Schrems II je ovih dana, konkretno od 16.07.2020. tema broj 1 među GDPR profesionalcima ali i među svim poslovnim subjektima koji dijele osobne podatke iz EU u Sjedinjene američke države (USA).
Također, Schrems II predstavlja (novi) presedan i tektonski poremećaj u eko-sustavu uspostavljenom prije niz godina, koji je do sada omogućavao ili, prikladnije rečeno, drastično olakšavao poslovnim subjektima u EU da izvezu osobne podatke EU građana i svih osoba koje se nalaze u EU/EEA na konačnu destinaciju - USA.
I stvari bi tako držale vodu da se nije (ponovno) umiješao mladi austrijski odvjetnik Schrems i pokrenuo tužbu pred Europskim sudom (EUCJ).
Na čemu je Schrems temeljio svoju tužbu?
Bolna istina 1.:
Svi korisnici Facebooka s boravištem na području EU dužni su prilikom registriranja sklopiti ugovor s Facebookom Ireland, društvom kćeri Facebooka Inc. koje ima sjedište u SAD‑u. Osobni podaci tih korisnika prenose se u cijelosti ili djelomično na poslužitelje koji pripadaju Facebooku Inc., koji su smješteni na državnom području SAD‑a, gdje su predmet obrade
Bolna istina 2.:
Američkim pravom Facebooku Inc. nalaže da osobne podatke svojih korisnika stavi na raspolaganje američkim tijelima, kao što su NSA i FBI
Bolna istina 3.:
Facebook Ireland priznao je da i dalje prenosi u USA osobne podatke korisnika društvene mreže Facebook koji imaju boravište u EU
Bolna istina 4.:
U američkom pravu ne nude se djelotvorni pravni lijekovi u smislu članka 47. Povelje EU o temeljnim pravima građana EU čiji se podaci prenose u SAD, gdje postoji opasnost da ih američke agencije obrađuju u svrhu nacionalne sigurnost.
Bolna istina 5.:
Attorney General (državni odvjetnik, USA) i Director of National Intelligence (direktor Nacionalne obavještajne službe, USA) mogu zajedno odobriti, na trajanje od godinu dana, u svrhu pribavljanja stranih obavještajnih informacija, nadzor osoba koje nisu američki građani niti imaju trajno boravište u USA (takozvane „osobe koje nisu američki državljani”) kada je razumno smatrati da se nalaze izvan državnog područja USA.
Bolna istina 6.:
NSA šalje pružateljima usluga elektroničkih komunikacija sa sjedištem u SAD‑u upute koje sadržavaju kriterije pretraživanja, koji se nazivaju „čimbenici za odabir”, povezane s ciljanim osobama (kao što su telefonski brojevi ili adrese e‑pošte). Ti su pružatelji usluga tada obvezni NSA prenijeti podatke koji odgovaraju čimbenicima za odabir i moraju čuvati tajnu u pogledu uputa koje su im dan
Bolna istina 7.:
NSA ima ovlašten pristup podmorskim kablovima koji se nalaze na dnu Atlantskog oceana, s pomoću kojih se podaci prenose iz Unije u USA, prije nego što ti podaci stignu u USA.
Bolna istina 8.:
Sud smatra da USA provodi masovne i nediskriminirajuće obrade osobnih podataka koji određene ispitanike mogu izložiti opasnosti od povrede prava koja imaju na temelju članaka 7. i 8. Povelje EU o temeljnim pravima građana.
Bolna istina 9.:
Zaštitne mjere koje sadržavaju standardne ugovorne klauzule mogu se umanjiti ili čak poništiti kada se pravom treće zemlje odredišta uvozniku nameću obveze koje su suprotne onomu što se zahtijeva tim klauzulama.
Bolna istina 10.:
Člankom 46. stavkom 1. GDPR‑a predviđa se da je prijenos koji se temelji na odgovarajućim zaštitnim mjerama moguć samo „pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkoviti pravni lijekovi.”
