Panaikintas susitarimas dėl asmens duomenų perdavimo tarp ES ir JAV: kas laukia Lietuvos įmonių?

2020 - 07 - 21

Praėjusį ketvirtadienį Europos Sąjungos Teisingumo Teismas (ESTT) paskelbė itin lauktą sprendimą, kuriuo pripažino neveiksniu susitarimą, žinomą kaip „Privatumo skydas“ (angl. Privacy Shield). Susitarimas iki šiol leido daugeliui Lietuvos įmonių gana patogiu, greitu ir didelių investicijų nereikalaujančiu būdu perduoti klientų duomenis JAV įsikūrusiems partneriams ar kitiems kontrahentams. Taigi, natūralu, jog dėl prieštaringai vertinamo ESTT sprendimo visos globaliai veikiančios kompanijos patirs neigiamų padarinių bei bus priverstos ieškoti kitos transatlantinio duomenų perdavimo alternatyvos.

Priežastys, lėmusios Privatumo skydo panaikinimą

ES Bendrasis duomenų apsaugos reglamentas (BDAR) galutinai įtvirtino sugriežtintas sąlygas, kuriomis vadovaujantis įmonės gali perduoti asmens duomenis į ES nepriklausančias šalis. Kitaip tariant, BDAR reikalauja, kad verslas pasirinktų tik tokius mechanizmus, kurie užtikrintų tinkamą ES šalių piliečių asmens duomenų, perduodamų į JAV, apsaugos lygį.

Iki liepos 16 d. tokiu mechanizmu buvo ir 2016 m. liepos 12 d. tarp ES ir JAV pasirašyta duomenų mainų sutartis – Privatumo skydas, turėjęs efektyviau nei iki tol užtikrinti ES gyventojų, kurių asmens duomenys komerciniais tikslais perduodami į JAV, pagrindines teises. Susitarimas tapo gana populiarus dėl palyginus nesudėtingo ir greito savo veikimo: JAV įmonės galėjo kreiptis į JAV Prekybos departamentą dėl sertifikavimo, įrodančio, jog duomenų valdymas atitinka Privatumo skyde numatytus aukštus asmens duomenų tvarkymo principus. Tuo tarpu viskas, ką turėjo atlikti Lietuvos įmonės, tai įsitikinti, ar JAV esanti bendrovė buvo įtraukta į viešai skelbiamą Privatumo skydo dalyvių sąrašą.

Vis dėlto, ne visi buvo patenkinti tokiu supaprastintu asmens duomenų perdavimu. Susitarimo žlugimą labiausiai paskatino Austrijos teisininko ir pagarsėjusio duomenų apsaugos aktyvisto Maximilliano Schremso skundas prieš „Facebook“ (kurios būstinė ES yra įsikūrusi Airijoje) Airijos duomenų apsaugos komisijai.

Schremsas nurodė, jog JAV nesugeba užtikrinti tokio pat lygio duomenų apsaugos lygio kaip ES, todėl kiekvieno duomenų perdavimo JAV įmonėms metu pažeidžiamos ES gyventojų teisės. Airijos duomenų apsaugos komisija klausimą dėl Privatumo skydo teisėtumo perdavė nagrinėti ESTT, kurio sprendimas šiandien jau aiškus. Be jokios abejonės bylos nagrinėjimui didelę įtaką padarė ir JAV Nacionalinio saugumo agentūros kontraktininko Edwardo Snowdeno paviešinta informacija kaip „Facebook“ suteikė JAV saugumo agentūroms prieigą prie ES gyventojų asmens duomenų. Nereiktų pamiršti ir to, jog 2018 m. liepos 5 d. Europos Parlamento rezoliucija JAV buvo įpareigota iki 2018 m. rugsėjo 1 d. užtikrinti ES duomenų apsaugos reikalavimų laikymąsi.

Nepaisant nustatyto termino, JAV nesiėmė jokių veiksmų susidariusiai situacijai pakeisti. Jei rekomendacijų dėl Privatumo skydo veikimo tobulinimo ignoravimą iš JAV pusės ES dar galėjo toleruoti, tai vienas paskutinių akibrokštų – plačiai aptarinėtas „Facebook“-„Cambridge Analytica“ skandalas – galutinai perpildė ES institucijų kantrybės taurę ir paskatino imtis jau nebe deklaratyvių, o realių veiksmų. Taigi, ESTT priimtame sprendime pripažino, jog nors Privatumo skydas ir suteikė pakankamą juo perduodamų asmens duomenų apsaugos lygį, tačiau kartu suteikė galimybę nuo jų nukrypti „tiek, kiek reikia nacionaliniam saugumui, viešajam interesui ar teisėsaugos reikalavimams patenkinti“, todėl „negali užtikrinti iš esmės lygiaverčio apsaugos lygio, kurį garantuoja ES pagrindinių teisių chartija“.

Kaip Lietuvos įmonėms pasirinkti Privatumo skydo alternatyvą

Sprendimas panaikinti Privatumo skydą sukėlė nemenką diskusijų ir pasipiktinimo bangą, ypač tarp globaliai veikiančių kompanijų, kurių pelnas tiesiogiai priklauso nuo transatlantinio klientų duomenų perdavimo.

