MEDNARODNI PRENOSI OSEBNIH PODATKOV V ZDA

KAKO NAPREJ PO ODLOČITVI SODIŠČA EU – PRIPOROČILA ITLAW

Sodišča Evropske unije (SEU) je v primeru Schrems II (DPC Ireland v. Facebook Ireland and Schrems), razglasilo za neveljavno odločbo Evropske komisije 2016/1250 o ustrezni ravni varstva osebnih podatkov v okviru EU-ZDA dogovora Ščitu zasebnosti (Privacy Shield). Vsi prenosi osebnih podatkov v ZDA na tem pravnem temelju so tako od 16.7. 2020 nezakoniti.

SEU je hkrati, sicer v načelu, potrdilo veljavnost standardnih pogodbenih klavzul, ki se še vedno lahko uporabljajo za prenose podatkov v tretje države in ZDA, ki ne zagotavljajo ustreznega varstva osebnih podatkov. Vendar pa je SEU naložilo obvezo izvozniku osebnih podatkov, da v vsakem posamičnem primeru izvoza podatkov, preveri in oceni ali je z izvozom zagotovljena ustrezna raven varstva osebnih podatkov. V primeru zaključka, da raven varstva ni ustrezna in primerljiva s to v EU mora izvoznik osebnih podatkov s takšnimi iznosi osebnih podatkov prenehati in pristojni nadzorni organi lahko v takšnih primerih prepovedo iznos.

Sama odločba SEU je precej kontradiktorna in če se sledi argumentaciji SEU o razveljavitvi Ščita zasebnosti je večina prenosov osebnih podatkov v ZDA nezakonita. To seveda postavlja vse mehanizme iznosa osebnih podatkov v ZDA pod vprašaj.

 

KAJ PRAVI ODLOČBA SODIŠČA:  

– Prenosi osebnih podatkov v ZDA na temelju pravnega temelja Ščita zasebnosti so nezakoniti;
– Standardne pogodbene klavzule ostajajo veljaven pravni temelj, vendar:
a.) Izvozniki osebnih podatkov morajo v vsakem konkretnem primeru izvesti verifikacijo ustreznosti zakonodaje s področja varstva osebnih podatkov (predvsem zakonodajo s področja množičnega nadzora oziroma dostopa s strani organov oblasti) in v tej luči svojo odločitev primerno dokumentirati s ciljem zagotoviti, da si uvozniki osebnih podatkov sposobni zagotavljati skaldnost s pogodbenimi obvezami vsebovanimi v standardnih pogodbenih klavzulah;
b.) To velja ne zgolj za iznose v ZDA temveč tudi za iznose v ostale države, ki nimajo ugotovljene ustrezne ravni varstva osebnih podatkov.

Evropski nadzornik za varstvo osebnih podatkov (EDPS) je hitro po odločitvi SEU izdal svoje stališče,  ki pa ne vsebuje nobenih konkretnih priporočil in načinov kako zagotoviti zakonitost prenosov oziroma kako izvesti proces verifikacije ravni varstva osebnih podatkov.

Tudi  slovenski IP ni izdal priporočil. V Nemčiji različni nadzorniki fomalno ali neformalno podajajo stališča, nekateri milejša nekatero zelo ostra. Npr. nadzorni organ v Berlinu je izdal radikalno priporočilo naj se osebni podatki sploh ne prenašajo več v ZDA. Seveda je v realnosti je to glede na tehnološki razvoj, infrasktukturo in vpliv ter obseg ameriških storitvenih ponudnikov težko izvedljivo. Odločitev je del realnosti odnosa med EU in ZDA in jo nekateri imenujejo kar “data trade war” in ji seveda pripisujejo veliko političnega konteksta. Bolj milejši pa razliki med pravnimi koncepti v ZDA in EU.

Leta 2015 ko je SEU razveljavilo Varni pristan (predhodnika ščita zasebnosti) so evropski regulatorji omogočili v večini več kot 3 mesečni prehodni tranzicijski čas.

V kontekstu odločbe SEU se pojavljajo tudi vprašanja o veljavnosti zavezujočih poslovnih pravil (Binding Corporate Rules, BCR). Ocenjujemo, da BCR kot orodje prenosa osebnih podatkov izven EEA ni težav in posledično, da prenos na tem temelju ni problematičen. SEU o BCR ni nič odločilo. Analogija s standardnimi pogodbenimi klavzulami tudi v principu ni uporabljiva, saj za razliko od standardnih pogodbenih klavzul, ki so pogodbeni odnos med izvoznikom in uvoznikom, BCR potjujejo nadzorni državni organi v kompleksnem usklajevalnem postopku in predstavljajo torej “žig” države, da  je za varstvo osebnih podatkov primerno zagotovljeno. Zdi se da bodo dolgoročno BCR edini pravi robusten sistem prenosa osebnih podatkov.

KAJ STORITI:

1. Spremljajte priporočila in mnenja izdana s strani Informacijske pooblaščenke in Evropskega nadzornika za varstvo osebnih podatkov (EDPS). Ker odločitev SEU ne ponuja natančnih usmeritev kako naj se zagotovi skladnost so takšna priporočila obeh organov ključna.

