Perduoti asmens duomenis už Europos Sąjungos ribų tapo sunkiau

Perduoti asmens duomenis už Europos Sąjungos ribų tapo sunkiau

Europos Sąjungos Teisingumo Teismas panaikino Privatumo skydą, 2016 m. atnaujintą Europos Sąjungos susitarimą su Jungtinėmis Amerikos Valstijomis dėl asmens duomenų perdavimo, bei nustatė papildomus kriterijus duomenų perdavimui remiantis standartinėmis duomenų apsaugos sąlygomis. Tai reiškia, kad nuo šiol daugeliui bendrovių bus dar sunkiau perduoti asmens duomenis už Europos Sąjungos ribų.

Bendrasis duomenų apsaugos reglamentas draudžia perduoti europiečių asmens duomenis už Europos Sąjungos ribų, nebent yra užtikrinama tinkama apsauga.

Bendrovės, kurios perduoda klientų ar darbuotojų asmens duomenis trečiojoje valstybėje įsikūrusiems duomenų tvarkytojams ar valdytojams, pavyzdžiui, duomenų saugojimo (debesijos) paslaugas teikiančioms bendrovėms ar atlygio skaičiavimo paslaugas teikiančioms bendrovėms, turi užtikrinti, kad perduodamiems asmens duomenims bus suteikta tinkama duomenų apsauga. Taigi tokioms bendrovėms reikia sudaryti ne tik duomenų tvarkymo sutartis, bet ir pasirinkti vieną iš BDAR nurodomų tinkamų perduodamų asmens duomenų apsaugos būdų.

Tinkamą perduodamų asmens duomenų apsaugą galima užtikrinti keletu būdų:

  • Duomenis perduoti į valstybę, teritoriją ar tarptautinę organizaciją, kurią Europos Komisija yra pripažinusi kaip tinkamą – nustačiusi, kad joje europiečių asmens duomenys bus taip pat saugūs kaip ir Europos Sąjungoje, o europiečiai turės galimybes įgyvendinti savo teises. Pavyzdžiui, tokiomis valstybėmis yra pripažintos Kanada, Šveicarija ir Japonija.
  • Su duomenų gavėju ar tvarkytoju trečiojoje valstybėje sudaryti Europos Komisijos parengtą standartinių duomenų apsaugos sąlygų sutartį (angl. Standart data protection clauses).
  • Duomenis perduoti taikant tinkamas apsaugos priemones, kurių sąrašas yra pateikiamas BDAR 46 straipsnyje. Pavyzdžiui, duomenys įmonių grupės viduje perduoti patvirtinus įmonei privalomas taisykles (angl. Binding Corporate Rules).
  • Jeigu neįmanoma įgyvendinti nė vienos iš šių sąlygų, galima mėginti pasinaudoti nukrypti leidžiančiomis nuostatomis konkretiems atvejams, kurie yra nurodomi BDAR 49 straipsnyje. Pavyzdžiui, duomenų perdavimas būtinas vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo (užsakyti viešbučio kambarį) arba duomenų subjektas aiškiai sutiko su duomenų perdavimu į trečiąją valstybę.
  • Arba perduoti nuasmenintus duomenis.

Perduodant duomenis į valstybę, kuri pripažinta kaip užtikrinanti tinkamą asmens duomenų apsaugos lygį, nereikia imtis papildomų priemonių, todėl tai yra vienas patogiausių būdų perduoti asmens duomenis į trečiąją valstybę. Iki ESTT sprendimo byloje C‑311/18, remiantis šiuo pagrindu buvo galima perduoti asmens duomenis ir JAV esantiems komerciniams duomenų gavėjams, kurie laikėsi Privatumo skydo principų. Tačiau ESTT nustatė, jog  Privatumo skydas neapsaugo europiečių asmens duomenų nuo JAV valdžios galimybės juos gauti bei nesuteikia europiečiams tinkamų teisių ginantis nuo galimo šnipinėjimo.

Kitas patogus duomenų perdavimo būdas yra Standartinių sutarties sąlygų sudarymas su duomenų gavėju trečiojoje valstybėje. Tačiau ESTT išaiškino, jog pasirašant šį susitarimą taip pat turi būti įvertinamos ir trečiosios valstybės į kurią perduodami asmens duomenys, valdžios institucijų galima prieiga prie perduotų asmens duomenų. Taigi, ESTT daugumai bendrovių apsunkino duomenų perdavimą į JAV remiantis ir šiuo pagrindu, kadangi JAV įstatymai bendroves įpareigoja valdžios institucijoms suteikti prieigą prie turimų tiek JAV, tiek trečiųjų šalių piliečių asmens duomenų.

Bendrovės, kurios perduoda asmens duomenis į trečiąsias valstybes pagal standartines duomenų apsaugos sutarčių sąlygas, turi įvertinti, ar tų valstybių valdžios institucijos gali pareikalauti pateikti neproporcingą kiekį saugomų europiečių asmens duomenų.  Jeigu tokia galimybė yra, asmens duomenų remiantis šiuo pagrindu perduoti negalima.

Pavyzdžiui, Lietuvoje elektroninių ryšių (interneto ir telefono ryšio) teikėjai, valdžios institucijoms pareikalavus, privalo suteikti prieigą prie elektroninių komunikacijų duomenų, jeigu to reikia išsiaiškinti sunkius ar labai sunkius nusikaltimus. Tačiau JAV prieiga turi būti suteikiama ne tik prie individualaus asmens (įtariamojo) komunikavimo duomenų, tačiau ir prie stebėjimo programos kriterijus atitinkančių duomenų asmenų, kurie nebūtinai yra įtariami padarę nusikaltimą.

Žinoma, reikalavimas įvertinti kitos šalies įstatymus ar įpareigojimas kitą sutarties šalį informuoti apie įstatymų pasikeitimus apsunkina bendrovių veiklą. Europos Komisija išplatino pranešimą, kad, atsižvelgdama į ESTT sprendimą, papildys šiuo metu kaip tik peržiūrimą patvirtintą Standartinių duomenų apsaugos sąlygų sutartį ir galbūt net parengs saugių valstybių ar sektorių sąrašą.

Bendrovės, kurios asmens duomenis į JAV perduodavo naudodamos Privatumo skydą, turėtų remtis kitais galimais tinkamą perduodamų asmens duomenų apsaugą užtikrinančiais būdais.

 

Raminta Bučiūtė yra advokatų kontoros „Glimstedt“ teisininkė, besispecializuojanti duomenų apsaugos, intelektinės nuosavybės bei technologijų, žiniasklaidos ir komunikacijų teisės srityje.

Užsisakykite svarbiausias naujienas