Nakon što je Evropski sud pravde prošlog meseca proglasio nezakonitim sve prenose podataka o ličnosti iz zemalja Evropske unije (EU) u Sjedinjene Američke Države (SAD) na osnovu mehanizma „Štit privatnosti“ („Privacy Shield“), a koji je na snazi i u Srbiji, otvorena su broja pitanja o zaštiti podataka na internetu, ali i da li bi ova presuda mogla da utiče na kontrolu podataka koje se šalju u Kinu i Rusku Federaciju.
Evropski sud stacioniran u Luksemburgu je 16. jula doneo odluku po tužbi koju je podneo Maksimilijan Šrems, austrijski državljanin i korisnik društvene mreže Fejsbuk, tražeći da njegove lične podatke podružnica ove američke kompanije u Irskoj ne prenosi na servere koji se nalaze u Sjedinjenim Američkim Državama, gde se podvrgavaju obradi.
Zbog toga je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti u Srbiji zatražio 11. avgusta od nadležnih da pronađu druge mehanizme prenosa podataka u Sjedinjene Američke Države propisane Zakonom o zaštiti podataka o ličnosti.
Šta stoji u presudi?
Vrhovna sudska instanca Evropske unije utvrdila je da, nakon prenosa ličnih podataka građana EU u SAD, ti podaci ne uživaju isti stepen zaštite kao i u EU.
Kako se navodi u presudi donetoj 16. jula, lični podaci preneti u SAD mogu biti predmet tretiranja vlasti u svrhu javne bezbednosti, odbrane i državne bezbednosti.
“Konkretno, navedeni sud smatra da pravo te treće zemlje (SAD) ne predviđa ograničenja i zaštitne mere koji su potrebni u pogledu zadiranja dopuštenog njezinim domaćim zakonodavstvom niti osigurava delotvornu sudsku zaštitu protiv takvog zadiranja”, navodi se u presudi.
Ceo slučaj pokrenut je nakon što je austrijski državljanin Maksimilijan Šrems 2013. godine zatražio od suda u EU da zabrani Fejsbukovoj kompaniji u Irskoj, koja je nadležna za korisnike EU, da prenosi njegove lične podatke u SAD, gde je sedište Fejsbuka.
On je u pritužbi tvrdio da važeće pravo i praksa u SAD ne jamče dovoljan nivo zaštite ličnih podataka od zadiranja u okviru nadzornih aktivnosti koje tamo sprovode javna tijela.
Šrems se pozvao na otkrića Edvarda Snoudena (Edward Snowden) u vezi s aktivnostima obaveštajnih službi SAD‑a, posebno Nacionalne sigurnosne agencije (National Security Agency, NSA).
Snouden, kojeg neki smatraju uzbunjivačem herojem, dok ga vlada SAD optužuje za izdaju, je kao radnik po ugovoru za obaveštajne službe 2013. objavio dokumenta o programima nadzora vlade SAD. Snouden je optužio vlasti u SAD da masovno i bez razlike prikupljaju podatke internet komunikacije Amerikanaca i čuvaju ih za moguću kasniju upotrebu.
Zbog otkrivanja tajnih programa sakupljanje podataka s telefona i aktivnosti na internetu američkih građana, kao i o prisluškivanju stranih lidera, Snoudena je administracija prethodnog predsednika SAD Baraka Obame (Barack) proglasila izdajnikom i optužila ga za kršenje zakona o špijunaži, oduzevši mu pasoš, čime je praktično zarobljen u Moskvi, gde od tada živi.
Nesrazmeran nadzor
Kako za Radio Slobodna Evropa (RSE) objašnjava Ana Toskić Cvetinović, izvršna direktorka beogradske organizacije Partneri za demokratske promene, Evropski sud nije preispitivao iznošenje podataka u SAD, već činjenicu da se nakon prenosa podataka u SAD gubi kontrola i od strane kompanija nad njima, jer istražni i nadležni organi u toj zemlji koji sprovode široki nadzor nad građanima to čine na način koji ne podrazumeva jednak nivo zaštite koji postoji u Evropskoj uniji.
'Taj nadzor nije srazmeran i neophodan i građani nemaju adekvatne mehanizme za zaštitu svojih prava.'
“To znači da taj nadzor nije srazmeran i neophodan i da građani nemaju adekvatne mehanizme za zaštitu svojih prava. Dakle, nije sporan nadzor, već to što ne postoje dovoljno jaki mehanizmi koji nam omogućavaju zaštitu ukoliko do toga dođe”, kaže Toskić Cvetinović.
