Prošlogodišnja presuda Suda pravde Evropske unije (SPEU) o “pravu da se bude zaboravljen” (Google v. AEPD) predstavljala je iznenađenje, delom i zbog toga što se radilo o retkom slučaju u kojem je Sud odstupio od mišljenja Opšteg pravozastupnika (Advocate General). Za razliku od toga, malo je ko iznenađen najnovijom presudom Suda, o drugom kontroverznom pitanju koje se odnosi na zaštitu podataka o ličnosti – iznošenju podataka iz Evropske unije u Sjedinjene Američke Države u okviru Safe Harbor (“Sigurna luka”) mehanizma. Ovaj put, Sud se složio sa skoro svim zaključcima Opšteg pravozastupnika. Uprkos tome, presuda od 5. oktobra 2015. godine u predmetu Maximilian Schrems v. Office of the Commissioner izaziva još više kontroverzi nego što je bio slučaj sa odlukom u Google v. AEPD.
Mnogi smatraju da je presuda Google otišla predaleko u ograničavanju slobode izražavanja, usled nastojanja da se obezbedi zaštiti podataka o ličnosti. U predmetu Schrems, glavne vrednosti koje su se našle u sukobu su, s jedne strane, zaštita privatnosti i podataka o ličnosti, i, s druge, sloboda obavljanja delatnosti (koja zahteva slobodno iznošenje podataka o ličnosti preko nacionalnih granica). Oba sutprostavljena prava su priznata u Povelji Evropske unije o osnovnim pravima. Sud se sasvim svrstao na stranu prava na zaštitu privatnosti i podataka o ličnosti, i nije ni pomeno osnovnu slobodu obavljanja delatnosti. Umesto toga, Sud je naspram dvaju osnovnih prava postavio “interese koji zahtevaju slobodno kretanje podataka o ličnosti”.
Schrems poništava takozvanu Safe Harbor shemu koja je, nakon uvođenja 2000. godine, omogućavala kompanijama u Evropskoj uniji da izvoze u Sjedinjene Države podatke o ličnosti građana država-članica EU. Više od 4,000 američkih kompanija je sertifikovalo same sebe kao kompanije koje obezbeđuju odgovarajuću sigurnost i opštu zaštitu podataka u odnosu na koje postupaju kao rukovaoci. Iznošenje podataka Safe Harbor-sertifikovanim kompanijama u Sjedinjenim Državama nije zahtevalo odobrenje od strane poverenika ili agencije (DPA – data protection authority) nadležnog, odnosno nadležne, u pitanjima zaštite podataka o ličnosti u državi-članici EU iz koje se podaci iznose. Američka Savezna komisija za trgovinu (Federal Trade Commission) je bila ovlašćena da nadgleda pridržavanje standarda iz Safe Harbor režima od strane auto-sertifikovanih američkih kompanija.
Poništavanje Safe Harbor režima znači da je od sada iznošenje podataka kompanijama sertifikovanim u okviru tog mehanizma nezakonito, osim ako postoje neki drugi pravni osnovi za iznošenje. Efekat poništavanja biće najznačajniji u Evropskoj uniji i Sjedinjenim Državama, no u nekoj meri postojaće i u drugim državama. Naprimer, zakon o zaštiti podataka o ličnosti u Crnoj Gori priznaje indirektno koncept Safe Harbor-a (kako će biti pojašnjeno u završnom delu ovog blog posta). Nacrt novog zakona o zaštiti podatka o ličnosti u Srbiji takođe bi mogao da se tumači tako da omogućava onima koji iznose podatke u Sjedinjene Države da se oslone na Safe Harbor mehanizam – onako kako je postojao pre 5. oktobra ove godine – kao na osnov za iznošenje. Poništaj režima Safe Harbor povlači za sobom potrebu da se odgovarajući delovi zakona u Crnoj Gori i verovatnog budućeg zakona u Srbiji tumače drugačije nego što bi bio slučaj da je SPEU ostavio Safe Harbor na snazi.
Šta presuda sadrži
SPEU je identifikovao suštinski problem u dvama aneksima uz Odluku Evropske komisije 2000/520/EC, od 26. jula 2000. godine – pri čemu ta Odluka predstavlja ključni pravni instrument za uspostavljanje mehanizma Safe Harbor. U spornim delovima stoji da primena principa Safe Harbor može biti ograničena “u meri u kojoj je to potrebno radi zaštite nacionalne bezbednosti, javnog interesa, ili sprovođenja zakona”. Dodaje se da “ako pravo Sjedinjenih Američkih Država nameće obavezu koja je u sukobu [sa zahtevima na osnovu Safe Harbor-a], američke organizacije, bilo da su obuhvaćene Safe Harbor-om ili ne, moraju postupiti u skladu sa američkim pravom”.
