Oboren Privacy Shield – Šta to znači za kompanije iz Srbije?

Sud pravde EU (eng. Court of Justice of the European Union – CJEU) je 16. jula 2020. godine doneo presudu kojom je EU-US Privacy Shield –  pravni mehanizam koji je omogućavao prenos podataka o ličnosti iz EU u SAD – praktično proglašen nevažećim. Sud je presudu doneo na inicijativu Maksa Šremsa, austrijskog aktiviste i pravnika, koji je prethodno uspeo da “obori” i tzv. Safe Harbour mehanizam. Takođe, ova presuda je od direktnog značaja na prenos podataka iz Srbije u SAD.

Glavni zaključci presude


Sada kada je odluka Evropske komisije kojom je Privacy Shield mehanizam uspostavljen proglašena nevažećom, to će imati dalekosežne posledice na sve kompanije koje prenose podatke o ličnosti iz EU u SAD. Primera radi, outsourcing skladištenja podataka u američkim IT kompanijama poput Amazona ili Digital Ocean-a od strane kompanija na koje se primenjuje GDPR (uključujući i srpske kompanije na koje se GDPR primenjuje esktrateritorijalno), više neće biti moguć pozivanjem na Privacy Shield mehanizam.

Presuda takođe ima uticaj na tzv. standardne ugovorne klauzule (eng. Standard Contractual Clauses – SCC), koje su korišćene kao još jedan mehanizam za prenos ličnih podataka iz EU u treće zemlje za koje ne postoji važeća odluka o adekvatnosti. Naime, standardne klauzule predstavljaju ugovor koji u skladu sa GDPR-om potpisuju “izvoznik” i “uvoznik” podataka, na osnovu čega se smatra da je prenos podataka iz EU u treću zemlju dozvoljen. Problem je to što standarne klauzule vrlo često ostaju “mrtvo slovo na papiru”, jer onaj ko izvozi podatke ne može da obezbedi njihovo poštovanje u “zemlji uvoza”. 

Ipak, presuda je ostavila standardne klauzule kao validan osnov za prenos, ali pod veoma komplikovanim uslovima. Glavna promena je što sada izvoznik podataka iz EU ima teret da proveri da li podatke koje pošalje svom američkom partneru taj partner može da zaista zaštiti od masovnog nadzora američkih državnih organa.

Primera radi, sada kada je Privacy Shield proglešen nevažećim, u teoriji bi standardne klauzule mogle da budu korišćene kao osnov prenosa ličnih podataka u SAD – kao i u bilo koju zemlju za koju odluka o adekavatnosti nikada nije ni postojala. Međutim, zbog presude one ne smeju biti korišćene od strane američkih kompanija koje su subjekt tamošnjih zakona koji omogućavaju masovni nazdor građana. To su pre svega kompanije provajderi usluga elektronskih komunikacija, koje moraju da američkim obaveštajnim službama (npr. NSA) obelodanjuju i podatke građana EU. Upravo je takvo obelodanjivanje podataka od strane Facebook-a njihov korisnik Maks Šrems smatrao kršenjem njegovih osnovnih prava zagarantovanih EU propisima. Kako su kompanije poput Facebook-a “uvezene” podatke građana EU delile sa NSA jer ih na to obavezuju američki zakoni, dolazilo je do apsurdne situacije da građanin EU nema uopšte saznanja o tome da ga NSA nadzire, niti može da zaštiti svoja prava pred njihovim organima.

Stoga je sud zaključio da više nije dovoljno koristiti standardne klauzule kao mehanizam transfera ličnih podataka iz EU, već da je potrebno da EU kompanija “izvoznik” podataka uzme u obzir i relevantne zakone i prakse u zemlji “uvoznika” – a pogotovo okolnost da li vlasti u zemlji “uvoznika” mogu imati pristup tim podacima. Ovakva analiza koja se stavlja na teret kompanije koja prenosi podatke iz EU može može konzumirati značajno vreme i imati ozbiljne finansijske posledice. 

