Transatlantinis asmens duomenų perdavimas: kaip mus apsaugos Privatumo skydas?

4 spalio, 2016

Šių metų liepos 12 d. Europos Sąjungos ir Jungtinių Amerikos Valstijų atstovai patvirtino Privatumo skydu pavadintą susitarimą, kuriuo siekiama užtikrinti ES gyventojų asmens duomenų apsaugą juos perduodant JAV įsteigtoms įmonėms. Nuo rugpjūčio 1 d. įmonės jau gali registruotis ir JAV Prekybos departamentui pranešti, kad ketina naudotis Privatumo skydu.

Priežastys, lėmusios Privatumo skydo priėmimą

ES Asmens duomenų apsaugos direktyvos 25 straipsnis numato, jog ES gyventojų duomenys gali būti perduodami ne ES šaliai (pvz., JAV, Kanadai ar kt.), tik jeigu ši šalis užtikrina adekvatų asmens duomenų apsaugos lygį. Siekiant sudaryti palankesnes sąlygas JAV bendrovėms gauti ir tvarkyti europiečių duomenis, 2000 m. Europos Komisija priėmė Saugaus uosto sprendimą (angl. Safe Harbor decision). Sprendimas bet kuriai JAV įmonei, kuri savanoriškai įsipareigojo laikytis jame išdėstytų privatumo principų ir pranešė apie tai JAV Prekybos departamentui, leido rinkti, gauti ir tvarkyti ES vartotojų duomenis. Tuo pasinaudojo daugiau nei 4 tūkst. JAV kompanijų (pvz., Google, Yahoo, Facebook, Twitter ir kt.).

eu-us-privacy-shield900x465-good-825x426

Privatumo skydo logotipas. Europos Komisijos nuotr.

2013 m. Edwardui Snowdenui paviešinus informaciją apie JAV sekimo programas, kilo abejonių, ar buvo tinkamai užtikrinta JAV perduotų asmens duomenų apsauga. Paaiškėjo, kad visos įmonės, dalyvavusios sekimo programoje PRISM, turėjo Saugaus uosto sertifikatus ir suteikė JAV valdžios institucijoms neribotą prieigą prie visų JAV teritorijoje saugomų ar tvarkomų Europos gyventojų asmens duomenų.

Po šios informacijos pasirodymo Maxas Schremsas kreipėsi į Airijos asmens duomenų apsaugos komisarą, prašydamas įvertinti, ar Facebook teisėtai perdavė Europos vartotojų duomenis JAV Nacionalinio saugumo agentūrai. Byla pasiekė Airijos aukščiausiąjį teismą, kuris klausimą dėl Saugaus uosto sprendimo teisėtumo perdavė nagrinėti Europos Sąjungos Teisingumo Teismui (ESTT).

ESTT praėjusių metų spalio 6 dieną nusprendė, jog JAV neužtikrino pakankamos ES gyventojų asmens duomenų apsaugos, todėl Saugaus uosto sprendimas pripažintas negaliojančiu. Tokią poziciją teismas grindė tuo, kad Saugaus uosto sprendimas užtikrino gerokai mažesnį pagrindinių laisvių ir teisių apsaugos lygį nei to reikalauja Asmens duomenų apsaugos direktyva ir ES Pagrindinių teisių chartija.

ESTT nustatė, kad Saugaus uosto sprendimas buvo taikomas tik savanoriškai jo laikytis įsipareigojusioms JAV įmonėms, bet ne JAV institucijoms, kurios, kaip paaiškėjo 2013 m., turėjo galimybę susipažinti su Europos gyventojų asmens duomenimis ir tvarkyti juos duomenų perdavimo tikslų neatitinkančiu būdu ir viršijant tai, kas yra griežtai būtina ir proporcinga nacionalinio saugumo apsaugai. Negana to, esant Saugaus uosto ir JAV teisės aktų prieštaravimui, buvo leidžiama taikyti „nacionalinio saugumo, visuomenės interesų arba JAV teisės aktų reikalavimų vykdymo viršenybę“, o ne asmens duomenų apsaugos principus, ir nenurodyta, kokiais atvejais JAV institucijos (pvz., NSA ( angl. National Security Agency) galėjo perimti ES gyventojų duomenis ir taip apriboti jų teisę į privataus gyvenimo apsaugą nacionalinio saugumo tikslais.

Saugaus uosto sprendimo panaikinimas sulaukė didžiulio atgarsio ir sukėlė paniką tarp JAV įmonių, kurios nedelsdamos turėjo savarankiškai pagrįsti ES gyventojų asmens duomenų gavimą, tvarkymą ir valdymą.

Po penkis mėnesius trukusių diskusijų, ES institucijų išreikštos kritikos pirminiam projektui ir JAV bendrovių bei kai kurių ES šalių narių raginimo kuo greičiau priimti sprendimą, liepos 12 d. ES ir JAV įgalioti atstovai oficialiai patvirtino Privatumo skydą.

Kokius pokyčius Privatumo skydas numato ES gyventojams ir JAV įmonėms?

