Europski odbor za zaštitu podataka objavio je 10. studenoga 2020. „Preporuke 01/2020 o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u.“ S obzirom da dokument nije konačan, preporuke nisu obvezujuće. EDPB je objavio preporuke nakon što je Sud Europske unije 16. srpnja 2020. proglasio nevažećim Privacy Shield između EU i SAD-a i utvrdio da će organizacije koje se oslanjaju na standardne ugovorne klauzule možda trebati provesti "dopunske mjere" izvan SCC-a kako bi ˝ozakonile˝ prijenose podataka u treće zemlje.
Prema EDPB-u, alati za prijenos podataka, poput SCC-a, moraju biti "učinkoviti". Alat ne može biti učinkovit ako je uvozniku podataka onemogućeno poštivanje alata za prijenos zbog zakona treće zemlje. Tvrtke koje izvoze osobne podatke izvan Europskog gospodarskog prostora moraju procijeniti nadzorne zakone i praksu obavještajnih agencija treće zemlje koji mogu ometati učinkovitost SCC-a i, ako postoje takve zapreke, moraju primijeniti dopunske mjere. Te dopunske mjere mogu biti ugovorne, tehničke, organizacijske ili kombinacija tih mjera. Iz praktične perspektive, tehničke mjere, tj. šifriranje i pseudonimizacija, ključne su za opravdanje prijenosa podataka u SAD.
Tamo gdje tvrtke ne mogu provesti učinkovite dopunske mjere, EDPB potvrđuje da bi voditelj obrade ili izvršitelj obrade obrađivač trebao "obustaviti ili prekinuti" prijenos podataka. Izjava "obustaviti ili prekinuti" izazvala je mnogo zbunjenosti i frustracije kako kod izvoznika tako i kod uvoznika podataka.
Potrebno je razmotriti radnje koje se poduzimaju protiv izvoznika podataka koji se nalaze u EGP-u.
Možemo izdvojiti Njemačku kao primjer kako bismo prikazali regulatornu intervenciju protiv tvrtke koja se nalazi u Njemačkoj, s poslovnim modelom koji se bavi prijenosom osobnih podataka američkom pružatelju usluga.
Procjena prijenosa podataka u SAD (od slučaja do slučaja) iz perspektive njemačkog prava
Pri procjeni rizika izvoza osobnih podataka u SAD, izvoznici podataka trebali bi temeljito razmotriti parnični rizik: što će se dogoditi ako njemačko nadzorno tijelo na temelju članka 58. stavka 2. točke (j) GDPR- izrekne zabranu tvrtki izvoznici podataka koja se nalazi u Njemačkoj, prema kojem ta tvrtka više ne smije prenositi osobne podatke svom pružatelju usluga sa sjedištem u SAD-u? Iz perspektive njemačkog javnog prava, tada tvrtka može podnijeti žalbu nadležnom upravnom sudu. U toj parnici, odgovarajuće nadzorno tijelo je tuženik, a tvrtka koja izvozi podatke je tužitelj.
Sud mora procijeniti i zakonitost zabrane izvoza
Nisu samo izvoznici podataka ti koji moraju procijeniti dopuštenost predviđenog prijenosa podataka u SAD (uzimajući u obzir zakone o nadzoru i praksu u SAD-u), već i njemačka nadzorna tijela i, u konačnici, sud koji mora procijeniti zakonitost zabrane izvoza podataka.
Što procjena mora uključivati
Procjena mora, između ostalog, uključivati odgovarajuće činjenice pojedinačnog spora, tj. je li uvoznik podataka bio ili je trenutno podvrgnut bilo kakvim nadzornim ili provedbenim radnjama američkih obavještajnih agencija?
I upravni sud i nadzorno tijelo moraju se pridržavati istih specifičnih kriterija. Na primjer, općenito pozivanje na apstraktnu opasnost potencijalnih mjera nadzora nad tvrtkama koje uvoze podatke u SAD neće biti opravdano.
Čak i uz određene detalje, zabrana bi trebala biti krajnje sredstvo.
Nadzorna tijela moraju utvrditi jesu li sve sankcije koje izriču, bilo novčana kazna ili bilo zabrana, prikladne i potrebne s obzirom na okolnosti svakog pojedinačnog slučaja.
Američki zakoni o nadzoru
Zahtjevi za zabranu izvoza podataka u SAD su vrlo strogi i ako je pokrenuta tužba, njemački upravni sud mora odlučiti je li izvoznik podataka prekršio čl 44. (ff) GDPR-a dok je prenosio osobne podatke američkom uvozniku podataka. Slijedom toga, njemačko nadzorno tijelo i sud moraju utvrditi jesu li SCC i dopunske mjere dovoljne za postizanje odgovarajuće razine zaštite osobnih podataka.
