Pri zbiranju osebnih podatkov članov, uporabnikov in zaposlenih se precej organizacij znajde pred dilemo, ali je zagotovljeno zadostno varstvo osebnih podatkov, kadar se ti obdelujejo izven Evropske unije. Največkrat do tega pride, ker se osebni podatki obdelujejo na aplikacijah Facebook, Gmail, Teams ipd., ki so v lasti ameriških podjetij Meta, Google in Microsoft.
Ko se srečate z vprašanjem, ali obdelovalec osebnih podatkov (npr. Microsoft) zagotavlja varovanje osebnih podatkov, kakršno zahteva evropska zakonodaja, ali bi morali uvesti dodatne zaščitne ukrepe za varstvo podatkov, je odgovor odvisen od tega, ali se je to ameriško podjetje pridružilo okviru za varstvo osebnih podatkov (EU-US Data Privacy Framework oziroma EU-US DPF). S pridružitvijo se namreč podjetje zaveže, da bo izpolnjevalo sklop obveznosti glede varstva zasebnosti, za katerega je Evropska komisija ugotovila, da zagotavlja ustrezno raven varstva osebnih podatkov, ki je primerljiva z ureditvijo v EU. Če je podjetje uvrščeno na seznam EU-US DPF, to pomeni, da zagotavlja zadostno varstvo zasebnosti in dodatni zaščitni ukrepi niso potrebni.
Opozarjajo pa, da morate tudi v primeru, da je ameriško podjetje, ki je obdelovalec osebnih podatkov, uvrščeno na seznam EU-US DPF, posameznike vseeno obvestiti, da se bodo njihovi osebni podatki obdelovali izven EU (o tem jih obvestite na primer v politiki zasebnosti na svoji spletni strani, v pravnem obvestilu na prijavnici ipd.).
Seznam ameriških podjetij, ki sodelujejo v okviru EU-US DPF, je dostopen tukaj.
Vir: CNVOS