2023 m. liepos 10 d. Europos Sąjungos Komisija priėmė sprendimą, kuris sudaro prielaidas supaprastinta tvarka perduoti asmens duomenis į Jungtines Amerikos Valstijas (JAV).
Plačiau apie šį sprendimą skaitykite šiame straipsnyje.
Kodėl reikėjo šio EK sprendimo?
Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas Europos ekonominės erdvės (EEE) valstybėse (ją sudaro visos Europos Sąjungos (ES) šalys plius Norvegija, Islandija ir Lichtenšteinas).
Asmens duomenų judėjimas EEE ribose yra pakankamai paprastas, nes visi šių valstybių subjektai, valstybiniai ir privatūs, privalo laikytis BDAR, kuris nustato aukštus žmogaus privatumo apsaugos standartus.
Vadovaujantis BDAR, asmens duomenys į trečiąją valstybę, t. y. nepriklausančią EEE, gali būti perduodami tik tuo atveju, jei tokioje šalyje užtikrinamas asmens duomenų apsaugos lygis, kuris yra bent jau toks, kurį nustato BDAR.
JAV nėra EEE nare, todėl jai nėra taikomi BDAR reikalavimai ir asmens duomenų perdavimas į šią valstybę galimas tik laikantis specialių reikalavimų, kurie apsunkina duomenų judėjimą.
Iki 2020 m. buvo taikoma „Privatumo skydo“ (angl. Privacy Shield) programa, kuri sudarė sąlygas supaprastinta tvarka perduoti asmens duomenis iš EEE į JAV. Tačiau 2020 m. liepos mėn. priimtame sprendime „Schrems II” byloje Europos Sąjungos Teisingumo Teismo (ESTT) ši programa buvo pripažinta neatitinkančia ES teisės normų reikalavimų, nes programa neužtikrino privatumo apsaugos tais atvejais, kai JAV specialiosios tarnybos vykdo savo funkcijas.
Po teismo sprendimo neliko sąlyginai greitos ir paprastos procedūros leidžiančios perduoti asmens duomenis į JAV ir daugeliu atveju duomenys buvo teikiami sudarant individualias sutartis dėl duomenų perdavimo, kaip tai numato BDAR.
Minėtų sutarčių turinys yra standartizuotas, nustatomas ES Komisijos, ir numato teisines bei technines priemones, kurių privalo laikytis JAV bendrovė, gaunanti EEE fizinių asmenų duomenis. Tokia praktika buvo nepatogi, be to, nesuteikė teisinio tikrumo, kad sutartis tikrai atitiks BDAR ir duomenų apsaugos institucijų praktiką.
Kaip veikia naujoji ES-JAV programa?
Pavyzdžiui, ES bendrovė ketina perduoti savo klientų asmens duomenis JAV įsteigtai ir veikiančiai įmonei. Prieš duomenų perdavimą, ES bendrovė turi patikrinti ar JAV bendrovė yra sertifikuota pagal duomenų perdavimo programą (angl. EU-U.S. Data Privacy Framework (DPF)). Tą galima padaryti šiame puslapyje: Data Privacy Framework.
Jeigu JAV bendrovė yra sertifikuota pagal „DPF”, duomenys gali būti perduoti tarp ES ir JAV bendrovių sudarius paprastą duomenų perdavimo sutartį, atitinkančią BDAR reikalavimus, tačiau kuri neturi atitikti standartinių ES Komisijos nustatytų perdavimo sąlygų, kurios yra taikomos tais atvejais, kai JAV bendrovė nėra sertifikuota pagal minėtą programą.
Ar visada verta duomenis perduoti pagal naująją programą?
ES-JAV duomenų perdavimo programa tik pradedama taikyti, tačiau jau dabar pasigirsta kritikos balsų iš ES parlamento narių, akademinės bendruomenės ir kitų, kad nebus sugebėta apsaugoti ES piliečių privatumo prieš JAV valdžios institucijas, todėl ši programa turės būti atšaukta.
Tikėtina, kad vėlai ar anksti ESTT nagrinės šį klausimą ir teismas pasisakys programos atitikimo ES teisės aktams klausimu. Tikimybė, kad teismo pozicija bus panaši kaip ir „Privatumo skydo“ programos atveju – itin didelė.
Siekiant išvengti potencialių nepatogumų ir papildomų kaštų, net ir galiojant šiai programai ES ir JAV bendrovėms rekomenduotina santykius plėtoti sudarant duomenų perdavimo sutartis paremtas individualiomis sąlygomis, nustatytomis ES Komisijos.
Pažymėtina, kad bendradarbiavimas pagal minėtas standartines ES Komisijos patvirtintas sąlygas yra privalomas ir tais atvejais, kai JAV bendrovė, kuri sertifikuota pagal naująją programą, asmens duomenis tvarko ar perduoda už JAV ribų.
Daugiau informacijos apie programą
Europos Komisijos priimtą tinkamumo pagal BDAR 45 straipsnį sprendimą galite rasti čia, o papildomos informacijos čia.
___________________
Nuotrauka iš Pixabay.
