U središtu

Sud EU-a podržao aktivista Schremsa u borbi protiv Facebooka

17.07.2020 Sud poništava Odluku 2016/1250 o primjerenosti zaštite u okviru europskoameričkog sustava zaštite privatnosti. Nasuprot tomu, Sud presuđuje da je Odluka Komisije 2010/87 o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama valjana.

Sud Europske unije
PRIOPĆENJE ZA MEDIJE br. 91/20
U Luxembourgu 16. srpnja 2020.
Presuda u predmetu C-311/18 Data Protection Commissioner/ Maximillian Schrems et Facebook Ireland

Opća uredba o zaštiti podataka ¹ (GDPR) određuje da do prijenosa takvih podataka trećoj zemlji u pravilu može doći samo ako predmetna treća zemlja osigurava primjerenu razinu zaštite tih podataka. U skladu s tom uredbom, Komisija može utvrditi da treća zemlja na temelju domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela osigurava primjerenu razinu zaštite² . Ako ne postoji takva odluka o primjerenosti, takav prijenos može se izvršiti samo ako izvoznik osobnih podataka s poslovnim nastanom u Uniji predvidi odgovarajuće zaštitne mjere koje se mogu temeljiti osobito na standardnim klauzulama o zaštiti podataka koje je donijela Komisija i pod uvjetom da su osobama na koje se odnose podaci na raspolaganju provediva prava i djelotvorni pravni lijekovi³ . Nadalje, GDPR-om se precizno utvrđuju uvjeti pod kojima može doći do takvog prijenosa kad ne postoje odluka o primjerenosti ili odgovarajuće zaštitne mjere⁴ .

Maximillian Schrems, austrijski državljanin s boravištem u Austriji korisnik je Facebooka od 2008. Kao i u slučaju drugih korisnika s boravištem u Uniji, osobne podatke M. Schremsa Facebook Ireland u cijelosti ili djelomično prenosi na poslužitelje koji pripadaju društvu Facebook Inc. i koji su smješteni na državnom području SAD-a, gdje su predmet obrade. M. Schrems irskom nadzornom tijelu podnio je pritužbu kojom je u biti zatražio zabranu tih prijenosa. Tvrdio je da pravo i prakse u SAD-u ne jamče dovoljnu razinu zaštite od pristupa javnih tijela podacima prenesenima u tu zemlju. Ta pritužba bila je odbijena, među ostalim, zbog toga što je Komisija u svojoj Odluci 2000/520⁵ (nazvanoj Odluka „o sigurnoj luci”) utvrdila da SAD osigurava primjerenu razinu zaštite. Presudom donesenom 6. listopada 2015. Sud je, odlučujući o prethodnom pitanju koje je uputio High Court (Visoki sud, Irska), tu odluku proglasio nevaljanom (u daljnjem tekstu: presuda Schrems I).⁶

Nakon presude Schrems I i nakon što je irski sud naknadno poništio odluku o odbijanju pritužbe M. Schremsa, irsko nadzorno tijelo pozvalo je M. Schremsa da preformulira svoju pritužbu, s obzirom na to da je Sud poništio Odluku 2000/520. U svojoj preformuliranoj pritužbi M. Schrems i dalje je tvrdio da SAD ne nudi dovoljnu zaštitu podataka prenesenih u tu zemlju. Traži da se ubuduće obustave ili zabrane prijenosi njegovih osobnih podataka iz Unije u SAD, koje Facebook Ireland sada izvršava na temelju standardnih klauzula o zaštiti koje se nalaze u Prilogu Odluci 2010/87.⁷

Smatrajući da odlučivanje o pritužbi M. Schremsa ovisi osobito o valjanosti Odluke 2010/87, irsko nadzorno tijelo pokrenulo je postupak pred High Courtom (Visoki sud) kako bi on uputio Sudu zahtjev za prethodnu odluku. Nakon što je taj postupak pokrenut, Komisija je donijela Odluku 2016/1250 o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti⁸ (nazvanu Odluka „o sustavu zaštite privatnosti”).

