Created by Unknown User (k.marcinonyte@juridicon.lt), last modified by CPO on Sep 29, 2023
Jūsų įmonė naudojasi JAV įmonės sukurta ir palaikoma apklausų platforma, talpina duomenis Amazon serveryje, įmonės dokumentus Google Drive ar pan.? Iki šių metų liepos 16 dienos, asmens duomenų perdavimas į JAV buvo vykdomas remiantis "privatumo skydu". Liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau - ESTT) priėmė sprendimą, kuriuo "privatumo skydas" buvo pripažintas negaliojančiu. Kadangi pagrindinis dokumentas, užtikrinęs iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą, pripažintas negaliojančiu, svarbu nustatyti, kokių veiksmų turi imtis įmonės, perduodančios asmens duomenis į JAV.
Asmens duomenys iš ES yra gana dažnai perduodami į JAV. Asmens duomenys į JAV gali būti perduodami tiesiogiai juos persiunčiant, tačiau tai nėra vienintelis atvejis, kai asmens duomenys yra perduodami į JAV. Neretai yra net nesusimąstoma, kad naudojantis kasdienėmis paslaugomis, pavyzdžiui, el. pašto paslauga, debesijos (angl. cloud) paslauga, naujienlaiškių siuntimo platforma ir pan., asmens duomenys yra perduodami į trečiąsias šalis, įskaitant ir JAV. Tais atvejais, kai naudojamų informacinių paslaugų serveriai yra ne ES valstybėje narėje, laikoma, kad į tuos serverius perduodant informaciją, ji yra perduodama į trečiąsias šalis, kuriose laikomi serveriai. Taigi, jeigu tarp perduodamos informacijos yra ir tokios informacijos, kuri laikoma asmens duomenimis, tuomet į trečiąsias šalis yra perduodami ir asmens duomenys. Todėl, jeigu naudojamų informacinių paslaugų serveriai yra JAV, o serveriuose yra laikomi asmens duomenys, tuomet asmens duomenys yra perduodami į JAV.
Perduodant asmens duomenis į trečiąsias šalis, įskaitant ir JAV, Europos Tarybos ir Parlamento Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) nustato reikalavimus, skirtus apsaugoti perduodamiems asmens duomenims. Iki šių metų liepos 16 d. tokį asmens duomenų perdavimą į JAV ir perduodamų duomenų saugumo užtikrinimą reguliavo "privatumo skydas". "Privatumo skydo" sistemai priklausiusios įmonės buvo iškart laikomos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį, todėl duomenų perdavimas buvo gana nesudėtingas. "Privatumo skydo" sistemai priklausė ir tokio visame pasaulyje žinomos įmonės kaip "Facebook", "Google", "Twitter" bei "Amazon". Pripažinus "privatumo skydą" negaliojančiu, reikės imtis papildomų veiksmų, skirtų BDAR reikalaujamam saugumo užtikrinimui.
Kodėl priimtas sprendimas pripažinti "privatumo skydą" negaliojančiu?
ESTT pasisakė, kad perduodant asmens duomenis į trečiąją šalį (ne ES valstybę narę), perduodamiems duomenims iš esmės turėtų būti suteiktas toks pats apsaugos lygis, kurį ES reglamentuoja BDAR bei Europos Sąjungos pagrindinių teisių chartija (toliau - Chartija). Ši apsauga apima tinkamas apsaugos priemones, įgyvendinamas teises ir veiksmingas teisines priemones asmenims. Per šią prizmę ESTT svarstė "privatumo skydo" galiojimą ir laikėsi nuomonės, kad nepaisant į jį įtrauktų apsaugos priemonių, JAV vyriausybės priežiūros ir teisėsaugos veiklos keliama rizika asmens privatumui reiškia, kad BDAR ir Chartijos keliami reikalavimai yra neįgyvendinami. ESTT mano, kad JAV teisėje nenumatyta apribojimų ir apsaugos priemonių, būtinų atsižvelgiant į pagal jos nacionalinės teisės aktus leidžiamus suvaržymus, ir taip pat neužtikrinama veiksminga teisminė apsauga nuo tokių suvaržymų. ESTT nustatė, kad suvaržymams, kylantiems iš JAV nacionalinės teisės, netaikomi reikalavimai, kuriais, laikantis proporcingumo principo, būtų užtikrinamas apsaugos lygis tam, kuris garantuojamas Chartijos 52 straipsnio 1 dalies antru sakiniu: "Remiantis proporcingumo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti.". Taigi nustatyta, kad JAV nacionalinė teisė neužtikrina pakankamo duomenų saugumo lygio.
