Prenos podatkov z družbenega omrežja Facebook v ZDA je nezakonit, je razsodilo sodišče Evropske unije, ki je tudi ugotovilo, da strežniki v ZDA niso ''varen pristan'' za podatke državljanov EU.
Sodišče je razsodbo sprejelo neobičajno hitro, odločitev pa velja za zmago avstrijskega državljana Maxa Schremsa, borca za zaščito podatkov. Razsodba naj sicer ne bi vplivala samo na Facebook, ampak tudi na okoli 4000 ameriških podjetij, ki bodo morala poslej svoje podatke hraniti tudi na strežnikih EU.
Generalni pravobranilec EU Yves Bot se je že konec septembra izrekel za razveljavitev 15 let starega sporazuma o izmenjavi podatkov med EU in ZDA.
Dogovor Safe Harbor ali v prevodu varen pristan, ki med Brusljem in Washingtonom obstaja od leta 2000, naj bi zagotovil, da so na obeh straneh Atlantika spoštovani enaki minimalni standardi varovanja osebnih podatkov.
Za ameriške organizacije in podjetja, ki pristanejo na zahteve iz Safe Harborja - in takih je več tisoč - se je doslej domnevalo, da izpolnjujejo evropske standarde varovanja podatkov, zato je bila izmenjava podatkov o državljanih EU z njimi dovoljena. Gre predvsem za podjetja, ki Evropejcem nudijo spletne storitve, njihove podatke pa hranijo na strežnikih v ZDA.
A še posebej po razkritjih žvižgača Edwarda Snowdna leta 2013 o tem, kako ameriška agencija za nacionalno varnost NSA izvaja množičen in nediskriminatoren nadzor tudi nad državljani EU, je Safe Harbor postal tarča kritik.
Na sodišče EU se je zaradi omenjenega dogovora obrnil Schrems, ki je podjetju Facebook na Irskem očital, da pošilja osebne podatke v ZDA, kjer ni zagotovljena ustrezna raven varovanja teh podatkov. Irski informacijski pooblaščenec je Schremsovo pritožbo zavrnil, saj da je Facebook pristal na Safe Harbour, a Schrems se je nato obrnil na irsko višje sodišče in to je za mnenje prosilo Sodišče EU.
Hitra odločitev sodišča
Sodišče EU je odločitev v tem primeru sprejelo neobičajno hitro. V njej je irskim organom naložilo, da morajo "z vso potrebno skrbnostjo preučiti" Schremsovo pritožbo in nato odločiti, ali je treba ustaviti prenos podatkov evropskih uporabnikov Facebooka v ZDA, ker ta država ne zagotavlja ustrezne ravni varstva osebnih podatkov.
Odločitev Evropske komisije iz leta 2000, da varen pristan zagotavlja ustrezno raven varstva v ZDA prenesenih osebnih podatkov, je Sodišče EU obenem razglasilo za neveljavno ter neskladno tako z direktivo EU o obdelavi osebnih podatkov kot z listino EU o temeljnih pravicah.
Kot je med drugim zapisalo v obrazložitvi, sistem varnega pristana velja samo za ameriška podjetja, ki se mu sama zavežejo, ne velja pa za javne organe ZDA. Poleg tega zahteve nacionalne varnosti, javnega interesa ali pregona v ZDA prevladajo nad sistemom varnega pristana.
"Ameriški sistem varnega pristana tako omogoča, da ameriški javni organi posegajo v temeljne pravice posameznikov."
Kot je še nadaljevalo, to ugotovitev potrjujeta tudi sporočili komisije iz leta 2013, iz katerih je razvidno, da organi ZDA lahko dostopajo do osebnih podatkov, prenesenih iz držav članic EU, ter jih obdelujejo na način, ki ni v skladu z namenom njihovega prenosa, in obširneje, kot bi bilo nujno potrebno in sorazmerno za zaščito nacionalne varnosti.
Po oceni sodišča "je treba šteti, da ureditev, ki javnim organom omogoča splošen dostop do vsebine elektronskih komunikacij, pomeni poseg v bistvo temeljne pravice do spoštovanja zasebnega življenja".
