Eiropas Komisija 2022.gada 13.decembrī publicēja lēmuma projektu par Eiropas Savienības (ES) un Amerikas Savienoto Valstu (ASV) datu privātuma sistēmas (EU-U.S. Data Privacy Framework) adekvātumu, kura mērķis ir veicināt drošu datu plūsmu un novērst bažas, kas radušās Eiropas Savienības Tiesas spriedumā lietā Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18) (Schrems II lieta).
Schrems II lietā tika atzīts par spēkā neesošu iepriekšējais lēmums par aizsardzības līmeņa pietiekamību (“Privātuma vairogs” sistēma), pamatojoties uz to, ka ES pilsoņiem nebija pietiekamu tiesiskās aizsardzības līdzekļu saskaņā ar ASV tiesību aktiem un ka ASV tiesību akti nebija līdzvērtīgi “minimālajām garantijām” attiecībā uz personas datu aizsardzību saskaņā ar ES tiesību aktiem.
Rezultātā ASV tika izdots izpildrīkojums, kurā tika izklāstītas ASV saistības, ko tā uzņemsies, lai risinātu Schrems II lietā paustās bažas. Tās ietver jaunus pienākumus un drošības pasākumus attiecībā uz ASV izlūkdienestu piekļuvi personas datiem un to izmantošanu, kā arī sīki izklāsta prasības, kas jāievēro ASV uzņēmumiem, kuri pievienojas ES personas datu privātuma regulējumam.
Kas ir noteikts šajā lēmumā?
Lēmuma par aizsardzības līmeņa pietiekamību projektā ir noteikts, ka ASV, izmantojot ES un ASV datu privātuma regulējumu, nodrošina aizsardzības pasākumus, kas ir salīdzināmi ar ES aizsardzības pasākumiem, un nodrošina pietiekamu aizsardzības līmeni personas datiem, kas tiek nosūtīti no ES uz sertificētām organizācijām ASV.
Attiecībā uz sertifikāciju Komisija norādīja, ka ASV uzņēmumi varēs pievienoties ES un ASV datu privātuma sistēmai, apņemoties ievērot detalizētu datu aizsardzības pienākumu kopumu, tostarp prasību dzēst personas datus, ja tie vairs nav vajadzīgi to vākšanas mērķim, un nodrošināt nepārtrauktu aizsardzību, ja personas dati tiek nodoti trešajām personām. Turklāt Komisija norādīja, ka ES pilsoņiem būs vairāki tiesiskās aizsardzības līdzekļi, tostarp neatkarīgi strīdu izšķiršanas mehānismi un šķīrējtiesa.
Papildus, lēmuma par aizsardzības līmeņa pietiekamību projektā cita starpā noteikts, ka:
- ES un ASV datu privātuma pamatprincipu efektīvu piemērošanu garantē pārredzamības pienākumi un ES un ASV datu privātuma pamatprincipu pārvaldība;
- ASV tiesību aktos paredzētie pārraudzības mehānismi un tiesiskās aizsardzības līdzekļi ļauj praksē konstatēt un sodīt datu aizsardzības noteikumu pārkāpumus un nodrošina tiesiskās aizsardzības līdzekļus datu subjektiem;
- ASV valsts iestāžu iejaukšanās sabiedrības interesēs, jo īpaši valsts drošības nolūkos, datu subjektu pamattiesībās tiks ierobežota līdz tam, kas ir absolūti nepieciešams, lai sasniegtu attiecīgo likumīgo mērķi, un ka pastāv efektīva tiesiskā aizsardzība pret šādu iejaukšanos;
- ASV tiks izveidota Datu aizsardzības uzraudzības tiesa, kas neatkarīgi izmeklēs un risinās sūdzības no ES pilsoņiem, tostarp pieņemot saistošus lēmumus.
Kādi būs turpmākie pasākumi?
Šobrīd lēmuma par aizsardzības līmeņa pietiekamību projekts ir nosūtīts Eiropas Datu aizsardzības kolēģijai atzinuma sniegšanai. Pēc tam Komisija lūgs ES dalībvalstu pārstāvju komitejas apstiprinājumu. Jāatzīmē, ka arī Eiropas Parlamentam būs tiesības pārskatīt lēmumu par aizsardzības līmeņa pietiekamību. Pēc tam, kad šī procedūra būs pabeigta, Komisija varēs pieņemt galīgo lēmumu par atbilstību.
Pieņemot lēmumu par atbilstību, ASV uzņēmumi, kas vēlēsies piedalīties, varēs pievienoties ES un ASV datu aizsardzības sistēmas kopumam, apņemoties detalizētu privātuma principu ievērošanu. Tas nozīmēs, ka iesaistītajiem ASV un ES uzņēmumiem vairs nebūs nepieciešams slēgt standarta līguma klauzulu līgumus.
Ņemot vērā, ka lēmuma par aizsardzības līmeņa pietiekamību projekts vēl tiks skatīts un būs izstrādes procesā līdz nākamā gada beigām, SIA “E-sabiedrības risinājumi” informēs par turpmāku šī lēmuma attīstību un aktualitātēm.
