“Legalizacija” razmene podataka o ličnosti sa Sjedinjenim Državama
Svakom ko je u bilo kojoj meri uključen u saradnju između neke kompanije u EU i kompanije iz SAD (što nije zaobišlo ni odnos povezan sa poslovanjem između subjekata iz Srbije i Sjedinjenih Država) poznato je da već tri godine nema važećeg sporazuma koji bi predstavljao pravni osnov za transfer podataka o ličnosti između nekog od ova dva entiteta.
A podaci su nastavili da prolaze… I moraju da prolaze. Jer je to potreba današnjeg na prvom mestu načina života, pa onda biznisa, i da ne zaboravimo da pomenemo i bezbednosne razloge.
Raniji pokušaji da se razmena podataka stavi u pravni okvir, završili su se tako što je Evropski sud pravde, poništio oba sporazuma koji su potpisani između EU i SAD.
Najpre Safe Harbor Privacy Principles iz 2000. godine koji je poništen 2015., pa zatim i čuveni Privacy Shield iz 2016. od kog se mnogo očekivalo, a kome je presuđeno sredinom 2020. godine.
Bilo je mnogo afera, otvorenih pitanja i promena na tržištu proteklih dve decenije koje predstavljaju razlog za ovu nestabilnost i nemogućnost pronalaženja jednostavnog i adekvatnog rešenja.
Prekogranična obrada podataka, sa pojavom elektronskih komunikacija postala je nezaustavljiva i teško kontrolisana.
A kada se doda činjenica da se veliki deo biznisa najvećih svetskih kompanija zasniva upravo na trgovini podacima o ličnosti, jasno je da odnos između SAD (gde se ovakve kompanije uglavnom nalaze) s jedne i EU gde je dobar deo potrošača s druge strane, morao da bude turbulentan.
Sve to je rezultiralo da od stavljanja van snage Privacy shield-a ova zakonita razmena podataka postane znatno komplikovanija i veliki deo razmene ostane u nekoj polu sivoj zoni.
A razlog zašto sve ovo pišem predstavlja potvrđivanje novog sporazuma od strane Evropske komisije, 10.07. ove godine, čiji je predlog u formi izvršne naredbe dostavljen Uniji od strane Bele kuće u oktobru prošle godine.
Time se (bar na neko vreme) stavlja tačka na pitanje nedostatka pravnog osnova za razmenu podataka između ova dva međunarodna entiteta.
Iako je trebalo više od dve godine da se novi regulatorni okvir donese, što je za ovako osetljivo pitanje izuzetno dug period, činjenica da je ovaj dokument sveobuhvatniji od njegovih prethodnika donekle opravdava vreme koje je bilo potrebno za njegovo usaglašavanje.
Za razliku od dokumenata Privacy Shield i Safe Harbor Privacy Principles, kao neuspelih pokušaja da se ovo pitanje reši u najboljem interesu obe strane, novi dokument ima sasvim generički naziv: EU–USA Data Privacy Framework, a ova uopštena fraza ima za cilj da ukaže na šire dejstvo samog akta, kao i na činjenicu da se njime objedinjuju sve svrhe u koje se podaci obrađuju, razmenjuju i pohranjuju.
S tim u vezi važno je napomenuti da su prethodni sporazumi između EU i SAD, bili vezani samo za određenu oblast zaštite podataka o ličnosti.
Recimo, Privacy Shield se odnosio samo na komercijalne aspekte transatlanske obrade, a novi pravni okvir zaokružuje razmenu podataka u svim sferema, kako privatnim tako i javnopravnim. Sa akcentom na regulisanje bezbednosno-informacionih aspekata kontrole podataka građana EU.
Takođe, obradu podataka stanovnika Unije uslovljava i poštovanjem principa neophodnosti i proporcionalnosti, čija primena ima bogatu istoriju unutar EU, kako kroz regulativu, tako i kroz tumačenja Evropskog suda za ljudska prava i Evropskog suda pravde.
Primarna karakteristika novodonetog sporazuma odnosi se na ograničenje pristupa podacima građana EU od strane američkih obaveštajnih službi, sa izuzetkom situacija kada je ta obrada neophodna u cilju zaštite nacionalne bezbednosti.
Novim Pravnim okvirom propisana je i obaveza osnivanja posebnog sudskog tela (Data Protection Review Court), koje bi imalo zadatak da drugostepeno odlučuje po žalbama građana EU u vezi sa potencijalnim pristupom podacima od strane američkih bezbednosnih službi ili novog Pravnog okvira uopšte.
Predmetni sud imao bi funkciju kontrole odluka Lica za zaštitu građanskih sloboda (Civil Liberties Protection Officer) kome bi prethodno bile direktno upućivane pritužbe i koji bi po pritužbama prvostepeno odlučivao.
Lice za zaštitu građanskih sloboda preuzelo bi funkciju rešavanja slučajeva po pritužbama građana od prethodnog Privacy Shield Ombudsmana (Ombudsperson), čija je funkcija bila propisana istoimenim aktom.
Ukoliko bi u žalbenom postupku ovo sudsko telo za zaštitu podataka o ličnosti utvrdilo da su podaci o ličnosti prikupljeni odnosno obrađivani protivno novom Pravnom okviru, ima mogućnost da, između ostalog, naredi prekid obrade i brisanje podataka o ličnosti.
Stručna javnost je za sada uzdržana i očigledno se čeka dublja analiza ovog propisa i provera kako će sve funkcionisati u praksi.
Austrijski državljanin Maksimilijan Šrems (Maximilian Schrems), na osnovu čijih pritisaka su prethodni sporazumi preispitivani, već se u prvim izjavama ogradio navodeći da novi akt tek treba da bude predmet analize, ali da mu se na prvi pogled čini da ključni problemi još uvek nisu rešeni i da će pitanje i ovih pravila, pre ili kasnije, dobiti epilog pred Evropskim sudom pravde.
U svakom slučaju, kompanije čije se poslovanje zasniva na razmeni podataka o ličnosti između EU i SAD uglavnom imaju velika očekivanja od ovog dokumenta, najviše iz praktičnih razloga.
Početak primene novog Pravnog okvira značio bi i prekid dosadašnje prakse koja se primenjuje od 2020. godine, a koja transfer podataka zasniva na standardnim ugovornim klazulama koje su najzastupljeniji mehanizam za transatlantsku obradu podataka.
E sad, za one što se pitaju nakon čitanja ovog teksta, kakve veze ovo ima sa Republikom Srbijom… Ovaj sporazum ima veoma veliki uticaj na Srbiju koja sledi (uglavnom…) spoljnu politiku EU, pa samim tim svoje aktivnosti usklađuje sa njom.
A iz istih razloga se i kod nas prethodni sporazum nije primenjivao, što je rezultiralo pravnim vakumom u razmeni podataka o ličnosti sa SAD i u Srbiji.
Dragan Milić je advokat. Pruža usluge pravnog savetovanja i zastupanja pravnih i fizičkih lica naročito u oblastima autorskog prava i industrijske svojine, medijskog, internet i IT prava, uključujući zaštitu podataka ličnosti i pravno savetovanje vezano za implementaciju GDPR-a u poslovanje domaćih i stranih pravnih lica.
Preuzimanje delova teksta je dozvoljeno, ali uz obavezno navođenje izvora i uz postavljanje linka ka izvornom tekstu na novaekonomija.rs
pravnim vakuumom