The Privacy Shield is a sui generis legal framework which has, since the mid-2016, enabled the transfer of personal data from the EU to the US. It was developed in cooperation between United States Department of Commerce and the European Commission and has served as the legal basis for the transfer of personal data, on the basis of an adequacy decision (Article 45 paragraph 3 of GDPR), from EU member states to the United States, in order to facilitate transatlantic trade.
On July 16, 2020, the EU Court of Justice, in case C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems (case known under the name of “Schrems II”), ruled that the Privacy Shield did not constitute an adequate legal basis for the transfer of personal data of citizens of EU member states, in which the General Data Protection Regulation (GDPR) applies, to the USA. The case is named after a human rights activist Maximilian Schrems, who has filed a lawsuit in the Republic of Ireland against Facebook, which exported personal data of its users from the Republic of Ireland to the USA. One of the main issues was that the USA authorities were given the opportunity to collect personal data of EU citizens, in such a way and in quantities that were not always necessary, and the data subjects were not provided with an adequate mechanism to protect themselves against the invasion of USA authorities into their privacy.
In the absence of another legal framework, for the transfer of personal data from the EU to the United States, the use of standard contractual clauses remains as an option. All companies that transferred personal data collected during the course of economic activities from the EU to the USA in any way, must urgently revise their way of doing business and adapt it to the new situation.
What does the “Schrems 2” case mean for companies operating in Serbia?
The Republic of Serbia is gradually harmonizing its legislation with EU laws. The Law on Personal Data Protection was adopted in line with the General Data Protection Regulation (GDPR), which provides a general legal framework and is binding in all EU member states. The practice of EU bodies and the opinions expressed during the creation of that practice, serves as a guideline to the state bodies of the Republic of Serbia in the interpretation of new regulations, which Serbia has adopted following the example of European regulations. The transfer of data from Serbia to the USA can no longer be considered automatically permissible, because the Decision on the List of States, Parts of Their Territories or One or More Sectors of Certain Activities in Those States and International Organizations Considered Appropriate , which was passed by the Government of the Republic of Serbia in 2019, limits the legality of such transfer of personal data to the legal framework that existed during the validity of the Privacy Shield, which is explicitly emphasized in the Decision itself. All companies that lease servers in the USA, use software that relies on Cloud platforms, are joint operators, or collaborate on joint projects with USA companies, as well as those based in the USA, are potentially affected by these changes and must adapt to them.
As an option, companies in the Republic of Serbia have to harmonize their business with the new situation, and to make such transfers of personal data using standard contractual clauses, published by the Commissioner for Information of Public Importance and Personal Data Protection. In order to adequately implement the standard contractual clauses, a person in charge must be well acquainted with all other provisions of the Law on Personal Data Protection, as well as other regulations relating to the protection of privacy and personal data of citizens of the Republic of Serbia.
If you need more information on the export of personal data from the Republic of Serbia, or have other questions related to the privacy and protection of personal data, you can contact Igor Petronijevic at igor.petronijevic@zslaw.rs, or your usual contact in the law firm Zivkovic – Samardzic.
Iznošenje ličnih podataka iz EU/Srbije u SAD – Privacy Shield i slučaj “Schrems 2”
Privacy Shield je sui generis pravni okvir, koji je od sredine 2016. godine omogućavao transfer podataka iz EU u SAD. Izrađen je u saradnji Ministarstva trgovine Sjedinjenih Američkih Država i Evropske komisije i služio je kao pravni osnov za transfer ličnih podataka, po osnovu adekvatnog nivoa zaštite podataka o ličnosti, iz država članica EU u Sjedinjene Američke države, a u cilju pospešenja trgovinske razmene.
Dana 16. Jula, 2020. godine, Sud pravde EU, u slučaju C-311/18 Data Protection Commissioner v Facebook Ireland Ltd and Maximilian Schrems, koji je u javnosti poznat kao „Schrems II“, presudio da Privacy Shield ne predstavlja adekvatan pravni osnov za prenos ličnih podataka građana država članica EU, u kojima se primenjuje Opšta uredba o zaštiti podataka o ličnosti (GDPR), u SAD. Slučaj je nazvan po aktivisti za ljudska prava, Maximilianu Schremsu, koji je u Republici Irskoj poveo postupak protiv kompanije Facebook, koja je iz Republike Irske iznosila lične podatke u SAD. Najveći problem, predstavljalo je to što je državnim organima USA, bila data mogućnost da prikupljaju lične podatke građana EU, na način i u količinama koje nisu uvek bile neophodne, a licima na koja se podaci odnose nije bio omogućen adekvatan mehanizam zaštite od zadiranja državnih organa SAD u njihovu privatnost.
U nedostatku drugog pravnog okvira, za prenos ličnih podataka iz EU u SAD, preostaje kao mogućnost upotreba standardnih ugovornih klauzula. Sve kompanije koje su lične podatke prikupljene u toku obavljanja privredne delatnosti na bilo koji način iznosile iz EU u SAD, moraju hitno da revidiraju svoj način poslovanja i prilagode ga novonastaloj situaciji.
Šta slučaj „Schrems“ 2 znači za kompanije koje posluju u Srbiji?
Republika Srbija postepeno usaglašava svoje zakonodavstvo sa zakonima EU. Zakon o zaštiti podataka o ličnosti, donet je po ugledu na Opštu uredbu o zaštiti pdoataka o ličnosti (GDPR) koja pruža pravni okvir i obavezujuća je u svim državama članicama EU. Praksa organa EU i stavovi izneti prilikom stvaranja te prakse, služi kao smernica državnim organima Republike Srbije u tumačenju novih propisa, koje je Srbija donela po uzoru na evropsku regulativu. Prenos podataka iz Srbije u SAD, ne može se više smatrati automatski dopuštenim, jer Odluka o Listi država, delova njihovih teritorija ili jednog ili više sektora određenih delatnosti u tim državama i međunarodnih organizacija u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti, a koju je 2019. godine donela Vlada Republike Srbije, ograničava zakonitost ovakvog transfera ličnih podataka na pravni okvir koji je postojao za vreme važenja Privacy Shield-a, a što je i izričito naglašeno u samoj odluci. Sve kompanije koje zakupljuju servere u SAD, koriste softver koji se oslanja na Cloud platforme, koje su zajednički rukovaoci, ili sarađuju na zajedničkim projektima sa kompanijama u SAD, kao i one čija se sedišta nalaze u SAD, potencijalno su pogođeni ovim promenama i moraju se njima prilagoditi.
Kao opcija, Kompanijama u Republici Srbiji preostaje da svoje poslovanje usklade sa novonastalom situacijom, a da ovakve transfere ličnih podataka vrše korišćenjem standardnih ugovornih klauzula, koje je objavio Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti. Kako bi na adekvatan način implementirali standardne ugovorne klauzule, lica moraju dobro poznavati sve druge odredbe Zakona o zaštiti podatka o ličnosti, kao i druge propise koje se odnose na zaštitu privatnosti i ličnih podataka građana Republike Srbije.
Ukoliko Vam je potrebno više informacija o iznošenju ličnih podataka iz Republike Srbije, ili imate druga pitanja vezana za zaštitu podataka o ličnosti, možete se obratiti Igoru Petronijeviću na imejl igor.petronijevic@zslaw.rs, ili Vašem uobičajenom kontaktu u advokatskom ortačkom društvu Živković – Samardžić.