SCHREMS II

Nakon dugotrajnog čekanja Sud EU 16. srpnja 2020. zaključio je postupak u slučaju Data Protection Commissioner v Facebook Ireland and Maximillian Schrems koji je kolokvijalno poznatiji pod nazivom Schrems II.

Iz odluke kao najznačajnije proizlazi da: 

  • se stavlja izvan snage odluka o EU-US Privacy Shieldu, mehanizmu kojim se regulirao prijenos osobnih podataka između Europske unije i SAD-a,
  • a na snazi ostaju standardne ugovorne klauzule (SCCs) koje omogućavaju prijenos osobnih podataka u treće zemlje.

Privacy Shield mehanizam trpio je mnoge kritike tijekom njegova provođenja, a sud je jasno artikulirao i njegove najveće mane zbog kojih se stavlja izvan snage, a to su prvenstveno: 

  • nedostaci u zaštiti osobnih podatka koji proizlaze iz aktualnih odredbi američkog prava koje omoguće pristup takvim podacima državnim tijelima, posebice sigurnosnim službama i agencijama u okviru programa nadzora i praćenja,
  • nemogućnost ispitanika da poduzmu mjere zaštite vlastitih prava pred odgovarajućim tijelom, a koje su razmjerne onima koje se mogu ostvariti sukladno pravu Europske unije.

Standardne ugovorne klauzule ostaju na snazi, uz jasan naglasak na potrebu da se u svakom pojedinom slučaju utvrdi postojanje sigurnosnih mehanizama jednakih onima koje pruža zakonodavstvo Europske unije. Ta procjena mora, osim samih ugovornih klauzula, obuhvatiti i pravni sustav treće zemlje u koju se podaci izvoze. Naglašava se i postojanje obveze nadležnog nadzornog tijela da suspendira ili zabrani prijenos podataka u treće zemlje kada se ne mogu ostvariti sigurnosni kriteriji propisani pravom EU, ako sam izvoznik podataka već nije zaustavio takav prijenos podataka.

Presuda će izazvati značajne promjene u načinu prijenosa podataka između SAD-a i EU te moguće otvoriti prostor za stvaranje novog pravnog okvira koji će za razliku od Privacy Shielda na odgovarajući način pružati pravnu zaštitu u slučajevima transatlantskog prijenosa podataka. Ukoliko koristite usluge američkih društava koja su se nalazila pod kišobranom Privacy Shielda potrebno je revidirati postojeće ugovore, razmisliti o korištenju standardnih ugovornih klauzula ili se možda okrenuti prema alternativnim pružateljima tih usluga. Popis društava koja koriste Privacy Shield okvir možete pronaći na sljedećem linku: https://www.privacyshield.gov/list O presudi je izjavu dao i EDPB, a istu možete pronaći na ovom linku:

https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en