će obvezna podvrgnuti se arbitraži kada se Vi pozovete na to pravo. Međutim, to ćete moći napraviti tek onda kada iscrpite druge mogućnosti kao što su one pred samom tvrtkom, pred neovisnim tijelom za alternativno rješavanje sporova ili pred Ministarstvom trgovine. Ima drugih slučajeva kada nećete moći koristiti Panel Štita privatnosti, to će biti kada je već donesena arbitrarna odluka u Vašem predmetu, kada je donesena sudska odluka o istoj stvari, kada ste Vi stranka u u sudskom postupku koji teče povodom iste stvari, kada su se stranke već dogovorile u vezi predmeta spora ili kada je nacionalno tijelo za zaštitu podataka nadležno izravno pred tvrtkom riješiti Vašu pritužbu. Međutim, istražne radnje Saveznog trgovinskom odbora mogu teći paralelno s arbitražnim postupkom.

Kako iniciram postupak arbitraže?

Ako želite započeti arbitražni postupak, najprije trebate obavijestiti tvrtku o Vašoj namjeri. Vaša obavijest treba sadržavati popis o koracima koje ste već poduzeli za rješavanje Vaše pritužbe te opis navodne povrede Vaših prava. Također, možete priložiti dokaze ili pravne propise koji idu u prilog Vaše pritužbe.

yKako mogu podnijeti pritužbu protiv tvrtke s certifikatom Štita privatnosti?

20

The Ombudsperson mechanism: how to bring a complaint against a U.S. public authority The Ombudsperson mechanism: how to bring a complaint against a U.S. public authority

Koje je mjesto arbitraže? Koje su njezine koristi?

Mjesto arbitraže je SAD jer Vi podnosite pritužbu protiv tvrtke čije se sjedište tamo nalazi. Istodobno kao korisnik imate nekoliko čimbenika koji su za Vas vrlo korisni:

• pravo se obratiti Vašem nacionalnom tijelu za zaštitu podataka radi pripreme Vaše pritužbe;

• mogućnost sudjelovanja u postupcima putem telefona ili video-konferencijom, dakle niste dužni biti fizički prisutan u SAD-u;

• mogućnost besplatnog usmenog i pisanog prevođenja dokumenata s engleskog na drugi jezik;

• troškovi arbitraže (osim odvjetničkih troškova) bit će osigurani iz fonda koji je posebno uspostavljen od strane Ministarstva trgovine koji se financira godišnjim uplatama tvrtki s certifikatom Štita privatnosti.

Koliko dugo traje arbitražni postupak?

Arbitražni postupak traje 90 dana od dana kada ste poslali tvrtci obavijest o iniciranju arbitraže.

Koji su pravni lijekovi raspoloživi?

Ako Panel Štita privatnosti zaključi da su Vaša prava povrijeđena, tada on može narediti prestanak povrede kao što bi bio pristup, ispravak, brisanje ili povratak Vaših osobnih podataka. Čak i ako Panel Štita privatnosti ne može odrediti novčanu naknadu za pretrpljenu štetu, imate mogućnost ostvarenja takve naknade sudskim putem. A ako niste zadovoljni arbitražnim pravorijekom možete ga pobijati sukladno zakonima SAD-a prema propisanom u Saveznom arbitražnom zakonu.


Institut pravobranitelja: kako podnijeti pritužbu protiv javnog tijela SAD-a

Štit privatnosti uvodi novi neovisan institut zaštite podataka u području nacionalne sigurnosti: pravobranitelja.

Što je to institut pravobranitelja?

Institut pravobranitelja, ustanovljen Štitom privatnosti, je ustanovljen kao institut kojeg vodi visoki dužnosnik u Ministarstvu vanjskih poslova SAD-a, neovisan od obavještajnih agencija. Uz pomoć brojnih djelatnika, pravobranitelj osigurava da se zaprimljeni prigovori propisno istraže, odnosno da se isti rješavaju pravovremeno te da u svakom konkretnom slučaju ispitanik primi potvrdu da su poštivani relevantni američki zakoni ili u slučaju njihove povrijede, da je konkretna povreda ispravljena.

U obavljanju svojih dužnosti i postupajući po zaprimljenim pritužbama, kada je riječ o pitanju kompatibilnosti s zakonima SAD-a, pravobranitelj usko surađuje te dobiva sve potrebne informacije od drugih neovisnih nadzornih i istražnih tijela. Navedena tijela su odgovorna za nadzor nad različitim obavještajnim agencijama SAD-a.

Da li institucija pravobranitelja pokriva samo prigovore koji se odnose na prijenos osobnih podataka tvrtkama koje posluju u skladu s pravilima Štita privatnosti, registriranim u SAD-u?

