Facebook ignorira presudu najvišeg suda EU?

Najutjecajniji svjetski mediji (Reuters, Politico, WSJ) prenijeli su 9. rujna vijest da je irsko nadzorno tijelo (DPC) izdalo nalog Facebooku Ireland za obustavu prijenosa osobnih podataka u SAD temeljem presude Suda Europske unije (Schrems II).

Podsjetimo se, presudom je van snage stavljen Privacy Shield kojeg je Facebook koristio kao zaštitnu mjeru za prijenos podataka. Obzirom da je Facebook pružatelj elektroničkih komunikacijskih usluga njegovi korisnici mogu biti predmet nadzora američkih obavještajnih službi (FISA Act, Section 702), stoga ni standardne ugovorne klauzule ne pružaju primjerenu zaštitu.

Kao nadzorno tijelo nadležno za Facebook Ireland, DPC je izdao nalog za obustavu prijenosa podataka. Zanimljivo je što DPC nije transparentno informirao javnost o ovom potezu, već je vijest „procurila“ neslužbenim kanalima. Max Schrems u ovakvom postupanju DPC-a vidi namjeru da ga se isključi iz postupka i smatra da kod DPC-a ne postoji stvarna volja za provođenjem zakona i predmetne presude.

A što u Facebooku kažu na sve?

Nakon Safe Harboura, Privacy Shielda i SCC, čini se da je Facebook „odabrao“ četvrtu mogućnost – odstupanje za posebne situacije prema članku 49. 1. (b) GDPR-a, te u dokumentu Data Policy navode:

„Information controlled by Facebook Ireland will be transferred or transmitted to, or stored and processed in, the United States or other countries outside of where you live for the purposes as described in this policy. These data transfers are necessary to provide the services set forth in the Facebook Terms and Instagram Terms and to globally operate and provide our Products to you“.

Vezano za odstupanja prema članku 49. 1. (b), EDPB u Smjernicama ukazuje da prijenos mora biti nužan i usko vezan za svrhu (npr. putnička agencija prenosi podatke hotelu), te povremen. EDPB ističe da se prijenosi podataka koji se vrše redovito u okviru stabilnog odnosa smatraju sustavnim i opetovanim te stoga po svojoj prirodi nisu samo „povremeni”.

Nameće se pitanje zašto Facebook i ranije nije koristio ovu mogućnost koja je bila definirana i Direktivom 95/46.

(Zato što prijenosi podataka u SAD koje vrši Facebook Ireland nisu nužni za pružanje usluge, a nisu ni povremeni.)

Kao odgovor na nalog DPC-a iz Facebooka poručuju: „We will continue to transfer data in compliance with the recent CJEU ruling and until we receive further guidance.“

Što se u stvari dogodilo? Je li Facebook toliko moćan da ignorira presudu najvišeg suda u EU? Zašto je DPC nakon presude prvo pokrenuo istragu o prijenosima koje vrši Facebook i izdao nalog o obustavi prijenosa, iako istragu nije završio? Koja je svrha istrage ako je presudom jasno utvrđeno da se SCC ne mogu koristiti ako je uvoznik podataka obveznik FISA Acta? Zašto DPC nije transparentno objavio da je izdao nalog za obustavu prijenosa?

Puno je pitanja – pravnih, ali i gospodarsko političkih. Što bi se reklo: „Čekamo reakciju Brisela“.