...

Namen sporazuma o varnem pristanu je bil ameriškim podjetjem omogočiti zbiranje osebnih podatkov njihovih strank. Podatki državljanov EU. Namen sporazuma je bil ohraniti tradicionalno varstvo podatkov za državljane EU, ki v ZDA ni zagotovljeno v enakem obsegu. Evropska unija od septembra 2015 meni, da je sporazum neveljaven, s čimer se je končala več kot 15-letna praksa na področju zakonodaje o varstvu podatkov.

Varni pristan: varen pristan?

Septembra 2015 se je sporazum o varnem pristanu močno poslabšal. Generalni pravobranilec Sodišča Evropske unije Yves Bot je v svojem mnenju sprejel odločitev, da sklep o varnem pristanu ni niti veljaven niti zavezujoč. Sporazum "Varni pristan" je bil sklenjen leta 2000 in spada na področje zakonodaje o varstvu podatkov. Namen odločitve Evropske komisije je bil podjetjem omogočiti prenos osebnih podatkov v ZDA pod pogojem, da so v skladu z evropskimi smernicami o varstvu podatkov. "Sporazuma" v pravem pomenu besede ni, vendar pa je bil takšen postopek dogovorjen z ZDA, tako da lahko govorimo o nekakšnem "sporazumu". Sodišče Evropskih skupnosti (Sodišče Evropskih skupnosti) je 6. oktobra 2015 razglasilo Sporazum o varnem pristanu za neveljavnega.

Zgodovina sporazuma o varnem pristanu

V Evropski uniji Direktiva o varstvu podatkov 95/46/ES prepoveduje prenos osebnih podatkov iz držav članic v druge države, ki nimajo zakonov o varstvu podatkov s podobnim varstvom. Združene države Amerike skorajda nimajo pravnih predpisov na področju varstva podatkov, ki bi bili enakovredni standardom Evropske unije. Strogi predpisi EU so povzročali praktične težave, zato sta ZDA in EU leta 2000 sklenili sporazum. Upoštevanje direktive o varstvu podatkov bi povzročilo zastoj v prometu podatkov, zato je bila sprejeta uredba o varnem pristanu. Podjetja iz ZDA se lahko vpišejo na seznam ameriškega ministrstva za trgovino in se tako pridružijo varnemu pristanu. S pristopom so ameriška podjetja izrazila pripravljenost, da bodo spoštovala načela in predpise sporazuma. Zakonske predpise so praktično dopolnjevali zasebni predpisi na mednarodni ravni. Evropska komisija je menila, da je dokazano, da podjetja v novoustanovljenem sistemu zagotavljajo zadostno zaščito državljanov EU in njihovih osebnih podatkov. Do preklica septembra 2015 se je sporazumu pridružilo veliko podjetij. Med njimi so bili General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox in Hewlett-Packard.

Splošne kritike sporazuma o varnem pristanu

Sporazum o varnem pristanu je bil vedno znova kritiziran. Negativni glasovi so sporazumu odrekli zadostno zaščitno funkcijo. Na "besedo" ameriških podjetij se ni bilo mogoče zanesti, zato je bilo treba predložiti dokaze. Čez nekaj let je bil oblikovan ameriški patriotski zakon: Zaradi novega pravnega položaja so ameriški varnostni organi lahko dostopali do vseh podatkov, ne da bi o tem morali obvestiti lastnika podatkov. Po razkritjih žvižgača Edwarda Snowdena je bil leta 2013 zahtevan pregled sistema. Leta 2013 je evropska komisarka za pravosodje Viviane Reding napovedala reformo evropskega varstva podatkov. Vsa podjetja so bila kaznovana z globo v višini do dveh odstotkov letnega prometa, če so izvedla nezakonit prenos podatkov.

