Privacy Shield je pravni mehanizam koji je od 2016. godine korišćen kao osnov za prenos podataka iz EU u SAD. Pogodnostima ovog aranžmana mogli su da se služe i rukovaoci na koje se primenjuje srpski Zakon o zaštiti podataka o ličnosti (“ZZPL”), imajući u vidu relevantne odredbe ZZPL i posebne odluke Vlade Republike Srbije.

Sud pravde Evropske unije je 16. jula 2020. godine proglasio nevažećom odluku Evropske Komisije 2016/1250 o EU-USA Privacy Shield aranžmanu. Posledice ove odluke su značajne, pre svega po subjekte na koje se primenjuje GDPR, a što usled njegove ekstrateritorijalne primene mogu biti i subjekti sa sedištem ili prebivalištem u Republici Srbiji. Međutim, kao što je napred navedeno, odluka suda ima i širi domašaj.

Šta je zapravo Privacy Shield?

Privacy Shield aranžman je 2016. godine zamenio Safe Harbour Privacy Principles, pravni dokument usvojen od strane EU i SAD, a koji je na sličan način kao Privacy Shield omogućavao rukovaocima sa sedištem u SAD da se pod određenim uslovima sertifikuju kao bezbedni rukovaoci za podatke porekom iz EU. Na osnovu pritužbe koju je austrijski pravnik Maksimilijan Šrems (Maximillian Schrems) podneo irskom Povereniku za zaštitu podataka o ličnosti (DPC) protiv kompanije Facebook Ireland Limited, nezadovoljan što se njegovi podaci prenose u SAD i čuvaju na serverima koji pripadaju kompaniji Facebook Inc, iniciran je spor pred Sudom pravde. Ovaj spor je 2015. godine rezultirao poništajem odluke Evropske komisije o usvajanju Safe Harbour principa (tzv. presuda Šrems I).

Šrems je nakon toga nastavio svoju pravnu borbu kako bi sprečio Facebook da njegove podatke obrađuje u SAD, imajući u vidu da ova kao i mnoge druge kompanije podpadaju pod primenu propisa SAD koji su veoma restriktivni u pogledu zaštite privatnosti, kao što je na primer Foreign Intelligence Surveillance Act (FISA).

Šremsova borba je i drugi put bila uspešna, te je rezultirala poništajem odluke Evropske komisije o usvajanju Privacy Shield-a (tzv. presuda Šrems II).

Stav Suda pravde u slučaju Šrems II

U osnovi, sud je utvrdio da su široka ovlašćenja organa vlasti utvrđena propisima SAD o vršenju nadzora u direktnom konfliktu sa fundamentalnim pravima garantovanim u EU.

Sud je takođe našao da mehanizam pravne zaštite uspostavljen odlukom Evropske komisije 2016/1250 (Ombudsperson Mechanism) ne omogućava licima na koje se podaci odnose zaštitu pred telom koje pruža garancije ekvivalentne onima koje zahteva pravo EU, kao što su nezavisnost u radu i pravna snaga odluka koje bi obavezivale obaveštajane službe SAD.

Sud se takođe osvrnuo i na primenu standardnih ugovornih klauzula (“SCCs”) (na koje se pozivao i Facebook u toku postupka), ali njihovu punovažnost i dalju primenu nije osporio. Naime, sud je našao da se njihova punovažnost ne može dovesti u pitanje samo zbog toga što one ne vezuju i organe vlasti države u koju su podaci preneti, a imajući u vidu pre svega njihovu ugovornu prirodu i samim tim inter partes dejstvo.

Ipak, sud je naglasio da svakako postoji obaveza, kako izvoznika tako i uvoznika podataka, da pre prenosa provere nivo zaštite podataka u državi u koju se podaci prenose, kao i da uvoznik podataka ima dužnost da informiše izvoznika o svakoj nemogućnosti postupanja u skladu sa SCCs, u kom slučaju je izvoznik dužan da obustavi prenos podataka i da raskine ugovor sa uvoznikom.

Sud je dakle jasno potvrdio da nije dovoljno da kompanije samo potpišu SCCs već moraju da provere da li se one u praksi mogu poštovati. Ovo se ujedno odnosi na opštu primenu SCCs, ne samo na transfere u SAD.

Slično je i sa obavezujućim poslovnim pravilima (“BCRs”). Sud je, naime, istakao da ukoliko se nivo zaštite koji se zahteva u skladu sa EU pravom ne može ostvariti primenom SCCs ili BCRs, potrebno je proveriti da li je moguća primena dodatnih mera kojima bi se obezbedio suštinski jednak nivo zaštite kao onaj u EU, pri čemu propisi treće države ne smeju uticati na ove dodatne mere na način da umanje njihovu efikasnost.

