Europos Sąjungos Teisingumo Teismas:  ES ir JAV „Privatumo skydas“ negalioja

2020 m. liepos 16 d. Europos Sąjungos Teisingumo Teismas (toliau – ESTT)  savo itin svarbiame sprendime pripažino, jog:

  • ES ir JAV duomenų apsaugos skydas (vadinamasis – „Privatumo skydas“) yra negaliojantis, nes jis neužtikrina žmonių teisių į privatumą, duomenų apsaugą ir galimybių ginti (savo pažeistas) teises.
  • sutarčių standartinės sąlygos dėl asmens duomenų perdavimo trečiosiose šalyse įsikūrusiems tvarkytojams (toliau – sutarčių standartinės sąlygos) yra galiojančios.
  • remiantis sutarčių standartinėmis sąlygomis duomenų eksportuotojui ir perduodamų duomenų gavėjui nustatyta pareiga iš anksto patikrinti, ar atitinkamoje trečiojoje šalyje laikomasi šio apsaugos lygio, ir kad pagal šį sprendimą šis gavėjas privalo informuoti duomenų eksportuotoją, jei negali laikytis standartinių apsaugos sąlygų, o šis eksportuotojas tuomet turi sustabdyti duomenų perdavimą ir (arba) nutraukti su duomenų gavėju sudarytą sutartį.

Bylos ištakos

Šis ESTT sprendimas yra dalis ilgalaikės bylos, kurią „Facebook“ iškėlė Austrijos advokatas ir privatumo teisių gynėjas Max Schrems. Remiantis Europos Sąjungos pagrindinių teisių chartija, kiekvienas Europos Sąjungos (toliau – ES) pilietis turi teisę į tai, kad jo duomenys būtų tvarkomi sąžiningai, gavus jo sutikimą ir nurodytais tikslais. Tačiau, jei amerikiečių įmonė perduos ES piliečio duomenis atgal į JAV, yra rizika, kad JAV Nacionalinio saugumo agentūra (toliau – NSA) gaus prieigą prie tokių duomenų. Edvard Snowden, buvęs Centrinės Žvalgybos Valdybos darbuotojas, atskleidė, kad PRISM programa suteikė NSA prieigą prie duomenų iš pagrindinių technologijų firmų, tokių kaip „Facebook“, „Apple“, „Google“ ir kt. M. Schrems teigė, kad „Facebook“ padėjo NSA vykdyti masinį ES piliečių stebėjimą. Pirmoji byla, dar kitaip žinoma, kaip Schrems I byla, lėmė tai, kad buvo panaikintas ankstesnis, 15 metų senumo, duomenų perdavimo į JAV mechanizmas (angl. „Safe Harbour“). Pastarajam mechanizmui tapus negaliojančiam, buvo sukurtas „Privatumo skydas“.

Kaip vykdyti duomenų perdavimą toliau:

„Privatumo skydą“ pripažinus negaliojančiu, juo besinaudojančios bendrovės turės ieškoti kitų teisėtų būdų asmens duomenims perdavimui į JAV.

Pagal BDAR, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis į trečiąją valstybę arba tarptautinei organizacijai tik tuo atveju, jeigu duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis (įgyvendinamomis) duomenų subjektų teisėmis ir  veiksmingomis duomenų subjektų teisių gynimo priemonėmis.

Tokiomis priemonėmis gali būti:

  • sudarant su duomenų gavėju sutartį dėl asmens duomenų teikimo pagal Europos Komisijos patvirtintas standartines duomenų apsaugos sąlygas;
  • jei asmens duomenys teikiami pagal įmonių grupei, kuriai priklauso Bendrovė, privalomas taisykles;
  • BDAR nustatyta tvarka patvirtinto elgesio kodekso ar sertifikavimo mechanizmo pagrindu;
  • Jei Valstybinė asmens duomenų apsaugos inspekcija išdavė leidimą asmens duomenų teikimui,
  • Kitos priemonės numatytos BDAR.

Tą patį patvirtino ir Europos Komisijos viceprezidentė Věra Jourová – „transatlantiniai duomenų srautai gali tęstis, remiantis plačiu tarptautinio duomenų perdavimo priemonių rinkiniu, numatytu BDAR, pavyzdžiui, įmonei privalomosiomis taisyklėmis arba standartinėmis sutarčių sąlygomis“.

Rekomenduotini veiksmai

  • Atlikite vidinį auditą su tikslus nustatyti, ar perduodate asmens duomenis į JAV „Privatumo skydo“ pagrindu;
  • Prieš pradedant perdavimą į trečiąsias šalis, ES įsteigtas duomenų valdytojas arba duomenų tvarkytojas, visų pirma kiekvienu atveju ir prireikus bendradarbiaudamas su duomenų gavėju, turi patikrinti, ar pagal paskirties trečiosios šalies teisę užtikrinama tinkama, atsižvelgiant į ES teisę, asmens duomenų, perduodamų remiantis standartinėmis duomenų apsaugos sąlygomis, apsauga ir prireikus suteikiama papildomų garantijų, be tų, kurios numatytos šiose sąlygose;
  • Peržiūrėkite ir atnaujinkite privatumo pranešimus ir kitus dokumentus, jei naudojate ar nurodėte pagrindą asmens duomenų perdavimui į JAV „Privatumo skydą“.

Su ESTT sprendimu (anglų k.) galite susipažinti čia:

Parengė ECOVIS ProventusLaw advokatė Loreta Andziulytė ir ECOVIS ProventusLaw advokato padėjėja Milda Šlekytė

 

Naujienlaiškio prenumerataSusisiekti