U središtu

Sud EU-a "srušio" Privacy Shield - što dalje?

28.07.2020 Odlukom Suda Europske unije od 16. srpnja 2020. godine u slučaju poznatom pod nazivom Schrems II (C-311/18), stavljen je van snage EU-US Privacy Shield, sporazum Europske komisije i američkog Ministarstva trgovine o zaštiti osobnih podataka koji se iz EU-a prenose u SAD.

Povijest

Privacy Shield je sklopljen 2016. godine, nakon što je Sud EU-a u slučaju Schrems I (C-362/14) zaključio da prethodni pravni okvir za prijenos podataka u SAD iz 2000. godine, „Safe Harbour“, ne pruža primjerenu zaštitu temeljnih prava građana EU-a u odnosu na ovlasti i postupanje američkih obavještajnih službi.

U prvom predmetu, tada još student prava, Maximilian Schrems, potaknut informacijama koje je javno objavio Edward Snowden, bivši službenik američke Nacionalne sigurnosne agencije (NSA), podnio je 2013. godine pritužbu irskom nadzornom tijelu (Data Protection Commissioner – DPC).

Schrems je od DPC-a zatražio da zabrani Facebooku Ireland Ltd. prijenos njegovih osobnih podataka u SAD, tvrdeći da važeće pravo i praksa u toj zemlji ne jamče dovoljnu razinu zaštite osobnih podataka od nadzornih aktivnosti koje tamo provode javna tijela.

DPC je odbio postupiti po pritužbi, uz obrazloženje da je Europska komisija u svojoj Odluci 2000/520 (kojom je uspostavljen Safe Harbour) utvrdila da SAD osigurava primjerenu razinu zaštite, nakon čega je Schrems podnio tužbu nadležnom nacionalnom sudu (Irish High Court). Postupak je okončan 2015. godine presudom Suda EU-a (Schrems I) kojom je utvrđeno da je Odluka Europske komisije 2000/520 u suprotnosti s Poveljom EU-a o temeljnim ljudskim pravima, čime je Safe Harbour proglašen nevažećim.

Europska komisija i američko Ministarstvo trgovine ubrzo su počeli intenzivne pregovore o novom sporazumu za prijenos osobnih podataka koji su 2016. godine rezultirali Privacy Shieldom.

Istovremeno je i Max Schrems nastavio svoju borbu. Krajem 2015. godine promijenio je sadržaj pritužbe protiv Facebooka Ireland Ltd. pred irskim nadzornim tijelom i fokusirao se na neprimjerenost standardnih ugovornih klauzula koje je Facebook Ireland Ltd. nakon prestanka važenja Safe Harboura koristio za prijenos podataka u SAD.

I u ovom slučaju irski DPC se odlučio za liniju manjeg otpora. U nacrtu odluke zaključio je da standardne ugovorne klauzule ne osiguravaju primjerenu pravnu zaštitu pojedinaca i njihovih osobnih podataka u SAD-u te predložio poništavanje Odluke 2010/87 Europske komisije o Standardnim ugovornim klauzulama.

Međutim, DPC kao nacionalno nadzorno tijelo zemlje članice EU-a nema ovlasti mijenjati ili poništavati odluke Europske komisije. Stoga je tužbom protiv Facebook Ireland Ltd. i Maxa Schremsa „vrući krumpir“ prebacio na Irish High Court. Ovim pravnim manevrom DPC je izbjegao donošenje odluke kojom bi zabranio prijenos podataka od Facebook Ireland Ltd. prema Facebook Inc. do donošenja odluke kojom bi standardne ugovorne klauzule bile proglašene nevaljanima.

Nakon što se Irish High Court obratio Sudu EU-a sa zahtjevom za donošenje prethodne odluke u jedanaest pitanja, postupak Schrems II je okončan 16. srpnja ove godine odlukom kojom je „srušen“ Privacy Shield, a standardne ugovorne klauzule ostaju važeće.

Po drugi put, u razdoblju od samo pet godina, poništena je odluka Europske komisije kojom je uređen prijenos osobnih podataka u SAD. Sud EU-a potvrdio je da Privacy Shield, baš kao i Safe Harbour, unatoč zvučnom imenu, ne pruža dovoljnu razinu zaštite građanima EU čiji podaci su preneseni u SAD.

Sud je zaključio da tvrtke koje su obveznice primjene posebnih američkih saveznih zakona, konkretno Foreign Intelligence Surveillance Act (FISA) ne mogu jamčiti sigurnost i zaštitu osobnih podataka EU građana bez obzira na sporazum ili pravni akt kojim su se obvezali te podatke štititi te da kao strani državljani, građani EU-a ne uživaju prava zajamčena Ustavom SAD i nisu u mogućnosti ostvariti primjerenu zaštitu pred američkim sudovima.

U čemu je stvar?

Opća uredba o zaštiti podataka (GDPR), kao i ranije važeća Direktiva 95/46, obvezuju sve voditelje obrade da osiguraju primjerenu razinu zaštite osobnih podataka koji se iz EU-a prenose u treće zemlje.

U kontekstu zaštite osobnih podataka SAD se smatra trećom zemljom, kao i sve ostale zemlje koje nisu članice Europskog gospodarskog prostora i nisu odlukom Europske komisije postale „adekvatne“1 za prijenos podataka iz EU-a. Ipak, američke kompanije su certifikacijom u Privacy Shieldu postale „adekvatne“ za prijenos podataka iz EU-a.

