Prenos podataka o ličnosti u SAD u svetlu odluka nadležnih organa EU
S obzirom da je Opšta uredba o zaštiti podataka o ličnosti EU 2016/679 (GDPR) poslužila kao model zakon za izradu Zakona o zaštiti podataka o ličnosti RS, mišljenja i praksa nadzornih tela EU u ovoj oblasti od velikog su značaja za primenu domaćeg zakona i ista su do sada predstavljala stabilan oslonac za donošenje odluka i postupanje subjekata koji se pojavljuju kao rukovaoci ili obrađivači podataka o ličnosti, a svoje poslovanje žele uskladiti sa evropskim principima prava na privatnost fizičkih lica.
Imajući u vidu navedeno, nedavno doneta Odluka Evropskog suda pravde C-311/18 od 16. jula 2020. godine kojom je Odluka Evropske komisije 2016/1250 od 12. jula 2016. godine o primerenosti zaštite uspostavljene u okviru EU-US Privacy Shield-a proglašena nevažećom od izuzetnog je značaja za multinacionalne kompanije koje se pojavljuju u ulozi rukovalaca i obrađivača.
Značaj pomenute odluke ogleda se u činjenici da veliki broj kompanija koje posluju u Srbiji ili EU ima potrebu za prenosom podataka o ličnosti u SAD. Prema našem dosadašnjem iskustvu, potreba za prenosom podataka o ličnosti u SAD najčešće nastaje kao rezultat potrebe za uspostavljanjem centralizovane baze podataka na nivou multinacionalne kompanije čija se „majka kompanija“ koja administrira i kontroliše ovakvu bazu nalazi u SAD-u. Takođe, veliki broj kompanija koje pružaju usluge cloud-a ili korisnicima omogućavaju korišćenje društvenih mreža, internet programa i aplikacija za unapređenje poslovanja servere upravo locira na teritoriji SAD-a.
Usled gore navedenog, stavljanje van snage odluke kojom je bilo utvrđeno da je u pogledu prenosa podataka o ličnosti organizacijama u SAD koje su putem samosertifikacije postale deo Privacy Shield Framework-a obezbeđen primereni nivo zaštite isključena je mogućnost prenosa podataka o ličnosti u SAD po najpovoljnijim uslovima prenosa, odnosno bez ispunjenja posebnih, dodatnih uslova i ograničenja koja su karakteristična za ostale osnove prenosa. Međutim, nalazima u svojoj odluci Evropski sud pravde odlazi i korak dalje, dovodeći u pitanje prenos podataka o ličnosti u SAD u načelu.
Podsećanja radi, ovo nije prvi put da se pitanje prenosa podataka o ličnosti i uopšte sistema zaštite podataka o ličnosti u SAD nametnulo kao sporno. Štaviše, predmetno pitanje je i ranije, a i sada, kada je doneta odluka o neadekvatnosti EU-US Privacy Shield-a raspravljano u postupku po pritužbi istog lica, Maximillian Schrems-a, Austrijskog državljanina i korisnika društvene mreže Facebook kao jedne od tipičnih kompanija o kojima smo govorili u gornjem delu. Naime, Odluka Evropske komisije o primerenosti zaštite uspostavljene u okviru EU-US Privacy Shield-a doneta je nakon jačanja pregovora EU i SAD u pravcu uspostavljanja mehanizama zaštite podataka o ličnosti u SAD koji bi garantovali efikasnu zaštitu podataka koji se prenose u SAD. Pomenuti pregovori pokazali su se kao neophodni s obzirom da je Odlukom Evropskog suda pravde C-362/14 od 06. oktobra 2015. godine u postupku po pritužbi gospodina Schrems-a Odluka Evropske komisije 2000/520/EC o adekvatnosti zaštite ustanovljene kroz Safe Harbour principe, a na osnovu koje je Facebook ostvarivao prenos podataka u SAD, takođe oglašena nevažećom.
Imajući u vidu da su razlozi navedeni u obrazloženju Odluke Evropskog suda koja se odnosi na Privacy Shield u velikoj meri istovetni razlozima iz ranije Odluke tog suda vezane za Safe Harbour, čini se da napori EU-SAD učinjeni u pravcu jačanja mehanizama zaštite podataka o ličnosti koji se prenose u SAD prema stanovištu Evropskog suda pravde nisu dali zadovoljavajuće rezultate. Prema nalazima suda, široka i neprecizna ovlašćenja organa javne vlasti u SAD u oblasti obrade podataka o ličnosti kroz uspostavljene sisteme nadzora (PRISM, UPSTREAM) i odsustvo delotvorne pravne zaštite licima van SAD-a ostaju rizik obrade podataka o ličnosti koja se sprovodi u SAD. Naime, akti doneti od strane nadležnih organa SAD-a u pravcu ograničenja ovlašćenja obaveštajnih službi prema oceni suda nisu doveli do uvođenja u sisteme nadzora principa proporcionalnosti i svrsishodnosti kao temeljnih evropskih principa zaštite prava na privatnost fizičkih lica. Takođe, sud je našao da odsustvo delotvorne zaštite pred sudovima SAD-a licima koja nisu državljani SAD ne može nadomestiti ni novouspostavljeni Poverenik na strani SAD-a, budući da je nezavisni položaj ovog tela s obzirom na odsustvo efektivnih garancija stalnosti funkcije ostao na nivou deklaracije.
