menu
Blog

Hoćemo li zbog presude Schrems II prestati poslovati sa SAD-om?

Hoćemo li zbog presude Schrems II prestati poslovati sa SAD-om?

Odgovor je jasan – naravno da nećemo.

Savjeti da prestanemo poslovati sa SAD-om zbog nove presude su u najmanju ruku neozbiljni. Pravo je na razini EU postalo sve dinamičnije, donose se odluke koje ponekad pod upitnik stavljaju dosadašnji način poslovanja, zahtijevaju poduzimanje niza mjera kojima ćemo poslovanje učiniti sigurnijim. No to samo upućuje da dosadašnje poslovanje moramo uskladiti s promjenama, a ne da moramo s istim u potpunosti prestati.

Mnoge vodeće IT kompanije čije sustave koriste tvrtke i pojedinci po cijelom svijetu imaju sjedište u SAD-u, te nije realno očekivati da će svi oni u potpunosti prestati koristiti usluge Googlea, Microsofta ili Mailchimpa. Svakako, to nije bila niti namjera Suda Europske unije prilikom donošenja sporne presude. 

Tko je SCHREMS?

Schrems je austrijski aktivist koji je korisnik društvene mreže Facebook. On je nadležnom tijelu uputio pritužbu kojom je od njega zatražio da zabrani Facebooku Ireland (društvo kćeri Facebooka Inc.) da prenosi njegove osobne podatke u SAD,  pri čemu je naveo da važeće pravo i praksa u toj zemlji ne jamče dovoljnu razinu zaštite osobnih podataka.

SUD EU

U presudi Schrems II Sud Europske Unije potvrdio je valjanost standardnih ugovornih klauzula za prijenos podataka i utvrdio nevaljanost „Privacy Shielda“ – kao pravnog okvira koji je jamčio zakonitost prijenosa podataka između EU i SAD-a.

Što se tiče Privacy Shielda, u presudi Schrems II Sud Europske unije je istaknuo njegovu nevaljanost iz nekoliko razloga. Prvo, Privacy Shieldom se ne može osigurati primjereni stupanj zaštite osobnih podataka s obzirom na američke propise kojima se uređuje nacionalna sigurnost i javni interes. Drugo, nedostatak potrebnih ograničenja i zaštitnih ovlasti vlasti prema američkom zakonu, posebno u svjetlu zahtjeva razmjernosti, imajući u vidu činjenicu da američki savezni zakoni u kombinaciji s ovlastima izvršne vlasti omogućuju masovni obavještajni nadzor. Treće, nedostatak prava koja bi se protiv američkih tijela mogla ostvarivati pred sudovima, tako da te osobe ne raspolažu pravom na djelotvoran pravni lijek jer ne uživaju ista prava i zaštitu koje američkim građanima jamči Ustav SAD-a. Na kraju presude u Schrems II, Sud EU zaključuje da je Privacy Shield nevaljan.

S obzirom da Europska komisija, European Data Protection Board, kao ni nacionalna nadležna tijela (u hrvatskoj Agencija za zaštitu osobnih podataka) nisu do ovog trenutka zauzeli konačan i konkretan stav vezan za ovaj slučaj, nalazimo se u situaciji pravne nesigurnosti te mnogo kompanija ne zna na koji način postupati. Nedvojbeno je kako je stav da je potrebno prekinuti poslovnu suradnju s američkim kompanijama radikalan i u najmanju ruku neprovediv.

Američke kompanije zasigurno ne žele izgubiti europske klijente te će uz Microsoft, i ostale inkorporirat standardne ugovorne klauzule u svoje ugovore s europskim klijentima i na taj način osigurati da prijenos podataka bude legalan. Vjerujemo da će američke kompanije osigurati lokalne, europske centre za obradu podataka te će na taj način pokušati izbjeći prijenos podataka izvan EU. Također, sama Uredba pruža voditeljima obrade različite mogućnosti putem kojih se prijenos podataka u treće zemlje može učiniti legalnim, primjerice korištenjem standardnih ugovornih klauzula, korporativnih pravila, ili putem privola ispitanika i slično te nedvojbeno postoje različiti načini na koje kompanije mogu svoju suradnju s američkim kompanijama nastaviti, a da pritom budu i usklađeni s važećim propisima i sudskom praksom.