Zbog ovakvih odredbi, zaključio je Sud, “vlasti Sjedinjenih Američkih Država su mogle da pristupe podacima o ličnosti, iznetim iz država-članica u Sjedinjene Američke Države, i obrađuju ih na način koji nije kompatibilan sa, pre svega, svrhama zbog kojih su podaci izneti, i izvan onoga što je bilo strogo neopohodno i proporcionalno u odnosu na zaštitu nacionalne bezbednosti”.
Sud se oslonio isključivo na nalaze iz dvaju dokumenata (Communications) koje je Evropska komisija usvojila novembra 2013. godine, o mešanju američkih agencija za nacionalnu bezbednost i sprovođenje zakona u uživanje prava na privatnost i zaštitu podataka o ličnosti. Komisija nije dovela u pitanje potrebu postojanja Safe Harborsheme, ali je težila tome da se ova reformiše kako bi se uspostavila protivteža širokom pristupu, od strane agencija za nacionalnu bezbednost i sprovođenje zakona, podacima prenetim Safe Harbor-sertifikovanim kompanijama u Sjedinjenim Američkim Državama.
Dosta eksperata smatra da agencije za nacionalnu bezbednost i sprovođenje zakona u glavnim evropskim državama ne poštuju privatnost i zaštitu podataka o ličnosti više nego što to čine odgovarajuće agencije u Sjedinjenim Američkim Državama. Studija nevladinog Center for Democracy & Technology je utvrdila da, po većini kriterijuma, američke agnecije za nacionalnu bezbednost i sprovođenje zakonaobezbeđuju isti ili veći nivo zaštite podataka o ličnosti, u odnosu na takve agencije u većini najrazvijenijih država.
Kako god bilo, prema praksi SPEU derogiranje u odnosu na obaveze zaštite podataka o ličnosti je dopušteno samo kada je to strogo neophodno. Po mišljenju Suda, Safe Harbor shema ne prolazi takav test jer američki zakoni dopuštaju na opšti način američkim vlastima da pristupaju sardržini elektronskih komunikacija, pri tome ne omogućavaju učinkovit sudski nadzor nad takvom praksom.
Bez odgovarajuće alternative na horizontu?
Safe Harbor nije bio jedini osnov za zakonito iznošenje podataka o ličnosti iz Evropske unije u Sjedinjene Američke Države. Sada kada je Safe Harbor uklonjen, pravnici i poslovni ljudi pokušavaju da utvrde da li postoje alternativni osnovi za kontinuirano iznošenje podataka o ličnosti u Sjedinjene Američke Države, pri tome se nadajući da će Sjedinjene Države promeniti svoju praksu nadziranja komunikacija i tako stvoriti prostor za usvajanje nove, ozbiljnih nedostataka lišene, verzije Safe Harbor-a.
Takvi alternativni osnovi postoje. Istog dana kada je Sud izdao odluku u predmetu Schrems, Vera Jourová, Evropski komesar za pravdu, potrošače, i jednakost polova, uputila je na “standardne ugovorne odredbe o zaštiti podataka o ličnosti”, “obavezujuća pravila korporacija o iznošenju podataka unutar grupe”, “izvršenje ugovora”, značajne javne interese kao što su saradnja vlasti različitih država u borbi protiv prevara, kartela, itd., životno važne interese osobe na koju se podaci odnose, ili – ako ništa od navedenog nije na raspolaganju – “slobodno datu saglasnost adekvatno informisanog lica”.
Međutim, oslanjanje na bilo koji od ovih osnova je bitno komplikovanije nego što je bilo oslanjanje na Safe Harbor. Neki od osnova, kao što su “životno važni interesi osobe na koju se podaci odnose” or “značajan javni interes”, retko stoje na raspolaganju. Pribavljanje saglasnosti lica u odnosu na iznošenje podataka o njemu ili njoj je u principu uvek na raspolaganju, ali dobijanje saglanosti predstavlja izazov. Nije svako lice voljno da se saglasi sa iznošenjem podatatka u Sjedinjene Američke Države, a osim toga lice može uvek da povuče jednom datu saglasnost. Saglasnost se mora dobiti od svakog lica ponaosob, često u pisanom obliku. Postoji, osim toga, tendencija među telima sa kompetencijom u pitanjima zaštite podatka o ličnosti u Evropi da ne smatraju saglasnost zaposlenog kao slobodno datu, zbog znatne neravnoteže u pregovaračkim moćima rukovaoca podacima (poslodavca) i lica (zaposlenog).
Dve potencijalne alternative o kojima se najviše govori nakon donošenja presude Schrem su takovazna obavezujuća pravila korporacija (BCRs – binding corporate rules) i standardne ugovorne odredbe (standard contractual clauses).
