Ukoliko se bavite e-trgovinom, pružate i nudite usluge putem interneta, sarađujete sa firmama iz SAD ili samo koristite servere koji se nalaze u SAD, za Vas će biti značajna izmenjena pravila u vezi sa podacima koje na taj način iznosite ili razmenjujete sa američkim subjektima.
Naime, kao što vam je možda već poznato,16. jula 2020. godine presudom Suda Pravde EU stavljen je van snage EU-US Privacy Shield, sporazum koji je predstavljao pravni okvir za prenos podataka o ličnosti iz Evropske Unije u Sjedinjene Američke Države. Posledice takve odluke najviše su osetili kako evropski, tako i domaći privredni subjekti koji razmenjuju podatke o ličnosti sa američkim kompanijama i drugim entitetima. Koliko je navedena presuda imala značajne implikacije, govori i podatak istraživanja UCL Evropskog Insituta, da je skoro 1600 kompanija (što čini 30% od ukupnog broja), koristilo mehanizme Privacy Shield-a kako bi podatke o zaposlenima vratili u SAD.
Šta je EU-US Privacy Shield i kako je oboren?
Kada se podaci prenose između zemalja članica EU, odnosno u zemlje koje po pravilu pružaju adekvatan nivo zaštite podataka [1], prenos se odvija nesmetano i nisu potrebni dodatni uslovi ili odobrenja kada se takav transfer vrši.
Međutim, SAD se ne nalaze na listi zemalja koje pružaju adekvatan nivo zaštite podataka o ličnosti, što ne čudi imajući u vidu skandale sa američkim bezbednosnim agencijama, ubje gigantima poput Facebook-a. Takođe, ubje na privatnost nije podignuto na rang ustavnih prava u SAD-u, dok je u EU ubje na privatnost i zaštita podataka o ličnosti fundamentalno ubje svih građana EU. Osim toga, američki subjekti po default-u mogu da obrađuju podatke o ličnosti, dok za svaku obradu podataka o ličnosti u EU, subjekti moraju da imaju zakonit pravni osnov.
Zbog svega navedenog, SAD su svrstane u kategoriju takozvanih trećih zemalja, pa je preduslov za zakonit prenos podataka američkim uvoznicima podataka bilo formiranje mehanizma koji bi bio garancija da će preneti podaci biti osigurani na prikladan način.
Usvajanjem EU-US Privacy Shield-a znatno je olakšan transfer podataka između zemalja EU i SAD-a. Dovoljno je bilo da se ubject iz SAD-a registruje i uskladi poslovanje sa pravilima navedenog mehanizma, plati određenu naknadu i prenos podataka je mogao da se vrši bez smetnje.
Ipak, samo pitanje bezbednosti takvog transfera je pokrenuto tek na inicijativu Maksa Šremsa (Max Schrems), aktiviste za prava na privatnost, koji stoji iza celog slučaja „obaranja“ Privacy Shield-a.
Navedena inicijativa je onončana presudom Suda, nakon što je utvrđeno da EU-US Privacy Shield građanima Evropske Unije, čiji podaci se prenose u SAD, ne pruža zaštitu u onolikoj meri u kojoj je to neophodno radi zaštite njihovog prava na privatnost kao i nivo zaštite koji je garantovan u Evropskoj Uniji.
Pored zemalja članica EU, dejstvo odluke proširuje se i na sve države koje to nisu ali se na njih primenjuje GDPR (Opšta uredba o zaštiti podataka o ličnosti), te su posledice rušenja Privacy Shield-a osetne i u odnosu na sve rukovaoce i obrađivače podataka o ličnosti koji iz Republike Srbije prenose podatke u SAD.
Koje su posledice i nova pravila?
Proglašenjem EU-US Privacy Shield-a nevažećim, Sjedinjene Američke Države su vraćene na status treće zemlje u koje se podaci o ličnosti mogu prenositi samo ukoliko se utvrdi da su ’adekvatne’ za prenos podataka iz evropskih zemalja. Jedan od mehanizama kojim se obezbeđuje adekvatan nivo zaštite prilikom transfera podataka su Standardne Ugovorne Klauzule (Standard Contractual Clauses – SCC) usvojene od strane Evropske komisije.
To konkretno znači da su svi subjekti iz EU koji razmenjuju podatke o ličnosti sa subjektima iz SAD dužni da zaključe odgovarajuće ugovore koristeći Standardne Ugovorne Klauzule.
Osnovni nedostatak Standardnih Ugovornih Klauzula jeste činjenica da je u praksi veoma teško proveriti da li ih se ugovorne strane pridržavaju. Naime, to bi podrazumevalo aktivnu ulogu subjekta koji prenosi podatke u SAD, da detaljno ispita da li primalac podataka (koji se nalazi u SAD-u) ispunjava sve uslove zaštite prenetih podataka, što u praksi može biti gotovo neizvodljivo.
