Kodėl „Microsoft“ įsitraukia į teisinę kovą dėl jūsų transatlantinių duomenų

Kiekvieną kartą, kai Europos biuro darbuotojas išsaugo dokumentą debesijos saugykloje, nematomas mechanizmas inicijuoja kelionę per Atlantą. Šis procesas remiasi specifiniu teisiniu tiltu, žinomu kaip ES ir JAV duomenų privatumo sistema. Dar gerokai prieš tai, kai vartotojas pamato sinchronizavimo piktogramą, Briuselio ir Vašingtono teisininkai ginčijosi dėl to tilto saugumo. Jei tiltas sugrius, milijonų žmonių duomenys liks įstrigę vienoje vandenyno pusėje. Tai yra realybė, slypinti už bylos C-703/25 P – teisinio iššūkio, kuriuo siekiama panaikinti dabartinį susitarimą dėl duomenų perdavimo tarp Europos Sąjungos ir Jungtinių Amerikos Valstijų.

Pastaruoju metu Europos Sąjungos Teisingumo Teismas leido „Microsoft Corporation“ įstoti į šią bylą įstojusios šalies (intervenero) statusu. Šis statusas nėra tik simbolinis. Įstojusi šalis yra šalis, turinti tiesioginį ir esamą interesą dėl bylos baigties. Suteikdamas šį statusą, teismas pripažįsta, kad sprendimas turės įtakos „Microsoft“ veiklai ir jos teisiniams įsipareigojimams vartotojams. „Microsoft“ dabar sėdi prie stalo, prie kurio sprendžiama transatlantinių duomenų srautų ateitis.

Intervencijos mechanizmas

Norint suprasti, kodėl programinės įrangos milžinė atsidūrė Europos teismo salėje, būtina pažvelgti į sprendimo dėl tinkamumo mechaniką. Pagal Bendrąjį duomenų apsaugos reglamentą Europos Komisija turi galią nuspręsti, kad šalis už ES ribų užtikrina asmens duomenų apsaugos lygį, kuris iš esmės prilygsta Europos standartams. Šis sprendimas vadinamas sprendimu dėl tinkamumo. Jis veikia kaip žalia šviesa verslui. Kai sprendimas dėl tinkamumo galioja, įmonėms nereikia prašyti papildomų leidimų ar diegti sudėtingų aplinkinių sprendimų, kad galėtų perduoti duomenis į tą šalį.

ES ir JAV duomenų privatumo sistema yra naujausia šios žalios šviesos versija. Ji pakeičia ankstesnius susitarimus, kuriuos Europos teismai panaikino dėl susirūpinimo Amerikos sekimo praktika. Kai trečioji šalis, pavyzdžiui, „Microsoft“, įstoja į bylą, ji gauna prieigą prie visų procesinių dokumentų. Jie gali teikti savo pareiškimus raštu. Jie taip pat turi teisę dalyvauti žodiniuose posėdžiuose. „Microsoft“ šioje byloje nėra atsakovas; atsakovas yra Europos Komisija. Tačiau „Microsoft“ dalyvauja tam, kad pateiktų teismui įmonės, kuri faktiškai naudojasi šia sistema aptarnaudama milijonus klientų, perspektyvą.

Kodėl sprendimas dėl tinkamumo sulaukia kritikos

Iššūkis šiai sistemai sukasi aplink pagrindines Europos piliečių teises. Susitarimo kritikai teigia, kad Jungtinių Valstijų teisė vis dar leidžia invazinį sekimą, kuris nėra proporcingas nacionalinio saugumo poreikiams. Kaip pagrindinę problemą jie nurodo Užsienio žvalgybos stebėjimo įstatymo (FISA) 702 skirsnį. Šis įstatymas leidžia JAV žvalgybos agentūroms rinkti ne amerikiečių, esančių už JAV ribų, komunikaciją.

Privatumo gynėjai teigia, kad naujojoje sistemoje numatytas teisių gynimo mechanizmas yra nepakankamas. Nors JAV įsteigė Duomenų apsaugos peržiūros teismą europiečių skundams nagrinėti, skeptikai mano, kad šiam teismui trūksta ES teisės reikalaujamo nepriklausomumo. Jei Teisingumo Teismas pritars šiems kritikams, sprendimas dėl tinkamumo bus paskelbtas negaliojančiu. Tai sukurtų reguliavimo vakuumą, panašų į tą, kuris atsirado po „Schrems II“ sprendimo 2020 m. Įmonės per naktį prarastų pagrindinį teisinį pagrindą perduoti duomenis į JAV.

„Microsoft“ kaip duomenų valdytojas

„Microsoft“ veikia kaip duomenų valdytojas savo paslaugoms ir kaip duomenų tvarkytojas savo verslo klientams. Duomenų valdytojas yra subjektas, nustatantis asmens duomenų tvarkymo tikslus ir priemones. Kai įmonė naudoja „Microsoft 365“, „Microsoft“ veikia kaip tvarkytojas, vykdantis kliento nurodymus. Abiem vaidmenimis įmonei reikalinga stabili teisinė aplinka. Be duomenų privatumo sistemos „Microsoft“ ir jos klientai turi pasikliauti standartinėmis sutarčių sąlygomis. Tai yra iš anksto patvirtinti sąlygų rinkiniai, reikalaujantys, kad įmonės pačios atliktų perdavimo poveikio vertinimus.

