Jula meseca 2020. godine Sud pravde EU doneo je odluku poznatu kao „Šrems II”, kojom je pravni mehanizam Privacy Shield proglašen nevažećim, zbog čega je „izvoz” podataka o ličnosti rezidenata EU u SAD, po ovom pravnom osnovu postao nezakonit. Takav neočekivani razvoj događaja izazvao je paniku i probleme u poslovanju velikih internet trgovaca, onlajn kockarnica i svih drugih komapanija čiji „biznis model” je zasnovan na obradi velike količine podataka o ličnosti i njihovom skladištenju u SAD.
Šta je mehanizam Privacy Shield i čemu je služio?
EU – US Privacy Shield Framework donedavno je predstavljao svojevrsni pravni mehanizam po osnovu koga je bilo moguće bezbedno prenositi podatke o ličnosti iz Evropske unije u Sjedinjene Američke Države, sve do donošenja gorepomenute presude Suda pravde EU. Pomenuti pravni mehanizam zamenio je Safe Harbour, mehanizam pod čijim okriljem su se podaci „izvozili” u Sjedinjene Američke Države sve do 6. oktobra 2015. godine, kada je doživeo sličnu sudbinu kao i njegov naslednik, odnosno proglašen je nevažećim od strane Suda pravde Evropske unije odlukom poznatom pod nazivom „Šrems I”.
Ko je Maksimilijan Šrems?
Maksimilijan Šrems je austrijski aktivista čija oblast angažovanja jeste zaštita podataka o ličnosti na internetu, a najviše na društvenim mrežama. NJegovim angažovanjem, odnosno tužbama koje je podnosio, u dva navrata su obarani pravni mehanizmi za transatlantski prenos podataka, iz kog razloga su obe odluke suda pravde EU nazvane upravo po njemu.
Pravni mehanizam Privacy Shield našao je svoju posrednu primenu i u našoj zemlji. Zakon o zaštiti podataka o ličnosti propisuje da je prenos podataka o ličnosti dozvoljen u one države za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite. U tom smislu, Vlada Republike Srbije 2019. godine donela je Odluku o Listi država, delova njihovih teritorija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti. Na toj listi su se našle i SAD sa ograničenjem na primenu Privacy Shield Framework.
Zašto je izvoz podataka o ličnosti u SAD toliko važan za evropske kompanije?
U današnje vreme praktično svi sektori privrede su se digitalizovali, uključujući i primarni sektor, odnosno poljopriivredu. Otuda se pojavila potreba za skladištenjem velike količine podataka (među kojima su neretko i podaci o ličnosti), a upravo su serveri najvećih kapaciteta i brzine rada sa najpovoljnijom cenom korišćenja u vlasništvu američkih kompanija kao što su Amazon, Digital Ocean itd.
Pad Privacy Shield-a
Privacy Shield mehanizam je doživeo pravnu sudbinu svog prethodnika (Safe Harbour-a) i to iz istih razloga iz kojih je prestao da važi njegov prethodnik. Utvrđeno je da ovaj pravni mehanizam ne obezbeđuje adekvatan nivo zaštite podacima o ličnosti rezidenata EU koji se „izvoze” i skladište na serverima u SAD. Ovde je reč o posrednom korišćenju serverskih kapaciteta preko popularnih klaud sistema.
Šrems je u postupku koji je vođen pred Sudom pravde EU uspeo da dokaže da pravni sistem Sjedinjenih Američkih Država dopušta svojim bezbednosnim agencijama (npr. CIA, NSA) da vrši uvid u podatke o ličnosti koje su „uvezene” iz Evropske unije, bez ograničenja, iz razloga nacionalne bezbednosti. Nasuprot tome, licima na koje se takvi podaci odnose nije obezbeđena nikakva pravna zaštita pred pravosudnim organima Sjedinjenih Američkih Država.
Posledice kraha Privacy Shield-a
Direktna posledica kraha mehanizma Privacy Shield jeste činjenica da je zabranjen dalji prenos podataka o ličnosti iz Evropske unije u Sjedinjene Američke Države pod njegovim okriljem.
Istovremeno, zabranjen je prenos podataka o ličnosti iz naše zemlje u SAD pod okriljem ovog mehanizma, jer SAD više nisu zemlja za koju EU smatra da pruža adekvatan nivo zaštite, pa od tada domaćim kompanijama nije dozvoljeno da oslanjajući se na dati mehanizam izvoze lične podatke u SAD.
Da li je ipak moguće vršiti transfer podataka u SAD?
Svima koji i dalje žele da podatke skladište na serverima američkih kompanija, na raspolaganju ostaje prelazno rešenje - primena standardnih ugovornih klauzula koje je donela Evropska komisija, čiju primenu takođe preporučuje Sud pravde EU. Evropska komisija je upravo iz tog razloga 4. juna 2021. godine donela novi set standardnih ugovornih klauzula koje služe kao osnov za prenos podataka o ličnosti u treće zemlje za koje ne smatra da obezbeđuju adekvatan nivo zaštite podataka o ličnosti (među kojima su sada i Sjedinjene Američke Države).
Takođe,od strane Republike Srbije, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti takođe je doneo dva seta standardnih ugovornih klauzula.
Šta su to standardne ugovorne klauzule?
Standardne ugovorne klauzule su preporučene klauzule koje treba uneti u ugovor o obradi podataka o ličnosti kako bi prenos podataka o ličnosti, nakon potpisivanja, bio zakonit. To je, dakle, ono što kaže teorija.
Praksa kaže nešto drugo. Svako ko je nekada pokušao da stupi u ugovorne odnose sa internet gigantima, zna da ishod nije ohrabrujući.
Ugovori koji se sa njima mogu zaključiti su ugovori po pristupu, odnosno jedini put ka zaključivanju ugovora podrazumeva prolazak kroz proceduru kliktanja, odnosno davanja saglasnosti na opšte uslove poslovanja, označavanje veličine serverskih kapaciteta i, na kraju, unošenje broja platne kartice.
Druga ugovorna strana nije u mogućnosti da menja bilo koju ugovornu klauzulu takvog ugovora. Znajući to, propisane standardne ugovorne klauzule gube na značaju, jer ne mogu naći svoju realnu primenu.
Šta bi moglo biti rešenje?
Rešenje problema bi moglo biti kreiranje potpuno novog pravnog mehanizma, sa jasno i precizno definisanim pravilima i ograničenjima za rukovaoce i obrađivače podataka o ličnosti, kao i sa predviđenim sankcijama za kršenje takvih pravila.