SCHREMS II, un final attendu et redouté

Šrems II, gaidīts un baiss fināls

Šrems II, gaidīts un baiss fināls2020. gada 16. jūlijā Eiropas Savienības Tiesa atzina par spēkā neesošu Privātuma vairogu — svarīgu nolīgumu, kas veidoja juridisko pamatu personas datu pārsūtīšanai starp Eiropu un Amerikas Savienotajām Valstīm.

Vairāk nekā 5300 ASV uzņēmumu izmantoja "Shield" datu apstrādei un tagad tiem ir jāmaina datu pārsūtīšanas juridiskais pamats.

Lēmumu pamudināja Austrijas pilsoņa Maksa Šremsa sūdzība, kurš jau bija ierosinājis pirms vairoga noslēgtā nolīguma jeb "Drošās zonas principu" atcelšanu.

Sūdzības iesniedzējs apstrīdēja nosacījumus, saskaņā ar kuriem viņa apstrādātie dati, ko apstrādāja Facebook, tika nosūtīti uz Amerikas Savienotajām Valstīm.

Pamatojoties uz šo strīdu, Tiesa savā spriedumā, ko bieži dēvē par "Schrems II", tikko ir analizējusi divu tiesību instrumentu, kas atļauj datu pārsūtīšanu ārpus Eiropas Savienības, spēkā esamību:

  • Standarta līguma klauzulas, kuras principā var izmantot ar jebkuru trešo valsti, un
  • Eiropas Komisijas Lēmums 2016/1250 par Privātuma vairogu — nolīgumu, kas ir pielāgots datu pārsūtīšanai uz Amerikas Savienotajām Valstīm.

Tiesa neatzina standarta līguma klauzulas par spēkā neesošām – scenārijs, kas daudziem uzņēmumiem un juristiem lika svīst līdzi.

Tomēr to izmantošana joprojām ir atkarīga no datu nosūtītāja konkrētā novērtējuma par to, kā klauzulas faktiski tiek piemērotas trešajā valstī, jo īpaši ņemot vērā valsts iestāžu, piemēram, izlūkdienestu, iespējas piekļūt datiem.

Ja piekļuve datiem ir nesavienojama ar klauzulu principiem, eksportētāja pienākums ir apturēt pārsūtīšanu, bet, ja tas to nedara, tad uzraudzības iestādes (līdzvērtīgas CNIL) pienākums ir to darīt.

 

Privātuma vairoga gadījumāTiesa lēma, ka pat ja nolīguma principi principā nodrošinātu aizsardzības līmeni, kas būtībā ir līdzvērtīgs Eiropas Savienības aizsardzības līmenim, konkrētās prasības attiecībā uz valsts drošību, sabiedrības interesēm un atbilstību Amerikas tiesību aktiem padara šos principus neefektīvus.

Tā konstatēja, ka ASV iestāžu novērošanas pilnvaru apjoms ir pārmērīgs saskaņā ar Eiropas tiesību aktiem un ka nav garantētas personu, kas nav ASV pilsoņi, tiesības vērsties neatkarīgās tiesās.

Šie konstatējumi lika tai atzīt lēmumu par spēkā neesošu.

Un tagad?

Pārskaitījumi uz Amerikas Savienotajām Valstīm vairs nevar tikt veikti, izmantojot Vairogu.

Lai gan daži pievēršas standarta līguma klauzulām, šis risinājums rada šaubas: šīs klauzulas principā joprojām ir spēkā, taču, izmantojot tās datu pārsūtīšanai uz Amerikas Savienotajām Valstīm, tās saskaras ar to pašu problēmu kā “Shield”: novērošanas pasākumu apmērs Amerikas teritorijā un nepietiekamie tiesiskās aizsardzības līdzekļi attiecīgajām personām.

Daži cilvēki runā par iespēju šifrēt datus pirms pārsūtīšanas, lai novērstu to izmantošanu ASV varas iestāžu rokās, taču tas neņem vērā iespēju varas iestādēm likumīgi pieprasīt to atšifrēšanu.

Eiropas Datu aizsardzības kolēģija (EDPB) 17. jūlijā publicēja paziņojumu presei, kurā tā apkopo savus sākotnējos secinājumus un paziņo par papildu vadlīnijām.

Var atzīmēt šādus novērojumus:

– Tiesas lēmums tieši ietekmē pārskaitījumus uz Amerikas Savienotajām Valstīm, taču tas ietekmē arī visus starptautiskos pārskaitījumus;

– Standarta līguma klauzulu izmantošana datu pārsūtīšanai uz jebkuru trešo valsti joprojām ir iespējama, taču eksportētājam ir jāveic īpašas pārbaudes attiecībā uz klauzulu saturu, pārsūtīšanas kontekstu un trešajā valstī piemērojamo tiesisko regulējumu (jo īpaši attiecībā uz valsts drošību);

– Ja situācija rada īpašus riskus, būs jāveic papildu pasākumi: EDAK pašlaik strādā pie šo pasākumu precizēšanas.