Do sada je certificirano više od 5000 američkih tvrtki, a neke od njih su svjetski poznati pružatelji elektroničkih komunikacijskih usluga kao što su Amazon Web Services, Mailchimp, GitHub, Cloudflare, SalesForce i brojni drugi.

Sudska odluka ima neodgodiv i izravan učinak i na brojne hrvatske tvrtke koje su korisnici usluga američkih IT tvrtki certificiranih po Privacy Shieldu.

„Rušenjem“ Privacy Shielda SAD je postao treća zemlja, bez izuzetaka, a za prijenos podataka iz EU-a moraju se koristiti alternativne mjere zaštite podataka.

Alternativne mjere zaštite podataka

Jedna od najčešće korištenih mjera za prijenos podataka, ne samo u SAD-u, već u sve treće zemlje su standardne ugovorne klauzule. Nekoliko je dostupnih verzija, ovisno o poslovnom odnosu, a najčešće su korištene one koje reguliraju odnos između voditelja obrade osobnih podataka u EU-u („izvoznik podataka“) i izvršitelju obrade u trećoj zemlji kojemu voditelj obrade prenosi osobne podatke („uvoznik podataka“).

Sud EU-a je u presudi naglasio da standardne ugovorne klauzule služe tome da osiguraju razinu zaštite koja je u bitnome jednaka onoj zajamčenoj Općom uredbom o zaštiti podataka, a u svjetlu Povelje EU-a o temeljnim pravima. Dakle, ukoliko je uvoznik podataka u trećoj zemlji obveznik posebnih nacionalnih propisa temeljem kojih ne može osigurati dovoljnu razinu zaštite, prijenos se ne može obaviti ili se ranije započeti prijenos mora obustaviti.

Podsjetimo se, ovaj sudski postupak započeo je temeljem Schremsove pritužbe DPC-u protiv Facebooka Ireland Ltd. zbog korištenja standardnih ugovornih klauzula za prijenos osobnih podataka u SAD.

Facebook Inc. i sve ostale američke tvrtke koje su pružatelji „elektroničke komunikacijske usluge“, kako je to određeno američkim zakonom Foreign Intelligence Surveillance Act (FISA), obvezni su dozvoliti američkim vlastima masovni nadzor korisnika te zbog toga nisu u mogućnosti osigurati primjerenu razinu zaštite podataka. U takvim slučajevima primjena standardnih ugovornih klauzula neće biti moguća.

Prema presudi, primjena standardnih ugovornih klauzula ovisit će o rezultatima procjene „case by case“ uzimajući u obzir okolnosti prijenosa i dodatne mjere zaštite koje bi se mogle uspostaviti.

U ovoj procjeni mogu pomoći smjernice Europskog odbora za zaštitu podataka „Frequently Asked Questions on the judgment of the CJEU in Case C-311/18“. Međutim, i sâm Odbor naglašava da nisu konkretizirali dodatne pravne i tehničke mjere zaštite podataka, te da će u narednom razdoblju o ovom pitanju pružiti više informacija.

Što sada?

Opća uredba o zaštiti podataka predviđa i određena odstupanja za posebne situacije propisane člankom 49. Iznimno, u posebnim situacijama i ako prijenosi podataka nisu redoviti, moguće je prenositi osobne podatke u treće zemlje:

  • uz privolu ispitanika ako je bio prethodno obaviješten o rizicima prijenosa;
  • ako je prijenos nužan za sklapanje ili izvršenje ugovora sklopljenog s ispitanikom ili je u njegovom interesu;
  • ako je prijenos nužan iz važnih razloga javnog interesa ili za postavljanje ili obranu pravnih zahtjeva;
  • ako je nužan za zaštitu ključnih interesa ispitanika, a on ne može dati svoju privolu;
  • te ako se prijenos obavlja iz registra javnih tijela sukladno posebnim propisima.

Navedena odstupanja u praksi su rijetko primjenjiva. Primjerice, odstupanje se ne odnosi na prijenose osobnih podataka koji proizlaze iz korištenja usluga pružateljâ usluga u SAD-u, obzirom da takav prijenos nije nužan za izvršenje ugovora između voditelja obrade i ispitanika. Tipičan primjer je korištenje online servisa kao što je Mailchimp, za čije korištenje postoje i alternative koje nude pružatelji usluge u EU-a.

Ni privola ispitanika nije uvijek najbolje rješenje. U slučajevima prijenosa osobnih podataka, prije davanja privole, ispitanik mora biti upoznat sa svim rizicima takvog prijenosa, uključujući i mogućnost obavještajnog nadzora, a ukoliko ispitanik povuče privolu prijenos se mora obustaviti.

Kako bi izbjegle prekršaj i moguće novčane sankcije, europske tvrtke trebaju čim prije utvrditi prenose li osobne podatke u SAD temeljem Privacy Shielda i za svaki slučaj prijenosa  utvrditi alternativne mjere zaštite podataka.

Popis tvrtki koje su certificirane u okviru Privacy Shielda dostupan je na poveznici: https://www.privacyshield.gov/list.

Također, ovdje možete pogledati kratki vodič o učincima presude.

Vlatka Vuković, dipl.iur, CIPP/E


^ 1 Andora, Argentina, Kanada (komercijalne organizacije), Farski Otoci, Guernsey, Izrael, Otok Man, Japan, Jersey, Novi Zeland, Švicarska i Urugvaj.