Pieņemot vienu no līdz šim svarīgākajiem spriedumiem (2020. gada 16. jūlija spriedums lietā C-311/18 “Datu aizsardzības komisārs pret Facebook Ireland & Maximillian Schrems), kurā uzsvērtas pamattiesības uz privātumu saistībā ar personas datu nosūtīšanu uz trešajām valstīm, Eiropas Savienības Tiesa (“EST”) vēlreiz apliecina, cik svarīgi ir uzturēt augsta līmeņa aizsardzību personas datiem, kas no EEZ valstīm tiek nosūtīti uz trešajām valstīm. Spriedums ir radījis virkni jautājumu par juridisko pamatu personas datu nosūtīšanai uz trešajām valstīm. Tā kā spriedumā uzsvērta nosūtīšana uz ASV, šajā rakstā noskaidrosim, kā uzņēmumiem rīkoties šobrīd, kad spriedums stājies spēkā.

Vispārīgajai datu aizsardzības regulai (“VDAR”) atbilstošas un drošas fizisko personu datu apstrādes un aizsardzības prasības attiecas uz jebkādām ar fizisko personu datiem veiktām darbībām. Uzņēmumiem, kas plāno datus nosūtīt ārpus EEZ, jārēķinās, ka šāda veida datu apstrādei ir piemērojamas papildu prasības, lai datus vispār varētu apstrādāt.

Eiropas Komisija līdz šim bija atzinusi, ka ES un ASV privātuma vairogs nodrošina pienācīgu aizsardzības līmeni personas datiem, kas no ES tiek nodoti ASV uzņēmumiem. Pēc EST sprieduma stāšanās spēkā ir skaidrs, ka situācija ir mainījusies. Lai gan privātuma vairoga mērķis ir aizsargāt jebkuras ES esošās personas datus, kas komerciālos nolūkos nodoti ASV uzņēmumiem, turpmāk ar šī vairoga sniegtajām garantijām varētu būt krietni par maz, lai personas datus nodotu likumīgi.

Pirmkārt, uzņēmumam ir svarīgi saprast, kādi personas dati tiek vai varētu tikt nodoti ASV uzņēmumam un ar kādu mērķi. Pamatā personas datus nodod darījuma vajadzībām, tos ievācot un tālākai apstrādei izmantojot ASV (piemēram, klienta vai darbinieka vārds un uzvārds, tālruņa numurs, e-pasta adrese vai jebkāda cita informācija, ar kuras palīdzību var identificēt fizisko personu). Šādā veidā ES uzņēmums vai, piemēram, kāda ASV uzņēmuma filiāle vai partneruzņēmums Eiropā nodod personas datus ASV uzņēmumam to tālākai apstrādei ASV. Šādi darījumi parasti notiek, iegādājoties preces un pakalpojumus internetā, izmantojot sociālos plašsaziņas līdzekļus un mākoņdatošanas pakalpojumus, vai arī strādājot ES uzņēmumos, kuriem, piemēram, ar personāla vadību saistītus pakalpojumus nodrošina kāds ASV uzņēmums (piemēram, mātes sabiedrība ASV).

Uzņēmumi, kas šādā veidā nodod datus, līdz šim uzskatīja, ka privātuma vairogs nodrošina augsta līmeņa aizsardzību. Nebaidoties pieļaut personas datu aizsardzības pārkāpumus, uzņēmumi veica personas datu apstrādi, pārsūtot tos ASV uzņēmumiem ar nosacījumu, ka personas datu saņēmējs tos apstrādā (piemēram, glabā vai nodod tālāk) saskaņā ar stingriem datu aizsardzības noteikumiem un privātuma vairoga ieviestiem pasākumiem. Šobrīd EST ir atcēlusi Eiropas Komisijas lēmumu 2016/1250 par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs, tomēr atzīst par spēkā esošu Komisijas lēmumu 2010/87 par līguma standartklauzulām attiecībā uz personas datu pārsūtīšanu trešās valstīs reģistrētiem apstrādātājiem.

Lai gan līguma standartklauzulas joprojām ir spēkā, EST uzsver, ka jāsaglabā tāds datu aizsardzības līmenis, kāds ir būtībā līdzvērtīgs VDAR garantētajam aizsardzības līmenim. Uzņēmums, kas nosūta personas datus uz trešo valsti (tostarp ASV), ir atbildīgs par to, vai šī valsts nodrošina pienācīgu aizsardzību, veicot VDAR atbilstošus pasākumus.

Otrkārt, saprotot, kādi ir dati un vai tos var pārsūtīt uz trešo valsti (tostarp ASV), uzņēmumam jāizdara secinājumi par prasību turpmāko ievērošanu atbilstoši VDAR un EST spriedumam:

• Līdzējiem, kas iesaistīti datu nodošanā un tālākajā apstrādē, jācenšas nodrošināt papildu drošības pasākumus, lai mazinātu riskus, it īpaši jāveic datu šifrēšana, kā arī atsevišķos gadījumos anonimizācija vai pseidonimizācija, lai datiem varētu piekļūt tikai uzņēmums, kas tos nosūtījis uz ASV;
• ES uzņēmumam, kas nodod personas datus trešās valsts uzņēmumam, ir jāizvērtē, kādā veidā to saņēmējs ievēro VDAR atbilstošas prasības, un jāpārliecinās, ka datiem tiek nodrošinātas VDAR paredzētās tiesības;
• Uzņēmumam jāizvērtē, kādi ir tā sadarbības partneri trešajās valstīs, kā arī jāizvērtē un jādokumentē personas datu nodošanas nepieciešamība, paļaujoties uz saprātīgiem datu nodošanas mehānismiem un izvēloties tādus pakalpojumu sniedzējus, kas mazina ar to saistītos riskus.

Jau šobrīd ASV varasiestādes ir norādījušas, ka līdz ar EST spriedumu vairāk nekā 5300 lielu un mazu Eiropas un ASV uzņēmumu vairs nevar paļauties uz privātuma vairogu kā pamatu personas datu pārsūtīšanai no Eiropas uz ASV. Uzņēmumiem jābūt gataviem, ka uzraudzības iestādes veiks pārbaudes, lai pārliecinātos, vai uzņēmumi ir ieviesuši vēl stingrākus pasākumus datu aizsardzībā un pārsūtīšanā uz trešajām valstīm. Tāpat jāsaprot, ka sekas, turpinot darbu kā parasti un gaidot, vai sekos uzraudzības iestāžu rīcība, var būt neparedzamas un soda apmērs var sasniegt 4% no uzņēmuma gada apgrozījuma.