» »

ECJ razveljavil dogovor o varnem pristanu med Evropsko komisijo in ZDA

ECJ razveljavil dogovor o varnem pristanu med Evropsko komisijo in ZDA

ECJ - Ko smo pred štirinajstimi dnevi poročali o odločitvi generalnega pravobranilca sodišča EU, ki je v svojem mnenju predlagal, da sodišče sporazum med Komisijo in ZDA razveljavi, si nihče ni predstavljal, da bo sodišče reagiralo tako bliskovito.

Danes je sodišče objavilo mnenje, v katerem v celoti sledi mnenju pravobranilca in tako razveljavlja sporazum med Komisijo in ZDA na podlagi ugotovitve, da je Komisija s sklenitvijo prekoračila svoja pooblastila. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim" odnosom do varstva osebnih podatkov uporabnikov strani poslovne lastnine podjetja. Po vrnitvi domov je na podjetje naslovil zahtevo za seznanitev z lastnimi osebnimi podatki, in dobil nazaj CD plošček, katerega vsebina je v stiskani obliki obsegala krepko čez 1,200 strani, pa še ni zajemala vseh podatkov, ki jih je Facebook imel o njem. Ker mu ostanka niso hoteli dati, je začel kampanijo aktivizma proti Facebooku (Europe vs. Facebook), ki trenutno zajema dva obsežna sodna postopka. Pred gospodarskim sodiščem na domačem Dunaju poteka razredna tožba nekaj deset tisoč uporabnikov zaradi škode, nastale iz prostodušne uporabe njihovih osebnih podatkov brez ustreznih informacij in brez privolitve. Še bolj neprijeten pa zna biti postopek na Irskem. Tam je lani tožil njihovega informacijskega pooblaščenca, ker je bil stališča, da je slednji v svojem nadzoru Facebookove Irske podružnice (ki ureja poslovanje podjetja v celo Evropi) pretirano prijazen do podjetja. Pooblaščenec je kot ugovor zatrjeval, da je delovanje irske podružnice na splošno zakonito, ker se je v skladu z veljavnim pravom EU primoram zanašan na sistemski dogovor med Evropsko Komisijo in ameriško vlado, po katerem lahko evropska podjetja (oz. evropske podružnice ameriških podjetij) brez posebnega dovoljenja iznašajo osebne podatke Evropejcev v ZDA, ker naj bila stopnja zaščite osebnih podatkov v ZDA na splošno primerljiva z evropsko. Temu dogovoru se pravi "varni pristan" (safe harbour). Schrems trdi, da ameriška stran ne spoštuje zavez iz dogovora. Kot ključni dokaz je izpostavil Snowdenova razkritja - tj. da naj bi program PRISM dajal NSA-ju in potem še številnim drugim vladnim službam neposredni dostop do uporabniških podatkov na Facebooku - ter zahteval, da Irski pooblaščenec samostojno in neodvisno preveri, ali je režim varstva osebnih podatkov v ZDA res enako dober kot v Evropi.

Irsko sodišče je to vprašanje predložilo Sodišču EU - v bistvu ga sprašujejo, ali so evropski pooblaščenci dolžni spoštovati sistemske dogovore EU in ZDA, ali pa lahko kar sami preverjajo (skozi poseben postopek, ki se konča z izdajo pritrdilne ali zavrnilne odločbe), ali je prošnja za iznos osebnih podatkov določenemu tujemu upravljavcu dopustna.

Odprava dogovora pomeni veliko spremembo za slabih 5000 podjetij, ki so trenutno "samocertificirana" v skladu z varnim pristanom. Pravo EU (Direktiva 46/95, v postopku zamenjave) namreč upravljavcem na splošno prepoveduje iznos osebnih podatkov v tretje države. Če želijo iznašati, morajo dokazati, da podatke dajejo v zaupanja vredne roke. Tipično to dokažejo, kakor vedo in znajo, v postopku pred domačim pooblaščencem, ki o tem tudi izda odločbo. Za določene države pa takšna odločba dosedaj ni bila potrebna, ker je vse potrebno uredila Evropska komisija z omenjenimi "safe harbour" dogovori. Ker to sedaj odpada, bi iznašanje Facebook profilov, Google mailov, oz. vseh storitev, ki gostujejo na strežnikih in oblakih ameriških ponudnikov, postalo prepovedano. Evropski upravljavci, ki podatke pošiljajo tja, pa morajo vsak posebej pokazati, da se bo s podatki v redu ravnalo in za to dobiti odločbo. Če bi želeli podatke obdelovati še kako drugače, bi rabili novo odločbo in ne samo spremembe splošnih pogojev.

