Tarptautinis asmens duomenų judėjimas, kai „Privatumo skydas“ nebegalioja

2020 m. liepos 16 d. Europos Sąjungos Teisingumo Teismo (ESTT) sprendimu „Privatumo skydas“ pripažintas negaliojančiu, todėl duomenų perdavimas gavėjams JAV, kuris buvo grindžiamas gavėjų dalyvavimu „Privatumo skydo“ programoje, neatitinka BDAR keliamų reikalavimų. ESTT pasisakė ir dėl standartinių duomenų apsaugos sąlygų, pastarosios išgyveno. Europos duomenų apsaugos valdyba (Valdyba) pateikė atsakymus į dažniausiai užduodamus klausimus dėl tolimesnio duomenų perdavimo. Visgi, jie nepateikia rekomendacijų dėl asmens duomenų perdavimo priemonių taikymo.

Visi laukiame bei norime aiškių, realistiškų, praktinių bei vieningų priežiūros institucijų rekomendacijų, susijusių su tarptautiniu asmens duomenų judėjimu po ESTT sprendimo. Kol kas Lietuvoje, Estijoje, Suomijoje ir Švedijoje priežiūros institucijos yra pateikusios tik bendro pobūdžio informaciją apie ESTT sprendimą, nukreipiant į Valdybos teikiamą turinį. Tokios praktikos laikosi daugelis priežiūros institucijų ES. Visgi, kol laukiame minėtų rekomendacijų, manau, ypatingai svarbu atlikti paruošiamuosius darbus.

Rekomenduoju atlikti inventorizaciją, kurios metu būtų surenkama informacija apie duomenų gavėjus trečiose šalyse (ne tik JAV!), šalys, kuriose yra įsikūrę duomenų gavėjai bei teisinis pagrindas, kuriuo vadovaujantis vyksta duomenų perdavimas.

Visos organizacijos, kurios vadovavosi „Privatumo skydu“, perduodamos asmens duomenis JAV gavėjams (pvz., dukterinėms kompanijos, palaugų teikėjams), juo vadovautis nebegali, kadangi toks perdavimas yra laikomas neteisėtu. Norint tęsti duomenų perdavimą, būtina ieškoti ir (ar) vertinti žemiau nurodytas alternatyvas.

ESTT sprendimu asmens duomenų perdavimas į trečiasis šalis gali būti vykdomas pagal standartines duomenų apsaugos sąlygas. Visgi, duomenų perdavimas į trečiąsias šalis bus laikomas teisėtu tik tuo atveju, jei bus imtasi papildomų priemonių, kurios užtikrintų lygiavertį apsaugos lygį tam lygiui, kuris yra garantuojamas ES. Vertinant apsaugos lygį, be kita ko, turi būti atsižvelgta ir į trečiosios šalies teisinės sistemos aspektus, jos valdžios institucijų prieigą prie perduotų asmens duomenų.

Taigi, norėdami remtis standartinėmis duomenų apsaugos sąlygomis, turime atlikti vertinimą. Atlikę vertinimą ir nustatę, kad galimos papildomos priemonės neužtikrins tinkamos apsaugos, duomenų perdavimą privalome nutraukti arba sustabdyti duomenų perdavimą, kurį vykdome pagal standartines duomenų apsaugos sąlygas. Ketindami tęsti duomenų perdavimą, nepaisant neigiamų vertinimo rezultatų, turime pranešti apie tai priežiūros institucijai.

ESTT sprendime įmonėms privalomų taisyklių atskirai neanalizuoja. Tai yra teisėtas duomenų perdavimo mechanizmas pagal BDAR. Visgi, Valdybos nuomone, jei duomenų perdavimas gavėjams JAV atliekamas pagal įmonėms privalomas taisykles, jų atžvilgiu taip pat turime atlikti vertinimą ir nustatyti, ar yra užtikrinamas tinkamas apsaugos lygis, taip pat turi būti taikomos papildomas apsaugos priemones. Ketindami tęsti duomenų perdavimą, nepaisant neigiamų vertinimo rezultatų, taip pat turime pranešti apie tai priežiūros institucijai.

Rinkti informaciją, reikalingą duomenų perdavimo į trečiąsias šalis vertinimui atlikti, t. y. identifikuoti Jūsų organizacijai aktualių trečiųjų šalių teisinį reguliavimą, vertinti vietos teisinį reguliavimą, įskaitant vietos valdžios institucijų galimybę pasiekti duomenis, vertinti kokiu pagrindu šie duomenys gali būti valdžios institucijų pasiekiami ir, ar tai atitinka BDAR.