Personas datu nosūtīšana no Eiropas Ekonomikas zonas (EEZ) uz trešajām valstīm ir bijusi aktuāla tēma jau gadiem ilgi. Vispārīgā datu aizsardzības regula (VDAR) nosaka personas datu brīvu apriti EEZ ietvaros. Tomēr personas datiem EEZ ietvaros piešķirtajai aizsardzībai ir jāpārvietojas kopā ar datiem neatkarīgi no tā, kur tie nonāk.

Datu eksportētājiem EEZ un datu importētājiem trešajās valstīs ir jāpiemēro datu nosūtīšanas mehānisms un VDAR V nodaļā noteiktās atbilstošās garantijas, lai nodrošinātu adekvātu personas datu aizsardzības līmeni.

Pāreja uz jaunām līguma standartklauzulām ir jāveic līdz 2022. gada 27. decembrim

Viens no šiem nosūtīšanas mehānismiem ir līguma standartklauzulas (LSK) – Eiropas Komisijas iepriekš apstiprinātas datu aizsardzības klauzulas. Uzņēmumi, kuru uzņēmējdarbība ir saistīta ar personas datu nosūtīšanu uz trešajām valstīm (datu eksportētāji), var iekļaut LSK līgumos ar datu importētājiem un attiecīgi izmantot tos kā VDAR atbilstošu datu nosūtīšanas mehānismu.

2021. gada 4. jūnijā Komisija izdeva jaunas un modernizētas LSK datu pārsūtīšanai uz trešajām valstīm (pieejami šeit). Tagad tuvojas termiņš veco LSK nomaiņai pret jaunām: līdz 2022. gada 27. decembrim visiem uzņēmumiem, kuri izmanto vecās LSK, tās jānomaina pret jaunām LSK neatkarīgi no tā, kad datu nosūtīšanas līgums tika noslēgts.

Šī pienākuma pārkāpuma rezultātā datu aizsardzības iestādes var uzlikt par pienākumu piespiedu izpildi, kā arī ievērojamus naudas sodus. Tāpēc ir pienācis laiks uzņēmumiem sākt atjaunināt esošos datu nosūtīšanas līgumus un nodrošināt, lai jaunās LSK nepaliktu nepamanītas, apspriežot jaunus līgumus ar biznesa partneriem.

Joprojām ir nepieciešami papildu ietekmes novērtējumi

Tomēr ar LSK vien var nepietikt: 2020. gada 16. jūlijā Eiropas Savienības Tiesa pasludināja tā dēvēto Schrems II spriedumu (skat. mūsu iepriekšējo rakstu). Lietā Schrems II tiesa uzsvēra, ka datu eksportētājiem katrā gadījumā ir jāveic trešo valstu tiesību aktu novērtējums, kas varētu pārkāpt tiesības uz privātumu.

Šim nolūkam pusēm pirms LSK noslēgšanas ir jāveic “datu nosūtīšanas ietekmes novērtējums”, lai pārbaudītu, vai galamērķa trešās valsts tiesību akti un prakse varētu traucēt datu importētājam ievērot LSK.

Šāda riska gadījumā var būt nepieciešami papildu pasākumi, piemēram, tehniski drošības pasākumi vai līgumiskas garantijas, lai nepieļautu, ka tiek apdraudēts augstais datu aizsardzības līmenis, ko nodrošina VDAR. Ja papildu garantijas nav pietiekamas, lai nodrošinātu personas datu aizsardzības līmeni, kas līdzvērtīgs tam, ko nodrošina VDAR, pārsūtīšana ir jāaptur.

Lai palīdzētu datu eksportētājiem un importētājiem veikt šādu niansētu analīzi, Eiropas Datu aizsardzības kolēģija ir pieņēmusi ieteikumus ar detalizētām instrukcijām, kuras var atrast šeit.

Personas datu nosūtīšana uz Amerikas Savienotajām Valstīm

Šī iepriekš minētā analīze ir jāievēro neatkarīgi no trešās valsts, uz kuru ir paredzēts nosūtīt datus. Tomēr datu nosūtīšanai uz ASV ir pievērsta vislielākā uzmanība, jo  uzņēmumiem bieži ir piegādātāji vai pakalpojumu sniedzēji, kas atrodas ASV.