Sodba ECJ sedaj irskemu pooblaščencu nalaga, da s primerno (dolžno) skrbnostjo ugotovi dejansko stanje varovanja podatkov pri Facebooku in potem ustrezno ukrepa.

Kakšne posledice bo odločitev imela na domače uporabnike oblačnih storitev v tujini pa bomo videli v prihodnjih tednih.

15 komentarjev

dronyx ::

Tole pomeni manjši problem za Modro zavarovalnico, ki je obdelavo osebnih podatkov svojih zavarovancev zaupala firmi Salesforce, ki te podatke obdeluje v ZDA na podlagi "Safe harbour" dogovora.

Tody ::

Hmm pomoje tudi eu hramba podatkov ni bog ve kaj. Tudi eu obveščevalne službe imajo tera in tera bajtov podatkov, samo snowdena nimajo :) Tako da varnost je res tam tam :)

dronyx ::

Tody je izjavil:

Hmm pomoje tudi eu hramba podatkov ni bog ve kaj.

ZDA niso sposobne zavarovati niti osebne podatke svojih javnih uslužbencev!

Trololololol ::

Kje so zdaj tisti modreci, ki so tolkli po kitajskem Zidu ?

joze67 ::

dronyx je izjavil:

Tole pomeni manjši problem za Modro zavarovalnico, ki je ... zaupala firmi Salesforce, ki ....

Če bi bila MZ edina (ali ena redkih) stranka SF, bi bil to lahko njen problem. Ker pa ima SF - domnevam - širok nabor EU strank, je to problem za SF in ga bo SF rešil, ali z lobiranjem ali s postavitvijo/najemom EU strežnika.

dronyx ::

joze67 je izjavil:

...in ga bo SF rešil, ali z lobiranjem ali s postavitvijo/najemom EU strežnika.

Časa je malo oziroma nič, ker kakor vem sodišče ni določilo prehodnega obdobja, v katerem morajo stanje po razveljavitvi "Safe harbour" dogovora sanirati. Sicer ima Salesforce od 2014 podatkovni center v Veliki Britaniji, je pa seveda vprašanje, ali se res vsi osebni podatki EU državljanov nahajajo tam. Sicer kar se mene tiče je GB glede varstva podatkov verjetno še hujša kot ZDA, tako da je to bolj iz dežja pod kap...

AndrejO ::

dronyx je izjavil:

Tole pomeni manjši problem za Modro zavarovalnico, ki je obdelavo osebnih podatkov svojih zavarovancev zaupala firmi Salesforce, ki te podatke obdeluje v ZDA na podlagi "Safe harbour" dogovora.

Po mojem vedenju to še zdaleč ni edino veliko podjetje, ki je obdelavo podatkov zaupalo kakšnem podjetju s sedežem v ZDA.

Djuro ::

Ali to velja enako za recimo uporabo storitev kot je mailchimp? Ker elektronski naslov spada pod osebni podatek, firma je pa ameriška.

Tody ::

Email ni osebni podatek. Osebni podatek je podatke po katerem lahko skoraj enotno edintificiraš uporabnika. Ergo tudi ime in priimek ni osebni podatek, ime priimek in rd ali davčna ali ulica bivanja pa je oseben podatek. Vsaj tako so meni razolžili nisem pa pravnik

AndrejO ::

Tody je izjavil:

Email ni osebni podatek. Osebni podatek je podatke po katerem lahko skoraj enotno edintificiraš uporabnika. Ergo tudi ime in priimek ni osebni podatek, ime priimek in rd ali davčna ali ulica bivanja pa je oseben podatek. Vsaj tako so meni razolžili nisem pa pravnik

Zato je pa e-mail naslov praviloma osebni podatek in zbirka e-mail naslovov zbirka osebnih podatkov.

