Eiropas Savienības tiesa atzīst par spēkā neesošu Eiropas Komisijas lēmumu, kas līdz šim nodrošināja iespēju nosūtīt personas datus apstrādei ASV

29.07.2020 Eiropas Savienības tiesa atzīst par spēkā neesošu Eiropas Komisijas lēmumu, kas līdz šim nodrošināja iespēju nosūtīt personas datus apstrādei ASV

Vispārīgā datu aizsardzības regula (Regula) nosaka, ka datu nosūtīšana uz trešajām valstīm ārpus Eiropas Savienības ir iespējama tikai tad, ja ir izpildīti nosacījumi, kas nodrošina fizisku personu datu apstrādei trešajās valstīs tādu pašu aizsardzības līmeni, kā Eiropas Savienībā.

2020. gada 16. jūlijā Eiropas Savienības tiesa spriedumā lietā C-311/18 Data Protection Commissioner / Maximillian Schrems un Facebook Ireland atzina par spēkā neesošu vienu no priekšnosacījumiem iespējai nosūtīt datus apstrādei uz Amerikas Savienotajām Valstīm — Eiropas Komisijas (Komisija) lēmumu par aizsardzības līmeņa pietiekamību datu nosūtīšanai uz ASV 2016/1250 jeb t.s. “privātuma vairogu”, kura pamatā ir ASV organizāciju pašsertifikācijas sistēma.

Savukārt attiecībā uz citu priekšnosacījumu, proti, Komisijas lēmumu 2010/87 par līgumos ietveramajām standartklauzulām personas datu pārsūtīšanai trešās valstīs reģistrētiem apstrādātājiem, tiesa spriedumā uzsvēra nosūtītāja un saņēmēja pienākumu pirms personas datu nosūtīšanas pārbaudīt, vai attiecīgajā trešajā valstī ir ievērots Savienības tiesībās prasītais personas datu aizsardzības līmenis.

Ko tas var nozīmēt Jums:

  • Izvērtējiet, vai nosūtāt personas datus apstrādei ASV teritorijā. Spriedums neattiecas uz cita veida datu nosūtīšanu un apstrādi ASV.
  • Ja nosūtāt personas datus apstrādei ASV, piemēram, glabājat personas datus pie mākoņdatošanas pakalpojumu sniedzēja, kas datus glabā ASV teritorijā, pārbaudiet, kāda Regulas nosacījuma izpildi piemērojāt datu nosūtīšanai, piemēram, nodrošinājāt, ka līgumos tiek ietvertas standartklauzulas saskaņā ar Regulas 46. pantu, nodrošinājāt, ka trešā valstī reģistrēts datu apstrādātājs uzņemas regulatora apstiprinātus saistošus noteikumus uzņēmumu grupas ietvaros, vai paļāvāties uz Komisijas lēmumu 2016/1250 par privātuma vairoga aizsardzības pietiekamību.
  • Ja nosūtāt datus apstrādei ASV, lai izpildītu līgumu ar fizisku personu, vai pamatojoties uz citām atkāpēm, kas noteiktas Regulas 49. panta 1. punktā, spriedums neietekmē šādu datu nosūtīšanu.
  • Ja nosūtījāt datus apstrādei ASV, vienkārši paļaujoties uz Komisijas lēmumu 2016/1250, kas atzīts par spēkā neesošu, ieteicams steidzami nodrošināt atbilstošas garantijas, piemēram, nodrošināt, ka līgumos ar trešajās valstīs reģistrētiem apstrādātājiem ir iekļautas standartklauzulas saskaņā ar Regulas 46. pantu, vai atkārtoti izvērtēt nepieciešamību nosūtīt datus uz ASV.
  • Ja personas datus uz ASV vai citām trešajām valstīm nosūtījāt vai plānojat nosūtīt, nodrošinot, ka līgumos ar trešās valstīs reģistrētiem datu apstrādātājiem ir iekļautas standartklauzulas atbilstoši Komisijas lēmumam 2010/87, ieteicams dokumentēti izvērtēt aizsardzības pietiekamību un atbilstību Savienības tiesībās noteiktajam personas datu aizsardzības līmenim, piemēram, pārliecinoties, ka ASV reģistrēts datu apstrādātājs spēj izpildīt līgumu standartklauzulu nosacījumus.

Pilns Eiropas Savienības tiesas sprieduma teksts pieejams šeit.