Asmens duomenų perdavimui tarp ES ir JAV iškilo grėsmė: ar „Facebook“ pakartos istoriją?
2018 - 10 - 09
2016 m. liepos 12 d. Europos Sąjungos ir Jungtinių Amerikos Valstijų atstovų patvirtintas Privatumo skydu pavadintas susitarimas, kuriuo siekta užtikrinti ES gyventojų asmens duomenų apsaugą juos perduodant JAV įsteigtoms įmonėms, atsidūrė ties pavojinga riba. 2018 m. liepos 5 d. Europos Parlamentas priėmė rezoliuciją, kuria ragina Europos Komisiją suspenduoti Privatumo skydą, jei JAV iki 2018 m. rugsėjo 1 d. neužtikrins ES duomenų apsaugos reikalavimų laikymosi. Nepaisant nustatyto termino, JAV nesiėmė jokių veiksmų, taip palikdama ir Lietuvos įmones, iki šiol pasikliovusias gana patogiu ir greitu būdu transatlantiniam duomenų perdavimui, visiškoje nežinomybėje.
Privatumo skydo svarba
Nėra jokios abejonės, jog transatlantinis duomenų perdavimas tiek Lietuvos, tiek visos Europos mastu turi neišmatuojamą svarbą verslui, tačiau tai jokiu būdu nenuneigia vienos iš pagrindinių asmens teisių – teisės į duomenų apsaugą. Tai suvokdama ir siekdama sudaryti, kuo palankesnes sąlygas JAV bendrovėms gauti ir tvarkyti ES šalių piliečių duomenis, Europos Komisija jau 2000 m. priėmė Saugaus uosto susitarimą. Susitarimas leido JAV įmonėms, savanoriškai įsipareigojusioms laikytis jame išdėstytų privatumo principų ir pranešusioms apie tai JAV Prekybos departamentui, rinkti, gauti ir tvarkyti ES vartotojų duomenis net iki 2015 m. spalio 6 d.
Saugaus uosto susitarimo žlugimą paskatino paprasto teisės studento iš Austrijos, Maximilliano Schremso, kreipimasis į Airijos aukščiausiąjį teismą, perdavusi klausimą dėl Saugaus uosto teisėtumo nagrinėti Europos Sąjungos Teisingumo Teismui (ESTT). Maximilliano kreipimosi į teismą priežastis buvo paprasta – vaikinui tiesiog nepatiko, kaip „Facebook“tvarko vartotojų asmens duomenis, o tiksliau, kad perduoda juos iš Airijos į JAV. ESTT 2015 m. spalio 6 dieną priėmė sprendimą, kuriuo pripažino, jog JAV neužtikrino pakankamos ES gyventojų asmens duomenų apsaugos, todėl Saugaus uosto susitarimas buvo pripažintas negaliojančiu. Teismas savo poziciją grindė argumentu, jog Saugaus uosto sistema užtikrino gerokai mažesnį pagrindinių laisvių ir teisių apsaugos lygį nei to reikalavo tuometinis ES asmens duomenų apsaugos reglamentavimas bei Pagrindinių teisių chartija. Nors ir ne staigi, tačiau pakankamai netikėta Saugaus uosto susitarimo žlugtis įnešė nepaprastai daug sumaišties ir apsunkino daugelio didžiųjų pasaulio kompanijų veiklą.
Nepaisant to, sprendimas buvo priimtas, o Europai ir JAV teko pradėti naujas bei gana ilgas derybas, kurių rezultatu tapo 2016 m. liepos 12 d. „Privatumo skydu“ pavadinta duomenų mainų sutartis tarp JAV ir Europos. Tai sistema, pagal kurią ginamos visų ES gyventojų, kurių asmens duomenys komerciniais tikslais perduodami į JAV, pagrindinės teisės ir sukuriamas teisinis aiškumas verslo subjektams, kurių veikla tiesiogiai priklauso nuo transatlantinio duomenų perdavimo. JAV įmonės gali kreiptis į JAV Prekybos departamentą dėl sertifikavimo, įrodančio, jog duomenų valdymas atitinka Privatumo skyde numatytus aukštus asmens duomenų tvarkymo principus, o, nustačius netinkamo duomenų valdymo ir tvarkymo atvejus – privalo nedelsiant nutraukti transatlantinį duomenų perdavimą ir pašalinti žalą. Iki šiol JAV prekybos departamento išduotų sertifikatų skaičius išties įspūdingas – jau daugiau kaip 3689 JAV įmonių (tarp kurių ir tokios milžinės, kaip „Microsoft“, „Google“ ar „Facebook“) pasinaudojo galimybe efektyviai ir greitai gauti duomenis iš ES.
