SCHREMS II, un final attendu et redouté

SCHREMS II, iščekivani i strašni finale

SCHREMS II, iščekivani i strašni finaleDana 16. srpnja 2020. Sud Europske unije poništio je Privacy Shield, ključni sporazum koji je činio pravnu osnovu za prijenos osobnih podataka između Europe i Sjedinjenih Američkih Država.

Više od 5300 američkih tvrtki koristilo je Štit za obradu svojih podataka i sada moraju promijeniti pravnu osnovu za svoje prijenose.

Odluka je potaknuta pritužbom Maxa Schremsa, austrijskog državljanina koji je već pokrenuo postupak za raskid sporazuma koji je prethodio Štitu, "Načela sigurne luke".

Podnositelj pritužbe osporio je uvjete pod kojima su njegovi podaci koje je obradio Facebook preneseni u Sjedinjene Američke Države.

Na temelju ovog spora, Sud je, u svojoj presudi često nazivanoj "Schrems II", upravo analizirao valjanost dvaju pravnih instrumenata koji dopuštaju prijenose izvan Europske unije:

  • Standardne ugovorne klauzule, koje se u načelu mogu koristiti s bilo kojom trećom zemljom, i
  • Odluka Europske komisije 2016/1250 o Štitu privatnosti, sporazumu prilagođenom prijenosima u Sjedinjene Američke Države.

Sud nije poništio standardne ugovorne klauzule – scenarij koji je mnogim tvrtkama i odvjetnicima izazvao hladan znoj.

Međutim, njihova upotreba i dalje ovisi o konkretnoj procjeni izvoznika podataka o načinu na koji se klauzule stvarno primjenjuju u trećoj zemlji, uzimajući u obzir posebno mogućnosti pristupa podacima od strane javnih tijela poput obavještajnih službi.

U slučaju pristupa podacima koji nisu u skladu s načelima klauzula, odgovornost je izvoznika, a ako to ne učini, nadzornog tijela (ekvivalentnog CNIL-u) da obustavi prijenos.

 

U slučaju Štita privatnosti, Sud je utvrdio da, čak i ako načela sporazuma u načelu pružaju razinu zaštite koja je u biti jednaka onoj Europske unije, konkretni zahtjevi koji se odnose na nacionalnu sigurnost, javni interes i poštivanje američkog zakonodavstva čine ta načela neučinkovitima.

Utvrđeno je da je opseg nadzornih ovlasti američkih vlasti bio prekomjeran prema europskom pravu te da prava osoba koje nisu državljani SAD-a na žalbu neovisnim sudovima nisu bila zajamčena.

Ovi nalazi doveli su do toga da odluku smatra nevažećom.

A sada?

Transferi u Sjedinjene Države više se ne mogu temeljiti na Štitu.

Dok se neki okreću standardnim ugovornim klauzulama, ovo rješenje izaziva sumnje: te klauzule u načelu ostaju važeće, ali se suočavaju s istim problemom kao i Štit kada se koriste za transfer u Sjedinjene Države: opseg mjera nadzora na američkom tlu i nedovoljna sredstva za pravnu zaštitu dotičnih osoba.

Neki ljudi govore o mogućnosti šifriranja podataka prije prijenosa kako bi se spriječilo njihovo korištenje od strane američkih vlasti, ali to ne uzima u obzir mogućnost da vlasti legalno zahtijevaju njihovo dešifriranje.

Europski odbor za zaštitu podataka (EDPB) objavio je 17. srpnja priopćenje za javnost u kojem sažima svoje početne nalaze i najavljuje dodatne smjernice.

Mogu se primijetiti sljedeća zapažanja:

– Odluka Suda izravno utječe na transfere u Sjedinjene Američke Države, ali utječe i na sve međunarodne transfere;

– Korištenje standardnih ugovornih klauzula za prijenos u bilo koju treću zemlju i dalje je moguće, ali izvoznik mora provesti posebne provjere u vezi sa sadržajem klauzula, kontekstom prijenosa i pravnim režimom koji se primjenjuje u trećoj zemlji (posebno u vezi s nacionalnom sigurnošću);

– Ako situacija predstavlja posebne rizike, morat će se poduzeti dodatne mjere: EDPB trenutno radi na specificiranju tih mjera.

