Nuo Austrijos iki Prancūzijos
Vieną iš pirmųjų sprendimų sausį priėmė Austrijos duomenų apsaugos institucija. Anot jos, „Google Analytics“ naudojimas pažeidžia BDAR. Netrukus po Austrijos sprendimo buvo paskelbti panašūs vieši Nyderlandų, Danijos ir Prancūzijos duomenų apsaugos institucijų pranešimai arba sprendimai. Juose taip pat paprastai teigiama, jog esama tvarka, pagal kurią duomenys apie Europos piliečius renkami, perduodami ir vėliau saugomi Amerikoje, pažeidžia ES reglamentą. Taip yra dėl to, kad JAV vyriausybė pagal savo įstatymus gali susipažinti su surinktais Europos piliečių asmens duomenimis. Skirtingų institucijų manymu, šiuo atveju papildomų (techninių, teisinių ir organizacinių) priemonių nepakanka, jog jie to negalėtų daryti.
Prancūzijos duomenų apsaugos institucija paskelbė, kad jos nuosprendis „apima kitas priemones, kurias naudoja svetainės, dėl kurių Europos interneto naudotojų duomenys perduodami Jungtinėms Amerikos Valstijoms“. Tai leidžia teigti, jog bet kokia platforma, kuri, panašiai kaip ir „Google Analytics“, apdoroja Europos duomenų subjektų slapukų duomenis, gali būti paveikta šio sprendimo. Danijos duomenų apsaugos institucija prognozuoja, kad bus iškeliama vis daugiau panašių bylų visoje ES, ir kad vien šiuo metu yra apie 100 su šiuo klausimu susijusių, bet dar neišnagrinėtų, bylų.
Ar padės ankstesnė JAV ir ES patirtis?
Praeityje ES ir JAV sugebėjo išspręsti panašią problemą per dabar jau negaliojantį „Privatumo skydo“ susitarimą (ang. Privacy Shield), Tad daugelis tikėjosi analogiško sprendimo ir aptariamoje situacijoje.
Kaip tik kovo 25 d., pasirodė žinia apie naują politinį susitarimą tarp JAV prezidento Joe Bideno ir ES Komisijos pirmininkės Ursulos von der Leyen. Šis susitarimas dėl ES ir JAV transatlantinio duomenų perdavimo neabejotinai yra teigiamas pokytis.
Tačiau vertėtų atkreipti dėmesį į raktinį žodį „politinis“, nes iki konkretaus, teisiškai patvirtinto naujo susitarimo dar labai toli. Tiek Europos Sąjunga, tiek Europos Teisingumo Teismas reikalauja tikrų teisinių garantijų dėl Europos duomenų saugumo, o ar jos gali būti suteiktos, dar nėra aišku. Be to, turime įvertinti ir tai, jog įstatymų pakeitimo procesas JAV užtrunka.
Rinkoje laukiama aiškumo ir krypties
Ką tai reiškia įmonėms? Tarptautinį verslą vykdančios organizacijos, kurioms duomenų saugumas yra svarbus prioritetas ir kurios nori nepatekti į priežiūros institucijos baudų radarą, turi apsvarstyti lokalizuotus duomenų saugojimo ir tvarkymo sprendimus. Jos turi iš naujo nuspręsti, kaip sėkmingai valdys verslą tarptautinėje aplinkoje. Šiuo metu duomenų tvarkymo klausimas yra itin kompleksiškas nei bet kada iki šiol. Įvairūs sprendimo variantai kelia daug neaiškumų tiek valstybių lyderiams, tiek verslo organizcijoms.
Panašu, kad tai yra daug didesnė ir labiau neišvengiama grėsmė daugeliui reklamos technologijų platformų nei neseniai priimtas Belgijos duomenų apsaugos institucijos sprendimas dėl „IAB Europe“ ir jos Skaidrumo ir sutikimo sistemos (TCF). Daugeliui reklamos užsakovų, agentūrų, technologijų pardavėjų ir leidėjų tai yra ilgai lauktas žingsnis į priekį, kad TCF taptų ES pripažįstamu internetinės reklamos pramonės elgesio kodeksu. Tai gali suteikti aiškumo visiems suinteresuotiesiems subjektams – nuo galutinių vartotojų ir reklamuotojų iki technologijų teikėjų ir leidėjų.
Europoje veikiančios įmonės, kurios renka duomenis apie savo klientus, turėtų rimtai išanalizuoti priimtus sprendimus ir apsvarstyti, ar verta toliau naudoti paslaugas iš JAV įsikūrusių platformų. Tai itin aktualu labai reguliuojamoms pramonės šakoms, kuriose didelis dėmesys skiriamas reikalavimų laikymuisi, pvz., finansų, telekomunikacijų ir panašiuose sektoriuose veikiančioms bendrovėms. Manau, kad jos bus pirmosios, kurios apsispręs, kaip atsižvelgti į šį pokytį ir veikiausiai šiuo metu diskutuoja, kokius sprendimus priimti.