Datu aizsardzība

Ņemot vērā globālo pandēmiju, bažas par divkāršu lejupslīdi un strauju Brexit tuvošanos, nav pārsteidzoši, ka datu aizsardzības problēmu risināšana, it īpaši saistībā ar trešo personu personas datu pārsūtīšanu, līdz šim nebija “darāmo” darbu saraksta augšgalā. Pēdējā laikā ir notikusi ievērojama attīstība, taču stāsts sākas 2020. gada jūlijā ar Eiropas Kopienu Tiesas lēmumu atcelt ES un ASV privātuma vairogu. Tam bija interesants blakusprodukts, kas apšaubīja standarta līgumu klauzulu (SCC) turpmāku izmantošanu jebkurai personas datu pārsūtīšanai ārpus ES.

Šis lēmums atstāja neizpratni par to, kā uzņēmumi nākotnē varēs likumīgi pārsūtīt informāciju. Apvienotajā Karalistē (un Eiropā) reģistrētām vienībām SCC tika uzskatīts par ātru risinājumu, lai nodrošinātu, ka personisko informāciju var pārsūtīt starptautiski ārpus ES.

Brexit procedūras ir radījušas papildu nenoteiktību. Šobrīd Apvienotā Karaliste gaida Eiropas Komisijas lēmumu piešķirt Apvienotajai Karalistei “atbilstību” no datu aizsardzības viedokļa. Šī atbilstības statusa piešķiršana nozīmētu, ka brīva personas datu plūsma starp Apvienoto Karalisti un ES var turpināties, neprasot drošības pasākumus. Varbūtība, ka lēmums par atbilstību tiks piešķirts līdz pārejas perioda beigām, 2020. gada 31. decembrim, ir ārkārtīgi zema. Tāpēc 2021. gada 1. janvārī Lielbritānija no datu aizsardzības viedokļa ES tiks uzskatīta par trešo valsti.

Jaunākie notikumi

Līdz 2020. gada decembrim  ir notikuši vairāki notikumi, galvenokārt, lēmuma rezultātā par ES un ASV privātuma vairoga atzīšanu par nederīgu. Lielbritānijas uzņēmumus ietekmē ne tikai personas datu pārsūtīšana uz trešo valsti vai no trešās valsts ārpus ES, bet arī jebkura personas datu pārsūtīšana tieši no ES uz Lielbritāniju.

2020. gada novembrī Eiropas Datu aizsardzības padome izdeva ieteikumus par papildu pasākumiem, kas organizācijai jāņem vērā, veicot jurisdikcijas novērtēšanu. Norādījumus var sadalīt vairākos posmos šādi:

1. solis. Nosakiet savu starptautisko iedarbību uz personas datu pārsūtīšanu un pārliecinieties, vai ir izvēlēts pārsūtīšanas mehānisms.

2. solis. Izpētiet un novērtējiet, vai trešās puses jurisdikcijā ir nodrošināta pietiekama aizsardzība ārpus EEZ, t.i., ka nekas neliedz organizāciju izmantot izvēlēto pārsūtīšanas mehānismu.

3. solis. Ja nepieciešams, identificējiet un pieņemiet papildu pasākumus, lai trešās valsts aizsardzības līmenis atbilstu ES gaidītajiem standartiem. Tie varētu būt tehniski drošības pasākumi, līguma aizsardzības pasākumi vai organizatoriski pasākumi.

Juridiskie jautājumi par datu pārsūtīšanu ir sarežģīti. Jebkurai Lielbritānijā bāzētai organizācijai ir ārkārtīgi svarīgi noteikt, kur tā ir pakļauta, un izstrādāt ceļvedi saistītajiem riskiem. Informācijas komisāra birojs kā Apvienotās Karalistes regulators sagaida, ka organizācijas būs atbildīgas pret saviem pienākumiem.