FACEBOOK, JAV, „PRIVACY SHIELD“: KAS VYKSTA?

Kasdien socialinėje medijoje mirga vis įvairesnės antraštės pranešančios apie Europos Sąjungos Teisingumo Teismo (ESTT) priimtą sprendimą byloje C-311/18 panaikinti 2016 metais priimtą Europos Sąjungos (ES) ir Jungtinių Amerikos Valstijų susitarimą Privatumo skydas (ang. Privacy shield)  dėl asmens duomenų perdavimo. Duomenų apsaugos ekspertai vienas po kito publikuoja savo nuomones dėl susiklosčiusios situacijos, tačiau nuo ko viskas prasidėjo ir ką tai reiškia praktikoje aišku toli gražu ne visiems.

Nuo ko viskas prasidėjo? Vargu, ar rastume technologinės kartos asmenį, kuris nežinotų kas yra „Facebook“. Bene kiekvienas esame šio socialinio tinklo vartotojas: vedame paskyras, užmezgame ir palaikome ryšius, bendraujame su senais pažįstamais, dalinamės savo gyvenimo įvykiais ir kt. Tačiau vargu ar žinome, kaip iš tikrųjų veikia „Facebook“ mechanizmas. Kiekvieno „Facebook“ naudotojo, gyvenančio ES duomenys yra perduodami į JAV, kurios teritorijoje laikomi Facebook Inc. serveriai, kuriuose ir yra toliau saugomi. Taigi nemažos dalies žmonių įsivaizdavimas, kad mano duomenys yra mano paskyroje ir tik mano įrenginyje, kuriame turiu „Facebook“ programėlę yra toli gražu neatitinkantis realybės.

Impulsas nutraukti tokią praktiką kilo austrui Maximilian Schrems.  2013 metais jis pateikė skundą Airijos Priežiūros institucijai teigdamas, kad JAV neužtikrina tinkamo lygio apsaugos iš Europos sąjungos perduodamiems asmens duomenims. Pirminis jo skundas buvo atmestas, tačiau galiausiai šis klausimas pasiekė teismus. Maximilian Schrems reikalavo, kad būtų sustabdytas ir uždraustas asmens duomenų perdavimas į JAV. Bylą gavęs nagrinėti Aukščiausiasis Teismas pateikė prašymą ESTT  įvertinti ar Bendrojo duomenų apsaugos reglamento (BDAR) nuostatos turėtų būti taikomos vertinamu atveju. Šiame procese ir buvo nuspręsta pripažinti Europos komisijos (Komisija) sprendimą 2016/1250 dėl Privatumo skydo negaliojančiu. Pagrįsdamas savo sprendimą ESTT visų pirma atkreipia dėmesį, kad duomenų perdavimui iš valstybėje narėje įsisteigusios įmonės trečiojoje valstybėje esančiam partneriui be abejonės taikomas BDAR. Reglamentas reguliuoja ne tik duomenų procesus ES ribose, tačiau ir duomenims perduodant už jos ribų. Ne mažiau reikšminga tokiu atveju įvertinti ir galimybę įgyvendinti asmens, kaip duomenų subjekto teises. ESTT pažymi, kad vertinant JAV valdžios institucijų įgyvendinamas atitinkamas stebėjimo programas, duomenų subjektams nesuteikiamos teisės, kuriomis jie galėtu remtis ginantis teisme JAV valdžios institucijų atžvilgiu, o taip pat neužtikrinamas tinkamas techninis perduodamų asmens duomenų saugumas, kadangi JAV institucijų naudojami įrankiai gali pažeisti bet kokį šifravimą.

Ką šis sprendimas reiškia šiandien? Nuo šiol bendrovės, perduodančios asmens duomenis į JAV nebegalės naudoti Privatumo skydo ir turės remtis kitais tinkamą duomenų apsaugą užtikrinančiai būdais. Svarbu tai, kad nuo šiol turės būti ne tik įvertinami trečiosios valstybės įstatymai, bet kaip rodo JAV pavyzdys, taip pat labai didelis dėmesys turės būti skirtas galimų valdžios institucijų prieigų ir  galimo poveikio vertinimui.

Duomenų perdavimo į trečiąsias valstybes sąlygas detalizuoja BDAR 45 - 49 str..Vienos populiariausių yra duomenų perdavimas remiantis įmonei privalomomis taisyklėmis (ang. Binding Corporate Rules) ir naudojant standartinių duomenų apsaugos sąlygų sutartį (angl. Standard data protection clauses). Pastarąsias tvirtina Komisija, kuri pranešė, kad greitu metu bus atnaujinta ir pateikta standartinių duomenų apsaugos sąlygų sutarties versija.

Paskelbus apie šį ESTT sprendimą duomenų apsaugos sektoriuje kilo tikra suirutė. Įmonėms kyla vis daugiau klausimų ir neaiškumų.

Bendrovė “Squalio Lietuva” rekomenduoja leisti savo darbą atlikti Jūsų organizacijos duomenų apsaugos pareigūnui. Pagrindinė užduotis- sukoordinuoti duomenų perdavimo į JAV procesus organizacijoje- dabar tenka būtent jam.  Šiuo metu privalu atlikti išsamią konkretaus atvejo analizę ir išsiaiškinti, kokios tolimesnio bendradarbiavimo galimybės kiekvienu iš atvejų yra priimtinos.

Konkretaus atsakymo į klausimą, kaip tai veiks toliau, nėra. Kiekviena organizacija turi surasti sau patrauklų bendradarbiavimo būdą ir skirti pakankamai dėmesio įsitikinant, kad duomenys bus saugūs.