SCHREMS II, un final attendu et redouté

SCHREMS II, laukiamas ir baisus finalas

SCHREMS II, laukiamas ir baisus finalas2020 m. liepos 16 d. Europos Sąjungos Teisingumo Teismas pripažino negaliojančiu „Privatumo skydą“ – svarbų susitarimą, kuris sudarė teisinį pagrindą asmens duomenų perdavimui tarp Europos ir Jungtinių Amerikos Valstijų.

Daugiau nei 5 300 JAV bendrovių naudojosi „Skydu“ savo duomenų tvarkymui ir dabar turi pakeisti savo duomenų perdavimo teisinį pagrindą.

Šį sprendimą paskatino Austrijos piliečio Maxo Schremso skundas, kuris jau buvo inicijavęs susitarimo, sudaryto prieš „Skydą“, – „Saugaus uosto principų“, – nutraukimą.

Skundo pateikėjas ginčijo sąlygas, kuriomis „Facebook“ tvarkomi jo duomenys buvo perduoti Jungtinėms Amerikos Valstijoms.

Remdamasis šiuo ginču, Teismas savo sprendime, dažnai vadinamame „Schrems II“, ką tik išanalizavo dviejų teisinių dokumentų, leidžiančių perduoti duomenis už Europos Sąjungos ribų, galiojimą:

  • Standartinės sutarčių sąlygos, kurios iš principo gali būti naudojamos su bet kuria trečiąja šalimi, ir
  • Europos Komisijos sprendimas 2016/1250 dėl „Privatumo skydo“ – susitarimo, pritaikyto duomenų perdavimui į Jungtines Valstijas.

Teismas nepripažino standartinių sutarčių sąlygų negaliojančiomis – scenarijus, kuris daugeliui įmonių ir teisininkų sukėlė šaltą prakaitą.

Tačiau jų naudojimas priklauso nuo konkretaus duomenų eksportuotojo atlikto vertinimo, kaip sąlygos faktiškai taikomos trečiojoje šalyje, atsižvelgiant visų pirma į valdžios institucijų, pavyzdžiui, žvalgybos tarnybų, galimybes susipažinti su duomenimis.

Jei prieiga prie duomenų nesuderinama su sąlygų principais, eksportuotojas, o jei to nepadaro, priežiūros institucija (lygiavertė CNIL), privalo sustabdyti perdavimą.

 

Privatumo skydo atvejuTeismas nusprendė, kad net jei susitarimo principai iš principo užtikrintų iš esmės lygiavertį apsaugos lygį kaip ir Europos Sąjunga, konkretūs reikalavimai, susiję su nacionaliniu saugumu, viešuoju interesu ir Amerikos teisės aktų laikymusi, šiuos principus pavertė neveiksmingais.

Ji nustatė, kad JAV valdžios institucijų stebėjimo įgaliojimų apimtis yra pernelyg didelė pagal Europos teisę ir kad nėra garantuojamos ne JAV piliečių teisės kreiptis į nepriklausomus teismus.

Šios išvados lėmė, kad sprendimas buvo pripažintas negaliojančiu.

O dabar?

Pervedimai į Jungtines Valstijas nebegali būti grindžiami Skydu.

Nors kai kurie renkasi standartines sutarčių sąlygas, šis sprendimas kelia abejonių: šios sąlygos iš principo galioja, tačiau, perduodant duomenis į Jungtines Valstijas, susiduria su ta pačia problema kaip ir „Skydas“: stebėjimo priemonių mastas Amerikos teritorijoje ir nepakankamos atitinkamų asmenų teisių gynimo priemonės.

Kai kurie žmonės kalba apie galimybę užšifruoti duomenis prieš juos perduodant, kad JAV valdžios institucijos jų nepanaudotų, tačiau neatsižvelgiama į tai, kad valdžios institucijos gali teisiškai reikalauti jų iššifravimo.

Europos duomenų apsaugos valdyba (EDAV) liepos 17 d. paskelbė pranešimą spaudai, kuriame apibendrino pradines išvadas ir paskelbė papildomas gaires.

Galima pastebėti šiuos pastebėjimus:

– Teismo sprendimas tiesiogiai veikia duomenų perdavimus į Jungtines Valstijas, tačiau paveikiami ir visi tarptautiniai duomenų perdavimai;

– Standartinių sutarčių sąlygų naudojimas perduodant duomenis į bet kurią trečiąją šalį ir toliau yra įmanomas, tačiau eksportuotojas turi atlikti konkrečius patikrinimus, susijusius su sąlygų turiniu, perdavimo kontekstu ir trečiojoje šalyje taikomu teisiniu režimu (ypač dėl nacionalinio saugumo);

– Jei situacija kelia ypatingą riziką, reikės imtis papildomų priemonių: EDAV šiuo metu stengiasi jas patikslinti.

