Posljedice presude SCHREMS II u Francuskoj?
Schrems II – odluka francuskog Visokog upravnog suda o zakonitosti pristupa osobnim podacima na temelju ugovora između EU podružnice američke tvrtke Microsoft i francuske platforme za prikupljenje zdravstvenih podataka
Okolnosti slučaja
Ispitanici su zatražili od francuskog Visokog upravnog suda da obustavi centralizaciju i obradu osobnih podataka koji se odnose na Covid-19 i to na platformi zdravstvenih podataka „Health Data Hub“ (voditelj obrade osobnih podataka).
Kao jedan od problema ispitanici su naveli da EU podružnica američke korporacije Microsoft, osnovana u Irskoj, ima pristup osobnim podacima jer daje licencu za softver koji je neophodan za upravljanje platformom, dok se data centar nalazi se u Nizozemskoj.
Ispitanici su također zatražili od francuskog nadzornog tijela da donese odluku o ništetnosti sporazuma temeljenog na Štitu privatnosti u vezi s osobnim podacima koji se obrađuju u Health Data Hubu. Uz sve, smatrali su da je došlo do ozbiljne povrede prava na privatnost i zaštitu osobnih podataka, zbog činjenice da je tvrtka odgovorna za tehničke aspekte Health Data Hub-a, Microsoft, podložna američkim zakonima.
Schrems II
U vezi s odlukom Schrems II: članci 46. stavak 1. i 46. stavak 2. točka (c) Opće uredbe o zaštiti osobnih podataka (Opća uredba) moraju se tumačiti tako da ispitanik čiji se osobni podaci prenose u treću zemlju uživa razinu zaštite koja je u osnovi jednaka onoj zajamčenoj Uredbom i Poveljom EU o temeljnim pravima.
Sud Europske unije smatrao je da je sporazum o prijenosu osobnih podataka između EU i SAD-a (Štit privatnosti; donesen prema članku 45. stavku 3. Uredbe) ništetan zbog toga što nije pružao odgovarajuću razinu zaštite za prijenos osobnih podataka iz EU-a tvrtkama u SAD-u.
Što je rekao francuski sud?
Francuski Visoki upravni sud naglasio je da se u ugovoru s Microsoftom navodi da se podaci ne smiju obrađivati izvan dogovorene zemljopisne zone (Nizozemska).
Zabranom prikupljanja podataka u Health Data Hubu nameće se prepreka ugovornom aranžmanu s Microsoftom.
Sud također smatra da nije bilo mogućnosti prijenosa osobnih podataka izvan EU. Tvrdnja ispitnika da je došlo do povrede zaštite osobnih podataka nije utemeljena.
Francuski je sud dalje naglasio da je Sud EU u Schremsu II raspravljao samo o okolnostima u kojima se podaci prenose u SAD, a nije razgovarao o okolnostima u kojima takve podatke u EU obrađuju američke korporacije podložne američkom zakonu. Također, naveo je da je Sud Europske unije smatrao da se mogu omogućiti prijenosi ako je to potrebno radi javnog interesa priznatog zakonom EU-a ili pravom države članice.
U ovom slučaju i po mišljenju suda postoji javni interes da se dozvoli uporaba zdravstvenih podataka u kontekstu pandemije Covid-19, a time postoji i javni interes za ugovor s Microsoftom zbog tehničkih aspekata.
Ispitanici koji su tvrdili da postoji rizik od kršenja Uredbe zbog mogućeg pristupa osobnim podacima američkim javnim vlastima nisu dokazali izravno kršenje Uredbe.
Zaključno, zbog svega navedenog Sud je odredio da Health Data Hub mora osigurati da izvršitelj obrade osobnih podataka, Microsoft, usvoji odgovarajuće tehničke i organizacijske mjere kako bi osigurao zaštitu prava ispitanika (sukladno članku 28. Uredbe).
Nije naložena obustava prikupljanja i obrade osobnih podataka u Health Data Hub-u.
Jeste li vi promijenili svoje politike privatnosti? Jeste li obaviejstili ispitanike gdje se sve nalaze i s kim se dijele njihovi podaci? Jeste utvrdili da li treće strane s kojima surađujete prenose podatke u SAD?