Žinoma, Privatumo skydo panaikinimas neabejotinai palies ir tūkstančius mažų bei vidutinių įmonių, kasdien perduodančių duomenis JAV įsisteigusiems verslo partneriams ar besinaudojančių įvairiausiomis duomenų tvarkytojų teikiamomis paslaugomis (pavyzdžiui, debesų kompiuterijos paslaugomis, tiekiamomis iš JAV esančių serverių). Todėl šiandien esminis klausimas – kokios galimos Privatumo skydo alternatyvos? Be jokios abejonės Privatumo skydas nėra vienintelė galima priemonė tarptautiniam duomenų perdavimui. BDAR V skyrius numato, jog asmens duomenų perdavimas į trečiąsias valstybes galimas esant tam tikroms sąlygoms, užtikrinančiomis aukštą perduodamų duomenų apsaugą. Tokia apsauga galima naudojantis įvairiomis priemonėmis kaip, pavyzdžiui, įmonėms privalomomis taisyklėmis, Valstybinės duomenų apsaugos inspekcijos leidimu ar Europos Komisijos patvirtintų Standartinių sutarčių sąlygų (SSS) įtraukimu į įmonių sudaromas sutartis. Taigi, Lietuvos įmonėms, renkantis tinkamą apsaugos priemonę, svarbiausia atsižvelgti į vykdomo verslo modelį, duomenų perdavimo mastus, dažnį bei duomenų gavėjų ratą – tik tai leis pasiekti mažiausiai investicijų reikalaujantį ir efektyviausią rezultatą.

Viena realiausių alternatyvų didelėms įmonėms, intensyviai atliekančioms asmens duomenų perdavimus, galėtų tapti Europos Komisijos patvirtintų SSS įtraukimas į sudaromas sutartis su JAV esančiais duomenų gavėjais ar tvarkytojais. Šios duomenų perdavimo priemonės populiarumą lemia tai, kad jos pritaikymas nereikalauja itin didelių laiko sąnaudų ar specialių darbuotojų žinių: būtinųjų, tinkamą duomenų perdavimą užtikrinančių, sąlygų bendras pobūdis leidžia jas lengvai pritaikyti daugelio įmonių veikloje. Vis dėlto pažymėtina, jog šių SSS taikymu taip pat nereiktų pasikliauti aklai – jų taikymo teisėtumo klausimas taip pat buvo atsidūręs ESTT taikinyje ir tik per plauką išvengė Privatumo skydo likimo. Nors ESTT patvirtino SSS kaip tinkamą asmens duomenų perdavimo mechanizmą, kartu pažymėjo, kad bendrovės negali tiesiog pasirašyti SSS ir būti ramios, jog asmens duomenis tvarko pagal BDAR reikalavimus – privaloma imtis papildomų apsaugos priemonių. Kitas galimas variantas duomenų perdavimams tarp JAV bei ES galėtų būti įmonėms privalomos taisyklės, kurios gana ilgą laiką vyravo praktikoje ir į dienos šviesą išlindo būtent su BDAR įsigaliojimu. Taisyklės itin pasitarnautų didesniam bendrą ekonominę veiklą vykdančių įmonių ratui, pavyzdžiui, verslo partneriams.

Didžiausias privalomų taisyklių pranašumas tas, jog jos yra patvaresnės už Standartines sutarčių sąlygas, individualizuotos ir garantuoja didesnį teisinį aiškumą – priežiūros institucijai tereikia jas kartą patvirtinti ir tai leis užtikrinti tinkamą duomenų apsaugą visiems būsimiems duomenų perdavimams įmonių viduje be jokių kitų papildomų formalumų ar kaštų. Tiesa, šios taisyklės reikalauja nemažai laiko ir dėmesio: jos turi būti ne tik patvirtintos kompetentingos priežiūros institucijos, atitikti konkrečius BDAR ir 29 straipsnio darbo grupės (ją įsigaliojus BDAR pakeitė Europos duomenų apsaugos valdyba) gairėse įtvirtintus turinio reikalavimus, bet ir suderintos su visomis bendrą ekonominę veiklą vykdančiomis įmonėmis. Galiausiai, transatlantinis duomenų perdavimas gali būti vykdomas ir remiantis priežiūros institucijos išduotu leidimu, tačiau organizacija turi būti nustačiusi tinkamas duomenų apsaugos priemones asmens privataus gyvenimo neliečiamumui, kitoms duomenų subjekto teisėms apsaugoti ir įgyvendinti. Tokios apsaugos priemonės turi būti išdėstytos asmens duomenų teikimo į JAV sutartyje arba kitame rašytinės formos dokumente. Žinoma, priežiūros institucija gali ir atsisakyti išduoti leidimą teikti asmens duomenis į JAV, o svarstymas kiekvienu atveju užtrunka net iki 60 dienų.

Pabaigai būtina pabrėžti, kad verslo subjektai taip pat turėtų nepamiršti tinkamo visų, su duomenų perdavimu susijusių, veiksmų įtvirtinimo vidiniuose dokumentuose. Tai visuomet leis įrodyti tiek priežiūros institucijai, tiek duomenų subjektams visas vykdomo duomenų perdavimo į JAV aplinkybes bei teisėtumą ir padės išvengti milžiniškų BDAR numatytų baudų ar bent jau jas sušvelnins.

Indrė Tamošiūnaitė, advokatų kontoros „Cobalt“ asocijuota teisininkė