– Primenama, kad importuotojas privalo informuoti eksportuotoją apie bet kokius teisės aktų pakeitimus, kurie turėtų įtakos sąlygų taikymui ir dėl kurių jos galėtų būti sustabdytos.

Europos Komisija paskelbė, kad pradėjo dialogą su Amerikos kolegomis, siekdama susitarimo, užtikrinančio aukštesnį duomenų apsaugos lygį.

 

Tuo tarpu Maxo Schremso asociacija NOYB („Jums rūpi“) pateikė 101 ieškinį įmonėms, veikiančioms visoje Europos Sąjungoje, įskaitant „Google“, „Facebook“ ir „Microsoft“, arba naudojančioms „Google Analytics“ ir „Facebook Connect“, tačiau nesiėmė jokių veiksmų reaguodama į Teismo sprendimą.

Yra ir kitų duomenų perdavimo galimybių, nei numatyta standartinėse sutarčių sąlygose.

Jie buvo paaiškinti šio naujienlaiškio kovo mėnesio redakcijos straipsnyje.

Alternatyva – tvarkyti duomenis Europos žemėje, o ne juos perduoti.

Tikimasi, kad šis sprendimas paskatins tokių vietinių paslaugų plėtrą.

Ir taip pat

Prancūzija:

  • CNIL (Prancūzijos duomenų apsaugos tarnyba) pradeda tyrimą dėl „TikTok“: be Kinijos bendrovės ir Jungtinių Valstijų konflikto, Europoje atliekami tyrimai dėl programėlės atitikties BDAR. CNIL koordinuoja savo darbą su kitomis priežiūros institucijomis Europos duomenų apsaugos valdybos (EDAV) sistemoje.
  • Vis dar bendradarbiaudama su Europos kolegomis, rugpjūčio 5 d. internetinės prekybos bendrovei „Spartoo“ skyrė 250 000 eurų baudą už BDAR numatytų duomenų mažinimo, saugojimo, informacijos ir saugumo principų nesilaikymą.

Europa:

  • Britanijos priežiūros institucija ICO sulaukė parlamentarų kritikos dėl nepakankamų veiksmų atsižvelgiant į BDAR pažeidimus, ypač COVID-19 pandemijos kontekste.
  • Taip pat Jungtinėje Karalystėje apeliacinis teismas rugpjūčio 11 d. nusprendė, kad Pietų Velso policijos naudojama veido atpažinimo technologija pažeidžia pagrindines teises, įskaitant teisę į duomenų apsaugą.
  • Europos Komisija šiuo metu rengia skaitmeninių paslaugų reglamentą, kuriuo siekiama sustiprinti šias paslaugas vidaus rinkoje ir išaiškinti teisinę sistemą mažoms įmonėms. Europos Parlamentas rengia rekomendaciją šiuo klausimu, kurioje, kaip tikimasi, bus sprendžiami įvairūs duomenų apsaugos klausimai, įskaitant informacijos šifravimą, algoritmų audituojamumą ir biometrinių duomenų apsaugą.
  • Rugpjūčio 4 d. Europos Komisija paskelbė pradėjusi tyrimą dėl „Google“ siūlomo „Fitbit“ įsigijimo. Jos susirūpinimas daugiausia susijęs su duomenų, ypač sveikatos duomenų, koncentracija dominuojančio žaidėjo rankose.

Tarptautinis:

  • Jungtinės Valstijos: liepos 30 d. poveikio analizėje Vidaus saugumo departamentas išsamiai aprašo daugelį metų prie šalies išorinių sienų taikomą praktiką, leidžiančią agentams kopijuoti į Jungtines Valstijas atvykstančių asmenų telefonų ir kompiuterių turinį ir saugoti jį 75 metus.
  • Rugpjūčio pradžioje „Twitter“ patvirtino, kad JAV federalinė prekybos komisija atlieka tyrimą dėl klientų duomenų naudojimo reklamos tikslais.
  • Brazilija: Asmens duomenų apsaugos įstatymas įsigalios rugpjūčio 27 d. Taip pat ką tik įsteigta priežiūros institucija.
  • Taip pat Lotynų Amerikoje Čilė modernizuoja savo duomenų apsaugos įstatymus, o Paragvajuje ir Ekvadore vykdomi reguliavimo projektai.
  • Egiptas birželio 17 d. priėmė įstatymą dėl asmens duomenų apsaugos.

 

Atraskite Viqtor®
lt_LTLT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV sk_SKSK sl_SISL lt_LTLT