» »

Dogovor o iznosu osebnih podatkov v ZDA pod vprašanjem

Dogovor o iznosu osebnih podatkov v ZDA pod vprašanjem

ECJ - V postopku pred Sodiščem EU je generalni pravobranilec pravkar podal priporočilo, da naj se krovni sporazum o dopustnosti iznosa osebnih podatkov v ZDA odpravi. Če bi sodišče sledilo temu mnenju, bi to lahko izsililo pomembne spremembe v režimu, kako ameriška podjetja ravnajo z osebnimi podatki nas Evropejcev. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim" odnosom do varstva osebnih podatkov uporabnikov strani poslovne lastnine podjetja. Po vrnitvi domov je na podjetje naslovil zahtevo za seznanitev z lastnimi osebnimi podatki, in dobil nazaj CD plošček, katerega vsebina je v stiskani obliki obsegala krepko čez 1,200 strani, pa še ni zajemala vseh podatkov, ki jih je Facebook imel o njem. Ker mu ostanka niso hoteli dati, je začel kampanijo aktivizma proti Facebooku (Europe vs. Facebook), ki trenutno zajema dva obsežna sodna postopka. Pred gospodarskim sodiščem na domačem Dunaju poteka razredna tožba nekaj deset tisoč uporabnikov zaradi škode, nastale iz prostodušne uporabe njihovih osebnih podatkov brez ustreznih informacij in brez privolitve. Še bolj neprijeten pa zna biti postopek na Irskem. Tam je lani tožil njihovega informacijskega pooblaščenca, ker je bil stališča, da je slednji v svojem nadzoru Facebookove Irske podružnice (ki ureja poslovanje podjetja v celo Evropi) pretirano prijazen do podjetja. Pooblaščenec je kot ugovor zatrjeval, da je delovanje irske podružnice na splošno zakonito, ker se je v skladu z veljavnim pravom EU primoram zanašan na sistemski dogovor med Evropsko Komisijo in ameriško vlado, po katerem lahko evropska podjetja (oz. evropske podružnice ameriških podjetij) brez posebnega dovoljenja iznašajo osebne podatke Evropejcev v ZDA, ker naj bila stopnja zaščite osebnih podatkov v ZDA na splošno primerljiva z evropsko. Temu dogovoru se pravi "varni pristan" (safe harbour). Schrems trdi, da ameriška stran ne spoštuje zavez iz dogovora. Kot ključni dokaz je izpostavil Snowdenova razkritja - tj. da naj bi program PRISM dajal NSA-ju in potem še številnim drugim vladnim službam neposredni dostop do uporabniških podatkov na Facebooku - ter zahteval, da Irski pooblaščenec samostojno in neodvisno preveri, ali je režim varstva osebnih podatkov v ZDA res enako dober kot v Evropi.

Irsko sodišče je to vprašanje predložilo Sodišču EU - v bistvu ga sprašujejo, ali so evropski pooblaščenci dolžni spoštovati sistemske dogovore EU in ZDA, ali pa lahko kar sami preverjajo (skozi poseben postopek, ki se konča z izdajo pritrdilne ali zavrnilne odločbe), ali je prošnja za iznos osebnih podatkov določenemu tujemu upravljavcu dopustna.

Postopek pred Sodiščem EU ima več faz. Najprej je na vrsti pisni postopek, v katerem tožeča (Schrems) in tožena stranka (Irski pooblaščenec) izmenjata svoje memurandume. Potem je možna intervencija tretjih držav članic, ki bi imele o zadevi kaj povedati. Slovenija je intervenirala, konkretno (in zelo poenostavljeno) s stališčem, da mora imeti pristojni evropski pooblaščenec pravico, da kljub obstoju krovnega sporazuma tudi sam preveri, kaj se s podatki dogaja po iznosu. Potem sledi opcijski ustni postopek, z isto vsebino, v katerem se lahko spor še enkrat prevetri in razjasni. Še potem ima sodišče možnost, da, če gre zahtevnejše pravno vprašanje, zaprosi še za pripravo mnenja s strani generalnega pravobranilca (advocate general). Gre za posebno pisarno posebej usposobljenih pravnih strokovnjakov, ki sodišču svetujejo, kako naj odloči. Njihovo mnenje ni zavezujoče, a je po navadi precej vplivno in dobro nakazuje smer kasnejše odločitve sodišča.

Včeraj je bilo obljavljeno 40-stransko mnenje (francoskega) pravobranilca Yvesa Bota. V njem ugotavlja, da ameriška podjetja na splošno ne dosegajo evropskih standardov varstva osebnih podatkov (zakonitosti, namenskosti, sorazmernosti, spoštovanja pravic posameznika) in da si zatorej ne zaslužijo privilegiranega statusa, ki jim ga daje dogovor o varnem pristanu. Še posebej pa izpostavlja vprašljivo zakonitost njihovega sodelovanja z varnostno-obveščevalnimi in pravosodnimi službami. Posledično predlaga Sodišču, da ta dogovor odpravi. Prav tako pravi, da morajo imeti pooblaščenci držav članic v vsakem primeru možnost presojati, ali je iznos osebnih podatkov v neko državo v skladu s temeljnimi pravicami njihovih državljanov.

