ECJ razveljavil odločitev Komisije o primernosti varovanja osebnih podatkov v ZDA

Ko smo pred petimi leti poročali o odločitvi sodišča EU, ki je takrat razveljavilo dogovor med Komisijo in ZDA o varnem pristanu na področju izvoza osebnih podatkov, si nihče ni predstavljal, da bo sodišče čez pet let moralo ponoviti odločitev.

Danes je sodišče objavilo sodbo, s katero razveljavlja odločitev Komisije, s katero je ta ugotovila, da je zaščita osebnih podatkov v ZDA primerljiva evropski. Primer seveda zadeva ponudnika družbenega omrežja Facebook in njihovo benevolentno sodelovanje z ameriškimi obveščevalnimi službami. Poglejmo.

Facebook ima trenutno poldrugo milijardo aktivnih uporabnikov (ki še kar prihajajo), vendar se njihov pravni oddelek trenutno ukvarja predvsem z enim posameznikom, ki njihove storitve pravzaprav ne želi več uporabljati.

O delu avstrijskega pravnika in aktivista Maxa Schremsa smo že pisali. Njegova zgodba se je začela pred dobrimi devetimi leti, ko je tekom študijske izmenjave v ZDA poslušal predavanja Facebookevega prvega pravnika za vprašanja zasebnosti (chief privacy officer) in bil zelo razočaran nad njegovim, "ameriškim" odnosom do varstva osebnih podatkov uporabnikov strani poslovne lastnine podjetja. Po vrnitvi domov je na podjetje naslovil zahtevo za seznanitev z lastnimi osebnimi podatki, in dobil nazaj CD plošček, katerega vsebina je v stiskani obliki obsegala krepko čez 1.200 strani, pa še ni zajemala vseh podatkov, ki jih je Facebook imel o njem. Ker mu ostanka niso hoteli dati, je začel kampanjo aktivizma proti Facebooku (Europe vs. Facebook), ki trenutno zajema nekaj obsežnih sodnih postopkov. Pred gospodarskim sodiščem na domačem Dunaju je tožil zaradi škode, nastale iz prostodušne uporabe njegovih osebnih podatkov brez ustreznih informacij in brez privolitve. Še bolj neprijeten pa je bil postopek na Irskem. Tam je tožil njihovega informacijskega pooblaščenca, ker je bil stališča, da je slednji v svojem nadzoru Facebookove Irske podružnice (ki ureja poslovanje podjetja v celo Evropi) pretirano prijazen do podjetja. Pooblaščenec je kot ugovor zatrjeval, da je delovanje irske podružnice na splošno zakonito, ker se je v skladu z veljavnim pravom EU primoram zanašati na sistemski dogovor med Evropsko Komisijo in ameriško vlado, po katerem lahko evropska podjetja (oz. evropske podružnice ameriških podjetij) brez posebnega dovoljenja iznašajo osebne podatke Evropejcev v ZDA, ker naj bila stopnja zaščite osebnih podatkov v ZDA na splošno primerljiva z evropsko. Temu dogovoru se pravi "varni pristan" (safe harbour). Schrems trdi, da ameriška stran ne spoštuje zavez iz dogovora. Kot ključni dokaz je izpostavil Snowdenova razkritja - tj. da naj bi program PRISM dajal NSA-ju in potem še številnim drugim vladnim službam neposredni dostop do uporabniških podatkov na Facebooku - ter zahteval, da Irski pooblaščenec samostojno in neodvisno preveri, ali je režim varstva osebnih podatkov v ZDA res enako dober kot v Evropi.

Irsko sodišče je to vprašanje pred petimi leti predložilo Sodišču EU - v bistvu so ga vprašali, ali so evropski pooblaščenci dolžni spoštovati sistemske dogovore EU in ZDA, ali pa lahko kar sami preverjajo (skozi poseben postopek, ki se konča z izdajo pritrdilne ali zavrnilne odločbe), ali je prošnja za iznos osebnih podatkov določenemu tujemu upravljavcu dopustna.

Odprava dogovora je pomenila veliko spremembo za slabih 5000 podjetij, ki so bila takrat "samocertificirana" v skladu z varnim pristanom. Pravo EU (Direktiva 46/95, vmes nadomeščeno z GDPR) namreč upravljavcem na splošno prepoveduje iznos osebnih podatkov v tretje države. Če želijo iznašati, morajo dokazati, da podatke dajejo v zaupanja vredne roke. Tipično to dokažejo, kakor vedo in znajo, v postopku pred domačim pooblaščencem, ki o tem tudi izda odločbo. Za določene države pa takšna odločba do sedaj ni bila potrebna, ker je vse potrebno uredila Evropska komisija z omenjenimi "safe harbour" dogovori. Ker to sedaj odpada, bi iznašanje Facebook profilov, Google mailov, oz. vseh storitev, ki gostujejo na strežnikih in oblakih ameriških ponudnikov, postalo prepovedano. Evropski upravljavci, ki podatke pošiljajo tja, pa morajo vsak posebej pokazati, da se bo s podatki v redu ravnalo in za to dobiti odločbo. Če bi želeli podatke obdelovati še kako drugače, bi rabili novo odločbo in ne samo spremembe splošnih pogojev.

Po tej spremembi pred petimi leti je Evropska Komisija z ZDA sklenila nov dogovor v katerem so ZDA obljubile nekaj nezavezujočih ukrepov. Danes je Sodišče EU ponovno ugotovilo enako kot pred petimi leti. Mehanizem je zaradi njegove neobveznosti za ameriške obveščevalne službe neprimeren.

Kakšne posledice bo odločitev imela na domače uporabnike oblačnih storitev v tujini bomo videli v prihodnjih tednih, prav tako pa ponovno nestrpno pričakujemo naslednji poskus izigravanja te odločitve s strani Evropske Komisije in ameriških internetnih velikanov.