Sud EU-a "srušio" Privacy Shield

Niste prijavljeni. Prijavite se kako biste mogli pristupiti podacima portala InSOLVE.
Prijava

Sud EU-a "srušio" Privacy Shield - što dalje?

28.07.2020 08:09

Odlukom Suda Europske unije od 16. srpnja 2020. godine u slučaju poznatom pod nazivom Schrems II (C-311/18 ), stavljen je van snage EU-US Privacy Shield, sporazum Europske komisije i američkog Ministarstva trgovine o zaštiti osobnih podataka koji se iz EU-a prenose u SAD.

Povijest

Privacy Shield je sklopljen 2016. godine, nakon što je Sud EU-a u slučaju Schrems I (C-362/14 ) zaključio da prethodni pravni okvir za prijenos podataka u SAD iz 2000. godine, „Safe Harbour“, ne pruža primjerenu zaštitu temeljnih prava građana EU-a u odnosu na ovlasti i postupanje američkih obavještajnih službi.

U prvom predmetu, tada još student prava, Maximilian Schrems, potaknut informacijama koje je javno objavio Edward Snowden, bivši službenik američke Nacionalne sigurnosne agencije (NSA), podnio je 2013. godine pritužbu irskom nadzornom tijelu (Data Protection Commissioner – DPC).

Schrems je od DPC-a zatražio da zabrani Facebooku Ireland Ltd. prijenos njegovih osobnih podataka u SAD, tvrdeći da važeće pravo i praksa u toj zemlji ne jamče dovoljnu razinu zaštite osobnih podataka od nadzornih aktivnosti koje tamo provode javna tijela.

DPC je odbio postupiti po pritužbi, uz obrazloženje da je Europska komisija u svojoj Odluci 2000/520 (kojom je uspostavljen Safe Harbour) utvrdila da SAD osigurava primjerenu razinu zaštite, nakon čega je Schrems podnio tužbu nadležnom nacionalnom sudu (Irish High Court). Postupak je okončan 2015. godine presudom Suda EU-a (Schrems I) kojom je utvrđeno da je Odluka Europske komisije 2000/520 u suprotnosti s Poveljom EU-a o temeljnim ljudskim pravima, čime je Safe Harbour proglašen nevažećim.

Europska komisija i američko Ministarstvo trgovine ubrzo su počeli intenzivne pregovore o novom sporazumu za prijenos osobnih podataka koji su 2016. godine rezultirali Privacy Shieldom.

Istovremeno je i Max Schrems nastavio svoju borbu. Krajem 2015. godine promijenio je sadržaj pritužbe protiv Facebooka Ireland Ltd. pred irskim nadzornim tijelom i fokusirao se na neprimjerenost standardnih ugovornih klauzula koje je Facebook Ireland Ltd. nakon prestanka važenja Safe Harboura koristio za prijenos podataka u SAD.

I u ovom slučaju irski DPC se odlučio za liniju manjeg otpora. U nacrtu odluke zaključio je da standardne ugovorne klauzule ne osiguravaju primjerenu pravnu zaštitu pojedinaca i njihovih osobnih podataka u SAD-u te predložio poništavanje Odluke 2010/87 Europske komisije o Standardnim ugovornim klauzulama.

Međutim, DPC kao nacionalno nadzorno tijelo zemlje članice EU-a nema ovlasti mijenjati ili poništavati odluke Europske komisije. Stoga je tužbom protiv Facebook Ireland Ltd. i Maxa Schremsa „vrući krumpir“ prebacio na Irish High Court. Ovim pravnim manevrom DPC je izbjegao donošenje odluke kojom bi zabranio prijenos podataka od Facebook Ireland Ltd. prema Facebook Inc. do donošenja odluke kojom bi standardne ugovorne klauzule bile proglašene nevaljanima.

Nakon što se Irish High Court obratio Sudu EU-a sa zahtjevom za donošenje prethodne odluke u jedanaest pitanja, postupak Schrems II je okončan 16. srpnja ove godine odlukom kojom je „srušen“ Privacy Shield, a standardne ugovorne klauzule ostaju važeće.

Po drugi put, u razdoblju od samo pet godina, poništena je odluka Europske komisije kojom je uređen prijenos osobnih podataka u SAD. Sud EU-a potvrdio je da Privacy Shield, baš kao i Safe Harbour, unatoč zvučnom imenu, ne pruža dovoljnu razinu zaštite građanima EU čiji podaci su preneseni u SAD.

Sud je zaključio da tvrtke koje su obveznice primjene posebnih američkih saveznih zakona, konkretno Foreign Intelligence Surveillance Act (FISA) ne mogu jamčiti sigurnost i zaštitu osobnih podataka EU građana bez obzira na sporazum ili pravni akt kojim su se obvezali te podatke štititi te da kao strani državljani, građani EU-a ne uživaju prava zajamčena Ustavom SAD i nisu u mogućnosti ostvariti primjerenu zaštitu pred američkim sudovima.

