Novi pravni okvir prenosa podataka o ličnosti između EU i SAD – već viđeno?
18. jul 2023.Evropska komisija je 10. jula 2023. godine usvojila novi mehanizam prenosa podataka o ličnosti na relaciji EU i SAD. U pitanju je Odluka br. C (2023) 4745 („Odluka“), shodno kojoj SAD pružaju adekvatan, odnosno primeren nivo zaštite, uporediv sa onim u EU, i to u pogledu podataka o ličnosti koji se iz EU prenose kompanijama iz SAD, bez obaveze preduzimanja dodatnih mera zaštite. Odluka je stupila na snagu, odnosno počela da se primenjuje danom donošenja.
Međutim, ovaj (treći) pokušaj Evropske komisije da uspostavi predmetni mehanizam će verovatno (ponovo) biti predmet rasprave pred Evropskim sudom pravde. Naime, kako tvrdi NOYB, organizacija aktivista za zaštitu privatnosti, čiji osnivač Max Schrems je izdejstvovao poništenje prethodnih mehanizama (presude Evropskog suda pravde poznate kao Schrems I i Schrems II), aranžman uspostavljen Odlukom u najvećoj meri predstavlja kopiju Privacy Shield-a (Štita privatnosti).
Podsećanja radi, Privacy Shield je pravni mehanizam koji je od 2016. godine korišćen kao osnov za prenos podataka iz EU u SAD i koji je odlukom Evropskog suda pravde od 16. jula 2020. godine stavljen van snage (kada je odluka Evropske Komisije 2016/1250 o EU-USA Privacy Shield aranžmanu proglašena nevažećom).
Sam Privacy Shield je 2016. godine zamenio Safe Harbour Privacy Principles, pravni dokument usvojen od strane EU i SAD, koji je na sličan način kao Privacy Shield omogućavao rukovaocima sa sedištem u SAD da se pod određenim uslovima sertifikuju kao bezbedni rukovaoci za podatke porekom iz EU.
Problematika Privacy Shield-a
Kao što smo pisali u jednom od naših prethodnih tekstova (dostupan ovde), Privacy Shield aranžman je ukinut iz razloga postojanja direktnog konflikta između širokih ovlašćenja organa vlasti utvrđenih propisima SAD s jedne i fundamentalnih prava garantovanih u EU s druge strane. Drugim rečima, isti licima na koja se podaci odnose nije omogućavao zaštitu pred nezavisnim telom, odnosno garancije ekvivalentne onima koje zahteva regulativa EU, kao što su nezavisnost u radu i pravna snaga odluka koje bi obavezivale obaveštajne službe SAD.
Naime, dok su propisi SAD (npr. Foreign Intelligence Surveillance Act, tj. FISA) krajnje restriktivni u pogledu zaštite podataka o ličnosti (tj. omogućavaju značajno zadiranje u privatnost lica), regulativa EU još od 1995. godine dozvoljava prenošenje takvih podataka van EU samo ukoliko postoji suštinski ekvivalentna zaštita u zemlji odredišta.
Sadržaj Odluke
Shodno informaciji sa veb-sajta Evropske komisije, novi EU-SAD okvir privatnosti podataka uvodi nove obavezujuće zaštitne mere, kojima se otklanjaju razlozi iz kojih je Evropski sud pravde ukinuo Privacy Shield aranžman, uključujući ograničavanje pristupa američkim obaveštajnim službama podacima EU na ono što je neophodno i proporcionalno, te uspostavljanje Suda za razmatranje zaštite podataka (Data Protection Review Court), kome će pojedinci iz EU moći da se obrate.
Novi okvir, kako se navodi, uvodi značajna poboljšanja u poređenju sa mehanizmom koji je postojao u okviru Privaci Shield-a. Na primer, ukoliko Sud za razmatranje zaštite podataka utvrdi da su podaci prikupljeni suprotno novim zaštitnim merama, moći će da naredi njihovo brisanje.
Saglasno novom mehanizmu, kompanije iz SAD (kao primaoci podataka) će putem sertifikacije moći da mu pristupe, obavezujući se da će poštovati niz pravila, tj. obaveza koje su njime uspostavljene, kao što su obaveza brisanja podataka nakon što oni više nisu potrebni, te obezbeđivanje kontinuiteta zaštite podataka u slučaju njihovog deljenja sa trećim licima.
Pored Suda za reviziju zaštite podataka, novi okvir predviđa i druge mehanizme obeštećenja pojedinaca čiji su podaci o ličnosti povređeni, npr. putem postupka arbitraže.
Kompletan tekst Odluke dostupan je ovde.
Stav NOYB-a
Međutim, po mišljenju NOYB-a, ovaj najnoviji pokušaj uređenja prenosa podataka o ličnosti na relaciji EU-SAD ne donosi materijalne, već isključivo kozmetičke promene. Tako, na primer:
- iako je obrada podataka o ličnosti poreklom iz EU od strane američkih obaveštajnih službi formalno organičena na ono što je neophodno i proporcionalno, NOYB smatra da se pojam proporcionalnosti u SAD tumači drugačije u odnosu na regulativu EU i stanovište Suda pravde EU po tom pitanju, što može predstavljati osnov za dalja sporenja;
- SAD nisu izmenile FISA pravila, naričito Odeljak 702, koji se tiče vršenja nadzora od strane nadležnih organa SAD nad licima izvan SAD putem pružalaca usluga elektronskih komunikacija, a koja pravila su naročito problematična iz ugla EU regulative.
Uopšteno, NOYB smatra da izmene koje Odluka donosi u poređenju sa Privacy Shield-om nisu na zadovoljavajućem nivou, te sledstveno tome najavljuje osporavanje ovog novog okvira pred Evropskim sudom pravde. Da li ćemo kroz nekoliko godina imati i presudu Schrems III, ostaje da se vidi.
Značaj odluke EU o primerenom nivou zaštite podataka o ličnosti u SAD za prenose iz Republike Srbije u SAD
Kada je reč o prenosu podataka o ličnosti na relaciji Republika Srbija – SAD, Odlukom o listi država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti (Sl. glasnik RS br. 55/2019) utvrđeno je da je prenos podataka iz Srbije u SAD ograničen na „Privacy Shield framework“.
Dakle, iako je Privacy Shield aranžman stavljen van snage još 2020. godine, pomenuta odluka u međuvremenu nije izmenjena.
Imajući to u vidu, tj. da predmetna odluka i dalje sadrži istovetnu formulaciju u pogledu prenosa podataka o ličnosti u SAD (ograničeno na „Privacy Shield framework“), moglo bi se reći da je istom obuhvaćen i pravni okvir, tj. mehanizam koji je sada zamenio Privacy Shield, te da je takav prenos moguć onim privrednim subjektima iz SAD koji su sertifikovani u smislu Odluke.
Naravno, ostaje da se vidi kakav će stav po predmetnom pitanju zauzeti Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti.
Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.