Tech+LawUniversitetai

Duomenų perdavimas po „Schrems II“: nauja geležinė uždanga duomenų perdavimui?

Nors teisiniai reikalavimai atrodo neįgyvendinami, tačiau besiformuojantys nauji duomenų panaudojimo modeliai turėtų padėti išspręsti dabartinius iššūkius. Apie tai ir Schrems II sprendimo teisines bei ekonomines pasekmes vebinare diskutavo VU Teisės fakulteto (VU TF) ir užsienio teisės ekspertai.

2021 m. kovo 18 d. vyko Vilniaus universiteto Teisės fakulteto organizuotas vebinaras apie ko gero vieną karščiausių šių dienų temų – duomenų perdavimą ,,Data Transfers after Schrems II: A New Iron Curtain for Data?“, kurį moderavo VU TF nariai dokt. Goda Strikaitė-Latušinskaja ir dr. Paulius Jurčys. Renginyje dalyvavo žinomi teisės ir technologijų srities ekspertai: Dr. Marcelo Corrales Compagnucci, Dr. Magdalena Goralczyk ir Dr. Kimmo Kiviluoto, kurie dalinosi savo įžvalgomis ir patirtimi šioje sparčiai besivystančioje duomenų privatumo srityje.

Žemiau pateikiame keletą pagrindinių vebinare aptartų idėjų:

  • Schrems bylų saga yra vienas iš prieštaringiausių skirtingų transatlantinių požiūrių į asmens duomenis pavyzdžių;
  • Europos Sąjungos (ES) įmonėms tenka nepaprastai didelė finansinė bei technologinė našta siekiant įvykdyti, kiek tai įmanoma, duomenų perdavimo į trečiąsias šalis reikalavimus;
  • GAIA-X ir įgaliotoji infrastruktūra (angl. edge computing) yra daug žadančios duomenų rinkimo ir naudojimo sistemos, tačiau norint jas išbandyti ir sukurti, dar turės praeiti nemažai laiko;
  • Į vartotoją orientuotas duomenų modelis atrodo perspektyvus būdas spręsti naujas su duomenų panaudojimu bei perdavimu į trečiąsias šalis susijusias problemas.

1. Schrems II sprendimo esmė ir pasekmės

Dr. M. Corrales Compagnucci pradėjo renginį trumpai paaiškindamas kai kuriuos pagrindinius Europos Sąjungos Teisingumo Teismo (toliau – ESTT) motyvus sprendime „Schrems II“ ir jų pasekmes įmonių, kurios siūlo internetines paslaugas ir naudojasi duomenų perdavimui iš ES į Jungtines Amerikos Valstijas (toliau – JAV) esančius serverius, praktikai.

Schrems I. Visa „Schrems“ istorija prasidėjo 2011 m., kai Maksas Šremsas (Maximilian Schrems) pateikė savo pirmąjį skundą dėl to, kaip „Facebook“ tvarko jo, kaip vartotojo, duomenis. Pirmoji Schrems byla daugiausia buvo susijusi su ES ir JAV „saugaus uosto“ principais, kuriais siekiama tinkamai apsaugoti asmeninę informaciją, kurią įmonės perduoda iš ES į JAV. 2015 m. ESTT nustatė, kad ši duomenų perdavimo sistema yra neteisėta ir prieštaraujanti ES teisei.

Po šio sprendimo buvo sukurta nauja duomenų perdavimo sistema – ES ir JAV duomenų apsaugos skydas (taip vadinamas „Privatumo skydas“). Šis skydas buvo pagrįstas keturiais pagrindiniais ramsčiais: a) daugiau įpareigojimų įmonėms užtikrinti didesnį duomenų perdavimo skaidrumą; b) daugiau apribojimų įmonėms ir įtvirtintas tam tikras priežiūros mechanizmas; c) daugiau teisinių žalos atlyginimo galimybių asmenims ir papildomas alternatyvaus ginčų sprendimo mechanizmas; d) kasmetinės ES ir JAV valdžios institucijų bei kitų suinteresuotų asmenų peržiūros procedūros.

Schrems II. Šiooje byloje kilo ginčas dėl Privatumo skydo teisėtumo, kurį ESTT pripažino negaliojančiu. Visgi ESTT paliko galimybę naudotis standartinėmis sutarčių sąlygomis dėl asmens duomenų perdavimo trečiosiose šalyse įsikūrusiems duomenų tvarkytojams. Atitinkamai, ar duomenys gali būti perduoti turi būti vertinama kiekvienu atveju atskirai.

