(Spriedums lietā C-362/141)
2015.gada 16.oktobrī Direktīvas 95/46/EK 29.panta Darba grupa (turpmāk – 29.panta Darba grupa) publiskoja paziņojumu M.Šrema lietā pret Datu aizsardzības uzraudzības institūciju (lieta Nr.C-362-14), kas tika skatīta Eiropas Savienības Tiesā. Ņemot vērā Eiropas Savienības Tiesas 2015.gada 6.oktobra spriedumu, 29.panta Darba grupa ir diskutējusi par sekām, kas izriet no šī sprieduma Eiropas un nacionālajā līmenī. ES personas datu aizsardzības uzraudzības institūcijas uzskata, ka ir ļoti būtiski, lai būtu spēcīga, kolektīva un vienota pozīcija attiecībā uz šī sprieduma ieviešanu. Turklāt 29.panta Darba grupa ļoti uzmanīgi sekos līdzi lietas virzībai Īrijas Augstākajā tiesā.
ES datu aizsardzības uzraudzības iestādes uzsver, ka, pirmkārt, būtiskākais tiesas analīzes elements ir jautājums par masveida un nekritisko novērošanu. Tiesa norāda, ka tā ir konsekventi paziņojusi, ka šāda novērošana nav savienojama ar ES juridisko ietvaru un ka pašreizējie datu nodošanas instrumenti nav situācijas risinājums. Turklāt, kā jau ticis paziņots iepriekš, datu nodošana uz trešajām valstīm, kur valsts institūciju pilnvaras piekļūt informācijai ir daudz plašākas, nekā tas ir vajadzīgs demokrātiskā sabiedrībā, netiks uzskatītas kā drošs galamērķis datu nodošanai. Attiecībā uz to tiesas spriedums pieprasa, ka ikvienam adekvātuma lēmumam ir jāiekļauj plaša trešās valsts nacionālo normatīvo aku un starptautisko saistību analīze.
Tādējādi 29.panta Darba grupa aicina steidzami ES dalībvalstis un Eiropas institūcijas uzsākt diskusiju ar ASV institūcijām, lai rastu politiskus, juridiskus un tehniskus risinājumus, nodrošinot datu nodošanu uz ASV teritoriju, kas nodrošina pamattiesību ievērošanu. Šādus risinājumus varētu rast, pārrunās par starpvaldību līgumu, kas sniegtu spēcīgākas garantijas ES datu subjektiem. Šo jautājumu daļēji varētu risināt pašreizējā sarunu procesa ietvaros par jauno Drošo patvērumu (Safe Harbour) . Jebkurā gadījumā šiem risinājumiem vienmēr būtu jābūt ar skaidriem un saistošiem mehānismiem, un tajos vismaz būtu jāiekļauj pienākums nodrošināt nepieciešamo uzraudzību attiecībā uz publiskā sektora institūciju piekļuvi datiem, par caurskatāmību, proporcionalitāti, kompensācijas mehānismus un datu aizsardzības tiesības.
29.panta Darba grupa turpinās veikt analīzi par ES Tiesas sprieduma ietekmi uz datu nodošanas instrumentiem. Pašreiz personas datu aizsardzības uzraudzības institūcijas uzskata, ka Standarta līgumu klauzulas (Standard Contractual Clauses) un Saistošos korporatīvos noteikumus (Binding Corporate Rules) var turpināt izmantot. Jebkurā gadījumā, tas neatturēs personas datu aizsardzības uzraudzības iestādes izmeklēt (izvērtēt) konkrētus gadījumus, piemēram, pamatojoties uz sūdzībām, un izmantot savas pilnvaras indivīdu aizstāvēšanai.
Ja līdz 2016.gada janvāra beigām nebūs atbilstoša risinājuma attiecībā uz ASV institūcijām un atkarībā no 29.panta Darba grupas izvērtējuma par datu nodošanas instrumentiem, ES datu aizsardzības uzraudzības institūcijas ir vienojušās īstenot visus nepieciešamos un atbilstošos pasākumus, kas varētu iekļaut sevī koordinētu pārbaužu īstenošanu.
Attiecībā uz ES Tiesas sprieduma praktiskajām sekām, 29.panta Darba grupa uzskata, ka ir skaidrs, ka personas datu nodošana no Eiropas Savienības uz Amerikas Savienotajām Valstīm vairs nav īstenojama pamatojoties uz Eiropas Komisijas adekvātuma lēmumu Nr.2000/520/EK (tā sauktais „Drošā patvēruma lēmums”). Jebkurā gadījumā, datu nodošana, kas notiek joprojām saskaņā ar Drošā patvēruma lēmumu, pēc ES Tiesas sprieduma ir nelikumīga.
Lai nodrošinātu to, ka visas iesaistītās puses tiek pietiekami informētas, ES datu aizsardzības uzraudzības institūcijas īstenos nacionālā līmenī atbilstošas informatīvās kampaņas. To ietvaros varētu notikt tieša sazināšanās ar visām zināmajām kompānijām, kas paļāvās uz Drošā patvēruma lēmumu, kā arī vispārējas ziņas ievietošanu datu aizsardzības uzraudzības institūciju interneta mājaslapās.
Secinājumā, 29.panta Darba grupa uzstāj uz personas datu aizsardzības uzraudzības institūciju, ES institūciju, ES dalībvalstu un uzņēmēju kopēju atbildību, lai rastu atbilstošus risinājumus ES Tiesas sprieduma ieviešanai. Īpaši attiecībā uz spriedumu, uzņēmējiem vajadzētu pārdomāt iespējamos riskus, kādus viņi uzņemas, kad nodod personas datus un vajadzētu izvērtēt jebkādu juridisku un tehnisku risinājumu īstenošanu, lai savlaicīgi samazinātu šos riskus un nodrošinātu ES personas datu aizsardzības acquis īstenošanu.