Sodba Sodišča Evropskih skupnosti iz septembra 2015

Septembra 2015 je generalni pravobranilec Sodišča Evropske unije Yves Bot izjavil, da sporazum "Varni pristan" ni več veljaven in zavezujoč. Višje sodišče Irske je Sodišče Evropskih skupnosti vprašalo, ali in v kakšnem obsegu se uporablja uredba o varnem pristanu. Zadevni primer se je nanašal na prenos podatkov, ki ga je Facebook opravil v ZDA. Generalni pravobranilec je v obrazložitvi sodbe navedel, da Evropska unija ne sme posegati v pristojnosti držav članic in jih omejevati. Takoj ko je v državi članici ogroženo spoštovanje temeljnih pravic, ki jih zagotavlja Listina EU, mora biti mogoče ustrezno ukrepati. Med temeljnimi pravicami je tudi varstvo osebnih podatkov. V ZDA so državljani EU nemočno izpostavljeni zbiralcem podatkov, saj ZDA v veliki meri dovoljujejo zbiranje podatkov državljanov EU. Hkrati pa ni učinkovitih pravnih sredstev za sodno varstvo. Ameriške obveščevalne službe izvajajo intenzivni nadzor, ki ni sorazmeren in omogoča ciljno usmerjeno poseganje v varstvo podatkov. Evropsko sodišče je sledilo argumentaciji generalnega pravobranilca in tako zapečatilo konec sporazuma. V izreku sodbe so bile omenjene ameriške tajne službe. Ameriška podjetja so podvržena tem poizvedbam in so prisiljena kršiti vse predpise o zaščiti. Učinkovitega varstva osebnih podatkov torej ni. Po eni strani je s tem postopkom kršena temeljna pravica do spoštovanja zasebnega življenja, po drugi strani pa je kršena tudi pravica do učinkovitega sodnega varstva.

Pristop nemških organov za varstvo podatkov

Nemški organi za varstvo podatkov so po objavi sodbe Sodišča Evropskih skupnosti hitro ukrepali. V dokumentu o stališču, ki so ga pripravili pooblaščenci za varstvo podatkov iz zveznih dežel in zvezne vlade, je bilo pojasnjeno, da so prenosi podatkov izključeni, če njihov prenos temelji izključno na sporazumu "varni pristan". Nova dovoljenja na podlagi sporazuma ne bodo več izdana. Poleg tega se ne bodo več priznavali korporativne sheme in sporazumi o izvozu podatkov. V Združenem kraljestvu velja stališče, da bo prenos podatkov še vedno mogoč, če bo podana privolitev ali če bodo na voljo standardne pogodbene klavzule EU. Po mnenju nemških pooblaščencev za varstvo podatkov privolitev ne zadostuje, saj množičnih in ponavljajočih se prenosov podatkov v takšnem obsegu ni več mogoče dovoliti.

Novi predpisi in priporočila

Na zvezni ravni je odločitev Sodišča Evropskih skupnosti pozdravil pristojni zvezni komisar za varstvo podatkov. V bližnji prihodnosti bo preučeno, ali in v kolikšni meri sodba vpliva na zavezujoča poslovna pravila in standardne pogodbene klavzule EU v Nemčiji. 26. 10. 2015 je bilo objavljeno stališče zvezne vlade in dežel. Nadzorni organi so napovedali, da bodo ukrepali proti vsakemu prenosu podatkov na podlagi varnega pristana. Od izreka sodbe je popolnoma jasno, da je potrjevanje na podlagi prejšnjega sporazuma popolnoma nedopustno. Podjetja, ki posredujejo osebne podatke v ZDA, tvegajo visoko kazen, zato je treba besedila spletnih strani, oglaševalsko gradivo in izjave o varstvu podatkov čim prej prilagoditi. Poleg tega je treba pregledati trenutne prenose podatkov. Pojasniti je treba uporabo zavezujočih poslovnih pravil in standardnih pogodbenih klavzul EU. Tisti, ki se ne morejo izogniti prenosu podatkov v ZDA, naj uporabijo standardne pogodbene klavzule EU, s katerimi se lahko tveganje globe vsaj v večini primerov bistveno zmanjša. Vsekakor je treba preizkusiti in uporabiti metode šifriranja. Če je privolitev mogoče pridobiti, se obrnite na center za varstvo podatkov in se pozanimajte, ali je takšna legitimacija dovoljena za prenose podatkov. V primeru takšne privolitve mora biti jasno navedeno, da bo prišlo do prenosa podatkov v ZDA. Poleg tega je treba navesti možne posledice. Takšne privolitve ni mogoče izvesti v primeru trajnih in množičnih prenosov podatkov, na primer podatkov o strankah. Da bi dosegli najboljše možno pravno varstvo, je treba pravna vprašanja preučiti za vsak primer posebej. Tehnični in organizacijski ukrepi lahko znatno zmanjšajo tveganje pravnih kršitev.

 

Aktualni članki

Splošno

Strežniki Supermicro in njihova pomembna vloga v podatkovnih centrih

Podatkovni centri so hrbtenica naše sodobne digitalne infrastrukture. Zaradi vedno večjega povpraševanja po računalniški moči, shranjevanju podatkov in omrežnih zmogljivostih so pod stalnim pritiskom, da postajajo vedno bolj učinkoviti.