SCHREMS II, pričakovani in grozljivi finale

SCHREMS II, pričakovani in grozljivi finaleSodišče Evropske unije je 16. julija 2020 razveljavilo zasebnostni ščit, ključni sporazum, ki je predstavljal pravno podlago za prenos osebnih podatkov med Evropo in Združenimi državami.

Več kot 5300 ameriških podjetij je uporabljalo ščit za obdelavo podatkov in morajo zdaj spremeniti pravno podlago za svoje prenose.

Odločitev je bila posledica pritožbe Maxa Schremsa, avstrijskega državljana, ki je že sprožil postopek za razveljavitev sporazuma, ki je bil sklenjen pred ščitom, tj. "Načel varnega pristana".

Pritožnik je izpodbijal pogoje, pod katerimi so bili njegovi podatki, ki jih je obdeloval Facebook, posredovani Združenim državam.

Na podlagi tega spora je Sodišče v svoji sodbi, pogosto imenovani "Schrems II", pravkar analiziralo veljavnost dveh pravnih instrumentov, ki dovoljujeta prenose zunaj Evropske unije:

• Standardne pogodbene klavzule, ki se načeloma lahko uporabljajo s katero koli tretjo državo, in
• Sklep Evropske komisije 2016/1250 o zasebnostnem ščitu, sporazumu, prilagojenem prenosom podatkov v Združene države Amerike.

Sodišče ni razveljavilo standardnih pogodbenih klavzul – scenarij, ki je mnogim podjetjem in odvetnikom povzročil hladen znoj.

Vendar pa njihova uporaba ostaja odvisna od konkretne ocene izvoznika podatkov o tem, kako se klavzule dejansko uporabljajo v tretji državi, pri čemer se upoštevajo zlasti možnosti dostopa javnih organov, kot so obveščevalne službe, do podatkov.

V primeru dostopa do podatkov, ki ni združljiv z načeli klavzul, je odgovornost izvoznika, če tega ne stori, pa nadzornega organa (enakovrednega CNIL), da začasno ustavi prenos.

V primeru zasebnostnega ščitaSodišče je razsodilo, da čeprav načela sporazuma načeloma zagotavljajo raven zaščite, ki je v bistvu enakovredna ravni Evropske unije, pa konkretne zahteve v zvezi z nacionalno varnostjo, javnim interesom in skladnostjo z ameriško zakonodajo ta načela izničijo.

Ugotovilo je, da je obseg nadzornih pooblastil ameriških oblasti v skladu z evropsko zakonodajo prekomeren in da pravice tujih državljanov do pritožbe na neodvisna sodišča niso zagotovljene.

Zaradi teh ugotovitev je sklep štelo za neveljaven.

In zdaj?

Prenosi v Združene države Amerike ne morejo več temeljiti na sistemu Shield.

Medtem ko se nekateri obračajo k standardnim pogodbenim klavzulam, ta rešitev vzbuja dvome: te klavzule načeloma ostajajo veljavne, vendar se pri uporabi za prenos v Združene države soočajo z isto težavo kot Shield: obseg nadzornih ukrepov na ameriških tleh in nezadostna sredstva za pravno sredstvo za zadevne osebe.

Nekateri govorijo o možnosti šifriranja podatkov pred prenosom, da bi preprečili njihovo uporabo s strani ameriških oblasti, vendar to ne upošteva možnosti, da oblasti zakonito zahtevajo njihovo dešifriranje.

Evropski odbor za varstvo podatkov (EDPB) je 17. julija objavil sporočilo za javnost, v katerem povzema svoje prve ugotovitve in napoveduje dodatne smernice.

Omeniti je mogoče naslednja opažanja:

– Odločitev sodišča neposredno vpliva na prenose v Združene države Amerike, vendar so prizadeti tudi vsi mednarodni prenosi;

– Uporaba standardnih pogodbenih klavzul za prenos v katero koli tretjo državo je še vedno mogoča, vendar jo mora izvoznik posebej preveriti glede vsebine klavzul, konteksta prenosa in pravne ureditve, ki se uporablja v tretji državi (zlasti glede nacionalne varnosti);

– Če bodo razmere predstavljale posebna tveganja, bo treba sprejeti dodatne ukrepe: odbor za varstvo podatkov trenutno pripravlja določitev teh ukrepov.

