Privacy Shield je sporazum kojeg su 2016. sklopili Europska komisija i američko Ministarstvo trgovine, u svrhu osiguranja mehanizma kojim su prijenosi i daljnja obrada osobnih podataka, koje tvrtke iz EU prenesu u SAD, usklađeni s europskim propisima o zaštiti osobnih podataka. On je djelovao na principu dobrovoljnosti i samocertifikacije. Velika prekretnica dogodila se 16. srpnja 2020. godine kada je Sud Europske unije stavio Privacy Shield izvan snage, odlukom Schrems II.
Sud je donio takvu odluku jer je utvrdio da Privacy Shield ne jamči dovoljnu razinu zaštite građanima iz EU čiji podaci su objekt prenošenja u SAD. Točnije, ti osobni podaci EU građana, poput njihovih navika, stavova, stila života, izloženi su nadzoru američkih obavještajnih službi, bez mogućnosti da se zaštite prava pojedinaca, odnosno ispitanika. Ako se pitate kako je tako nešto moguće, odgovor se nalazi u američkom Foreign Intelligence Surveillance Act-u (FISA). Njegov Section 702 regulira nadzor stranih državljana koji se nalaze izvan teritorija SAD-a, iako oni nemaju informaciju da su predmet nadzora.
Umjesto dotadašnjeg sistema prijenosa koji je podlogu imao u Privacy Shield-u, nakon spomenute Schrems II. presude, potrebno je bilo prikloniti se alternativnim mjerama zaštite podataka. Takve mjere uključuju ponajprije standardne ugovorne klauzule. One služe tome da osiguraju razinu zaštite koja je u bitnom jednaka onoj u Uredbi (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (u daljnjem tekstu: Opća uredba o zaštiti podataka). Pružatelji „elektroničkim komunikacijskih usluga“, definirani FIS-om, imaju obvezu dozvoliti američkim vlastima i obavještajnim službama masovni nadzor korisnika te posljedično nisu u mogućnosti osigurati dostatnu razinu zaštite podataka i tada primjena navedenih klauzula neće biti moguća.
Prema presudi Schrems II., primjena standardnih ugovornih klauzula ovisi o konkretnom slučaju, odnosno okolnostima prijenosa i dodatnim mjerama zaštite koje bi se eventualno mogle uspostaviti. Također, Opća uredba o zaštiti podataka u članku 49. predviđa iznimke prema kojima je moguć prijenos podataka u treće zemlje, odnosno one izvan EU, bez posebnih mjera zaštite i dodatnih ugovora, u situacijama:
- Ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera
- Prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika
- Prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe
- Prijenos je nužan iz važnih razloga javnog interesa
- Prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva
- Prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu
- Prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.
Kad smo stavili Privacy Shield u povijesni kontekst i kratko opisali njegov razvoj i „pad“, možemo prijeći na najnovije novosti. Naime, 7. travnja 2022., Europski odbor za zaštitu podataka (EDPB), usvojio je izjavu o najavi novog Transatlantskog okvira za privatnost podataka. Ono što se ističe kao pozitivan korak je obveza SAD-a da će poduzeti mjere potrebne za zaštitu privatnosti i osobnih podataka pojedinaca u Europskom gospodarskog prostoru, prilikom njihova prijenosa u SAD. Valja uzeti u obzir da takva najava nije pravni okvir za prijenos podataka te da izvoznici i dalje moraju nastaviti poduzimati potrebne radnje kako bi bili u skladu s odlukom donesenom u predmetu Schrems II.
Na Europskom odboru za zaštitu podataka je zadatak da analizira sve dokumente koje će mu prethodno dostaviti Europska komisija te da procijeni koji bi novi pravni okvir odgovarao uređenju te materije, u skladu s pravom EU, sudskom praksom Suda Europske unije i preporukama samog Odbora. Naime, EDPB će provesti analizu je li prikupljanje osobnih podataka u svrhu nacionalne sigurnosti ograničeno na ono što je potrebno i razmjerno. Ispitat će i na koji način bi taj novi pravni okvir osigurao prava pojedinaca iz EGP-a na učinkovit pravni lijek i pošteno suđenje. Isto tako, EDPB će provjeriti imaju li tijela koja sudjeluju u tom mehanizmu pristup relevantnim informacijama te imaju li mogućnost donositi odluke koje obvezuju obavještajne službe. Tijekom održanog plenarnog sastanka, EDPB je izrazio svoju zabrinutost vezano uz nedavni zakonodavni razvoj u Belgiji, koji je usmjeren na reformu zakona o uspostavljanju nadzornog tijela. Konkretno, zabrinut je zbog neusklađenosti prijedloga s GDPR-om i sudskom praksom Suda Europske unije, poput prekida tekućeg mandata vanjskih članova belgijskog nadzornog tijela.
Novi Transatlantski sporazum koristit će građanima s obje strane Atlantika jer bi trebao omogućiti kontinuirani protok podataka koji je vrlo važan za prekograničnu trgovinu, posebno u pogledu tržišnog natjecanja. Kako bi se osigurala trajna i pouzdana pravna osnova za protok podataka, novi sporazum podržat će uključivo i konkurentno digitalno gospodarstvo i postaviti temelj za daljnju gospodarsku suradnju. U okviru sporazuma, SAD su preuzele obveze:
- Ojačati zaštitu privatnosti i građanskih sloboda regulirajući obavještajne aktivnosti SAD-a
- Uspostaviti novi pravni mehanizam s neovisnim i obvezujućim ovlastima
- Unaprijediti postojeći slojeviti nadzor nad obavještajnim aktivnostima
Primjerice, novi sporazum osigurava da:
- Prikupljanje obavještajnih podataka o signalima može se poduzeti samo kada je to potrebno za promicanje legitimnih ciljeva nacionalne sigurnosti i ne smije nerazmjerno utjecati na zaštitu privatnosti pojedinca i građanskih sloboda
- Pojedinci iz EU mogu tražiti odštetu od novog višeslojnog pravnog mehanizma koji uključuje neovisni sud za reviziju zaštite podataka i koji bi se sastojao od pojedinaca izabranih izvan Vlade SAD-a, koji bi imali punu ovlast za donošenje odluka o zahtjevima
- Američke obavještajne agencije usvojit će procedure kako bi osigurale učinkovit nadzor nad novim standardima privatnosti i građanskih sloboda
Tvrtke i organizacije koje sudjeluju u programu i koje će koristiti navedeni okvir za zaštitu podataka i dalje će se morati pridržavati načela zaštite privatnosti. Pojedinci iz EU-a i dalje će imati pristup višestrukim mogućnostima za rješavanje pritužbi na organizacije sudionice, uključujući alternativno rješavanje sporova i arbitražu.
Timovi američke vlade i Europske komisije će nastaviti svoju suradnju s ciljem uobličavanja ovog aranžmana u pravne dokumente koje će trebati usvojiti obje strane kako bi se uspostavio novi Transatlantski okvir privatnosti podataka. U tu svrhu, spomenute američke obveze bit će uključene u Izvršni nalog koji će činiti temelj procjene Komisije za njezinu buduću odluku o primjerenosti.