PROBLEMATIKA PRIJENOSA OSOBNIH PODATAKA U SAD (i druge zemlje bez adekvatne razine zaštite)

PROBLEMATIKA PRIJENOSA OSOBNIH PODATAKA U SAD (i druge zemlje bez adekvatne razine zaštite)

Odlukom Suda Europske unije od 16. srpnja 2020. godine u slučaju poznatom pod nazivom Schrems II (C-311/18 – Data Protection Commissioner vs. Facebook Ireland i Maximilian Schrems),  poništena je Odluka Komisije 2016/1250 o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti odnosno tzv. EU-US Privacy Shield, sporazum Europske komisije i američkog Ministarstva trgovine o zaštiti osobnih podataka koji se iz EU-a prenose u SAD.

Privacy Shield postignut je 2016. godine, nakon što je Sud Europske Unije u slučaju Schrems I (C-362/14- Maximillian Schrems vs. Data Protection Commissioner) zaključio da prethodni pravni okvir iz 2000. godine – tzv. „Safe Harbour“, ne pruža primjerenu zaštitu temeljnih prava građana EU-a. Naime, Europska komisija u svojoj Odluci 2000/520 kojom je uspostavljen Safe Harbour utvrdila je da SAD osigurava „primjerenu razinu zaštite“ čime su bili ispunjeni zahtjevi tadašnje europske regulative prema kojima je prijenos osobnih podataka izvan EU u treće zemlje moguć samo ako je udovoljeno spomenutom uvjetu.

Međutim, Maximilian Schrems, potaknut poznatim slučajem Edwarda Snowdena koji je javnosti otkrio na koji način i u kojem opsegu američke službe prikupljaju osobne podatke, podnio je pritužbu irskom nadzornom tijelu (Data Protection Commissioner – DPC) kojim je zatražio da zabrani Facebooku Ireland Ltd. prijenos njegovih osobnih podataka u SAD, tvrdeći da važeće pravo i praksa u toj zemlji ne jamče dovoljnu razinu zaštite osobnih podataka u odnosu na nadzorne aktivnosti od strane američkih službi.

 

Iako je DPC odbio postupiti po pritužbi upravo uz obrazloženje da je Europska komisija u spomenutoj Odluci 2000/520 utvrdila da SAD osiguravaju primjerenu razinu zaštite, postupak je okončan 2015. godine presudom Suda EU-a poznatom kao Schrems I kojoj je utvrđeno da je Odluka Europske komisije 2000/520 u suprotnosti s Poveljom EU-a o temeljnim ljudskim pravima te je Safe Harbour proglašen nevažećim.

Uslijedilo je donošenje Privacy Shield-a, sporazuma kojem je po modelu samocertifikacije  pristupilo više od 5000 američkih tvrtki, uključujući i one najpoznatije poput Amazona i Mailchimpa.

No, suština problematike ostala je ista - američke tvrtke koje pružaju „elektroničke komunikacijske usluge“, temeljem zakona Foreign Intelligence Surveillance Act (FISA), obvezne su dozvoliti američkim vlastima nadzor korisnika te zbog toga zapravo nisu u mogućnosti osigurati primjerenu razinu zaštite podataka. Upravo ovo navodi se u presudi Schrems II te je sud naveo kako je u svrhu sigurnog prijenosa, potrebno provesti dodatne mjere.

Europski odbor za zaštitu osobnih podataka (EDPB) izdao je u studenom prošle godine prijedlog Preporuka 01/2020 o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u. U njima se savjetuju koraci koji se trebaju poduzeti: mapiranje podataka; utvrđivanje alata koji se koriste; procjena je li alat učinkovit s obzirom na sve okolnosti prijenosa; donošenje dodatnih mjera; poduzimanje dodatnih mjera te ponovna procjena u odgovarajućim vremenskim razmacima. Prema prijedlogu Preporuka, dodatne mjere mogu biti ugovorne, tehničke, organizacijske ili kombinacija tih mjera, a ukoliko tvrtke ne mogu provesti učinkovite dopunske mjere, voditelj obrade ili izvršitelj obrade trebao bi obustaviti odnosno prekinuti prijenos podataka.

Jedna od najčešće korištenih mjera za prijenos podataka su standardne ugovorne klauzule (SCC)  koje služe tome da osiguraju razinu zaštite koja je u bitnome jednaka onoj zajamčenoj Općom uredbom o zaštiti podataka. U presudi Schrems II, Sud je izričito utvrdio da je Odluka Komisije 2010/87 o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama i dalje valjana te je naveo da primjena standardnih ugovornih klauzula ovisi o rezultatima procjene u svakom pojedinačnom slučaju, uzimajući u obzir okolnosti prijenosa i dodatne mjere zaštite koje bi se mogle uspostaviti.

Same standardne ugovorne klauzule koje su do sada korištene upravo su izmijenjene Provedbenom odlukom komisije (EU) 2021/914 оd 4. lipnja 2021. godine o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća koja stupa na snagu dana 27.06.2021. godine. Nove standardne ugovorne klauzule usklađene su s Općom uredbom o zaštiti podataka te uzimaju u obzir stajališta Europskog suda iz presude Schrems II.

Nove SCC usvajaju modularni pristup koji pokriva četiri scenarija: voditelj - voditelj; voditelj - izvršitelj; izvršitelj- izvršitelj te izvršitelj – voditelj i nameću strankama obvezu provođenja procjene učinka prijenosa podataka, koji mora biti dokumentiran te predočen nadležnom tijelu na zahtjev. Kod provođenja procjene učinka stranke moraju uzeti u obzir eventualno ranije iskustvo u odnosu na zahtjeve nadležnih javnih tijela te uključuju obvezu preispitivanja zahtjeva tijela na pristup podacima. Nove SCC imaju tri dodatka – u Dodatku 1 navode se stranke, opis prijenosa i nadležno tijelo; Dodatak II sadrži tehničke i organizacijske sigurnosne mjere koje imaju za cilj osigurati adekvatnu raznu zaštite, a Annex III sadrži listu odobrenih izvršitelja i opis svih (pod) izvršiteljskih aktivnosti, uključujući pitanje odgovornosti.

Za voditelje i izvršitelje obrade koji trenutno koriste prethodno važeće SCC predviđeno je prijelazno razdoblje od 18 mjeseci u kojem se stare standardne ugovorne klauzule moraju zamijeniti s novima.

Nadalje prijedlog Preporuka propisuje scenarije za koje bi se moglo utvrditi postojanje učinkovitih mjera, te iste grupira u pet slučaja uporabe: 

1. pohrana podataka za izradu sigurnosne kopije i u druge svrhe za koje nije potreban pristup nešifriranim podatcima

2. prijenos pseudonimiziranih podataka

3. šifrirani podatci koji se samo provoze kroz treće zemlje

4. zaštićen primatelj

5. podijeljena obrada ili obrada podataka na više strana

te su za svaki slučaj propisani dodatni uvjeti koje je potrebno ispuniti.

Autori: Ivana Markovinović Žunko & Igor Dlačić, odvjetnici, Zagreb

 

 (Sastavljeno i objavljeno 16.06.2021.)