ESTT Schrems II sprendime pažymėjo, kad a) duomenų valdytojai ir duomenų tvarkytojai, eksportuojantys duomenis už ES ribų, turi patikrinti, ar trečiosios šalies įstatymai daro įtaką atitinkamų apsaugos priemonių, numatytų BDAR 46 str. veiksmingumui; ir b) duomenų eksportuotojai turi įgyvendinti papildomas priemones, kurios užpildytų šias spragas ir užtikrintų atitiktį ES teisės aktams.

Nuo tada, kai buvo priimtas Schrems II sprendimas, Europos duomenų apsaugos valdyba parengė rekomendacijas dėl asmens duomenų perdavimo, kuriose nustatomi šešių etapų atitikties mechanizmai toms įmonėms, kurios duomenis perduoda už Europos ekonominės erdvės ribų.

Kad atitiktų dabartinius ES duomenų apsaugos standartus, įmonės turi įvykdyti šiuos 6 reikalavimus:

1. Sekti asmens duomenų perdavimus;

2. Identifikuoti naudojamus asmens duomenų perdavimo mechanizmus;

3. Įvertinti, ar pasirinkti asmens duomenų perdavimo mechanizmai yra tinkami trečiojoje šalyje, į kurią bus perduodami asmens duomenys;

4. Įdiegti papildomas priemones, kurių pagalba būtų užtikrinamas to paties lygio asmens duomenų saugumas kaip Europos ekonominėje erdvėje;

5. Atlikti formalius procedūrinius veiksmus, kad būtų užtikrinama, jog papildomos priemonės nepažeis kitų formalių reikalavimų;

6. Atlikti monitoringą ir stebėseną.

2. Verslo reakcijos į Schrems II

Kita pranešėja dr. M. Goralczyk paaiškino, kaip po Schrems II įmonėms sunku laikytis dabartinio reguliavimo keliamų reikalavimų.

Dr. M. Goralczyk, kuri yra daugelio stambių ir didelių įmonių patarėja teisės atitikties klausimais, nedvejodama pasidalijo vyraujančia verslo reakcija į esamą situaciją bei nurodė, kad ji vertinama kaip „tragedija“. Ji taip pat pažymėjo, kad tokia dabartinė sistema yra visiškai nenaudinga nei verslui, nei privatiems vartotojams. Ji patikino, kad „Schrems II“ sprendimas uždėjo įmonėms itin formalią naštą, tačiau jokiu būdu nepadidino duomenų subjektams suteikiamos apsaugos.

Metaforiškai kalbėdama ji naudojo pačio M. Šremso žodžius, kuriais jis ES taktiką palygino kaip bandymą „kiaulei padažyti lūpas lupdažiais“, kadangi dabartiniai reikalavimai verčia įmones atlikti tai, ko nesugebėjo padaryti net ir pati ES Komisija. Dr. Goralczyk paaiškino, kad dabartinė sistema negali veikti iš esmės – jos tinkamai užtikrinti nėra pajėgios ne tik didelės tarptautinės korporacijos, bet ir mažos įmonės, kuriose dirba 50 darbuotojų.

Dr. M. Goralczyk paaiškino, kad iš esmės 90% visų duomenų perdavimų šiuo metu yra pagrįsti standartinėmis sutarčių sąlygomis, kadangi kito kelio paprasčiausiai nėra. Kai kurie iš turimų technologinių sprendimų, tokie kaip, pavyzdžiui, duomenų šifravimas, iš tikrųjų nėra tinkami tokiose situacijose, kur reikia perduoti duomenis.

Apibendrindama, dr. M. Goralczyk pažymėjo, kad dabartinis reguliavimas yra ydingas, jis neprisideda prie didesnės individualių vartotojų duomenų apsaugos, o tik smarkiai padidina verslo išlaidas, susijusias su reikalavimų laikymusi.

