Dārgie klienti un sadarbības partneri,
Ar 2015. gada 6. oktobra spriedumu lietā C‑362/14 Eiropas Savienības Tiesa (EST) nolēmusi, ka shēma „drošības zona” (Safe Harbor), kas sekmēja ērtu personas datu nodošanu no ES uz ASV uzņēmumiem, nav spēkā.
„Drošības zonas” shēmu izstrādāja ASV Tirdzniecības departaments, konsultējoties ar Eiropas Kopienu Komisiju (Komisija). Šo konsultāciju rezultātā 2000. gadā Komisija pieņēma lēmumu, ar kuru tika atzīts, ka aizsardzības līmenis personas datu nodošanai no ES uz tādiem ASV uzņēmumiem, kas ieviesuši „drošības zonas” privātuma principus (piem., personām jābūt informētām par viņu datu vākšanu, datiem ir jābūt nepieciešamiem mērķiem, kādiem tie tiek vākti) atbilst ES esošajam datu aizsardzības līmenim. Praksē tas nozīmēja, ka personas datu nodošana no Latvijas uz ASV uzņēmumu, kurš ieviesis „drošības zonas” principus, bija gandrīz tikpat vienkārša kā datu nodošana uz citu ES dalībvalsti.
Konkrētais ASV uzņēmums pats ar pašpārbaudi noteica, vai tas ir pareizi ieviesis privātuma principus. Pēc formālo prasību pārbaudes, t.i., vai iesniegums ir aizpildīts pareizi, ASV Tirdzniecības departaments iekļāva attiecīgo uzņēmumu to uzņēmumu sarakstā, kas ieviesuši „drošība zonas” privātuma principus.
EST spriedums, ka „drošības zonas” shēma personas datu nodošanai nav spēkā, nekavējoties ietekmē arī tos uzņēmumus Latvijā, kas nodod personas datus uz ASV „drošības zonas” uzņēmumiem.
Pirmkārt, turpmāk personas datu nodošana uz jebkuru ASV uzņēmumu un arī ar datu nodošanu saistītās personu datu apstrādes reģistrēšana Datu valsts inspekcijā (DVI) būs sarežģītāka.
Pirms EST sprieduma, lai DVI reģistrētu personas datu apstrādi saistībā ar personas datu nodošanu uz ASV „drošības zonas” uzņēmumu (protams, ar noteikumu, ka datu apstrāde citādi atbilst tiesību aktu prasībām), bija pietiekami personas datu reģistrācijas iesniegumā norādīt, ka personas dati tiks nodoti šādam uzņēmumam, norādot precīzu uzņēmuma nosaukumu, reģistrācijas numuru un adresi.
Tagad būs nepieciešams izmantot citus juridiskus mehānismus personas datu nodošanai arī uz ASV „drošības zonas” uzņēmumiem, jo jebkāda datu nodošana uz ASV tiks uzskatīta par datu nodošanu uz valsti, kas nenodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai datu aizsardzības pakāpei Latvijā. Šīs iespējas ir uzskaitītas Fizisko personu datu aizsardzības likuma 28. pantā un, cita starpā, ietver:
- personas datu nodošanas līguma atbilstoši Komisijas apstiprinātām līguma standartklauzulām par personas datu nosūtīšanu uz trešajām valstīm noslēgšanu,
- datu subjekta piekrišanas iegūšanu,
- gadījumu, kad pārzinis nodrošina, ka uz viņu attiecas uzņēmuma saistošie noteikumi, kas ietver personas datu apstrādes un aizsardzības principus, nodrošina datu subjektu tiesības un ir apstiprināti vienā no ES dalībvalstu personas datu aizsardzības uzraudzības iestādēm.
Tā vietā, lai reģistrētu ar datu nodošanu saistītu personas datu apstrādi DVI, pārziņiem joprojām ir iespēja norīkot un reģistrēt Inspekcijā personas datu aizsardzības speciālistu. Tomēr arī šādā gadījumā nepieciešams, lai personas datu nodošanu uz ASV būtu tiesiska.
Otrkārt, nav skaidrs, kā rīkoties uzņēmumiem, kuri līdz EST spriedumam ir nodevuši datus ASV „drošības zonas” uzņēmumam un kuriem steidzami nepieciešams tiesiski turpināt datu nodošanu.
Domājams, ka DVI publiski sniegs informāciju, kā šādiem uzņēmumiem vajadzētu rīkoties, kā arī paskaidros citas praktiskās sekas, kas izriet no EST sprieduma. Lai arī līdz šim DVI nav sniegusi oficiālu komentāru par to, kādas sekas EST spriedums radīs uzņēmumiem Latvijā, tomēr ir maz ticams, ka pārziņi, kas paļāvās uz „drošības zonas” režīma tiesiskumu datu nodošanai uz ASV līdz 2015. gada 6. oktobrim, varētu saskarties ar negatīvām sekām no DVI puses. Tāpat, domājams, ka DVI nepiemēros smagas sankcijas attiecībā uz tiem pārziņiem, kuriem būs vajadzīgs saprātīgs laiks, lai ieviestu jaunus tiesiskus risinājumus likumīgai personas datu nodošanai uz tiem uzņēmumiem, kas atrodas ASV „drošības zonas” uzņēmumu sarakstā.
|