– Podsjeća se da uvoznik ima dužnost obavijestiti izvoznika o svakoj promjeni zakonodavstva koja bi utjecala na primjenu klauzula i koja bi stoga mogla dovesti do njihove suspenzije.

Europska komisija objavila je da je započela dijalog sa svojim američkim kolegama s ciljem postizanja sporazuma kojim se osigurava viša razina zaštite podataka.

 

U međuvremenu, udruga Maxa Schremsa, NOYB ("None Of Your Business"), podnijela je 101 tužbu protiv tvrtki koje posluju diljem Europske unije, uključujući Google, Facebook i Microsoft, ili koriste Google Analytics i Facebook Connect bez poduzimanja ikakvih mjera kao odgovor na presudu Suda.

Postoje mogućnosti prijenosa podataka, osim standardnih ugovornih klauzula.

Objašnjeni su u ožujskom uvodniku ovog biltena.

Alternativa je upravljanje podacima na europskom tlu umjesto njihovog prijenosa.

Nadam se da će ova odluka potaknuti razvoj takvih lokalnih usluga.

I također

Francuska:

  • CNIL (Francusko tijelo za zaštitu podataka) pokreće istragu o TikToku: osim zastoja između kineske tvrtke i Sjedinjenih Država, u Europi su u tijeku istrage o usklađenosti aplikacije s GDPR-om. CNIL koordinira svoj rad s drugim nadzornim tijelima u okviru EDPB-a.
  • I dalje u suradnji sa svojim europskim kolegama, CNIL je 5. kolovoza izrekao kaznu od 250.000 eura tvrtki za online prodaju Spartoo zbog nepoštivanja načela minimizacije podataka, zadržavanja, informacija i sigurnosti predviđenih GDPR-om.

Europa:

  • Britansko nadzorno tijelo, ICO, kritizirali su parlamentarci zbog nedovoljnog djelovanja u svjetlu kršenja GDPR-a, posebno u kontekstu pandemije COVID-19.
  • Također u Ujedinjenom Kraljevstvu, žalbeni sud je 11. kolovoza presudio da korištenje tehnologije prepoznavanja lica od strane policije Južnog Walesa krši temeljna prava, uključujući pravo na zaštitu podataka.
  • Europska komisija trenutno radi na uredbi za digitalne usluge kako bi ojačala te usluge unutar unutarnjeg tržišta i pojasnila pravni okvir za mala poduzeća. Europski parlament priprema preporuku u tom kontekstu, za koju se očekuje da će se pozabaviti nizom problema zaštite podataka, uključujući šifriranje informacija, mogućnost revizije algoritama i zaštitu biometrijskih podataka.
  • Europska komisija je 4. kolovoza objavila da pokreće istragu o Googleovoj predloženoj akviziciji Fitbita. Njezina zabrinutost prvenstveno se odnosi na koncentraciju podataka u rukama dominantnog igrača, posebno zdravstvenih podataka.

Međunarodno:

  • Sjedinjene Američke Države: U analizi utjecaja od 30. srpnja, Ministarstvo domovinske sigurnosti detaljno opisuje prakse koje se godinama primjenjuju na vanjskim granicama zemlje, a koje agentima omogućuju kopiranje sadržaja telefona i računala osoba koje ulaze u Sjedinjene Američke Države i njihovo čuvanje u razdoblju od 75 godina.
  • Twitter je početkom kolovoza potvrdio da je predmet istrage američke Federalne trgovinske komisije u vezi s korištenjem podataka o korisnicima u reklamne svrhe.
  • Brazil: Zakon o zaštiti osobnih podataka stupit će na snagu 27. kolovoza. Upravo je osnovano i nadzorno tijelo.
  • Također u Latinskoj Americi, Čile modernizira svoj zakon o zaštiti podataka, a regulatorni projekti su u tijeku u Paragvaju i Ekvadoru.
  • Egipat je 17. lipnja usvojio zakon o zaštiti osobnih podataka.

 

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR