Jūsų įmonė naudojasi JAV įmonės sukurta ir palaikoma apklausų platforma, talpina duomenis Amazon serveryje, įmonės dokumentus Google Drive ar pan.? Iki šių metų liepos 16 dienos, asmens duomenų perdavimas į JAV buvo vykdomas remiantis "privatumo skydu". Liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau - ESTT) priėmė sprendimą, kuriuo "privatumo skydas" buvo pripažintas negaliojančiu. Kadangi pagrindinis dokumentas, užtikrinęs iš ES valstybių narių į JAV perduodamų asmens duomenų saugumą, pripažintas negaliojančiu, svarbu nustatyti, kokių veiksmų turi imtis įmonės, perduodančios asmens duomenis į JAV. |
Pasitikrinkite Allaw Teisinio reguliavimo stebėjimo priemonės "švieslentėje", kuriuos Jūsų įmonės vidaus dokumentus dėl šio sprendimo Duomenų apsaugos pareigūnas Allaw rekomenduoja atnaujinti! Jeigu turite klausimų, registruokite savo užklausą čia. |
Asmens duomenys iš ES yra gana dažnai perduodami į JAV. Asmens duomenys į JAV gali būti perduodami tiesiogiai juos persiunčiant, tačiau tai nėra vienintelis atvejis, kai asmens duomenys yra perduodami į JAV. Neretai yra net nesusimąstoma, kad naudojantis kasdienėmis paslaugomis, pavyzdžiui, el. pašto paslauga, debesijos (angl. cloud) paslauga, naujienlaiškių siuntimo platforma ir pan., asmens duomenys yra perduodami į trečiąsias šalis, įskaitant ir JAV. Tais atvejais, kai naudojamų informacinių paslaugų serveriai yra ne ES valstybėje narėje, laikoma, kad į tuos serverius perduodant informaciją, ji yra perduodama į trečiąsias šalis, kuriose laikomi serveriai. Taigi, jeigu tarp perduodamos informacijos yra ir tokios informacijos, kuri laikoma asmens duomenimis, tuomet į trečiąsias šalis yra perduodami ir asmens duomenys. Todėl, jeigu naudojamų informacinių paslaugų serveriai yra JAV, o serveriuose yra laikomi asmens duomenys, tuomet asmens duomenys yra perduodami į JAV.
Perduodant asmens duomenis į trečiąsias šalis, įskaitant ir JAV, Europos Tarybos ir Parlamento Reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) nustato reikalavimus, skirtus apsaugoti perduodamiems asmens duomenims. Iki šių metų liepos 16 d. tokį asmens duomenų perdavimą į JAV ir perduodamų duomenų saugumo užtikrinimą reguliavo "privatumo skydas". "Privatumo skydo" sistemai priklausiusios įmonės buvo iškart laikomos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį, todėl duomenų perdavimas buvo gana nesudėtingas. "Privatumo skydo" sistemai priklausė ir tokio visame pasaulyje žinomos įmonės kaip "Facebook", "Google", "Twitter" bei "Amazon". Pripažinus "privatumo skydą" negaliojančiu, reikės imtis papildomų veiksmų, skirtų BDAR reikalaujamam saugumo užtikrinimui.
ESTT pasisakė, kad perduodant asmens duomenis į trečiąją šalį (ne ES valstybę narę), perduodamiems duomenims iš esmės turėtų būti suteiktas toks pats apsaugos lygis, kurį ES reglamentuoja BDAR bei Europos Sąjungos pagrindinių teisių chartija (toliau - Chartija). Ši apsauga apima tinkamas apsaugos priemones, įgyvendinamas teises ir veiksmingas teisines priemones asmenims. Per šią prizmę ESTT svarstė "privatumo skydo" galiojimą ir laikėsi nuomonės, kad nepaisant į jį įtrauktų apsaugos priemonių, JAV vyriausybės priežiūros ir teisėsaugos veiklos keliama rizika asmens privatumui reiškia, kad BDAR ir Chartijos keliami reikalavimai yra neįgyvendinami. ESTT mano, kad JAV teisėje nenumatyta apribojimų ir apsaugos priemonių, būtinų atsižvelgiant į pagal jos nacionalinės teisės aktus leidžiamus suvaržymus, ir taip pat neužtikrinama veiksminga teisminė apsauga nuo tokių suvaržymų. ESTT nustatė, kad suvaržymams, kylantiems iš JAV nacionalinės teisės, netaikomi reikalavimai, kuriais, laikantis proporcingumo principo, būtų užtikrinamas apsaugos lygis tam, kuris garantuojamas Chartijos 52 straipsnio 1 dalies antru sakiniu: "Remiantis proporcingumo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti.". Taigi nustatyta, kad JAV nacionalinė teisė neužtikrina pakankamo duomenų saugumo lygio.
Kadangi "privatumo skydas" ESTT sprendimu pripažintas negaliojančiu, JAV esančios įmonės nebėra pripažįstamos atitinkančiomis BDAR saugumo reikalavimus pagal BDAR 45 straipsnį. Po ESTT sprendimo Europos duomenų apsaugos valdyba (toliau - EDAV) pasisakė, kad ES ir JAV turėtų sukurti išsamią ir veiksmingą sistemą, kad asmens duomenų apsaugos lygis JAV iš esmės atitiktų asmens duomenų apsaugos lygį, taikomą ES, tačiau tokios sistemos sukūrimas gali užtrukti. "Privatumo skydo" pripažinimas negaliojančiu neuždraudžia asmens duomenų perdavimo į JAV, tačiau perduoti duomenis dabar gali būti sudėtingiau, kadangi bus svarbu užtikrinti, kad perduodant duomenis būtų užtikrinama atitiktis BDAR nustatytoms taisyklėms, reguliuojančioms asmens duomenų perdavimą į trečiąsias šalis. Dėl šios priežasties reikia nustatyti, kokių veiksmų turi būti imamasi siekiant asmens duomenis perduoti į JAV.
Įmonėms rekomenduojama imtis šių veiksmų:
|
Kitas būdas perduoti asmens duomenis į JAV - parengti įmonėms privalomas taisykles pagal BDAR 47 straipsnį. Atkreiptinas dėmesys, kad šis būdas yra tinkamas tik tada, kai asmens duomenys yra perduodami įmonių grupės viduje, kai įmonė, kuriai perduodami asmens duomenys, yra įsteigta JAV. Šiuo metu Valstybinės duomenų apsaugos inspekcijos direktorius yra parengęs įmonei privalomų taisyklių tvarkos aprašo projektą. Kai šis projektas bus patvirtintas, bus aiškiai reglemtnuota įmonei privalomų taisyklių parengimo ir patvirtinimo tvarka.
Nuorodos
|