3. Nauji duomenų modeliai

Galiausiai dr. K.Kiviluoto atkreipė dėmesį į tris technines iniciatyvas duomenų srityje:

1. GAIA-X. Tai europietiška naujos kartos duomenų infrastruktūros iniciatyva. Projektą inicijavo Vokietija ir Prancūzija, juo siekiama išspręsti daugybę problemų, susijusių su duomenimis apskritai, o ypač su duomenų perdavimu. GAIA-X architektūra gerokai viršija  centralizuotą debesų metodą; GAIA-X užtikrina šiuos principus: saugumas pagal dizainą (angl. security-by-design), privatumas pagal dizainą (angl. privacy-by-design), federalinis principas, duomenų paskirstymas ir decentralizavimas. Taip pat yra sukurtos naudojimo patogumo gairės. Ryšiai tarp skirtingų suinteresuotųjų šalių – tokių kaip paslaugų vartotojai, duomenų savininkai ir paslaugų ir t.t. – yra aiškiai apibrėžti.

2. Įgaliotoji infrastruktūra (angl. edge computing). Tai antroji mega-tendencija, susijusi su duomenų architektūra. Dr. K. Kiviluoto paaiškino, kaip dabartinė centralizuota duomenų infrastruktūra pamažu pereina prie labiau išsklaidytos aplinkos. Dar neseniai dauguma duomenų buvo perduodami ir apdorojami debesyje, o tada atitinkamai įžvalgos ir rezultatai grąžinami jutikliams, vartotojams ar duomenų sistemoms. Pagrindinė įgaliotosios struktūros idėja yra ta, kad didelė dalis duomenų yra saugomi ir apdorojami pačiame galiniame įrenginyje – tai gali būti mobilusis telefonas, vietinis jutiklis arba 5G ar 6G tinklo elementas. Kitaip tariant, įgaliotosiose struktūrose duomenys bus renkami, saugomi ir apdorojami pačiame įrenginyje. Įgaliotoji infrastruktūra be abejonės taps nauja banga duomenų ekosistemoje, tačiau kol kas ji yra vis dar plėtojama.

3. Į naudotoją orientuotas duomenų modelis (angl. user-centric data model). Galiausiai K. Kiviluoto pristatė pagrindinius į vartotoją orientuoto duomenų modelio principus. Jo esmė yra kad asmuo turėtų daugiau duomenų apie save nei net pati didžiausia internetinių technologijų įmonė, su kuria žmonės gali susidurti šiais laikais. Į vartotoją orientuoto duomenų modelio misija yra: (a) sudaryti galimybes pasiekti visus duomenis, esančius įvairiuose nešiojamuose įrenginiuose ir debesų pagrindu teikiamose paslaugose; (b) surinkti tuos duomenis į individo asmeninį debesį, kuris visiškai priklausytų asmeniui (jokia kita trečioji šalis neturėtų tiesioginės prieigos prie to asmens duomenų debesies) ir c) suteikti asmenims galimybę naudotis įvairiomis programomis ir paslaugomis, kurios veikia turimų duomenų apie tą asmenį pagrindu. Tokia sąveika suteiktų asmeniui galimybę kasdien gauti naudą iš asmens duomenų ir naudoti juos savo paties nustatytomis sąlygomis.

Dr. K. Kiviluoto taip pat paaiškino kai kuriuos konkrečius į vartotoją orientuoto modelio elementus. Jis pažymėjo, kad svarbu naudoti programinės įrangos robotus, kurie padėtų automatizuoti duomenų rinkimo procesą ir padaryti jį greitą. Anot jo, duomenų modeliavimas yra pagrįstas atvirojo kodo įrankiais. Kadangi tik nedaugelis prekių ženklų ar paslaugų teikėjų domisi neapdorotais duomenimis apie asmenis, į vartotoją orientuotas duomenų modelis suteikia galimybę sukurti asmens duomenų profilius (pvz., asmeninio finansinį profilį), kurie galėtų būti naudojami individualizuotiems paslaugų teikėjų pasiūlymams.

Diskusijos metu pranešėjai dalinosi skirtingomis nuomonėmis apie iššūkius ES ir JAV verslo įmonėms, susijusius su po Schrems II bylos atsiradusių reikalavimų laikymusi, ir pakartojo nepasitenkinimą dabartiniu ES teisiniu reglamentavimu šiuo klausimu. Visgi pranešėjai sutiko, jog nauji duomenų modeliai teikia daug optimizmo ir ateityje gali padėti išspręsti aptartus iššūkius.

Visą vebinarą anglų kalba galite peržiūrėti paspaudę nuorodą ČIA.

Naujieną parengė VU Teisės fakulteto doktorantė Goda Strikaitė-Latušinskaja ir Dr. Paulius Jurčys

Back to top button