Prema najavama, European Data Protection Board (EDPB) već radi na analizi presude Suda pravde kako bi utvrdio dodatne mere – pravne, tehničke, organizacione, u situacijama kada SCCs i BCRs ne pružaju dovoljan nivo garancije.

Međutim, treba imati u vidu da presuda Šrems II nije ostavila rok za usklađivanje sa novim uslovima prenosa podataka, zbog čega je neophodno brzo prilagođavanje svih rukovalaca koji su iznosili podatke u SAD na osnovu Privacy Shield aranžmana. Iako se razumno očekuje određeno razumevanje od strane nadležnih tela za zaštitu podataka o ličnosti, poverenik u Berlinu je već sugerisao rukovaocima da podatke koje su skladištili u SAD vrate u EU i da ih ne prenose dalje do nove zakonodavne reforme.

Šta ovo znači za rukovaoce u Republici Srbiji koji prenose podatke u SAD, kada nema mesta ekstrateritorijalnoj primeni GDPR?

Kada je u pitanju prenos podataka u inostranstvo na osnovu primerenog nivoa zaštite podataka o ličnosti, ZZPL sadrži pravnu prezumpciju da je primereni nivo zaštite obezbeđen u državama i međunarodnim organizacijama koje su članice Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka (“Konvencija 108”), kao i u državama, na delovima njihovih teritorija ili u jednom ili više sektora određenih delatnosti u tim državama ili međunarodnim organizacijama za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite.

ZZPL dalje propisuje da se lista država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite objavljuje u „Službenom glasniku Republike Srbije“.

Takvu listu Vlada Republike Srbije je utvrdila Odlukom o Listi država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti (Službeni glasnik RS br. 55/2019, “Odluka”).

Interesantno je primetiti da Vlada nema jasno zakonsko ovlašćenje za “utvrđivanje” takve (pozitivne) liste jer u ovom slučaju zakonska odredba jasno određuje krug takvih država, odnosno teritorija. U skladu sa ovlašćenjem iz narednog stava istog člana, Vlada može samo da utvrdi (negativnu) listu država, odnosno delova njihovih teritorija koje ne obezbeđuju primereni nivo zaštite podataka, pri čemu to ne mogu biti članice Konvencije 108.

Ostavljajući po strani ovaj pravno-tehnički propust, Odlukom je utvrđeno da se na listi država za koje je od strane Evropske unije utvrđeno da obezbeđuju primereni nivo zaštite nalaze i Sjedinjene Američke Države, uz napomenu: ograničeno na Privacy Shield framework.

Dakle, do 16. jula 2020. godine prenos podataka iz Srbije u SAD bio je dozvoljen bez odobrenja Poverenika u okviru primene Privacy Shield aranžmana, što je podrazumevalo da je uvoznik podataka iz SAD bio posebno sertifikovan.

Budući da je Privacy Shield proglašen nevažećim, da li to znači da su svi rukovaoci sa sedištem u Srbiji koji su izvozili podatke u SAD počev od 17. jula 2020. godine, u prekršaju po ZZPL i u riziku od plaćanja novčanih kazni?

Biće interesantno čuti zvanično tumačenje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti o ovom pitanju. Ono što je sigurno jeste da će Odluka morati da bude izmenjena u bliskoj budućnosti kako bi referenca na Privacy Shield bila uklonjena, a do tada potrebno je da čujemo zvaničan stav institucija da li će rukovaoci biti sankcionisani ukoliko ne prestanu samoinicijativno sa praksom prenosa podataka u SAD i pre izmene Odluke.

U vezi sa tim treba istaći da Privacy Shield aranžman, kao ni odluka Evropske komisije ili Suda pravde nisu deo pravnog sistema Republike Srbije i nisu obavezujuće za rukovaoce u Srbiji budući da Srbija nije članica EU, dok sa druge strane za ove rukovaoce jeste obavezujuća još uvek važeća odluka Vlade Republike Srbije koja izričito upućuje na primenu Privacy Shield-a.

Na kraju, ne treba izgubiti iz vida da presuda Šrems II nema dejstvo na mehanizme poput onih iz člana 49. GDPR ili člana 69. ZZPL, te će i dalje biti dozvoljen prenos u slučaju postojanja izričito pristanka lica na koje se podaci odnose ili za potrebe izvršenja ugovora između lica na koje se podaci odnose i rukovaoca, pod predviđenim uslovima.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.