Nedavno je odjeknula vijest da bi se Facebook mogao povući iz zemalja Europske unije ako se provede sudska odluka o zabrani dijeljenja podataka sa SAD-om. Takva prijetnja dala se iščitati iz sudskog spisa, odnosno odgovora glavne savjetnice Facebooka na traženja irske Agencije za zaštitu podataka da se povinuje sudskoj presudi o prijenosu podataka te je napisala da bi provođenje zabrane tvrtki jednostavno onemogućilo rad u Europi. “U slučaju da Facebook podliježe potpunoj obustavi prijenosa korisničkih podataka u SAD, nije jasno kako bi u tim okolnostima mogao i dalje pružati usluge Facebooka te Instagrama u EU”, ustvrdila je Yvonne Cunnane. Nakon što su mediji izvijestili o reakciji Facebooka, iz Facebooka je stigao demanti u kojem su porekli da prijete povlačenjem iz EU te se u izjavi navodi da je to samo bila reakcija na sudsku presudu.
“Pravni dokumenti podneseni irskom visokom sudu samo govore o tome da se Facebook i mnoge druge tvrtke i organizacije oslanjaju na prijenos podataka između EU i SAD-a kako bi upravljale svojim uslugama. Nedostatak sigurnog i legalnog međunarodnog prijenosa podataka naštetio bi gospodarstvu i omeo bi rast tvrtki koje se temelje na podacima u EU.
Kako je zapravo došlo do napete situacije između EU i američkih tvrtki čije su usluge rasprostranjene u zemljama EU zbog činjenice da se podaci o svim korisnicima, pojednostavljeno rečeno, izvoze iz EU u SAD. Sve je zapravo zakuhao Max Schrems još 2013. godine, Schrems, tada još mladi student prava, a danas vodeći svjetski aktivist za zaštitu privatnosti, podnio je prigovor irskom DPC-u, pandanu hrvatskog AZOP-a (Agencije za zaštitu osobnih podataka), u kojem navodi kako Facebook iz Irske ne smije slati njegove podatke u američki Facebook jer tamo nisu odgovarajuće zaštićeni. Slučaj je DPC glatko odbio kao “neozbiljan i uznemiravajući“. No cijela stvar stigla je do Europskog suda. A u srpnju je Europski sud prevagnuo na Schremsovu stranu i srušio takozvani Privacy Shield, odnosno sporazum o prijenosu podataka građana EU u Sjedinjene Države. Prema riječima sudaca, ti transferi podataka ne štite privatnost građana EU, već potencijalno izlažu Europljane nadzoru vlade SAD-a. Europski sud utvrdio je da se radi o kršenju pojedinih fundamentalnih prava koja uživaju građani EU. S obzirom na to da to ne postoji način kako saznati jeste li vi ili vaša tvrtka predmetom nadzora, građani nemaju ni mogućnost za zaštitu svojih prava obratiti se sudu, bio je argument sudaca. Izgleda da se sud u svojoj odluci vodio svim aspektima iz uloženog prigovora, što je bio težak udarac za irski DPC i Facebook.
Nakon presude Schrems je izjavio kako je jasno da će SAD morati ozbiljno izmijeniti svoje zakone o nadzoru ako američke kompanije žele nastaviti igrati glavnu ulogu na tržištu EU. Odmah nakon presude predvidio je razvoj događaja te dodao kako će odluka Europskog suda imati dalekosežne posljedice za prijenos osobnih podataka između EU i SAD-a, a vrlo vjerojatno će značiti i kraj Privacy Shielda.
Stroga regulativa EU
Europski sud ovom presudom u biti je rekao da je prijenos osobnih podataka iz EU u SAD učinjen protuzakonitim. Europsko pravo ne predviđa učinkovite mehanizme kojima bi se postigla trajna i učinkovita zaštita podataka građana EU u SAD-u pa je ovo stvorilo velike probleme američkim tvrtkama koje svoje poslovanje temelje upravo na obradi osobnih podataka. To su mahom poznati igrači kao što su Google, Facebook, Zoom, Apple i drugi tehnološki divovi kojima EU već godinama strogom regulativom zagorčava život, objasnio nam je Stanko Cerin, predsjednik UZOP-a (Udruge za zaštitu osobnih podataka). – Dok oni tvrde kako se radi o suzbijanju inovativnosti, EU tvrdi da poslovni modeli ovih kompanija ugrožavaju osnovno ljudsko pravo na privatnost. U pravu su i jedni i drugi – smatra S. Cerin. – Ova borba za zaštitu prava građana EU van granica Unije traje već desetljećima, a sada je došla do usijanja – objašnjava Cerin.
