Asmens duomenų perdavimas Jungtinėms Amerikos Valstijoms: pažangos ataskaita

Teisinis stebėjimas Nr. 55 – 2023 m. sausis

Asmens duomenų perdavimas Jungtinėms Amerikos Valstijoms: pažangos ataskaitaTeisinis netikrumas, šiuo metu slegiantis duomenų mainus tarp Europos ir Jungtinių Valstijų, daro įtaką tokioms konkrečioms sritims kaip kova su būsto trūkumu Prancūzijoje ar internetinių bibliotekų naudojimas Suomijoje.

Bendrovė „Abritel“ atsisakė perduoti savo nuomos duomenis Paryžiaus miestui, nes pastarasis šiam duomenų rinkimui naudojasi paslaugų teikėju, kuris perduoda duomenis Jungtinėms Amerikos Valstijoms.

Paryžiaus teismas 2022 m. lapkričio 30 d. sprendimu priėmė sprendimą Abritel naudai.

Praėjusį gruodį Suomijos duomenų apsaugos tarnyba nustatė, kad keturi miestai, be kita ko, neteisėtai perdavė asmens duomenis į Jungtines Valstijas, naudodamiesi „Google Analytics“ ir „Google Tag Manager“ savo viešosios bibliotekos internetinėse paslaugose.

Šiandieninių perdavimų sudėtingumas daugiausia yra Europos Sąjungos Teisingumo Teismo sprendimų „Schrems I“ ir „Schrems II“, priimtų atitinkamai 2015 m. spalio mėn. ir 2020 m. liepos mėn., pasekmė.

Šiais sprendimais buvo panaikinti vienas po kito ES ir Jungtinių Valstijų sudaryti susitarimai, vadinami „Saugaus uosto principais“ ir „Privatumo skydu“.

2020 m. priimtame sprendime Teismas nusprendė, kad „Privatumo skydas“, nors iš principo užtikrina apsaugos lygį, iš esmės lygiavertį Europos Sąjungos apsaugos lygiui, praktiškai yra neveiksmingas dėl konkrečių reikalavimų, susijusių su nacionaliniu saugumu, viešuoju interesu ir JAV įstatymų laikymusi.

Ji nustatė, kad JAV valdžios institucijų stebėjimo įgaliojimų apimtis yra pernelyg didelė pagal Europos teisę ir kad nėra garantuojamos ne JAV piliečių teisės kreiptis į nepriklausomus teismus.

Nuo šio sprendimo paskelbimo duomenų valdytojai, kuriems taikomas BDAR, privalo imtis specialių atsargumo priemonių prieš perduodami duomenis Jungtinėms Amerikos Valstijoms.

Duomenų apsaugą užtikrinančių sutartinių sąlygų taikymas išlieka viena iš galimybių, jei atliekami konkretūs patikrinimai dėl sąlygų turinio, perdavimo konteksto ir trečiojoje šalyje taikomo teisinio režimo (ypač nacionalinio saugumo srityje).

Jei situacija kelia ypatingą riziką, duomenų valdytojas privalo imtis papildomų priemonių.

Praėjusiais metais Komisija priėmė modernizuotas „standartines sutarčių sąlygas“, kad būtų lengviau jas naudoti, ir paskelbė praktinių patarimų įmonėms.

Europos duomenų apsaugos valdyba savo 2021 m. birželio 18 d. rekomendacijose taip pat paaiškino patikrinimus, kurie turi būti atlikti atliekant perdavimo poveikio analizę.

Tačiau tokius reikalavimus gali būti sunku įgyvendinti, jei duomenų gavėjas užima dominuojančią padėtį.

Paprastesnis sprendimas tokiais atvejais yra naudoti Europos Sąjungoje esančius duomenų apdorojimo sprendimus.

Gruodžio 13 d., po kelis mėnesius trukusių derybų su Jungtinėmis Valstijomis, Europos Komisija paskelbė ilgai lauktą tinkamumo sprendimo projektą dėl duomenų apsaugos lygio abipus Atlanto.

Tarp teisių, kuriomis ES piliečiai pasinaudos pagal naująją teisinę sistemą, Europos Komisija mini teisių gynimo priemonių garantiją, įskaitant nemokamą prieigą prie nepriklausomų ginčų sprendimo mechanizmų ir arbitražo kolegijos.

Be to, jame nurodoma nemažai apribojimų ir apsaugos priemonių, susijusių su JAV valdžios institucijų prieiga prie duomenų, ypač teisėsaugos ir nacionalinio saugumo tikslais.

