Prieš kelias dienas Nyderlandų duomenų apsaugos institucija skyrė 2,9 milijono eurų baudą kompanijai „Uber“ dėl Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimų, kai buvo nustatyta, kad kompanija perdavė asmeninius vairuotojų asmens duomenis iš Europos Sąjungos į Jungtines Amerikos Valstijas nesilaikydama būtinų duomenų apsaugos taisyklių. Tai tik dar vienas signalas organizacijoms, primenantis, kaip svarbu, kad įmonių veikla atitiktų griežtus duomenų apsaugos standartus, teigia advokatų kontoros „TGS Baltic“ asocijuotoji partnerė, BDAR ekspertė Raminta Stravinskaitė.
Dalytasi ir vairuotojų kriminaline bei sveikatos informacija
„Uber“ rinko, be kita ko, ir jautrią informaciją apie vairuotojus iš Europos ir saugojo ją serveriuose JAV. Tai buvo ne tik paskyrų duomenys ir taksi licencijos, vietos nustatymo duomenys, nuotraukos, mokėjimo duomenys, asmens tapatybės dokumentai, bet, kai kuriais atvejais, net vairuotojų kriminalinės bei medicininės istorijos. Daugiau nei dvejus metus „Uber“ perdavinėjo šiuos duomenis į savo būstinę JAV, naudodama nepakankamus duomenų apsaugos įrankius.
Nors viešai ir nėra skelbiama, tarp perduotų duomenų galėjo būti ir Lietuvos vairuotojų asmeninė informacija, kur „Uber“ veikia kaip ir daugelyje kitų ES valstybių. Tai, kad sprendimą dėl baudos priėmė Nyderlandų duomenų apsaugos institucija, lėmė tai, kad kaip tik ten įsikūrusi centrinė „Uber“ būstinė Europoje, todėl tyrimą vykdė šios šalies institucija. Tačiau tyrimas ir nustatyti pažeidimai galėjo turėti įtakos visiems ES šalių vairuotojams, įskaitant Lietuvos piliečius.
Bauda, skirta kompanijai, gali paskatinti ir vairuotojų asmeninius ieškinius prieš „Uber“, jei nukentėję vairuotojai mano, kad jų asmens duomenys buvo netinkamai tvarkomi ar kad dėl to galimai patyrė žalą – kilo rimtų privatumo ir saugumo problemų.
Viena iš galimų priežasčių, kodėl nėra skelbiami konkretūs duomenys, apie tai, kokių vairuotojų asmens duomenys buvo perduoti, gali būti siekis išvengti naujos, jau asmeninių teismų procesų, bangos. Bendrovės dažnai siekia riboti tokios informacijos sklaidą, kad sumažintų potencialių teisinių veiksmų riziką.
Tačiau verta paminėti, kad Europos Sąjungos teisės aktai užtikrina, jog kiekvienas asmuo, kurio duomenys buvo neteisėtai tvarkomi, turi teisę reikalauti kompensacijos už patirtą žalą. Todėl, jei vairuotojai sužinotų, kad jų asmens duomenys buvo perduoti ir netinkamai apsaugoti, jie galėtų imtis teisinių veiksmų prieš Uber dėl jų privatumo pažeidimo.
Pokytį gali sukurti ir vieno žmogaus iniciatyva
Per pastaruosius metus ES buvo skirtos kelios itin didelės baudos už neteisėtą asmens duomenų perdavimą už ES ribų, ypač į JAV. Vienas garsiausiai nuskambėjusių atvejų – 2023 metų gegužę Airijos duomenų apsaugos komisijos skirta rekordinė 1,2 milijardo eurų bauda kompanijai „Meta“ (anksčiau žinomai kaip „Facebook“). Kompanija nubausta dėl Europos vartotojų duomenų perdavimo į JAV, įvykdyto nepaisant „Schrems II“ sprendimo, kuriuo buvo nustatyta, kad ES standartinės sutarčių sąlygos (angl. SCCs) nesuteikia pakankamos apsaugos nuo galimos JAV vyriausybės prieigos prie asmens duomenų.
