ODLUKA KOJA MENJA SVE – PAD PRIVACY SHIELD-A
POOŠTRENI USLOVI ZA IZNOŠENJE PODATAKA O LIČNOSTI U SAD
Sud pravde Evropske Unije je 16. jula 2020. godine doneo Odluku kojom je pravni mehanizam Privacy Shield Framework proglašen nevažećim. Navedena odluka u velikoj meri ograničava, tj. uslovljava dalji „izvoz“ podataka o ličnosti u Sjedinjene Američke Države, zbog čega najviše trpe veliki internet trgovci.
Šta je tačno predstavljao“Privacy Shield” mehanizam?
EU – US Privacy Shield Framework predstavlja pravni mehanizam koji je donedavno služio za bezbedno iznošenje podataka o ličnosti iz Evropske Unije u Sjedinjene Američke Države.
Osnovni prinicipi (načela) na kojima Privacy Shield počiva su: načelo obaveštenosti, načelo izbora, načelo odgovornosti za dalje prenošenje, načelo sigurnosti, načelo integriteta podataka i ograničenja svrhe, načelo pristupa i načelo regresa, primene i odgovornosti.
Spomenuta odluka je najveće posledice imala upravo na velike internet trgovce, jer oni po prirodi posla imaju potrebe za velikim serverskim kapacitetima na kojima bi skladištili podatke, a najveće serverske kompanije se nalaze upravo u Sjedinjenim Američkim Državama (poput Amazona, DigitalOcean-a, i sl.).
Odluka Suda pravde Evropske Unije
Presuda Suda pravde EU predstavlja istorijsku odluku kada je reč o zaštiti podataka o ličnosti, a doneta je u postupku koji je pokrenuo aktivista i pravnik iz Austrije – Maks Šrems.
Naime, u navedenoj odluci je utvrđeno da mehanizam “Privacy Shield Framework” ne pruža adekvatan nivo zaštite podacima o ličnosti koje se iz Evropske Unije prenose u Sjedinjene Američke Države, zbog čega je isti proglašen nevažećim.
Razlog ovako zauzetom stanovištu Suda pravde Evropske Unije jeste činjenica da američki pravni poredak omogućava svojim nadležnim vlastima (primera radi, NSA – National Security Agency)uvid u podatke o ličnosti koje su “uvezene” iz Evropske Unije iz razloga nacionalne bezbednosti, a sa druge strane licima na koje se podaci o ličnosti odnose ne obezbeđuje nikakav vid zaštite pred sudovima Sjedinjenih Američkih Država.
Posledice Presude Suda pravde Evropske Unije
Prestanak važenja mehanizma “Privacy Shield Framework” ima nesagledive posledice po velike učesnike na online tržištu, kao kao i na same serverske kompanije iz SAD.
Direktna posledica ove Presude je činjenica da je zabranjen dalji prenos podataka o ličnosti iz Evropske Unije u Sjedinjene Američke Države vezivanjem za“Privacy Shield Framework” mehanizam. Treba naglasiti da je Sud pravde Evropske Unije poništio ovaj mehanizam, ne ostavljajući pri tome nikakav “grace” period u pogledu daljeg prenosa podataka o ličnosti, što znači da je Presuda bez odlaganja počela da proizvodi pravna dejstva.
Suočavanje sa posledicama Presude Suda pravde Evropske Unije-šta dalje?
Postavlja pitanje kako se sučiti sa posledicama presude i koje korake treba preduzeti?
Tim Advokatske kancelarije “Cvjetićanin&Partners” ukazuje na moguća rešenja:
Naime, jedan od načina prevazilaženja pomenutih posledica jeste primena tzv. standardnih ugovornih klauzula koje se koriste kaoosnov za prenos podataka o ličnosti u treće zemlje za čiji pravni poredak se ne smatra da obezbeđuje dovoljan nivo zaštite podataka o ličnosti (između ostalog i za Sjedinjene Američke Države).
Ove klauzule usklađene su sa GDPR-om (General Data Protection Regulation), ali u praksi se putem njih ne ostavaruje dovoljna zaštita podataka o ličnosti u zemlji u koju su takvi podaci preneti.
Iz tog razloga, Sud pravde Evropske Unije pooštrio je uslove za prenos podataka u tzv. treće zemlje i po osnovu standardnih ugovornih klauzula, tako što je licu koje podatke o ličnosti iznosi u treće zemlje nametnuo dodatne obaveze. Naime, obrađivač ili rukovalac koji ima nameru da iznosi podatke o ličnosti, ima obavezu da utvrdi da li postoji način da podatke o ličnosti koje iznosi, može efektivno da zaštiti od dostavljanja organima vlasti te treće zemlje (između ostalog i za Sjedinjene Američke Države).
Drugi način za prevazilaženje posledica ove presude jeste prestanak prenosa podataka o ličnosti u Sjedinjene Američke Države. Alternativa Sjedinjenim Američkim Državama jesu Japan, Kanada ili, pak, neka od evropskih zemalja u kojima postoji adekvatan nivo zaštite podataka o ličnosti.
Posledice po Srbiju – Zakon o zaštiti podataka o ličnosti
Presuda Suda pravde Evropske Unije reflektuje svoje posledice i na našu zemlju. Naime, Zakonom o zaštiti podataka o ličnosti Republike Srbije propisano je da je prenos podataka o ličnosti dozvoljen u one države “za koje je od strane Evropske Unije utvrđeno da obezbeđuju primereni nivo zaštite.” U tom smislu Vlada Republike Srbije 02. avgusta 2019. godine donela je i Odluku o Listi država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti na kojoj listi su se našle i Sjedinjene Američke Države sa ograničenjem na primenu“Privacy Shield Framework”.
Iz navedenog proizlazi da se i srpske kompanije suočavaju sa teškim posledicama pada pravnog mehanizma “Privacy Shield Framework”, te da će sledstveno tome bez odlaganja morati da svoja poslovanja prilagode novonastalim okolnostima.