Duomenų perdavimas po "privatumo skydo" pripažinimo negaliojančiu
Kadangi "privatumo skydas" ESTT sprendimu pripažintas negaliojančiu, JAV esančios įmonės nebėra pripažįstamos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį. Po ESTT sprendimo Europos duomenų apsaugos valdyba (toliau - EDAV) pasisakė, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kad asmens duomenų apsaugos lygis JAV iš esmės atitiktų asmens duomenų apsaugos lygį, taikomą ES, tačiau tokios sistemos sukūrimas gali užtrukti. "Privatumo skydo" pripažinimas negaliojančiu neuždraudžia asmens duomenų perdavimo į JAV, tačiau perduoti duomenis dabar gali būti sudėtingiau, kadangi bus svarbu užtikrinti, kad perduodant duomenis būtų užtikrinama atitiktis BDAR nustatytoms taisyklėms, reguliuojančioms asmens duomenų perdavimą į trečiąsias šalis. Dėl šios priežasties reikia nustatyti, kokių veiksmų turi būti imamasi siekiant asmens duomenis perduoti į JAV.
Įmonėms rekomenduojama imtis šių veiksmų:
Atlikite tvarkomų asmens duomenų auditą (inventorizaciją) ir išsiaiškinkite, ar turite sutarčių su paslaugų teikėjais, kurie įsteigti JAV, bei ar šiems paslaugų teikėjams yra perduodama informacija, kuri pagal BDAR laikoma asmens duomenimis;
Patikrinkite, ar su paslaugų teikėjais esate sudarę standartinių duomenų apsaugos sąlygų sutartį pagal Komisijos sprendimą 2010/87/ES (toliau - Sutartis);
Įvertinkite, ar valstybėje, į kurią ketinama perduoti duomenis, teikiama tinkama apsauga perduodamiems asmens duomenims;
Jeigu yra nustatoma, kad valstybėje nėra užtikrinamas toks duomenų apsaugos lygmuo, kokio reikalauja BDAR bei Chartija, EDAV rekomenduoja papildyti Sutarties sąlygas papildomomis apsaugos priemonėmis;
Sudaryti Sutartį su duomenis gaunančiu subjektu arba, jei nustatyta 5 punkte minėta sąlyga, Sutartį papildyti ir pasirašyti Sutarties pakeitimą.
Kitas būdas perduoti asmens duomenis į JAV - parengti įmonėms privalomas taisykles pagal BDAR 47 straipsnį. Atkreiptinas dėmesys, kad šis būdas yra tinkamas tik tada, kai asmens duomenys yra perduodami įmonių grupės viduje, kai įmonė, kuriai perduodami asmens duomenys, yra įsteigta JAV. Šiuo metu Valstybinės duomenų apsaugos inspekcijos direktorius yra parengęs įmonei privalomų taisyklių tvarkos aprašo projektą. Kai šis projektas bus patvirtintas, bus aiškiai reglemtnuota įmonei privalomų taisyklių parengimo ir patvirtinimo tvarka.
Kokių veiksmų imtis įmonėms, ESTT pripažinus asmens duomenų perdavimui tarp ES ir JAV skirtą "privatumo skydą" negaliojančiu
Jūsų įmonė naudojasi JAV įmonės sukurta ir palaikoma apklausų platforma, talpina duomenis Amazon serveryje, įmonės dokumentus Google Drive ar pan.? Iki šių metų liepos 16 dienos, asmens duomenų perdavimas į JAV buvo vykdomas remiantis "privatumo skydu". Liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau - ESTT) priėmė sprendimą, kuriuo "privatumo skydas" buvo pripažintas negaliojančiu. Kadangi pagrindinis dokumentas, užtikrinęs iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą, pripažintas negaliojančiu, svarbu nustatyti, kokių veiksmų turi imtis įmonės, perduodančios asmens duomenis į JAV.
Pasitikrinkite Allaw Teisinio reguliavimo stebėjimo priemonės "švieslentėje", kuriuos Jūsų įmonės vidaus dokumentus dėl šio sprendimo Duomenų apsaugos pareigūnas Allaw rekomenduoja atnaujinti! Jeigu turite klausimų, registruokite savo užklausą čia.
Asmens duomenys iš ES yra gana dažnai perduodami į JAV. Asmens duomenys į JAV gali būti perduodami tiesiogiai juos persiunčiant, tačiau tai nėra vienintelis atvejis, kai asmens duomenys yra perduodami į JAV. Neretai yra net nesusimąstoma, kad naudojantis kasdienėmis paslaugomis, pavyzdžiui, el. pašto paslauga, debesijos (angl. cloud) paslauga, naujienlaiškių siuntimo platforma ir pan., asmens duomenys yra perduodami į trečiąsias šalis, įskaitant ir JAV. Tais atvejais, kai naudojamų informacinių paslaugų serveriai yra ne ES valstybėje narėje, laikoma, kad į tuos serverius perduodant informaciją, ji yra perduodama į trečiąsias šalis, kuriose laikomi serveriai. Taigi, jeigu tarp perduodamos informacijos yra ir tokios informacijos, kuri laikoma asmens duomenimis, tuomet į trečiąsias šalis yra perduodami ir asmens duomenys. Todėl, jeigu naudojamų informacinių paslaugų serveriai yra JAV, o serveriuose yra laikomi asmens duomenys, tuomet asmens duomenys yra perduodami į JAV.