Max Schrems žinomas dėl teisminio proceso prieš „Facebook“ – jis teigė, kad jo asmens duomenys, perduoti į JAV, nėra tinkamai apsaugoti nuo galimos valdžios institucijų prieigos. Ši byla, žinoma kaip „Schrems I“, 2015 metais lėmė „Safe Harbor“ susitarimo, kuris anksčiau leido laisvai perduoti duomenis tarp ES ir JAV, panaikinimą. Vėliau, 2020 metais, „Schrems II“ byla toliau plėtojo šią temą, ir Europos Sąjungos Teisingumo Teismas (ESTT) nusprendė, kad ir SCCs, kurios buvo naudojamos duomenų perdavimui, nesuteikia pakankamos apsaugos.
„Schrems II“ sprendimas sukėlė didžiulį šoką tarptautinėje duomenų apsaugos srityje, nes jis iškėlė naujus klausimus dėl asmens duomenų apsaugos ir privatumą garantuojančių priemonių, kai duomenys perduodami už ES ribų. Tai privertė daugelį įmonių iš naujo įvertinti savo duomenų perdavimo praktikas ir ieškoti alternatyvių apsaugos priemonių, kad atitiktų ES duomenų apsaugos standartus ir išvengtų teisinių problemų bei galimų baudų.
Svarbu pažymėti, kad duomenų perdavimas į trečiąsias šalis, įskaitant JAV, nėra kategoriškai draudžiamas pagal BDAR. Tačiau tai atliekant turi būti tinkamai užtikrinta asmens duomenų apsauga. Tai reiškia, kad įmonės, norinčios perduoti duomenis už ES ribų, turi imtis kvalifikuotų apsaugos priemonių, pavyzdžiui, naudoti standartines sutarčių sąlygas (angl. SCCs), privalomas korporatyvines taisykles (angl. BCRs) ar kitus Europos Komisijos patvirtintus mechanizmus, kurie padėtų apsaugoti duomenis nuo neleistinos prieigos.
Nors JAV dažnai įvardijama kaip rizikinga šalis dėl galimos valdžios institucijų prieigos prie asmens duomenų, panašių iššūkių gali kilti ir kitose, mažiau aptariamose šalyse. Egzotiškesnės rinkos, tokios kaip Kinija, Indija ar kai kurios Afrikos šalys, taip pat kelia unikalių iššūkių duomenų apsaugos srityje. Šiose šalyse galiojantys teisės aktai gali leisti valdžios institucijoms reikalauti prieigos prie perduotų duomenų, o tai gali kelti grėsmę asmens duomenų saugumui ir privatumui.
Svarbu suprasti, kad galimybė, jog JAV ar bet kurios kitos šalies valdžios institucijos galėtų prieiti prie jūsų asmens duomenų, kelia rimtų privatumo pažeidimo rizikų. Tai ne tik kenkia duomenų subjekto teisei į privatumą, bet ir gali sukelti platesnes pasekmes, pavyzdžiui, duomenų naudojimą tikslams, kurie neatitinka asmens interesų ar lūkesčių. Todėl ES institucijos reikalauja, kad bet koks duomenų perdavimas už ES ribų būtų labai kruopščiai vertinamas ir atliekamas tik esant tvirtai duomenų apsaugos garantijai.
Kada laikoma, jog duomenys yra perduodami už ES ribų?
Rinkoje įmonėms dažnai kyla klausimas, ar jos perduoda asmens duomenis už ES ribų, ar ne. Dar dažniau įmonės išvis nesusimąsto, kad jų duomenys gali migruoti už ES ribų nepastebimai. Reikia turėti omeny, kad toks perdavimas gali vykti įvairiais būdais ir yra griežtai reglamentuojamas pagal BDAR.
Pirmiausia, asmens duomenys laikomi perduodamais už ES ribų, kai jie fiziškai perkeliami į įrenginį ar serverį, esantį už ES arba EEE teritorijos ribų. Pavyzdžiui, jei duomenys saugomi serveryje, kuris yra įsikūręs JAV ar kitoje ne ES šalyje, tai laikoma duomenų perdavimu už ES ribų.
