Evropska komisija je 12. jula 2016. godine formalno usvojila novu shemu za trans-atlantski prenos podataka – “Evropska unija – Sjedinjene Američke Države, Štit Privatnosti” (Privacy Shield). Shema sadrži značajna poboljšanja u odnosu na pravila koja su regulisala prenos podataka iz EU u SAD u prethodnih 15 godina.
Pre upuštanja u analizu najznačajnijih novina koje donosi Privacy Shield, podsetimo se razvoja događaja koji su doveli do stvaranja novog okvira za prenos podataka.
Sud pravde Evropske Unije je 6 oktobra 2015. godine oglasio nevažećom Safe Harborshemu u svojoj poznatoj presudi u slučaju Schrems. (O ovome smo pisali u blog postu iz oktobra 2015. godine.) Safe Harbor je bio okvir za prenos podataka između EU i SAD u periodu nakon 2000. godine. Međutim, problem sa ovim okvirom – problem koji je na kraju doveo do poništaja Safe Harbor-a – bila je mogućnost (koja se pretvorila u realnost, sudeći po Snoudenovim otkrićima) sveobuhvatnog neselektivnog pristupa od strane nacionalnih službi za bezbednost SAD-a podacima koji su iznošeni iz EU. S obzirom na značaj ekonomske saradnje između EU i SAD i zavisnosti takve saradnje od prenosa podataka, pregovori o novoj shemi su započeli odmah nakon poništavanja Safe Harbor-a.
EU i SAD su 2. februara 2016. godine postigle politički sporazum koji je trebalo da bude pretočen u pravno obavezujući tekst. (Naš blog post iz februara 2016. godinebavio se ovim pitanjem.) Evropska komisija je 29. februara predstavila javnosti nacrt odluke o Privacy Shield-u. Article 29 Working Party, telo sastavljeno od predstavnika organa za zaštitu podataka o ličnosti svih država članica EU, Evropskog nadzornika za zaštitu podataka o ličnosti (European Data Protection Supervisor), i Evropske komisije, izdala je svoje mišljenje o predloženoj shemi 13. aprila. Article 29 Working Party je pozdravila značajna poboljšanja Privacy Shield-a u odnosu na Safe Harbor. Istovremeno, Article 29 Working Party je iskazala svoju zabrinutost u pogledu mogućnosti da vlasti SAD pristupe podacima koji se prenose u okviru Privacy Shield-a. Mišljenje zaključuje pozivom Evropskoj komisiji da reši ovaj nedostatak i dalje poboljša Privacy Shield.
Nakon što je Article 29 Working Party objavila svoje mišljenje, EU i SAD su nastavile pregovore koji su doveli do, prvo, rezolucije Evropskog parlamenta od 26. maja, i zatim do konačnog usvajanja Privacy Shield-a u formi “odluke o adekvatnosti” (adequacy decision) pre dva dana. Šta nova shema znači za trans-atlantski prenos podataka?
Na dan kada je Evropska komisija usvojila odluku o adekvatnosti, Věra Jourová, komesar za pravdu, zaštitu potrošača i ravnopravnost polova, opisala je Privacy Shieldkao “snažan novi sistem koji treba da obezbedi zaštitu podataka o ličnosti Evropljana i pravnu sigurnost za kompanije”. Prema mišljenju Jourove, Privacy Shield “donosi više standarde zaštite podataka koji se bolje sprovode, garancije u odnosu na pristup podacima od strane američkih vlasti, i lakše obeštećenje pojedinaca u slučaju žalbi. Novi okvir će vratiti poverenje potrošača u prenos njihovih podataka preko Atlantika.”
Ovi ambiciozni ciljevi treba da budu ostvareni implementiranjem pravila koja je Evropska komisija u svom obraćanju za medije grupisala u četiri široke kategorije:
(1) Jasne i stroge obaveze nametnute kompanijama iz SAD-a koje obrađuju podatke;
(2) Jasne garancije i obavezu transparentnosti u odnosu na pristup podacima od strane vlasti SAD-a;
(3) Efikasnu zaštitu prava građana EU kroz nove mogućnosti obeštećenja; i
(4) Zajedničku godišnju analizu kako bi se osigurala efikasnost sheme.
