Šių metų liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau - ESTT) priėmė sprendimą, kuriuo pripažino negaliojančiu Europos Sąjungos (ES) Komisijos 2016 m. liepos 12 d. įgyvendinamąjį sprendimą (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (kurią pakeitė Bendrasis duomenų apsaugos reglamentas). Tai buvo pagrindinis dokumentas, kuris užtikrindavo iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą ir tokiu būdu palengvindavo asmens duomenų perdavimą. Po šio sprendimo priėmimo kyla klausimas, kokių veiksmų reikės imtis įmonėms, perduodant asmens duomenis tarp ES valstybių ir JAV ateityje.
Asmens duomenų perdavimas į JAV
Asmens duomenys iš ES yra gana dažnai perduodami į JAV. Asmens duomenys į JAV gali būti perduodami tiesiogiai juos persiunčiant, tačiau tai nėra vienintelis atvejis, kai asmens duomenys yra perduodami į JAV. Neretai yra net nesusimąstoma, kad naudojantis kasdienėmis paslaugomis, pavyzdžiui, el. pašto paslauga, debesijos (angl. cloud) paslauga, naujienlaiškių siuntimo platforma ir pan., asmens duomenys gali būti perduodami į JAV. Tais atvejais, kai naudojamų informacinių paslaugų serveriai yra ne ES valstybėje narėje, laikoma, kad į tuos serverius perduodant informaciją, ji yra perduodama į trečiąsias šalis. Taigi, jeigu tarp perduodamos informacijos yra ir tokios informacijos, kuri laikoma asmens duomenimis, tuomet į trečiąsias šalis yra perduodami ir asmens duomenys. Todėl, jeigu naudojamų informacinių paslaugų serveriai yra JAV, o serveriuose yra laikomi asmens duomenys, tuomet asmens duomenys yra perduodami į JAV.
Perduodant asmens duomenis į trečiąsias šalis, įskaitant ir JAV, Europos Tarybos ir Parlamento Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) nustato reikalavimus, skirtus apsaugoti perduodamiems asmens duomenims. Iki šių metų liepos 16 d. tokį asmens duomenų perdavimą į JAV ir perduodamų duomenų saugumo užtikrinimą reguliavo "privatumo skydas". "Privatumo skydo" sistemai priklausiusios įmonės buvo iškart laikomos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį, todėl duomenų perdavimas buvo gana nesudėtingas. Pripažinus "privatumo skydą" negaliojančiu, reikės imtis papildomų veiksmų, skirtų BDAR reikalaujamam saugumo užtikrinimui.
Kodėl priimtas sprendimas pripažinti "privatumo skydą" negaliojančiu?
ESTT pasisakė, kad perduodant asmens duomenis į trečiąją šalį (ne ES valstybę narę), perduodamiems duomenims iš esmės turėtų būti suteiktas toks pats apsaugos lygis, kurį ES reglamentuoja BDAR bei Europos Sąjungos pagrindinių teisių chartija (toliau - Chartija). Ši apsauga apima tinkamas apsaugos priemones, įgyvendinamas teises ir veiksmingas teisines priemones asmenims. Per šią prizmę ESTT svarstė "privatumo skydo" galiojimą ir laikėsi nuomonės, kad nepaisant į jį įtrauktų apsaugos priemonių, JAV vyriausybės priežiūros ir teisėsaugos veiklos keliama rizika asmens privatumui reiškia, kad BDAR ir Chartijos keliami reikalavimai yra neįgyvendinami. ESTT mano, kad JAV teisėje nenumatyta apribojimų ir apsaugos priemonių, būtinų atsižvelgiant į pagal jos nacionalinės teisės aktus leidžiamus suvaržymus, ir taip pat neužtikrinama veiksminga teisminė apsauga nuo tokių suvaržymų. ESTT nustatė, kad suvaržymams, kylantiems iš JAV nacionalinės teisės, netaikomi reikalavimai, kuriais, laikantis proporcingumo principo, būtų užtikrinamas apsaugos lygis tam, kuris garantuojamas Chartijos 52 straipsnio 1 dalies antru sakiniu: "Remiantis proporcingumo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti.". Taigi nustatyta, kad JAV nacionalinė teisė neužtikrina pakankamo duomenų saugumo lygio.