Taip pat svarbu paminėti, kad duomenys gali būti perduodami ir nesant fizinio perkėlimo. Tai apima situacijas, kai duomenys, saugomi ES arba EEE, yra prieinami per nuotolį ar internetą organizacijai arba asmeniui, esantiems už ES ribų. Pavyzdžiui, kai ES įmonė leidžia užsienio partneriui ar dukterinei įmonei pasiekti jos vidinius duomenis per debesų kompiuterijos platformą, kurią valdo subjektas, esantis ne ES.
Duomenų perdavimas už ES ribų taip pat apima situacijas, kai duomenų tvarkymo veikla, tokia kaip analizė, saugojimas ar kita operacija su asmens duomenimis atliekama už ES arba EEE ribų esančio subjekto. Net jei duomenys fiziškai lieka ES, bet jais naudojasi ar juos tvarko organizacija, esanti kitoje šalyje, tai vis tiek laikoma duomenų perdavimu. Ši kategorija apima ir tokius atvejus, kai ES duomenų valdytojas perduoda duomenis kitai organizacijai, esančiai už ES ribų, net jei ta organizacija yra trečioji šalis, pavyzdžiui, dukterinė įmonė ar partneris.
Kaip nustatyti, ar duomenys yra perduodami už ES ribų?
Norint nustatyti, ar perduodate asmens duomenis už ES ribų, reikia atsižvelgti į kelis pagrindinius aspektus, susijusius su duomenų srautais ir jų tvarkymo vieta. Pirmiausia, turėtumėte įvertinti, kur fiziškai yra saugomi ir apdorojami jūsų tvarkomi duomenys. Jei duomenys yra siunčiami į serverius ar laikmenas, esančius ne ES arba EEE, tai laikoma duomenų perdavimu už ES ribų. Šis perdavimas gali vykti tiek per fizinius duomenų perkėlimus, tiek per elektroninius ryšius.
Kitas svarbus aspektas – tai prieiga prie duomenų. Net jei duomenys fiziškai lieka ES arba EEE teritorijoje, tačiau yra prieinami organizacijoms ar asmenims, esantiems už šių ribų, tai taip pat laikoma duomenų perdavimu už ES ribų. Pavyzdžiui, jei duomenų tvarkytojas ES suteikia prieigą prie asmens duomenų trečiosios šalies įmonei, esančiai JAV ar kitur už ES ribų, tai yra laikoma duomenų perdavimu už ES ribų.
Svarbu atsižvelgti ir į tai, kas vykdo duomenų tvarkymą. Jei duomenys yra perduodami arba apdorojami kitos šalies, ne ES ar EEE, subjekto, tai aiškiai rodo, kad duomenys perduodami už ES ribų. Pavyzdžiui, jei jūsų įmonė bendradarbiauja su užsienio paslaugų teikėju, kuris apdoroja duomenis savo šalyje, tai reiškia, kad duomenys buvo perduoti už ES ribų.
Be to, reikia atkreipti dėmesį į tai, ar jūsų įmonė naudoja debesų kompiuterijos paslaugas arba duomenų saugojimo sprendimus, kuriuos teikia ne ES arba EEE registruotos įmonės. Tokiais atvejais, net jei paslauga yra prieinama ES, duomenys gali būti fiziškai laikomi serveriuose už ES ribų, ir tai reikštų, kad duomenys yra perduodami.
Norint tiksliai nustatyti, ar jūsų duomenys yra perduodami už ES ribų, būtina nuodugniai išanalizuoti duomenų srautus, prieigos teises ir duomenų tvarkymo operacijas. Tai leis ne tik suprasti, kur yra tvarkomi jūsų duomenys, bet ir užtikrinti, kad toks perdavimas atitiktų visus teisės aktų reikalavimus. Jei nustatote, kad duomenys yra perduodami už ES ribų, būtina imtis atitinkamų apsaugos priemonių, kurios būtų suderintos su BDAR reikalavimais, siekiant apsaugoti asmens duomenų privatumą ir saugumą.
Kada galimas duomenų perdavimas į trečiąsias šalis?