Kaip ir anksčiau pagal Saugiojo uosto sprendimą, JAV įmonės galės savanoriškai užsiregistruoti ir patvirtinti, kad valdydamos ir tvarkydamos ES gyventojų asmens duomenis, vadovausis Privatumo skydu. Tačiau joms nebeužteks paprastai ir lakoniškai informuoti vartotojų apie Privatumo skydo taikymą: vartotojams pateikiamoje informacijoje turės būti išsamiai paaiškinta, kaip bendrovės vykdoma veikla atitinka susitarimo principus, kokias teises turi vartotojai ir kt.

Jos taip pat nebegalės vadovautis Saugaus uosto sprendimo galiojimo metu įsivyravusia praktika „užsiregistravau ir pamiršau“, kadangi registracija dėl dalyvavimo Privatumo skyde turės būti atnaujinama kasmet, o JAV Prekybos departamentas nuolat stebės ir tikrins duomenis apie Privatumo skyde dalyvaujančias įmones, siekdamas užtikrinti jame numatytų taisyklių laikymąsi. Jeigu įmonės nesilaikys nustatytų taisyklių, joms bus skiriamos sankcijos ir jos bus išbraukiamos iš sąrašo.

Be to, JAV įmonės pagal Privatumo skydą valdomus ir tvarkomus asmens duomenis galės perduoti kitoms įmonėms tik sutarties pagrindu ir užtikrinant, kad perduotų duomenų valdymas atitiks Privatumo skyde numatytus principus, o, nustačius netinkamo duomenų valdymo ir tvarkymo atvejus, privalės nedelsiant nutraukti duomenų perdavimą kitai įmonei ir pašalinti žalą.

Privatumo skyde skiriamas ypatingas dėmesys ES gyventojų duomenų apsaugai JAV žvalgybos institucijoms vykdant savo funkcijas: JAV žvalgybos institucijoms nustatyti aiškiai apibrėžti apribojimai prieigai prie Privatumo skyde dalyvaujančių įmonių valdomų ir tvarkomų ES gyventojų asmens duomenų. Kasmet Europos Komisija ir JAV Prekybos departamentas kartu su JAV žvalgybos institucijomis ir Europos duomenų apsaugos institucijomis vertins, ar tinkamai laikomasi Privatumo skyde numatytų įpareigojimų, susijusių su prieiga prie asmens duomenų teisėsaugos ir nacionalinio saugumo tikslais, ir pateiks viešą ataskaitą Europos Parlamentui ir Europos Tarybai. Be to, ES gyventojai, manydami, kad JAV žvalgybos institucijos viršijo suteiktus įgaliojimus, nuo šiol galės kreiptis į Ombudsmeną dėl savo pažeistų teisių gynimo.

Privatumo skydas ES gyventojams taip pat suteikta daugiau galimybių apginti savo pažeistas teises: jie galės teikti skundus jų asmens duomenis valdančioms ir tvarkančioms JAV įmonėms ar nacionalinėms duomenų apsaugos institucijoms, kurios bendradarbiaudamos su JAV Prekybos departamentu ir Federaline prekybos komisija užtikrins, kad skundai būtų išnagrinėti ir išspręsti. Nesant galimybės ginčo išspręsti šiomis priemonėmis, bus pritaikytas arbitražo mechanizmas.

Vis dėlto net ir šios Privatumo skyde numatytos naujovės, turėjusios sustiprinti JAV įmonėms perduodamų ES gyventojų asmens duomenų apsaugą, sulaukia kritikos iš asmens duomenų apsaugos ekspertų. 29 straipsnio darbo grupė, nors ir pritarė Privatumo skydo priėmimui, vis dar laikosi pozicijos, kad naujajame dokumento variante nebuvo numatyta svarbių ES gyventojų asmens duomenų valdymo ir tvarkymo apribojimų. Nepaisant to, 29 straipsnio darbo grupė nusprendė vienerius metus nekelti klausimo ir nevertinti, ar neseniai priimtas Privatumo skydas atitinka ES teisę ir joje numatytus asmens duomenų apsaugos principus.

Tačiau tikėtina, kad tai gali padaryti pats Maxas Schremsas ar kai kurie Vokietijos duomenų apsaugos pareigūnai, kritikavę Privatumo skydą. Galbūt dėl šios priežasties JAV įmonės labai vangiai registruojasi JAV Prekybos departamente: per vieną mėnesį nuo registracijos pradžios mažiau nei 40 JAV įmonių pranešė, kad ketina laikytis Privatumo skyde numatytų principų. Tarp šių įmonių yra Microsoft korporacija, o šios istorijos epicentre visą laiką buvusios Facebook vis dar nėra sąraše.

Straipsnio autorė – Raminta Šulskutė

Šis straipsnis yra Žmogaus teisių stebėjimo instituto rengiamos straipsnių serijos „Skaitmeninės teisės“ dalis.

Prie šios serijos galite prisidėti ir jūs, atsiųsdami savo pageidavimus ar klausimus dėl naujų jus dominančių temų el. paštu skaitmeninesteises@gmail.com