Evropska komisija i SAD su 2. februara 2016. godine postigle dogovor o transatlantskom prenosu ličnih podataka. Za sada je to samo politički dogovor koji će narednih nedelja biti pretočen u pravno obavezujući tekst. Transferi podataka između EU i SAD odvijali su se na osnovu Safe Harbor sheme koju je Sud pravde Evropske unije oglasio nevažećom 6. oktobra 2015. godine presudom u predmetu Schrems. (O ovome smo pisali u našem blog postu iz oktobra 2015. godine.)
EU – SAD Privacy Shield – što je naziv za novi pravni okvir – rezultat je napornih četvoromesečnih pregovora. Glavni problem sa Safe Harbor shemom sastojao se u mogućnosti pristupa velikih razmera od strane američkih nacionalnih službi bezbednosti podacima koji su prenošeni iz Evropske unije. Američke kompanije bi sada imale jaču obavezu, u odnosu na onu prema Safe Harbor shemi, da zaštite lične podatke Evropljana. Isto tako, Ministarstvo trgovine SAD (Department of Commerce) i Federalna trgovinska komora (Federal Trade Commission – FTC) imaju striktnije obaveze u pogledu nadzora i sprovođenja, uključujući pojačanu saradnju sa evropskim organima nadležnim za zaštitu podataka o ličnosti (DPA).
EU – SAD Privacy Shield propisuje jače garancije od strane SAD-a
Kako proizlazi iz izjave evropskog komesara pravde Vere Jurove, EU – SAD Privacy Shieldse zasniva na tri glavna cilja:
- znatne obaveze na strani američkih kompanija koje obrađuju podatke Evropljana i sveobuhvatno sprovođenje (ugovora) od strane Ministarstva trgovine SAD i FTC-a;
- jasna ograničenja, garancije i postojanje nadzornih mehanizama u vezi sa pristupom podacima od strane američkih službi bezbednosti; i
- efikasna zaštita prava građana sa područja Evropske unije, sa različitim mogućnostima obeštećenja.
Kako je komesar FTC-a Džuli Bril objasnila, svaki potrošač iz Evropske unije koji smatra da su njegova/njena prava zloupotrebljena, prema novom ugovoru će moći da uradi jednu od sledećih stvari: izrazi svoju zabrinutost direktno kompaniji koja obrađuje njegove/njene podatke, uključi se u postupak za alternativno rešavanje sporova, pokrene direktnu arbitražu, obrati se svom DPA-u, ili podnese žalbu FTC-u.
Kompanije će imati rokove u kojima su obavezne da odgovore na primljene žalbe. Evropski DPA-evi moći će da podnesu žalbe Ministarstvu trgovine SAD i FTC-u. Mehanizam za alternativno rešavanje sporova će biti besplatan. Za žalbe u vezi sa pristupom podacima od strane nacionalnih službi bezbednosti biće oformljen novi ombudsman.
Funkcionisanje Privacy Shield-a, uključujući pristup podacima d strane nacionalnih službi bezbednosti, biće pod nadzorom putem zajedničkog godišnjeg pregleda. Evropska komisija i Ministarstvo trgovine SAD će sprovesti pregled i pozvati nacionalne obaveštajne eksperte iz SAD-a i Evropske unije da učestvuju.
Dalji koraci
Iako je postizanje ovog sporazuma značajno dostignuće, potrebno je preduzeti još nekoliko koraka da bi na snagu stupio pravno obavezujući ugovor. Privacy Shield sada mora da bude napisan u formi “odluke o adekvatnosti” od strane Evropske komisije i da ga potom prihvate članovi Evropske komisije (College of EU Commissioners) nakon što dobiju mišljenje Article 29 Working Party (WP 29) i konsultuju komitet sastavljen od predstavnika svih članica Evropske unije.
Dan nakon što je Evropska komisija izdala saopštenje za javnost o Privacy Shield-u, WP 29 je u izjavi podsetila da se ne može podaci ne mogu iznositi u SAD na osnovu poništenog Safe Harbor-a i da su četiri ključne garancije za obaveštajne aktivnosti, prema evropskoj jurisprudenciji o ljudskim pravima, sledeće:
- obrada treba da se obavlja na osnovu jasnih, preciznih i dostupnih pravila;
- obaveštajna služba treba da je u stanju da dokaže potrebu i proporcionalnost u odnosu na legitimne ciljeve koje želi da ostvari (generalno – nacionalnu bezbednost);
- treba da postoji nezavisni nadzorni mehanizam (sudija ili drugo nezavisno telo), koji će biti efikasan i nepristrasan; i
- pojedincu treba da budu dostupni efikasni pravni lekovi.
Uvek postoji mogućnost da Sud pravde Evropske unije poništi Privacy Shield ukoliko utvrdi da američke obaveštajne službe sprovode masovni nadzor nad ličnim podacima građana Evropske unije. Međutim, za razliku od situacije sa Safe Harbor-om, koji je prema mišljenju Evropske komisije iz 2013. godine sadržao značajne nedostatke u primeni, ukoliko Evropska komisija ukaže Sudu pravde na to da je zaštita privatnosti u Americi sada adekvatna, za sudije će biti teže da odluče drugačije.
Reperkusije na Crnu Goru i Srbiju
Crnogorski Zakon o zaštiti podataka o ličnosti (2008) sadrži odredbu u kojoj stoji da dozvola za iznošenje podataka od strane crnogorskog DPA nije potrebna kada “… podaci se iznose u … države koje se nalaze na listi Evropske unije koje imaju adekvatan stepen zaštite podataka o ličnosti” (član 42). Jedna od država koja se nalazila na listi koju administrira Evropska komisija bile su SAD, tj. Safe Harbor-sertifikovane američke kompanije. Na osnovu te odredbe, nije bilo potrebno pribavljati dozvolu za iznošenje podataka od strane crnogorskog DPA kada je Safe Harbor-sertifikovana kompanija bila uvoznik podataka. Verovatno će se isto primenjivati ukoliko Privacy Shield stupi na snagu.
Zakon o zaštiti podataka o ličnosti koji je trenutno na snazi u Srbiji ne sadrži odredbe (o iznošenju podataka) slične onima u crnogorskom zakonu. Čak i kada je Safe Harborshema bila na snazi, Safe Harbor sertifikat nije bio dovoljan da ubedi srpskog DPA (Poverenika) da uvoznik podataka obezbeđuje adekvatne mere zaštite. Poverenik je tražio posebne garancije od strane američke kompanije kako bi izdao dozvolu za iznošenje podataka. Možda će Poverenik biti predusretljiviji kada dođe u kontakt sa zahtevom za izvoz podataka u američku kompaniju koja je u okviru Privacy Shield-a, jer će nivo zaštite ličnih podataka verovatno biti viši u odnosu na onaj prema Safe Harbor-u. Izuzetno strog pristup od strane srpskog Poverenika ne bi bio naklonjen biznisu/poslovanju.