Stručnjaci: Zbog “pada” Štita privatnosti razmislite hoćete li koristiti američke servise kao što je Mailchimp 

U sjeni svih ostalih nemilih vijesti ostala je ona da je ljetos “pao” takozvani Štit privatnosti između Europske unije i SAD-a. Riječ je o sporazumu o zaštiti podataka koji je 2016. sklopljen između Europske komisije i američkog Ministarstva trgovine, a otkako je ljetos stavljen van snage, diskutabilno je koliko je mudro koristiti servise koji iznose podatke o svojim korisnicima izvan Europske unije. Ukupno je kroz njega bilo certificirano oko 5400 tvrtki.

Mogao bi to biti velik problem jer se među tim tvrtkama nalazi niz alata koje mnogi od nas svakodnevno koriste – najpoznatiji je svakako Facebook, koji je zbog ovoga čak i priprijetio odlaskom iz Europske unije, ali tu su i CloudFlare, Mailchimp, Microsoft i druge.

Mnoge tvrtke odmah su izašle s tvrdnjom da su osigurale siguran prijenos podataka izvan granica EU, a među njima je i Mailchimp (ako ste njihov korisnik, moguće je da ste ovih dana dobili i ažuriranu verziju njihove Izjave o privatnosti). Vlatka Vuković, pravnica i glavna konzultantica iz tvrtke Horvath Wolf, smatra da su u pojedinim objavama i ažuriranim obavijestima o zaštiti podataka izostavljene neke ključne informacije te da bi najsigurnije za njihove korisnike trenutno bilo da pronađu europsku alternativu tom servisu.

No, idemo redom.

Gdje je problem s prijenosom podataka građana van EU?

Glavni problem u prijenosu podataka građana Europske unije u SAD jest da se u kontekstu zaštite podataka Amerika, barem iz europske perspektive, smatra “trećom” zemljom. Zbog nepostojanja jedinstvenog i sveobuhvatnog propisa, kao što u Europskoj uniji postoji GDPR, problematično je kad podaci građana EU prenose u zemlju gdje ovo pitanje nije uređeno na takvoj razini, objašnjava Vlatka.

GDPR definira uvjete pod kojima su prijenosi podataka u treće zemlje dopušteni, ali ne zabranjuje prijenos i razmjenu podataka, napominje moja sugovornica, već propisuje mjere koje je potrebno poduzeti da bi se podaci zaštitili. Neke od takvih mjera su npr. standardne ugovorne klauzule ili obvezujuća korporativna pravila, ili pak odluka Europske komisije kojom se utvrđuje da neka zemlja jamči primjerenu zaštitu. Jednom od takvih odluka uspostavljen je i Privacy Shield.

Naravno, globalna razmjena i prijenos podataka neće prestati niti ih EU zabranjuje, ali svojim građanima želi osigurati zaštitu i kada se njihovi podaci obrađuju u npr. Kini, Rusiji, Indiji ili SAD.

2016. se činilo da SAD može dovoljno zaštiti osobne podatke Europljana, ali danas…

Naime, u trenutku kad je Štit privatnosti stupio na snagu, 2016. godine, Europska komisija procijenila je da SAD može osigurati primjerenu razinu zaštite osobnih podataka i da europski građani imaju jednaka prava pred javnim tijelima i sudovima u SAD kao i američki građani. Međutim, pokazalo se da je ova procjena bila pogrešna i da u praksi to i nije tako, ističe Vlatka.

Dvije su osnovne “zamjerke” koje Sud ističe u presudi.

Prvo, američki savezni zakoni u kombinaciji s ovlastima izvršne vlasti omogućuju masovni obavještajni nadzor, koji se ne svodi uvijek na ono što je nužno u pogledu količine prikupljenih podataka, broja nadziranih osoba ili vremenskog trajanja nadzora.

Drugi problem se odnosi na položaj stranaca pred američkim sudovima i javnim tijelima jer ne uživaju ista prava i zaštitu koje američkim građanima jamči Ustav SAD.

Dakle, procjena  je u samom startu bila pogrešna, a zanimljivo je da ovo nije prvi takav propust Europske komisije. Naime, 2015. Sud EU je presudom u predmetu Schrems I stavio van snage prethodni sporazum EU i SAD o prijenosu podataka – tzv. Safe Harbour.

Što trebaju napraviti tvrtke koje su se oslanjale na Štit privatnosti?

I, što sad? Što to znači za tvrtke, za njihove korisnike, za same građane. U okviru Štita privatnosti bilo je certificirano preko 5000 tvrtki tvrtki. Među njima su mnoge koje svakodnevno koristimo, kao što su Facebook, Microsoft, Mailchimp, Cloudflare i brojne druge. Sada kada Privacy Shield više nije primjenjiv, potrebno je podatke koji se prenose u SAD zaštititi na druge načine koje predviđa GDPR, kaže Vlatka.

Najčešća i najjednostavnija alternativa su standardne ugovorne klauzule (SCC). Kako i naziv ukazuje, one su standardne i moraju se uvijek primijeniti u izvornom obliku, dakle predloženi tekst, da kažem “špranca”, ne smije se mijenjati.

Sud EU se u odluci osvrnuo na SCC te je naglasio da su kao mjera zaštite i dalje valjane i primjenjive, ne samo za SAD, već i za sve treće zemlje. Međutim, prema jednoj od klauzula prijenos se ne može obaviti ili se mora zaustaviti ako zbog nacionalnih propisa i ovlasti javnih tijela nije moguće ispuniti obaveze koje je na sebe preuzeo uvoznik podataka.

Ukratko, ako je tvrtka kojoj se šalju podaci, primjerice, davatelj elektroničke komunikacijske usluge i obveznik je primjene Foreign Intelligence Surveillance Acta (FISA) ili nekih drugih propisa koji mogu ograničiti prava i slobode građana, SCC ne mogu osigurati primjerenu zaštitu.