S obzirom da je saglasno odredbama Zakona o zaštiti podataka o ličnosti RS Odlukom Vlade RS Sl gl. RS 55/19 od 02.08.2019. godine prenos podataka organizacijama u SAD u okvirima Privacy Shield Framework-a utvrđen kao prenos uz obezbeđivanje primerenog nivoa zaštite s aspekta domaćeg zakona, a upravo na osnovu Odluke Evropske komisije o primerenosti zaštite uspostavljene u okviru EU-US Privacy Shield-a, Privacy Shield Framework usled nevažnosti ove odluke više ne obezbeđuje primereni nivo zaštite ni s aspekta Zakona o zaštiti podataka o ličnosti RS. Sledstveno, rukovaoci podataka koji podatke prenose u SAD, a koji su prenos podataka do sada ostvarivali po ovom osnovu će morati pronaći drugi osnov prenosa ustanovljen domaćim zakonom. Navedeno tumačenje potvrđeno je i od strane Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti Republike Srbije, koji je uputio dopis Vladi RS u pravcu usaglašavanja Odluke Sl gl. RS 55/19 od 02.08.2019. godine sa posledicama koje je proizvela Odluka Evropskog suda pravde koja se odnosi na Privacy Shield, a na koji se prema dostupnim podacima još očekuje odgovor.
Kao što je u gornjem delu ovog teksta pomenuto, odluka suda o neadekvatnosti Privacy Shield-a ostvaruje dalekosežnije efekte koji se ne ograničavaju samo na isključenje prenosa podataka na osnovu ovog sistema. Naime, nesumnjivo je jasno da se ovaj sistem više ne može upotrebljavati za prenose podataka, međutim, otvara se pitanje koji osnovi prenosa s obzirom na nalaze suda mogu obezbediti usklađenost prenosa podataka u SAD s primenjivim propisima?
Odlukom Evropskog suda pravde C-311/18 od 16. jula 2020. godine razmatrana je i validnost Standardnih ugovornih klauzula Evropske komisije (SCC) na osnovu kojih se takođe može ostvarivati prenos podataka o ličnosti, a posebno s obzirom da su navedene klauzule ugovorne prirode, te da iste posledično ne mogu obavezivati organe vlasti države prenosa. Evropski sud pravde zauzeo je stav da prethodno navedeno ne utiče na validnost ovih klauzula, posebno s obzirom da učesnici u prenosu podataka koji se vrši putem istih preuzimaju odgovornost i garantuju usklađenost obrade sa propisima EU i sposobnost ispunjenja obaveza nametnutih klauzulama. Šta to podrazumeva? Pre sprovođenja prenosa na osnovu SCC, učesnici u prenosu moraju ispitati da li mogu da odgovore obavezama iz samih SCC, a kako bi upravo sam prenos bio valjan. Sledstveno, učesnici prenosa samim SCC garantuju da će primalac podataka moći postupiti saglasno obavezama iz SCC (između ostalog i „da nema razloga za verovanje da ga zakonodavstvo koje se na njega primenjuje onemogućava u ispunjavanju njegovih obaveza prema ugovoru“). Ukoliko se pak u slučaju prenosa na osnovu SCC pokaže da ovakve garancije ne odgovaraju stvarnosti, te da primera radi postoji visok stepen intervencije organa vlasti države u koju se prenos vrši ili ograničenja na osnovu kojih se ne mogu ostvariti obaveze iz SCC (što je shodno nalazima Evropskog suda pravde rizik prenosa podataka u SAD), aktiviraće se odgovornost potpisnika SCC. Rezime opisanog je da subjekti koji ostvaruju prenos u SAD na osnovu SCC moraju pažljivo analizirati svoju mogućnost da odgovore obavezama iz SCC, s obzirom da im sama upotreba formalno valjanih SCC ne pruža potpunu garanciju zakonitosti samog prenosa. Svakako, u ovom domenu konstatovano je ovlašćenje nadzornog tela da ograniči, odnosno zabrani prenos podataka koji se vrši na osnovu SCC ukoliko utvrdi da se u vezi s prenosom ne mogu ispuniti obaveze iz SCC, te da se ne može osigurati nivo zaštite ustanovljen pravom EU. Imajući u vidu sve navedeno, a posebno nalaze suda o sistemu zaštite privatnosti u SAD, čini se da je upotreba SCC za prenose u SAD neadekvatan osnov prenosa.
