Pirmasis laimėjimas Facebook byloje: „Saugus uostas” neužtikrina ES gyventojų duomenų saugumo

7 spalio, 2015

Ar pamenate jauno Austrijos teisininko Makso Šremso (Max Schrems) kovą su socialiniu tinklu Facebook dėl vartotojų duomenų kaupimo ir tvarkymo pažeidimų? Vakar šioje kovoje buvo laimėtas pirmasis mūšis: Liuksemburge įsikūręs Europos Sąjungos Teisingumo Teismas (ESTT) nusprendė, jog JAV neužtikrina pakankamos Europos gyventojų asmens duomenų apsaugos, todėl „Saugaus uosto“ sprendimas, supaprastinęs duomenų perdavimą JAV bendrovėms, pripažintas negaliojančiu.

Kodėl Maksas Šremsas suabejojo „Saugaus uosto“ sprendimo teisėtumu?

Dar 1998 metais priimtos Europos Asmens duomenų apsaugos direktyvos (Direktyva) 25 straipsnis numato, jog ES gyventojų duomenys gali būti perduodami trečiai šaliai (pvz., JAV, Kanada, Šveicarija ir kt.), tik jeigu ši šalis užtikrina adekvatų asmens duomenų apsaugos lygį. Siekiant sudaryti palankesnes sąlygas JAV bendrovėms gauti ir tvarkyti Europos gyventojų duomenis, 2000 metais Europos Komisija priėmė „Saugaus uosto“ sprendimą (angl. „Safe Harbor“ decision). Sprendimas leido bet kuriai JAV bendrovei, kuri savanoriškai įsipareigojo laikytis sprendime išdėstytų privatumo principų ir pranešė apie tai JAV Komercijos departamentui (atliko autosertifikavimą), rinkti, gauti ir tvarkyti ES gyvenančių vartotojų duomenis. Tuo pasinaudojo virš 4 tūkstančių JAV bendrovių, įskaitant Google, Yahoo, Facebook, Twitter.  Pavyzdžiui, Facebook, prisijungęs prie „Saugaus uosto“ sistemos, iš Europinės būstinės Dubline (Airijoje) perduoda vartotojų asmens duomenis apdorojimui į JAV.

2013 m. Edvardo Snoudeno (Edward Snowden) paviešinta informacija apie JAV sekimo programų apimtį ir mastą sukėlė abejonių, ar tebėra užtikrinama asmens duomenų, teisėtai perduotų JAV, apsauga. Pasirodo, visos bendrovės dalyvaujančios sekimo programoje PRISM, kuri suteikia JAV valdžios institucijoms neribotą prieigą prie visų JAV teritorijoje saugomų ar tvarkomų duomenų, turi „Saugaus uosto“ sertifikatus. Taip „Saugaus uosto“ sistema tapo informacijos kanalu, per kurį JAV žvalgybos tarnybos gali rinkti asmens duomenis, prieš tai tvarkytus ES.

Reaguodama į tai, Europos Komisija praeitais metais parengė 13 rekomendacijų JAV Vyriausybei dėl šio sprendimo keitimo, tačiau dėl skirtingų požiūrių į teisę į privatumą ir asmens duomenų apsaugą, derybos dėl šių rekomendacijų užsitęsė.

Maksas Šremsas nelaukė derybų pabaigos ir kreipėsi į Airijos asmens duomenų apsaugos Komisarą, prašydamas įvertinti, ar Facebook teisėtai perdavė Europos vartotojų duomenis JAV Nacionalinio saugumo agentūrai (NSA). Komisaras atsisakė nagrinėti šį prašymą, teigdamas, kad tokį duomenų perdavimą reguliuoja Europos Komisijos patvirtintas „Saugaus uosto“ sprendimas, kurio teisėtumo minėtasis Komisaras neturi teisės kvestionuoti. M. Šremsas nesutiko su tokiu vertinimu ir kreipėsi į Airijos aukščiausiąjį teismą, kuris klausimą dėl „Saugaus uosto“ sprendimo teisėtumo perdavė nagrinėti ESTT.

Kodėl Liuksemburgo teismas pripažino „Saugaus uosto“ sprendimą negaliojančiu?

ESTT vakar priimtame sprendime pažymėjo, kad asmens duomenų perdavimas į trečiasis šalis turi būti grindžiamas aukštu apsaugos lygiu, t.y. trečioji šalis savo įstatymais ar tarptautiniais įsipareigojimais turi užtikrinti iš esmės tokį patį pagrindinių laisvių ir teisių apsaugos lygį, kokį garantuoja Asmens duomenų apsaugos direktyva ir ES Pagrindinių teisių chartija.

