Asmens duomenų perdavimas iš Europos ekonominės erdvės (EEE) į trečiąsias šalis jau daugelį metų yra sparčiai populiarėjanti tema. Bendrasis duomenų apsaugos reglamentas (BDAR) nustato laisvą asmens duomenų judėjimą EEE. Tačiau apsauga, suteikiama asmens duomenims EEE, turi galioti šiems duomenims visada, nepriklausomai nuo vietos, kur tie duomenys atsirastų.
Duomenų eksportuotojai EEE ir duomenų importuotojai trečiosiose šalyse privalo taikyti duomenų perdavimo mechanizmą ir naudoti BDAR V skyriuje nustatytas apsaugos priemones, kad būtų užtikrintas tinkamas asmens duomenų apsaugos lygis.
Iki 2022 m. gruodžio 27 d. reikia pereiti prie naujų standartinių sutarčių sąlygų
Vienas iš tokių duomenų perdavimo mechanizmų yra standartinės sutarčių sąlygos (SSS) – Europos Komisijos iš anksto patvirtintos pavyzdinės duomenų apsaugos sąlygos. Bendrovės, kurių verslo veikla susijusi su asmens duomenų perdavimu į trečiąsias šalis (duomenų eksportuotojai), gali įtraukti SSS į sutartinius susitarimus su duomenų importuotojais ir atitinkamai naudoti jas kaip BDAR atitinkantį duomenų perdavimo mechanizmą.
2021 m. birželio 4 d. Europos Komisija paskelbė naujas ir modernizuotas SSS, skirtas duomenų perdavimui į trečiąsias šalis (plačiau skaitykite čia). Dabar artėja senųjų SSS pakeitimo naujomis SSS terminas: iki 2022 m. gruodžio 27 d. visos bendrovės, naudojančios senąsias SSS, privalo jas pakeisti naujomis SSS, neatsižvelgiant į tai, kada buvo sudarytos duomenų perdavimo sutartys.
Už šios pareigos pažeidimą duomenų apsaugos institucijos gali imtis priemonių ir skirti dideles baudas. Todėl dabar puikus metas bendrovėms pradėti atnaujinti galiojančias duomenų perdavimo sutartis ir užtikrinti, kad derantis dėl naujų sutarčių su verslo partneriais naujosios SSS neliktų nepastebėtos.
Yra reikalingi papildomi poveikio vertinimai
Vis dėlto vien SSS gali nepakakti: 2020 m. liepos 16 d. Europos Sąjungos Teisingumo Teismas priėmė vadinamąjį Schrems II sprendimą (plačiau apie tai čia). Sprendime Schrems II teismas pabrėžė, kad duomenų eksportuotojai privalo kiekvienu konkrečiu atveju įvertinti trečiųjų šalių įstatymus, kurie gali pažeisti privatumo teises.
Šiuo tikslu šalys, prieš sudarydamos SSS, turi atlikti „duomenų perdavimo poveikio vertinimą“, kad patikrintų, ar trečiosios šalies įstatymai ir praktika gali trukdyti duomenų importuotojui tinkamai užtikrinti ir laikytis SSS.
Esant tokiai rizikai, gali prireikti papildomų priemonių, pavyzdžiui, techninių saugumo priemonių arba sutartinių apsaugos priemonių, kad nebūtų pakenkta aukštam duomenų apsaugos lygiui pagal BDAR. Jei papildomų apsaugos priemonių neužtenka asmens duomenų apsaugos lygiui, atitinkančiam BDAR, užtikrinti, asmens duomenų perdavimas turėtų būti sustabdytas.
Siekdama padėti duomenų eksportuotojams ir importuotojams atlikti tokią analizę, Europos duomenų apsaugos valdyba priėmė rekomendacijas su nuosekliomis instrukcijomis.
Asmens duomenų perdavimas į JAV
Šios aukščiau aprašytos analizės reikia laikytis nepriklausomai nuo trečiosios šalies, į kurią ketinama perduoti duomenis. Tačiau duomenų perdavimui į JAV skiriama daugiausia dėmesio, nes bendrovės dažnai turi JAV įsikūrusių tiekėjų ar paslaugų teikėjų.
