


Sud pravde Evropske Unije je 16. jula 2020. godine doneo Odluku kojom je pravni mehanizam Privacy Shield Framework proglašen nevažećim. Navedena odluka u velikoj meri ograničava, tj. uslovljava dalji „izvoz“ podataka o ličnosti u Sjedinjene Američke Države, zbog čega najviše trpe veliki internet trgovci.
EU – US Privacy Shield Framework predstavlja pravni mehanizam koji je donedavno služio za bezbedno iznošenje podataka o ličnosti iz Evropske Unije u Sjedinjene Američke Države.
Osnovni prinicipi (načela) na kojima Privacy Shield počiva su: načelo obaveštenosti, načelo izbora, načelo odgovornosti za dalje prenošenje, načelo sigurnosti, načelo integriteta podataka i ograničenja svrhe, načelo pristupa i načelo regresa, primene i odgovornosti.
Spomenuta odluka je najveće posledice imala upravo na velike internet trgovce, jer oni po prirodi posla imaju potrebe za velikim serverskim kapacitetima na kojima bi skladištili podatke, a najveće serverske kompanije se nalaze upravo u Sjedinjenim Američkim Državama (poput Amazona, DigitalOcean-a, i sl.).
Presuda Suda pravde EU predstavlja istorijsku odluku kada je reč o zaštiti podataka o ličnosti, a doneta je u postupku koji je pokrenuo aktivista i pravnik iz Austrije – Maks Šrems.
Naime, u navedenoj odluci je utvrđeno da mehanizam “Privacy Shield Framework” ne pruža adekvatan nivo zaštite podacima o ličnosti koje se iz Evropske Unije prenose u Sjedinjene Američke Države, zbog čega je isti proglašen nevažećim.
Razlog ovako zauzetom stanovištu Suda pravde Evropske Unije jeste činjenica da američki pravni poredak omogućava svojim nadležnim vlastima (primera radi, NSA – National Security Agency)uvid u podatke o ličnosti koje su “uvezene” iz Evropske Unije iz razloga nacionalne bezbednosti, a sa druge strane licima na koje se podaci o ličnosti odnose ne obezbeđuje nikakav vid zaštite pred sudovima Sjedinjenih Američkih Država.
Prestanak važenja mehanizma “Privacy Shield Framework” ima nesagledive posledice po velike učesnike na online tržištu, kao kao i na same serverske kompanije iz SAD.
Direktna posledica ove Presude je činjenica da je zabranjen dalji prenos podataka o ličnosti iz Evropske Unije u Sjedinjene Američke Države vezivanjem za“Privacy Shield Framework” mehanizam. Treba naglasiti da je Sud pravde Evropske Unije poništio ovaj mehanizam, ne ostavljajući pri tome nikakav “grace” period u pogledu daljeg prenosa podataka o ličnosti, što znači da je Presuda bez odlaganja počela da proizvodi pravna dejstva.
Postavlja pitanje kako se sučiti sa posledicama presude i koje korake treba preduzeti?
Tim Advokatske kancelarije “Cvjetićanin&Partners” ukazuje na moguća rešenja:
Naime, jedan od načina prevazilaženja pomenutih posledica jeste primena tzv. standardnih ugovornih klauzula koje se koriste kaoosnov za prenos podataka o ličnosti u treće zemlje za čiji pravni poredak se ne smatra da obezbeđuje dovoljan nivo zaštite podataka o ličnosti (između ostalog i za Sjedinjene Američke Države).
Ove klauzule usklađene su sa GDPR-om (General Data Protection Regulation), ali u praksi se putem njih ne ostavaruje dovoljna zaštita podataka o ličnosti u zemlji u koju su takvi podaci preneti.
Iz tog razloga, Sud pravde Evropske Unije pooštrio je uslove za prenos podataka u tzv. treće zemlje i po osnovu standardnih ugovornih klauzula, tako što je licu koje podatke o ličnosti iznosi u treće zemlje nametnuo dodatne obaveze. Naime, obrađivač ili rukovalac koji ima nameru da iznosi podatke o ličnosti, ima obavezu da utvrdi da li postoji način da podatke o ličnosti koje iznosi, može efektivno da zaštiti od dostavljanja organima vlasti te treće zemlje (između ostalog i za Sjedinjene Američke Države).
Drugi način za prevazilaženje posledica ove presude jeste prestanak prenosa podataka o ličnosti u Sjedinjene Američke Države. Alternativa Sjedinjenim Američkim Državama jesu Japan, Kanada ili, pak, neka od evropskih zemalja u kojima postoji adekvatan nivo zaštite podataka o ličnosti.
Presuda Suda pravde Evropske Unije reflektuje svoje posledice i na našu zemlju. Naime, Zakonom o zaštiti podataka o ličnosti Republike Srbije propisano je da je prenos podataka o ličnosti dozvoljen u one države “za koje je od strane Evropske Unije utvrđeno da obezbeđuju primereni nivo zaštite.” U tom smislu Vlada Republike Srbije 02. avgusta 2019. godine donela je i Odluku o Listi država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti na kojoj listi su se našle i Sjedinjene Američke Države sa ograničenjem na primenu“Privacy Shield Framework”.
Iz navedenog proizlazi da se i srpske kompanije suočavaju sa teškim posledicama pada pravnog mehanizma “Privacy Shield Framework”, te da će sledstveno tome bez odlaganja morati da svoja poslovanja prilagode novonastalim okolnostima.