S pravne strane situacija je vrlo jasna. Svi gore spomenuti i slični  servisi su davatelji elektroničkih komunikacijskih usluga i obveznici FISA te se ne mogu osloniti na standardne ugovorne klauzule.

Zasad su Europski odbor za zaštitu podataka i nacionalna nadzorna tijela u svojim smjernicama dosta općeniti i savjetuju ocjenu svakog prijenosa, tj. tvrtke kojoj se šalju podaci, po principu “slučaj po slučaj”.

Primjer Mailchimpa: Potrebna su dodatna pojašnjenja da su podaci zaštićeni

Ovo je i političko i gospodarsko pitanje, stoga bi, prije bilo kakvih naglih odluka, bilo mudro pričekati daljnje konkretnije upute, kaže Vlatka, ali i osvrće se na jedan konkretan slučaj – mnogima omiljenog newsletter alata Mailchimpa.

Naime, ova se tvrtka oglasila o toj temi, i u kraćoj i u dužoj formi, a Vlatka, iako potvrđuje da je sve što je tu napisano točno, a u ažuriranoj verziji dodane su i informacije o SCC-u, ističe da su neke činjenice izostavljene.

Mailchimp je obveznik primjene FISA-e, što znači da američke obavještajne službe imaju mogućnost masovnog i neproporcionalnog nadzora nad podacima koje obrađuje Mailchimp. U ovom trenutku Mailchimp je svjestan toga te bi temeljem obveza iz SCC o tome trebao transparentno obavijestiti svoje korisnike iz EU, ali ključne informacije ipak nedostaju. Savjetujemo svima koji koriste Mailchimp da zatraže dokaze i dodatna pojašnjenja da su podaci zaista primjereno zaštićeni. U tome mogu pomoći materijali koje je pripremio NOYB – neprofitna udruga koju je osnovao Max Schrems.

Ti su materijali dostupni na stranici udruge, ali Vlatka smatra da bi ipak najsigurnije rješenje, dok se situacija ne razriješi, bilo korištenje alternativnog servisa koji ima sjedište u Europskoj uniji i ne prenosi podatke van nje.

Facebook se pobunio što je postao izdvojen primjer

Možda smo između 5400 tvrtki nepravedno izdvojili samo Mailchimp, ali isto se može primijeniti i na mnoge druge servise. No, istim argumentom, da je nepravedno izdvojen, koristio se i Facebook u rujnu, kad je navedeno da im nije jasno kako bi ta tvrtka, pod tim uvjetima, mogla nastaviti nuditi usluge Facebooka i Instagrama u Europskoj uniji. To su mnogi shvatili kao prijetnju da će povući svoje usluge iz EU (što je iznimno malo vjerojatan scenarij), a Vlatka objašnjava zašto je uopće došlo do isticanja upravo Facebooka u ovom slučaju.

Mogli bismo reći da je Facebook Ireland Ltd. izdvojen, ali to je zato što je bio stranka u sudskom postupku. Temeljem odluke Suda irsko nadzorno tijelo (DPC) trebalo bi prema Facebooku poduzeti određene mjere – zabraniti prijenos podataka, ali to izbjegava još od 2013. kada je Max Schrems prvi puta postavio zahtjev da se zaustavi prijenos njegovih podataka u SAD, tj. u Facebook Inc.

Trenutno smo svjedoci  pravnog prepucavanja DPC-a, Facebooka i Maxa Schremsa koje sigurno neće tako skoro završiti. DPC i dalje izbjegava odgovornost, a Facebook očekivano, a rekla bih i opravdano, štiti svoje interese i koristi sve dostupno pravno i PR “oružje”.

Sve ovo može biti poprilično zbunjujuće, i za građane, i za tvrtke. Neovisno o ovoj temi, Vlatka smatra da mnoge tvrtke zanemaruju zaštitu podataka ili je svode na prikupljanje privola i usvajanje generičkih dokumenata – pravilnika i procedura. Smatra ključnom edukaciju, i to na svim razinama, jer različite organizacije trebaju primjenjivati i različite tehničke i organizacijske mjere zaštite.

I Britanija bi mogla slijediti sudbinu SAD-a nakon Brexita

Za kraj, zanimljivo je što je i sudbina Velike Britanije neizvjesna. Zbog izlaska iz Europske unije, trenutno je u prijelaznom razdoblju do kraja ove godine. Do tada se primjenjuje GDPR i svi se prijenosi podataka odvijaju se nesmetano, kao i prema bilo kojoj drugoj članici EU. U najboljem slučaju, Europska komisija će do tog roka donijeti odluku da je Britanija primjerena za prijenos osobnih podataka, kaže Vlatka, ali, kako stvari stoje, to nije izgledno.

Naime, nedavnom presudom Suda EU (C-623/17) utvrđeno je da nacionalni propisi u UK omogućavaju obavještajnim službama masovno i neselektivno prikupljanje podataka o građanima, a situaciju dodatno komplicira i činjenica da je UK krajem 2019. sklopilo sporazum s SAD o razmjeni podataka u svrhe sprečavanja kaznenih dijela.

Komisiju zabrinjava mogućnost da temeljem tog sporazuma podaci koji se iz ostalih članica EU prenesu u UK završe u SAD, ali i mogućnost smanjenja razine zaštite i potencijalno ograničavanje prava na zaštitu podataka, sada kada UK više nije obvezna primjenjivati europske propise.

Dakle, moglo bi se dogoditi da i, uz SAD, i Velika Britanija postane “treća zemlja”, a onda bi i britanske tvrtke, kao i one koje prenose podatke u tu zemlju, mogle biti u problemu.