Svojim zahtjevom za prethodnu odluku sud koji je uputio zahtjev pita Sud o primjenjivosti GDPR-a na prijenose osobnih podataka koji se temelje na standardnim klauzulama o zaštiti iz Odluke 2010/87, o razini zaštite koja se zahtijeva tom uredbom u okviru takvog prijenosa i o obvezama nadzornih tijela u tom kontekstu. Nadalje, High Court se pita o valjanosti kako Odluke 2010/87 tako i Odluke 2016/1250.

Svojom današnjom presudom Sud utvrđuje da analizom Odluke 2010/87 s obzirom na Povelju o temeljnim pravima nije utvrđen nijedan element koji bi mogao utjecati na njezinu valjanost. S druge strane, Odluku 2016/1250 proglašava nevaljanom.

Sud, kao prvo, smatra da se pravo Unije, među ostalim GDPR, primjenjuje na osobne podatke koje u komercijalne svrhe gospodarski subjekt s poslovnim nastanom u državi članici prenosi na drugi gospodarski subjekt s poslovnim nastanom u trećoj zemlji, čak i ako bi tijekom ili nakon tog prijenosa te podatke mogla obrađivati tijela predmetne treće zemlje za potrebe javne sigurnosti, obrane ili nacionalne sigurnosti. On pojašnjava da ta vrsta obrade podataka tijela treće zemlje ne može takav prijenos isključiti iz područja primjene Uredbe.

Kad je riječ o razini zaštite koja se zahtijeva u okviru takvog prijenosa, Sud presuđuje da se zahtjevi koji su u tu svrhu predviđeni odredbama GDPR-a, koji se odnose na odgovarajuće zaštitne mjere, provediva prava i djelotvorne pravne lijekove, moraju tumačiti na način da osobe čiji se osobni podaci prenose u treću zemlju na temelju standardnih klauzula o zaštiti podataka moraju imati pravo na razinu zaštite koja je bitno ekvivalentna onoj zajamčenoj u Uniji tom uredbom, tumačenom u vezi s Poveljom. U tom kontekstu Sud pojašnjava da ocjena te razine zaštite mora uzeti u obzir kako ugovorne odredbe koje su ugovorili izvoznik podataka s poslovnim nastanom u Uniji i primatelj podataka s poslovnim nastanom u predmetnoj trećoj zemlji tako i, kad je riječ o eventualnom pristupu javnih tijela te treće zemlje tako prenesenim podacima, relevantne elemente njezina pravnog sustava.

Kad je riječ o obvezama nadzornih tijela u kontekstu takvog prijenosa, Sud presuđuje da su, osim ako postoji odluka o primjerenosti koju je Komisija valjano donijela, ta tijela osobito dužna obustaviti ili zabraniti prijenos osobnih podataka u treću zemlju kada smatraju, u vezi sa svim okolnostima tog prijenosa, da standardne klauzule o zaštiti podataka nisu ili ne mogu biti poštovane u toj zemlji i da se zaštita prenesenih podataka koja se zahtijeva pravom Unije ne može osigurati drugim sredstvima, ako izvoznik s poslovnim nastanom u Uniji sam nije obustavio takav prijenos ili ga okončao.

Sud potom ispituje valjanost Odluke 2010/87. On smatra da njezina valjanost nije dovedena u pitanje samom činjenicom da standardne klauzule o zaštiti podataka koje se u njoj nalaze zbog svoje ugovorne naravi ne obvezuju tijela treće zemlje u koju bi se mogli prenijeti podaci. Nasuprot tomu, on pojašnjava da ta valjanost ovisi o tome sadržava li navedena odluka učinkovite mehanizme koji u praksi omogućuju osiguranje razine zaštite koja se zahtijeva pravom Unije i obustavu ili zabranu prijenosa osobnih podataka temeljenih na takvim klauzulama, u slučaju povrede tih klauzula ili nemogućnosti njihova poštovanja. Sud utvrđuje da se Odlukom 2010/87 uspostavljaju takvi mehanizmi. U tom pogledu on osobito ističe da je tom odlukom uvedena obveza izvoznika podataka i njihova primatelja da prethodno provjere poštuje li predmetna treća zemlja tu razinu zaštite te ta odluka obvezuje tog primatelja da obavijesti izvoznika podataka o svojoj eventualnoj nemogućnosti da postupi u skladu sa standardnim klauzulama o zaštiti, a na potonjem je da obustavi prijenos podataka i/ili raskine ugovor sklopljen s primateljem.

Sud naposljetku ispituje valjanost Odluke 2016/1250 u pogledu zahtjeva koji proizlaze iz GDPR-a, tumačenog u vezi s odredbama Povelje kojima se jamči zaštita privatnog i obiteljskog života, zaštita osobnih podataka i pravo na djelotvoran pravni lijek. U tom pogledu Sud navodi da je tom odlukom propisana, kao u Odluci 2000/520, nadređenost zahtjeva u pogledu nacionalne sigurnosti, javnog interesa ili poštovanja američkog zakonodavstva, čime se omogućuje zadiranje u temeljna prava osoba čiji se osobni podaci prenose u tu treću zemlju. Sud smatra da ograničenja zaštite osobnih podataka koja proizlaze iz domaćih propisa SAD-a u vezi s pristupom takvim podacima prenesenima iz Unije u tu treću zemlju i njihovom uporabom od strane američkih tijela, a koja je Komisija ocijenila u Odluci 2016/1250, nisu uređena tako da bi ispunjavala zahtjeve koji su bitno ekvivalentni onima koji se u pravu Unije zahtijevaju na temelju načela proporcionalnosti, s obzirom na to da programi nadzora temeljeni na tim propisima nisu ograničeni na ono što je strogo nužno. Oslanjajući se na utvrđenja u toj odluci, Sud navodi da, kad je riječ o određenim programima nadzora, iz navedenih propisa ne proizlaze nikakva ograničenja u njima sadržanih ovlasti za provođenje tih programa kao ni zaštitne mjere za osobe koje nisu američki državljani, a na koje bi se ti programi mogli odnositi. Sud dodaje da, iako se istim propisima predviđaju zahtjevi koje američka tijela moraju poštovati prilikom provedbe predmetnih programa nadzora, oni osobama na koje se podaci odnose ne dodjeljuju prava na koja se u postupku pred sudovima mogu pozivati protiv američkih tijela.

Kad je riječ o zahtjevu sudske zaštite, Sud presuđuje da, protivno onomu što je Komisija utvrdila u Odluci 2016/1250, mehanizam pravobranitelja predviđen tom odlukom ne jamči tim osobama pravno sredstvo pred tijelom koje nudi zaštitne mjere bitno ekvivalentne onima koje se zahtijevaju pravom Unije, koje bi mogle osigurati kako neovisnost pravobranitelja predviđenu tim mehanizmom tako i postojanje pravila koja bi navedenom pravobranitelju omogućila donošenje odluka obvezujućih za američke obavještajne službe. Zbog svih navedenih razloga Sud Odluku 2016/1250 proglašava nevaljanom.