Voditelj obrade ili, ako on ne postoji, nadzorno tijelo, ispitat će u svakom slučaju zasebno, za svaki pojedinačni prijenos, sprečava li se pravom treće zemlje odredišta izvršenje standardnih klauzula i stoga odgovarajuća zaštita prenesenih podataka na način da je prijenose potrebno zabraniti ili obustaviti.
Bolna istina 11.:
Ako uvoznik ne može postupiti u skladu s tim klauzulama, suglasan je da o tome odmah obavijesti izvoznika, te u tom slučaju izvoznik ima pravo obustaviti prijenos i/ili prekinuti ugovor.
Izvoznik treba proslijediti obavijest zaprimljenu od uvoznika nadležnom nadzornom tijelu ako izvoznik odluči nastaviti s prijenosom.
Bolna istina 12.:
Člankom 58. stavkom 2. GDPR‑a obvezuje se nadzorna tijela, kada smatraju, po završetku savjesnog ispitivanja, da podaci preneseni u treću zemlju nisu primjereno zaštićeni zbog nepoštovanja dogovorenih standardnih klauzula, na poduzimanje odgovarajućih mjera za otklanjanje te nezakonitosti, po potrebi nalaganjem obustave prijenosa.
Epilog cijele priče je da je EUCJ reagirao presudom koju možete na hrvatskom jeziku pročitati ovdje:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=221826&pageIndex=0&doclang=HR
*********
A sad se vratimo u naše domaće okvire.
Na redu je AZOP koji mora u skladu s bolnim istinama iskoristiti svoje ovlasti i revidirati prijenose osobnih podataka iz RH u USA, kakvi su do sada bili jednostavno mogući.
Koji će biti prvi korak AZOP-a?
Bolna istina 13.:
Pogledajmo, na primjer, što Whatsapp kaže i svojoj Politici privatnosti na https://www.whatsapp.com/legal/#privacy-policy-law-and-protection :
WhatsApp Ireland shares information globally, both internally within the Facebook Companies, and externally with our partners and with those you communicate around the world in accordance with this Privacy Policy. Information controlled by WhatsApp Ireland will be transferred or transmitted to, or stored and processed, in the United States or other countries outside of where you live for the purposes as described in this Privacy Policy. These data transfers are necessary to provide the Services set forth in our Terms and globally to operate and provide our Services to you. We utilize standard contract clauses approved by the European Commission, and may rely on the European Commission's adequacy decisions about certain countries, as applicable, for data transfers from the European Economic Area to the United States and other countries.
WhatsApp Inc. shares information globally, both internally within the Facebook Companies, and externally with businesses, service providers, and partners and with those you communicate with around the world. Your information may, for example, be transferred or transmitted to, or stored and processed in the United States or other countries outside of where you live for the purposes as described in this Privacy Policy.
*********
Da skratimo vrijeme čitanja, jednostavno Whatsapp dijeli sva svoja saznanja o nama s Facebookom. Točka.
Aha?
Jel vam možda "zvoni" negdje kako radi naš digitalni asistent Andrija.ai?
Andrija, koji se temelji na Whatsapp infrastrukturi, kaže u svojim Pravilima privatnosti https://andrija.ai/pravila-privatnosti :
"Osobni podaci ne namjeravaju se prenositi u treće zemlje ili međunarodnim organizacijama."
Nažalost, netko/nitko nije pročitao što kaže Whatsapp u svojoj Politici privatnosti, spomenuli smo to u Bolnoj istini 13., navodno sretan broj 😉
A Bolna istina 6. lijepo kaže da NSA i FBI zadržavaju pravo imati uvida u osobne podatke svih osoba koje su ostavile svoje osobne podatke Andriji putem Whatsapp platforme.
Tu se nalaze i podaci o zdravlju građana RH, njihova lokacija, podaci o obitelji, mobilni broj, jel?
Ministarstvo zdravstva je voditelj obrade, hoće li AZOP reagirati i u skladu s Bolnom istinom 10. zabraniti Ministarstvu zdravstva daljnje funkcioniranje Andrije putem Whatsappa?