Teismai

ESTT pripažino negaliojančiu sprendimą 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo

Bendrajame duomenų apsaugos reglamente (BDAR) nurodyta, kad iš principo galima perduoti tokius duomenis į trečiąją šalį, tik jei atitinkama trečioji šalis užtikrina tinkamą šių duomenų apsaugos lygį. Pagal šį reglamentą Komisija gali konstatuoti, kad trečioji šalis savo nacionalinės teisės aktais arba tarptautiniais įsipareigojimais užtikrina tinkamą apsaugos lygį. Nesant tokio sprendimo dėl tinkamumo, tokį perdavimą galima atlikti, tik jei Sąjungoje įsteigtas asmens duomenų eksportuotojas numato tinkamas apsaugos priemones, kurios, be kita ko, gali kilti iš Komisijos priimtų standartinių duomenų apsaugos sąlygų, ir jei duomenų subjektai turi įgyvendinamas teises ir veiksmingas teisių gynimo priemones. Be to, BDAR aiškiai nustatytos sąlygos, kuriomis galima atlikti tokį perdavimą nesant sprendimo dėl tinkamumo arba tinkamų apsaugos priemonių.

Maximillian Schrems yra Austrijoje gyvenantis šios šalies pilietis; nuo 2008 m. jis yra Facebook naudotojas. M. Schrems, kaip ir kitų Sąjungoje teritorijoje gyvenančių naudotojų, asmens duomenis (visus arba jų dalį) Facebook Ireland perduoda į Jungtinių Amerikos Valstijų teritorijoje esančius Facebook Inc. priklausančius serverius ir jie ten tvarkomi. M. Schrems pateikė Airijos priežiūros institucijai skundą, jame iš esmės prašė uždrausti šį duomenų perdavimą. Jis tvirtino, kad Jungtinių Amerikos Valstijų teisė ir praktika neužtikrina pakankamos apsaugos nuo valdžios institucijų prieigos prie į šią šalį perduodamų duomenų. Šis skundas buvo atmestas, be kita ko, remiantis tuo, kad Sprendime 2000/520 (vadinamajame „saugaus uosto“ sprendime) Komisija konstatavo, kad Jungtinės Amerikos Valstijos užtikrina tinkamą apsaugos lygį. Gavęs High Court (Aukštasis Teismas, Airija) prejudicinį klausimą, 2015 m. spalio 6 d. sprendimu Teisingumo Teismas pripažino šį Komisijos sprendimą negaliojančiu (Sprendimas Schrems).

Paskelbus Sprendimą Schrems ir vėliau Airijos teismui panaikinus sprendimą, kuriuo buvo atmestas M. Schrems skundas, Airijos priežiūros institucija paprašė jo performuluoti savo skundą atsižvelgiant į tai, kad Teisingumo Teismas pripažino negaliojančiu Sprendimą 2000/520. Performuluotame skunde M. Schrems teigė, kad Jungtinės Amerikos Valstijos neužtikrina pakankamos į šią šalį perduodamų asmens duomenų apsaugos. Jis prašė sustabdyti jo asmens duomenų perdavimą iš Sąjungos į Jungtines Amerikos Valstijas, kurį Facebook Ireland dabar atlieka remdamasi Sprendimo 2010/87 priede pateiktomis standartinėmis apsaugos sąlygomis, arba uždrausti tokį perdavimą ateityje. Manydama, kad M. Schrems skundo išnagrinėjimas, be kita ko, priklauso nuo Sprendimo 2010/87 galiojimo, priežiūros institucija inicijavo procesą High Court (Aukštasis Teismas), kad šis Teisingumo Teismui pateiktų prašymą priimti prejudicinį sprendimą. Po šio proceso pradėjimo Komisija priėmė Sprendimą 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo (vadinamąjį „privatumo skydo“ sprendimą“).

Prašymu priimti prejudicinį sprendimą šį prašymą pateikęs teismas paklausė Teisingumo Teismo dėl BDAR taikytinumo asmens duomenų perdavimui remiantis Sprendime 2010/87 pateiktomis standartinėmis apsaugos sąlygomis, dėl šiuo reglamentu reikalaujamo apsaugos lygio, kai atliekamas toks perdavimas, ir dėl šiomis aplinkybėmis priežiūros institucijoms tenkančių pareigų. Be to, High Court (Aukštasis Teismas) iškėlė klausimą tiek dėl Sprendimo 2010/87, tiek dėl Sprendimo 2016/1250 galiojimo.