S obzirom na pomenute rizike, potrebno je razmotriti mogu li se na konkretan slučaj prenosa primeniti osnovi koje GDPR kvalifikuje kao „Prenos podataka u posebnim situacijama“, kao što je slučaj kada je lice na koje se podaci odnose izričito pristalo na predloženi prenos, pošto je, zbog nepostojanja odluke o primerenom nivou zaštite i odgovarajućih mera zaštite, informisano o mogućim rizicima vezanim za taj prenos. Ovi slučajevi vezuju se za situacije koje prenos bitno ograničavaju, bilo tako što ga uslovljavaju pristankom lica (koji može biti opozvan u svakom trenutku, a što dalju obradu čini nedozvoljenom) bilo za postojanje naročito važnih (u praktičnom smislu na vrlo ograničen broj slučajeva primenjivih) razloga za prenos koji u navedenom smislu pretežu nad interesom privatnosti lica. Kao zanimljive i potencijalno primenjive osnove u ovom delu pored pristanka treba razmotriti i slučajeve prenosa koji je neophodan za zaključenje ili izvršenje ugovora zaključenog između lica na koje se podaci odnose i rukovaoca ili za primenu predugovornih mera na zahtev lica, kao i za zaključenje ili izvršenje ugovora zaključenog u interesu lica na koje se podaci odnose između rukovaoca i drugog fizičkog ili pravnog lica.
Iako je po uzoru na rešenje GDPR-a Zakonom o zaštiti podataka o ličnosti RS propisano ovlašćenje Poverenika da donese Standardne ugovorne klauzule kojim će se regulisati odnos rukovaoca i obrađivača i koje mogu predstavljati osnov prenosa podataka u druge države, a koje ovlašćenje je Poverenik i iskoristio, te doneo pomenute klauzule, u ovom momentu iste imaju nešto drugačiju sadržinu u odnosu na SCC, te ne obuhvataju izričito gore opisane garancije učesnika prenosa vezane za prenos podataka koje su karakteristične za SCC. Navedeno na prvi pogled može voditi zaključku da se prenos podataka u SAD u skladu sa domaćim zakonom može vršiti na osnovu Standardnih ugovornih klauzula koje je doneo Poverenik, uz manji rizik po učesnike prenosa da će faktičko stanje zaštite podataka o ličnosti u SAD voditi njihovoj odgovornosti zbog povrede domaćeg zakona. Formulacija „na prvi pogled“ upotrebljena je s obzirom da u ovom delu treba prethodno razmotriti stav 1 člana 10 Standardnih ugovornih klauzula saglasno kom prenos podataka o ličnosti u drugu državu, na deo njene teritorije, ili u jedan ili više sektora određenih delatnosti u toj državi ili u međunarodnu organizaciju može da se vrši u svemu u skladu sa odredbama važećih propisa, uz obezbeđivanje adekvatnog nivoa zaštite podataka o ličnosti, ostvarivosti svih prava i delotvorne pravne zaštite licima na koje se podaci odnose. Istovetnu odredbu sadrži i sam domaći zakon u delu koji uređuje prenos na osnovu Standardnih ugovornih klauzula. Na kraju, kao i GDPR, domaći zakon ovlašćuje Poverenika da obustavi prenos podataka o ličnosti u drugu državu ili međunarodnu organizaciju. Imajući u vidu sve prethodno navedeno, uprkos nešto drugačijoj sadržini Standardnih ugovornih klauzula u odnosu na SCC, čini se da je praktični rezultat istovetan – formalna valjanost ovih klauzula ne garantuje rukovaocu automatsku zakonitost prenosa. Svakako, a s obzirom da istraživanja i nalazi organa EU za domaće organe formalno nisu obavezujući, u ovom delu treba sačekati i zvaničan stav Poverenika.
Opreza radi, ukazujemo da i domaći zakon propisuje „Prenos podataka u posebnim situacijama“ koji je opisan u gornjem delu i to na istovetan način kao što je to učinjeno u GDPR-u (pristanak, ugovor itd.), te usled nesigurnosti nastale usled nalaza Evropskog suda pravde svakako treba razmotriti i ove osnove prenosa.
Da zaključimo, za prenose podataka o ličnosti u SAD subjekti koji podležu primeni kako GDPR-a, tako domaćeg zakona više neće moći koristiti Privacy Shield Framework. Imajući u vidu nalaze o sistemu zaštite podataka u SAD, sporna je upotreba i SCC, kao i Standardnih ugovornih klauzula Poverenika, te bi rukovaoci prema okolnostima prenosa trebalo da ispitaju mogućnosti za upotrebu drugih osnova prenosa. S obzirom na učestalost prenosa podataka u SAD, legitiman poslovni interes subjekata koji posluju u/sa SAD i sledstveno značaj prenosa podataka u SAD, može se očekivati da će nadležni organi EU, a vezano i naše države zajedno sa nadležnim organima SAD-a preduzeti korake u prevazilaženju prepreka u ovom domenu.