Padec Ščita zasebnosti EU-ZDA – kako naprej?

Padec Ščita zasebnosti EU-ZDA – kako naprej?

S sodbo Sodišča Evropske unije (SEU) v zadevi C-311/18 (Data Protection Commissioner proti Facebook Ireland LTD., Maximiliam Schrems), je sodišče preučilo veljavnost standardnih pogodbenih klavzul ter tudi veljavnost Sklepa 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA.

Glede veljavnosti Sklepa Evropske komisije z dne 05.02.2010 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo 97/46 (2010/87/EU) je SEU ocenilo, da je sklep veljaven. Pri tem pa SEU pojasnjuje, da s standardnimi določili o varstvu podatkov zaradi njihove narave ni mogoče zagotoviti jamstev, ki bi presegala pogodbeno obveznost zagotavljanja spoštovanja ravni varstva, ki se zahteva s pravom Unije, zaradi česar se lahko izkaže, da bo moral upravljavec glede na položaj v neki tretji državi za zagotovitev te ravni varstva sprejeti dodatne ukrepe. Prenašanje osebnih podatkov v skladu z določili navedenega sklepa je potrebno prekiniti ali prepovedati v primeru kršitve takšnih določil ali ko jih ni mogoče spoštovati. Enaka opozorila veljajo tudi v primeru uporabe zavezujočih poslovnih pravil.

Predmet presoje SEU je bil tudi Sklep 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA, ki ga je sodišče razglasilo za neveljavnega. Pri tem ni bilo določeno nobeno obdobje odloga te neveljavnosti, temveč so prenosi na tej podlagi nezakoniti. T.i. Ščit zasebnosti EU-ZDA je sicer Evropska komisija objavila 29.02.2016, pri čemer je bil njegov namen nadomestiti Dogovor o Varnem pristanu med EU in ZDA, (SEU ga je razveljavilo dne 06.10.2015 v primeru Schrems). Že od njegove objave so državni nadzorni organi ugotavljali, da ima Ščit zasebnosti določene pomanjkljivosti. SEU je v sodbi z dne 16.07.2020 svojo odločitev utemeljevalo z navedbami, da dvomi, da pravo Združenih držav Amerike dejansko zagotavlja ustrezno raven varstva, ki se zahteva s členom 45. Splošne uredbe o varstvu podatkov (GDPR), pri čemer SEU posebej navaja, da to pravo ne določa potrebnih omejitev in zaščitnih ukrepov v zvezi s posegi, ki jih dovoljuje nacionalna ureditev Združenih držav Amerike, prav tako pa ne zagotavlja učinkovitega sodnega varstva pred takimi posegi. Ameriški varuh človekovih pravic, ki bi naj pomagal državljanom EU pri uveljavljanju njihovih pravic v zvezi z varstvom njihovih osebnih podatkov pa naj ne bi imel dovolj velike, niti zavezujoče, avtoritete nad ameriškimi obveščevalnimi službami.

Pri tem pa velja poudariti, da bo prenos osebnih podatkov med EU in ZDA še vedno dovoljen za primere iz 49. člena GDPR:

  • posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;
  • prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;
  • prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;
  • prenos je potreben zaradi pomembnih razlogov javnega interesa;
  • prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;
  • prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;
  • prenos se opravi iz registra, ki je po pravu Unije ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije ali pravom države članice.

Odzivi na sodbo so številni, pri čemer nekega skupnega stališča oziroma navodil kako postopati še ni, čeprav je od objave sodbe minil že dober mesec in pol. Še vedno se torej čaka konkreten odziv evropskih regulatorjev. Evropski odbor za varstvo podatkov je sicer pojasnil, da medtem, ko standardne pogodbene klavzule ostajajo veljavne,  SEU s svojo sodbo poudarja, da je treba v praksi zagotoviti raven zaščite, ki je v bistvu enakovredna ravni, ki jo zagotavlja GDPR. Za oceno, ali države, v katere se pošiljajo podatki, nudijo ustrezno zaščito, sta odgovorna predvsem izvoznik in uvoznik podatkov, ko se odločata ali bosta uporabila standardne pogodbene klavzule. Pri izvajanju takšne predhodne ocene izvoznik (po potrebi s pomočjo uvoznika) upošteva vsebino standardnih pogodbenih klavzul, posebne okoliščine prenosa in pravni režim, ki velja v državi uvoznika. Slednje se preuči upoštevajoč določilo člena 45 (2) GDPR. Če je rezultat te ocene, da država uvoznika podatkov ne zagotavlja v bistvu enakovredne ravni zaščite, bo moral uvoznik razmisliti o uvedbi dodatnih ukrepov k tistim, vključenim v standardne pogodbene klavzule. Evropski odbor za varstvo podatkov zaključi, da  preučujejo, kateri bi lahko bili ti ukrepi.

Kar zadeva odzive pri nas, Informacijski pooblaščenec na svoji spletni strani pojasnjuje, da je prenose potrebno utemeljiti na drugi podlagi (npr. standardne pogodbene klavzule, zavezujoča poslovna pravila, izjeme). Tudi nadzorni organi drugih evropskih držav se zaenkrat omejujejo le na predstavitev odločbe SEU in poudarjajo veljavnost standardnih pogodbenih klavzul kot enega od načinov prenosa osebnih podatkov v Združene države Amerike. Tako kot Informacijski pooblaščenec pri nas, tudi drugi nadzorni organi poudarjajo, da je potrebno poskrbeti, da so pri vsakokratnem iznosu osebnih podatkov zajeta in spoštovana vsa načela evropskega varstva osebnih podatkov in s tem zagotovljena ustrezna raven varstva kot je predstavljena tudi v sodbi SEU v zadevi C-311/18.