Kā austrietis cīnās arī par mums

Ikviens, kurš izmanto sociālo tīklu facebook.com, zina, ka tā mātessabiedrība atrodas Amerikas Savienotajās Valstīs, lai gan Eiropā, precīzāk Īrijā, izvietota meitassabiedrība, pie kuras nonāk milzum daudz personu datu. Taču retais ir pievērsis uzmanību tam, ka šie dati no vienas sabiedrības tiek nodoti otrai, un ar to nav apmierināts kāds austrietis, kurš uzsācis cīņu par savu datu aizsardzību Eiropas Savienības līmenī.

Kopš 2018. gada 25. maija ES dalībvalstīs ir tieši piemērojama Eiropas Parlamenta un Padomes Regula par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti, ko Latvijā dēvējam par Vispārīgo datu aizsardzības regulu. Tā ietver noteikumus par personas datu iegūšanu, apstrādi un uzglabāšanu ES, kā arī regulējumu, kas attiecas tieši uz personas datu nosūtīšanu uz trešajām valstīm, proti, valstīm, kas nav ES dalībvalstis.

Vispārīgā datu aizsardzības regula paredz vairākus tiesiskos pamatus, balstoties uz kuriem datu pārzinis vai apstrādātājs var nosūtīt personas datus uz trešajām valstīm. Par datu pārziņiem uzskatāmas personas, kuru rīcībā ir personu dati un kuras nosaka datu apstrādes nolūkus un līdzekļus, savukārt datu apstrādātājs ir persona, kas pārziņa vārdā apstrādā personas datus. Viens no pamatiem datu nosūtīšanai uz trešajām valstīm ir Eiropas Komisijas  (EK) lēmums par to, ka trešās valsts teritorijā vai konkrētā tās daļā tiek nodrošināts pietiekams datu aizsardzības līmenis (adequacy decision). Ņemot vērā šo EK lēmumu, personu dati var brīvi tikt nosūtīti uz trešajām valstīm, un datu nosūtītājam nav jāsniedz nekādas papildu garantijas; tiek pieņemts, ka datu aizsardzības līmenis trešajā valstī ir būtiski līdzīgs ES nodrošinātajam. Komersanti var nosūtīt datus uz trešajām valstīm, izmantojot arī EK izstrādātas standartizētās datu aizsardzības klauzulas. Šīs klauzulas var iekļaut līgumos ar trešo valstu komersantiem, tādējādi nodrošinot pietiekamu datu aizsardzības līmeni līgumslēdzēju pušu starpā.

Taču korekcijas šajā procesā ieviesa Austrijas pilsonis Maksimilians Šrems, kurš, savas intereses vadīts, nolēma pierādīt, ka datu nodošana trešajām valstīm (precīzāk, Amerikas Savienotajām Valstīm) var radīt nelabvēlīgas sekas ikviena ES iedzīvotāja datu aizsardzībai.

Jau 2015. gada lietā Nr. C-362/14 jeb tā saucamajā Schrems I Eiropas Savienības Tiesa atzina par spēkā neesošu EK 2000. gada 26. jūlija lēmumu Nr. 2000/520/EK, kura mērķis bija atzīt, ka ASV nodrošina pienācīgu personas datu aizsardzības līmeni. Līdz šim spriedumam datu pārziņi un administratori no visas ES varēja sūtīt personu datus uz ASV, nesniedzot papildu datu aizsardzības garantijas. Taču austrietis norādīja, ka liels apjoms personu datu no Īrijā reģistrētās meitassabiedrības Facebook Ireland Ltd. nonākuši ASV esošajā Facebook Inc. Kur problēma?

ES Tiesa norādīja, ka, pirmkārt, minētais lēmums, kas atļāva brīvu datu plūsmu uz ASV, pieļauj nosūtīto datu nodošanu ASV institūcijām masu uzraudzības veikšanai, neievērojot nekādus ierobežojumus attiecībā uz datu iegūšanas un izmantošanas nepieciešamību vai samērīgumu. Tādējādi tika pieļauta situācija, ka personu sarakstes ar draugiem, fotogrāfijas un cita informācija tiek analizēta otrā pasaules malā, pašām personām par to pat nenojaušot. ES Tiesa atzina, ka šāds regulējums neatbilst tiem datu aizsardzības standartiem, ko nodrošina ES ar Vispārīgo datu aizsardzības regulu. Otrkārt, ES Tiesa atzina, ka lēmums nav savienojams ar ES Pamattiesību hartas 47. pantu un tajā noteiktajām tiesībām uz efektīvu tiesību aizsardzību tiesā, jo datu īpašniekam nav iespējas panākt datu labošanu vai dzēšanu vai kā citādi aizstāvēt savas tiesības.