U čemu je stvar?

Opća uredba o zaštiti podataka (GDPR), kao i ranije važeća Direktiva 95/46, obvezuju sve voditelje obrade da osiguraju primjerenu razinu zaštite osobnih podataka koji se iz EU-a prenose u treće zemlje.

U kontekstu zaštite osobnih podataka SAD se smatra trećom zemljom, kao i sve ostale zemlje koje nisu članice Europskog gospodarskog prostora i nisu odlukom Europske komisije postale „adekvatne“¹ za prijenos podataka iz EU-a. Ipak, američke kompanije su certifikacijom u Privacy Shieldu postale „adekvatne“ za prijenos podataka iz EU-a.

Do sada je certificirano više od 5000 američkih tvrtki, a neke od njih su svjetski poznati pružatelji elektroničkih komunikacijskih usluga kao što su Amazon Web Services, Mailchimp, GitHub, Cloudflare, SalesForce i brojni drugi.

Sudska odluka ima neodgodiv i izravan učinak i na brojne hrvatske tvrtke koje su korisnici usluga američkih IT tvrtki certificiranih po Privacy Shieldu.

„Rušenjem“ Privacy Shielda SAD je postao treća zemlja, bez izuzetaka, a za prijenos podataka iz EU-a moraju se koristiti alternativne mjere zaštite podataka.

Alternativne mjere zaštite podataka

Jedna od najčešće korištenih mjera za prijenos podataka, ne samo u SAD-u, već u sve treće zemlje su standardne ugovorne klauzule. Nekoliko je dostupnih verzija, ovisno o poslovnom odnosu, a najčešće su korištene one koje reguliraju odnos između voditelja obrade osobnih podataka u EU-u („izvoznik podataka“) i izvršitelju obrade u trećoj zemlji kojemu voditelj obrade prenosi osobne podatke („uvoznik podataka“).

Sud EU-a je u presudi naglasio da standardne ugovorne klauzule služe tome da osiguraju razinu zaštite koja je u bitnome jednaka onoj zajamčenoj Općom uredbom o zaštiti podataka, a u svjetlu Povelje EU-a o temeljnim pravima. Dakle, ukoliko je uvoznik podataka u trećoj zemlji obveznik posebnih nacionalnih propisa temeljem kojih ne može osigurati dovoljnu razinu zaštite, prijenos se ne može obaviti ili se ranije započeti prijenos mora obustaviti.

Podsjetimo se, ovaj sudski postupak započeo je temeljem Schremsove pritužbe DPC-u protiv Facebooka Ireland Ltd. zbog korištenja standardnih ugovornih klauzula za prijenos osobnih podataka u SAD.

Facebook Inc. i sve ostale američke tvrtke koje su pružatelji „elektroničke komunikacijske usluge“, kako je to određeno američkim zakonom Foreign Intelligence Surveillance Act (FISA), obvezni su dozvoliti američkim vlastima masovni nadzor korisnika te zbog toga nisu u mogućnosti osigurati primjerenu razinu zaštite podataka. U takvim slučajevima primjena standardnih ugovornih klauzula neće biti moguća.

Prema presudi, primjena standardnih ugovornih klauzula ovisit će o rezultatima procjene „case by case“ uzimajući u obzir okolnosti prijenosa i dodatne mjere zaštite koje bi se mogle uspostaviti.

U ovoj procjeni mogu pomoći smjernice Europskog odbora za zaštitu podataka „Frequently Asked Questions on the judgment of the CJEU in Case C-311/18“. Međutim, i sâm Odbor naglašava da nisu konkretizirali dodatne pravne i tehničke mjere zaštite podataka, te da će u narednom razdoblju o ovom pitanju pružiti više informacija.

Što sada?

Opća uredba o zaštiti podataka predviđa i određena odstupanja za posebne situacije propisane člankom 49. Iznimno, u posebnim situacijama i ako prijenosi podataka nisu redoviti, moguće je prenositi osobne podatke u treće zemlje:

uz privolu ispitanika ako je bio prethodno obaviješten o rizicima prijenosa;
ako je prijenos nužan za sklapanje ili izvršenje ugovora sklopljenog s ispitanikom ili je u njegovom interesu;
ako je prijenos nužan iz važnih razloga javnog interesa ili za postavljanje ili obranu pravnih zahtjeva;
ako je nužan za zaštitu ključnih interesa ispitanika, a on ne može dati svoju privolu;
te ako se prijenos obavlja iz registra javnih tijela sukladno posebnim propisima.