– Opozarjamo, da je uvoznik dolžan obvestiti izvoznika o vsaki spremembi zakonodaje, ki bi vplivala na uporabo klavzul in bi zato lahko privedla do njihove začasne ustavitve.

Evropska komisija je sporočila, da je začela dialog z ameriškimi kolegi z namenom dosege sporazuma, ki bi zagotavljal višjo raven varstva podatkov.

Medtem je združenje Maxa Schremsa, NOYB (»None Of Your Business«), vložilo 101 tožbo proti podjetjem, ki delujejo po vsej Evropski uniji, vključno z Googlom, Facebookom in Microsoftom, ali uporabljajo Google Analytics in Facebook Connect, ne da bi v odgovor na sodbo sodišča ukrepalo.

Obstajajo možnosti za prenos podatkov, ki niso del standardnih pogodbenih klavzul.

Pojasnjeni so bili v marčevskem uvodniku tega glasila.

Alternativa je upravljanje podatkov na evropskih tleh namesto njihovega prenosa.

V upanju, da bo ta odločitev spodbudila razvoj takšnih lokalnih storitev.

In tudi

Francija:

• CNIL (francoski organ za varstvo podatkov) začenja preiskavo aplikacije TikTok: poleg spora med kitajskim podjetjem in Združenimi državami Amerike potekajo tudi preiskave glede skladnosti aplikacije z GDPR v Evropi. CNIL usklajuje svoje delo z drugimi nadzornimi organi v okviru Evropskega odbora za varstvo podatkov (EDPB).

• CNIL je 5. avgusta v sodelovanju z evropskimi kolegi še vedno naložil globo v višini 250.000 evrov spletnemu prodajnemu podjetju Spartoo zaradi neupoštevanja načel minimizacije podatkov, hrambe, informacij in varnosti, ki jih določa GDPR.

Evropa:

• Britanski nadzorni organ ICO so poslanci kritizirali zaradi nezadostnega ukrepanja glede kršitev GDPR, zlasti v kontekstu pandemije COVID-19.

• Tudi v Združenem kraljestvu je pritožbeno sodišče 11. avgusta razsodilo, da uporaba tehnologije za prepoznavanje obrazov s strani policije Južnega Walesa krši temeljne pravice, vključno s pravico do varstva podatkov.

• Evropska komisija trenutno pripravlja uredbo za digitalne storitve, s katero bi okrepila te storitve na notranjem trgu in pojasnila pravni okvir za mala podjetja. Evropski parlament v zvezi s tem pripravlja priporočilo, ki naj bi obravnavalo vrsto vprašanj varstva podatkov, vključno s šifriranjem informacij, preglednostjo algoritmov in zaščito biometričnih podatkov.

• Evropska komisija je 4. avgusta objavila, da začenja preiskavo Googlovega predlaganega prevzema podjetja Fitbit. Njeni pomisleki se nanašajo predvsem na koncentracijo podatkov v rokah prevladujočega akterja, zlasti zdravstvenih podatkov.

Mednarodno:

• Združene države Amerike: Ministrstvo za domovinsko varnost je v analizi učinka z dne 30. julija podrobno opisalo prakse, ki so se že leta uporabljale na zunanjih mejah države in ki agentom omogočajo kopiranje vsebine telefonov in računalnikov ljudi, ki vstopajo v Združene države Amerike, ter njihovo hrambo 75 let.

• Twitter je v začetku avgusta potrdil, da je predmet preiskave ameriške Zvezne komisije za trgovino glede uporabe podatkov o strankah v oglaševalske namene.

• Brazilija: Zakon o varstvu osebnih podatkov bo začel veljati 27. avgusta. Pravkar je bil ustanovljen tudi nadzorni organ.

• Tudi v Latinski Ameriki Čile posodablja svojo zakonodajo o varstvu podatkov, regulativni projekti pa potekajo v Paragvaju in Ekvadorju.
• Egipt je 17. junija sprejel zakon o varstvu osebnih podatkov.