Rezultātā ES Tiesa atzina, ka ASV nenodrošina pietiekamu personu datu aizsardzības līmeni, un atzina par spēkā neesošu EK iepriekš izdoto lēmumu. Tādēļ pēc sprieduma Schrems I lietā datu pārziņiem un apstrādātājiem, kas vēlējās turpināt datu nosūtīšanu uz ASV, nācās ieviest kādu no Vispārīgās datu aizsardzības regulas 46. panta otrajā daļā minētajiem mehānismiem, kas spētu nodrošināt pienācīgu personu datu aizsardzību trešajā valstī.

Facebook Ireland turpināja sūtīt datus uz ASV, šoreiz pamatojoties uz standartizēto datu aizsardzības klauzulu, kas ietverta EK lēmumā Nr. 2010/87. Neatlaidīgais austrietis nolēma vērsties arī pret šīm Facebook Ireland darbībām, un rezultātā ES Tiesa pieņēma spriedumu lietā Nr. C-C-311/18, ko dēvē par Schrems II. Taču neilgi pēc šīs lietas ierosināšanas ES Tiesā EK izdeva jaunu lēmumu Nr. 2016/1250 jeb ES un ASV privātuma vairogu (Privacy Shield Decision), atkārtoti atzīstot, ka ASV nodrošina datu pienācīgu aizsardzību. Šis lēmums faktiski bija pēctecis tam EK lēmumam, kas tika atzīts par nesaderīgu ar ES tiesībām spriedumā Schrems I.

Izvērtējot šos abus datu nosūtīšanas pamatojumus, ES Tiesa spriedumā Schrems II lietā nonāca pie vairākiem būtiskiem secinājumiem. Viens no tiem – datu nosūtīšanu trešajām valstīm drīkst veikt tikai tad, ja tiek sniegtas “atbilstošas garantijas” un ikvienam datu subjektam ir “pieejamas un īstenojamas tiesības”, kā arī “efektīvi aizsardzības līdzekļi”. Šos jēdzienus spriedumā ES Tiesa arī konkretizēja, norādot, ka, nosūtot personu datus ārpus ES uz trešajām valstīm, jānodrošina, ka trešajā valstī datu aizsardzības līmenis ir būtiski līdzvērtīgs ES.

ES Tiesa lietā Schrems II, izvērtējot EK lēmuma Nr. 2010/87 un tajā ietverto standartizēto datu aizsardzības klauzulu spēkā esamību, konstatēja, ka EK lēmumi par datu aizsardzības standarta klauzulu pieņemšanu nav saistoši valsts iestādēm, datu pārziņiem vai trešajām valstīm; klauzulas kļūst saistošas tikai tad, ja tiek ietvertas līgumā starp ES un trešās valsts komersantu. Tomēr ES Tiesa uzsvēra, ka šādām EK pieņemtām standartizētām klauzulām jāsniedz efektīvi mehānismi, kas praksē ļauj nodrošināt personas datu aizsardzības līmeni, kāds paredzēts ES tiesībās, un jāparedz, ka klauzulas pārkāpuma gadījumā datu nosūtīšana tiek apturēta. Spriedumā atzīts, ka EK lēmumā Nr. 2010/87 ietvertās klauzulas atbilst šim standartam, tādēļ nav pamata tās atzīt par spēkā neesošām. Tomēr ES Tiesa spriedumā secinājusi, ka šādu klauzulu ietveršana līgumā uzliek personas datu nosūtītājam pienākumu pirms katras datu nosūtīšanas reizes pārliecināties, ka trešajā valstī esošā līgumslēdzēja puse spēs ievērot klauzulu un nodrošināt pietiekamu datu aizsardzības līmeni. Datu saņēmējam pirms katras datu nosūtīšanas jāinformē datu nosūtītājs par to, vai klauzula tiks ievērota. Gadījumā, ja saņēmējs nespēj to ievērot, datu nosūtītājam jāaptur personu datu nosūtīšana un, ja tas nepieciešams, jāizbeidz līgums. Šādas tiesības (apturēt datu nosūtīšanu uz trešajām valstīm) paredzētas arī nacionālajām datu aizsardzību uzraugošajām iestādēm, ja tās konstatē, ka standartizētā datu aizsardzības klauzula trešajā valstī netiek vai nevar tikt ievērota.