Ipak, iako Klauzule formalno predstavljaju validan osnov za prenos podataka u treće zemlje, kada je reč o SAD-u, njihova primena više nije neograničena. Sud je prilikom donošenja presude zaključio da se Klauzule ubuduće ne mogu koristiti prilikom prenosa ličnih podataka u SAD bez dodatne provere, za čije sprovođenje je odgovoran izvoznik podataka.
Ako uzmemo u obzir činjenicu da je rukovalac podataka o ličnosti odgovoran za izbor obrađivača podataka i potencijalno curenje podataka koje se može dogoditi u SAD-u, kao i da subjekti čiji su podaci povređeni mogu svoje zahteve da upere direktno prema rukovaocu, neadekvatan izbor obrađivača iz SAD-a može skupo da Vas košta.
Šta to znači za Srbiju?
Ukoliko ste mislili da posledice obaranja Privacy Shield-a nisu relevantne za Vas jer poslujete u Srbiji, prevarili ste se.
Naime, kako je domaći Zakon o zaštiti podataka o ličnosti (dalje: ZZPL) preuzeo gotovo sva pravila iz GDPR-a (o čemu smo pisali u blogu 9 najčešćih zabluda poslodavaca u pogledu zaštite podataka o ličnosti) sve posledice po prenos podataka iz EU osetile su se se i kada je reč o prenosu iz Srbije u SAD.
Dakle, kada prenosite podatke iz Srbije u SAD, potrebno je da obezbedite primereni nivo zaštite podataka o ličnosti [2]. S obzirom na to da je Privacy Shield oboren, dužni ste da primenite druge mehanizme koji Vam stoje na raspolaganju.
O navedenom je isti stav i Poverenika, koji se se izjasnio da u skladu sa odlukom Evropske komisije proizlazi da Sjedinjene Američke Države na osnovu Privacy Shield framework-a više ne obezbeđuju primereni nivo zaštite ni sa stanovišta Zakona o zaštiti podataka o ličnosti.
Poverenik je apelovao na sve rukovaoce i obrađivače da je potrebno da pronađu druge mehanizme prenosa podataka u Sjedinjene Američke Države propisane ZZPL. Takođe, Poverenik je uputio zvaničan dopis Vladi Republike Srbije u cilju usaglašavanja Odluke Vlade o listi država u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti, tačnije uklanjanje SAD sa navedene liste, iako do danas to nije učinjeno.
Koji su to drugi mehanizmi?
Kao i u EU, na raspolaganju Vam stoje Standardne Ugovorne Klauzule, ali koje je doneo Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (dalje: Poverenik). Drugim rečima, u obavezi ste da zaključite odgovarajuće ugovore sa Vašim saradnicima iz SAD-a ukoliko želite da budete sigurni da postupate u skladu sa ZZPL.
Na primer:
ili
ili
Ipak, postoje izuzeci
Izuzetak od pravila koja su posledica presude Suda Pravde EU su situacije u kojima je prekogranični prenos u SAD dozvoljen bez ispunjavanja dodatnih uslova (poput primene Klauzula ili odobrenja Poverenika), a propisuje ih izričito ZZPL ili GDPR. Dakle, u određenim slučajevima će prenos podataka u SAD ipak biti dozvoljen, bez obzira na to što već skoro dve godine ne postoji EU-US Privacy Shield.
Prema ZZPL, prenos podataka u SAD možete vršiti, nezavisno od ništavosti Privacy Shield-a i bez primene posebnih mera, u sledećim situacijama:
- Dali ste izričit pristanak za prenos Vaših podataka o ličnosti u SAD, a prethodno ste informisani o rizicima prenosa, s obzirom na nepostojanje Privacy Shield-a ili drugih zaštitnih mehanizama. Vaš pristanak uvek možete da povučete.
- Prenos je neophodan za izvršenje ugovora između lica na koje se podaci odnose i rukovaoca, odnosno za zaključenje ugovora – na pimer, poručili ste robu iz SAD-a, a kako bi Vam roba bila isporučena, neophodno je da date Vašu adresu. S obzirom da se ugovor bez toga ne može izvršiti, ZZPL dozvoljava izuzetak od gore navedenih pravila.
- Kada je prenos neophodan da biste podneli, ostvarili ili odbranili Vaš pravni zahtev – na primer, tražite povraćaj novca od američke kompanije, prenos podataka je dozvoljen.
Još neki od izuzetaka se odnose na ostvarivanje važnog javnog interesa Republike Srbije, zaštitu životno važnih interesa fizičkog lica, kao i prenos pojedinih podataka o ličnosti sadržanih u javnom registru, ali koji će se u praksi koristiti veoma retko.
Svakako da su posledice obaranja EU-US Privacy Shield-a najviše osetili subjekti koji prenose podatke američkim IT kompanijama ili skladište prikupljene podatke na američkim serverima, ali nam preostaje da vidimo da li će praksa dovesti do eventualnih korekcija ovog ne tako business-oriented rešenja.