Perduodant asmens duomenis į trečiąsias šalis, įskaitant ir JAV, Europos Tarybos ir Parlamento Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) nustato reikalavimus, skirtus apsaugoti perduodamiems asmens duomenims. Iki šių metų liepos 16 d. tokį asmens duomenų perdavimą į JAV ir perduodamų duomenų saugumo užtikrinimą reguliavo "privatumo skydas". "Privatumo skydo" sistemai priklausiusios įmonės buvo iškart laikomos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį, todėl duomenų perdavimas buvo gana nesudėtingas. "Privatumo skydo" sistemai priklausė ir tokio visame pasaulyje žinomos įmonės kaip "Facebook", "Google", "Twitter" bei "Amazon". Pripažinus "privatumo skydą" negaliojančiu, reikės imtis papildomų veiksmų, skirtų BDAR reikalaujamam saugumo užtikrinimui.
Kodėl priimtas sprendimas pripažinti "privatumo skydą" negaliojančiu?
ESTT pasisakė, kad perduodant asmens duomenis į trečiąją šalį (ne ES valstybę narę), perduodamiems duomenims iš esmės turėtų būti suteiktas toks pats apsaugos lygis, kurį ES reglamentuoja BDAR bei Europos Sąjungos pagrindinių teisių chartija (toliau - Chartija). Ši apsauga apima tinkamas apsaugos priemones, įgyvendinamas teises ir veiksmingas teisines priemones asmenims. Per šią prizmę ESTT svarstė "privatumo skydo" galiojimą ir laikėsi nuomonės, kad nepaisant į jį įtrauktų apsaugos priemonių, JAV vyriausybės priežiūros ir teisėsaugos veiklos keliama rizika asmens privatumui reiškia, kad BDAR ir Chartijos keliami reikalavimai yra neįgyvendinami. ESTT mano, kad JAV teisėje nenumatyta apribojimų ir apsaugos priemonių, būtinų atsižvelgiant į pagal jos nacionalinės teisės aktus leidžiamus suvaržymus, ir taip pat neužtikrinama veiksminga teisminė apsauga nuo tokių suvaržymų. ESTT nustatė, kad suvaržymams, kylantiems iš JAV nacionalinės teisės, netaikomi reikalavimai, kuriais, laikantis proporcingumo principo, būtų užtikrinamas apsaugos lygis tam, kuris garantuojamas Chartijos 52 straipsnio 1 dalies antru sakiniu: "Remiantis proporcingumo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti.". Taigi nustatyta, kad JAV nacionalinė teisė neužtikrina pakankamo duomenų saugumo lygio.
Duomenų perdavimas po "privatumo skydo" pripažinimo negaliojančiu
Kadangi "privatumo skydas" ESTT sprendimu pripažintas negaliojančiu, JAV esančios įmonės nebėra pripažįstamos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį. Po ESTT sprendimo Europos duomenų apsaugos valdyba (toliau - EDAV) pasisakė, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kad asmens duomenų apsaugos lygis JAV iš esmės atitiktų asmens duomenų apsaugos lygį, taikomą ES, tačiau tokios sistemos sukūrimas gali užtrukti. "Privatumo skydo" pripažinimas negaliojančiu neuždraudžia asmens duomenų perdavimo į JAV, tačiau perduoti duomenis dabar gali būti sudėtingiau, kadangi bus svarbu užtikrinti, kad perduodant duomenis būtų užtikrinama atitiktis BDAR nustatytoms taisyklėms, reguliuojančioms asmens duomenų perdavimą į trečiąsias šalis. Dėl šios priežasties reikia nustatyti, kokių veiksmų turi būti imamasi siekiant asmens duomenis perduoti į JAV.
Įmonėms rekomenduojama imtis šių veiksmų:
Kitas būdas perduoti asmens duomenis į JAV - parengti įmonėms privalomas taisykles pagal BDAR 47 straipsnį. Atkreiptinas dėmesys, kad šis būdas yra tinkamas tik tada, kai asmens duomenys yra perduodami įmonių grupės viduje, kai įmonė, kuriai perduodami asmens duomenys, yra įsteigta JAV. Šiuo metu Valstybinės duomenų apsaugos inspekcijos direktorius yra parengęs įmonei privalomų taisyklių tvarkos aprašo projektą. Kai šis projektas bus patvirtintas, bus aiškiai reglemtnuota įmonei privalomų taisyklių parengimo ir patvirtinimo tvarka.
Nuorodos