Šios dienos sprendimu Teisingumo Teismas (ESTT) konstatavo, kad išnagrinėjus Sprendimą 2010/87 atsižvelgiant į Pagrindinių teisių chartiją nenustatyta nieko, kas galėtų paveikti jo galiojimą. Tačiau jis pripažįsta Sprendimą 2016/1250 negaliojančiu.

Visų pirma Teisingumo Teismas laikėsi nuomonės, kad Sąjungos teisė, be kita ko, BDAR, taikoma asmens duomenų perdavimui, kurį komerciniais tikslais atlieka valstybėje narėje įsteigtas ūkio subjektas kitam trečiojoje šalyje įsteigtam ūkio subjektui, net jei atliekant šį perdavimą arba po jo atitinkamos trečiosios šalies valdžios institucijos gali tvarkyti šiuos duomenis visuomenės saugumo, gynybos ir valstybės saugumo tikslais. Jis pažymi, jog tai, kad trečiosios šalies institucijos atlieka tokį duomenų tvarkymą, nereiškia, kad jis nepatenka į BDAR taikymo sritį. Dėl reikalaujamo apsaugos lygio atliekant tokį perdavimą Teisingumo Teismas nusprendė, kad šiuo tikslu BDAR nuostatose numatyti reikalavimai, susiję su tinkamomis apsaugos priemonėmis, įgyvendinamomis teisėmis ir veiksmingomis teisių gynimo priemonėmis, turi būti aiškinami taip, kad asmenų, kurių asmens duomenys perduodami į trečiąją šalį remiantis standartinėmis duomenų apsaugos sąlygomis, apsaugos lygis turi būti iš esmės lygiavertis tam, kuris garantuojamas Sąjungoje šiuo reglamentu, siejamu su Chartija. Šiomis aplinkybėmis jis pažymėjo, kad vertinant šį apsaugos lygį turi būti atsižvelgta ir į Sąjungoje įsteigto duomenų eksportuotojo ir atitinkamoje trečiojoje šalyje įsteigto perduodamų duomenų gavėjo sudarytų sutarčių sąlygas, ir, kiek tai susiję su galima šios trečiosios šalies valdžios institucijų prieiga prie taip perduotų asmens duomenų, į atitinkamus šios šalies teisinės sistemos aspektus.

Dėl priežiūros institucijoms tokio perdavimo aplinkybėmis tenkančių pareigų Teisingumo Teismas nusprendė, kad, nebent Komisija yra teisėtai priėmusi sprendimą dėl tinkamumo, šios institucijos, be kita ko, privalo sustabdyti arba uždrausti duomenų perdavimą į trečiąją šalį, jei, atsižvelgdama į visas konkrečias šio perdavimo aplinkybes, mano, kad šioje trečiojoje šalyje standartinių duomenų apsaugos sąlygų nesilaikoma arba jų negalima laikytis ir kad kitomis priemonėmis negalima užtikrinti pagal Sąjungos teisę reikalaujamos perduodamų duomenų apsaugos, jeigu Sąjungoje įsteigtas eksportuotojas pats nesustabdė arba nenutraukė tokio perdavimo.

