Šių metų liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau - ESTT) priėmė sprendimą, kuriuo pripažino negaliojančiu Europos Sąjungos (ES) Komisijos 2016 m. liepos 12 d. įgyvendinamąjį sprendimą (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (kurią pakeitė Bendrasis duomenų apsaugos reglamentas). Tai buvo pagrindinis dokumentas, kuris užtikrindavo iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą. Po šio sprendimo priėmimo kyla klausimas, kuo reikės vadovautis perduodant asmens duomenis taro ES valstybių ir JAV ateityje.
Kas yra "privatumo skydas"?
2016 m. ES Komisija priėmė sprendimą, kuriuo patvirtino "privatumo skydą". "Privatumo skydas" buvo skirtas užtikrinti iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą. Prieš priimant "privatumo skydą" ES Komisija atliko JAV teisės aktų vertinimą, kad įsitikintų, kad perduodami asmens duomenys bus tinkamai apsaugoti, todėl šis sprendimas buvo laikomas tinkamu, siekiant apsaugoti perduodamus asmens duomenis.
Kodėl priimtas sprendimas pripažinti "privatumo skydą" negaliojančiu?
ESTT pasisakė, kad perduodant asmens duomenis į trečiąją šalį (ne ES valstybę narę), perduodamiems duomenims iš esmės turėtų būti suteiktas toks pats apsaugos lygis, kuri ĖS reglamentuoja Europos Tarybos ir Parlamento Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojas duomenų apsaugos reglamentas) (toliau - BDAR) bei Europos Sąjungos pagrindinių teisių chartija (toliau - Chartija). Ši apsauga apima tinkamas apsaugos priemones, įgyvendinamas teises ir veiksmingas teisines priemones asmenims. Per šią prizmę ESTT svarstė "privatumo skydo" galiojimą ir laikėsi nuomonės, kad nepaisant į jį įtrauktų apsaugos priemonių, JAV vyriausybės priežiūros ir teisėsaugos veiklos keliama rizika asmens privatumui reiškia, kad BDAR ir Chartijos keliami reikalavimai yra neįgyvendinami. ESTT mano, kad JAV teisėje nenumatyta apribojimų ir apsaugos priemonių, būtinų atsižvelgiant į pagal jo nacionalinės teisės aktus leidžiamus suvaržymus, ir taip pat neužtikrinama veiksminga teisminė apsauga nuo tokių suvaržymų. ESTT nustatė, kad suvaržymams, kylantiems iš JAV nacionalinės teisės, netaikomi reikalavimai, kuriais, laikantis proporcingumo principo, būtų užtikrinamas apsaugos lygis tam, kuris garantuojamas Chartijos 52 straipsnio 1 dalies antru sakiniu. Taigi nustatyta, kad JAV nacionalinė teisė neužtikrina pakankamo duomenų saugumo lygio.
Duomenų perdavimas po "privatumo skydo" pripažinimo negaliojančiu
Po ESTT sprendimo Europos duomenų apsaugos valdyba (toliau - EDAV) pasisakė, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kad asmens duomenų apsaugos lygis JAV iš esmės atitiktų asmens duomenų apsaugos lygį, taikomą ES. Nors ESTT pripažino "privatumo skydą" negaliojančiu, tačiau ir toliau galioja Komisijos sprendimas 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas.
BDAR V skyrius nustato reikalavimus, kurie yra keliami norint asmens duomenis perduoti į trečiąsias valstybes. Tam, kad būtų užtikrinamas atitikimas keliamiems saugos reikalavimams, EDAV rekomenduoja sudaryti standartinių duomenų apsaugos sąlygų sutartį pagal Komisijos sprendimą 2010/87/ES (toliau - Sutartis). EDAV nurodė, kad prieš sudarant Sutartį turi būti įvertinama, ar valstybėje, į kurią ketinama perduoti duomenis, teikia tinkamą apsaugą perduodamiems asmens duomenims. Atlikdamas tokį išankstinį vertinimą, duomenis perduodantis subjektas (jei reikia, padedamas duomenis priimančio subjekto) atsižvelgia į sutarties turinį, konkrečias perdavimo aplinkybes ir į duomenis priimančio subjekto šalyje taikomą teisinį režimą.
Tuo atveju, jeigu nustatoma, kad toje valstybėje, į kurią ketinama perduoti duomenis, duomenų apsauga yra nepakankama, duomenis perduodantis subjektas turėtų apsvarstyti galimybę nustatyti papildomas apsaugos priemones, kurių nenumato Sutartis.