Byloje Schrems II teismas aiškiai nurodė, kad daugeliu atvejų norint perduoti asmens duomenis į JAV gali nepakakti vien tik SSS naudojimo. Teismas atkreipė dėmesį į tai, kad JAV nacionalinio saugumo įstatymuose, kuriuose naudojamas masinis, beatodairiškas ar be garantijų vykdomas duomenų rinkimas, kelia pavojų ES piliečių duomenims dėl privatumo pažeidimo (pavyzdžiui, EO 12333, FISA § 702, PPD-28, USA PATRIOT Act).
Bendrovės turėtų įvertinti, ar jų duomenys nėra itin pažeidžiami dėl atskleidimo pagal atitinkamus JAV nacionalinio saugumo įstatymus. Nors nacionalinis saugumas yra susijęs su visais duomenimis, tačiau, pavyzdžiui, dvejopo naudojimo technologijomis prekiaujančiai bendrovei šiuo atveju gali kilti ypatinga rizika. Taip pat bendrovės, perduodančios telefonijos duomenis, turėtų įvertinti USA PATRIOT Act § 215, pagal kurį perduotų duomenų kopijos automatiškai tampa prieinamos vyriausybėms, gavus teismo nurodymą.
Duomenų perdavimo už EEE ribų kontrolinis sąrašas
Jei jūsų bendrovė perduoda asmens duomenis už EEE ribų (pvz., pasitelkdama paslaugų teikėjus už EEE ribų), turėtumėte:
- Patikrinti, ar duomenų perdavimui taikomas tinkamas duomenų perdavimo mechanizmas pagal BDAR 5 skyrių.
- Jei kaip duomenų perdavimo mechanizmą naudojate SSS, patikrinti, ar naudojami naujausi SSS rinkiniai. Jei visgi naudojate senas SSS, iki 2022 m. gruodžio 27 d. šias SSS pakeiskite naujomis.
- Atlikti duomenų perdavimo poveikio vertinimą, kad patikrintumėte ar trečiosios šalies įstatymai ir praktika gali trukdyti duomenų importuotojui laikytis SSS. Atliekant vertinimą, ypatingą dėmesį reikėtų atkreipti į šiuos dalykus:
i) įvertinti industrijos ir duomenų tipo riziką bei reguliavimą (t. y. dvejopo naudojimo gaminių gamintojų duomenys gali būti labiau pažeidžiami JAV);
ii) paieškoti orderių išimčių ir kitų masinio ar beatodairiško duomenų rinkimo atvejų. Perduodant duomenis į JAV, svarbu atkreipti dėmesį į EO 12333, FISA 702, PPD-28, ir USA PATRIOT Act;
iii) kiekviename patikrinimo etape naudokitės įvairiais šaltiniais (įskaitant vyriausybinius, nevyriausybinių organizacijų ir akademinius šaltinius);
iv) atkreipkite dėmesį į visų taikomų įstatymų vertinimus (nepamirškite, kad nacionalinio saugumo įstatymai teoriškai taikomi visų rūšių duomenims).
- Sukurkite papildomų metodų sistemą, kuri, nustačius pavojų taikytų skirtingus duomenų apsaugos metodus. Jei tokių papildomų metodų nepakanka, turite sustabdyti duomenų perdavimą.
- Jei nėra pagrindo manyti, kad trečiosios šalies teisės aktai yra problematiški arba, kad jie bus taikomi, dokumentuokite tokios išvados priežastis, nesiimdami papildomų priemonių. Bendrovės, kurios mano, kad galiojantys JAV nacionalinio saugumo įstatymai nekelia grėsmės jų duomenims, turėtų remtis argumentais, kuriuos pateikė JAV prekybos departamentas, Teisingumo departamentas ir Nacionalinės žvalgybos direktorius Schrems II atsakymo Baltuosiuose puslapiuose.