– Tiek atgādināts, ka importētājam ir pienākums informēt eksportētāju par jebkādām izmaiņām tiesību aktos, kas varētu ietekmēt klauzulu piemērošanu un tādējādi izraisīt to apturēšanu.

Eiropas Komisija ir paziņojusi, ka ir uzsākusi dialogu ar saviem kolēģiem Amerikā, lai panāktu vienošanos, kas nodrošinātu augstāku datu aizsardzības līmeni.

 

Tikmēr Maksa Šrema apvienība NOYB ("None Of Your Business") ir iesniegusi 101 prasību tiesā pret uzņēmumiem, kas darbojas visā Eiropas Savienībā, tostarp Google, Facebook un Microsoft, vai izmanto Google Analytics un Facebook Connect, neveicot nekādas darbības, reaģējot uz Tiesas lēmumu.

Pastāv datu pārsūtīšanas iespējas, kas nav paredzētas standarta līguma klauzulās.

Tie tika paskaidroti šī informatīvā biļetena marta redakcijas slejā.

Alternatīva ir pārvaldīt datus Eiropas teritorijā, nevis tos pārsūtīt.

Cerams, ka šis lēmums veicinās šādu vietējo pakalpojumu attīstību.

Un arī

Francija:

  • CNIL (Francijas Datu aizsardzības iestāde) uzsāk izmeklēšanu par TikTok: papildus strīdam starp Ķīnas uzņēmumu un Amerikas Savienotajām Valstīm, Eiropā notiek izmeklēšana par lietotnes atbilstību GDPR. CNIL koordinē savu darbu ar citām uzraudzības iestādēm EDAK ietvaros.
  • Joprojām sadarbojoties ar Eiropas partneriem, CNIL 5. augustā tiešsaistes pārdošanas uzņēmumam Spartoo piesprieda 250 000 eiro sodu par GDPR noteikto datu minimizācijas, saglabāšanas, informācijas un drošības principu neievērošanu.

Eiropa:

  • Lielbritānijas uzraudzības iestāde ICO ir saņēmusi parlamentāriešu kritiku par nepietiekamo rīcību saistībā ar GDPR pārkāpumiem, īpaši COVID-19 pandēmijas kontekstā.
  • Arī Apvienotajā Karalistē apelācijas tiesa 11. augustā lēma, ka Dienvidvelsas policijas izmantotā sejas atpazīšanas tehnoloģija pārkāpj pamattiesības, tostarp tiesības uz datu aizsardzību.
  • Eiropas Komisija pašlaik strādā pie digitālo pakalpojumu regulas, lai stiprinātu šos pakalpojumus iekšējā tirgū un precizētu mazo uzņēmumu tiesisko regulējumu. Eiropas Parlaments šajā kontekstā gatavo ieteikumu, kurā, domājams, tiks risināti vairāki datu aizsardzības jautājumi, tostarp informācijas šifrēšana, algoritmu auditējamība un biometrisko datu aizsardzība.
  • Eiropas Komisija 4. augustā paziņoja, ka tā sāk izmeklēšanu par Google ierosināto Fitbit iegādi. Tās bažas galvenokārt saistītas ar datu, jo īpaši veselības datu, koncentrāciju dominējoša spēlētāja rokās.

Starptautiskās:

  • Amerikas Savienotās Valstis: Iekšzemes drošības departaments 30. jūlija ietekmes analīzē sīki apraksta praksi, kas gadu gaitā novērota uz valsts ārējām robežām, ļaujot aģentiem kopēt Amerikas Savienotajās Valstīs ieceļojošo personu tālruņu un datoru saturu un saglabāt to 75 gadus.
  • Augusta sākumā Twitter apstiprināja, ka ASV Federālā tirdzniecības komisija veic izmeklēšanu par klientu datu izmantošanu reklāmas nolūkos.
  • Brazīlija: Personas datu aizsardzības likums stāsies spēkā 27. augustā. Tikko ir izveidota arī uzraudzības iestāde.
  • Arī Latīņamerikā Čīle modernizē savu datu aizsardzības likumu, un Paragvajā un Ekvadorā tiek īstenoti regulējoši projekti.
  • Ēģipte 17. jūnijā pieņēma likumu par personas datu aizsardzību.

 

Atklājiet Viqtor®
lvLV
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lt_LTLT sk_SKSK sl_SISL lvLV