Lielie gaidīšanas svētki ir beigušies, beidzot ir pieejamsEiropas savienības tiesas prejudiciālais nolēmums lietāC-311/18. Lietā C-311/18 lūgumu 2018. gada 9. maijā iesniedza High Court (Īrija) – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems, jeb privātuma profesionāļiem vairāk zināma kā Šrems II (Schrem II ) lieta.
Šķietami, daudz sarežģītāka situācija ir, ja nav iepriekšminētie lēmumi, bet ir jāizmanto prasība noslēgt standartklauzulu līgumus (kur jau ir iekļauti būtiskākie nosacījumi pēc kādiem līgumslēdzējpusēm ir jādarbojas un faktiski jebkādi citi, kas ir pretrunā standartlīgumu nosacījumiem, nedrīkst būt). Ir vēl daži citi mehānismi, kad personas datu pārsūtīšana uz ASV jeb jebkuru citu valsti ir atzīstama par tiesisku, piemēram, uzņēmuma saistošie noteikumi vai neregularai personas datu apstrādei piemērojot Regulas 49.panta nosacījumus (bet par 49.panta piemērošanu arī ir interesanti un varētu izveidot vismaz ierakstu sēriju, tikai par situācijām, kad ir vai nav “izņēmums” un neregulāra personas datu pārsūtīšana. Piemēram, pavisam nesen apelacijas kārtībā Luxemburgas tiesa lēma, ka Banka nav pamatojusi savas tiesības balstīties uz 49.panta izņēmumiem situācijā, kad tā gribēja pārsūtīt uz ASV informāciju par privātpersonas kontu un tā saistītajiem uzņēmuma kontiem, kur tas ir patiesā labuma guvējs, lai, cita starpā, pierādītu, ka tā nav līdzdarbojusies krāpšanā nodokļu jomā. Lai situācija būtu vēl interesantāka, tā bija Šveices banka, kurai bija filiāle Luksemburgā)
Bet palikšu pie šiem diviem priekšnoteikumiem - Privātuma vairoga sertifikācijas shēmas un standartklauzula līguma noslēgšanas, jo tieši par šo mehānismu, spēkā esamību bija jālemj tiesai.
Par šķietami sarežģītāko situāciju, noslēdzot standartklauzulu līgumus - arī manā praksē tikai ļoti retos gadījumos puses, slēdzot šos līgumus, uztvēra tos kā dokumentus pēc kuriem tās vadīsies sadarbības laikā. Pamatā tomēr šie līgumi tika uztverti kā nodeva birokrātijai un nekas vairāk. Un par to arī, cita starpā, ir stāsts šajā tiesu lietā.
***
! Nedaudz priekšvēstures
M. Schrems, Austrijas pilsonis, kurš dzīvo Austrijā, ir sociālā tīkla Facebook lietotājs. Visiem šī sociālā tīkla lietotājiem, kas dzīvo Savienības teritorijā, reģistrēšanās brīdī ir jānoslēdz līgums ar Facebook Ireland, kas ir ASV reģistrētās sabiedrības Facebook Inc. meitasuzņēmums. Šo lietotāju personas dati pilnībā vai daļēji tiek nosūtīti uz Facebook Inc. piederošiem serveriem, kas atrodas ASV teritorijā, kur tos apstrādā. 2013. gada 25. jūnijā M. Schrems iesniedza DPC [Īrijas datu valsts inspekcija] sūdzību, kurā būtībā viņš lūdza, lai Facebook Ireland tiktu aizliegts nosūtīt viņa personas datus uz ASV. Sūdzībā viņš norādīja, ka šajā trešajā valstī spēkā esošās tiesības un prakse nenodrošinot pietiekamu šīs valsts teritorijā glabāto personas datu aizsardzību pret iejaukšanos, kas izriet no [trešās valsts] valsts iestāžu īstenotās uzraudzības. Šajā ziņā M. Schrems atsaucās uz Edvarda Snoudena [Edward Snowden] atklāto informāciju par ASV izlūkdienestu, it īpaši National Security Agency (Nacionālā drošības aģentūra, ASV, turpmāk tekstā – “NSA”) darbībām. Šī sūdzība tika noraidīta, pamatojoties it īpaši uz to, ka visi jautājumi par ASV nodrošinātās aizsardzības pietiekamību ir jārisina saskaņā ar “drošības zonas” lēmumu. Šajā lēmumā Komisija bija konstatējusi, ka šī trešā valsts sniedz pietiekamu to personas datu aizsardzības līmeni, kuri tiek nosūtīti to teritorijā esošiem uzņēmumiem, kas ievēro minētajā lēmumā norādītos principus. M. Schrems cēla prasību High Court (Augstā Tiesa) par lēmumu noraidīt viņa sūdzību. Šī tiesa uzskatīja, ka, lai gan M. Schrems formāli nav apstrīdējis “drošības zonas” lēmuma spēkā esamību, viņa sūdzībā tika faktiski apstrīdēts ar šo lēmumu ieviestās sistēmas tiesiskums. Šādos apstākļos minētā tiesa uzdeva Tiesai jautājumus būtībā par to, vai dalībvalstu datu aizsardzības iestādēm (turpmāk tekstā – “uzraudzības iestādes”), ja tajās ir iesniegta sūdzība par personas tiesību un brīvību aizsardzību saistībā ar to personas datu apstrādi, kuri attiecas uz šo personu un kuri ir nosūtīti uz trešo valsti, ir saistoši konstatējumi par šīs trešās valsts sniegtā aizsardzības līmeņa pietiekamību, ko Komisija veikusi saskaņā ar Direktīvas 95/46 25. panta 6. punktu, lai gan sūdzības iesniedzējs šos konstatējumus apstrīd. Pēc tam, kad sprieduma Schrems 51. un 52. punktā Tiesa nosprieda, ka lēmums par aizsardzības līmeņa pietiekamību ir saistošs uzraudzības iestādēm tik ilgi, kamēr tas nav pasludināts par spēkā neesošu, šī sprieduma 63. un 65. punktā Tiesa nosprieda: [..] Ja persona, kuras personas dati ir tikuši vai var tikt pārsūtīti uz trešo valsti, par ko Komisija saskaņā ar Direktīvas 95/46 25. panta 6. punktu ir pieņēmusi lēmumu, vēršas valsts uzraudzības iestādē ar prasību par tās tiesību un brīvību aizsardzību saistībā ar šo datu apstrādi un šīs prasības ietvaros [..] apstrīd šī lēmuma saderīgumu ar personu privātās dzīves neaizskaramības un pamatbrīvību un pamattiesību aizsardzību, šai iestādei minētā prasība ir jāizskata ar vislielāko rūpību. Tiesa minētajā spriedumā arī pārbaudīja “drošības zonas” lēmuma spēkā esamību, ņemot vērā no Direktīvas 95/46 izrietošās prasības, lasot tās kopsakarā ar Hartu. Pēc šīs pārbaudes tā atzina šo lēmumu par spēkā neesošu .
Pēc sprieduma Schrems iesniedzējtiesa atcēla lēmumu, ar kuru DPC bija noraidījis M. Schrems sūdzību, un nosūtīja to DPC pārbaudei. Pēdējais minētais uzsāka izmeklēšanu un aicināja M. Schrems pārformulēt savu sūdzību, ņemot vērā “drošības zonas” lēmuma atzīšanu par spēkā neesošu. Šajā nolūkā M. Schrems lūdza Facebook Ireland identificēt juridiskos pamatus, uz kuriem ir balstīta sociālā tīkla Facebook lietotāju personas datu nosūtīšana no Savienības uz ASV. Facebook Ireland, neidentificējot visus juridiskos pamatus, uz kuriem tas balstās, atsaucās uz nolīgumu par datu nosūtīšanu un apstrādi (data transfer processing agreement), kas noslēgts starp viņu un Facebook Inc. un kas ir piemērojams kopš 2015. gada 20. novembra, un norādīja uz Lēmumu 2010/87. Savā pārformulētajā sūdzībā M. Schrems norāda, pirmkārt, ka šajā nolīgumā ietvertās klauzulas neatbilst līguma standartklauzulām, kas ietvertas Lēmuma 2010/87 pielikumā. Otrkārt, M. Schrems apgalvo, ka līguma standartklauzulas jebkurā gadījumā nevarot būt pamats viņa personas datu nosūtīšanai uz ASV. Tas tā esot tādēļ, ka ASV tiesības uzliek Facebook Inc. pienākumu nodot savu lietotāju personas datus tādu ASV iestāžu rīcībā kā, piemēram, NSA un Federal Bureau of Investigation (Federālais izmeklēšanas birojs, ASV, turpmāk tekstā – “FBI”) uzraudzības programmu ietvaros, kas traucējot īstenot Hartas 7., 8. un 47. pantā garantētās tiesības. M. Schrems apgalvo, ka neviens tiesību aizsardzības līdzeklis neļauj datu subjektiem īstenot viņu tiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību. Šādos apstākļos M. Schrems lūdz DPC apturēt šo pārsūtīšanu, piemērojot Lēmuma 2010/87 4. pantu. PC izmeklēšanas mērķis bija noteikt, pirmkārt, vai ASV nodrošina pietiekamu Savienības pilsoņu personas datu aizsardzību un, otrkārt, noliedzošas atbildes gadījumā, vai LSK lēmumi sniedz pietiekamas garantijas attiecībā uz šo pēdējo minēto pamattiesību un pamatbrīvību aizsardzību. Šajā ziņā lēmuma projektā (draft decision) DPC provizoriski uzskatīja, ka ASV tiesības nenodrošina efektīvus tiesību aizsardzības līdzekļus Hartas 47. panta izpratnē Savienības pilsoņiem, kuru dati tiek nosūtīti uz ASV, kur tos, iespējams, apstrādās ASV iestādes valsts drošības nolūkos tādā veidā, kas nav saderīgs ar Hartas 7. un 8. pantu. Garantijas, kas paredzētas LSK lēmumu pielikumā ietvertajās klauzulās, nenovēršot šo trūkumu, jo tās neesot saistošas ASV iestādēm vai aģentūrām un ar tām datu subjektiem tiekot piešķirtas tikai līgumiskas tiesības attiecībā pret datu nosūtītāju un/vai saņēmēju.