Duomenų perdavimas po "privatumo skydo" pripažinimo negaliojančiu
Kadangi "privatumo skydas" ESTT sprendimu pripažintas negaliojančiu, JAV esančios įmonės nebėra pripažįstamos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį. Po ESTT sprendimo Europos duomenų apsaugos valdyba (toliau - EDAV) pasisakė, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kad asmens duomenų apsaugos lygis JAV iš esmės atitiktų asmens duomenų apsaugos lygį, taikomą ES, tačiau tokios sistemos sukūrimas gali užtrukti. "Privatumo skydo" pripažinimas negaliojančiu neuždraudžia asmens duomenų perdavimo į JAV, tačiau perduoti duomenis dabar gali būti sudėtingiau, kadangi bus svarbu užtikrinti, kad perduodant duomenis būtų užtikrinama atitiktis BDAR nustatytoms taisyklėms, reguliuojančioms asmens duomenų perdavimą į trečiąsias šalis. Dėl šios priežasties reikia nustatyti, kokių veiksmų turi būti imamasi siekiant asmens duomenis perduoti į JAV.
Įmonėms rekomenduojama imtis šių veiksmų:
Peržiūrėti paslaugų teikėjų sąrašus ir nustatyti, ar įmonė turi paslaugų teikėjų, kurie yra įsteigti JAV;
Nustatyti, ar paslaugų teikėjui, įsteigtam JAV, yra perduodama informacija, kuri laikoma asmens duomenimis pagal BDAR;
Patikrinkite, ar su paslaugų teikėjais esate sudarę standartinių duomenų apsaugos sąlygų sutartį pagal Komisijos sprendimą 2010/87/ES (toliau - Sutartis);
Įvertinkite, ar valstybėje, į kurią ketinama perduoti duomenis, teikiama tinkama apsauga perduodamiems asmens duomenims;
Jeigu yra nustatoma, kad valstybėje nėra užtikrinamas toks duomenų apsaugos lygmuo, kokio reikalauja BDAR bei Chartija, EDAV rekomenduoja papildyti Sutarties sąlygas papildomomis apsaugos priemonėmis;
Sudaryti Sutartį su duomenis gaunančiu subjektu arba, jei nustatyta 5 punkte minėta sąlyga, Sutartį papildyti ir pasirašyti Sutarties pakeitimą.
Kokių veiksmų imtis įmonėms, ESTT pripažinus asmens duomenų perdavimui tarp ES ir JAV skirtą "privatumo skydą" negaliojančiu
Šių metų liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau - ESTT) priėmė sprendimą, kuriuo pripažino negaliojančiu Europos Sąjungos (ES) Komisijos 2016 m. liepos 12 d. įgyvendinamąjį sprendimą (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (kurią pakeitė Bendrasis duomenų apsaugos reglamentas). Tai buvo pagrindinis dokumentas, kuris užtikrindavo iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą ir tokiu būdu palengvindavo asmens duomenų perdavimą. Po šio sprendimo priėmimo kyla klausimas, kokių veiksmų reikės imtis įmonėms, perduodant asmens duomenis tarp ES valstybių ir JAV ateityje.
Asmens duomenų perdavimas į JAV
Asmens duomenys iš ES yra gana dažnai perduodami į JAV. Asmens duomenys į JAV gali būti perduodami tiesiogiai juos persiunčiant, tačiau tai nėra vienintelis atvejis, kai asmens duomenys yra perduodami į JAV. Neretai yra net nesusimąstoma, kad naudojantis kasdienėmis paslaugomis, pavyzdžiui, el. pašto paslauga, debesijos (angl. cloud) paslauga, naujienlaiškių siuntimo platforma ir pan., asmens duomenys gali būti perduodami į JAV. Tais atvejais, kai naudojamų informacinių paslaugų serveriai yra ne ES valstybėje narėje, laikoma, kad į tuos serverius perduodant informaciją, ji yra perduodama į trečiąsias šalis. Taigi, jeigu tarp perduodamos informacijos yra ir tokios informacijos, kuri laikoma asmens duomenimis, tuomet į trečiąsias šalis yra perduodami ir asmens duomenys. Todėl, jeigu naudojamų informacinių paslaugų serveriai yra JAV, o serveriuose yra laikomi asmens duomenys, tuomet asmens duomenys yra perduodami į JAV.
