Prenos podatkov med EU in ZDA je temeljil na odločbi Evropske komisije, ki je urejala t. i. zasebnostni ščit, na podlagi katerega so se lahko prenašali osebni podatki med EU in ZDA. Z odločitvijo v zadevi C‑311/18 Data Protection Commissioner proti Facebook Ireland Ltd, Maximillian Schrems, je ta odločba bila razveljavljena, kar pomeni, da se osebni podatki na podlagi te ne morejo več prenašati.

Sodišče je odločalo o zadevi z naslednjim dejanskim stanjem.

G. Schrems je avstrijski državljan, ki prebiva v Avstriji in uporablja družbeno omrežje Facebook. Pri uporabi tega omrežja morajo vsi na ozemlju EU ob registraciji podpisati pogodbo z družbo Facebook Ireland (hčerinsko družbo Facebook Inc., ki ima sedež v ZDA). Ob tem je določeno, da se osebni podatki uporabnikov Facebooka, v celoti ali delno, prenesejo na strežnike družbe Facebook v ZDA. Zaradi tega je g. Schrems pri pooblaščencu vložil pritožbo, v kateri je predlagal, da bi se prenos podatkov v ZDA družbi Facebook Ireland prepovedal, saj v ZDA ni zagotovljenega takšnega varstva osebnih podatkov, kot na ozemlju EU.

Njegova pritožba je bila zavrnjena, na kar je vložil tožbo. Irsko višje sodišče je po več postopkih na nacionalni ravni, ki so tekli v predmetni zadevi, pri Sodišču vložilo predlog za sprejetje predhodne odločbe glede razlage in veljavnosti Odločbe 2000/520, ki je bila s sodbo v zadevi Schrems (opr. št. C‑362/14) razglašena za neveljavno.

Vprašanja za predhodno odločanje so bile sprejete v zvezi s Splošno uredbo o varstvu podatkov, ki je začela veljati med postopkom. Sodišče je tekom postopka odgovorilo na naslednja vprašanja, ki so bila zastavljena.

• Ali je se za prenos osebnih podatkov, ki ga gospodarski subjekt s sedežem v državi članici opravi drugemu gospodarskemu subjektu s sedežem v tretji državi, če lahko organi te tretje države te podatke med tem prenosom ali po njem obdelujejo za namene javne varnosti, obrambe in državne varnosti, uporablja Splošna uredba o varstvu osebnih podatkov?

Sodišče je odločilo, da tisto dejanje, s katerim se osebni podatki iz ene države članice prenesejo v tretjo državo, pomeni obdelavo osebnih podatkov, zaradi česar se omenjena uredba za takšne primere uporablja. Ker je prav tako možno, da tretja država osebne podatke uporablja med prenosom ali po prenosu, in sicer za namene javne varnosti, obrambe in državne varnosti, takšne vrste prenos ne more biti izključen iz področja, na katerega se Splošna uredba o varstvu podatkov nanaša.

• Kakšna raven varstva osebnih podatkov mora biti pri prenosu zagotovljena?

Določbe Splošne uredbe o varstvu podatkov določajo, da se lahko osebni podatki v tretjo državo prenesejo le, če so predvideni „ustrezni zaščitni ukrepi“ in če imajo posamezniki, na katere se osebni podatki nanašajo, na voljo „izvršljive pravice in učinkovita pravna sredstva“, kot je odločilo sodišče v predmetni zadevi. V tej zvezi je potrebno pojasniti, da se kot „ustrezna raven varstva“ šteje takšna raven zaščite, ki je enakovredna ravni varstva v pravnem redu EU.

Zaščitni ukrepi morajo biti takšni, da je tistim posameznikom, katerih osebni podatki se prenašajo na podlagi standardnih določil o varstvu podatkov v tretje države, zagotovljena enakovredna raven varstva kot je v pravnem redu EU.

• Ali se mora Splošna uredba o varstvu osebnih podatkov razlagati tako, da mora pristojni nadzorni organ začasno ustaviti ali prepovedati prenos osebnih podatkov v tretjo državo, ki temelji na standardnih določilih o varstvu podatkov, ki jih je sprejela Komisija, če ta nadzorni organ meni, da ta določila v tej tretji državi niso ali ne morejo biti spoštovana ter da varstva prenesenih podatkov, ki se zahteva s pravom Unije?

Pristojni nadzorni organ mora v večini primerov (razen, če obstaja sklep o ustreznosti, ki ga je veljavno sprejela Komisija) začasno ustaviti ali prepovedati prenos osebnih podatkov v tretjo državo, ki temelji na standardnih določilih o varstvu podatkov, ki jih je sprejela Komisija, če ta nadzorni organ glede na vse okoliščine tega prenosa meni, da ta določila v tej tretji državi niso ali ne morejo biti spoštovana ter da varstva prenesenih podatkov, ki se zahteva s pravom Unije ni mogoče zagotoviti na noben drug način, kadar upravljavec ali njegov obdelovalec s sedežem v Uniji nista sama začasno ustavila prenosa ali z njim prenehala.

Kot eno pomembnejših vprašanj pa je sodišče odločalo tudi glede zasebnostnega ščita med EU in ZDA.

• Ali in v kolikšnem obsegu je nadzorni organ države članice vezan na ugotovitve iz Sklepa o zasebnostnem ščitu, da Združene države zagotavljajo ustrezno raven varstva?

Zasebnostni ščit predstavlja sporazum med EU in ZDA, kateri ureja pravne podlage za posredovanje osebnih podatkov in njihovega pravnega varstva. Komisija je namreč v Sklepu o zasebnostnem ščitu ugotovila, da ZDA zagotavljajo ustrezno raven varstva osebnih podatkov pri prenosu iz EU v ZDA. Sodišče je v sodbi tako presojalo, ali je Sklep o zasebnostnem ščitu skladen z zahtevami, ki so podane v Splošni uredbi o varstvu podatkov.

V prilogah omenjenega Sklepa je namreč zapisano, da se lahko zavezanost k načelom omeji, v kolikor gre za »zahteve nacionalne varnosti, javnega interesa ali kazenskega pregona«. Ta izjema pa tako omogoča posege v temeljne pravice oseb, katerih osebni podatki se prenašajo med EU in ZDA. Sodišče je glede na razloge Komisije in ugotovitve v postopku dvomilo o tem, da pravo ZDA zagotavlja ustrezno raven varstva, ki je primerljivo varstvu v pravnem redu EU. Po skrbnem pregledu vseh določb, ki se na to področje nanašajo, je sodišče ugotovilo, da Sklep o zasebnostnem ščitu, v katerem se navaja zagotavljanje ustrezne ravni varstva osebnih podatkov pri prenosu med EU in ZDA, ni združljiv s Splošno uredbo o varstvu podatkov, kar pomeni, da ni veljaven. Kot je odločilo sodišče, to posledično povzroči, da je zaradi neločljive povezanosti z drugimi členi, neveljaven v celoti.

Iz tega izhaja, da se lahko do sprejetja novih dogovorov osebni podatki v ZDA posredujejo na način, da pri tem uporabljajo standardne pogodbene klavzule za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah oziroma, če so izpolnjeni pogoji, tako kot so predvidene izjeme po Splošni uredbi o varstvu osebnih podatkov.

Pripravila:

Urška Stopar, mag. prav.