Poleg tega "ureditev, ki ne določa nobene možnosti, da bi posameznik lahko uporabil pravna sredstva za pridobitev dostopa do osebnih podatkov, ki se nanj nanašajo, ali dosegel popravo ali izbris takih podatkov, posega v bistvo temeljne pravice do učinkovitega sodnega varstva, taka možnost pa je neločljivo povezana z obstojem pravne države".
Tudi če odločitve komisije iz leta 2000 danes ne bi razveljavilo, je sodišče še poudarilo, da ta ne more izničiti niti zmanjšati pooblastil, ki jih imajo nacionalni nadzorni organi, da neodvisno preučijo, ali prenos podatkov posameznika v tretjo državo izpolnjuje zahteve zakonodaje EU.
Schrems je odločitev pozdravil in jo označil kot močan signal ameriškim obveščevalnim agencijam in podjetjem, kot je Facebook.
"Ta odločitev je hud udarec ameriškemu globalnemu nadzoru, ki se močno zanaša na zasebne partnerje (...) Razsodba jasno pravi, da ameriška podjetja ne morejo preprosto pomagati pri ameriškem vohunjenju in kršiti evropskih temeljnih pravic," je sporočil.
Pomembna odločitev v boju proti množičnemu nadzoru osebnih podatkov
Odločitev sodišča ni le zmaga za Schremsa in naj ne bi vplivala le na Facebook, ampak tudi na okoli 4000 ameriških podjetij, ki bodo morala poslej svoje podatke hraniti na strežnikih EU.
Kot je izpostavil Schrems, gre poleg tega za pomemben presedan in mejnik v boju proti množičnemu nadzoru osebnih podatkov v samih državah članicah EU.
V podjetju Facebook so v odzivu na razsodbo izpostavili, da morata EU in ZDA sedaj hitro najti rešitev, s katero bosta zagotovili "zanesljive metode za zakonite prenose podatkov in razjasnili vsa vprašanja, povezana z nacionalno varnostjo". Kot je še poudarila tiskovna predstavnica podjetja, "ta primer ni o Facebooku".
Informacijski pooblaščenci EU upajo na bolj urejeno izmenjavo podatkov z ZDA
Informacijski pooblaščenci EU so današnjo odločitev Sodišča EU, ki je razveljavilo dogovor o varnem pristanu med EU in ZDA, označili za "prelomno".
Kot so napovedali, se bodo v prihodnjih dneh sestali v okviru delovne skupine ter sodbo analizirali in predvideli njene posledice za prenose osebnih podatkov v ZDA. Obenem pomembne odgovore na vprašanja, ki jih sodba odpira, pričakujejo prvenstveno s strani Evropske komisije, so poudarili.
Izrazili so upanje, da bo današnja sodba pospešila urejanje pretoka osebnih podatkov iz EU v ZDA, tako da bodo pravice državljanov EU, katerih osebni podatki se dnevno v ogromnem številu prenašajo v ZDA, predvsem k mnogim ponudnikom popularnih spletnih storitev, ustrezno varovani.
Kot poudarjajo, ima današnja odločitev pomembne posledice za vse deležnike, ki so vključeni v pogajanja glede nove uredbe o varstvu osebnih podatkov v EU, ki je v postopku sprejemanja, ter v diskusije glede morebitnega novega dogovora o prenosu osebnih podatkov med EU in oblastmi v ZDA, o katerem pogajanja tečejo že od leta 2013.
Spomnili so, da diskusije o ustreznosti določb varnega pristana z vidika direktive EU o varstvu osebnih podatkov trajajo že dolgo, razkritja Edwarda Snowdna pa so nedvomno pokazala, da prakse obdelav osebnih podatkov v ZDA niso skladne z zakonodajo v EU.
"Zagotovo je prost pretok osebnih podatkov med EU in ZDA pomemben z ekonomskih vidikov, nikakor pa ne sme pomeniti nižje ravni varstva pravic državljanov EU," so še poudarili informacijski pooblaščenci, vključno s slovensko Mojco Prelesnik.
KOMENTARJI (17)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.