Zašto baš Šrems? Poverenje EU u pogledu obrade podataka o ličnosti je, reklo bi se, poljuljano. U poznatom slučaju Maximillian Schrems v Facebook Ireland Limited koji se vodi prilično dugo pred Vrhovnim sudom Austrije („Sud“), Maksimilijan Šrems je podneo zahtev Sudu da uputi četiri pitanja Evropskom sudu pravde („ESP“) koja se tiču zakonitog korišćenja ličnih podataka Fejsbuk korisnika iz EU.
Maksimilijan Šrems je student prava iz Austrije i aktivista za zaštitu podataka o ličnosti, koji je po ovim pitanjima uveliko aktivan pred evropskim organima.
ESP je 2015. godine, u predmetu Maximilian Schrems v Data Protection Commissioner („Šrems I“) doneo odluku kojom je u potpunosti poništio principe sporazuma Safe Harbor, koji je služio za sprečavanje privatnih organizacija u EU ili u SAD da kod sebe skladište podatke o svojim klijentima, da ih slučajno otkriju ili izgube. U predmetu Šrems I, ESP je istakao da su državni organi zemalja EU koji su nadležni za zaštitu podataka o ličnosti, dužni da vode računa o tome da je prenos podataka iz EU u treću državu u skladu sa Direktivom o zaštiti podataka o ličnosti (Data Protection Directive), kasnije zamenjenom General Data Protection Regulation-om („GDPR“), nezavisno od Safe Harbor sporazuma. Ovde je došao kraj prvom činu.
Ubrzo nakon ovoga, na scenu je izašao novi sporazum, EU-US Privacy Shield sporazum od 12. jula 2016. godine.
Ono šta je usledilo, nakon kratke pauze, jeste jul 2020. godine i drugi čin – Šrems II. Kada je Poverenik za zaštitu podataka o ličnosti Irske odbio je Šremsov zahtev da zabrani standardne ugovorne klauzule kojim se dozvoljava prenos podataka od Fejsbuka do sedišta Fejsbuka koje se nalazi u Kaliforniji, jer se takvim prenosom prava omogućava bezbednosnim službama SAD da pristupe podacima, što je u suprotnosti sa GDPR i uopšte, pravom EU, sledeći korak bio je Viši sudu u Irskoj. Pred sudom se zastalo sa postupkom kako bi sporna pitanja uputio ESP.
Sporazum iz 2016. godine potrajao je samo četiri godine, jer je ukinut od strane ESP usled napadnih nadzornih programa SAD-a, što se naravno desilo posle Šremsove inicijative.
Ova treća epizoda pokriva četiri pitanja o kojima smo govorili na početku. Spoiler alert, da, Šremsov zahtev je ponovo uslišen, a Sud je poslao sporna pitanja ESP. Osnovno pitanje koje je postavio jeste da li je jedan klik korisnika na dugme „da“ na pitanje korišćenja njihovih podataka o ličnosti saglasnost ili ugovor, dok su se striktno pravno gledano, postavila pitanja tumačenja članova 5, 6, 7 i 9 GDPR, odnosno:
Sačekaćemo da vidimo kako će ESP odgovoriti na ova pitanja. Ne sumnjamo da će itekako imati šta da kaže, pa da može da se zatvori zavesa i označi kraj trećeg ćina..
Kao i odluka u slučaju Schrems II, i odgovori ESP na pitanja koja je postavio Sud će se oslikati i na praksu zaštite podataka o ličnosti u Srbiji.
Srpski Zakon o zaštiti podataka o ličnosti („Zakon“) je usklađen sa GDPR i dozvoljava prenos podataka o ličnosti u drugu državu, u određenim slučajevima sa odobrenjem Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti („Poverenik“), u drugim, bez prethodnog odobrenja.
Razliku između ova dva režima čini odgovor na pitanje da li je utvrđeno da je u državi, u koju se podaci o ličnosti izvoze, obezbeđen primeren nivo zaštite podataka o ličnosti. Zbog presude u predmetu Šrems II, izvoz podataka iz Srbije u SAD sada je pod posebnim režimom, i to ne samo u slučajevima kada su u pitanju državljani EU, već uzimajući u obzir stepen usaglašenosti srpskog zakonodavstva sa EU acquis, a tako i sa GDPR-om.
Naša pravna formulacija podrazumeva da kompanija može vršiti prenos uz saglasnost Poverenika, ukoliko ne želi da bude kažnjena. Naravno, kompanija uvek može da iskoristi standardne ugovorne klauzule, koje u celini uređuju odnose rukovaoca i obrađivača podataka ili da preusmere svoje poslovanje u države za koje se smatra da obezbeđuju odgovarajući nivo zaštite.
Šta bi bio odgovor na pitanje odnosa između društvene mreže i njenog korisnika – je li to pristanak ili ugovor? Ako ESP prihvati da se radi o ugovoru, odgovarajuća odredba Zakona tumačiće se (ali ne mora) na isti način, s obzirom da je Zakon u skladu sa GDPR-om. Ako ne bude tumačen kao ugovor, srpske kompanije, koje su se oslanjale na tumačenje da je pristanak na obradu jednak ugovoru, biće obavezne da usklade poslovanje.
Zaključci ESP po pomenutim pitanjima svakako će se odraziti na izvoz podataka i u druge zemlje. Kompanije koje prikupljaju i obrađuju podatke o ličnosti su obavezne da se drže pravila iz Zakona, i potencijalno GDPR-a, te da vode računa o nivou zaštite podataka u zemlji gde izvoze podatke, a kako bi izbegle sve potencijalne pravne i finansijske rizike.
Autori: Nađa Kosić, Suzana Dončić