Zasebnostni ščit EU – ZDA

Ta je bil sprejet po nekajmesečnih intenzivnih pogajanjih med ZDA in EU po tem, ko je Sodišče EU s sodbo v zadevi Maximilian Schrems proti Data Protection Commissioner oktobra 2015 razveljavilo petnajst let star dogovor Varni pristan. Ta je na poslovnem področju omogočal prosti pretok osebnih podatkov iz EU certificiranim organizacijam v ZDA.

Od oktobra 2015 do julija 2016 so bili na voljo zgolj preostali mehanizmi prenosa (na primer standardne pogodbene klavzule in obvezna poslovna pravila), ki pa so zaradi administrativnih ovir do poslovnih subjektov bistveno manj prijazni. Sodba v zadevi Schrems je pomenila zgolj vrh ledene gore v načetem zaupanju v ZDA po Snowdnovih razkritjih o programih množičnega nadzora elektronskih komunikacij v ameriških obveščevalnih službah. Hkrati pa je bila ključni povod za okrepitev leta 2014 začetih pogajanj med EU in ZDA o reformi varstva podatkov pri čezatlantskih poslovnih prenosih. Načeto zaupanje v čezatlantski pretok podatkov ni moglo omajati zelo velikega poslovnega (in posledično političnega) interesa za čim prejšnji sporazum o prenovljeni različici Varnega pristana. To ni presenetljivo, saj večina vodilnih svetovnih igralcev pri storitvah računalništva v oblaku in drugih storitvah informacijsko-komunikacijske tehnologije domuje čez lužo.

Po nekaterih podatkih vrednost »trgovine«, povezane s čezatlantskim prenosom podatkov, presega 250 milijard ameriških dolarjev. V sedanjem digitalnem svetu in svetu targetiranega oglaševanja pa osebni podatki že pomenijo enega vodilnih plačilnih sredstev, zato je prosti pretok neizogiben. Za ponovno »liberalizacijo« pretoka osebnih podatkov čez Atlantik so bila v smislu Schrems odločbe nujna ustrezna zagotovila ZDA o varovalkah pred množičnimi in nediskriminirajočimi posegi v zasebnost pri vladnih organih.

Ali zasebnostni ščit take varovalke res zagotavlja?

Ne nujno. Sicer ni mogoče prezreti, da pomeni napredek v primerjavi z Varnim pristanom, saj zagotavlja strožje obveznosti za uvoznike osebnih podatkov, predvsem z vidika omejitev nadaljnjih prenosov, poostrenega nadzora ameriškega ministrstva za trgovino nad izpolnjevanjem obveznosti in jasnejših omejitev hrambe podatkov.

Prvič so dane tudi določene zaveze in omejitve dostopa ameriških državnih organov do osebnih podatkov, a prav pomanjkljiva pravna trdnost zavez in spornost zanesljivosti nadzornih mehanizmov (kot je ombudsman na ameriškem zunanjem ministrstvu) se zdi ta najšibkejši člen ščita. To je tudi ključni razlog, zakaj številni strokovnjaki kot tudi posamezne institucije nimajo enake ocene evropske komisije o tem, da ščit res zagotavlja ustrezno raven varstva osebnih podatkov. Povedno je dejstvo, da se je nekaj držav članic EU (vključno s Slovenijo) vzdržalo glasovanja o podpori ščitu.

Dvomi o tem, da bo ščit prestal test Sodišča EU iz zadeve Schrems (predvsem v zvezi s tem, da morajo biti standardi varstva podatkov v »bistvenem enaki«, kot veljajo v EU), se zdijo upravičeni. Tako evropski nadzornik za varstvo osebnih podatkov kot tudi delovna skupina iz člena 29 sta javno že izrazila svoje pomisleke o ščitu. Sodbe Sodišča EU v zadevi Schrems in Digital Rights Ireland skupaj z nedavnimi sodbami Evropskega sodišča za človekove pravice o dopustnosti nadzora z vidika pravice do zasebnosti v zadevah Szabó in Vissy proti Madžarski ter Zakharov proti Rusiji postavljajo letvico sprejemljivih posegov v zasebnost posameznika zelo visoko.

Kaj v praksi prinaša zasebnostni ščit za slovenska podjetja?

Za poslovni svet, predvsem za vse podružnice ali hčerinske družbe ameriških korporacij, in imajo na ravni skupine tradicionalno centralizirane določene storitve, kot tudi za večino poslovnih uporabnikov storitev računalništva v oblaku in drugih storitev pogodbenih partnerjev iz ZDA (denimo CRM, HRM in podobnih storitev) dogovor o zasebnostnem ščitu gotovo pomeni olajšanje in zmanjšanje administrativnih ovir. Po zdaj veljavnih pravilih namreč alternativni mehanizmi prenosa (kot so standardne pogodbene klavzule in obvezna poslovna pravila) zahtevajo ustrezno dovoljenje informacijskega pooblaščenca. V nekaj mesecih po splavitvi Zasebnostnega ščita se je samocertificiralo že več kot petsto ameriških podjetij, kar je veliko, a vendarle še daleč od števila samocertificiranih podjetij v Varnem pristanu (teh je bilo več kot 4000). Ta trend kaže na to, da si je mogoče obetati, da bo v kratkem velik del čezatlantskega pretoka osebnih podatkov potekal v okviru ščita.

A tako olajšanje v poslovnem svetu ne bo zelo dolgotrajno, saj gre po oceni številnih v Zasebnostnem ščitu zgolj za prehodno in ne dolgoročno rešitev, sedanjo različico pa bi bilo mogoče razumeti zgolj kot vmesno etapo pri osvobajanju trgovine z osebnimi podatki, ki si sicer prizadeva zagotoviti vsaj nekatere varovalke pred masovnimi posegi v zasebnost. Poleg tega bo maja 2018 začela veljati spomladi sprejeta Splošna uredba o varstvu osebnih podatkov (GDPR), s katero so bila na ravni EU poenotena pravila varstva osebnih podatkov.

Ta prinaša pomembno spremenjena pravila igre, spremenjene zahteve (ki presegajo bistvena načela iz Zasebnostnega ščita), veliko strožje sankcije ter teritorialno precej širšo uporabo, kot je veljalo po Direktivi 9546/ES. Hitra prilagoditev novim zahtevam bo neizogibna. Možnost izreka globe v višini do 20 milijonov evrov ali štirih odstotkov skupnega svetovnega letnega prometa (karkoli je več) bi morala biti dovolj velika spodbuda za to, da se tudi slovenska podjetja pravočasno prilagodijo zahtevam iz GDPR.

David Premelč, odvetnik in partner - Odvetniška družba Rojs, Peljhan, Prelesnik & partnerji o. p., d. o. o.