Kāpēc Microsoft iesaistās juridiskajā cīņā par jūsu transatlantiskajiem datiem

Katru reizi, kad Eiropas biroja darbinieks saglabā dokumentu mākoņdiskā, neredzams mehānisms iedarbina ceļojumu pāri Atlantijas okeānam. Šis process balstās uz specifisku juridisku tiltu, ko sauc par ES-ASV datu privātuma regulējumu. Jau sen pirms lietotājs ierauga sinhronizācijas ikonu, juristi Briselē un Vašingtonā ir strīdējušies par šī tilta drošību. Ja tilts sabrūk, miljoniem cilvēku dati paliek iestrēguši vienā okeāna pusē. Tā ir realitāte aiz lietas C-703/25 P — juridiska izaicinājuma, kura mērķis ir nojaukt pašreizējo vienošanos par datu pārsūtīšanu starp Eiropas Savienību un Amerikas Savienotajām Valstīm.

Nesenā notikumu pavērsienā Eiropas Savienības Tiesa atļāva Microsoft Corporation pievienoties šai lietai personas, kas iestājusies lietā (intervienta), statusā. Šis statuss nav tikai simbolisks. Intervidents ir puse, kurai ir tieša un esoša interese par lietas iznākumu. Piešķirot šo statusu, tiesa atzīst, ka spriedums ietekmēs Microsoft darbību un tā juridiskos pienākumus pret lietotājiem. Microsoft tagad sēž pie galda, kur tiek lemta transatlantisko datu plūsmu nākotne.

Mehānisms aiz iestāšanās lietā

Lai saprastu, kāpēc programmatūras gigants atrodas Eiropas tiesas zālē, ir jāizpēta lēmuma par aizsardzības līmeņa pietiekamību mehānika. Saskaņā ar Vispārīgo datu aizsardzības regulu Eiropas Komisijai ir pilnvaras nolemt, ka valsts ārpus ES piedāvā tādu personas datu aizsardzības līmeni, kas pēc būtības ir līdzvērtīgs Eiropas standartiem. Šāds lēmums ir lēmums par aizsardzības līmeņa pietiekamību. Tas darbojas kā zaļā gaisma uzņēmumiem. Ja lēmums par pietiekamību ir spēkā, uzņēmumiem nav jāmeklē papildu atļaujas vai jāievieš sarežģīti risinājumi, lai pārvietotu datus uz šo valsti.

ES-ASV datu privātuma regulējums ir jaunākā šīs zaļās gaismas versija. Tas aizstāj iepriekšējās vienošanās, kuras Eiropas tiesas atcēla bažu dēļ par Amerikas novērošanas praksi. Kad trešā puse, piemēram, Microsoft, iestājas lietā, tā iegūst piekļuvi visiem procesa dokumentiem. Viņi var iesniegt savus rakstveida apsvērumus. Viņiem ir arī tiesības piedalīties mutvārdu procesā. Microsoft šajā lietā nav atbildētājs; atbildētājs ir Eiropas Komisija. Tomēr Microsoft ir klāt, lai sniegtu tiesai perspektīvu no uzņēmuma, kas faktiski izmanto šo regulējumu, lai apkalpotu miljoniem klientu.

Kāpēc lēmums par pietiekamību tiek apstrīdēts

Izaicinājums regulējumam ir vērsts uz Eiropas pilsoņu pamattiesībām. Nolīguma kritiķi apgalvo, ka Amerikas Savienoto Valstu tiesību akti joprojām pieļauj invazīvu novērošanu, kas nav samērīga ar nacionālās drošības vajadzībām. Viņi kā galveno problēmu norāda uz Ārvalstu izlūkošanas novērošanas likuma (FISA) 702. pantu. Šis likums ļauj ASV izlūkdienestiem vākt to personu saziņu, kuras nav amerikāņi un atrodas ārpus ASV.

Privātuma aizstāvji apgalvo, ka jaunajā regulējumā paredzētais tiesiskās aizsardzības mehānisms ir nepietiekams. Lai gan ASV izveidoja Datu aizsardzības pārskatīšanas tiesu (DPRC), lai izskatītu eiropiešu sūdzības, skeptiķi uzskata, ka šai tiesai trūkst ES tiesību aktos noteiktās neatkarības. Ja Eiropas Savienības Tiesa piekritīs šiem kritiķiem, lēmums par pietiekamību tiks atzīts par spēkā neesošu. Tas radītu regulējuma vakuumu, līdzīgu tam, kas sekoja Schrems II spriedumam 2020. gadā. Uzņēmumi vienā naktī zaudētu savu galveno juridisko pamatu datu pārsūtīšanai uz ASV.

Microsoft kā pārzinis

Microsoft darbojas kā pārzinis saviem pakalpojumiem un kā apstrādātājs saviem biznesa klientiem. Pārzinis ir subjekts, kas nosaka personas datu apstrādes nolūkus un līdzekļus. Kad uzņēmums izmanto Microsoft 365, Microsoft darbojas kā apstrādātājs, ievērojot klienta norādījumus. Abās lomās uzņēmumam ir nepieciešama stabila juridiskā vide. Bez datu privātuma regulējuma Microsoft un tā klientiem ir jāpaļaujas uz līguma standartpamatnoteikumiem (SCC). Tie ir iepriekš apstiprināti noteikumu kopumi, kas pieprasa uzņēmumiem pašiem veikt datu pārsūtīšanas ietekmes novērtējumus.

