Vse, kar je treba vedeti o Safe Harborju

Kaj je Safe Harbor? Safe Harbor je dogovor med EU in ZDA, ki ameriškim podjetjem omogoča preprosto in učinkovito pridobivanje podatkov iz Evropske unije brez kršenja zakonov EU na področju varovanja zasebnosti njenih državljanov. Evropska unija namreč prepoveduje prenos podatkov o njenih državljanih v dele sveta, kjer bi bilo tovrstne informacije mogoče zlorabiti. Safe Harbor pa naj bi tako EU kot ZDA zagotavljal spoštovanje enakih standardov varovanja osebnih podatkov.

Dogovor Safe Harbor, ki velja od leta 2000, je zelo pomemben predvsem za ameriška tehnološka podjetja, ki storitve ponujajo tudi Evropejcem. Takšnih podjetij je več kot 4 tisoč. S strinjanjem s paktom Safe Harbor se podjetja zavežejo, da bodo pri upravljanju s podatki o državljanih EU sledila osnovnim načel varovanja zasebnosti:

- uporabnika morajo seznaniti z zbiranjem podatkov in kako bodo ti podatki uporabljeni.

- Zagotoviti morajo ustrezno zaščito podatkov pred zlorabo ali krajo.

- Uporabniku morajo omogočiti, da dostopa do zbranih podatkov, jih po potrebi spremeni, izbriše ali pa od podjetja zahteva, da se ga izloči iz postopka zbiranja podatkov.

- Zbrani podatki morajo ustrezati le in zgolj namenu zbiranja.

- Podjetja lahko zbrane podatke naprej posredujejo le v primeru, da se tudi prejemnik drži načel varovanja zasebnosti.

- Podjetja morajo ves čas uveljavljati načela dogovora Safe Harbor.

Zakaj se je Safe Harbor znašel na tnalu? Začelo se je leta 2013, ko je nekdanji sodelavec ameriške obveščevalne agencije NSA Edward Snowden razkril vohunjenje s programom PRISM. Agencija NSA naj bi z njim pridobila podatke o državljanih EU, shranjeni na strežnikih ameriških podjetij, ki so pristopila k dogovoru Safe Harbor. Ta namreč velja samo za ameriška podjetja, ki ga sprejmejo sama, ne pa tudi ameriške organe oblasti, ki nacionalno varnost pogosto postavijo pred spoštovanje mednarodnih sporazumov.

Avstrijski aktivist Max Schrems je takrat z zahtevo za vpogled v dejavnosti Facebooka na področju kršenja zasebnosti uporabnikov pristopil do irskega regulatorja za varovanje osebnih podatkov. Na irsko komisijo se je obrnil zato, ker ima Facebook evropski sedež v Dublinu. Komisija je ob Schremsovi zahtevi takrat odmahnila z roko, saj naj bi dejavnosti Facebooka spadale v okvire Safe Harborja. Schremsov primer je nato pod drobnogled vzelo sodišče EU in včeraj odločilo, da se osebni podatki državljanov EU v ZDA ne bi smeli več pretakati le na podlagi dogovora Safe Harbor, saj naj ne bi bil skladen z direktivo EU o obdelavi osebnih podatkov in listino EU o temeljnih pravicah. Krajše - sodišče EU je Safe Harbor včeraj razveljavilo.

Kakšne bodo (takojšnje) posledice odločitve sodišča EU glede veljavnosti Safe Harborja? Čeprav se lahko izmenjava osebnih podatkov prek Atlantika zaenkrat nadaljuje, zdaj vsem ameriškim podjetjem, ki bodo to v prihodnje počela zgolj na podlagi zdaj razveljavljenega dogovora Safe Harbor, grozijo morebitna vabila na sodišče. V primeru, da se bodo temu poskusila ogniti, pa lahko za spoštovanje zakonov EU pričakujejo neprestano ukvarjanje z dokumentacijo, saj bodo morala za zagotovitev prenosa podatkov sklepati dogovore z vsako evropsko stranko posebej.

Za ameriška podjetja, ki se držijo dogovora Safe Harbor, sta lahko glavni posledici odločitve sodišča EU:

- zvišanje stroškov obratovanja, saj bodo morda morala vse podatke o državljanih Evropske unije prenesti in v nadaljnje shranjevati na strežnikih znotraj EU;

- zamujanje pri nudenju storitev uporabnikom ne le v EU, temveč na vseh trgih, kjer so podjetja prisotna.

Z velikimi administrativnimi težavami bi se lahko soočila predvsem manjša in srednja podjetja, ki se pri svojem delovanju zanašajo na pošiljanje podatkov v obdelavo podjetju na drugi strani Atlantika. Ali EU in ZDA ne moreta preprosto sprejeti novega sporazuma o upravljanju s podatki državljanov EU? Bruselj in Washington se o posodobitvi dogovora Safe Harbor dogovarjata že več kot dve leti. Po Snowdenovih razkritjih leta 2013 je EU zaostrila pogoje za sprejetje nove različice sporazuma in predložila nekaj velikih omejitev, da bi oblastem ZDA preprečila dostop do prenesenih osebnih podatkov. ZDA je zagrozila celo z vetom na vse nadaljnje trgovinske sporazume, če nov dogovor ne bi bil sprejet.

Še vedno ni bil. EU za podpis novega dogovora za vse državljane Evropske unije zdaj zahteva pravico, da lahko v primeru zlorabe njihovih osebnih podatkov ameriška podjetja toži na sodiščih v ZDA. Po pisanju portala IT World naj bi bil sprejet v naslednjih mesecih, nato pa bo trajalo še vsaj dve leti, da postane veljaven.