Sud treba procijeniti hoće li doći do povreda prava ispitanika ili se takva povreda već dogodila. No, mogu nedostajati neke ključne informacije do kojih je teško doći zbog zaštite državnih tajni ili zbog zakona o nadzoru, poput američkog Zakona o nadzoru vanjske obavještajne službe, odjeljak 702 (U.S. Foreign Intelligence Surveillance Act Section 702, „FISA“).
Ako ispitanik može dokazati da su njegova prava ugrožena zbog zahtjeva za pristup podacima koji se temelji na nalogu FISA-e iz odjeljka 702, njemačka nadzorna tijela mogla bi zaustaviti prijenos podataka američkom uvozniku podataka jer izvoznik podataka nije uspio na odgovarajući način zaštititi osobne podatke prije nego što ih je proslijedio SAD-u.
S druge strane, njemačko tijelo za zaštitu podataka ne smije izreći nikakve sankcije izvozniku podataka ako su osobni podaci u potpunosti šifrirani, a ključ za šifriranje je pod nadzorom isključivo EU izvoznika podataka ili su stavljene druge zaštitne mjere poput pseudonimizacije ili šifriranja dvostrukim ključem. U tom slučaju je očito da osobni podaci uopće nisu u opasnosti.
Nadzorno tijelo mora istražiti je li američki uvoznik podataka dobio sudski poziv ili postoji neka druga radnja američke obavještajne agencije ili su američke vlasti nezakonito pristupile osobnim podacima koje posjeduje uvoznik podataka.
To zahtijeva detaljnu analizu činjeničnih okolnosti i, što je još važnije, osnovno poznavanje FISA pravila kako bi se procijenila zakonitost takvih zahtjeva za pristup podacima.
Čimbenici koji se još razmatraju
Ovdje postoje dva čimbenika koja se moraju razmotriti. Ispitanik, o čijoj se privatnosti radi, obično nije svjestan situacije jer on u pravilu ne sudjeluje u donošenju odluka o prijenosu svojih podataka. Ispitanik možda zna za nadzor koji se izvršio ili još traje. No, prijenos podataka se obično odvija između dviju tvrtke i zapravo su tako važne informacije nedostupne. Slično tome, u većini slučajeva voditelj obrade ili izvršitelj obrade nema mogućnosti saznati je li ispitanik podvrgnut nadzoru. Čak i ako bi ispitanik mogao tražiti informacije o nadzoru, ne postoji zakonska osnova na temelju koje bi američke vlasti mogle podijeliti te informacije s voditeljem ili izvršiteljem obrade.
Američki zakon o nadzoru
Američki zakon o nadzoru reguliran je Zakonom o nadzoru vanjske obavještajne službe, 50 U.S.C. Odjeljak 1801. Nekoliko predsjedničkih direktiva regulira primjenu FISA-e (npr. Direktiva o predsjedničkoj politici - signali obavještajne aktivnosti 28 (Obama 2014) (PPD 28) i izvršne naredbe (npr. EO 12333 (Reagan 1981) i nedavna sudska praksa, npr. Sjedinjene Države protiv Moalin.
FISA odjeljak 702 zahtijeva nalog koji izdaje posebni sud.
Dopuštene vrste nadzora su ograničene. Tradicionalni sudski nalozi za presretanje komunikacija ili pribavljanje poslovnih zapisa zahtijevaju: pismene potvrde određenih dužnosnika izvršne vlasti u vezi s prirodom, svrhom i značajem informacija koje se traže.
Vlada mora dokazati da je cilj nadzora strana sila ili agent strane sile. Cilj nadzora koristi ili namjerava koristiti objekte ili mjesta na koja je usmjereno traženje ili nadzor.
Drugim riječima, nalozi FISA-e uglavnom su ograničeni na nadzor nad stranim vladama ili njihovim agentima i njihovu komunikaciju.
Tijekom FISA nadzora također se može doći do nekih komunikacijskih metapodataka. Prikupljanje je ograničeno što se tiče vrste prikupljenih podataka (samo metapodaci) – ne i u sadržaju komunikacije i ciljevima.
Odjeljak 215 FISA-e izmijenjen je Zakonom o slobodi koji zahtijeva upotrebu "posebnog čimbenika za odabir" kako bi se "prikupljanje ograničilo u najvećoj mogućoj mjeri u kojoj je to izvedivo". Zakon definira SST kao "pojam koji posebno identificira osobu, račun, adresu ili osobni uređaj ili bilo koji drugi specifični identifikator". Ovi su amandmani također zabranili vladi da preko naloga iz Odjela 215 cilja na šire geografske regije, poput države ili poštanskog broja, ili na davatelje komunikacijskih usluga, kao što su Verizon ili AT&T.
