Liepos 16 d. sprendimu ESTT „Privatumo
skydo“ susitarimą pripažino neteisėtu. Ką tai reiškia?
ES įsigaliojus BDAR (Bendrajam duomenų
apsaugos reglamentui), duomenų teikimas už ES ribų yra laikomas teisėtu, tik
jei tenkinamos šios sąlygos:
- ES konkrečią valstybę
yra pripažinusi saugia (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en), arba - Duomenis teikianti ir
duomenis gaunanti šalis (įmonės) be jokių pakeitimų yra pasirašiusios
standartines sutarčių sąlygas, patvirtintas ES (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en).
ES – JAV „Privatumo skydo“ susitarimas
buvo analogija pirmajai opcijai, tik pagal jį „saugia valstybe“ buvo pripažinta
ne visos JAV, o konkrečios „Privatumo skydo“ programoje dalyvaujančios JAV
įmonės. Tai reiškia, kad jei JAV įmonė dalyvavo „Privatumo skydo“ programoje,
duomenų teikimas tokiai įmonei buvo laikomas saugiu bei atitinkančiu BDAR.
Ką tai reiškia?
- Šis sprendimas rodo, kad ES antrą
kartą užlipo ant to paties grėblio – tai yra kaip ir ankstesnio vadinamo
„Saugaus uosto“ susitarimo atveju, patvirtino keitimosi tarp JAV ir ES duomenų
sąlygas, kurios negarantavo tinkamos (ES nustatytus standartus atitinkančios)
asmens duomenų apsaugos. - „Privatumo skydu“ asmens duomenų
apsikeitimui naudojosi daugiau kaip 5300 įmonių. Tarp jų ir didelės tarptautinės
korporacijos. „Privatumo skydas“ kai kurių bendrovių naudojamas perduoti
duomenis ne tik apie klientus, bet ir apie darbuotojus. Todėl, negaliojant
„Privatumo skydui“ įmonės, norėdamos teisėtai perduoti asmens duomenis gali
patirti sunkumų tiek organizuojant verslo procesus, tiek ir vidaus
administravimo klausimais (pavyzdžiui, jei įmonių grupė, veikusi pagal
„Privatumo skydą“ naudoja HR programą, valdomą bei aptarnaujamą JAV, ji,
nustojus galioti „Privatumo skydui“, negali teisėtai pateikti duomenų
apie savo darbuotojus); - „Privatumo skydą“ pripažinus
neteisėtu, juo besinaudojančios bendrovės turės ieškoti kitų teisėtų būdų
asmens duomenims perduoti (pavyzdžiui, pasirašyti standartines sutarčių
sąlygas, priimti korporacines taisykles). Tačiau šių būdų procedūrinis
įgyvendinamas gali užtrukti, nes jie turi būti diegiami pagal tam tikras BDAR
nustatytas taisykles; - Pereinamuoju laikotarpiu bendrovės
arba turės stabdyti asmens duomenų perdavimą tarp JAV ir ES, arba teikti
duomenis ir toliau bei rizikuoti susilaukti skundų iš duomenų subjektų dėl
neteisėto duomenų perdavimo; - Nors šis teismo sprendimas, atsirado
kaip kovos prieš vienos bendrovės – Facebook vykdomą socialinio tinklo
naudotojų duomenų perdavimą rezultatas, iš esmės jis paveikė visas bendroves,
kurios pasitikėdamos ES reguliavimu ir tikėdamos, kad ES pasimokė iš „Saugaus
uosto“ susitarimo situacijos, pasirinko „Privatumo skydą“, kaip priemonę,
įteisinančią asmens duomenų keitimąsi tarp JAV ir ES. Teismo sprendimas sukūrė
teisinio netikrumo situaciją, kurios padariniams pašalinti reikia laiko, nes
greitų ir lengvai įgyvendinamų alternatyvų tam nėra.