Eiropas Savienības tiesa atzīst ES un ASV privātuma vairogu par neatbilstošu Vispārīgajai datu aizsardzības regulai
2020 - 07 - 21
Autors: Indriķis Liepa, Gabriela Šantare
16. jūlijā Eiropas Savienības tiesa spriedumā lietā Schrems 2 atzina Eiropas Savienības un ASV privātuma vairogu (EU-US Privacy Shield) par personas datu aizsardzības prasībām neatbilstošu un spēkā neesošu, bet standarta līgumu klauzulas – par prasībām atbilstošām.
Lietas faktiskie apstākļi
2008. gadā Austrijas pilsonis Maksimiliāns Šremss (Maximillian Schrems) vērsās Īrijas tiesā ar sūdzību par veidu, kādā Facebook Ireland nodeva viņa personas datus Facebook Inc. (ASV), kas Šremsa ieskatā bija ES personas datu aizsardzības prasībām neatbilstošs. Tā rezultātā 2015. gadā EST atzina EK Drošā patvēruma lēmumu (Safe Harbour decision) par spēkā neesošu (spriedums lietā Schrems I). Īrijas uzraugošā iestāde lūdza Šremsa kungu pārformulēt sūdzību atbilstoši EST spriedumam. Šoreiz Šremss lūdza tiesu izvērtēt ES ASV privātuma vairoga un standarta līgumu klauzulu atbilstību ES personas datu aizsardzības prasībām un jautājumi tika nodoti izvērtēšanai EST.
Tiesa atzina, ka privātuma vairogs nenodrošina pietiekamu personas datu aizsardzību, īpaši vēršot uzmanību uz ASV Nacionālās drošības aģentūras iespējām novērot ienākošos personas datus nacionālās drošības mērķa sasniegšanai nesamērīgā veidā. Standarta klauzulas tiesa atzina par prasībām atbilstošām, tā kā tās uzliek personas datu pārsūtītājam un saņēmējam pienākumu pirms personas datu pārsūtīšanas pārliecināties, ka konkrētās trešās valsts normatīvais regulējums paredz pietiekamu personas datu aizsardzības līmeni, kā arī pienākumu gadījumos, kad aizsardzības līmenis nav pietiekams, nepieļaut personas datu apstrādi.
Privātuma vairogs
ES un ASV privātuma vairogs līdz šim bija viens no rīkiem personas datu pārsūtīšanai no ES uz ASV. Izmantojot privātuma vairogu, ASV uzņēmumiem vispirms jāreģistrējas ASV Tirdzniecības ministrijā kā privātuma vairoga sistēmas lietotājiem (turklāt katru gadu dalība jāatjauno) un jāpilda privātuma principu aprakstā noteiktie pienākumi. ASV Tirdzniecības ministrija uzrauga privātuma principu ievērošanu. Ar privātuma vairoga dalībnieku sarakstu un uzraudzības kārtību iespējams iepazīties šeit.
Standarta līguma klauzulas
Standarta līguma klauzulas ir Eiropas Komisijas pieņemti personas datu pārsūtīšanas līguma paraugi, kas nosaka personas datu nosūtīšanas un apstrādes kārtību. Standarta klauzulu tekstu nevar grozīt un papildināt. Šobrīd EK ir izstrādājusi un apstiprinājusi 3 standarta klauzulas, bet jau kopš 2010. gada EK strādā pie klauzulu modernizēšanas, kas lietošanai varētu tikt drīzumā apstiprinātas.
Ieteikumi turpmākajai darbībai
Līdz ar 16. jūlija sprieduma spēkā stāšanos, personas datu nosūtītāji un saņēmēji ES un ASV vairs nedrīkst izmantot privātuma vairogu un uzņēmumiem ir jāizvēlas citi mehānismi, lai nodrošinātu pietiekamu personas datu aizsardzību, nododot personas datus, piemēram, EK standarta līguma klauzulas. Īpaša vērība jāpievērš rīkiem, kas tiek izvēlēti personas datu nosūtīšanai ASV, jo, saskaņā ar 16. jūlija spriedumā izvirzītajiem nosūtītāja un saņēmēja pienākumiem, arī EK standarta klauzulas var izrādīties ES personas datu aizsardzības prasībām neatbilstošas. Proti, atbilstoši ASV normatīvajam regulējumam, datu apstrādātāji faktiski nespēs izpildīt klauzulu uzliktos pienākumus un būs spiesti pakļauties ASV izlūkošanas iestāžu pieprasījumiem nodot ES personu datus.
Kopumā izvērtējot trešās valsts normatīvā regulējuma atbilstību datu aizsardzības prasībām, ieteicams pārliecināties, vai trešās valsts iestādēm ir paredzētas tiesības piekļūt personas datiem, uz kāda pamata valsts iestādes var piekļūt personas datiem, proti, vai tiesības noteiktas likumā, vai likums ierobežo piekļuves apmēru; vai piekļuves tiesības ir samērīgas ar nacionālās drošības aizsardzības, sabiedrības drošības un noziedzīgu noziegumu novēršanas un sodu izpildes mērķi, vai dati tiek šifrēti vai tokenizēti, kā arī vai likumā paredzēti tiesiskās aizsardzības līdzekļi datu subjektiem.
Papildu jautājumu gadījumā aicinām sazināties ar COBALT partneri Indriķi Liepu un juristi Gabrielu Šantari.