Ipak, određene stvari se i posle ovakve presude neće promeniti. “Neophodni” prenosi podataka o ličnosti u SAD mogu još uvek biti vršeni, jer je ovo pravilo takođe sadržano u GDPR, a i u našem zakonu. Primera radi, dozvoljen je prenos podataka koji je neophodan da bi se ispunio neki ugovor (na primer, zaključenje ugovora radi onlajn kupovine). Takođe, ukoliko lice želi da se njegov podatak “izveze” iz EU, to je dozvoljeno ukoliko to lice da svoj pristanak koji u svakom trenutku može da povuče. I dalje nije pravno problematično slanje mejla u SAD, rezervacija hotela u SAD i slično. Sve u svemu, dozvoljeni su oni prenosi podataka koje eksplicitno reguliše GDPR i naš zakon, ali za koje se moraju ispuniti određeni posebni uslovi.

Posledice po kompanije iz Srbije


Presuda je od direktnog značaja na prenos podataka iz Srbije u SAD, zbog toga što je našim Zakonom o zaštiti podataka o ličnosti predviđeno da je prenos podataka iz Srbije, između ostalog, dozvoljen u zemlje za koje je od strane EU utvrđeno da obezbeđuju primereni tj. adekvatni nivo zaštite podataka. SAD je uživala taj status zahvaljujući Privacy Shield odluci. To praktično znači da je sa stanovišta Srbije prenos podataka u  SAD sada u istom režimu kao prenos u države poput Rusije,1 Kine ili Indije. 

Veliki broj sprskih kompanija “autsorsuje” obradu ličnih podataka američkim IT kompanijama, na primer, koriste servere američkih kompanija poput Amazona ili Digital Ocean-a za skladištenje podataka. Jedan od odgovora je svakako da svoje poslovanje preusmere na neke druge teritorije u koje je prenos podataka ovog trenutka još uvek dozvoljen (evropske zemlje, Japan, Kanada, itd). 

Sada kada više nije dozvoljeno da veliki broj američkih kompanija koriste EU standardne kluzule kao osnov za unos podataka u USA, ukoliko te podatke prema američkim zakonima moraju da dele sa NSA – postavlja se pitanje šta moraju da urade EU i srpske kompanije na koje se GDPR ekstrateritorijalno primenjuje koje sa njima sarađuju i prenose im lične podatke.

U slučaju da te kompanije ipak žele da vrše prenos podataka u USA na osnovu ovih klauzula, potrebno je da izvrše dodatne provere kako bi bilo moguće proceniti da li je prenos podataka konkretnoj američkoj kompaniji još uvek dozvoljen. Određene savete o tome na koji način je moguće pristupiti američkim partnerima daje upravo Maks Šrems. Na sajtu NOYB, nevladine organizacije koju je Šrems osnovao i koja se bavi pitanjima zaštite ličnih podataka, moguće je naći već pripremljene formulare tj. pisma koja je moguće korisititi u ovu svrhu. 

Srpske kompanije koje nastave da vrše prenos u SAD koji je nakon presude postao nevažeći uočavaju se sa potencijalnim kaznama za nedozvoljen prenos prema domaćem zakonu. Dodatno, ukoliko je u pitanju srpska kompanija na koju se GDPR primenjuje direktno, ostaje kao mogućnost i kažnjavanje prema GDPR režimu, za koje je još uvek otvoreno pitanje kako bi bilo ostvareno u praksi. 

Pravo na privatnost i profit


U evropskom pravnom prostoru privatnost je osnovno ljudsko pravo. To znači da fizička lica imaju širok spektar zagarantovanih prava u odnosu na svoje podatke o ličnosti koja mogu ostvariti pred evropskim sudovima. S druge strane, pravna lica i državni organi jasno postavljene granice dokle i na koji način smeju da zadiru u ta prava. Situacija u SAD je malo drugačija. Tamo privatnost nije u korpusu osnovnih ljudskih prava, a nakon otkrića koje je 2013. godine započeo Edvard Snouden, svima je jasno da američke vlasti imaju ovlašćenja za masovni nadzor i američkih i svih ostalih građana – pri čemu ta ovlašćenje nisu pod neposrednom sudskom kontrolom. Pri tome, stranci u SAD nemaju ni približno ista prava pred američkim sudovima kao američki građani.

