Schrems II, pet let pozneje

Sodba, ki je v treh urah spremenila pravila

16. julija 2020 okoli četrt na enajst dopoldne po luksemburškem času je Sodišče Evropske unije objavilo sodbo v zadevi C-311/18. V naslednjih treh urah je pravni režim, ki je podpiral vsakodnevni prenos osebnih podatkov iz Evrope v Združene države — tako imenovani Ščit zasebnosti (Privacy Shield v uradnem imenu) — nehal obstajati. Ko so evropski pooblaščenci za varstvo podatkov tisti dan končali kosilo, okvir, v katerem so delovala njihova podjetja in uprave, ni več veljal.

Sodba je danes znana kot Schrems II, po Maximilianu Schremsu, avstrijskem aktivistu, čigar pritožba proti Facebook Ireland jo je sprožila. Pritožba se je konkretno nanašala na prenose med Facebook Ireland in Facebook United States. Sodba v splošnem seže veliko dlje: določa, kako in pod kakšnimi pogoji se lahko kateri koli osebni podatek, zbran na evropskem ozemlju, prenese v Združene države.

Skoraj šest let pozneje nadomestni okvir obstaja — EU-US Data Privacy Framework, sprejet julija 2023 — in je prav tako pod pravnim pritiskom. Pripravlja se nov krog zadeve Schrems. Medtem evropska mala in srednja podjetja še naprej uporabljajo ameriške storitve v oblaku za vsakodnevna opravila, večinoma ne da bi vedela, da pravno vprašanje, na katerem temeljijo te storitve, ostaja odprto.

Kaj natanko je pisalo v Schrems II

Sodba temelji na treh delih. Prvi je Listina Evropske unije o temeljnih pravicah, zlasti njeni členi 7 (zasebno in družinsko življenje), 8 (varstvo osebnih podatkov) in 47 (pravica do učinkovitega pravnega sredstva). Drugi je Splošna uredba o varstvu podatkov — RGPD, ki se ga mnogi Evropejci spomnijo le po obvestilih o piškotkih —, natančneje njeno poglavje V, členi 44 do 50, o mednarodnih prenosih. Tretji je ameriška zakonodaja o obveščevalni dejavnosti: oddelek 702 Foreign Intelligence Surveillance Act, FISA 702 v pravnem žargonu, in predsedniški izvršni ukaz 12333.

Sodišče je postopalo s primerjavo. Listina o temeljnih pravicah zahteva, da osebni podatki evropskih državljanov ob iznosu iz Unije uživajo raven varstva, ki je v bistvu enakovredna tisti, ki jo zagotavlja RGPD. Vprašanje je bilo posledično, ali Združene države ponujajo to v bistvu enakovredno raven.

Odgovor je bil negativen in ne zaradi podrobnosti. FISA 702 ameriški vladi omogoča zbiranje komunikacij oseb, ki niso ameriški državljani in se nahajajo zunaj državnega ozemlja, brez predhodne individualne sodne odobritve, brez obvestila prizadeti osebi in brez učinkovitega pravnega sredstva, primerljivega z evropskim. Izvršni ukaz 12333 analogno širi to zmožnost zunaj državnega ozemlja. Sodišče je zaključilo, da evropski državljan pred ameriškim pravnim sistemom nima na voljo v bistvu enakovrednega varstva, ki ga zahteva Listina. Enakovrednost torej ne obstaja.

Od tod neposredna posledica: Sklep Evropske komisije 2016/1250, ki je potrdil Ščit zasebnosti kot ustrezen okvir za prenose, je bil razglašen za neveljavnega. Vsak prenos, koji je temeljil izključno na tem okviru, je od tistega trenutka ostal brez pravne podlage.

Kaj je preživelo (in pod kakšnimi pogoji)

Schrems II ni odpravil vseh instrumentov. Standardne pogodbene klavzule — SCC v mednarodnem žargonu, po angleški kratici Standard Contractual Clauses — so preživele. To so vzorčne pogodbe, ki jih je odobrila Evropska komisija: evropski izvoznik in uvoznik iz namembne države jih podpišeta in se zavežeta, da bosta s podatki ravnala po evropskem standardu. Podjetje, ki je mislilo, da je težavo rešilo 17. julija 2020, je podpisalo SCC s svojim dobaviteljem in bilo zadovoljno.

Nelagodje je nastopilo ob pozornem branju sodbe. Sodišče je jasno povedalo, da SCC ostajajo veljavne, vendar je njihova veljavnost odvisna od pogoja, ki ga velja poudariti: da jih uvoznik podatkov lahko v praksi izpolni. Če mu nacionalna zakonodaja namembne države preprečuje izpolnjevanje klavzul — ker ga na primer odredba po FISA 702 zavezuje k izročitvi podatkov brez obvestila svojemu evropskemu partnerju —, klavzule v resnici ne varujejo. In takrat, pravi sodišče, mora evropski izvoznik prenos prekiniti.

To je v evropsko prakso varstva podatkov uvedlo nov objekt: Transfer Impact Assessment ali oceno učinka prenosa, znano pod angleško kratico TIA. Vsakič, ko želi evropsko podjetje prenesti podatke v Združene države na podlagi SCC, mora formalno oceniti, ali prejemnik lahko izpolnjuje klavzule glede na zakonodajo, ki zanj velja. Evropski odbor za varstvo podatkov je objavil podrobne smernice o tem, kako izvajati TIA. Poštena praksa običajno prinese enak rezultat: če je uvoznik ameriška podružnica velikega ponudnika v oblaku, je iskren odgovor na TIA, da klavzul ni mogoče izpolniti tako, kot so zapisane.

Privacy Framework in čakajoči Schrems III

10. julija 2023 je Evropska komisija sprejela nov sklep o ustreznosti: 2023/1795. Nadomešča pokojni Ščit zasebnosti in deluje pod imenom EU-US Data Privacy Framework. Združene države so predhodno spremenile svoj notranji režim z izvršnim ukazom 14086, ki omejuje obseg signalno-obveščevalne dejavnosti na „nujno in sorazmerno“ — terminologija, znana evropskemu bralcu, ne pa toliko ameriški administrativni praksi — in ustanavlja revizijski organ z imenom Data Protection Review Court (DPRC). Komisija je menila, da so te spremembe zadostovale za ponovno vzpostavitev v bistvu enakovredne ravni.

Organizacija noyb, ki jo je ustanovil Schrems, je 7. septembra 2023 vložila pritožbo proti novemu sklepu. Argumenti so pričakovani: DPRC ni neodvisno sodišče v smislu 47. člena Listine; koncepta „nujno in sorazmerno“ ne prevajata mehansko evropskih standardov; in končno, varstvo, ki temelji na izvršnem ukazu, lahko prekliče naslednji izvršni ukaz. Sodba Sodišča EU o novem sklepu — tista, ki jo mnogi z določeno vdanostjo že imenujejo Schrems III — se pričakuje v prihodnjih letih. Izida ni mogoče napovedati. Struktura argumenta v vsakem primeru močno spominja na tisto iz leta 2020.

Česa evropsko malo podjetje ne sliši

Medtem ko veliki senat Sodišča EU razpravlja, srednje velika odvetniška pisarna še naprej izmenjuje korespondenco s svojimi strankami prek Microsoft 365, gostovanega v evropskih regijah, vendar v lasti ameriškega podjetja, ki ga zavezuje FISA 702. Zasebna zdravniška ordinacija sinhronizira koledarje prek Google Workspace. Davčni svetovalec pošilja podpisane napovedi prek DocuSign. Psiholog izstavlja račune iz preglednice v Notion. Odvetniška pisarna za delovno pravo arhivira spise v Dropboxu. In praktično vsi ti poleg tega strankam strežejo prek WhatsAppa. Vse to lahko deluje pod okriljem, po navedbah ponudnikov, sklepa o ustreznosti 2023/1795. Tisti dan, ko ta sklep pade v Schrems III, vsi ti odnosi ostanejo brez zaščite v isti sekundi.

Vprašanje ni retorično. Med letoma 2022 in 2024 je več evropskih organov rešilo spise proti upravljavcem zaradi uporabe Google Analytics brez ustreznega instrumenta za prenos, v dobesedni uporabi utemeljitve Sodišča EU še preden je začel veljati Privacy Framework. Francoski organ CNIL je bil prvi, koji je leta 2022 formaliziral to merilo; avstrijski, italijanski in drugi organi so sledili kmalu zatem. Neskladnost se pri trenutni operativni zasnovi evropskega malega podjetja dokumentira v realnem času pred tistim, koji ve, kam gledati.

TIA kot instrument, ne kot ritual

Velik del TIA, ki krožijo po evropskih pisarnah, je ob pozornem branju formalnih vaj. Navajajo pogodbene instrumente, naštevajo certifikate ponudnika, navajajo tehnična jamstva, obkljukajo polje. Malokateri se resno vprašajo, ali bi odredba po FISA 702 ponudnika zavezala k izročitvi podatkov. Še manj se jih vpraša, kaj bi se s tem prenosom zgodilo ob hipotetični reviziji Privacy Frameworka. 5. člen RGPD od upravljavca zahteva, da je sposoben dokazati skladnost. TIA, ki ni narejena resno, ne dokazuje ničesar; kar dokazuje, je volja po izpolnjevanju na papirju, medtem ko se v praksi dela nasprotno.