…un vēl izmetot dažus juridiskus līkločus, jautājums nonāca Eiropas Savienības tiesā.
! Ko tad Tiesa lēma?
Saskaņā ar Tiesas publicēto preses relīzi Tiesa konstatē, ka Lēmuma 2010/87 pārbaudē attiecībā pret Pamattiesību hartu nav atklājies neviens elements, kas ietekmētu tā spēkā esamību. Taču Lēmumu 2016/1250[Privātuma vairogu] tā atzīst par spēkā neesošu.
Vispirms Tiesa norāda, ka Savienības tiesības, it īpaši VDAR, ir piemērojamas personas datu pārsūtīšanai komerciālos mērķos, ko veicis dalībvalstī reģistrēts tirgus dalībnieks citam, trešā valstī reģistrētam tirgus dalībniekam, pat ja šīs pārsūtīšanas laikā vai pēc tam šos datus sabiedrības drošības, aizsardzības un valsts drošības nolūkos var apstrādāt attiecīgās trešās valsts publiskās iestādes. Tā precizē, ka šāda veida datu apstrāde, ko veic trešās valsts iestādes, šādu pārsūtīšanu neizslēdz no regulas piemērošanas jomas.
Attiecībā uz šādai pārsūtīšanai nepieciešamo aizsardzības līmeni Tiesa atzīst, ka VDAR normās šajā ziņā paredzētās prasības, kas saistītas ar atbilstošām garantijām, īstenojamām tiesībām un efektīviem tiesību aizsardzības līdzekļiem, ir jāinterpretē tādējādi, ka to personu tiesībām, kuru personas dati tiek pārsūtīti uz trešo valsti, pamatojoties uz datu aizsardzības standartklauzulām, ir jāpiemēro būtībā līdzvērtīgs aizsardzības līmenis tam, kāds ir garantēts Savienībā ar šo regulu, lasot to kopā ar Hartu. Šādā kontekstā tā precizē, ka, izvērtējot šo aizsardzības līmeni, ir jāņem vērā gan līguma noteikumi, par kuriem ir panākta vienošanās starp Savienībā reģistrēto datu nosūtītāju un attiecīgajā trešajā valstī reģistrēto pārsūtīto datu saņēmēju, gan arī – attiecībā uz šīs trešās valsts publisko iestāžu iespējamo piekļuvi šādi nosūtītajiem datiem – šīs trešās valsts tiesību sistēmas atbilstošie elementi.
Attiecībā uz uzraudzības iestāžu pienākumiem šādas pārsūtīšanas kontekstā Tiesa nospriež – ja vien Komisija nav juridiski pamatoti pieņēmusi lēmumu par aizsardzības līmeņa pietiekamību, šīm iestādēm ir pienākums apturēt vai aizliegt personas datu pārsūtīšanu uz trešo valsti, ja tās uzskata, ņemot vērā visus ar šo pārsūtīšanu saistītos apstākļus, ka datu aizsardzības standartklauzulas šajā trešajā valstī netiek vai nevar tikt ievērotas un ka Savienības tiesībās prasīto pārsūtīto datu aizsardzību nav iespējams nodrošināt ar citiem līdzekļiem, ja Savienībā reģistrētais datu nosūtītājs pats nav apturējis vai izbeidzis pārsūtīšanu.
Turpinājumā Tiesa izvērtē Lēmuma 2010/87 spēkā esamību. Tiesa norāda, ka šī lēmuma spēkā esamību neietekmē tikai tas vien, ka tajā ietvertās datu aizsardzības standartklauzulas nav saistošas tādu trešo valstu iestādēm, uz kurām personas dati var tikt pārsūtīti. Tā savukārt precizē, ka šī spēkā esamība ir atkarīga no tā, vai minētais lēmums ietver
un ka,
pamatojoties uz šīm klauzulām īstenotā personas datu pārsūtīšana šo klauzulu pārkāpuma gadījumā tiek apturēta vai aizliegta
Tiesa konstatē, ka Lēmumā 2010/87 šādi mehānismi ir ietverti. Šajā ziņā tā jo īpaši uzsver, ka ar minēto lēmumu datu nosūtītājam un to
saņēmējam ir noteikts pienākums vispirms pārbaudīt, vai attiecīgajā trešajā valstī ir ievērots šis aizsardzības līmenis un saņēmējam ir noteikts pienākums informēt datu nosūtītāju, ka tas, iespējams, nevarēs izpildīt aizsardzības standartklauzulu prasības un nosūtītājam tādējādi ir pienākums apturēt datu pārsūtīšanu un/vai lauzt ar saņēmēju noslēgto līgumu.
