"Saugaus uosto" susitarimu buvo siekiama, kad Amerikos įmonės galėtų rinkti savo klientų asmens duomenis. Duomenys ES piliečių. Susitarimu siekta išlaikyti tradicinę ES piliečių duomenų apsaugą, kuri JAV neužtikrinama tokiu pat mastu. Nuo 2015 m. rugsėjo mėn. Europos Sąjunga šį susitarimą laikė negaliojančiu ir taip nutraukė daugiau nei 15 metų trukusią praktiką duomenų apsaugos teisės srityje.
Saugus uostas: saugus prieglobstis?
2015 m. rugsėjo mėn. "Saugaus uosto" susitarimas patyrė didelę nesėkmę. Europos Teisingumo Teismo generalinis advokatas Yves Bot savo išvadoje priėjo prie sprendimo, kad sprendimas dėl "saugaus uosto" negalioja ir nėra privalomas. 2000 m. sudarytas "saugaus uosto" susitarimas priklauso duomenų apsaugos teisės sričiai. Europos Komisijos sprendimu buvo siekiama leisti įmonėms perduoti asmens duomenis į JAV, jei laikomasi Europos duomenų apsaugos gairių. Nėra jokio "susitarimo" tikrąja prasme, tačiau dėl tokios procedūros buvo susitarta su JAV, todėl galima kalbėti apie tam tikrą "susitarimą". 2015 m. spalio 6 d. Europos Teisingumo Teismas (ETT) paskelbė "saugaus uosto" susitarimą negaliojančiu.
"Saugaus uosto" susitarimo istorija
Europos Sąjungoje Duomenų apsaugos direktyva 95/46/EB draudžiama perduoti asmens duomenis iš valstybių narių į kitas valstybes, kuriose nėra panašių duomenų apsaugos įstatymų. Jungtinėse Amerikos Valstijose beveik nėra duomenų apsaugos srities teisės aktų, kurie prilygtų Europos Sąjungos standartams. Dėl griežtų ES taisyklių kilo praktinių problemų, todėl 2000 m. JAV ir ES sudarė susitarimą. Jei būtų laikomasi duomenų apsaugos direktyvos, duomenų srautas sustotų, todėl buvo priimtas "saugaus uosto" reglamentas. JAV įmonės gali užsiregistruoti JAV prekybos departamento sąraše ir taip prisijungti prie "saugaus uosto". Prisijungdamos prie susitarimo Amerikos bendrovės pareiškė norą laikytis jo principų ir taisyklių. Teisinį reguliavimą iš esmės papildė tarptautinio lygmens privatūs teisės aktai. Europos Komisija manė, kad įrodyta, jog naujai sukurtos sistemos įmonės užtikrina pakankamą ES piliečių ir jų asmens duomenų apsaugą. Iki 2015 m. rugsėjo mėn., kai susitarimas buvo atšauktas, prie jo prisijungė daug bendrovių. Tarp jų buvo "General Motors", "Amazon", "Microsoft"IBM, "Google", "Facebook", "Dropbox" ir "Hewlett-Packard".
Populiari "saugaus uosto" susitarimo kritika
"Saugaus uosto" susitarimas ne kartą buvo kritikuojamas. Neigiamai nusiteikę asmenys neigė, kad susitarimas atlieka pakankamą apsauginę funkciją. Negalima pasikliauti Amerikos bendrovių žodžiais, todėl reikėjo pateikti įrodymų. Po kelerių metų buvo sukurtas JAV patriotų įstatymas: Dėl naujos teisinės situacijos Amerikos saugumo institucijos galėjo gauti prieigą prie visų duomenų nepranešdamos duomenų savininkui. Po informatoriaus Edwardo Snowdeno atskleistų faktų 2013 m. buvo paprašyta peržiūrėti sistemą. 2013 m. už teisingumą atsakinga ES Komisijos narė Viviane Reding paskelbė apie Europos duomenų apsaugos reformą. Visoms įmonėms, vykdžiusioms neteisėtą duomenų perdavimą, turėjo būti skiriama bauda iki dviejų procentų metinės apyvartos.