- BCRs su kodeksi koje interno usvajaju multinacionalne korporacije. Svrha pravila je da obezbede iznošenje podataka iz država Evropskg ekonomskog područja (EEA – European Economic Area) (države-članice Evropske unije, Island, Lihtenštajn, i Norveška) povezanim licima u drugim delovima sveta. Da bi BCRs mogla da se koriste, potrebno je da nacionalni DPA u svakoj državi unutar EEA u kojoj je korporacija prisutna odobri ta pravila, što će DPA učiniti ako pravila omogućavaju odgovarajuću zaštitu privanosti i osnovnih prava i sloboda lica.
- Standardne ugovorne odredbe su odredbe u ugovorima o iznošenju podataka, između rukovaoca podataka koji se nalazi u Evropskoj uniji i obrađivača podataka, ili drugog rukovaoca podataka, po pravilu iz države koje ne obezbeđuje odgovarajući nivo zaštite podataka o ličnosti. Odredbe moraju predvideti odgovarajuće mehanizme zaštite, slično kao kod BCRs. Evropska komisija je nadležna da utvrđuje da li standardne ugovorne odredbe obezbeđuju odgovarajuće mehanizme, a nacionalni DPA o tome ne odlučuje, bilo zato što domaći zakoni ne omogućavaju takvu involviranost DPA, bilo zašto što DPA u praksi preferira da ostane po strani.
Velike kompanije generalno ne preferiraju BCRs kao mehanizam za iznošenje podataka, zbog vremena i troškova koje uspostavljanje takvih pravila iziskuje. Manje kompanije vide BCRs kao “isuviše obimne i kompleksne” za sprovođenje. U odnosu na konkretna pitanja kojima se bavi presuda Schrems, gotovo da postoji konsenzus među ekspertima da, u odnosu na Safe Harbor, BCRs ne nude više zaštite u odnosu na pristupanje podacima od strane agencija za nacionalnu bezbednost i sprovođenje zakona. Standardne ugovorne odredbe su slično neučinkovite kao brana nadziranju podataka prenetih u Sjedinjene Američke Države.
Odjek u Crnoj Gori i Srbiji
Crnogorski Zakon o zaštiti podataka o ličnosti (2008.) sadrži odredbu prema kojoj odobrenje Agencije za zaštitu ličnih podataka za iznošenje podataka u drugu državu nije potrebno kada “…se iznose podaci u … države koje se nalaze na listi Evropske Unije koje imaju adekvatan stepen zaštite podataka o ličnosti” (član 42). Jedna od država prisutnih na listi Evropske komisije je do sada bila Sjedinjene Američke Države, odnosno Safe Harbor-sertifikovane kompanije iz te države. Crnogorska Agencija nije smatrala da je odobrenje potrebno kada je Safe Harbor-sertifikovana kompanije bila uvoznik podataka. Nakon presude Schrems, takav pristup Agencije ne bi bio održiv.
Zakon u Crnoj Gori, pomalo neobično za državu koja nije članica Evropske unije, izuzima iz obaveze pribavljanja odobrenja za transfer one rukovaoce zbirki ličnih podataka koji su zaključili sporazum sa obrađivačem iz države izvan Evropske unije, ako takav ugovor sadrži standardne ugovorne odredbe “prihvaćene od strane država članica Evropske Unije”. Ova odredba u crnogorskom Zakonu o zaštiti podataka o ličnosti verovatno ostaje primenjiva na Sjedinjene Američke Države, iz jednostavnog razloga što SPEU nije (za sada) proglasio u suprotnosti sa Poveljom Evropske unije o osnovnim pravima i Direktivom Evropske Unije o zaštiti podataka o ličnosti (95/46/EC) iznošenje podataka u Sjedinjene Države na osnovu standardnih ugovornih odredbi.
Zakon o zaštiti podataka o ličnosti, koji je sada na snazi u Srbiji, ne sadrži odredbe poput navedenih iz crnogorskog zakona. Međutim, kako je srpski Poverenik za zaštitu podataka o ličnosti podsetio u svojoj reakciji na presudu Schrems, Poverenik je 2014. godine pripremio i stavio Vladi na raspolaganje Model zakona o zaštiti podataka o ličnosti koji se u znatnoj meri oslanja na stavove i praksu Evropske unije kada je o iznošenju podataka iz zemlje reč. Relevantna odredba u Modelu zakona sadrži pretpostavku da su u “državama, teritorijama, ili međunarodnim organizacijama” sa E.U. liste odluka o adekvatnoj zaštiti podaci o ličnosti zaštićeni na odgovarajući način. Očekuje se da Model zakona bude osnov za izradu, i usvajanje narednih meseci, novog srpskog zakona o zaštiti podataka o ličnosti. Ako novi zakon bude sadržavo navedenu odredbu iz Modela, onda, čak i ako je Poverenik bio voljan da široko tumači koncept “države” i pod time podrazumeva i Safe Harbor-sertifikovane kompanije iz Sjedinjenih Američkih Država, presuda Schrems onemogućava iznošenje podataka takvim kompanijama bez saglasnoti Poverenika.