Navedena odstupanja u praksi su rijetko primjenjiva. Primjerice, odstupanje se ne odnosi na prijenose osobnih podataka koji proizlaze iz korištenja usluga pružateljâ usluga u SAD-u, obzirom da takav prijenos nije nužan za izvršenje ugovora između voditelja obrade i ispitanika. Tipičan primjer je korištenje online servisa kao što je Mailchimp, za čije korištenje postoje i alternative koje nude pružatelji usluge u EU-a.

Ni privola ispitanika nije uvijek najbolje rješenje. U slučajevima prijenosa osobnih podataka, prije davanja privole, ispitanik mora biti upoznat sa svim rizicima takvog prijenosa, uključujući i mogućnost obavještajnog nadzora, a ukoliko ispitanik povuče privolu prijenos se mora obustaviti.

Kako bi izbjegle prekršaj i moguće novčane sankcije, europske tvrtke trebaju čim prije utvrditi prenose li osobne podatke u SAD temeljem Privacy Shielda i za svaki slučaj prijenosa utvrditi alternativne mjere zaštite podataka.

Popis tvrtki koje su certificirane u okviru Privacy Shielda dostupan je na poveznici: https://www.privacyshield.gov/list.

Također, ovdje možete pogledati kratki vodič o učincima presude.

Vlatka Vuković, dipl.iur, CIPP/E

^ 1 Andora, Argentina, Kanada (komercijalne organizacije), Farski Otoci, Guernsey, Izrael, Otok Man, Japan, Jersey, Novi Zeland, Švicarska i Urugvaj.

U središtu

stanovi Kada građanin otuđuje svoje nekretnine postoji mogućnost da postane obveznik plaćanja poreza na dohodak od imovine po osnovi otuđenja. Sukladno propisima o porezu na dohodak otuđenje nekretnina oporezuje se u dva slučaja: ako je nekretnina prodana ili na drugi način otuđena prije proteka dvije godine od dana njezine nabave i/ili ako je otuđeno više od tri nekretnine iste vrste ili više od tri imovinska prava iste vrste u razdoblju od pet godina od dana nabave nekretnine. U oba se slučaja ne oporezuje ukupni primitak, već samo ostvarena zarada odnosno razlika između primitka utvrđenog prema tržišnoj vrijednosti nekretnine koje se otuđuje i nabavne vrijednosti.

Izmijenjenim propisima o doprinosima od 1. siječnja 2025. redefinirana je mjera kojom se poslodavci oslobađaju od plaćanja doprinosa za zdravstveno osiguranje, a koja se odnosila samo na mlade osobe s kojom je ugovor o radu na neodređeno potpisan do 30 godine njegova života, na način da poslodavci mogu koristiti oslobođenje za svakog radnika koji prvi put sklapa ugovor o radu na neodređeno vrijeme, bez obzira na prethodni staž u mirovinskom osiguranju. Dakle, mjera se odnosi na osobu koja se prvi put zapošljava po osnovi ugovora o radu neodređeno vrijeme, a do dana sklapanja ugovora o radu nije imala prethodno sklopljen ugovor o radu na neodređeno vrijeme bez obzira na starost. Dokaz o tome poslodavac može osigurati ispisom podataka Hrvatskog zavoda za mirovinsko osiguranje o statusu osiguranika iz kojega je vidljivo da je riječ o osobi koja do početka osiguranja po prijavi tog poslodavca, nije imala prethodno sklopljen ugovor o radu na neodređeno vrijeme.

Prognoze uspjeha turističke sezone gotovo uvijek se daju oprezno, pogotovo u vremenima s puno gospodarskih oscilacija u kratkom periodu. Trenutačno, pod okruženjem općeg povećanja cijena roba i usluga, cjenovna konkurentnost je jedan od bitnijih elemenata koji mogu utjecati na uspjeh sezone. Usto, uspjeh turističke sezone može ovisiti i o dobroj pripremi i predradnjama, kao što je pronalaženje i zapošljavanje sezonskih radnika. O tome, ali i o drugim pojedinostima vezanima uz rad sezonskih radnika, donosimo više u nastavku.

U tijeku je modernizacija i digitalizacija procesa oporezivanja te poboljšanje učinkovitosti nadzora i administrativnih postupaka. U tom smislu očekuju se značajne promjene u postupcima rada poreznih obveznika i njihovih knjigovodstava. U ovom tekstu donosimo pregled izmjena na području oporezivanja porezom na dodanu vrijednost (u nastavku teksta: PDV) te informacije vezano uz propisivanje obveze izdavanja eRačuna.

Porezni propis omogućava poslodavcima da nagrade svoje zaposlenike bez dodatnog poreznog opterećenja do 700,00 eura godišnje. U ovom kratkom članku donosimo ključne informacije o poreznom okviru i praktičnim smjernicama vezanim uz isplatu prigodnih nagrada, uključujući podatke vezane uz JOPPD obrazac i načine isplate.