Istom presudom Evropski sud pravde je proglasio nevažećim mehanizam „Štit privatnosti“, kojim je od jula 2016. godine bila regulisana razmena podataka između zemalja EU i SAD. Sud je ocenio da ta odluka sadrži stav da zahtevi nacionalne bezbednosti SAD, javnog interesa i sprovođenja zakona imaju prednost, “čime se odobrava mešanje u osnovna prava osoba čiji se podaci prenose u tu treću zemlju”.
Mišljenje Suda je ograničenja zaštite ličnih podataka koja proizilaze iz domaćeg zakona Sjedinjenih Država “nisu ograničene na način koji zadovoljava zahteve koji su u suštini ekvivalentni zahtevima zakonodavstva EU, principom proporcionalnosti, tako da programi nadzora zasnovani na tim odredbama nisu ograničeni na ono što je strogo neophodno”.
Šta presuda znači za Srbiju?
U Srbiji je Zakon o zaštiti podataka o ličnosti usklađen sa Opštom uredbom o zaštiti podataka (GDPR) Evropske unije, a nedavno osporeni mehanizam “Štit privatnosti” je jedan od osnova za iznošenje podataka iz zemlje.
“To znači da, ukoliko kompanija iz Srbije želi da razmenjuje podatke sa kompanijom iz SAD koja je deo ovog mehanizma, ona je to mogla da radi bez posebne dozvole našeg Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti ili bez potpisivanja nekog dodatnog ugovora o razmeni podataka. Sada to više nije moguće i kompanije se moraju oslanjati na neke druge osnove za iznošenje podataka”, objašnjava Toskić Cvetinović.
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti zatražio je 11. avgusta od nadležnih u Srbiji da pronađu druge mehanizme prenosa podataka u Sjedinjene Američke Države propisane Zakonom o zaštiti podataka o ličnosti.
Kako se navodi u pisanom odgovoru koji je RSE dobio od Poverenika, rukovaocima i obrađivačima podataka koji su vršili prenos podataka o ličnosti na osnovu “Štita privatnosti” stoje na raspolaganju drugi mehanizmi prenosa podataka u Sjedinjene Američke Države propisani Zakonom o zaštiti podataka o ličnosti.
Kako navodi Poverenik, među ponuđenim alternativama su pravno obavezujući akt sačinjen između organa vlasti, standardne ugovorne klauzule izrađene od strane Poverenika u skladu sa Zakonom o zaštiti podataka, kojima se uređuje pravni odnos između rukovaoca i obrađivača, kao i obavezujuća poslovna pravila koja se takođe uređuju ovim zakonom.
Alternativa je, dodaje Poverenik, i da se podaci iznose “odobrenim kodeksom postupanja u skladu sa tim zakonom, zajedno sa obavezujućom i sprovodivom primenom odgovarajućih mera zaštite, uključujući i zaštitu prava lica na koje se podaci odnose, od strane rukovaoca ili obrađivača u drugoj državi ili međunarodnoj organizaciji".
Prema mišljenju Ane Toskić Cvetinović, to što je u Srbiji i dalje na snazi odluka Vlade kojom se mehanizam “Štit privatnosti” smatra valjanim osnovom za iznošenje podataka stvara problem i građanima i kompanijama.
'Bitno je da Vlada Srbije što pre izmeni ovaj osnov, jer su naši građani i kompanije u nekoj vrsti praznine.'
“Bitno je da Vlada Srbije što pre izmeni ovaj osnov, jer sada su i naši građani i kompanije u nekoj vrsti praznine, s obzirom na to da jedno pravilo važi za one koji su na nivou Evropske unije, naš zakonodavac se poziva na pravila EU, a odluka Vlade govori nešto što je sada suprotno realnosti”, objašnjava Toskić Cvetinović.
Poverenik nema saznanja u koje zemlje odlaze podaci iz Srbije
Na pitanje RSE u koje se sve zemlje iz Srbije prenose podaci o ličnosti, u kancelariji Poverenika odgovaraju da od početka primene Zakona o zaštiti podataka o ličnosti u avgustu 2019. godine, Poverenik nije izdao nijedno odobrenje za prenos podataka u druge države.