Od 1. avgusta 2016. godine, kompanije iz SAD-a moći će da započnu sa auto-sertifikovanjem (self-certification) pred Ministarstvom trgovine SAD (Department of Commerce). Prema novom sporazumu, Ministarstvo trgovine SAD sprovodiće stalnu proveru kompanija koje učestvuju u shemi. Ukoliko se kompanija ne pridržava pravila u praksi, može biti izbrisana sa liste. Za dalji prenos podataka trećim licima, iz kompanije koja je sertifikovana u okviru Privacy Shield-a, kompanija mora da obezbedi da će nivo zaštite podataka biti ekvivalentan onom koji obezbeđuje shema. (Prema ranije važećoj Safe Harbor shemi, kompanije su se takođe auto-sertifikovanjem podvrgavale principima koje je propisivao Safe Harbor, ali nije postojala godišnja analiza sheme.)
Svaki građanin EU koji smatra da su njegovi podaci u okviru Privacy Shield sheme zloupotrebljeni, imaće na raspolaganju više načina za rešavanje ovog spora. U najboljem slučaju, sama kompanija će postupiti po žalbi (u roku od 45 dana). Takođe će postojati mogućnost alternativnog rešavanja sporova. Građani EU takođe mogu da se obrate svom nacionalnom organu za zaštitu podataka o ličnosti, koji će sarađivati sa Federalnom trgovinskom komorom SAD (Federal Trade Commision) kako bi osigurao da žalbe budu istražene i rešene. Kao poslednji mehanizam postojaće i arbitraža. Po žalbama u vezi sa podacima koji se prenose na “osnovima koji se odnose na nacionalnu bezbednost” (national security grounds – kako je formulisano u Privacy Shield-u) postupaće ombudsman u SAD-u, koji bi trebalo da rešava nepristrasno i nezavisno od federalnih bezbednosnih agencija.
Na godišnjem nivou, Evropska komisija i Ministarstvo trgovine SAD zajedno će analizirati funkcionisanje Privacy Shield-a, uključujući i obaveze i garancije SAD-a u pogledu pristupa podacima od strane američkih vlasti, tj. nacionalnih službi bezbednosti.
Najkontroverzniji deo sheme je onaj koji se odnosi na pristup podacima građana EU od strane službi bezbednosti SAD-a. SAD su dale garancije EU da je takav pristup pod strogim ograničenjima, garancijama, i mehanizmima nadzora. U tom smislu, kancelarija direktora Nacionalne službe bezbednosti (Office of the Director of National Intelligence) potvrdila je da prikupljanje širokog obima može da se vrši samo pod “posebnim uslovima i mora da bude što preciznije određeno, u skladu sa principima neophodnosti i proporcionalnosti”. Ali, da li su ove garancije dovoljne da bismo rekli da SAD pružaju adekvatnu zaštitu podataka Evropljana? Mišljenja su krajnje podeljena.
Neke velike kompanije, uključujući Microsoft, Apple, Google, Samsung, Sony, su voljne da se odmah prijave za Privacy Shield. John Frank, zamenik predsednika za odnose sa EU u kompaniji Microsoft, napisao je u svom blog postu da odluka “postavlja novi visoki standard za zaštitu podataka o ličnosti Evropljana”.
Izgleda da su protivnici Privacy Shield-a glasniji. Organizacija Privacy International, koja se nalazi u Londonu i bavi praćenjem razvoja zaštite podataka o ličnosti, izrazila je zabrinutost da “evropski podaci u SAD će i dalje biti podložni nadgledanju, a Evropljani i dalje neće imati pristup pravdi”. Max Schrems, čovek čija je tužba protiv Facebook-a rezultirala poništavanjem Safe Harbor sheme, rekao je da je “Privacy Shield rezultat pritiska SAD-a i IT industrije – a ne racionalnih ili razumnih razmatranja. Predstavlja malo više od malog poboljšanja Safe Harbor-a, ali nije novi sporazum. Vrlo verovatno će ponovo biti poništen čim se nađe pred Sudom pravde”.
Za sada, pored model klauzula (Model Clauses), obavezujućih pravila korporacija (Binding Corporate Rules – BCRs), i pristanka lica na koje se podaci odnose, Privacy Shield je četvrti osnov za iznošenje podataka u SAD. Međutim, Max Schrems je započeo sudski postupak protiv model klauzula i obavezujućih pravila korporacija kako bi ih podvrgao istoj analizi kojoj je bio izložen Safe Harbor u postupku pred Sudom pravde. Takođe je vrlo moguće da će sam Privacy Shield završiti pred sudom na inicijativu Max Schrems-a, nevladinih organizacija ili DPA-ja bilo koje članice Evopske unije. Sud pravde Evropske Unije će verovatno imati poslednju reč o Privacy Shield-u.