Пад “Privacy Shield“-а: забрана преноса података о личности из ЕУ у САД?

FacebookLinkedinEmail
24.01.2022.
пренос података хостинг

Јула месеца 2020. године Суд правде ЕУ донео је одлуку познату као „Шремс II”, којом је правни механизам Privacy Shield проглашен неважећим, због чега је „извоз” података о личности резидената ЕУ у САД, по овом правном основу постао незаконит. Такав неочекивани развој догађаја изазвао је панику и проблеме у пословању великих интернет трговаца, онлајн коцкарница и свих других комапанија чији „бизнис модел” је заснован на обради велике количине података о личности и њиховом складиштењу у САД.

Шта је механизам Privacy Shield и чему је служио? 

EU – US Privacy Shield Framework донедавно je представљао својеврсни правни механизам по основу кога је било могуће безбедно преносити податке о личности из Европске уније у Сједињене Америчке Државе, све до доношења горепоменуте пресуде Суда правде ЕУ. Поменути правни механизам заменио је Safe Harbour, механизам под чијим окриљем су се подаци „извозили” у Сједињене Америчке Државе све до 6. октобра 2015. године, када је доживео сличну судбину као и његов наследник, односно проглашен је неважећим од стране Суда правде Европске уније одлуком познатом под називом „Шремс I”.

Ко је Максимилијан Шремс?

Максимилијан Шремс је аустријски активиста чија област ангажовања јесте заштита података о личности на интернету, а највише на друштвеним мрежама. Његовим ангажовањем, односно тужбама које је подносио, у два наврата су обарани правни механизми за трансатлантски пренос података, из ког разлога су обе одлуке суда правде ЕУ назване управо по њему.

Правни механизам Privacy Shield нашао је своју посредну примену и у нашој земљи. Закон о заштити података о личности прописује да је пренос података о личности дозвољен у оне државе за које је од стране Европске уније утврђено да обезбеђују примерени ниво заштите. У том смислу, Влада Републике Србије 2019. године донела је Одлуку о Листи држава, делова њихових територија у којима се сматра да је обезбеђен примерени ниво заштите података о личности. На тој листи су се нашле и САД са ограничењем на примену Privacy Shield Framework.

Зашто је извоз података о личности у САД толико важан за европске компаније?

У данашње време практично сви сектори привреде су се дигитализовали, укључујући и примарни сектор, односно пољоприивреду. Отуда се појавила потреба за складиштењем велике количине података (међу којима су неретко и подаци о личности), а управо су сервери највећих капацитета и брзине рада са најповољнијом ценом коришћења у власништву америчких компанија као што су Амазон, Digital Ocean итд.

Пад Privacy Shield-a

Privacy Shield механизам је доживео правну судбину свог претходника (Safe Harbour-а) и то из истих разлога из којих је престао да важи његов претходник. Утврђено је да овај правни механизам не обезбеђује адекватан ниво заштите подацима о личности резидената ЕУ који се „извозе” и складиште на серверима у САД. Овде је реч о посредном коришћењу серверских капацитета преко популарних клауд система.

Шремс је у поступку који је вођен пред Судом правде ЕУ успео да докаже да правни систем Сједињених Америчких Држава допушта својим безбедносним агенцијама (нпр. ЦИА, НСА) да врши увид у податке о личности које су „увезене” из Европске уније, без ограничења, из разлога националне безбедности. Насупрот томе, лицима на које се такви подаци односе није обезбеђена никаква правна заштита пред правосудним органима Сједињених Америчких Држава.

Последице краха Privacy Shield

Директна последица краха механизма Privacy Shield јесте чињеница да је забрањен даљи пренос података о личности из Европске уније у Сједињене Америчке Државе под његовим окриљем. 

Истовремено, забрањен је пренос података о личности из наше земље у САД под окриљем овог механизма, јер САД више нису земља за коју ЕУ сматра да пружа адекватан ниво заштите, па од тада домаћим компанијама није дозвољено да ослањајући се на дати механизам извозе личне податке у САД. 

Да ли је ипак могуће вршити трансфер података у САД?

Свима који и даље желе да податке складиште на серверима америчких компанија, на располагању остаје прелазно решење - примена стандардних уговорних клаузула које је донела Европска комисија, чију примену такође препоручује Суд правде ЕУ. Европска комисија је управо из тог разлога 4. јуна 2021. године донела нови сет стандардних уговорних клаузула које служе као основ за пренос података о личности у треће земље за које не сматра да обезбеђују адекватан ниво заштите података о личности (међу којима су сада и Сједињене Америчке Државе).

Такође,од стране Републике Србије, Повереник за информације од јавног значаја и заштиту података о личности такође је донео два сета стандардних уговорних клаузула.

Шта су то стандардне уговорне клаузуле?

Стандардне уговорне клаузуле су препоручене клаузуле које треба унети у уговор о обради података о личности како би пренос података о личности, након потписивања, био законит. То је, дакле, оно што каже теорија.

Пракса каже нешто друго. Свако ко је некада покушао да ступи у уговорне односе са интернет гигантима, зна да исход није охрабрујући. 

Уговори који се са њима могу закључити су уговори по приступу, односно једини пут ка закључивању уговора подразумева пролазак кроз процедуру кликтања, односно давања сагласности на опште услове пословања, означавање величине серверских капацитета и, на крају, уношење броја платне картице.

Друга уговорна страна није у могућности да мења било коју уговорну клаузулу таквог уговора. Знајући то, прописане стандардне уговорне клаузуле губе на значају, јер не могу наћи своју реалну примену.

Шта би могло бити решење?

Решење проблема би могло бити креирање потпуно новог правног механизма, са јасно и прецизно дефинисаним правилима и ограничењима за руковаоце и обрађиваче података о личности, као и са предвиђеним санкцијама за кршење таквих правила.

FacebookLinkedinEmail