Teismas išreiškė susirūpinimą, kad „Saugaus uosto“ sprendimo principai privalomi tik savanoriškai įsipareigojusioms JAV privačioms bendrovėms, tuo tarpu JAV valstybės institucijos nėra įpareigotos jų laikytis. „Saugus uostas“ nenurodo, kokiomis teisinėmis priemonėmis JAV savo teritorijoje užtikrina „adekvatų“ duomenų apsaugos lygį. Juo labiau, esant „Saugaus uosto“ ir JAV teisės aktų prieštaravimui, taikoma „nacionalinio saugumo, visuomenės interesų arba JAV teisės aktų reikalavimų vykdymo viršenybė“, o ne asmens duomenų apsaugos principai. Be to, „Saugus uostas“ nenurodo, kokiems pagrindams esant JAV institucijos, pvz. Nacionalinė saugumo agentūra (NSA), gali perimti ES gyventojų duomenis ir taip apriboti teisę į privataus gyvenimo apsaugą nacionalinio saugumo tikslais. „Saugus uostas“ nutyli ir apie prieinamas teisines gynybos priemones, jeigu ES piliečiai nuspręstų ginčyti jų duomenų perėmimą ar kitokį tvarkymą.

ESTT teigimu, Europos Komisija dar 2013 metais konstatavo, kad JAV valstybės institucijos turėjo galimybę susipažinti su Europos gyventojų asmens duomenimis ir tvarkyti juos būdu, neatitinkančiu jų perdavimo tikslų, ir viršijant tai, kas yra griežtai būtina ir proporcinga nacionalinio saugumo apsaugai. Faktas, kad JAV valstybės institucijos turi beveik neribotą priėjimą prie ES gyventojų elektroninės komunikacijos, o gyventojai neturi jokių efektyvių teisinių priemonių tam pasipriešinti, pažeidžia dvi pagrindines teises – teisę į privataus gyvenimo apsaugą ir teisę į veiksmingą teisminę gynybą.

Visos šios aplinkybės leido ESTT pripažinti „Saugaus uosto“ sprendimą negaliojančiu.

Kokios yra šio istorinio teismo sprendimo pasekmės?

Kadangi „Saugaus uosto“ sprendimas nebegalioja nuo š. m. spalio 6 dienos, JAV bendrovės turės surasti kitus mechanizmus, kurie leistų perduoti ES vartotojų duomenis į JAV. Tai gali būti privalomų korporatyvinių taisyklių, kurioms turėtų pritarti ES šalių narių asmens duomenų apsaugą prižiūrinčios institucijos, nustatymas. Užsakomųjų paslaugų teikėjai gali įtraukti papildomas sąlygas į sutartis su vartotojais, tačiau ir šiuo atveju kai kurių ES šalių gyventojų asmens duomenų perdavimui ir tvarkymui bus reikalingas institucijų pritarimas. Visa tai, žinoma, gali apsunkinti JAV bendrovių veiklą ES, kadangi 28 ES šalyse narėse vis dar tebėra taikomos skirtingos asmens duomenų apsaugos taisyklės.

Europos Komisija priimtą ESTT sprendimą įvertino palankiai, teigdama, kad juo buvo paaiškintos svarbios ES gyventojų asmens duomenų apsaugos nuostatos. Ji taip pat akcentavo, kad būtina ir toliau užtikrinti ne tik Europos gyventojų asmens duomenų perdavimo apsaugą, bet ir sklandų jų judėjimą, todėl ketinama, bendradarbiaujant su ES šalių narių asmens duomenų apsaugą prižiūrinčiomis institucijomis, nustatyti vienodas ESTT sprendimą įgyvendinančias gaires, padėsiančias JAV bendrovėms išvengti teisinio reguliavimo neaiškumų.

Tikėtina, kad šis ESTT sprendimas gali paspartinti ir naujo susitarimo dėl duomenų perdavimo tarp ES ir JAV derybas. Visgi, šių derybų sėkmė yra abejotina, kol JAV yra įsitikinusi masinio sekimo reikalingumu ir mano, kad privatumo apsauga yra „pervertinama“.

Tuo tarpu M. Šremso skundų nagrinėjimas dėl Facebook taikomos asmens duomenų tvarkymo praktikos dar nesibaigė: Airijos aukščiausiasis teismas, atsižvelgdamas į ESTT sprendimą, turės išnagrinėti jo prašymą iš esmės. Greičiausiai, Airijos Asmens duomenų apsaugos komisaras bus įpareigotas nuspręsti, ar Facebook teisėtai vykdė Europos vartotojų duomenų perdavimą JAV įsikūrusiai būstinei. Pats M. Šremsas labai apsidžiaugė priimtu ESTT sprendimu ir pridūrė, kad „tai bus kertinis akmuo, siekiant apsaugoti privatumą internete.“ Jo teigimu, „šis sprendimas aiškiai patvirtina, jog masinis sekimas pažeidžia pagrindines teises, tačiau teisinė jų gynyba yra įmanoma“.

Straipsnį parengė Raminta Šulskutė. Šis straipsnis yra Žmogaus teisių stebėjimo instituto rengiamos straipsnių serijos „Skaitmeninės teisės“ dalis. 

Prie šios straipsnių serijos galite prisidėti ir jūs, atsiųsdami savo pageidavimus ar klausimus dėl naujų jus dominančių temų el. paštu skaitmeninesteises@gmail.com.