BDAR: Duomenų perdavimas

09.09.2020 BDAR: Duomenų perdavimas

Komentaro autoriai – partneris Mindaugas Civilka, teisininkė Elvina Jurčiukonytė, jaunesnysis teisininkas Minvydas Balčiūnas.

Kodėl duomenų perdavimas į JAV verslui šiuo metu nerekomenduotinas 

Europos Sąjungos Teisingumo Teismo 2020 m. liepos 16 d. sprendimas: „Schrems II“

Faktinė situacija: Daugelis įmonių tvarkomus asmens duomenis perduoda trečiosioms šalims (už Europos Sąjungos ribų), iš kurių viena pagrindinių krypčių yra JAV. Duomenys perduodami siunčiant juos į savo valdomus serverius, kurie įrengti JAV, taip pat perduodant duomenis kitoms grupės įmonėms, verslo partneriams, veikiantiems JAV, ir pan. Byloje buvo keliamas klausimas, ar toks duomenų perdavimas yra teisėtas pagal BDAR.

Teisinė problema: Asmens duomenys už Europos Sąjungos ribų gali būti perduodami tik laikantis Europos Komisijos patvirtintų pagrindų, kad būtų išlaikyta aukšto lygio apsauga. JAV atžvilgiu, 2016 m. ES ir JAV atstovų buvo patvirtintas „Privatumo skydu“ (angl. EU-US Privacy Shield) pavadintas susitarimas, kuriuo susitarta dėl JAV įsteigtoms bendrovėms iš ES perduodamų duomenų apsaugos užtikrinimo.

„Privatumo skydas“ leido perduoti asmens duomenis JAV esančiai bendrovei su sąlyga, kad ši duomenis tvarko laikydamasi griežtų duomenų apsaugos taisyklių ir saugumo priemonių. JAV bendrovės galėjo savanoriškai užsiregistruoti ir patvirtinti, kad tvarkydamos iš Europos Sąjungos gautus duomenis vadovausis „Privatumo skydu“, o JAV Prekybos departamentas turėjo nuolat stebėti ir tikrinti duomenis apie tokias bendroves.

Šioje byloje teismas įvertino „Privatumo skydą“ kaip neužtikrinantį pakankamo apsaugos lygio. „Privatumo skydas“ buvo pripažintas negaliojančiu.

Kas iš to? Įmonės, kurios perduodamos duomenis (pvz., darbuotojų duomenis, klientų duomenų bazes) į JAV rėmėsi „Privatumo skydu“, privalo nedelsdamos rasti pakaitalą. Tokiu greitu pakaitalu galėtų būti:

  • Asmens sutikimas (rizikingas variantas, nes sutikimas gali būti atšauktas, o darbuotojų atveju galimai negaliojantis);
  • Sutarčių standartinės sąlygos, patvirtintos Europos Komisijos sprendimais (EK sprendimai 2001/497/EC; 2004/915/EC; 2010/87); vien tokių sutarčių pasirašymas negarantuoja tinkamo duomenų perdavimo už ES ribų, kadangi turi būti įvertintas gavėjo taikomas duomenų saugumo ir kitų priemonių kompleksas, jo adekvatumas ir pan.;
  • Kitos BDAR numatytos išimtys, pvz., duomenų perdavimas, kai tai būtina sudarytos sutarties vykdymui.

Taip pat reikėtų įsivertinti, ar yra galimybė keisti duomenų perdavimo kryptį į kitas, Europos Komisijos patvirtintas kaip duomenų saugą tinkamai užtikrinančias valstybes (pvz., Šveicarija, Japonija, Kanada).