2020. gada 16. jūlijā Eiropas Savienības Tiesa (EST) pasludināja spriedumu lietā C-311/18 (Schrems II), ar ko atzīts par spēkā neesošu direktīvas par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs, īstenošanas lēmums.
Pirms tam ASV uzņēmums, kuram ir privātuma vairoga sertifikāts, varēja apstrādāt ES rezidentu personas datus, nesniedzot papildu garantijas datu apstrādes aizsardzības nodrošināšanai. Piemēram, “Google” un “Facebook” izmantoja privātuma vairogu ES rezidentu datu apstrādei Amerikas Savienotajās Valstīs.
“Facebook” un “Google” zem lupas
Maksimilians Šrems (Maximilian Schrems) ir Austrijas jurists, pateicoties kuram interneta giganti “Facebook” un “Google” tiek stingri uzraudzīti. Privātuma vairogs ir otrais ASV un ES datu pārsūtīšanas mehānisms, kura atcelšanu Šrems ir panācis. EST lēmums bija nepārprotams – privātuma vairogs negarantē, ka ASV uzņēmumi, īpaši tie, uz kuriem attiecas ASV Kodeksa 18881. daļas a) sadaļa (“FISA 702”), vai kuri nosūta datus ASV valdībai saskaņā ar dekrētu 12.333, apstrādā ES rezidentu personas datus tādā aizsardzības līmenī, kā noteikts Vispārīgajā datu aizsardzības regulā (VDAR). Tiesa secināja, ka ASV masveida uzraudzības prakses nenodrošina atbilstošus aizsardzības līdzekļus un ierobežojumus, kas būtu atbilstoši “līdzsvara” principiem ES tiesību aktos, un ES datu subjektiem nav iespējas saņemt kompensāciju vai aizsardzību administratīvā kārtā vai tiesā, ja viņu dati ir izmantoti ļaunprātīgi.
Spriedums neradīja skaidrību par to, kā rīkoties
EST spriedums noteica, ka datus nedrīkst pārsūtīt uz ASV, izmantojot privātuma vairogu, bet ne tiesa savā spriedumā, ne datu aizsardzības uzraudzības iestādes nav izskaidrojušas, kā vajadzētu būt nodrošinātai datu apstrādes drošībai ASV. Tomēr norādījumu trūkums nenozīmē pārejas periodu, jo spriedums uzreiz stājās spēkā.
Divus mēnešus pēc EST sprieduma Šrems un viņa organizācija NOYB (my privacy is none of your business — latv.: “mans privātums nav jūsu darīšana” ) iesniedza sūdzību datu aizsardzības iestādēm par 101 uzņēmumu, kuru tīmekļvietnes joprojām izmantoja “Facebook Connect” un “Google Analytics”, ko Šrems un organizācija NOYB uzskatīja par rīcību, kas neapšaubāmi ir pretrunā ar spriedumu.
Minētie uzņēmumi nav vienīgie, kas pārkāpj EST spriedumu. Starptautisks juridisko pakalpojumu uzņēmums “Fieldfisher” savā tīmekļa žurnālā un “LinkedIn” veica aptauju par to, kā uzņēmumi gatavojas ieviest no Schrems II sprieduma izrietošās izmaiņas. Tika atklāts, ka 75% respondentiem datu apstrādātāji vai pārziņi atrodas Amerikas Savienotajās Valstīs vai ārpus Eiropas Ekonomikas zonas (EEZ), kas liecina par to, cik plaša ietekme faktiski ir EST spriedumam. Neraugoties uz privātuma vairoga atcelšanu, tikai 12% respondentu plāno aizstāt savus pašreizējos datu apstrādātājus vai pārziņus ar datu apstrādātājiem vai pārziņiem EEZ. Tikai 5% respondentu atbildēja, ka vairs nepārsūtīts datus uz valstīm ārpus EEZ. Aptaujas rezultāti sniedz skaidru piemēro, cik tālu regulatīvās un likumdošanas prakses ir no reālajām datu pārsūtīšanās praksēm mūsdienu uzņēmējdarbības pasaulē.
Igaunijas uzņēmumiem vēl nav jāuztraucas
Privātuma vairoga atcelšana būs jūtama arī Igaunijā, lai gan neviens vēl Datu aizsardzības inspekcijā nav iesniedzis sūdzību par uzņēmumu, kas joprojām izmanto privātuma vairogu datu pārsūtīšanai uz ASV. Kamēr Igaunijas tiesību aktos vēl nav ieviesta administratīvā soda koncepts, Igaunijas uzņēmumi var nomierināties un nebaidīties no sodiem par datu aizsardzības pārkāpumiem. Tomēr administratīvā soda koncepts pašlaik tiek ieviests Igaunijas tiesību aktos (plašāku informāciju skat.: https://www.grantthornton.ee/insights-landing-page/oigusrikkujate-vastutuselevotmine-on-tulevikus-lihtsam-ja-trahvisummad-suuremad).
Ko tas realitātē nozīmē Igaunijas uzņēmumam? Būtu jāpārskata uzņēmuma datu apstrādātāju saraksts, īpaši mākoņpakalpojumu sniedzēji — cik daudz no viņiem atrodas ASV vai ar noslēgtā līguma (vai vispārīgo noteikumu pieņemšanas) valstī, no kuras viņi pārsūta datus uz ASV? Kāds ir šādas datu pārsūtīšanas juridiskais pamats? Ja tas ir privātuma vairogs, būtu jāapsver, vai nav lietderīgi ieviest līguma standartklauzulas vai konkrētu datu apstrādātāju aizstāt ar datu apstrādātāju, kas atrodas EEZ. Ja datu pārsūtīšanai uz ASV jau izmantojat īguma standartklauzulas, tās būtu jāpārskata, lai nodrošinātu, ka līguma standartklauzulās ir noteiktas pietiekamas drošības prasības. Citiem vārdiem sakot, veiciet uzņēmuma datu aizsardzības ietekmes novērtējumu un izlemiet, vai ir atbilstoša jūsu izmantotā datu aizsardzība un informācijas drošības pasākumi. Tas būtu jādara pat tad, ja Eiropā dažādas datu aizsardzības iestādes vēl nav vienojušās, vai līguma standartklauzulu izmantošana ir likumīga vai nav.
Lai gan galvenā uzmanība ir pievērsta datu aizsardzības uzraudzības iestādēm, un oportūnistiski informētāji vispirms būs starptautiskos uzņēmumos, Igaunija uzņēmumi, īpaši