Sve ovo je bio povod da Maks Šrems 2013. godine zatraži od Facebook-a, čiji je bio korisnik, da njegove podatke ne prenosi iz Evrope (gde se podaci prikupljaju i primarno obrađuju) u SAD, gde on kao građanin Evropske unije nema skoro nikakva prava. Pošto je Facebook taj zahtev odbio, Šrems je pokrenuo spor koji je u sledstvenom nizu pravnih postupaka završio pred najvećim sudskim autoritetom u Evropskoj uniji – CJEU. Sud je tom prilikom razmatrao argumente koji su izneti u prilog tvrdnje da je ovaj prenos dozvoljen na osnovu pravnog akta, koji se nazivao Safe Harbour Privacy Principles. To je bio dokument koji je bio dogovoren na nivou EU i vlasti u SAD, a koji je sa EU strane usvojila Evropska komisija. Ovaj akt je omogućavao američkim kompanijama da se pod određenim uslovima kvalifikuju kao pravno “bezbedni” uvoznici podataka o ličnosti iz Evrope, u skladu sa tada važećom EU Direktivom o zaštiti podataka. Ipak, 2015. godine je CJEU poništio odluku Evropske komisije o usvajanju Safe Harbour principa, sudskom odlukom koja se popularno naziva “Šrems I”.

Pošto je Safe Harbour akt prestao da važi, Evropska komisija i SAD su uskoro počele pregovore o novom pravnom instrumentu koji bi na sličan način sistematski rešio EU-SAD prenose ličnih podataka. Takav pravni akt je sa EU strane opet usvojen odlukom Evropske komisije u julu 2016. godine i nazivao se EU-US Privacy Shield.

Sa pravne strane, situacija je zapravo i komplikovanija od postojanja opštih pravni akata, kao što su Safe Harbour i Privacy Shield, jer je prenos ličnih podataka iz EU u SAD, ili bilo koju treću zemlju, kako je napomenuto gore, moguće vršiti i putem potpisivanja standardnih ugovornih klauzula, čiji tekst takođe odobrava Evropska komisija. Nakon Šrems I odluke, Facebook je zapravo tvrdio da oni prenos podataka u SAD vrše baš na osnovu ovih ugovornih klauzula koje su potpisale njihova kompanija sa sedištem u Irskoj i njihova kompanija u Kaliforniji.

Pošto je Maks Šrems bio uporan, on je 2015. godine odmah nastavio pravnu borbu insistirajući da je prenos njegovih podataka u SAD nezakonit. Suštinski, problem je u tome što Facebook prema američkom pravu ima obavezu da obezbedi masovni nadzor koji vrše američke vlasti, i zbog toga nikako ne može da garantuje pravnu bezbednost podataka evropskih građana, bez obzira na EU pravni akt koji koristi kao osnov za prenos podataka. Posle niza pravnih i sudskih peripetija njegov slučaj je ponovo došao do CJEU, koji je sada suštinski odlučivao o zakonitosti i EU-US Privacy Shield i EU standardnih klauzula.



1Rusija se nalazi na listi država u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti na osnovu odluke Vlade Srbije koja je objavljena u Službenom glasniku RS, br. 55/19 od 2.8.2019. godine.


Jelena Adamović je advokat i pravni istraživač u SHARE Fondaciji.

Dunja Tasić je advokatica i osnivačica Cyber Avocada. Bavi se zaštitom podataka o ličnosti i pružanjem pravnih usluga IT i povezanim sektorima.

Čitaj još: