I dok većina građana EU odluku Suda Europske unije o nedostatnoj zaštiti podataka vezanoj uz EU-US Štit privatnosti gleda na način da Facebook, Amazon, Microsoft i ostali giganti više neće moći tako lako zarađivati na njihovim osobnih podacima – pozadina priče puno je značajnija po njihova temeljna prava i slobode.
EU-US Privacy Shield odnosno EU-US Štit privatnosti je sporazum između Europske komisije i Ministarstva trgovine SAD-a. Njegova svrha je osigurati europskim i američkim tvrtkama mehanizam za usklađivanje s europskim propisima zaštite osobnih podataka prilikom prijenosa osobnih podataka europskih građana u SAD te njihovog prikupljanja i pohranjivanja na američkom tlu.
Sud Europske unije je prije par dana donio presudu kojom je odluku Europske komisije (EU) 2016/1250 o adekvatnosti zaštite podataka pruženom putem EU-US Štita privatnosti proglasio nevažećom. Rezultat te odluke jest da okvir za usklađivanje s europskom pravnom regulativom zaštite osobnih podataka ustanovljen njime više ne predstavlja važeći mehanizam pravnog usklađivanja pri prijenosu osobnih podataka iz EU u SAD. Presuda je dostupna ovdje.
Iako je odluka Suda Europske unije nedvosmislena, službena stranica Štita privatnosti navodi da će američko ministarstvo i dalje nastaviti s administracijom tog programa u smislu daljnje obrade podnesaka za samocertifikaciju i recertifikaciju subjekata te održavati listu onih koji su se uspješno certificirali istovremeno upućujući te iste subjekte da upite za dodatnim informacijama šalju na Europsku komisiju, europska nacionalna nadzorna tijela ili pravne savjetnike. Možemo pretpostaviti da slijedi novo razdoblje žustrih pregovora.
Kako je zapravo funkcionirao EU-US Privacy Shield
Programom EU-US Privacy Shield upravlja Uprava za međunarodnu trgovinu Ministarstva trgovine SAD-a te on predstavlja online sustav 'samocertifikacije' za američke subjekte koji žele pružati usluge europskim tvrtkama, a čije usluge zbog svojih specifičnosti uključuju i prijenos osobnih podataka iz EU u SAD. Samocertifikacija podrazumijeva autoevaluaciju svojih procesa prema zadanim parametrima popraćenu automatiziranim uslugama postavljenima u sustavu (primjerice automatizirano izdavanje Politike privatnosti s obzirom na unešene podatke) te na kraju plaćanje godišnje naknade za izdavanje certifikata prihvatljivim subjektima, ovisne o njihovim godišnjim prihodima.
Pristupanje programu EU-US Privacy Shield u potpunosti je dobrovoljno, no kad se pojedini prihvatljivi subjekt javno obveže da će ispunjavati zahtjeve propisane tim sustavom, obveza postaje izvršna i prema američkom zakonodavstvu. Kako izgleda sam proces možete vidjeti ovdje, a lista dosad certificiranih američkih subjekata dostupna je ovdje.
Američka regulacija nadzora stranih državljana izvan SAD-a
I dok su se pojedini mediji zadržavali na površini baveći se uzrokom i upućujući na to da ustanovljeni okvir ne pruža dovoljnu razinu zaštite osobnih podataka europskih građana držeći se komentiranja Facebooka, Amazona i sličnih servisa - rijetki su se dotakli ozbiljnih posljedica i puno šireg spektra IT usluga i proizvoda koje europski građani koriste na dnevnoj bazi.
Američki The Washington Post, koji je u vlasništu Nash Holdingsa, odnosno Jeffa Bezosa, teme se dotakao na vrlo konkretan način – navodeći poznate poslovne kolaterale ove sudske odluke, ali s dodatkom koji je mnogima promaknuo. U svojoj vijesti navode da će mnoge američke tvrtke morati preispitati na koji način prikupljaju i pohranjuju podatke europskih građana, te da će morati razmišljati i u smjeru uspostave vlastitih podatkovnih centara na području EU-a ili obustave poslovanja u EU. I tada dolaze do jezgre. Američki obavještajni sustav ima vrlo širok spektar ovlasti što se tiče pristupa osobnim podacima koji su pohranjeni ili se obrađuju na teritoriju SAD-a te nisu ograničene na način koji bi bio ekvivalent propisima vezanim uz djelovanje sigurnosno-obavještajnih službi u EU.
Ako uzmemo u obzir američki Zakon o borbi protiv terorizma (Patriot Act), njihov Zakon o nadzoru stranih obavještajnih službi (FISA) te članak 702. Zakona o izmjenama Zakona o nadzoru stranih obavještajnih službi (FISAAA) koji između ostalog regulira nadzor nad stranim državljanima koji žive izvan teritorija SAD-a – omogućen je vrlo širok spektar nadzora pružatelja elektroničkih komunikacijskih usluga. Pojednostavljenim jezikom to su telekomi i sve IT usluge koje koristite za uspostavu digitalne komunikacije putem digitalnih kanala koje vam osiguravaju američki proizvođači softvera ili pružatelja usluga podatkovnih centara.
Sud Europske unije obrazložio je da je neprihvatljivo za europske građane da nemaju nikakva utuživa prava vezana uz praksu nadzora koju provode američke sigurnosno-obavještajne službe, a za koju zbog opsega ne postoji europski ekvivalent u aspektima EU-US Štita privatnosti.
A gdje su stvarno naši osobni podaci?
I dok puno naših pravnih subjekata koristi usluge podatkovnih centara (data center) izvan Europske unije zbog njihove cjenovne povoljnosti, ovu presudu svakako treba promatrati i kao vrlo konkretan pokazatelj Europske unije u smjeru zaštite osobnih podataka svojih građana, koji bi mogao postati kamen temeljac dugoročne strategije orijentiranosti čuvanja podataka na europskom tlu.
Strategija kibernetičke sigurnosti Europske unije, NIS direktiva (u RH inkorporirana u Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga), Cybersecurity Act i prateće izrade certifikacijskih shema kibernetičke sigurnosti ICT proizvoda, usluga i procesa u kojima osim zaštite podataka značajan udio zauzima i regulacija lokalnih podatkovnih centara te cloud poslovanja (poslovanja u oblaku) samo su neki od vrlo značajnih koraka koji se u mogu sagledati i u kontekstu ove presude.
Europska unija snažno i vrlo ažurno radi na jačanju vlastite digitalne ekonomske neovisnosti na što ne treba gledati kao na svežanj novih nameta koji će IT sektoru i digitalizaciji donijeti otegotne okolnosti već stvarnu i aktivnu zaštitu u svijetu nadzora i vrlo ozbiljnih kibernetičkih prijetnji koje svakodnevno zahvaćaju i pojedince, ali i kritične sektore poput energetike, prijevoza, vode, zdravlja, digitalne nacionalne infrastrukture i bilo koje druge na koje smo se vrlo ležerno navikli da rade.
Sigurnosni standardi poput ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27017, ISO/IEC 27018, ISAE 3402, ANSSI SecNumCloud, BSI C5 i slični svakim novim danom u sve opsežnijem obliku čine sastavni dio definiranih zahtjeva kibernetičke sigurnosti koje propisuje EU na što treba gledati kao priliku za unapređenje vlastitih proizvoda podizanjem razine sigurnosti. To svakako predstavlja značajan alat na vrlo kompetitivnom tržištu podatkovnih centara i mreža, kao i ostalih IT usluga vezanih uz industrijsku sigurnost — ne samo na europskom tlu.