ESTT pripažino asmens duomenų perdavimui tarp ES ir JAV skirtą "privatumo skydą" negaliojančiu
Šių metų liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau - ESTT) priėmė sprendimą, kuriuo pripažino negaliojančiu Europos Sąjungos (ES) Komisijos 2016 m. liepos 12 d. įgyvendinamąjį sprendimą (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (kurią pakeitė Bendrasis duomenų apsaugos reglamentas). Tai buvo pagrindinis dokumentas, kuris užtikrindavo iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą. Po šio sprendimo priėmimo kyla klausimas, kuo reikės vadovautis perduodant asmens duomenis taro ES valstybių ir JAV ateityje.
Kas yra "privatumo skydas"?
2016 m. ES Komisija priėmė sprendimą, kuriuo patvirtino "privatumo skydą". "Privatumo skydas" buvo skirtas užtikrinti iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą. Prieš priimant "privatumo skydą" ES Komisija atliko JAV teisės aktų vertinimą, kad įsitikintų, kad perduodami asmens duomenys bus tinkamai apsaugoti, todėl šis sprendimas buvo laikomas tinkamu, siekiant apsaugoti perduodamus asmens duomenis.
Kodėl priimtas sprendimas pripažinti "privatumo skydą" negaliojančiu?
ESTT pasisakė, kad perduodant asmens duomenis į trečiąją šalį (ne ES valstybę narę), perduodamiems duomenims iš esmės turėtų būti suteiktas toks pats apsaugos lygis, kuri ĖS reglamentuoja Europos Tarybos ir Parlamento Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrojas duomenų apsaugos reglamentas) (toliau - BDAR) bei Europos Sąjungos pagrindinių teisių chartija (toliau - Chartija). Ši apsauga apima tinkamas apsaugos priemones, įgyvendinamas teises ir veiksmingas teisines priemones asmenims. Per šią prizmę ESTT svarstė "privatumo skydo" galiojimą ir laikėsi nuomonės, kad nepaisant į jį įtrauktų apsaugos priemonių, JAV vyriausybės priežiūros ir teisėsaugos veiklos keliama rizika asmens privatumui reiškia, kad BDAR ir Chartijos keliami reikalavimai yra neįgyvendinami. ESTT mano, kad JAV teisėje nenumatyta apribojimų ir apsaugos priemonių, būtinų atsižvelgiant į pagal jo nacionalinės teisės aktus leidžiamus suvaržymus, ir taip pat neužtikrinama veiksminga teisminė apsauga nuo tokių suvaržymų. ESTT nustatė, kad suvaržymams, kylantiems iš JAV nacionalinės teisės, netaikomi reikalavimai, kuriais, laikantis proporcingumo principo, būtų užtikrinamas apsaugos lygis tam, kuris garantuojamas Chartijos 52 straipsnio 1 dalies antru sakiniu. Taigi nustatyta, kad JAV nacionalinė teisė neužtikrina pakankamo duomenų saugumo lygio.
Duomenų perdavimas po "privatumo skydo" pripažinimo negaliojančiu
Po ESTT sprendimo Europos duomenų apsaugos valdyba (toliau - EDAV) pasisakė, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kad asmens duomenų apsaugos lygis JAV iš esmės atitiktų asmens duomenų apsaugos lygį, taikomą ES. Nors ESTT pripažino "privatumo skydą" negaliojančiu, tačiau ir toliau galioja Komisijos sprendimas 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas.
BDAR V skyrius nustato reikalavimus, kurie yra keliami norint asmens duomenis perduoti į trečiąsias valstybes. Tam, kad būtų užtikrinamas atitikimas keliamiems saugos reikalavimams, EDAV rekomenduoja sudaryti standartinių duomenų apsaugos sąlygų sutartį pagal Komisijos sprendimą 2010/87/ES (toliau - Sutartis). EDAV nurodė, kad prieš sudarant Sutartį turi būti įvertinama, ar valstybėje, į kurią ketinama perduoti duomenis, teikia tinkamą apsaugą perduodamiems asmens duomenims. Atlikdamas tokį išankstinį vertinimą, duomenis perduodantis subjektas (jei reikia, padedamas duomenis priimančio subjekto) atsižvelgia į sutarties turinį, konkrečias perdavimo aplinkybes ir į duomenis priimančio subjekto šalyje taikomą teisinį režimą.
Tuo atveju, jeigu nustatoma, kad toje valstybėje, į kurią ketinama perduoti duomenis, duomenų apsauga yra nepakankama, duomenis perduodantis subjektas turėtų apsvarstyti galimybę nustatyti papildomas apsaugos priemones, kurių nenumato Sutartis.