NAPOMENA: Prethodni postupak omogućuje sudovima država članica da u okviru postupka koji se pred njima vodi upute Sudu pitanja o tumačenju prava Unije ili o valjanosti nekog akta Unije. Sud ne rješava spor pred nacionalnim sudom. Na nacionalnom je sudu da predmet riješi u skladu s odlukom Suda. Ta odluka jednako obvezuje i druge nacionalne sudove pred kojima bi se moglo postaviti slično pitanje.
__________________________________________________
^ 1 Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (SL 2016., L 119, str. 1. i ispravak SL 2018., L 127, str. 2.)
^ 2 Članak 45. GDPR-a
^ 3 Članak 46. stavak 1. i stavak 2. točka (c) GDPR-a
^ 4Članak 49. GDPR-a
^ 5 Odluka Komisije od 26. srpnja 2000. sukladno s Direktivom 95/46/EZ Europskog parlamenta i Vijeća o primjerenosti zaštite koju pružaju načela privatnosti „sigurne luke” i uz njih vezana često postavljana pitanja koje je izdalo Ministarstvo trgovine SAD-a (SL 2000., L 215, str. 7.)
^ 6 Presuda Suda od 6. listopada 2015., Schrems, C-362/14 (vidjeti također PM br. 117/15)
^ 7 Odluka Komisije od 5. veljače 2010. o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća (SL 2010., L 39, str. 5.) (SL, posebno zdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 250.), kako je izmijenjena Provedbenom odlukom Komisije (EU) 2016/2297 od 16. prosinca 2016. (SL 2016., L 344, str. 100.)
^ 8 Provedbena Odluka Komisije (EU) 2016/1250 od 12. srpnja 2016. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti u skladu s Direktivom 95/46/EZ (SL 2016., L 207, str. 1.)

U središtu

Socijalna skrb kroz rad javne ustanove - Akademije socijalne skrbi Socijalna skrb je organizirana djelatnost od javnog interesa čiji je cilj pružanje pomoći socijalno ugroženim osobama, kao i osobama u nepovoljnim osobnim ili obiteljskim okolnostima, koja uključuje prevenciju, promicanje promjena, pomoć u zadovoljavanju osnovnih životnih potreba i podršku pojedincu... 18.04.2024 Prijedlog Odluke o početku i završetku nastavne godine, broju radnih dana i trajanju odmora učenika osnovnih i srednjih škola za školsku godinu 2024./2025. Sukladno članku 48. stavku 4. Zakona o odgoju i obrazovanju u osnovnoj i srednjoj školi ("Narodne novine", br. 87/08., 86/09., 92/10., 105/10., 90/11., 5/12., 16/12., 86/12., 126/12., 94/13., 152/14., 7/17., 68/18., 98/19., 64/20., 151/22., 155/23 i 156/23.), nastavnu godinu, odnosno početak i završ... 15.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 3. epizoda (dokazivanje u upravnome sporu) U prethodnoj epizodi serijala bavili smo se odgodnim učinkom tužbe, privremenim mjerama, te tužbom i tužbenim zahtjevom.1 U ovoj epizodi donosimo glavne novosti na području dokazivanja (utvrđivanja) činjenica odlučnih za rješavanje spora. 12.04.2024 Upravljanje promjenama Neminovno je da su promjene postale nezaobilazni dio u poslovnim procesima organizacija, te da se posebice odražavaju na njezine najznačajnije nositelje, odnosno zaposlenike. Stoga, kako bi menadžment što jednostavnije i efikasnije proveo proces promjene koje su u određenim okolnostima prijeko potre... 08.04.2024 Glavne promjene koje donosi novi Zakon o upravnim sporovima – 2. epizoda (preventivne mjere, tužbeni zahtjev) U prvoj epizodi ovog serijala bavili smo se uvodnim napomenama, sastavom suda i izuzećem sudaca. 1 U drugoj epizodi donosimo glavne novosti na području preventivnih mjera (odgodnog učinka tužbe i privremenih mjera), te tužbe i tužbenog zahtjeva. 05.04.2024 Novele u Zakonu o knjižnicama i knjižničnoj djelatnosti Povijest knjižnice usko je povezana s poviješću knjige jer zajedno s potrebom za pisanjem i zapisivanjem nastajala je i želja da se napisana riječ sačuva na odgovarajućemu mjestu. Umnožavanjem i prikupljanjem zapisa sve je veća bila potreba za prikladnim smještajem pohranjene građe, ali i za pomagal... 02.04.2024 Više ...