Globa odrezana tvrtki Meta Platforms pokazala je kako europski napori u postavljanju zapadnog standarda značajne privatnosti imaju značajne nedostatke
Irska regulatorna agencija Data Protection Commission (DPC) kaznila je tvrtku Meta Platforms rekordnom globom od 1,2 milijarde eura zbog kršenja odredbi Opće uredbe Europske unije o zaštiti podataka (GDPR).
Meti je naložen prestanak premještanja podataka Europljana u Sjedinjene Države dok službeni Washington ne osigura dovoljno provjera kako bi takve osobne informacije bile sigurne.
Div društvenih medija uložio je žalbu na tu presudu i ima rok do listopada za njenu provedbu. To je ozbiljan udarac načinima na koje velike tehnološke tvrtke trenutno prenose korisničke podatke.
Pobornici GDPR-a rekordnu globu vide kao potvrdu kako taj zakon može biti proveden u praksi.
Zakon, koji je stupio na snagu 25. svibnja 2018., potaknuo je tvrtke – od velikih tehnoloških divova do hotelskih lanaca do manjih obiteljskih tvrtki – na pooštravanje politika privatnosti.
U strahu od kazni, koje mogu dosegnuti i četiri posto godišnjeg prometa, mnogi su uredili poslovanje kako bi ga uskladili s GDPR-om.
Nevoljki Irci
Ipak, europski napori u postavljanju de facto zapadnog standarda zaštite privatnosti imaju značajne nedostatke.
Najveći je vjerojatno to što se regulatorne agencije stalno bore oko toga tko ima posljednju riječ o tome kako Meta, Google, TikTok i druge tehnološke tvrtke pristupaju podacima Europljana.
Naime, provedba bilo kojeg zakona ili propisa ovisi o sposobnosti regulatora za nametanje kazne u slučaju njihovog kršenja. I tu je došlo do problema.
U skladu s europskim režimom privatnosti, tvrtke su pod nadzorom nacionalnih regulatora tamo gdje im je sjedište u Uniji.
To znači kako Irska i Luksemburg – čije su niske porezne stope privukle europska sjedišta mnogih velikih tehnoloških tvrtki – imaju lavovski udio u provedbi zakona.
Konkretno, Irska se uvelike oslanja na prihode od poreza na dobit malog broja tehnoloških divova. Stoga ne čudi što se nevoljko odlučuju na njihovo kažnjavanje.
DPC je objavio kako se ne slaže s kaznom koju je odrezao, ali su ga europski kolege na to natjerali nakon što su prvu odluku Dublina osporila četiri druga regulatora privatnosti.
Vjerovali su kako je pravni lijek koji su predložili – zaustavljanje Mete u korištenju standardnih ugovornih klauzula za slanje podataka iz EU-a u SAD – dovoljan. Ali, nije bio.
Otvoreni rat
Ako se drugi europski nadzornici privatnosti ne slažu s načinom na koji pojedine agencije provode GDPR, postoji složen i netransparentan mehanizam za postizanje europskog konsenzusa oko spornih pitanja.
Nakon pet godina unutarnjih sukoba, neka od tijela Unije za zaštitu privatnosti sada su u otvorenom međusobnom ratu.
Tako su, recimo, druga europska tijela za provedbu zakona zamjerila Ircima što se nisu dovoljno oštro suprotstavili Metinom kršenju privatnosti.
Francuske, njemačke, španjolske i austrijske agencije također su prozvale svoje irske kolege jer nisu od Mete tražili brisanje svih podataka Europljana koji bivaju slani u SAD putem takozvanih standardnih ugovornih klauzula.
Irska odluka odnosi se na otkrića zviždača Edwarda Snowdena, suradnika američke Agencije za nacionalnu sigurnost iz 2013., da su američki špijuni nezakonito pristupali osobnim podacima ljudi putem tehnoloških divova u toj državi.
Odluka protiv Mete prikriva desetljeće dugu borbu koja je prethodila GDPR-u i koja je podijelila Uniju kad je riječ o zaštiti privatnosti.
Irski regulator je ranije ove godine tužio Europski odbor za zaštitu podataka (EDPB) – sveeuropsko tijelo regulatora privatnosti koje koordinira odluke o privatnosti – zbog prekoračenja ovlasti time što su ih prisilili na nastavak istrage protiv WhatsAppa, Facebooka i Instagrama.
Suočena s rastućom frustracijom jer GDPR nije uspio obuzdati najgore zlouporabe zaštite podataka velikih tehnoloških tvrtki, Europska komisija za ovo ljeto priprema novi zakon kako bi poboljšala suradnju u prekograničnim sporovima oko provedbe.
Borci za zaštitu privatnosti nadaju se kako bi reforme mogle ojačati GDPR i smanjiti godine čekanja na akciju po pritužbama.
Kritičari tvrde kako to neće promijeniti model kojim Irska, Luksemburg i druge države nadziru većinu velikih tehnoloških kompanija. Čuju se i kritike prema kojima je europski režim zaštite privatnosti postao tek puka formalnost, piše Politico.