Visbeidzot Tiesa veic Lēmuma 2016/1250 spēkā esamības pārbaudi attiecībā pret prasībām, kas izriet no VDAR, lasot tās to Hartas normu kontekstā, kurās garantēta privātās un ģimenes dzīves neaizskaramība, personas datu aizsardzība un tiesības uz efektīvu tiesību aizsardzību tiesā. Šajā ziņā Tiesa norāda, ka minētajā lēmumā, gluži kā Lēmumā 2000/520, ir iedibināts ar valsts drošību, sabiedrības interesēm un ASV tiesiskā regulējuma ievērošanu saistīto prasību pārākums, tādējādi padarot iespējamu iejaukšanos to personu pamattiesībās, kuru dati tiek pārsūtīti uz šo trešo valsti. Tiesa norāda, ka personas datu aizsardzības ierobežojumi, kuri izriet no ASV tiesiskā regulējuma par ASV publisko iestāžu piekļuvi no Savienības uz trešo valsti pārsūtītiem personas datiem un šādu datu izmantošanu, un kurus Komisija ir izvērtējusi Lēmumā 2016/1250, nav formulēti tādā veidā, lai atbilstu prasībām, kas būtībā ir līdzvērtīgas tām, kuras Savienības tiesībās ir izvirzītas ar samērīguma principu, jo uz šo tiesisko regulējumu balstītās uzraudzības programmas nav ierobežotas līdz absolūti nepieciešamajam. Pamatodamās uz šajā lēmumā ietvertajiem konstatējumiem, Tiesa norāda, ka attiecībā uz atsevišķām uzraudzības programmām no minētā tiesiskā regulējuma nekādā veidā neizriet, ka pastāvētu tajā paredzētie pilnvaru ierobežojumi attiecībā uz šo uzraudzības programmu īstenošanu, ne arī garantiju esamība personām, kuras nav Amerikas pilsoņi un kuras potenciāli skar šīs programmas. Tiesa piebilst – lai arī šajā pašā tiesiskajā regulējumā ir paredzētas prasības, kuras ASV iestādēm ir jāievēro, īstenojot attiecīgās uzraudzības programmas, tomēr tajā datu subjektiem nav piešķirtas tiesības, kuras tās varētu tiesās īstenot pret Amerikas iestādēm.
Attiecībā uz aizsardzību tiesā Tiesa nospriež, ka pretēji Komisijas paustajam Lēmumā 2016/1250 ar šo lēmumu izveidotajā ombuda mehānismā nav paredzēti iestādē izmantojami tiesību aizsardzības līdzekļi, kas sniegtu garantijas, kuras būtībā ir līdzvērtīgas Savienības tiesībās prasītajām, lai nodrošinātu gan šajā mehānismā paredzēto ombuda neatkarību, gan to, ka pastāv normas, kas pilnvaro šo ombudu pieņemt ASV izlūkdienestiem saistošus lēmumus. Visu šo iemeslu dēļ Tiesa Lēmumu 2016/1250 pasludina par spēkā neesošu.
! Pēcvārda vietā
Lai arī daudzi teica (gribēja), lai šis ir politiks lēmums un nekas netraucētu brīvai personas datu plūsmai uz ASV, pirmšķietami tiesa ir atradusi loģisku vidusceļu - jā, Privātuma vairoga mehānisms ir atzīstams par spēkā neesošu (īstenībā - nepārsteidz), bet attiecībā uz standartklauzulu līgumiem - nav jau nekas slikts tajos, ja vien tie nebūtu nodeva birokrātijai, kā minēju iepriekš, tāpēc arī tikai loģiski, ka Tiesa ir uzsvērusi, ka uzraudzības iestādēm ir jāstrādā aktīvāk un ja nepieciešams jāpieņem nepopulāri lēmumi, piemēram, aizliedzot personas datu pārsūtīšanu. Un šāds norādījums ir tikai loģisks, jo jau lietas izskatīšanas laikā daudz tika diskutēts un arī viedokļa paudēji lietā norādīja, ka šim jautājumam vispār nevajadzēja nonākt Eiropas savienības tiesā. Vienīgais ko vajadzēja - Īrijas uzraudzības iestādei darīt savu darbu un pieņemt lēmumu attiecībā uz Facebook personas datu apstrādi.