2. Izrišite si različne pretoke podatkov (data flow), ki so v vašem upravljanju in obstoječe pravne podlage za takšne prenose izven EU, razumite kdo vse lahko dostopa in drugače obdeluje osebne podatke. Pri tem upoštevajte količino in občutljivost osebnih podatkov, da je mogoče oceniti tveganje glede na verjetnost dostopa s strani oblasti in posledično škodo posamezniku ter kako enostavno bi bilo eventuelno prestaviti dejavnost obdelave. Za prenose v ZDA je potrebna dokumentirana ocena. Doslej so ZDA edina država, za katero je SEU dejansko razsodilo o enakovrednosti varstva osebnih podatkov in ugotovilo, da je takšna ocena potrebna.

3. V primerih kjer prenosi osebnih podatkov v ZDA temeljito na Ščitu zasebnosti nujno vzpostavite in zagotovite podpis standardnih pogodbenih klavzul ali drugih pravnih temeljev. Podjetja lahko prenašajo osebne podatke iz EU v tretje države, tudi v ZDA, na različnih podlagah. Bodisi država zagotavlja ustrezno raven varstva osebnih podatkov in je to ugotovila Evropska komisija s svojim sklepom – to je bila situacija v primeru »zasebnostnega ščita«, za katerega je Evropske komisija ugotovila, da nudi ustrezno varstvo podatkov. Lahko pa se podatki prenašajo tudi v okviru drugih mehanizmov po členu 46 Splošne uredbe o varstvu podatkov, predvsem na podlagi standardnih pogodbenih klavzul (tipske pogodbe, ki jih je prav tako sprejela Evropska komisija) in zavezujočih poslovnih pravil (ki jih sprejme organizacija in potrdijo nadzorni organi v EU) iz člena 47 ali pa v primeru izjem iz člena 49 Splošne uredbe o varstvu podatkov, pri prenosih, ki niso množični ali ponavljajoči, npr. na podlagi privolitve posameznika.

4. Razmislite kako se boste pred podpisom standardnih pogodbenih klavzul in pred iznosom osebnh podatkov v ZDA lotili verifikacije ustreznosti zakonodaje s področja varstva osebnih podatkov in sicer ali državljani EU uživajo primerno varstvo svojih osebnih odatkov v obsegu kot to določa zakonodaja EU in Listine EU o temeljnih pravicah (predvsem zakonodajo s področja množičnega nadzora oziroma dostopa s strani organov oblasti). Sodba SEU dejansko ne daje jasnih navodil in okvirja kako naj se ta verifikacija izvede zato je “pomoč” oz usmeritev s strani EDPS in IP ključna. Pri verifikaciji se je potrebno opredeliti do ustreznosti zakonodaje in ali so potrebni dodatni zaščitni ukrepi.  Morda je lahko v pomoč način in sistem kako EU Komisija ugotavlja ustrezno raven varstva osebnih podatkov.

5. Razmislite o dodatnih zaščitnih ukrepih. Zasčitni ukrepi so lahko tehnične narave (enkripcija), pogodbeni ukrepi ali pa zmanjševanje obsega prenosov osebnih podatkov oziroma restrukturiranje sistema prenosa osebnih podatkov in zamenjava dobaviteljev storitev. Pri enkripciji ne pozabite, da je “nasprotnik” država zatorej naj bo enkripcija robustna, kar pa pomeni, da bo takšna enkripcija zahtevna in finančno draga. Družbe v ZDA lahko uporabljajo le komercialno dostopna enkripcijska orodja, za vse ostalo pa potrebujejo posebno dovoljenje skladno pravilom določenim v 15 C.F.R. 742.15. Pogodbeni ukrepi lahko vključujejo povečano preglednost nad delovanjem uvoznika osebnih podatkov, minimiziranje obdelav osebnih podatkov, obvezno obveščanje izvoznika osebnih podatkov v primerih morebitnih zahtevah s strani državnih organov, redna statistika in poročanje uvoznika glede zahtev s strani državnih organov, možnost prekinitve pogodbenega odnosa.

6. Razmislite o uporabi 49. člena Splošne uredbe o derogaciji pravil glede mednarodnih prenosov, čeprav je dolgoročno gledano njihova uporaba omejena v primerih množičnih prenosov osebnih podatkov in v normalnem dnevnem poslovanju.

7. Zagotovite, da je uprava družbe seznanjena o posledicah odločitve EUS in posledično o vplivu na družbin poslovni model.

8. Razmislite o zakasnitvi transakcij, ki vključujejo prenose osebnih podatkov v ZDA ali v drugo jurisdikcijo, ki ni na listi varnih držav s strani EU komisije ter primerni alokaciji pravic in obveznosti.

 

V primer dodatnih vprašanj nas kontaktirajte na info@itlaw-vsj.si

 

 

 

 

 

Leave a Reply

Your email address will not be published.