10.02.2021

PRIVĀTUMA VAIROGA ĒRAI PIENĀCIS GALS – TAGAD SĀKAS JAUTRĪBA!

Kādu dienu mūsu uzņēmumu no kājām gāza klienti ar vienu vienīgu jautājumu — kur mans tirgotājs (turpmāk tekstā termins “tirgotājs” attiecināts arī uz ražotāju) glabā datus?! Un kā ar manu mākoņpakalpojumu sniedzēju? Vai tas nozīmē, ka visi mūsu rīcībā esošie ES pilsoņu dati tiek glabāti ASV?

Vienīgā vēsts, ko varējām atrast, sākot vairāk iedziļināties tirgotāju izstrādātajos noteikumos, bija — “Viss ir droši!”. Reizēm pat bez sīkāka skaidrojuma. Citos gadījumos tirgotāju noteikumos bija norādīts, ka visi ES pilsoņu dati tiek apstrādāti un glabāti tirgotāja filiālē ES, bet turpmākā e-pasta sarakstē atklājās tieši pretējais, proti, visas darbības ar datiem veic tirgotāja filiāle ASV, un dati glabājas serveros ASV, jo tirgotājam gluži vienkārši nemaz nav filiāles Eiropā.

Kā izrādījās, mūsu klientu bažas ir visai pamatotas. Ja jau tirgotāju mājaslapās informāciju atrast nevar un tirgotāja atbildes nesniedz nekādu skaidrību, nākas pieņemt ļaunāko: visa informācija tiek apstrādāta un glabāta ārpus drošajām datu zonām.

Ko un kāpēc lēma Eiropas Savienības Tiesa, un kāds bija lēmuma pamatojums?

2020. gada jūlijā Eiropas Savienības Tiesa atcēla ES–ASV Privātuma vairogu. Tiesa lēma, ka Privātuma vairogā paredzētais datu nosūtīšanas mehānisms neatbilst ES tiesību aktos noteiktajam datu aizsardzības līmenim un ka tas nenodrošina datu drošu nosūtīšanu atbilstoši Vispārīgās datu aizsardzības regulas (VDAR) prasībām. Tiesa noteica, ka ES organizācijām ir jābeidz izmantot Privātuma vairogu kā derīgu mehānismu datu drošai nosūtīšanai un ka organizācijām ir vai nu jāatrod cits veids datu nosūtīšanai ārpus ES, vai arī jāapstrādā dati tepat.

Šī lēmuma galvenais arguments bija Max Schrem sūdzība pret Facebook, jo Facebook nevarēja nodrošināt datu drošu nosūtīšanu ASV, izmantojot Privātuma vairogu vai līguma standartklauzulas.

Schrem lieta visu aizsāka, bet Privātuma vairogs tika atcelts vēl viena iemesla dēļ. ASV uzraudzības likumi ļauj ASV iestādēm piekļūt ES pilsoņu personas datiem, kas tiek nosūtīti Privātuma vairoga ietvaros. Un tas ir tiešs Eiropas Savienības Pamattiesību hartas 52. panta pārkāpums un sava veida brīdinājuma signāls, jo neviens nezina, kādiem personas datiem šīs iestādes ir piekļuvušas un kas ar mūsu datiem notiek dīķa otrā krastā.

Labi, bet īsumā — ko Privātuma vairoga atcelšana nozīmē ES–ASV datu nosūtīšanas attiecībās?

ES organizācijām Privātuma vairoga atcelšana nozīmē, ka katrai valstij ir jāizlemj, kā risināt ar Privātuma vairoga atcelšanu saistītās sekas. ES Tiesa ir pieprasījusi Privātuma vairoga izmantošanas apturēšanu un brīdinājusi, ka organizācijas, kuras to tomēr turpinās izmantot, tiks sodītas. Un kaut gan Tiesa nav atcēlusi līguma standartklauzulas, tā nav ļāvusi tās izmantot atsevišķi. Lai nodrošinātu datu drošu nosūtīšanu, ir jāveic papildu tiesiski, tehniski un organizatoriski pasākumi.