Pagal BDAR, asmens duomenų perdavimas į trečiąsias šalis leidžiamas tik esant tam tikroms sąlygoms, siekiant užtikrinti, kad duomenų apsauga nesumažėtų. Visų pirma, duomenys gali būti perduodami tik toms šalims, kuriose užtikrinamas adekvatus duomenų apsaugos lygis. Adekvatus apsaugos lygis reiškia, kad šalis turi panašius ar ekvivalentinius duomenų apsaugos standartus kaip ir ES. Nors JAV neturi visuotinio adekvataus apsaugos lygio, tam tikri mechanizmai gali būti naudojami užtikrinti tinkamą apsaugą.
Vienas iš tokių mechanizmų yra standartinės sutarčių sąlygos (angl. SCCs). Jeigu adekvatumo sprendimas nėra galimas, duomenų eksportuotojai ir importuotojai gali naudoti iš anksto parengtas Europos Komisijos patvirtintas sutartines sąlygas, kurios įpareigoja šalims laikytis BDAR reikalavimų. Taip pat, tarptautinėms bendrovėms, kurios dažnai perduoda duomenis tarp savo padalinių įvairiose šalyse, gali būti taikomos privalomos korporatyvinės taisyklės (angl. BCRs). BCRs yra vidinė duomenų apsaugos politika, kuri turi būti patvirtinta ES duomenų apsaugos institucijų. Duomenų perdavimas gali būti pagrįstas tiesioginiu duomenų subjekto sutikimu, tačiau šis sutikimas turi būti laisvai duotas, informuotas ir aiškus. Be to, duomenų subjektui turi būti paaiškintos galimos rizikos, susijusios su tokiu perdavimu.
Anksčiau ES ir JAV santykiuose vienas iš labiausiai aptariamų duomenų perdavimo mechanizmų buvo „Privacy Shield“ susitarimas, kuris užtikrino tam tikrą asmens duomenų apsaugos lygį JAV. Tačiau 2020 metais Europos Sąjungos Teisingumo Teismas (ESTT) panaikino šį susitarimą „Schrems II“ byloje, nuspręsdamas, kad „Privacy Shield“ neužtikrino pakankamos apsaugos pagal ES standartus. Dėl to daugelis įmonių privalėjo ieškoti kitų teisinių pagrindų duomenų perdavimui.
Paminėtina, kad net ir naudojant ES pripažintus teisėtus duomenų perdavimo mechanizmus, tokius kaip standartinės sutarčių sąlygos (angl. SCCs) ar privalomos korporatyvinės taisyklės (angl. BCRs), lieka rizika, kad JAV valdžios institucijos gali reikalauti prieigos prie šių duomenų pagal savo įstatymus, pavyzdžiui, „Cloud Act“ ar „FISA 702“. Šios teisės normos suteikia JAV vyriausybei plačias galimybes rinkti ir analizuoti duomenis, kurie gali būti laikomi arba tvarkomi JAV teritorijoje.
Ši rizika yra viena iš pagrindinių priežasčių, kodėl ES institucijos griežtai vertina bet kokį asmens duomenų perdavimą į JAV. BDAR nustato aukštus asmens duomenų apsaugos standartus, kurių tikslas – užtikrinti, kad ES piliečių asmens duomenys būtų tinkamai apsaugoti, net jei jie perduodami už ES ribų. Dėl to, net ir naudojant teisėtus perdavimo mechanizmus, tokius kaip SCCs ar BCRs, organizacijos turi papildomai įvertinti ir imtis priemonių, kad sumažintų galimą riziką.
Kokios yra papildomos apsaugos priemonės?
Papildomos apsaugos priemonės, skirtos užtikrinti tinkamą asmens duomenų apsaugą perduodant juos į JAV, yra esminės siekiant sustiprinti jau esamus teisinius mechanizmus, tačiau svarbu pažymėti, kad nėra nustatyto išankstinio šių priemonių sąrašo. Kiekvieną kartą, kai planuojamas duomenų perdavimas, būtina individualiai įvertinti situaciją ir pritaikyti tinkamiausias apsaugos priemones, atsižvelgiant į konkrečias aplinkybes.