Prijelazno razdoblje

Kao kada se donose novi propisi koji značajno mijenjaju poslovanje, poduzetnici bi i u ovom slučaju trebali imati određeno prijelazno razdoblje za prilagodbu. Vjerujemo da će se u skoroj budućnosti zauzeti jasni stavovi i oko poslovanja i prijenosa osobnih podatka sa SAD-om. Savjetovati nekoga da prestane poslovati sa SAD-om je kao da savjetujemo ljude da se u vrijeme COVID 19 zatvore poptuno u kuću i prestanu izlaziti van te neka čekaju bolje sutra bez ijednog zaraženog. Radikalne odluke nisu prihvatljive u svakodnevnom životu, a u poslovnom svijetu posebno.

Poduzetnici svakako trebaju posvetiti višu razinu pažnje zaštiti osobnih podataka i pristupiti usklađivanju svoga poslovanja sa pravilima zaštite osobnih podataka, primjenjujući tehničke i organizacijske mjere koje će u dovoljnoj mjeri zaštiti osobne podatke koje obrađuju. 

Mišljenja smo da je puno veći problem činjenica da je veliki broj poduzetnika u Hrvatskoj GDPR-u pristupio na način da je izradio niz formalnih akata, ali te akte često ne primjenjuju. Ili druga krajnost kada GDPR tumače na način koji usporava poslovanje, bez da za navedeno postoji bilo kakav opravdani razlog, osim pogrešnog tumačenja propisa o zaštiti osobnih podatka. 

Svjedoci smo vremena kada je u medije izašao dopis u kojem se časna sestra obraća društvu koje se bavi naplatom dugova. Ona moli da prestanu zvati ženu koja je dužna, jer se ona nalazi u samostanu i nema više veze sa prijašnjim životom. Kako časna sestra kaže ona de facto više ne postoji kao fizička osoba, a kako ona ne postoji , ne može se od nje tražiti da plati dug. Ovakvo tumačenje naravno nije pravno točno. No, sadržaj ovog nesvakidašnjeg dopisa osvanuo je na društvenim mrežama, sa imenom i prezimenom, brojem predmeta, i nizom drugih osobnih podataka. Na svim mrežama se pričalo o tome da se dugova oslobađate ako se zaredite i odete u samostan. Ovakav dopis se nekome tko ga je uslikao i počeo slati vjerojatno učinio zanimljiv i smiješan, te se počelo pričati da svi koji se žele osloboditi dugova odu u samostan. Nažalost osoba koja je uslikala dopis nije bila educirana, niti svjesna da se na ovome papiru nalaze osobni podaci. Takve dokumente nije dopušteno dijeliti po društvenim mrežama, pa čak niti slati svojim prijateljima radi zafrkancije, jer su podaci na dopisu osobni podaci i nekome ste povrijedili pravo na zaštiti osobnih podataka, uz niz drugih povreda. Osoba kojoj su povrijeđena prava ima pravo na naknadu štete, a tvrtka kojoj su ovakvi podaci izašli van firme, može dobiti izuzetno visoku kaznu od strane Agencije za zaštitu osobnih podataka.

Zaključak

Iz navedenog postupanja, ali i tumačenja da odmah moramo prestati surađivati sa SAD-om zbog presude Schrems II, možemo uočiti da svi moramo još jako puno raditi na razvoju svijesti o zaštiti osobnih podataka i da je oko nekih pitanja kao što je Schrems II potrebno zauzeti jasne stavove. Posebno je nužno dati poduzetnicima jasne upute kako postupati u ovakvim situacijama, kada sudovi svojim odlukama formiraju novu poslovnu praksu. Našem timu za pravnu pomoć možete se uvijek obratiti.

Ostale

Novosti

Pridružite se našoj email listi

Prvi saznajte za promjene i nova mišljenja nadzornih tijela i inspekcije, čitajte o presudama Suda EU i nacionalnih sudova, drugim novostima i primjerima iz prakse te uživajte u specijalnim ponudama namijenjenim samo našim pretplatnicima.