Perduodant asmens duomenis į trečiąsias šalis, įskaitant ir JAV, Europos Tarybos ir Parlamento Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) nustato reikalavimus, skirtus apsaugoti perduodamiems asmens duomenims. Iki šių metų liepos 16 d. tokį asmens duomenų perdavimą į JAV ir perduodamų duomenų saugumo užtikrinimą reguliavo "privatumo skydas". "Privatumo skydo" sistemai priklausiusios įmonės buvo iškart laikomos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį, todėl duomenų perdavimas buvo gana nesudėtingas. Pripažinus "privatumo skydą" negaliojančiu, reikės imtis papildomų veiksmų, skirtų BDAR reikalaujamam saugumo užtikrinimui.
Kodėl priimtas sprendimas pripažinti "privatumo skydą" negaliojančiu?
ESTT pasisakė, kad perduodant asmens duomenis į trečiąją šalį (ne ES valstybę narę), perduodamiems duomenims iš esmės turėtų būti suteiktas toks pats apsaugos lygis, kurį ES reglamentuoja BDAR bei Europos Sąjungos pagrindinių teisių chartija (toliau - Chartija). Ši apsauga apima tinkamas apsaugos priemones, įgyvendinamas teises ir veiksmingas teisines priemones asmenims. Per šią prizmę ESTT svarstė "privatumo skydo" galiojimą ir laikėsi nuomonės, kad nepaisant į jį įtrauktų apsaugos priemonių, JAV vyriausybės priežiūros ir teisėsaugos veiklos keliama rizika asmens privatumui reiškia, kad BDAR ir Chartijos keliami reikalavimai yra neįgyvendinami. ESTT mano, kad JAV teisėje nenumatyta apribojimų ir apsaugos priemonių, būtinų atsižvelgiant į pagal jos nacionalinės teisės aktus leidžiamus suvaržymus, ir taip pat neužtikrinama veiksminga teisminė apsauga nuo tokių suvaržymų. ESTT nustatė, kad suvaržymams, kylantiems iš JAV nacionalinės teisės, netaikomi reikalavimai, kuriais, laikantis proporcingumo principo, būtų užtikrinamas apsaugos lygis tam, kuris garantuojamas Chartijos 52 straipsnio 1 dalies antru sakiniu: "Remiantis proporcingumo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti.". Taigi nustatyta, kad JAV nacionalinė teisė neužtikrina pakankamo duomenų saugumo lygio.
Duomenų perdavimas po "privatumo skydo" pripažinimo negaliojančiu
Kadangi "privatumo skydas" ESTT sprendimu pripažintas negaliojančiu, JAV esančios įmonės nebėra pripažįstamos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį. Po ESTT sprendimo Europos duomenų apsaugos valdyba (toliau - EDAV) pasisakė, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kad asmens duomenų apsaugos lygis JAV iš esmės atitiktų asmens duomenų apsaugos lygį, taikomą ES, tačiau tokios sistemos sukūrimas gali užtrukti. "Privatumo skydo" pripažinimas negaliojančiu neuždraudžia asmens duomenų perdavimo į JAV, tačiau perduoti duomenis dabar gali būti sudėtingiau, kadangi bus svarbu užtikrinti, kad perduodant duomenis būtų užtikrinama atitiktis BDAR nustatytoms taisyklėms, reguliuojančioms asmens duomenų perdavimą į trečiąsias šalis. Dėl šios priežasties reikia nustatyti, kokių veiksmų turi būti imamasi siekiant asmens duomenis perduoti į JAV.
Įmonėms rekomenduojama imtis šių veiksmų:
Nuorodos