Ne, taj instrument nije specifičan samo za Štit privatnosti. On pokriva sve pritužbe koje se odnose na sve osobne podatke i sve vrste komercijalnih transfera iz EU-a u tvrtke registrirane u SAD-u, uključujući i prijenos podataka na temelju alternativnih alata za prijenos osobnih podataka kao što su standardne ugovorne klauzule ili obvezujuća korporativnih pravila.

21

Institut pravobranitelja: kako podnijeti tužbu protiv javnog tijela SAD-a

Kako podnijeti pritužbu pravobranitelju?

Prvo treba podnijeti zahtjev u pisanom obliku nadzornom tijelu u svojoj državi članici koje je odgovorno za nadzor službi nacionalne sigurnosti i/ili nacionalnom tijelu nadležnom za zaštitu osobnih podataka. To znači da se svaki ispitanik možete na vlastitom jeziku obrati za pomoć svom nacionalnom tijelu.

Pisani zahtjev treba sadržavati informacije kojima se opisuje osnova zahtjeva, vrsta pomoći koja se traži, koja vladina tijela SAD-a su bila uključena u aktivnosti nadzora, kao i informacije o drugim već poduzetim mjerama vezano uz konkretan zahtjev te bilo koji možda već primljeni odgovor. Međutim, zahtjev ne treba sadržavati podatak koji pokazuje da je osobnim podacima na određeni način raspolagano od strane obavještajnih agencija SAD-a.

Prije nego što se dostavi pravobranitelju, zahtjev će se provjeriti kako bi se potvrdio identitet podnositelja, odnosno da je isti podnesen u njegovo ime a ne u ime Vlade ili međuvladine organizacije, da zahtjev sadrži sve relevantne informacije, da se odnosi na osobne podatke prenesene u SAD-u te da zahtjev nije neozbiljna, uznemirujući ili predan u lošoj namjeri, odnosno da odražava istinsku zabrinutost.

Što se događa sa podnesenim zahtjevom?

Pravobranitelj će obraditi zahtjev te ako ima kakvih dodatnih pitanja ili ako treba više informacija, kontaktirat će tijelo na koje se zahtjev odnosi.

Nakon što je pravobranitelj utvrdio da je zahtjev potpun, isti će proslijediti odgovarajućim tijelima SAD-a. Kada se zahtjev odnosi na nadzor sukladnosti s zakonom SAD-a, surađivati će s jednim od neovisnih nadzornih tijela koje imaju istražne ovlasti. Pravobranitelj će morati zaprimiti potrebne informacije kako bi mogao dati odgovor, a kojima će zatim potvrditi da je zahtjev preispitan na odgovarajući način te da su poštivani zakoni SAD-a, odnosno ako nije, da je određena povreda zakona ispravljena. Odgovor neće sadržavati informaciju da li je ispitanik nadziran od strane nacionalnih obavještajnih službi SAD-a.

22

Institut pravobranitelja: kako podnijeti tužbu protiv javnog tijela SAD-a

23

Institut pravobranitelja:kako podnijeti tužbu protiv javnog tijela SAD-a

Zahtjev za pristup informacijama?

Može se zatražiti pristup informacijama kojima raspolaže vlada SAD-a, sukladno odredbama Zakona o pravu na pristup informacijama (ZPPI). Više informacija na stranicama www.FOIA.gov i http://www.justice.gov/oip/foia-resources. Javno dostupne Internet stranice svakog odjela pružaju informacije o tome kako se podnosi zahtjev za pristup informacijama.

Međutim, nije moguće dobiti pristup klasificiranim podacima nacionalne sigurnosti, osobnim podacima trećih osoba, i podacima u sklopu istraga u svrhu provedbe zakona. Ta ograničenja odnose na sve osobe bilo da su državljani SAD-a ili ne.

Spor vezan uz zahtjev za pristup informacijama može se riješiti na način da se uloži upravna žalba ili žalba federalnom sudu SAD-a. Sud tada može odlučiti da li opravdano nisu dane zatražene informacije ili može prisiliti vladu da osigura pristup zatraženim dokumentima. Sudovi mogu odrediti odvjetničke troškove, ali nije moguće podnijeti zahtjev za naknadom štete.

Posebni postupci za pritužbe opisani u ovom priručniku, ne osporavaju pravo svakog da tražiti smjernice i podršku nacionalnog tijela za zaštitu podataka u ostvarivanju svojih zakonskih prava.

Documents

VODIČ ZA GRAĐANE EU – SAD ŠTIT PRIVATNOSTI · klauzule, obvezujuća korporativna pravila i Štit privatnosti. Ukoliko se koristi Štit privatnosti, tvrtke Ukoliko se koristi