PPD 28 nadalje ograničava skupljanje podataka na sljedeće razloge:
- špijunaža i druge prijetnje i aktivnosti stranih sila ili njihovih obavještajnih službi koje su usmjerene protiv SAD-a i njegovih interesa.
- terorističke prijetnje SAD-u i njegovim interesima
- prijetnje SAD-u i njegovim interesima koje dolaze od razvoja, posjedovanja, širenja ili upotrebe oružja za masovno uništavanje
- prijetnje cyber-sigurnosti
- prijetnje američkim ili savezničkim oružanim snagama ili drugom američkom ili savezničkom osoblju
- transnacionalne kaznene prijetnje.
Kao odgovor na odluku "Schrems II", američko ministarstvo trgovine razmotrilo je opseg američkog zakona o nadzoru. Ukratko, primijećeno je da većina prekograničnog prometa jednostavno nije bila od interesa za obavještajnu zajednicu ili je izvan opsega dopuštenog nadzora ili oboje.
Ministarstvo trgovine napominje:
Većina tvrtki koje posluju u EGP-u ne bave se, niti postoji sumnja da se bave bilo kojim podacima koji su od bilo kakvog interesa za američke obavještajne agencije. Obveze američke vlade i javne politike ograničavaju prikupljanje obavještajnih podataka na ono što je potrebno za obavještajne svrhe i izričito zabranjuju prikupljanje podataka radi komercijalne prednosti.
Nikad ne ubij komarca bazukom
Postoji još jedan aspekt koje nadzorna tijela trebaju uzeti u obzir: javne institucije moraju se pridržavati načela proporcionalnosti. To podrazumijeva da svaka mjera mora postići određenu svrhu i mora bit primjerena za postizanje predviđene svrhe.
U tom kontekstu, potrebno je raspitati se jesu li ugovorne dopunske mjere prema preporuci EDPB-a zapravo prikladne za zaštitu osobnih podataka što se tiče tvrtke koja uvozi podatke i ima sjedište u SAD-u.
Ugovorne dopunske mjere svode se na obveze informiranja ili na sporazum o zahtjevima za naknadu štete. Uvoznik podataka, prema američkim zakonima, ne smije obavijestiti izvoznika podataka o bilo kakvim zahtjevima američkih obavještajnih službi. To se kosi sa zahtjevima za obavijestima i transparentnošću u standardnim ugovornim klauzulama. Stoga, ako nam se, kao američkom poduzeću, uruči FISA nalog, to vjerojatno ne možemo reći ispitaniku, a kamoli trećoj strani. Slično tome, ako tvrtka u ˝našem˝ lancu opskrbe podliježe nekom nalogu, ono nas neće moći upozoriti na to.
Savjetuje se uvozniku podataka da se drži naloga kako bi izbjegao bilo kakve sankcije koje su nametnule američke obavještajne agencije. Nadalje, uvoznik podataka može biti ugovorno obvezan poduzeti pravne radnje protiv zahtjeva za otkrivanje takvih podataka. Međutim, nije jasno kakav bi to učinak proizvelo. Zahtjev za odštetu nema puno osnova jer oštećeni ispitanik možda nije svjestan situacije zbog složenosti dokazivanja uzročnosti naloga SAD-a na (u našem primjeru) njemačkom sudu.
Načelo proporcionalnosti također zahtijeva da nadzorno tijelo koristi te instrumente s najmanje nametljivim učinkom za izvoznika podataka.
To implicira da se naredba o zabrani zaustavljanja bilo kakvog prijenosa podataka u SAD može smatrati samo krajnjom mjerom - ultima ratio. Imajući to na umu, nadzorno tijelo mora prije svega provoditi jednako prikladne mjere za zaštitu osobnih podataka, a ne da jednostavno zaustavi cjelokupnu poslovnu aktivnost. Npr., može zatražiti od izvoznika podataka da šifrira ili pseudonimizira osobne podatke prije slanja u SAD uzimajući u obzir preporuke EDPB-a. Međutim, većina obrade zahtijeva dešifriranje, što šteti legitimitetu ovog pristupa.
Povrh svega, nadzorna tijela moraju uzeti u obzir i posljedice prilikom blokiranja bilo kakvog prijenosa osobnih podataka u SAD. Šanse za stvarni nadzor su zapravo male. Nadzor bi utjecao na najviše nekoliko ispitanika. U većini slučajeva ispitanici se oslanjaju na uvoznike/izvoznike podataka zbog izvršenja nekih usluga koje su im potrebne. Naredba o blokiranju prijenosa podataka utjecati će na sve ove ispitanike i na više poslovnih subjekata. Dakle, govorimo o blokiranju međunarodne trgovine jer bi netko mogao biti pod nadzorom. To zvuči poput ubijanja komarca bazukom!
