Ovih je dana Sud Europske unije u slučaju „Facebook Ireland and Schrems“ donio presudu (Judgment of the Court of Justice in Case C-311/18) kojom Odluku 2016/1250 poznatu kao Privacy Shield (Štit privatnosti) proglašava nevaljanom.
Zašto i što to zapravo znači?
U slučaju kada se osobni podaci prenose izvan EU, odredbe GDPR određuju da je nužno osigurati određene mehanizme zaštite. Takvi mehanizmi mogu biti prijenosi na temelju odluke Europske komisije o primjerenosti (prijenos u npr. Švicarsku, Argentinu, SAD..), obvezujuća korporativna pravila – BCR (pravila koja u skladu s regulativom uređuje grupacija samostalno) ili pak standardne ugovorene klauzule – SCC (set unaprijed definiranih odredbi propisanih Odlukom Europske komisije).
Bitno je istaknuti da postoje i propisana odstupanja u posebnim situacijama kada je moguć prijenos podataka i bez poduzimanja definiranih mjera zaštite. To će biti onda kada je osoba sama pristala na takav prijenos, kada je prijenos nužan za izvršavanje ugovora među strankama ili za provedbu predugovornih mjera, kada je prijenos nužan za izvršavanje ugovora sklopljenog u interesu ispitanika kao i onda kada je takav prijenos nužan radi javnog interesa, ostvarivanja pravnih zahtjeva, za zaštitu životno važnih interesa ili kad se ispune uvjeti za prijenos iz javno dostupnih registara.
Međutim, o svim navedenim mehanizmima zaštite možemo govoriti tek onda kada je zadovoljeno osnovno načelo obrade osobnih podataka koje zahtjeva da voditelj i izvršitelj obrade osiguravaju primjenu i postupanje s osobnim podacima u skladu s GDPR odnosno, ekvivalentno proporcionalnu razinu zaštite koju jamči GDPR.
Konkretno, to bi, između ostaloga, značilo da tvrtka u SAD koja prima podatke građana EU mora jamčiti primjenu i postupanje s podacima u skladu s odredbama GDPR.
Gdje je u toj priči Privacy Shield?
Prije svega trebamo razumjeti što je Privacy Shield. To je Odluka o europsko-američkom sustavu zaštite privatnosti donesena je 12. srpnja 2016. koja predstavlja GDPR-om predviđen mehanizam zaštite na temelju odluke o primjerenosti. Ono je okvir, mehanizam zaštite kojim se štite temeljna prava građana EU-u čiji se osobni podaci prenose u SAD u komercijalne svrhe te se osigurava pravna jasnoća poduzećima koja se u poslovanju oslanjaju na transatlantski prijenos podataka.
Na primjer, prilikom kupnje na internetu ili korištenja socijalnim medijima u EU-u osobne podatke u EU-u može prikupljati podružnica ili poslovni partner američkog poduzeća i potom ih prebaciti u SAD. Primjerice, putnička agencija iz EU-a može poslati imena, podatke za kontakt i brojeve kreditnih kartica hotelu u SAD-u koji je registriran u sustavu zaštite privatnosti.
Privacy Shield pružao je visoku razinu zaštite prilikom prijenosa podataka, međutim, GDPR u članku 44. uređuje opće načelo prijenosa osobnih podataka u treće zemlje ali i u druge treće zemlje iz tih zemalja, a s kojim se Privacy Shield nije u potpunosti uskladio. Kada je u pitanju prijenos na temelju Odluke o primjerenosti, što je slučaj s Privacy Shield, nadzorno tijelo ima dužnost obustaviti ili zabraniti prijenos osobnih podataka u treću zemlju kada smatra da klauzule o zaštiti podataka nisu ili ne mogu biti poštovane u toj zemlji i da se zaštita prenesenih podataka koja se zahtijeva sukladno GDPR ne može osigurati drugim sredstvima. Isto vrijedi i za prijenos podataka iz te treće zemlje u neku drugu treću zemlju, a što nije bilo regulirano sa Štitom privatnosti niti je takvo nešto predviđeno samim zakonodavnim sustavom SAD. Analogno s time, dovodi se u pitanje i postupanje javnopravnih tijela (uključujući sigurnosne službe i drugo) u pitanju zaštite osobnih podataka u postupanju po službenoj dužnosti te postupanje u svezi ostvarivanja prava zaštite EU građana onda kada dođe do povrede njihovih osobnih podataka (kao što je ostvarivanje pravnih zahtjeva kada dođe do povrede osobnih podataka). Europski nadzornik za zaštitu podataka još je 2016. godine u svom Mišljenju o nacrtu odluke o primjerenosti zaštite privatnosti između EU-a i SAD-a naglasio da "primjerenost"
U skladu s time, valjanost Privacy Shield nije dovedena u pitanje radi naravi samih ugovornih klauzula već radi mehanizama koji ne omogućuju osiguranje razine zaštite koja se zahtjeva pravom Europske unije (GDPR) obustavu ili zabranu prijenosa osobnih podataka temeljenih na takvim klauzulama te u slučaju povrede tih klauzula ili nemogućnosti njihova poštovanja.
Zaključno možemo reći da je Privacy Shield proglašen nevaljanim zbog činjenice da SAD ne osigurava zadovoljavajuću razinu primjene GDPR-a onda kada takva zaštita nije posebno uređena putem predviđenih mehanizama zaštite. Odnosno, zakonodavni okvir SAD nije ekvivalentan zaštiti koju pruža EU i stoga se bez dodatnog uređenja tog pitanja građanima EU ne može jamčiti proporcionalno jednaka razina zaštite osobnih podataka.