Odprava dogovora bi pomenila veliko spremembo za slabih 5000 podjetij, ki so trenutno "samocertificirana" v skladu z varnim pristanom. Pravo EU (Direktiva 46/95, v postopku zamenjave) namreč upravljavcem na splošno prepoveduje iznos osebnih podatkov v tretje države. Če želijo iznašati, morajo dokazati, da podatke dajejo v zaupanja vredne roke. Tipično to dokažejo, kakor vedo in znajo, v postopku pred domačim pooblaščencem, ki o tem tudi izda odločbo. Za določene države pa takšna odločba dosedaj ni bila potrebna, ker je vse potrebno uredila Evropska komisija z omenjenimi "safe harbour" dogovori. Če bi to odpadlo, bi iznašanje Facebook profilov, Google mailov, oz. vseh storitev, ki gostujejo na strežnikih in oblakih ameriških ponudnikov, postalo prepovedano. Evropski upravljavci, ki podatke pošiljajo tja, pa bi morali vsak posebej pokazati, da se bo s podatki v redu ravnalo in za to dobiti odločbo. Če bi želeli podatke obdelovati še kako drugače, bi rabili novo odločbo, ne pa samo spremembo splošnih pogojev.

To ni mala stvar. Velik del storitev, ki jih vsakodnevno uporabljamo, gostuje v ZDA. Njihovo vsakdanje delovanje se zanaša na obstoj dogovora in na izjemno fleksibilnost, ki jim ga dogovor daje. Zatorej je zdaj pričakovati pritisk ameriške strani, po sodbi (če bo takšna kot to mnenje) pa seveda pritisk k sklenitvi novega sporazuma. Ta praktično gotovo bo, je pa to odlična priložnost, da EU izsili boljše pogoje za ravnanje s podatki svojih državljanov pri ameriških ponudnikih storitev, če že pač ne zna sama pripraviti enako kvalitetnih in zaželenih storitev.

Zanimivo bo tudi, kako bo dogodek vplival na pripravo nove krovne uredbe EU o varstvu osebnih podatkov, ki je trenutno (podan je predlog Sveta, ki gre zdaj v usklajevanje s Komisijo in Parlamentom) poln raznih ameriških izjem. Moment za strožji pristop tam vsekakor ne bi bil škodil.

14 komentarjev

vostok_1 ::

Bilo bi fanj, da se pravno to prepove. Ampak to zgolj pomeni, da bo big brother moral klikniti dva gumba več kot prej.

Fritz ::

Pravno je že sedaj prepovedano, v EU, ne pa tudi v ZDA, kjer operirajo z nekimi tajnimi dekreti (nekateri se še spomnite tajnega Uradnega lista). Posledično, če bi takšne nečednosti počeli v EU in bi se jih dobilo (recimo zaradi nepooblaščenega prenosa podatkov evropskih državljanov na strežnike v ZDA), potem bi verjetno nastala podlaga za kazenski pregon.
"Težav ne moremo reševati z isto miselnostjo,
kot smo jo imeli, ko smo jih ustvarili."
A. Einstein

marS ::

ja, zgleda da imamo tukaj bolje opredeljene pravice in postopke o varovanju osebnih podatkov...dočim pa imajo američani bolj stroge predpise glede avtomobilskih izpustov...hmnja...pa saj tu ni nobene povezave menda :))
...no more heroes...
https://ilbis.com/

Zgodovina sprememb…

  • spremenil: marS ()

noraguta ::

Fritz je izjavil:

Pravno je že sedaj prepovedano, v EU, ne pa tudi v ZDA, kjer operirajo z nekimi tajnimi dekreti (nekateri se še spomnite tajnega Uradnega lista). Posledično, če bi takšne nečednosti počeli v EU in bi se jih dobilo (recimo zaradi nepooblaščenega prenosa podatkov evropskih državljanov na strežnike v ZDA), potem bi verjetno nastala podlaga za kazenski pregon.

Ubistvu niso tajni dekreti. Ms ravno vlačijo po sodišču ker proba zaščitit tajnost podatkov na strežnikih izven zda.
Pust' ot pobyedy k pobyedye vyedyot!

ales85 ::

Potem mu je potrebno pa pomagati z zakonodajo, da bo moral zaščititi tajnost podatkov in da ne bo potrebno samo poskušati.

Markoff ::

vostok_1 je izjavil:

Bilo bi fanj, da se pravno to prepove. Ampak to zgolj pomeni, da bo big brother moral klikniti dva gumba več kot prej.

Zla ne moreš premagati. Lahko pa ga spravljaš ob živce v nedogled. Kot vol, ki z rogovi natika boga Jupitra.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

tikitoki ::

Meh, nej zgradijo podatkovne centre v EU, tko bi evropsko gospodarstvo imelo se kaj koristi. Ni, tko, kot da ni trzisce dovolj pomembno in vleiko, da se jim nebi izplacalo.

AndrejO ::

Sicer ne vem od kje izvira ideja, da bi "podatkovni centri v EU" ta problem reševali, ker tega nihče ne jamči.