Međutim, kako se navodi u odgovoru, treba imati u vidu da se prenos podataka može vršiti i u drugim slučajevima propisanim Zakonom, a za koje nije potrebno posebno odobrenje Poverenika, “te shodno tome ovaj organ ne može imati saznanja u koje se sve zemlje, u ovom trenutku, prenose podaci o ličnosti”.
Ukoliko se podaci o ličnosti prenose u druge države potrebno je da budu ispunjeni uslovi propisani Zakonom o zaštiti podataka o ličnosti da bi takva obrada bila zakonita, podvlači Poverenik.
“Prema Zakonu, smatra se da je primeren nivo zaštite podataka o ličnosti obezbeđen u državama članicama Konvencije Saveta Evrope o zaštiti lica u odnosu na automatsku obradu ličnih podataka, kao i u zemljama za koje je od strane Evropske unije utvrđeno da obezbeđuju primeren nivo zaštite”, navodi se u odgovoru iz kancelarije Poverenika.
Konvenciju Saveta Evrope o zaštiti lica u odnosu na automatksu obradu ličnih podataka potpisale su sve zemlje članice Saveta, među kojima je i Rusija, kao i devet zemalja koje nisu članice.
Među državama koje nisu potpisnice nalazi se i Kina.
Šta kaže Evropska komisija?
Za pojedinačne građane presuda Evropskog suda pravde znači da kada se njihovi lični podaci iznose van granica EU, Evropljani imaju pravo da njihovi podaci ostanu sigurni, rečeno je Radiju Slobodna Evropa u Evropskoj komisiji.
“Kao drugo, to znači da Sud zahteva da se to pravo poštuje – uključujući i podvrgavanjem najvišim standardima (tj. nivou zaštite osnovnih prava ponuđenih u Povelji EU)”, navodi se u pisanom odgovoru Evropske komisije.
Na pitanje kako će presuda uticati na razmenu podataka između EU i SAD, u Evropskoj komisiji kažu da “standardne ugovorne klauzule ostaju validno sredstvo koje se može koristiti u međunarodnim prenosima podataka”.
“To je ponovio i Evropski odbor za zaštitu podataka. Široki paket alata za međunarodne transfere koji pruža GDPR takođe pruža i druge mehanizme, poput obavezujućih korporativnih pravila i odstupanja za specifične situacije”, navode u Evropskoj komisiji.
Evropski odbor za zaštitu podataka (EDPB) je nezavisno evropsko telo, koje, kako se navodi na zvaničnom sajtu, doprinosi doslednoj primeni pravila o zaštiti podataka širom Evropske unije i promoviše saradnju između organa za zaštitu podataka u EU.
U saopštenju objavljenom nakon presude, EDPB podvlači da, iako standardne ugovorne klauzule ostaju validna alternativa “Štitu privatnosti”, Evropski sud pravde naglašava potrebu da se osigura da oni u praksi održavaju nivo zaštite koji je u suštini jednak onome zagarantovanom GDPR-om u svetlu Povelje EU.
Šta je ’Štit privatnosti’?
„Štit privatnosti“ je mehanizam pokrenut 2016. godine, kojim se reguliše razmena podataka između Evropske unije i Sjedinjenih Država. Mehanizmom je omogućeno kompanijama da u Sjedinjenim Državama čuvaju lične podatke državljana EU. „Štit privatnosti“ zamenio je sporazum „Sigurna luka“ („Safe harbor“) koji je uređivao ovu oblast.
Oktobra 2015. godine Evropski sud pravde je oborio sporazum „Sigurna luka“ pod obrazloženjem da ne pruža dovoljnu zaštitu državljanima EU od američkih službi bezbednosti.
Da li se presuda odnosi na prenos podataka u Kinu i Rusiju?
Postavlja se pitanje, može li se presuda Evropskog suda pravde primeniti i na transfer podataka u druge zemlje poput Kine i Rusije, posredstvom društvenih mreža kao što su TikTok, aplikacije Yandex ili tehnologije kineske kompanije Huawei? To je posebno interesantno s obzirom na to da zakon u Kini primorava IT kompanije da podatke daju vlastima, ukoliko one to od njih zatraže.