Tāpat ES Tiesa atzina, ka EK lēmums Nr. 2016/1250 par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs, ir spēkā neesošs, un atkārtoti atcēla Eiropas Komisijas atļauju datu pārsūtīšanai uz ASV, uzskatot, ka tā nenodrošina tādu aizsardzības līmeni, kas būtu būtiski līdzīgs ES nodrošinātajam. Tiesa uzsvēra, ka gadījumos, kad ASV iestādes iegūst personu datus un tādējādi iejaucas personu tiesībās uz privāto dzīvi, datu subjektiem netiek nodrošinātas tiesības uz savu tiesību aizsardzību.

Eiropas Komisija lēmumā Nr. 2016/1250 bija ieviesusi ombuda institūtu un centusies novērst efektīva tiesību aizsardzības mehānisma trūkumu, kas tika konstatēts jau saistībā ar spriedumā Schrems I lietā atcelto EK lēmumu Nr. 2000/520/EK. Tomēr ES Tiesa norādīja, ka EK lēmumā Nr. 2016/1250 ieviestais ombuda mehānisms nenodrošina ES tiesībām būtiski līdzvērtīgu datu subjektu aizsardzības līmeni un ombuda neatkarību, kā arī neparedz ombuda tiesības pieņemt ASV institūcijām saistošus lēmumus. 

Spriedums Schrems II lietā raisa jautājumus par to, kā turpmāk norisināsies datu nosūtīšana uz trešajām valstīm, īpaši ASV. ES Tiesa, sekojot argumentācijai spriedumam Schrems I lietā, atzinusi par spēkā neesošu jau kārtējo EK lēmumu, kas pieļāva personas datu nosūtīšanu uz ASV, atzīstot, ka ASV nevar nodrošināt pienācīgu personas datu aizsardzības līmeni. Ir pamats secināt, ka ES Tiesas pozīcija paliks nemainīga, ja EK un ASV nenodrošinās, ka ASV iestādes, veicot masu novērošanas pasākumus, ievēros personu tiesības uz privāto dzīvi.

Saistībā ar datu nosūtīšanu uz trešajām valstīm šīs divas pagaidām ir nozīmīgākās lietas, kurās ES Tiesa vērtējusi datu sūtīšanas tiesisko pamatu. EK atzinusi, ka datu aizsardzības līmenis ir pietiekams kopumā 12 valstīs, tostarp Andorā, Argentīnā, Jaunzēlandē, Kanādā un citās. Tas savukārt nozīmē, ka, nosūtot datus uz šīm valstīm, nav nepieciešams veikt kādas papildu darbības, un datu plūsma notiek līdzīgi kā ES iekšienē. Savukārt, lai nosūtītu personu datus uz trešajām valstīm, attiecībā uz kurām šāds lēmums nav pieņemts, piemēram, Krieviju, iespējams izmantot ES izdotās standartizētās datu aizsardzības klauzulas vai arī citus Vispārīgās datu aizsardzības regulas 46. vai 49. pantā minētos mehānismus, piemēram, iegūstot datu subjekta skaidru piekrišanu datu nosūtīšanai.

Latvijā saistībā ar datu nosūtīšanu uz trešajām valstīm nav izskatīta neviena lieta, bet tādas potenciāli varētu būt, jo Datu valsts inspekcijai ar spriedumu lietā Schrems II konstatētas tiesības apturēt datu nosūtīšanu uz trešajām valstīm, ja tai rodas aizdomas, ka šajā valstī netiek nodrošināts pietiekams datu aizsardzības līmenis.