Sodišče Evropske unije razveljavilo Zasebnostni ščit za prenos podatkov v ZDA (Privacy Shield), standardne pogodbene klavzule ostajajo v veljavi
+ -Danes je bila objavljena odločitev Sodišča Evropske unije (SEU) v primeru Schrems II (DPC Ireland v. Facebook Ireland and Schrems), s katero je SEU razglasilo za neveljavno odločbo Evropske komisije 2016/1250 o ustrezni ravni varstva osebnih podatkov v okviru EU-ZDA dogovora o zasebnostnem ščitu. SEU je hkrati potrdilo veljavnost standardnih pogodbenih klavzul, ki se še vedno lahko uporabljajo za prenose podatkov v tretje države, ki ne zagotavljajo ustreznega varstva osebnih podatkov.
Organizacije lahko prenašajo osebne podatke iz EU v tretje države, tudi v ZDA, na različnih podlagah. Bodisi država zagotavlja ustrezno raven varstva osebnih podatkov in je to ugotovila Evropska komisija s svojim sklepom – to je bila situacija v primeru »zasebnostnega ščita«, za katerega je Evropske komisija ugotovila, da nudi ustrezno varstvo podatkov. Lahko pa se podatki prenašajo tudi v okviru drugih mehanizmov po členu 46 Splošne uredbe o varstvu podatkov, predvsem na podlagi standardnih pogodbenih klavzul (tipske pogodbe, ki jih je prav tako sprejela Evropska komisija) in zavezujočih poslovnih pravil (ki jih sprejme organizacija in potrdijo nadzorni organi v EU) iz člena 47 ali pa v primeru izjem iz člena 49 Splošne uredbe o varstvu podatkov, pri prenosih, ki niso množični ali ponavljajoči, npr. na podlagi privolitve posameznika.
Sodišče EU je razveljavilo t. i. zasebnostni ščit, organizacijam pa ostanejo na voljo drugi našteti mehanizmi za prenose podatkov, za katere morajo čim prej poskrbeti. Iznosi osebnih podatkov so še vedno mogoči pod pogojem, da upravljavec osebnih podatkov sam zagotovi ustrezne zaščitne ukrepe, ki zagotavljajo varovanje zasebnosti ter temeljnih pravic in svoboščin posameznikov. Evropska podjetja, ki iznašajo osebne podatke, se morajo zavedati, da sama nosijo odgovornost za oceno zakonitosti iznosa in nadaljnje obdelave ter da morajo poskrbeti, da so pri vsakokratnem iznosu osebnih podatkov zajeta in spoštovana vsa načela evropskega varstva osebnih podatkov. Organizacije, ki iznašajo podatke v ZDA in so se do sedaj zanašale na to, da gre pri prejemniku za podjetje, ki ga je mogoče najti na t. i. seznamu Privacy Shield, morajo čim prej poskrbeti za to, da prenose utemeljijo na drugi podlagi (npr. standardne pogodbene klavzule, zavezujoča poslovna pravila, izjeme). V nasprotnem primeru se podatki v ZDA ne smejo prenašati. V zelo podobni situaciji leta 2015, ko je bil s strani Sodišča Evropske unije razveljavljen predhodnik zasebnostnega ščita, t.j. dogovor varnega pristana, so organizacije prenose podatkov v ZDA pogosto utemeljile na standardnih pogodbenih klavzulah, ki so jih sklenile s partnerskimi organizacijami.
Sodišče EU je svojo argumentacijo za razveljavitev zasebnostnega ščita utemeljilo na ugotovitvi, da varstvo osebnih podatkov, kot ga zagotavlja zakonodaja v ZDA ni na ekvivalentni ravni kot v EU. Predvsem je opozorilo na premalo omejena pooblastila ameriških organov za dostope do prenesenih podatkov in na neučinkovito varstvo preko Ombudsmana, ki naj bi v ZDA zagotavljal izvajanje pravic posameznikov. V tem kontekstu naj bi drugi mehanizmi za prenos podatkov, ki jih bodo morale uporabiti organizacije iz EU, npr. standardne pogodbene klavzule ali zavezujoča poslovna pravila, zagotavljali višjo raven varstva pravic posameznikov.
Odločba SEU je dostopna na: http://curia.europa.eu/juris/document/document.jsf;jsessionid=93A4164B11548C6349307CAAFB9860AC?text=&docid=228677&pageIndex=0&doclang=sl&mode=lst&dir=&occ=first&part=1&cid=9823840
Standardne pogodbene klavzule so dostopne na:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
Infografika IP o prenosu podatkov v tretje države:
Mojca Prelesnik, univ. dipl. prav.
Informacijska pooblaščenka
(Information Commissioner)