Šo novērtējumu veikšana ir smags administratīvais slogs. Uzņēmumam ir jāizvērtē galamērķa valsts tiesību akti, lai nodrošinātu, ka tie nemazina klauzulās paredzēto aizsardzību. Iestājoties lietā, Microsoft cenšas aizsargāt datu privātuma regulējuma spēkā esamību. Uzņēmums ir ieinteresēts nodrošināt, lai tiesa uzskatītu jaunos ASV tiesību aktos paredzētos aizsardzības pasākumus par pietiekamiem. Šie aizsardzības pasākumi ietver Izpildrīkojumu 14086, kas ierobežo ASV izlūkdienestu veikto datu vākšanu tikai ar to, kas ir nepieciešams un samērīgs.

Sabrukušo datu tiltu vēsture

Šī tiesas zāles drāma ir daļa no desmit gadus ilga cikla. Pirmais nozīmīgais nolīgums bija "Safe Harbor", kuru tiesa atcēla 2015. gadā. Tā pēcteci "Privacy Shield" piemeklēja tāds pats liktenis piecus gadus vēlāk. Katru reizi, kad nolīgums cieš neveiksmi, regulatīvā vide atgādina lupatu deķi. Uzņēmumi ir spiesti sašūt kopā dažādus juridiskos rīkus, lai saglabātu atbilstību. Daudziem mazajiem un vidējiem uzņēmumiem šī sarežģītība ir šķērslis tirdzniecībai.

Microsoft gadiem ilgi ir bijis aktīvs šo diskusiju dalībnieks. Uzņēmums iepriekš apņēmās ievērot "EU Data Boundary" — iniciatīvu uzglabāt un apstrādāt visus Eiropas klientu datus ES robežās. Lai gan tas palīdz datu rezidences jautājumos, tas neatrisina visas problēmas. Globalizētā ekonomikā daži dati joprojām ir jāpārsūta pāri robežām drošības uzraudzībai, tehniskajam atbalstam un globālajai komunikācijai. Lietas C-703/25 P iznākums noteiks, vai datu privātuma regulējums ir izturīgs pamats vai tikai kārtējais pagaidu risinājums.

Ko iestāšanās lietā nozīmē privātuma speciālistiem

Microsoft uzņemšana intervienta statusā liecina, ka tiesa uzklausīs plašu argumentu klāstu. Privātuma speciālistiem tas būtu jāuztver kā zīme, ka tiesvedība ieiet sarežģītā fāzē. Tiesa skatīsies ne tikai uz likuma tekstu, bet arī uz to, kā tas darbojas reālajā pasaulē. Datu aizsardzības speciālistam atbilstība darbojas kā kompass vētrā. Ja regulējums ir šī kompasa adata, tiesas lēmums noteiks, vai adata rāda uz ziemeļiem vai griežas pa apli.

Kamēr lieta turpinās, uzņēmumiem nevajadzētu palikt dīkstāvē. Tiesai būs nepieciešami mēneši vai pat gadi, lai pieņemtu galīgo spriedumu. Šajā laikā datu privātuma regulējums joprojām ir derīgs juridiskais pamats pārsūtīšanai. Tomēr šīs tēmas vēsture liecina, ka rezerves plāns ir nepieciešamība. Organizācijām būtu jāsaglabā savi līguma standartpamatnoteikumi kā sekundārs pasākums. Šī dubultā pieeja nodrošina drošības tīklu, ja galvenais tilts atkal sabrūk.

Praktiski soļi uzņēmumiem

Sekot līdzi lietas C-703/25 P gaitai ir pamatpienākums jebkurai organizācijai ar transatlantiskām operācijām. Microsoft klātbūtne procesā, visticamāk, radīs detalizētāku tehnisko reģistru par to, kā ASV novērošana faktiski mijiedarbojas ar komerciālajiem datiem. Šī informācija ir noderīga uzņēmumiem, kas veic savus datu pārsūtīšanas ietekmes novērtējumus.

Uzņēmumiem būtu jāveic šādas darbības, lai sagatavotos jebkuram iznākumam:

• Inventarizējiet visas datu plūsmas, kas balstās uz ES-ASV datu privātuma regulējumu.
• Pārbaudiet, vai jūsu ASV bāzētie piegādātāji ir sertificējuši savu atbilstību regulējumam oficiālajā Tirdzniecības departamenta tīmekļa vietnē.
• Atjauniniet privātuma politikas, lai skaidri norādītu juridisko pamatu katrai transatlantiskajai pārsūtīšanai.
• Uzturiet atjauninātus līguma standartpamatnoteikumus ar visiem apstrādātājiem ārpus ES kā ārkārtas pasākumu.
• Pārskatiet ASV partneru ieviestos aizsardzības pasākumus, lai nodrošinātu to atbilstību Izpildrīkojuma 14086 prasībām.

Microsoft dalība šajā lietā uzsver augstās likmes tehnoloģiju nozarē. Galīgais spriedums vai nu nostiprinās pašreizējo regulējumu kā pastāvīgu elementu, vai arī piespiedīs pilnībā pārveidot to, kā Rietumu pasaule kopīgo digitālo informāciju. Pārredzamība un sagatavotība ir vienīgie rīki, kas ļauj uzņēmumam orientēties šajā nenoteiktībā, neapdraudot savu lietotāju tiesības.

Avoti

• Vispārīgā datu aizsardzības regula (GDPR), 45. pants.
• Vispārīgā datu aizsardzības regula (GDPR), 46. pants.
• Eiropas Savienības Tiesa, lieta C-703/25 P.
• Eiropas Komisijas lēmums par aizsardzības līmeņa pietiekamību saskaņā ar ES-ASV datu privātuma regulējumu (2023. gada jūlijs).
• ASV Izpildrīkojums 14086 par aizsardzības pasākumu uzlabošanu Amerikas Savienoto Valstu signālu izlūkošanas darbībām.

Šis raksts ir paredzēts tikai informatīviem un žurnālistikas nolūkiem un nav uzskatāms par oficiālu juridisku konsultāciju.