Tajā pašā laikā der atcerēties, ka Brexit dēļ Apvienotā Karaliste Privātuma vairogu joprojām izmanto kā derīgu mehānismu datu pārsūtīšanai uz ASV.

Vai Privātuma vairoga atcelšanai ir kāda lielāka ietekme Apvienotās Karalistes un ASV attiecībās?

Patiesībā Apvienotā Karaliste ir vienā laivā ar ASV, jo abām pusēm līguma standartklauzulas ir palikušas vienīgais derīgais mehānisms datu nosūtīšanai ārpus valsts, kaut gan ASV līguma standartklauzulu izmantošanā ir sešu mēnešu handikaps. Un tas uzskatāmi parāda to, ka no 2021. gada 1. janvāra Apvienotajai Karalistei un datu starptautiskajai nosūtīšanai kopumā ir izaicinājumi.

Kas tiek darīts, lai nodrošinātu, ka uzņēmumi var turpināt drošu datu nosūtīšanu? Vai mums vispār ir kāda cita iespēja?

Kopš Privātuma vairoga atcelšanas ir pagājuši seši mēneši, un Eiropas Savienībā bāzētajām organizācijām ir jāatrod kāda cita droša iespēja datu nosūtīšanai ārpus ES. Pagaidām visas valstis ES ir sagatavojušas atbildi Privātuma vairoga atcelšanai. Bet šīs atbildes ir dažādas, un atšķiras arī to nopietnība.

Mēs šīs valstis iedalām trīs kategorijās.  Pirmajā kategorijā ir valstis, kuras apgalvo, ka ir apturējušas datu jebkādu nosūtīšanu ārpus ES / EEZ un izmanto vietējos mākoņrisinājumus. Dažas valstis norāda, ka izmanto līguma standartklauzulas un papildu drošības normas. Bet trešajā kategorijā ir valstis, kuras vēl nav veikušas nekādus drošības pasākumus un gaida citu ES dalībvalstu atbildi, lai savu darbību saskaņotu ar citu ES valstu izvēlēto rīcību.

Tomēr jānorāda, ka pat esot vienotā tirgū (ES), ar vienādu juridisko regulējumu (VDAR) un apspriežot kopīgas pieejas meklēšanu pie viena galda (Eiropas Datu aizsardzības kolēģija), ES valstis dažus risinājumus piemēro, turoties pie vietējām tradīcijām un prakses. Līdz ar to šajā gadījumā pilnīgi vienota pieeja un viens risinājums visticamāk nemaz nav iespējams.

Kādas problēmas ir izkristalizējušās pēdējo sešu mēnešu laikā, kopš datu droša nosūtīšana tiek pamatota ar līguma standartklauzulām?

Nupat lasītais jau noteikti ir ļāvis secināt, ka ES Tiesa līguma standartklauzulas ir padarījusi par vienīgo veidu, kā organizācijas var nodot datus. Tomēr daudzas organizācijas ir saskārušās ar problēmu, ka klienti ES vairs nevēlas parakstīt līguma standartklauzulas un tā vietā piedāvā savu vienošanās versiju. Šis apstāklis rada sarežģījumus ES–ASV attiecībās, jo vienošanās panākšana ir kļuvusi garāka, laikietilpīgāka un sarežģītāka.

Kamēr Privātuma vairogs bija spēkā, cilvēki līguma standartklauzulas tik bieži nemaz neizmantoja, jo tās ir visai vispārīgas un vecmodīgas, bet tagad, tā kā Privātuma vairogs ir atcelts un nav citu iespēju, organizācijām līguma standartklauzulas nākas likt lietā aizvien biežāk, kaut gan daudzas organizācijas nemaz nezina, kā šīs klauzulas izmantot, lai nodrošinātu datu pietiekamu drošību, un kādi papildu drošības pasākumi* ir nepieciešami.