Lietā Schrems II tiesa skaidri norādīja, ka vairumā gadījumu ar LSK izmantošanu vien var nepietikt, lai pārsūtītu personas datus uz ASV. Tiesa norādīja, ka ASV nacionālās drošības likumi, kuros tiek izmantota masveida, nekritiska vai datu vākšana bez tiesas ordera, pakļauj ES pilsoņu datus privātuma pārkāpumiem. (piemēram, EO 12333, FISA § 702, PPD-28 un ASV PATRIOT Act)

Uzņēmumiem jāizvērtē, vai to dati ir sevišķi neaizsargāti pret izpaušanu saskaņā ar ASV nacionālās drošības tiesību aktiem. Lai gan valsts drošība ir saistīta ar visiem datiem, uzņēmums, kas pārdod, piemēram, divējāda lietojuma tehnoloģijas, sevišķi atrodas šajā riska kategorijā. Tāpat uzņēmumiem, kas pārsūta telefonijas datus, ir jāizvērtē USA PATRIOT Act § 215, kas automātiski padara nosūtīto datu kopijas pieejamas valdībām pēc tiesas rīkojuma.

Kontrolsaraksts datu nosūtīšanai ārpus EEZ

Ja jūsu uzņēmums nosūta personas datus ārpus EEZ (piemēram, izmantojot pakalpojumu sniedzējus ārpus EEZ):

  1. Pārbaudiet, vai uz nosūtīšanu attiecas atbilstošs datu nosūtīšanas mehānisms saskaņā ar VDAR 5.nodaļu.
  2. Ja kā nosūtīšanas mehānismu izmantojat LSK, pārbaudiet, vai tiek izmantotas jaunākās LSK. Ja nē, aizstājiet vecās LSK ar jaunajām līdz 2022. gada 27. decembrim.
  3. Veiciet datu nosūtīšanas ietekmes novērtējumu, lai pārbaudītu, vai galamērķa trešās valsts tiesību akti un prakse varētu traucēt datu importētājam ievērot LSK. Veicot novērtējumu, īpaša uzmanība jāpievērš šādiem aspektiem:
    • nozares un datu veidu risku un aģentūru regulējuma novērtējumam (t.i., divējāda lietojuma ražotāju dati varētu būt vairāk pakļauti ASV iestāžu pieprasījumiem);
    • izņēmumu meklēšanai orderiem un citiem masveida vai neselektīvas datu vākšanas gadījumiem. Attiecībā uz datu nosūtīšanu uz ASV, pievērsiet īpašu uzmanību EO 12333, FISA 702, PPD-28 un ASV PATRIOT likumam;
    • dažādu avotu izmantošanai katrā uzticamības pārbaudes posmā (tostarp valdību, nevalstisko organizāciju un akadēmiskos avotus);
    • visu piemērojamo tiesību aktu novērtējuma dokumentēšanai (atcerieties, ka nacionālās drošības likumi teorētiski ir piemērojami visiem datiem).
  4. Izveidojiet papildu metožu sistēmu, izmantojot dažādas datu aizsardzības metodes, ja tiek konstatēti riski. Ja šādas papildu metodes nav pietiekamas, pārtrauciet nosūtīšanu.
  5. Ja nav pamata uzskatīt, ka trešās valsts tiesību akti ir problemātiski vai ka tiks piemēroti problemātiski tiesību akti, dokumentējiet šī secinājuma iemeslus, neveicot papildu pasākumus. Uzņēmumiem, kuri uzskata, ka pašreizējie ASV nacionālās drošības likumi neapdraud viņu datus, vajadzētu atsaukties uz ASV Tirdzniecības departamenta, Tieslietu departamenta un Nacionālās izlūkošanas direktora pamatojumu atbildē uz Schrems II.

 

Autori:

Igaunija: Mihkel Miidla, Liisa Maria Kuuskmaa, Jürgen Adamson

Latvija: Jūlija Terjuhana

Lietuva: Irma Kirklyte