Uvijek opreznim i promišljenim menadžerima tehnoloških divova preko jezika su se posljednjih dana poskliznule riječi iz kojih se može zaključiti kako zbog svega ovoga razmišljaju o prestanku pružanja svojih usluga u EU, a to bi imalo ozbiljne posljedice i za mnoge druge, mišljenja je Cerin
- Evo zašto su toliko revoltirani: ukratko, američki građani u EU uživaju veću razinu zaštite osobnih podataka nego građani EU u Sjedinjenim Američkim Državama. Stvar je to koja se odavno zna, no politički i ekonomski pritisci jednostavno su presnažni da bi EU poduzeo ozbiljne korake. S početkom primjene GDPR-a, najrigoroznije regulative o privatnosti u svijetu, Unija je unaprijed znala da će zaštita osobnih podataka Europljana u SAD-u postati kamen spoticanja. Ili će SAD povećati razinu zaštite osobnih prava građana EU (čitajte: zabraniti liberalni pristup podacima pod izgovorom nacionalne sigurnosti) ili će EU zabraniti izvoz osobnih podataka građana EU u SAD - kazuje Cerin i nastavlja – Svjesni nerješivosti ovog ultimatuma, političari su se odlučili za – politički pristup. Europska komisija je još 2000. godine sporazum Safe Harbor, koji se odnosi na načela privatnosti, a izdalo ga je Ministarstvo trgovine SAD-a, proglasila prihvatljivom osnovom za transfer osobnih podataka u SAD. Naravno, ovaj sporazum nije promijenio činjenicu da im SAD i dalje ne pruža odgovarajuću zaštitu. Odluka je držala vodu do trenutka dok se prvi građanin EU, spomenuti Max Schrems, nije zainatio i svoja prava zatražio sudskim putem, odnosno do presude Europskog suda 2015. kojom se odluka Safe Harbor proglašava nevažećom. Kako bi zabrana slanja osobnih podataka u SAD imala negativan učinak na gospodarstvo, već 2016. potpisan je novi sporazum SAD-a i EU pod nazivom Privacy Shield koji nije bio ništa drugo nego još jedan politički način izbjegavanja sukoba sa SAD-om zbog masovnog kršenja privatnosti građana EU. Zahvaljujući upornosti istog čovjeka koji je na sudu srušio Safe Harbor, ove je godine Europski sud poništio i Privacy Shield, čime su američki tehnološki divovi automatski stavljeni izvan zakona, bez mogućnosti da ozakone svoje poslovanje u EU. Istina je da postoje i druge pravne osnove na temelju kojih bi se podaci mogli prenositi u SAD, no sve su na klimavim nogama, objašnjava Cerin. – Hoće li EU ovoga puta inzistirati ili će političari opet smisliti neku povlasticu za SAD, vidjet ćemo – kaže Cerin
Porazno istraživanje
Inače, Schremsova udruga za digitalno pravo NOYB (None of Your Business) provela je istraživanje o tome poštuju li kompanije GDPR, europsku uredbu o zaštiti privatnosti. Istraživanje je obuhvatilo ukupno 33 kompanije, većinom američke, ali i one s europskim sjedištima.
Airbnb, Netflix, Facebook i WhatsApp oglušili su se na upit. Koristeći pravo potrošača da pitaju kompanije kako se postupa s njihovim podacima prema Općoj uredbi EU o zaštiti podataka, istraživači su dobili raznolike odgovore.
– Od detaljnih objašnjenja, preko priznanja kompanija da nemaju pojma o čemu se radi, do zapanjujuće agresivnog negiranja zakona – rekao je Schrems.
Platforma za iznajmljivanje Airbnb, servis za prijenos serija i filmova Netflix i Facebookova aplikacija za komunikaciju WhatsApp uopće nisu odgovorili na upit, a neke tvrtke ukazivale su na mjere zaštite privatnosti, izbjegavajući konkretna pitanja, navodi NOYB.
Platforma za poslovnu suradnju Slack odgovorila je da ne bi dobrovoljno dostavljala korisničke podatke američkim vlastima, ne reagirajući na bojazni da Washington ima zakonske ovlasti za ciljani nadzor neameričkih građana u inozemstvu, navode autori istraživanja.
– Zaprepastilo nas je koliko je tvrtki odgovorilo tek uobičajenim frazama – istaknuo je Schrems. – Kompanije koje nam nisu odgovorile uglavnom ne poštuju presudu Europskog suda. Čini se da većina sektora još nema plan kako i što dalje – zaključio je austrijski aktivist.