Šių vertinimų atlikimas yra didelė administracinė našta. Įmonė turi įvertinti paskirties šalies įstatymus, kad įsitikintų, jog jie nepažeidžia sąlygose numatytos apsaugos. Įstodama į bylą, „Microsoft“ siekia apsaugoti duomenų privatumo sistemos galiojimą. Bendrovė yra suinteresuota užtikrinti, kad teismas naujas JAV teisės apsaugos priemones laikytų pakankamomis. Šios apsaugos priemonės apima Vykdomąjį potvarkį 14086, kuris apriboja JAV žvalgybos tarnybų atliekamą duomenų rinkimą tik tuo, kas yra būtina ir proporcinga.

Sugriuvusių duomenų tiltų istorija

Ši teismo drama yra dešimtmetį trunkančio ciklo dalis. Pirmasis didelis susitarimas buvo „Saugusis uostas“ (Safe Harbor), kurį teismas panaikino 2015 m. Jo įpėdinį „Privatumo skydą“ (Privacy Shield) toks pat likimas ištiko po penkerių metų. Kiekvieną kartą, kai susitarimas žlunga, reguliavimo kraštovaizdis primena skiautinį. Verslas priverstas jungti skirtingas teisines priemones, kad išliktų atitiktis. Daugeliui mažų ir vidutinių įmonių šis sudėtingumas tampa kliūtimi prekybai.

„Microsoft“ jau daugelį metų aktyviai dalyvauja šiose diskusijose. Bendrovė anksčiau įsipareigojo laikytis „ES duomenų ribos“ (EU Data Boundary) iniciatyvos, kuria siekiama visus Europos klientų duomenis saugoti ir tvarkyti ES viduje. Nors tai padeda užtikrinti duomenų lokalizaciją, tai neišsprendžia visų problemų. Globalizuotoje ekonomikoje kai kurie duomenys vis tiek turi kirsti sienas saugumo stebėjimo, techninės pagalbos ir pasaulinės komunikacijos tikslais. Bylos C-703/25 P baigtis nulems, ar duomenų privatumo sistema yra tvirtas pagrindas, ar tik dar vienas laikinas sprendimas.

Ką intervencija reiškia privatumo specialistams

„Microsoft“ priėmimas įstojusia šalimi rodo, kad teismas išklausys platų argumentų spektrą. Privatumo specialistai turėtų tai vertinti kaip ženklą, kad bylinėjimasis pereina į sudėtingą fazę. Teismas vertins ne tik įstatymo tekstą, bet ir tai, kaip jis veikia realiame pasaulyje. Duomenų apsaugos pareigūnui atitiktis veikia kaip kompasas audroje. Jei sistema yra to kompaso adata, teismo sprendimas nulems, ar adata rodo į šiaurę, ar sukasi ratais.

Kol byla tęsiasi, įmonės neturėtų sėdėti sudėjusios rankų. Teismui prireiks mėnesių ar net metų galutiniam sprendimui priimti. Per šį laiką duomenų privatumo sistema išlieka galiojančiu teisiniu pagrindu perdavimams. Tačiau šios temos istorija rodo, kad atsarginis planas yra būtinybė. Organizacijos turėtų išlaikyti savo standartines sutarčių sąlygas kaip antrinę priemonę. Šis dvigubas požiūris suteikia saugumo tinklą, jei pagrindinis tiltas vėl sugriūtų.

Praktiniai žingsniai verslui

Bylos C-703/25 P eigos stebėjimas yra pagrindinė pareiga bet kuriai organizacijai, vykdančiai transatlantinę veiklą. „Microsoft“ dalyvavimas procese tikriausiai padės sukurti išsamesnį techninį protokolą apie tai, kaip JAV sekimas faktiškai sąveikauja su komerciniais duomenimis. Ši informacija yra naudinga įmonėms, atliekančioms savo perdavimo poveikio vertinimus.

Verslas turėtų imtis šių veiksmų, kad pasirengtų bet kokiai baigčiai:

• Inventorizuoti visus duomenų srautus, kurie remiasi ES ir JAV duomenų privatumo sistema.
• Patikrinti, ar jūsų JAV įsikūrę paslaugų teikėjai sertifikavo savo atitiktį sistemai oficialioje Prekybos departamento svetainėje.
• Atnaujinti privatumo politikas, aiškiai nurodant kiekvieno transatlantinio perdavimo teisinį pagrindą.
• Išlaikyti atnaujintas standartines sutarčių sąlygas su visais ne ES duomenų tvarkytojais kaip nenumatytų atvejų priemonę.
• Peržiūrėti JAV partnerių įdiegtas apsaugos priemones, siekiant užtikrinti, kad jos atitiktų Vykdomojo potvarkio 14086 reikalavimus.

„Microsoft“ dalyvavimas šioje byloje pabrėžia didelę riziką technologijų sektoriui. Galutinis sprendimas arba įtvirtins dabartinę sistemą kaip nuolatinę struktūrą, arba privers visiškai perkurti tai, kaip Vakarų pasaulis dalijasi skaitmenine informacija. Skaidrumas ir pasirengimas yra vienintelės priemonės, leidžiančios verslui įveikti šį netikrumą nepažeidžiant savo vartotojų teisių.

Šaltiniai

• Bendrasis duomenų apsaugos reglamentas (BDAR), 45 straipsnis.
• Bendrasis duomenų apsaugos reglamentas (BDAR), 46 straipsnis.
• Europos Sąjungos Teisingumo Teismas, byla C-703/25 P.
• Europos Komisijos sprendimas dėl ES ir JAV duomenų privatumo sistemos tinkamumo (2023 m. liepa).
• JAV Vykdomasis potvarkis 14086 dėl Jungtinių Valstijų signalų žvalgybos veiklos apsaugos priemonių stiprinimo.

Šis straipsnis yra skirtas tik informaciniams ir žurnalistiniams tikslams ir nėra oficiali teisinė konsultacija.