Evropsko sodišče je odločilo: Dogovor med EU in ZDA o izmenjavi podatkov je neveljaven.
Sodišče EU je včeraj odločilo, da sporazum, na podlagi katerega si je več tisoč podjetij, med katerimi so tudi tehnološki velikani, kot je Facebook, izmenjevalo zasebne podatke z ZDA, neveljaven. Gre za tako imenovani sklep oziroma sporazum o zasebnostnem ščitu (Privacy Shield), ki je dovoljeval prenos osebnih podatkov iz EU podjetju v ZDA, če jih to podjetje tam obdeluje (denimo uporablja, hrani ali prenaša naprej) v skladu z nizom strogih pravil o varstvu podatkov in zaščitnih ukrepov zanje. Sodišče EU je opozorilo, da lahko do teh podatkov dostopajo javni organi, torej v ZDA denimo NSA in FBI, ki imajo premalo omejena pooblastila pri dostopu do prenesenih podatkov, tamkajšnji ombudsman pa naj bi neučinkovito varoval oziroma zagotavljal izvajanje pravic posameznikov.
Po poročanju AP bo ta odločitev otežila poslovanje približno pet tisoč podjetjem, prav tako bodo morali regulatorji preveriti, ali je vsaka nova izmenjava osebnih podatkov v skladu s standardi EU.
Schrems: Popolna zmaga za našo zasebnost
Splošna uredba o varstvu podatkov (GDPR) določa, da se osebni podatki v tretjo državo načeloma lahko prenesejo le, če ta tretja država zagotavlja ustrezno raven varstva teh podatkov. Avstrijski pravnik Max Schrems je tožil Facebook – v EU ima sedež na Irskem – zaradi načina prenosa podatkov v ZDA, saj ZDA ne zagotavljajo zadostnega varstva osebnih podatkov, ki so bili preneseni v to državo. Schrems je vztrajal, da mora irski informacijski pooblaščenec odrediti Facebooku, naj ustavi pošiljanje podatkov ZDA.
Na sodišču EU mu je tako že drugič uspelo poraziti sporazum med EU in ZDA. Prvič je namreč leta 2015 sodišče razveljavilo dogovor Safe Harbour oziroma varni pristan iz leta 2000 o izmenjavi podatkov med EU in ZDA. Po tej razveljavitvi je prišlo do vzpostavitve drugega sporazuma, imenovanega zasebnostni ščit (Privacy Shield), ki ga je danes razveljavilo sodišče EU.
Schrems je na Twitterju zapisal, da so dosegli “stoodstotno zmago za našo zasebnost” in da bodo morale ZDA precej spremeniti zakonodajo o nadzoru, če bodo želele spet doseči “privilegiran” status za ameriška podjetja.
Podjetja lahko prenose podatkov v ZDA utemeljijo na standardnih pogodbenih klavzulah
Sodišče EU je sicer odločilo, da je prenos podatkov iz Evrope v tujino mogoč na podlagi tako imenovanih standardnih pogodbenih klavzul. Podjetja namreč lahko prenašajo osebne podatke iz EU v tretje države na različnih podlagah. “Podatki se lahko prenašajo tudi v okviru drugih mehanizmov po GDPR, predvsem na podlagi standardnih pogodbenih klavzul (tipske pogodbe, ki jih je prav tako sprejela evropska komisija) in zavezujočih poslovnih pravil (ki jih sprejme organizacija in potrdijo nadzorni organi v EU) ali pa v primeru izjem iz člena 49 splošne uredbe o varstvu podatkov, pri prenosih, ki niso množični ali ponavljajoči se, na primer na podlagi privolitve posameznika, je pojasnila informacijska pooblaščenka Mojca Prelesnik.
Organizacijam tako ostanejo na voljo drugi mehanizmi, za katere morajo čim prej poskrbeti, poudarja. “V zelo podobni situaciji leta 2015, ko je bil s strani sodišča EU razveljavljen predhodnik zasebnostnega ščita, dogovor varnega pristana, se je izkazalo, da so organizacije prenose podatkov v ZDA pogosto utemeljile na standardnih pogodbenih klavzulah, ki so jih sklenile s partnerskimi organizacijami v EU,” pojasnjuje Prelesnikova.
Torej, iznos osebnih podatkov je še vedno mogoč pod pogojem, da upravljavec osebnih podatkov sam zagotovi ustrezne zaščitne ukrepe, ki zagotavljajo varovanje zasebnosti ter temeljnih pravic in svoboščin posameznikov. “Evropska podjetja, ki iznašajo osebne podatke, se morajo zavedati, da sama nosijo odgovornost za oceno zakonitosti iznosa in nadaljnje obdelave ter da morajo poskrbeti, da so pri vsakokratnem iznosu osebnih podatkov zajeta in spoštovana vsa načela evropskega varstva osebnih podatkov,” pravi Prelesnikova.
Do zdaj so se podjetja, ki iznašajo podatke v ZDA, zanašala na to, da gre za podjetje s seznama Privacy Shield. Zdaj pa morajo ta podjetja čim prej poskrbeti za to, da prenose utemeljijo na drugi podlagi. “Samo posamični iznosi (torej ne množični in ne ponavljajoči se, ampak enkratni) pa lahko temeljijo tudi na kateri od izjem iz člena 49 splošne uredbe,” pojasnjuje Prelesnikova.
IP lahko podjetju prepove iznos podatkov, če ni ustrezne podlage
Če podlage ni, se podatki v ZDA ne smejo prenašati. Nadzor nad spoštovanjem pravil o prenosih osebnih podatkov v tretje države, kot jih določa GDPR v Sloveniji, izvaja informacijski pooblaščenec (IP). “Če se v postopku nadzora izkaže, da organizacija, ustanovljena v Sloveniji, prenaša podatke partnerjem v tretjih državah in nima ustrezne podlage za prenos podatkov, se lahko tak prenos podatkov prekine in mora organizacija poskrbeti za ustrezne pogodbe in zagotovila glede uresničevanja pravic posameznikov,” še pojasnjuje informacijska pooblaščenka Mojca Prelesnik.
Podatki posameznikov naj bi bili bolj varovani
Mehanizmi za prenos podatkov, ki jih bodo morale uporabiti organizacije oziroma podjetja iz EU, bodo morali zagotavljati višjo raven pravic posameznikov – ti naj bi bili posledično bolj varovani, kadar se njihovi podatki prenašajo v ZDA, razlaga informacijska pooblaščenka.
Ali to pomeni, da vam bo zaradi te odločitve nehala delovati e-pošta ali pa na primer ne boste mogli dostopati do storitev v oblaku? Kratkoročno bodo storitve, kot so e-pošta, letalske in hotelske rezervacije, storitve v oblaku, še naprej delovale, menijo strokovnjaki po poročanju AP. Podjetja bodo morala prilagoditi prenose drugim podlagam, da bodo skladni z GDPR, če pa jih ne bodo, bodo informacijski pooblaščenci v EU v takšnih podjetjih blokirali prenose osebnih podatkov iz EU v ZDA.
Združenje računalniške in komunikacijske industrije, katerega član je tudi Facebook, je bilo kritično do odločitve sodišča EU, “ki povzroča pravno negotovost za tisoče velikih in malih podjetij na obeh straneh Atlantika”, poroča STA. “Verjamemo, da bodo odločevalci EU in ZDA hitro razvili trajno rešitev v skladu s pravom EU, da bi zagotovili nadaljevanje prenosa podatkov, ki podpira transatlantsko gospodarstvo,” so zapisali.
Vir: Finance.si