2015 m. rugsėjo mėn. Europos Teisingumo Teismo sprendimas
2015 m. rugsėjo mėn. Europos Teisingumo Teismo generalinis advokatas Yves Bot paskelbė, kad "saugaus uosto" susitarimas nebegalioja ir nėra privalomas. Airijos Aukštasis teismas kreipėsi į Europos Teisingumo Teismą su klausimu, ar taikomas "saugaus uosto" reglamentas ir kokia apimtimi. Ši byla buvo susijusi su "Facebook" duomenų perdavimu JAV. Sprendimo motyvuose generalinis advokatas nurodė, kad Europos Sąjunga neturi teisės kištis į valstybių narių kompetenciją ir ją riboti. Kai tik valstybėje narėje iškyla pavojus, kad bus pažeistos ES chartijoje įtvirtintos pagrindinės teisės, turi būti įmanoma imtis atitinkamų veiksmų. Viena iš pagrindinių teisių yra asmens duomenų apsauga. JAV ES piliečiai yra neapsaugoti nuo duomenų rinkėjų, nes JAV iš esmės leidžia rinkti ES piliečių duomenis. Tuo pat metu nėra veiksmingų priemonių, kuriomis būtų galima kreiptis į teismą dėl žalos atlyginimo. JAV žvalgybos tarnybos vykdo intensyvų sekimą, kuris nėra proporcingas ir leidžia tikslingai pažeisti duomenų apsaugą. Europos Teisingumo Teismas vadovavosi generalinio advokato argumentais ir taip nulėmė susitarimo pabaigą. Sprendimo rezoliucinėje dalyje buvo paminėtos Amerikos slaptosios tarnybos. Amerikos įmonės yra užklausiamos ir priverstos nesilaikyti visų apsaugos taisyklių. Todėl veiksminga asmens duomenų apsauga nėra užtikrinama. Viena vertus, šia procedūra pažeidžiama pagrindinė teisė į privataus gyvenimo gerbimą, kita vertus, pažeidžiama ir teisė į veiksmingą teisinę gynybą teisme.
Vokietijos duomenų apsaugos institucijų požiūris
Paskelbus Europos Teisingumo Teismo sprendimą, Vokietijos duomenų apsaugos institucijos ėmėsi skubių veiksmų. Žemių ir federalinės vyriausybės duomenų apsaugos įgaliotinių parengtame pozicijos dokumente paaiškinta, kad duomenų perdavimui netaikomas reikalavimas perduoti duomenis, jei jie perduodami tik remiantis "saugaus uosto" susitarimu. Nauji susitarimu pagrįsti leidimai nebebus išduodami. Be to, nebebus pripažįstamos įmonių schemos ir duomenų eksporto susitarimai. Jungtinėje Karalystėje laikomasi nuomonės, kad duomenų perdavimas vis tiek bus galimas, jei bus duotas sutikimas arba bus taikomos ES standartinės sutarčių sąlygos. Vokietijos duomenų apsaugos įgaliotinių nuomone, sutikimo nepakanka, nes masinis ir pakartotinis duomenų perdavimas tokiu mastu nebegalėtų būti leidžiamas.
Nauji reglamentai ir rekomendacijos
Federaliniu lygmeniu Europos Teisingumo Teismo sprendimą palankiai įvertino atsakingas federalinis duomenų apsaugos komisaras. Artimiausiu metu bus išnagrinėta, ar sprendimas turi įtakos privalomosioms įmonių taisyklėms ir ES standartinėms sutarčių sąlygoms Vokietijoje ir kokiu mastu. 2015 m. spalio 26 d. buvo paskelbtas Federalinės vyriausybės ir žemių pozicijos dokumentas. Priežiūros institucijos paskelbė, kad bus imtasi veiksmų prieš bet kokį duomenų perdavimą, grindžiamą "saugiuoju uostu". Po šio sprendimo tapo visiškai aišku, kad patvirtinimas pagal ankstesnį susitarimą yra visiškai nepriimtinas. Įmonėms, perduodančioms asmens duomenis į JAV, gresia skaudi bauda, todėl reikėtų kuo greičiau pritaikyti svetainių tekstus, reklaminę medžiagą ir duomenų apsaugos deklaracijas. Be to, reikėtų peržiūrėti dabartinius duomenų perdavimus. Reikėtų paaiškinti privalomų įmonių taisyklių ir ES standartinių sutarčių sąlygų taikymą. Tie, kurie negali atsisakyti duomenų perdavimo į JAV, turėtų naudoti ES standartines sutarčių sąlygas, kuriomis bent jau daugeliu atvejų galima gerokai sumažinti baudos riziką. Būtina išbandyti ir taikyti šifravimo metodus. Jei sutikimą galima gauti, kreipkitės į DPC ir pasiteiraukite, ar toks duomenų perdavimo įteisinimas yra leistinas. Tokio sutikimo atveju turi būti aiškiai nurodyta, kad duomenys bus perduoti į JAV. Be to, turi būti išvardytos galimos pasekmės. Tokį sutikimą vargu ar galima duoti nuolatinio ir masinio duomenų perdavimo atveju, pavyzdžiui, kai perduodami klientų duomenys. Siekiant kuo geresnės teisinės apsaugos, teisiniai klausimai turėtų būti nagrinėjami kiekvienu konkrečiu atveju. Techninėmis ir organizacinėmis priemonėmis galima gerokai sumažinti teisinių pažeidimų riziką.