Teisingumo Teismas taip pat išnagrinėjo Sprendimo 2010/87 galiojimą. Teisingumo Teismo teigimu, šio sprendimo galiojimo nepaneigia vien tai, kad jame pateiktos standartinės duomenų apsaugos sąlygos dėl savo sutartinio pobūdžio nėra privalomos trečiųjų šalių, į kurias gali būti perduodami asmens duomenys, valdžios institucijoms. Tačiau jis pažymėjo, kad šis galiojimas priklauso nuo to, ar minėtame sprendime yra įtvirtinti veiksmingi mechanizmai, leidžiantys praktiškai užtikrinti, kad būtų laikomasi Sąjungos teisėje reikalaujamo apsaugos lygio ir kad asmens duomenų perdavimas, grindžiamas tokiomis sąlygomis, būtų sustabdytas arba uždraustas pažeidus šias sąlygas arba nesant galimybės jų laikytis. Teisingumo Teismas konstatavo, kad Sprendimu 2010/87 nustatyti tokie mechanizmai. Šiuo klausimu jis, be kita ko, pabrėžė, kad šiuo sprendimu duomenų eksportuotojui ir perduodamų duomenų gavėjui nustatyta pareiga iš anksto patikrinti, ar atitinkamoje trečiojoje šalyje laikomasi šio apsaugos lygio, ir kad pagal šį sprendimą šis gavėjas privalo informuoti duomenų eksportuotoją, jei negali laikytis standartinių apsaugos sąlygų, o šis eksportuotojas tuomet turi sustabdyti duomenų perdavimą ir (arba) nutraukti su duomenų gavėju sudarytą sutartį.

Galiausiai Teisingumo Teismas išnagrinėjo Sprendimo 2016/1250 galiojimą atsižvelgiant į reikalavimus, kylančius iš BDAR, siejamo su Chartijos nuostatomis, garantuojančiomis teisę į privatų ir šeimos gyvenimą, asmens duomenų apsaugą ir teisę į veiksmingą teisminę gynybą. Šiuo klausimu Teisingumo Teismas pažymėjo, kad tame sprendime, kaip ir Sprendime 2000/520, įtvirtinta reikalavimų, susijusių su nacionaliniu saugumu, viešuoju interesu ir JAV teisės aktų laikymusi, viršenybė, taigi remiantis ja galima nustatyti asmenų, kurių asmens duomenys perduodami į šią trečiąją šalį, pagrindinių teisių suvaržymus. Teisingumo Teismo teigimu, asmens duomenų apsaugos apribojimai, kurie kyla iš Jungtinių Amerikos Valstijų nacionalinės teisės aktų, susijusių su JAV valdžios institucijų prieiga prie tokių duomenų, perduodamų iš Sąjungos į šią trečiąją šalį, ir šių institucijų atliekamu jų naudojimu, ir kuriuos Komisija įvertino Sprendime 2016/1250, nėra sureglamentuoti taip, kad atitiktų reikalavimus, iš esmės lygiaverčius tiems, kurie Sąjungos teisėje nustatyti proporcingumo principu, nes šiais teisės aktais grindžiamos stebėjimo programos neapsiriboja tuo, kas griežtai būtina. Remdamasis tame sprendime pateiktomis išvadomis Teisingumo Teismas pažymėjo, jog, kalbant apie tam tikras stebėjimo programas, iš minėtų teisės aktų jokiu būdu nematyti, kad juose yra įtvirtintų įgaliojimų įgyvendinti šias programas apribojimų ar garantijų ne JAV asmenims, kuriems gali būti taikomos šios programos. Teisingumo Teismas pridūrė, kad nors tuose teisės aktuose numatyti reikalavimai, kurių turi laikytis JAV valdžios institucijos įgyvendindamos atitinkamas stebėjimo programas, pagal juos duomenų subjektams nesuteikiamos įgyvendinamos teisės, kuriomis jie galėtų remtis teismuose JAV valdžios institucijų atžvilgiu.

Dėl teisminės apsaugos reikalavimo Teisingumo Teismas nusprendė, kad, priešingai, nei konstatavo Komisija Sprendime 2016/1250, tame sprendime nurodytu ombudsmeno mechanizmu šiems asmenims nesuteikiama teisių gynimo priemonė institucijoje, suteikiančioje garantijas, iš esmės lygiavertes toms, kurios reikalaujamos Sąjungos teisėje, kuria galėtų būti užtikrintas tiek pagal šį mechanizmą numatyto ombudsmeno nepriklausomumas, tiek normų, kuriomis tas ombudsmenas būtų įgaliotas priimti JAV žvalgybos tarnyboms privalomus sprendimus, egzistavimas. Remdamasis visais šiais motyvais, Teisingumo Teismas pripažino Sprendimą 2016/1250 negaliojančiu.

 

ES Teisingumo Teismo informacija

Back to top button