“U vezi sa korišćenjem predmetnih aplikacija (Yandex Taxi, TikTok) Poverenik nije sprovodio postupke nadzora nakon početka primene novog Zakona o zaštiti podataka o ličnosti”, kažu u kancelariji Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
Iako se mehanizam „Štit privatnosti“ odnosi isključivo na razmenu podataka sa Sjedinjenim Državama, deo presude Evropskog suda pravde koji se odnosi na standardne ugovorne klauzule može primeniti i na druge zemlje, objašnjava Ana Tosić Cvetinović.
“Nije dovoljno samo potpisati tu vrstu ugovora, već je potrebno da onaj ko iznosi podatke o tome koliko je bezbedan transfer i koliko su podaci bezbedni u trećoj zemlji. Ukoliko utvrdi da ne postoji adekvatan nivo zaštite, onda se moraju, kao što to kaže i ova odluka, preduzeti dodatne mere”, kaže Toskić Cvetinović.
Na pitanje koje smo postavili Evropskoj komisiji i Evropskom odboru za zaštitu podataka koliko su podaci građana koji se prebacuju u Rusiju i Kinu bezbedni nismo dobili odgovor.
Data centar u dvorištu BIA
Kina ima značajan tehnološki uticaj u Srbiji, koju vidi kao deo svoje inicijative Pojas i put.
Inicijativa "Pojas i put", čiji je Srbija deo, pokrenuta je 2013. i favorizovani je projekat kineskog predsednika sa ciljem poboljšanja veza između Azije, Evrope i Afrike. Projekat je vredan 1.000 milijardi dolara.
Uporedo sa ovim projektom, tekla je i saradnja Srbije sa kineskom IT kompanijom Huawei, koja je 2017. godine potpisala nekoliko sporazuma sa srpskim ministarstvima na osnovu Sporazuma o ekonomskoj i tehničkoj saradnji u oblasti infrastrukture koji su ranije potpisale vlade Srbije i Kine.
Američki predsednik Donald Tramp (Trump) stavio je u maju prošle godine Huawei na crnu listu, uz zabranu američkim kompanijama da koriste opremu ovog kineskog tehnološkog giganta, uz obrazloženje da se time ugrožava nacionalna bezbednost.
U sklopu dogovora između Huawei i Srbije je i postavljanje hiljadu kamera sa tehnikom prepoznavanja lica.
Još jedan od zajedničkih projekata je i gradski "Data centar" u Kragujevcu. Otvaranju tog centra u kojem se čuvaju podaci grada, gradskih uprava, javnih preduzeća i ustanova i omogućuje povezivanje sa republičkim bazama podataka prisustvovali su u martu ove godine predstavnici Vlade Srbije, ambasadorka Kine u Srbiji Čen Bo i predstavnici Huawei.
Taj centar, međutim, sa opremom kineske kompanije i računarima sa podacima građana, smešten je u dvorištu Bezbednosne informativne agencije u Kragujevcu.
Još jedna kineska platforma, sve popularnija u Srbiji, a koja čuva i potencijalno prenosi lične podatke korisnika u Kinu, jeste društvena mreža TikTok.
Američki predsednik Donald Tramp objavio je da zabranjuje kinesku aplikaciju za deljenje video zapisa TikTok u SAD.
Američki bezbednosni zvaničnici izrazili su zabrinutost da se aplikacija, čiji je vlasnik kineska tvrtka ByteDance, može koristiti i za prikupljanje ličnih podataka Amerikanaca.
TikTok je negirao optužbe da je pod kontrolom ili da deli podatke s kineskom vladom.
Litvanija upozorila na ruski Yandex
Još jedan primer problema između zemalja zbog sumnji u zaštitu podataka o ličnosti jeste i ruska taksi kompanija Yandex, koja posluje i u Srbiji
Naime, kako je preneo Bloomberg u julu 2018. godine, vlasti u Litvaniji su pozvale građane, a posebno radnike javnih službi, da ne instaliraju aplikaciju Yandexa i upozorile da ona nezakonito prikuplja podatke o ličnosti.
Vlasti Litvanije su istakle da aplikacija zahteva pristup velikoj količini osetljivih informacija i dozvolu za korišćenje takvih funkcija, te da se ti podaci čuvaju na serverima organizacije sa sedištem u Rusiji.
Kako je upozoreno, ti podaci se potom mogu dostaviti javnim organima, regulatornim organima, sudovima i drugim trećim stranama.
Rusija je novembra prošle godine usvojila novi zakon kojim se nadležnima daju velika ovlašćenja za ograničavanje interneta, što je izazvalo proteste građana i kritike stručne javnosti.
Facebook Forum