Darja Kocbek
V tem tednu, ko mineva pet let od uveljavitve evropske splošne uredbe o varstvu podatkov (GDPR), je irska komisija za varstvo podatkov (DPC) koncernu Meta, pod okrilje katerega sodita družbeni omrežji Facebook in Instagram, naložila 1,2 milijarde evrov kazni. To globo je koncern Meta dobil, ker je podatke o uporabnikih iz EU prenesel v ZDA, kar je v nasprotju s sodbo Sodišča EU.
Pri informacijskem pooblaščencu so za Večer pojasnili, da je skladno z določbami uredbe GDPR in tudi skladno s sodbo Sodišča EU v zadevi Schrems II v tretje države dovoljeno posredovati osebne podatke posameznikov iz EU/EGS le pod pogojem, da s prenosom ni ogrožena raven varstva osebnih podatkov, kot je ta zagotovljena z uredbo GDPR. "Ker ZDA, kamor Meta prenaša osebne podatke (tudi) evropskih uporabnikov svojih storitev (na primer Facebooka), ne zagotavlja ustrezne ravni varstva osebnih podatkov, je tak prenos nezakonit," so nam razložili pri pooblaščencu.
V ZDA lahko na primer obveščevalne službe do prenesenih podatkov evropskih uporabnikov dostopajo tudi brez sodne odredbe, in to brez ustreznih in sorazmernih zahtevkov. Evropska komisija z ZDA sicer pripravlja nov pravni okvir, ki naj bi (ponovno) zagotovil načeloma varen prenos in hrambo podatkov evropskih državljanov v ZDA, vendar do sprejetja tega dogovora velja, da je vsak množičen prenos podatkov v ZDA načeloma nezakonit, so nam še pojasnili pri informacijskem pooblaščencu.
Info hiša: Zakonodaja v EU strožja
Primož Govekar, tehnični direktor Info hiše, je za Večer prav tako pojasnil, da je ključni problem v tem, da ZDA nimajo tako urejenega varstva osebnih podatkov, da bi posameznikom zagotavljali zaščito zasebnosti, ki je primerljiva z zaščito, ki jo nudi zakonodaja EU. Izjema so nekatere zvezne države, ki so sprejele zakon o varstvu osebnih podatkov. To sta Kalifornija in Virginia, do konca leta sprejem predvidevajo še v Koloradu, Utahu in Connecticutu. "Ameriška zakonodaja torej ne prepoveduje marsikatere izmed praks, ki so v EU vsaj regulirane ali pa tudi prepovedane," pojasnjuje.
Meta grozila z ustavitvijo storitev v EU
Na podatke zunaj EU je po Govekarjevih besedah treba gledati tudi v smislu razpoložljivosti. Meta je namreč že zagrozila, da bo ustavila svojo storitev na področju EU. V tem primeru bi seveda vsi zbrani podatki ostali v ZDA, državljani in podjetja iz EU pa ne bi imeli nobene možnosti, da bi od neposlušnega ponudnika pridobili nazaj svoje podatke, fotografije, objave ...
V primeru strežnikov v EU bi - seveda po zaključku ustreznih sodnih postopkov - lahko to pravico uveljavljali vsaj s prisilnimi postopki proti podjetju, ki zagotavlja gostovanje.
"Izziv dostopa do podatkov obveščevalnih služb je še vedno trd oreh, zato so vse oči uprte v evropsko komisijo, ali bo sprejela sklep o adekvatnosti na podlagi izvršnega ukaza predsednika združenih držav. Evropski parlament je temu že odločno nasprotoval," je še pojasnil Primož Govekar. Irska komisija za varstvo podatkov (DPC) je Meto vzela pod drobnogled zato, ker ima ta ameriški koncern svoj evropski sedež v Dublinu.
Za sodbo Sodišča EU v primeru Schrems II je bila po njegovih besedah ključna možnost, da ameriške obveščevalne službe lahko na podlagi FISA 702 (to je zakona o nadzoru nad tujimi obveščevalci oziroma sekcije 702 tega zakona) in CLOUD Acta (zakona, ki ameriškim internetnim podjetjem nalaga, da omogočijo dostop ameriškim preiskovalcem do podatkov ameriških državljanov) dostopajo do osebnih podatkov. Tako lahko ob sumu pod določenimi pogoji zahtevajo vse osebne podatke (tudi zasebno komunikacijo).
Sodišče EU je julija 2020 razveljavilo sporazum o pretoku podatkov med EU in ZDA, ki so ga poimenovali zasebnostni ščit, ki je bil do takrat pravna podlaga za prenos podatkov iz EU v ZDA, Evropska komisija pa je leto kasneje izdala nove standardne pogodbene klavzule (SCC) za prenos podatkov v tretje države. Tem standardom je treba dodati tudi zaščitne ukrepe, da bi bila zagotovljena primerna zaščita zasebnosti, nam je pojasnil Primož Govekar.
Globa v višini 1,2 milijarde evrov in prepoved prenosa podatkov je posledica nezakonitega prenosa podatkov uporabnikov Facebooka iz EU v ZDA, kajti preiskava irske komisije DPC je pokazala, da zaščitni ukrepi, ki jih izvaja Meta v skladu s standardnimi pogodbenimi klavzulami, niso zadostni oziroma obveščevalnim službam ne preprečijo dostopa do podatkov.
Tudi pošta novinarjev lahko gre k obveščevalni agenciji
Ameriška zakonodaja skozi FISA 702 in CLOUD Act po Govekarjevih besedah dovoljuje, da smejo ameriške obveščevalne službe od internetnih ponudnikov in ponudnikov komunikacijskih storitev z domicilom v ZDA zahtevati osebne podatke, ne da bi bil zato omogočen primeren nadzor nad delovanjem in ne glede na to, kje na svetu ponudnik hrani podatke. Nadzorovana oseba pri tem seveda ne more uveljavljati nobenih pravic, ki jih sicer v EU določa GDPR. "Tako se povsem lahko zgodi, da ameriški e-poštni ponudnik vso e-pošto evropskega novinarja, ki ima svoj predal pri takem ponudniku, posreduje tudi ameriški obveščevalni agenciji," razlaga Primož Govekar.
Ameriški obveščevalni organi bi po njegovih besedah lahko zahtevali dostop do podatkov tudi, če bi Meta obdelovala podatke na strežnikih samo v EU, vendar pa lahko pričakujemo, da bi bile te zahteve bolj pretehtane in izvedene poizvedbe tudi lažje nadzorovane.
