Na petu godišnjicu primene Opšte uredbe o zaštiti podataka o ličnosti Evropske unije (GDPR), Irska Komisija za zaštitu podataka (DPC) donela je odluku kojom kažnjava poznatu kompaniju Meta zbog kršenja pravila o međunarodnom prenosu podataka o ličnosti u dosad neviđenom obimu.
Podsetimo se da je Meta već nekoliko puta kažnjena od strane istog organa zbog nepoštovanja odredbi GDPR-a. Kompanija još nije svarila prethodnu kaznu od pre nekoliko meseci (njihovu najveću do tada), koja im je izrečena zbog prikupljanja i obrade podataka putem njihovih usluga na Fejsbuku i Instagramu radi ciljanog oglašavanja bez odgovarajućeg pravnog osnova, a već joj je izrečena nova kazna od 1,2 milijarde evra, tri puta veća od prethodne.
Ova kazna čak premašuje kaznu koju je Luksemburška nacionalna komisija za zaštitu podataka (CNDP) izrekla Amazonu u julu 2021. godine u iznosu od 746 miliona evra, takođe zbog nepoštovanja propisa o zaštiti ličnih podataka, što je čini trenutno najvišom kaznom u ovoj sferi.
Koji su to postupci vredni kazne od 1,2 milijarde evra?
Kratak odgovor je da je Meta prenela lične podatke korisnika Fejsbuka iz EU u Sjedinjene Američke Države bez pružanja odgovarajućih zaštitnih mehanizama.
Da bismo tačno utvrdili gde se problem javio, neophodno je prvo razumeti pravni okvir međunarodnog prenosa podataka. Ako želite saznati više o međunarodnom prenosu podataka, možete pročitati naš najnoviji blog Međunarodni prenos podataka – Da li ste uskladili vaše poslovanje?
Prvo, GDPR postavlja uslove za prenos podataka u treće zemlje iz Evropske unije. Podaci se mogu slobodno prenositi u druge zemlje ako su nadležni organi EU utvrdili da zakonodavstvo zemlje primaoca pruža adekvatnu zaštitu. Budući da se Sjedinjene Američke Države ne nalaze na listi zemalja koje pružaju jednaku zaštitu podataka kao članice EU, za takve prenose moraju se ispuniti dodatni uslovi.
Raniji sporazum postignut između EU i SAD poznat kao Privacy Shield više nije na snazi jer je Sud pravde Evropske unije smatrao da ovaj sporazum ne pruža dovoljnu sigurnost za informacije prenesene iz Evrope u SAD. Iako se očekuje usvajanje novog sporazuma (Privacy Shield 2.0) koji bi obezbedio bolju zaštitu podataka, trenutno rukovaoci podataka se ne mogu osloniti ni na koji međunarodni sporazum za prenos podataka preko Atlantika.
Slabiji nivo zaštite podataka propisan zakonima zemlje poput SAD-a može se kompenzovati ugovorima zaključenim između rukovalaca podataka, obrađivača i/ili primalaca, koji sadrže Standardne ugovorne klauzule (SCC) i procenu međunarodnog prenosa podataka (DTIA).
Međutim, Meta Platforms Ireland Limited je prenela lične podatke u skladu sa ugovorom o obradi podataka o ličnosti zaključenim sa svojim američkim ekvivalentom, Meta Platforms, Inc., koji sadrži Standardne ugovorne klauzule Evropske komisije iz 2021. godine, pa je i dalje utvrđeno da je prekršila GDPR. Ugovor između ove dve kompanije čak je inkorporirao i procenu međunarodnog prenosa podataka (DTIA) koja je identifikovala rizike i posledice takvog prenosa.
Sigurno se pitate šta tačno nije u redu sa prenosom podataka korisnika Fejsbuka ako je Meta primenila gore navedene mere.
Naime, u 2020. godini, Evropski sud pravde doneo je presudu Schrems II[1] kojom su pooštrena pravila prenosa podataka u treće zemlje. Ova presuda utvrđuje da se standardne ugovorne klauzule i dalje smatraju dobrom praksom, ali da te klauzule više nisu dovoljne. Rukovaoci podataka moraju da shvate da se više ne mogu osloniti samo na potpisani papir, već se moraju informisati o stepenu usklađenosti zakonodavstva države primaoca sa GDPR-om.
U ovom slučaju, DPC je u saradnji sa Evropskim odborom za zaštitu podataka (EOZP) i drugim evropskim nadležnim nadzornim organima odlučio da napori koje je Meta uložila nisu bili dovoljni da se zaštite prava i slobode ljudi čiji su lični podaci preneti.
Ukratko, nadzorni organi su utvrdili da:
- Nivo zaštite propisan američkim zakonodavstvom nije jednak nivou koji pruža zakonodavstvo EU;
- Nedovoljna zaštita koju pruža američko zakonodavstvo ne može se nadoknaditi upotrebom standardnih ugovornim klauzula ili merama koje je Meta preduzela u okviru DTIA;
- Meta nije ispunila kriterijume za oslanjanje na derogacije koje GDPR propisuje u vezi sa prenosom podataka.
Posledice i odgovor koji je Meta uputila
U svojoj odluci, irski organ za zaštitu podataka o ličnosti naložio je Meti da:
- Plati kaznu od 1,2 milijarde evra zbog kršenja GDPR-a;
- U roku od 6 (šest) meseci od dana kada se odluka dostavi Meti, uskladi obradu podataka sa GDPR-om, uz prestanak nezakonite obrade, uključujući skladištenje ličnih podataka korisnika iz EEA (Evropski ekonomski prostor) u SAD-u, prenesenih u suprotnosti sa GDPR-om;
- Obustavi svaki budući prenos ličnih podataka u SAD u roku od pet meseci od dana kada je DPC doneo odluku kojom se obaveštava Meta sa sedištem u Irskoj.
Meta je u svom odgovoru na odluku DPC-a najavila da će podneti žalbu jer odluku smatra nepravičnom i preteranom. Takođe, zvaničnici Mete su izjavili da neće biti neposredne obustave pružanja usluga Fejsbuka u Evropi. U odgovoru Mete, jedna od glavnih tačaka rasprave bila je okolnost da je slučaj Fejsbuka stavljen u prvi plan, dok druge organizacije koje pružaju svoje usluge na teritoriji Evrope koriste iste pravne mehanizme.
Tvrdnja Mete da mnoge druge kompanije takođe koriste slične mere prilikom prenosa podataka u treće zemlje svakako ima određenu dozu istine. Stoga se može reći da je Meta samo žrtveno jagnje i da ova odluka služi kao upozorenje svima koji moraju da ulože dodatne napore kako bi osigurali da se zaštita podataka o ličnosti održi na istom nivou čak i prilikom njihovog prenosa na druge kontinente.
Iako mnoge kompanije koje posluju i u Evropi i u SAD-u veruju da će uskoro stupiti na snagu novi Privacy Shield 2.0, trenutno je to više puka želja nego realnost s kojom one moraju da usklade svoje poslovanje.