* Papildu drošības pasākumi tiek noteikti katrā gadījumā atsevišķi, un tie vienmēr ietver tiesiskus, tehniskus vai organizatoriskus pasākumus, kas nodrošina pietiekamu garantiju līmeni.

Vēl viena problēma, ar ko saskaramies, ir fakts, ka līguma standartklauzulas nosaka, ka datu importētājam ir jāinformē datu subjekti par kontaktpunktu un ātri jāizskata visas sūdzības un pieprasījumi.

Bet datu eksportētājam tajā pašā laikā ir jānodrošina, ka datu subjekts piekrīt savu personas datu nosūtīšanai, kā arī datu apstrādes caurredzamība. Tas nozīmē, ka datu subjektiem būtu jāsaņem līguma standartklauzulu kopija un tie būtu jāinformē par jebkādām izmaiņām datu apstrādes nolūkā un jebkuru trešo personu, kam personas dati tiek izpausti.

Ar kādiem papildu sarežģījumiem Apvienotajai Karalistei būs jātiek galā tagad, kad ir noslēdzies Brexit?

Būs jāpārskata iekšējā un ārējā dokumentācija, politika un procedūras, vai arī tās būs jāpielāgo jaunajiem noteikumiem. Ikvienai organizācijai būs rūpīgi jāizvērtē savu procesu drošība un, ja nepieciešams, jāveic pasākumi tās uzlabošanai.

Neliels atgādinājums uzņēmumiem Apvienotajā Karalistē — tagad, papildus VDAR sodiem, uz Apvienoto Karalisti attiecas arī normas par naudas sodu personas datu starptautiskās nosūtīšanas noteikumu pārkāpumu gadījumā.

Bet, ja jau formālā pieeja vairs nav pieņemama, vai vispār šīs normas var izmantot bez galvassāpēm?

Īsi sakot? Nevar.

Bet, runājot nopietni, ja atrodaties ASV vai Apvienotajā Karalistē un ja jums ir jāizmanto līguma standartklauzulas, tad:

  • ievērojiet ES Tiesas rekomendācijas un ieteikumus par datu drošu nosūtīšanu izmantojot līguma standartklauzulas, un šo dokumentu papildinājumus;
  • nodrošiniet, ka datu saņēmējs nodrošina tādu pašu datu aizsardzības līmeni kā jūs un ka tiesību akti datu saņēmēja valstī personas datiem nerada draudus;
  • atcerieties, ka līguma standartklauzulu izmantošana visām datu nosūtīšanā iesaistītajām pusēm — gan datu subjektam, gan eksportētājam, gan importētājam — rada daudz lieku risku.

Lai arī varētu šķist, ka mums ES pilsoņiem datu nosūtīšana nemaz nav tik svarīga, aicinām jums palūkoties uz jūsu izmantotajiem mākoņpakalpojumiem un tirgotājiem: daudzi no šiem pakalpojumu sniedzējiem savus datus glabā ārpus ES / EEZ.

Ja patiesi esat pārliecināts, ka jūsu organizācijas dati nepamet šo kontinentu, vēlreiz aicinām pārbaudīt arī to, vai jūsu dati netiek glabāti arī Apvienotajā Karalistē.

Ja izrādās, ka jūsu dati tomēr tiek glabāti kādā no šīm abām valstīm, neuztraucieties! Sazinieties ar mums!

Mūsu speciālisti ir pieredzējuši profesionāļi IT un VDAR jomā un var palīdzēt jums veikt nepieciešamās izmaiņas, palīdzēt jūsu uzņēmumam ievērot VDAR prasības un nodrošināt, ka personas dati tiek nosūtīti droši un likumīgi.

Šobrīd ir īstais laiks parūpēties par saviem datiem, un, kad citi aptvers, ka viņu dati ir apdraudēti,  būsiet īstais ieguvējs šajā situācijā!

Elizabete Kolomenska

produktu attīstības
projektu vadītāja
datu tehnoloģiju uzņēmumā Squalio