Zakaj?

Zato:
"A US court case considering whether a US judge can force Microsoft to hand over e-mails sitting in the company's Irish data centre raises critical issues for cloud computing companies, ..."

Primer ni še niti razno odločen, ravno tako odločitev tudi ne bo končna, temveč se pričakuje, da se bo primer vlekel do SCOTUS.

Po pravici povedano, pričakujem, da bo MS pravdo izgubil tako na prvi, kot tudi na vseh naslednjih stopnjah.

noraguta ::

AndrejO je izjavil:

Sicer ne vem od kje izvira ideja, da bi "podatkovni centri v EU" ta problem reševali, ker tega nihče ne jamči.

Zakaj?

Zato:
"A US court case considering whether a US judge can force Microsoft to hand over e-mails sitting in the company's Irish data centre raises critical issues for cloud computing companies, ..."

Primer ni še niti razno odločen, ravno tako odločitev tudi ne bo končna, temveč se pričakuje, da se bo primer vlekel do SCOTUS.

Po pravici povedano, pričakujem, da bo MS pravdo izgubil tako na prvi, kot tudi na vseh naslednjih stopnjah.

Tud jaz sem tega mnenja. Najbolj sporno je pa, da ni problema priti do podatkov po uradni poti. Ampak DOJ zahteva od MS goljufanje.
Pust' ot pobyedy k pobyedye vyedyot!

AndrejO ::

Tudi to z goljufanjem se mi dozdeva vprašljivo. Če ima domača firma neke svoje papirje v tuji podružnici, ali je potem za te papirje resnično iti po "mednarodni poti"? Res, ni čisto enako, imamo pa čisto enake primere tudi v Evropi.

Lokalen primer je npr. DT, ki podatke o naročnikih HT obdeluje v Nemčiji. Ali ima Hrvaška pravico po hrvaški zakonodaji te podatke zahtevati? Ima. Ali si kdo misli, da bi Hrvaška mirno "požrla", če bi ji HT izjavil, da ji teh podatkov ne more izročiti, ker se nahajajo v data centru nekje izven Hrvaške. Si kar mislim, ja, kako bi Hrvaška spraševala Nemčijo po teh podatkih. Verjetno bi bil tudi HT "discipliniran", kot sedaj ZDA "disciplinirajo" MS.

Pa to ni edini takšen primer. Švedska je Telenorju zaradi izgovarjanja na hrambo podatkov v norveških podatkovnih centrih bojda zagrozila tudi s prepovedjo poslovanja. Verjamem, da če se Telenor takrat ne bi uklonil, bi Švedi to grožnjo tudi izpolnili.

Ko to delamo "doma v Evropi" je to "razumljivo, sorazmerno in ustrezno", ko to delajo ZDA, pa vse narobe in napad na človekove pravice. Mislim si, da bo potrebno malo očistiti ogledalo, ker se mi zdi že precej umazano.

noraguta ::

Okrog telenirja in ms je zadeva praktično analogna. Doj ms ne pusti dihat. No , je pa švica za določrne podatke izrecno zahtevala lokalne kopije. Šlo je za povsem senzorične podatke, kateri so vstopal v ekspertni sistem.ker če pride do štale lahko sprožjo ,ponavadi zacarovalnice, preiskavo. Ni analogno varovanju osebnih podatkov , ampak po razmisleku takrat sem dojel da nekako štekajo flow podatkov in ga zdefinirajo. Pa je šlo za pilot na ravni kantona.
Pust' ot pobyedy k pobyedye vyedyot!

noraguta ::

Sicer pa ni nobenega dogovora razen po sodni poti. In dokler ni poenotena zakonodaja ga ne sme bit.
Pust' ot pobyedy k pobyedye vyedyot!

AndrejO ::

Elementarna razlika med ZDA in evropskim pristopom do osebnih podatkov je v temu, da je v ZDA nadzor osebnih podatkov stvar lastninske pravice, v Evropi pa stvar ene izmed deklariranih t.i. "univerzalnih" človekovih pravic.

Razlika v pojmovanju se mi zdi prevelika, da bi jo bilo možno enostavno preseči. Sploh pa, katera vizija bi "zmagala", če bi prišlo do poenotenja?

k4vz0024 ::

Pa še M$ naj obravnavajo za najnovejši maleware in spyware imenovan Win 10;( Naložijo pa naj mu, da mora odpraviti vohunjenje za uporabniki.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prve globe kot posledica razveljavitve varnega pristana osebnih podatkov

Oddelek: Novice / Zasebnost
83993 (2846) Unknown_001
»

Francija: Facebook mora nehati zbirati podatke o neuporabnikih

Oddelek: Novice / Zasebnost
178275 (6111) gus5
»

ECJ razveljavil dogovor o varnem pristanu med Evropsko komisijo in ZDA

Oddelek: Novice / Zasebnost
1516381 (14678) AndrejO
»

Avstrijci pred sodiščem EU prosijo, naj jih reši retencijske direktive

Oddelek: Novice / NWO
2613819 (11164) AndrejO

Več podobnih tem