Dogovor o iznosu osebnih podatkov v ZDA pod vprašanjem

V postopku pred Sodiščem EU je generalni pravobranilec pravkar podal priporočilo, da naj se krovni sporazum o dopustnosti iznosa osebnih podatkov v ZDA odpravi. Če bi sodišče sledilo temu mnenju, bi to lahko izsililo pomembne spremembe v režimu, kako ameriška podjetja ravnajo z osebnimi podatki nas Evropejcev. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim" odnosom do varstva osebnih podatkov uporabnikov strani poslovne lastnine podjetja. Po vrnitvi domov je na podjetje naslovil zahtevo za seznanitev z lastnimi osebnimi podatki, in dobil nazaj CD plošček, katerega vsebina je v stiskani obliki obsegala krepko čez 1,200 strani, pa še ni zajemala vseh podatkov, ki jih je Facebook imel o njem. Ker mu ostanka niso hoteli dati, je začel kampanijo aktivizma proti Facebooku (Europe vs. Facebook), ki trenutno zajema dva obsežna sodna postopka. Pred gospodarskim sodiščem na domačem Dunaju poteka razredna tožba nekaj deset tisoč uporabnikov zaradi škode, nastale iz prostodušne uporabe njihovih osebnih podatkov brez ustreznih informacij in brez privolitve. Še bolj neprijeten pa zna biti postopek na Irskem. Tam je lani tožil njihovega informacijskega pooblaščenca, ker je bil stališča, da je slednji v svojem nadzoru Facebookove Irske podružnice (ki ureja poslovanje podjetja v celo Evropi) pretirano prijazen do podjetja. Pooblaščenec je kot ugovor zatrjeval, da je delovanje irske podružnice na splošno zakonito, ker se je v skladu z veljavnim pravom EU primoram zanašan na sistemski dogovor med Evropsko Komisijo in ameriško vlado, po katerem lahko evropska podjetja (oz. evropske podružnice ameriških podjetij) brez posebnega dovoljenja iznašajo osebne podatke Evropejcev v ZDA, ker naj bila stopnja zaščite osebnih podatkov v ZDA na splošno primerljiva z evropsko. Temu dogovoru se pravi "varni pristan" (safe harbour). Schrems trdi, da ameriška stran ne spoštuje zavez iz dogovora. Kot ključni dokaz je izpostavil Snowdenova razkritja - tj. da naj bi program PRISM dajal NSA-ju in potem še številnim drugim vladnim službam neposredni dostop do uporabniških podatkov na Facebooku - ter zahteval, da Irski pooblaščenec samostojno in neodvisno preveri, ali je režim varstva osebnih podatkov v ZDA res enako dober kot v Evropi.

Irsko sodišče je to vprašanje predložilo Sodišču EU - v bistvu ga sprašujejo, ali so evropski pooblaščenci dolžni spoštovati sistemske dogovore EU in ZDA, ali pa lahko kar sami preverjajo (skozi poseben postopek, ki se konča z izdajo pritrdilne ali zavrnilne odločbe), ali je prošnja za iznos osebnih podatkov določenemu tujemu upravljavcu dopustna.

Postopek pred Sodiščem EU ima več faz. Najprej je na vrsti pisni postopek, v katerem tožeča (Schrems) in tožena stranka (Irski pooblaščenec) izmenjata svoje memurandume. Potem je možna intervencija tretjih držav članic, ki bi imele o zadevi kaj povedati. Slovenija je intervenirala, konkretno (in zelo poenostavljeno) s stališčem, da mora imeti pristojni evropski pooblaščenec pravico, da kljub obstoju krovnega sporazuma tudi sam preveri, kaj se s podatki dogaja po iznosu. Potem sledi opcijski ustni postopek, z isto vsebino, v katerem se lahko spor še enkrat prevetri in razjasni. Še potem ima sodišče možnost, da, če gre zahtevnejše pravno vprašanje, zaprosi še za pripravo mnenja s strani generalnega pravobranilca (advocate general). Gre za posebno pisarno posebej usposobljenih pravnih strokovnjakov, ki sodišču svetujejo, kako naj odloči. Njihovo mnenje ni zavezujoče, a je po navadi precej vplivno in dobro nakazuje smer kasnejše odločitve sodišča.

Včeraj je bilo obljavljeno 40-stransko mnenje (francoskega) pravobranilca Yvesa Bota. V njem ugotavlja, da ameriška podjetja na splošno ne dosegajo evropskih standardov varstva osebnih podatkov (zakonitosti, namenskosti, sorazmernosti, spoštovanja pravic posameznika) in da si zatorej ne zaslužijo privilegiranega statusa, ki jim ga daje dogovor o varnem pristanu. Še posebej pa izpostavlja vprašljivo zakonitost njihovega sodelovanja z varnostno-obveščevalnimi in pravosodnimi službami. Posledično predlaga Sodišču, da ta dogovor odpravi. Prav tako pravi, da morajo imeti pooblaščenci držav članic v vsakem primeru možnost presojati, ali je iznos osebnih podatkov v neko državo v skladu s temeljnimi pravicami njihovih državljanov.

Odprava dogovora bi pomenila veliko spremembo za slabih 5000 podjetij, ki so trenutno "samocertificirana" v skladu z varnim pristanom. Pravo EU (Direktiva 46/95, v postopku zamenjave) namreč upravljavcem na splošno prepoveduje iznos osebnih podatkov v tretje države. Če želijo iznašati, morajo dokazati, da podatke dajejo v zaupanja vredne roke. Tipično to dokažejo, kakor vedo in znajo, v postopku pred domačim pooblaščencem, ki o tem tudi izda odločbo. Za določene države pa takšna odločba dosedaj ni bila potrebna, ker je vse potrebno uredila Evropska komisija z omenjenimi "safe harbour" dogovori. Če bi to odpadlo, bi iznašanje Facebook profilov, Google mailov, oz. vseh storitev, ki gostujejo na strežnikih in oblakih ameriških ponudnikov, postalo prepovedano. Evropski upravljavci, ki podatke pošiljajo tja, pa bi morali vsak posebej pokazati, da se bo s podatki v redu ravnalo in za to dobiti odločbo. Če bi želeli podatke obdelovati še kako drugače, bi rabili novo odločbo, ne pa samo spremembo splošnih pogojev.

To ni mala stvar. Velik del storitev, ki jih vsakodnevno uporabljamo, gostuje v ZDA. Njihovo vsakdanje delovanje se zanaša na obstoj dogovora in na izjemno fleksibilnost, ki jim ga dogovor daje. Zatorej je zdaj pričakovati pritisk ameriške strani, po sodbi (če bo takšna kot to mnenje) pa seveda pritisk k sklenitvi novega sporazuma. Ta praktično gotovo bo, je pa to odlična priložnost, da EU izsili boljše pogoje za ravnanje s podatki svojih državljanov pri ameriških ponudnikih storitev, če že pač ne zna sama pripraviti enako kvalitetnih in zaželenih storitev.

Zanimivo bo tudi, kako bo dogodek vplival na pripravo nove krovne uredbe EU o varstvu osebnih podatkov, ki je trenutno (podan je predlog Sveta, ki gre zdaj v usklajevanje s Komisijo in Parlamentom) poln raznih ameriških izjem. Moment za strožji pristop tam vsekakor ne bi bil škodil.