Šios garantijos kyla iš naujų taisyklių, įvestų 2022 m. spalio 7 d. JAV dekretu, kurios atsakytų į ES Teisingumo Teismo Schrems II sprendime iškeltus klausimus.

Prieš priimant galutinį sprendimą, projektą turi peržiūrėti Europos duomenų apsaugos valdyba (EDAV).

Ši peržiūra gali baigtis sprendimu maždaug per du mėnesius.

Tada sprendimo projektą turės patvirtinti ES valstybių narių atstovų komitetas.

Europos Parlamentas taip pat turi teisę peržiūrėti sprendimus dėl tinkamumo.

Ar kitą pavasarį numatomas galutinis sprendimas suteiks laukiamas garantijas duomenų apsaugos srityje, kai ankstesni susitarimai žlugo?

Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) neseniai optimistiškai pakomentavo projektą: „Tai skiriasi nuo to, ką matėme su „Safe Harbor“. To nematėme su „Privacy Shield“. Tai kažkas naujo ir labai perspektyvaus.“

Savo ruožtu Maxas Schremsas jau paskelbė, kad yra pasirengęs imtis trečio teisinio veiksmo, jei tekstas veiksmingai neapsaugos pagrindinių europiečių teisių.

Ir taip pat

Prancūzija:

CNIL riboto komiteto, atsakingo už sankcijų skyrimą, teigimu, startuolis „Lusha“, kaltinamas 1,5 milijono prancūzų profesinių telefono numerių ir el. pašto adresų pasisavinimu, nepatenka į BDAR taikymo sritį.

Diskusijose daugiausia dėmesio skirta Reglamento 3(2)(b) straipsnio aiškinimui, kuriame numatyta, kad Europos teisė taikoma ne ES įsikūrusioms įmonėms, kai jos atlieka duomenų subjektų „elgesio stebėjimą“: 2022 m. gruodžio 20 d. svarstyme CNIL, atsiribodama nuo savo pranešėjo išvadų, „nemano, kad su asmenimis Sąjungoje susijusių asmens duomenų rinkimas ar analizė internetu būtų automatiškai laikoma „stebėjimu““, ir mano, kad būtina atsižvelgti į duomenų tvarkymo tikslą ir ypač į bet kokią vėlesnę elgesio analizę ar profiliavimo metodus, susijusius su šiais duomenimis.

Gruodžio 29 d. CNIL skyrė „TikTok“ 5 000 000 eurų baudą. už reklamos identifikatorių įdiegimą vartotojų įrenginiuose be išankstinio jų sutikimo.

„TikTok“ slapukų reklamjuostė taip pat buvo pripažinta nepakankamai informatyvia.

Tą pačią dieną ji taip pat suteikė sankcijas bendrovei VOODOO., išmaniųjų telefonų žaidimų leidėja, buvo skirta 3 mln. eurų bauda už tai, kad be vartotojų sutikimo reklamai naudojo daugiausia techninį identifikatorių.

Priešingai dabartinei tendencijai, gruodžio 16 d., pasibaigus pristatymui apie veido atpažinimą vaizdo stebėjimo ir viešųjų laisvių kontekste, Monpeljė miesto taryba nusprendė uždrausti „automatizuoto vaizdų analizės apdorojimo, pagrįsto asmens ar individualiais duomenimis, naudojimą“ savo viešojoje erdvėje.

Įstatymo projektą dėl dirbtinio intelekto naudojimo 2024 m. olimpinių žaidynių kontekste Senatas patvirtino sausio 24 d.

CNIL pateikė pastabas dėl šio teksto, pažymėdama, kad kelios priemonės atitinka jos rekomendacijas: eksperimentinis diegimas, ribotas laiko ir erdvės atžvilgiu, skirtas tam tikriems konkretiems tikslams ir keliantis rimtą pavojų asmenims, biometrinių duomenų tvarkymo ir sutikrinimo su kitais failais nebuvimas, sprendimai, kuriems reikalingas išankstinis žmogaus įsikišimas.

CNIL taip pat pabrėžė nuostatų, numatančių genetinių duomenų tvarkymą antidopingo tyrimams, įkyrųjį pobūdį.

Europa:

Po Airijos pilietinių laisvių tarybos (ICCL) skundo ir ES ombudsmeno 2022 m. gruodžio 19 d. sprendimo Europos Komisija įsipareigojo peržiūrėti duomenų apsaugos institucijų veiksmus, susijusius su BDAR pažeidimais, susijusiais su didžiosiomis technologijų įmonėmis.

Ji įvertins kiekvienam procedūros etapui skirtą laiką ir jo eigą, o ši peržiūra bus atliekama šešis kartus per metus.

