Razveljavitev Zasebnostnega ščita (Privacy Shield) za prenos podatkov v ZDA
Sodišče EU je dne 16. julija 2020 sprejelo odločitev, s katero je razveljavilo s strani Evropske Komisije sprejeto odločitev (z odločbo 2016/1250) o zasebnostnem ščitu, ki se je uporabljal kot podlaga za prenos osebnih podatkov v ZDA.
Naj spomnimo – prenos osebnih podatkov iz EU v tretje države je dopusten le, če za to obstaja pravna podlaga. Iz člena 44 Splošne uredbe o varstvu podatkov (GDPR) izhaja, da mora biti vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, skladen z določbami GDPR. Slednja kot možne podlage za prenos predvideva:
a) Sklep o ustreznosti, ki ga sprejme Evropska komisija, in ki velja za posamezno državo; ali
b) Zagotovljeni ustrezni zaščitni ukrepi, kamor med drugim sodijo zavezujoča poslovna pravila in standardna določila o varstvu podatkov (bolj poznana kot standardne pogodbene klavzule); ali
c) Izjeme iz člena 49 GDPR.
V okvir točke a), torej sklepa o ustreznosti, sodi tudi odločba Evropske komisije o ustrezni ravni varstva osebnih podatkov v okviru EU-ZDA dogovora o zasebnostnem ščitu. Slednji je bil v veljavi vse od 1. avgusta 2016 dalje, na podlagi odločbe sprejete dne 12. julija 2016. V okviru zasebnostnega ščita so bile certificirane posamezne družbe, ki so zagotavljale ustrezno raven varstva, v te družbe pa so se lahko osebni podatki iz EU prenašali brez posebne dodatne odločbe ali dovoljenja kot tudi brez izpolnjevanja dodatnih pogojev (razen seveda ustrezne pravne podlage za obdelavo osebnih podatkov iz členov 6, 9 in 28 GDPR).
Z odločitvijo z dne 16. julija 2020 v primeru Schrems II (DPC Ireland v. Facebook Ireland and Schrems) je Sodišče EU odločitev Evropske komisije o ustreznosti zasebnostnega ščita razglasilo za neveljavno, kar pomeni, da le-ta ne more biti več podlaga za prenos osebnih podatkov v družbe v ZDA. Navedeno pomeni, da morajo organizacije, ki prenašajo osebne podatke iz EU v ZDA poskrbeti, da za nadaljnje prenose zagotovijo drugo ustrezno pravno podlago. Ni še jasno, ali naj bi imela ta odločitev učinek ex tunc (za nazaj), na kar bi bilo mogoče sklepati ob smiselni uporabi člena 264 Pogodbe o delovanju EU. Takšna razlaga bi lahko imela pomembne posledice za vse, ki so do sedaj prenašali osebne podatke v ZDA na podlagi zasebnostnega ščita.
Glavni predmet presoje so bile sicer standardne pogodbene klavzule, ki so po odločitvi res ostale v veljavi, vendar pa je tudi v zvezi s tem Sodišče EU izpostavilo pomembne vidike, med drugim, da tudi podpis standardnih pogodbenih klavzul ne razbremenjuje organizacije, ki podatke prenaša, da zagotovi ustrezno varstvo. Za ta namen mora tisti, ki osebne podatke prenaša iz EU, upoštevati tudi pravo države, kamor podatke prenaša in ob tem uporabiti presojo, katere predmet je bil tudi zasebnostni ščit. Pri slednjem je namreč Sodišče EU izpostavilo, da mora Evropska komisija upoštevati, v kolikšni meri posamezna tretja država spoštuje načelo pravne države, dostop do pravnega varstva, pa tudi mednarodna pravila in standarde na področju človekovih pravic ter svojo splošno in področno zakonodajo, med drugim zakonodajo na področju javne varnosti, obrambe, nacionalne varnosti ter javnega reda in kazenskega prava. Na enak način naj bi pred prenosom na podlagi standardnih pogodbenih klavzul državo, kamor se podatke prenaša, presojal tisti, ki podatke prenaša, kar bo zagotovo obremenilo marsikateri prenos v tretje države.
O zadevi je krajši izjavo že izdal Evropski odbor za varstvo podatkov, podrobneje pa se bo o posledicah še opredelil, o čemer bomo tudi poročali.