Kodėl „Privatumo skydui“ gresia „Saugaus uosto“ likimas?
Taigi, kas paskatino Europos Parlamentą paskelbti tokį kontraversišką ultimatumą JAV? Viena iš priežasčių tapo 2018 m. gegužės 25 d. įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR) galutinai įtvirtinęs sugriežtintas sąlygas, kuriomis vadovaujantis įmonės gali perduoti asmens duomenis į ES nepriklausančias šalis. Kitaip tariant, kai Europa nusprendė judėti link dar saugesnio duomenų perdavimo užtikrinimo, JAV liko principinga ir nusprendė nieko nekeisti, o tai nemenkai suerzino atsakingas Europos institucijas. Jei 29 straipsnio duomenų apsaugos darbo grupės bei Europos Komisijos rekomendacijų dėl Privatumo skydo veikimo tobulinimo ignoravimą iš JAV pusės dar buvo galima toleruoti, tai vienas paskutinių akibrokštų – plačiai aptarinėtas „Facebook“-„Cambridge Analytica“ skandalas – galutinai perpildė ES institucijų kantrybės taurę ir paskatino imtis jau nebe deklaratyvių, o realių veiksmų. Būtent todėl 2018 m. liepos 5 d. Europos Parlamente ir buvo priimta rezoliucija, raginanti Europos Komisiją suspenduoti Privatumo skydą.
Tiesa, nors Europos Parlamento rezoliucija ir yra neprivalomo pobūdžio, nėra jokių abejonių dėl jos įtakos Europos Komisijai, kurios sprendimas turėtų paaiškėti jau spalio mėnesį, kuomet ji paskelbs savo kasmetinę ataskaitą apie tai, kaip veikia Privatumo skydas. Tačiau jau dabar aišku viena, jog atsakingų ES institucijų atstovų požiūris gana nedviprasmiškas – Privatumo skydas nebeužtikrina aukščiausio lygio duomenų apsaugos, o JAV nebegali tęsti savo propaguojamos sąstingio politikos, todėl prognozės, jog Privatumo skydo laukia Saugumo uosto likimas, nepaprastai didelės.
Ieškant Privatumo skydo alternatyvų
Kalbos apie galimą Privatumo skydo suspendavimą sukėlė nemenką diskusijų ir pasipiktinimo bangą, ypač tarp technologijų kompanijų, kurių veikla tiesiogiai priklauso nuo transatlantinio duomenų perdavimo. Be jokios abejonės, verslo subjektams tai vienas lengviausiai įgyvendinamų ir jokių milžiniškų investicijų nekainuojantis duomenų perdavimo būdas.Žinoma, Privatumo skydas nėra vienintelė priemonė saugiam duomenų perdavimui tarp ES ir JAV. Remiantis BDAR 44 straipsniu, asmens duomenų perdavimas į trečiąsias valstybes galimas esant tam tikroms sąlygoms, užtikrinančiomis aukštą perduodamų duomenų apsaugą.
Šiuo atveju verslo subjektams, renkantis tinkamą apsaugos priemonę transatlantiniams duomenų perdavimams, svarbiausia atsižvelgti į vystomos veiklos specifiką, duomenų perdavimo mastus bei jų dažnį – tik tai leis pasiekti mažiausiai investicijų reikalaujantį ir efektyviausią rezultatą. Viena realiausių alternatyvų įmonėms galėtų tapti Europos Komisijos patvirtintų Standartinių sutarčių sąlygų įtraukimas į įmonių sudaromas sutartis su JAV esančiais duomenų gavėjais ar tvarkytojais. Vis dėlto pažymėtina, jog šių sąlygų taikymu taip pat nereiktų pasikliauti aklai – šiuo metu jau minėto Maximilliano Schremso dėka klausimas dėl Standartinių sutarčių sąlygų teisėtumo perduodant asmens duomenis taip pat atsidūrė ESTT. Kiti galimi variantai duomenų perdavimams tarp JAV ir ES galėtų būti ir įmonėms privalomos taisyklės, kurios gana ilgą laiką vyravo praktikoje ir į dienos šviesą išlindo būtent su BDAR įsigaliojimu, arba patvirtinti elgesio kodeksai.
Indrė Tamošiūnaitė, advokatų kontoros „COBALT“ asocijuota teisininkė