Pirmiausia, nors šifravimas yra labai efektyvi priemonė, jo naudojimas turėtų būti nuolat peržiūrimas ir atnaujinamas, kad atitiktų naujausius technologinius standartus ir teisinius reikalavimus. Reikėtų įsitikinti, kad šifravimo raktai yra saugomi saugioje aplinkoje, o prieiga prie jų yra griežtai ribojama. Šifravimas ne tik apsaugo duomenis nuo neleistinos prieigos, bet ir suteikia papildomą saugumo sluoksnį tuo atveju, jei duomenys būtų perimti ar pavogti.
Anonimizavimas yra dar viena svarbi priemonė, tačiau jis taip pat turi būti atliekamas atsargiai ir kruopščiai. Anonimizavimo procesas turėtų būti toks, kad net ir patyrę specialistai negalėtų atkurti pradinės duomenų būklės ir identifikuoti konkrečių asmenų. Svarbu reguliariai vertinti, ar anonimizavimo technikos vis dar yra veiksmingos atsižvelgiant į technologijų pažangą, tai yra, tebeužtikrina pakankamą apsaugą.
Duomenų minimizavimas yra esminis aspektas, nes jis padeda sumažinti riziką, susijusią su pertekliniu duomenų tvarkymu. Prieš perduodant duomenis, įmonės turėtų atlikti išsamų vertinimą, ar visi duomenys, kuriuos ketinama perduoti, yra būtini tikslui pasiekti. Kuo mažiau duomenų yra perduodama, tuo mažesnė rizika, kad jie bus pažeisti ar panaudoti netinkamai.
Taip pat labai svarbu reguliariai vykdyti auditus, kurie leistų įvertinti, kaip efektyviai veikia esamos apsaugos priemonės. Audito metu reikia ne tik peržiūrėti, ar naudojamos priemonės yra tinkamai įdiegtos, bet ir patikrinti, ar jos atitinka naujausius teisinius ir technologinius standartus. Tokia reguliari peržiūra padeda užtikrinti, kad duomenų apsaugos strategija išliktų veiksminga ir nuosekli.
Griežta prieigos kontrolė yra dar vienas būdas sumažinti riziką. Tai reiškia, kad prie perduodamų duomenų gali prieiti tik tie darbuotojai ar sistemos, kuriems tai yra būtina pagal jų darbo pobūdį. Prieigos kontrolės mechanizmai turėtų būti griežtai apibrėžti ir periodiškai peržiūrimi, siekiant išvengti bet kokios neteisėtos ar nereikalingos prieigos.
Galiausiai, įmonės turi atidžiai stebėti teisinius pokyčius tiek ES, tiek JAV, nes teisinė aplinka šioje srityje yra nuolat kintanti. Tai reiškia, kad reikia ne tik užtikrinti atitiktį dabartiniams reikalavimams, bet ir būti pasiruošus greitai pritaikyti naujas priemones, kai tik atsiranda nauji reikalavimai ar gairės. Tai yra būtina siekiant išvengti teisinių problemų, apsaugoti klientų ir vartotojų privatumą bei išvengti galimų baudų ir reputacijos praradimo. Tinkamai integravus šias papildomas priemones į duomenų perdavimo procesą, galima žymiai padidinti duomenų apsaugos saugumą ir sumažinti riziką, susijusią su tarptautiniu duomenų perdavimu.
Apibendrinant galima teigti, kad „Uber“ atveju skirta 2,9 milijono eurų bauda už neteisėtą asmens duomenų perdavimą į JAV rodo, kaip griežtai ES institucijos vertina BDAR pažeidimus. Duomenų perdavimas už ES ribų, ypač į JAV, susiduria su teisiniais ir praktiniais iššūkiais, nes net naudojant teisėtus mechanizmus, tokius kaip standartinės sutarčių sąlygos (angl. SCCs) ar privalomos korporatyvinės taisyklės (angl. BCRs), išlieka rizika dėl galimos JAV valdžios institucijų prieigos prie perduodamų duomenų. Todėl organizacijos, norinčios užtikrinti saugų duomenų perdavimą, turi nuolat vertinti ir taikyti papildomas apsaugos priemones, tokias kaip šifravimas, anonimizavimas ir duomenų minimizavimas, kad atitiktų griežtus ES duomenų apsaugos standartus.