Iskrena različica TIA se začne s preprostim vprašanjem: kaj bi se zgodilo, če bi jutri temu ponudniku prispela odredba po FISA 702 glede teh konkretnih podatkov? Če je pošten odgovor „podatke bi moral izročiti, ne da bi nas obvestil“, pogodbene klavzule ne rešijo težave. Kar jo reši v primerih, kjer je vprašanje res pomembno, je to, da podatkov nismo dali v roke temu ponudniku.

Politična sprememba kot strukturno tveganje

Obstaja dodatna plast, politična, ki jo velja poimenovati brez dramatiziranja. Sklep o ustreznosti 2023/1795 v zadnji instanci temelji na izvršnem ukazu 14086, ki ga je oktobra 2022 podpisal predsednik Biden. Izvršni ukaz podpiše predsednik, naslednji pa ga lahko prekliče, spremeni ali izprazni vsebine. Varstvo evropskih podatkov v Združenih državah je tako odvisno od administrativne odločitve, ki je ne zagotavlja niti ameriški kongres niti je ameriški pravni sistem ne varuje s trdnostjo, s katero varuje druge notranje zadeve. Od januarja 2025 v Združenih državah vlada nova administracija in vprašanje o praktični kontinuiteti EO 14086 ni več hipoteza, ampak je postalo sodobno. Vsak scenarij, v katerem bi se administracija odločila umakniti ali ublažiti ukaz, bi evropski sklep pustil brez dela, na katerem je bil zgrajen.

To ni konspirativni argument. To je trezno branje pravne zasnove. Čezatlantski okviri za varstvo podatkov so padli že dvakrat: Safe Harbor leta 2015 (sodba Schrems I), Ščit zasebnosti leta 2020 (Schrems II). Tretji temelji na bolj krhkem delu kot njegova predhodnika. Evropsko podjetje, ki danes stavi svojo obdelavo podatkov na ta del, sprejema odločitev o upravljanju tveganj, ne le o zgolj skladnosti s predpisi.

Za strokovnega bralca

Operativna vprašanja, ki si jih je smiselno zastaviti pred izbiro storitve v oblaku za profesionalne podatke — s takšno strogostjo, kot bi jih zastavil inšpektor za varstvo podatkov — so naslednja:

1. Kje so podatki fizično shranjeni? Evropska regija ni zadosten odgovor, če je ponudnik ameriški.
2. Kdo upravlja storitev, v kateri jurisdikciji je registriran in katerim pravnim odredbam je lahko podvržen?
3. Kateri instrument prenosa se uveljavlja: sklep o ustreznosti 2023/1795, SCC s TIA, odstopanje po 49. členu RGPD? Je ta izbira obrambljiva pred inšpekcijo?
4. Če bi sklep o ustreznosti jutri padel, kakšen operativni načrt obstaja za ohranitev dejavnosti?
5. Ali za to funkcijo obstaja evropska ali samostojno gostovana alternativa in kakšen bi bil dejanski strošek migracije?

Vse funkcije vsakodnevne pisarne ne zahtevajo enakega odgovora. Preglednica za interno računovodstvo verjetno ne dvigne vprašanja na to raven. Kazenski spis stranke, zdravstvena zgodovina, plačilna lista zaposlenih pa da. Sorazmernost je legitimna; kolektivna vztrajnost, s katero je evropsko malo podjetje ostalo pri ameriških ponudnikih za vse — tudi za najbolj občutljivo —, pa ne.

---

Schrems II letos julija praznuje šesto obletnico. Sodba ni spremenila vsakodnevnih navad večine evropskih podjetij. Spremenila pa je zemljevid tveganj, ki so jim ta podjetja izpostavljena. Ko se ameriška administrativna odločitev postavi med evropsko uredbo in dejansko poslovanje malega podjetja, je dobro vsaj vedeti, da je odločitev tam in da je krhka. Tisti, ki smo izbrali arhitekturo brez ponudnika vmes — nit, ki teče skozi Cuadernos Lacre —, bi si želeli, da nam ne bi bilo treba pisati tovrstnih analiz vsakič, ko se kakšen Schrems odloči vložiti pritožbo. Vendar jih bomo še naprej pripravljali.