Europos duomenų apsaugos valdyba (EDAV) sudarė darbo grupę, kuri išsamiai išnagrinės su slapukais susijusius klausimus..

Sausio 17 d. ataskaitos projekte EDAV paaiškina konkrečius neteisėtus veiksmus, įskaitant:

• Pagrindiniame puslapyje nėra atsisakymo parinkties
• Iš anksto pažymėti langeliai
• Nuorodos į atsisakymo parinktį mažosiomis raidėmis, spausdintos atskiru tekstu
• Nuorodos į atsisakymo parinktį už slapukų juostos ribų
• Teisėto intereso teigimas diegiant nebūtinus slapukus
• Nuolatinės galimybės atšaukti sutikimą nebuvimas.

EDAV patikslina, kad šios išvados atspindi minimalią slapukų vertinimo ribą.

Jie turėtų būti derinami su E. privatumo direktyvos reikalavimais ir aiškinami atsižvelgiant į kitą EDAV darbą, susijusį su tamsiaisiais raštais.

Europos Parlamento specialusis komitetas (PEGA) tirs „Pegasus“ naudojimą ir kita šnipinėjimo programų stebėjimo programinė įranga tęsia savo darbą atlikdama tyrimus, ekspertų apklausas ir faktų rinkimo vizitus į Izraelį, Lenkiją ir Graikiją. Rekomendacijų projektai Parlamentui bus pateikti birželio 10 d.

NVO EDRi sausio 25 d. surengė savo metinę konferenciją „Privatumo stovykla“. kuri suburia skaitmeninių teisių gynėjus, aktyvistus, akademikus ir politikos formuotojus spręsti aktualius žmogaus teisių klausimus.

Pristatymai prieinami internete renginio svetainėje.

Svarbiu 2023 m. sausio 12 d. sprendimu (byla C-154/21) Europos Sąjungos Teisingumo Teismas patvirtino, kad duomenų valdytojas privalo pateikti bet kuriam to paprašiusiam asmeniui sąrašą tikslūs gavėjai jų asmens duomenis, kai jais buvo dalijamasi su trečiosiomis šalimis, o ne tik tam tikrų kategorijų gavėjais.

Kitame sausio 12 d. sprendime (byla C-132/21) ESTT nurodo, kad BDAR numatytos administracinės ir civilinės teisių gynimo priemonės gali būti taikomos kartu ir nepriklausomai vienas nuo kito.

Taigi tuo pačiu klausimu gali būti pradėtos lygiagrečios skundų nagrinėjimo procedūros duomenų apsaugos institucijose (DAI) ir teisiniai procesai.

Valstybės narės turi užtikrinti, kad šių teisių gynimo priemonių taikymas vienu metu nepakenktų nuosekliam ir vienodam reglamento taikymui.

Jungtinės Karalystės parlamente šiuo metu svarstomas internetinio saugumo įstatymo projektas.

Tekste, kuriuo siekiama apsaugoti vaikus, rizikingas turinys, ypač savęs žalojimo turinys, „deep fake“ ir intymių vaizdų dalijimasis be sutikimo, įvardijamas kaip naujos nusikalstamos veikos.

Kritikai atkreipia dėmesį į teksto apibrėžimo ar tikslumo stoką, dėl ko būtų galima pernelyg dažnai ištrinti turinį ir pradėti plačiai taikyti stebėjimą.

„Enforcementtracker“ svetainė pateikiamas priežiūros institucijų taikymų BDAR skirtų finansinių baudų sąrašas: 2022 m. pabaigoje iš viso skirta daugiau nei 830 mln. eurų už 448 baudas, palyginti su 1,3 mlrd. eurų 2021 m.

Nenuostabu, kad Airija, kurioje įsikūrusios didžiausios technologijų bendrovės, užima pirmąją vietą su daugiau nei 80 000 baudų.

Airijos duomenų apsaugos agentūra (DPA) ketvirtadienį, sausio 19 d., paskelbė 5,5 mln. eurų baudą „WhatsApp“, be panašių sprendimų prieš „Facebook“ ir „Instagram“.

„WhatsApp“ naudojamas teisinis pagrindas asmens duomenims tvarkyti (paslaugų tobulinimas ir saugumas) buvo pripažintas prieštaraujančiu Europos teisei.

Šį sprendimą kritikavo pilietinė visuomenė, kuri pažymi, kad, nepaisant sausio 24 d. paskelbto EDPB sprendimo, Airijos valdžios institucija neišsprendė pagrindinio klausimo – duomenų naudojimo elgsena grindžiamai reklamai, rinkodarai, metrinių duomenų teikimo trečiosioms šalims ir keitimosi duomenimis su susijusiomis įmonėmis.