Če nekem podjetju v ZDA posreduješ seznam e-mail naslovov na katere naj razpošlje tvoje smetje, potem si mu, vsaj po zakonu sodeč, posredoval zbirko osebnih podatkov. Ergo, kot upravljalec zbirke moraš izpolniti, kar je zahtevanih pogojev za posredovanje.

Tody ::

Hja tuki so taki loopholi... Če imam jaz mailing listo pri mailchimpu in se ljudje sami vpisujejo vseh narodnosti, sploh pa sej email naslov ni moja lastnina...

Iatromantis ::

To sodišče pa ni kar tako, lansko leto razveljavili data retentions, letos safe harbor...

FrizzleFry ::

Dronyx, Safe Harbour ni edina opcija, obstajajo tudi standardne pogodbene klavzule itd.

dronyx ::

FrizzleFry je izjavil:

Dronyx, Safe Harbour ni edina opcija, obstajajo tudi standardne pogodbene klavzule itd.

Za iznos osebnih podatkov v "tretje države" moraš pridobiti tudi soglasje (odločbo) pooblaščenca. Safe harbour dogovor je kar se tiče iznosa osebnih podatkov v ZDA vse skupaj močno olajšal. Ne moreš pa osebne podatke po naši zakonodaji "izvoziti" v tretje države samo na podlagi nekih pogodbenih klavzul. Je pa res, da kakor vem z letom 2016 prihaja enotna EU uredba glede varstva osebnih podatkov, ki bo nadomestila sedanje "lokalne" zakone (pri nas ZVOP). Kako bo tam to urejeno pa ne vem...

AndrejO ::

Tody je izjavil:

Hja tuki so taki loopholi... Če imam jaz mailing listo pri mailchimpu in se ljudje sami vpisujejo vseh narodnosti, sploh pa sej email naslov ni moja lastnina...

Če imaš takšno zbirko, ti predlagam, da narediš samoprijavo na IP-RS in ti bo pravnomočno in v triplikatu skupaj s štampiljko za nadzor pristojnega organa navedeno, če je tvoja obdelava skladna z veljavnimi predpisi ali ne.

Konec koncev, so ti pravniki pojasnili, da ni panike. Jim zaupaš?

Sploh pa ne mešaj notri lastništva osebnih podatkov. V zakonodaji EU je edini lasntik osebnega podatka tista oseba ali osebe na katere se podatek nanaša. Ti si lahko upravljalec zbirke in predpisi določajo, kaj upravljalci smejo ali ne.

Ravno tako npr. ZVOP velja za vse upravljalce osebnih podatkov, ki imajo sedež v Sloveniji. Ti lahko obdeluješ podatke zgolj nekih prebivalcev čungalungije, pa bo to še vedno zbirka osebnih podatkov in kot upravljalec te zbirke, ki bivakira v Sloveniji boš še vedno podložen ZVOP in ostalim predpisom, ki veljajo v Sloveniji.

Zgodovina sprememb…

  • spremenil: AndrejO ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prve globe kot posledica razveljavitve varnega pristana osebnih podatkov

Oddelek: Novice / Zasebnost
83993 (2846) Unknown_001
»

Francija: Facebook mora nehati zbirati podatke o neuporabnikih

Oddelek: Novice / Zasebnost
178275 (6111) gus5
»

ECJ razveljavil dogovor o varnem pristanu med Evropsko komisijo in ZDA

Oddelek: Novice / Zasebnost
1516381 (14678) AndrejO
»

Dogovor o iznosu osebnih podatkov v ZDA pod vprašanjem

Oddelek: Novice / Zasebnost
1410160 (8102) k4vz0024
»

Avstrijci pred sodiščem EU prosijo, naj jih reši retencijske direktive

Oddelek: Novice / NWO
2613819 (11164) AndrejO

Več podobnih tem