ECJ razveljavil dogovor o varnem pristanu med Evropsko komisijo in ZDA

Ko smo pred štirinajstimi dnevi poročali o odločitvi generalnega pravobranilca sodišča EU, ki je v svojem mnenju predlagal, da sodišče sporazum med Komisijo in ZDA razveljavi, si nihče ni predstavljal, da bo sodišče reagiralo tako bliskovito.

Danes je sodišče objavilo mnenje, v katerem v celoti sledi mnenju pravobranilca in tako razveljavlja sporazum med Komisijo in ZDA na podlagi ugotovitve, da je Komisija s sklenitvijo prekoračila svoja pooblastila. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno skoraj poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi štirimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim" odnosom do varstva osebnih podatkov uporabnikov strani poslovne lastnine podjetja. Po vrnitvi domov je na podjetje naslovil zahtevo za seznanitev z lastnimi osebnimi podatki, in dobil nazaj CD plošček, katerega vsebina je v stiskani obliki obsegala krepko čez 1,200 strani, pa še ni zajemala vseh podatkov, ki jih je Facebook imel o njem. Ker mu ostanka niso hoteli dati, je začel kampanijo aktivizma proti Facebooku (Europe vs. Facebook), ki trenutno zajema dva obsežna sodna postopka. Pred gospodarskim sodiščem na domačem Dunaju poteka razredna tožba nekaj deset tisoč uporabnikov zaradi škode, nastale iz prostodušne uporabe njihovih osebnih podatkov brez ustreznih informacij in brez privolitve. Še bolj neprijeten pa zna biti postopek na Irskem. Tam je lani tožil njihovega informacijskega pooblaščenca, ker je bil stališča, da je slednji v svojem nadzoru Facebookove Irske podružnice (ki ureja poslovanje podjetja v celo Evropi) pretirano prijazen do podjetja. Pooblaščenec je kot ugovor zatrjeval, da je delovanje irske podružnice na splošno zakonito, ker se je v skladu z veljavnim pravom EU primoram zanašan na sistemski dogovor med Evropsko Komisijo in ameriško vlado, po katerem lahko evropska podjetja (oz. evropske podružnice ameriških podjetij) brez posebnega dovoljenja iznašajo osebne podatke Evropejcev v ZDA, ker naj bila stopnja zaščite osebnih podatkov v ZDA na splošno primerljiva z evropsko. Temu dogovoru se pravi "varni pristan" (safe harbour). Schrems trdi, da ameriška stran ne spoštuje zavez iz dogovora. Kot ključni dokaz je izpostavil Snowdenova razkritja - tj. da naj bi program PRISM dajal NSA-ju in potem še številnim drugim vladnim službam neposredni dostop do uporabniških podatkov na Facebooku - ter zahteval, da Irski pooblaščenec samostojno in neodvisno preveri, ali je režim varstva osebnih podatkov v ZDA res enako dober kot v Evropi.

Irsko sodišče je to vprašanje predložilo Sodišču EU - v bistvu ga sprašujejo, ali so evropski pooblaščenci dolžni spoštovati sistemske dogovore EU in ZDA, ali pa lahko kar sami preverjajo (skozi poseben postopek, ki se konča z izdajo pritrdilne ali zavrnilne odločbe), ali je prošnja za iznos osebnih podatkov določenemu tujemu upravljavcu dopustna.

Odprava dogovora pomeni veliko spremembo za slabih 5000 podjetij, ki so trenutno "samocertificirana" v skladu z varnim pristanom. Pravo EU (Direktiva 46/95, v postopku zamenjave) namreč upravljavcem na splošno prepoveduje iznos osebnih podatkov v tretje države. Če želijo iznašati, morajo dokazati, da podatke dajejo v zaupanja vredne roke. Tipično to dokažejo, kakor vedo in znajo, v postopku pred domačim pooblaščencem, ki o tem tudi izda odločbo. Za določene države pa takšna odločba dosedaj ni bila potrebna, ker je vse potrebno uredila Evropska komisija z omenjenimi "safe harbour" dogovori. Ker to sedaj odpada, bi iznašanje Facebook profilov, Google mailov, oz. vseh storitev, ki gostujejo na strežnikih in oblakih ameriških ponudnikov, postalo prepovedano. Evropski upravljavci, ki podatke pošiljajo tja, pa morajo vsak posebej pokazati, da se bo s podatki v redu ravnalo in za to dobiti odločbo. Če bi želeli podatke obdelovati še kako drugače, bi rabili novo odločbo in ne samo spremembe splošnih pogojev.

Sodba ECJ sedaj irskemu pooblaščencu nalaga, da s primerno (dolžno) skrbnostjo ugotovi dejansko stanje varovanja podatkov pri Facebooku in potem ustrezno ukrepa.

Kakšne posledice bo odločitev imela na domače uporabnike oblačnih storitev v tujini pa bomo videli v prihodnjih tednih.