Norvegijos oficialioji paramos parama (OPV) nustatė, kad kurjerių ir logistikos įmonė pažeidė BDAR 32 straipsnį dėl nepakankamo rizikos vertinimo ir tinkamų saugumo priemonių trūkumo.

Programa naudojo telefono numerius kaip vienintelę autentifikavimo priemonę prieigai prie kliento profilio.

Ispanijos valdžia manė, kad Nacionalinė komisija prieš smurtą, rasizmą, ksenofobiją ir netoleranciją sporte negali remtis BDAR 9(2)(g) straipsnio viešojo intereso išimtimi, kad tvarkytų į stadionus patenkančių futbolo gerbėjų biometrinius duomenis.

Italijos oficialioji paramos parama (OPV) sporto klubui skirta 20 000 eurų bauda už neteisėtą pirštų atspaudų sistemos naudojimą darbuotojų dalyvavimui darbe registruoti.

Ji taip pat skyrė 1 mln. eurų baudą energijos tiekėjui „Areti“ už tai, kad jis neteisingai kai kuriuos savo klientus įvardijo kaip sukčius, taip neleisdamas jiems pakeisti energijos tiekėjų.

Estijos oficiali vystymosi parama nusprendė, kad vaizdo stebėjimo kamerų naudojimas darbuotojams stebėti negali būti grindžiamas sutikimu, o tik teisėtu interesu, kaip apibrėžta BDAR 6 straipsnio 1 dalies f punkte, su sąlyga, kad buvo atliktas pagrįstas to intereso vertinimas.

Tarptautinis

„Privatumas projektuojant“ tampa tarptautiniu standartuVasario 8 d. Tarptautinė standartizacijos organizacija (ISO) priims ISO 31700 standartą.

Tai apima 30 reikalavimų ir gairių dėl privatumo užtikrinimo projektuojant principų.

JUNGTINĖS AMERIKOS VALSTIJOS: Be techninių standartų (NIST rizikos valdymo sistemos) kūrimo dirbtinio intelekto politikos srityje, Baltieji rūmai paskelbė dirbtinio intelekto teisių įstatymo projektą.

Kelios JAV valstijos taip pat rengia šios srities įstatymus.

Prezidentas Bidenas neseniai pakartojo šias rekomendacijas skiltyje „Wall Street Journal“, pabrėždamas savo administracijos pastangas kovoti su algoritmine diskriminacija, skatinti algoritminį skaidrumą ir įgyvendinti dirbtinio intelekto valdymo teisės aktus.

Taip pat ir dirbtinio intelekto srityje Sausio 27 d. Europos Komisija ir JAV administracija pasirašė „administracinį susitarimą dėl dirbtinio intelekto visuomenės labui“.

Susitarimas buvo pasirašytas ES ir JAV prekybos ir technologijų tarybos (TTC) posėdžiuose.

„Microsoft“ gruodžio viduryje savo tinklaraštyje paskelbė, kad perkelia savo Europos klientų duomenų saugojimą Europos Sąjungos teritorijoje.

Tačiau ši programa neišsprendžia visų problemų, susijusių su Jungtinių Valstijų prieiga prie Europos duomenų.

Debesijos įstatymas leidžia JAV baudžiamosios teisėsaugos institucijoms prieiti prie JAV debesijos paslaugų teikėjų duomenų, neatsižvelgiant į tai, kur duomenys saugomi, ir nepradedant tarptautinės savitarpio teisinės pagalbos proceso.

Australija kelis mėnesius tapo kibernetinių atakų, nukreiptų prieš jos vyriausybines agentūras ir privatų sektorių, auka.

Šalis įtaria Rusijos ir Kinijos kilmės išpuolius, kuriais siekiama paralyžiuoti šalies institucijas ir verslą bei tiesiogiai paveikti piliečių gyvenimą masiškai skleidžiant asmens duomenis.

Kai kuriems tai yra Vakarų šalių laukiančios ateities pranašystė, pavyzdžiui, keliose Vokietijos geležinkelių sistemose neseniai buvo pastebėti keisti gedimai.

Po to, kai praėjusių metų kovą buvo paskelbtaRusijos vyriausybė oficialiai pasitraukia iš Europos Tarybos 108-osios konvencijos dėl duomenų apsaugos. taip pat visos kitos Europos Tarybos tarptautinės sutartys.

Po šio pranešimo Taryba savo ruožtu įgyvendino oficialų mechanizmą ir vienašališkai nutraukė Rusijos narystę.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.