2015.gada 6.oktobrī Eiropas Savienības tiesa publicēja spriedumu Maximillian Schrems v Data Protection Commissioner (“Facebook”) lietā, pasludinot Eiropas Komisijas 2000.gada 26.jūlija lēmumu 2000/520/EK par spēkā neesošu.

Ar minēto Eiropas Komisijas lēmumu bija ieviesta “drošā patvēruma” (“safe harbour” - angļu val.) sistēma, kas deva iespēju nodot personas datus no ES uz ASV atvieglotā kārtībā. Lai izmantotu šo sistēmu, ASV uzņēmumi veica pašsertifikāciju, apliecinot, ka to darbība atbilst “drošā patvēruma” privātuma principiem un tādējādi personas datiem, kas tiek nosūtīti uz ASV, tiek nodrošināts adekvāts personas datu aizsardzības līmenis.  

Lietas iniciators ir sociālā tīkla Facebook lietotājs M.Schrems, kurš 2013.gada 25.jūnijā iesniedza Īrijas datu aizsardzības komisāram sūdzību, lūdzot aizliegt Facebook Īrijas filiālei nodot viņa personas datus ASV. M.Schrems sūdzējās, ka “drošā patvēruma” sistēma nenodrošina adekvātu personas datu aizsardzību, jo neaizsargā no ASV valsts iestāžu tiesībām izmantot lietotāju informāciju novērošanas vajadzībām. 

Nu Eiropas Savienības tiesa pasludinājusi “drošo patvērumu” par spēkā neesošu.

Eiropas Komisija preses konferencē pēc sprieduma pasludināšanas paziņoja, ka uzņēmumiem, kas izmantoja “drošo patvērumu”, ir jāpārskata savas personas datu nodošanas procedūras un jāizmanto alternatīvi līdzekļi personas datu nodošanai uz ASV. Eiropas Komisija uzsvēra, ka ir būtiski nodrošināt, lai transatlantiskā personas datu aprite turpinātos, jo tā ir nozīmīga ES ekonomikai.

Latvijas Fizisko personu datu aizsardzības likums noteic, ka personas datus var nodot citai valstij, kas nav ES vai EEZ dalībvalsts, vai starptautiskai organizācijai, ja šī valsts vai starptautiskā organizācija nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgai datu aizsardzības pakāpei Latvijā. Likums pieļauj izņēmumus no šī principa.

Latvijas personas datu aizsardzības uzraudzības iestāde, Datu valsts inspekcija, sprieduma pasludināšanas dienā, 2015.gada 6.oktobrī, pieņēma lēmumu “Par valstīm, kas nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei”, cita starpā, atzīstot iepriekšējo lēmumu par spēku zaudējušu. ASV “drošā patvēruma” uzņēmumi 2015.gada 6.oktobra lēmumā iekļauti nav, tātad, tie vairs netiek atzīti par tādiem, kas nodrošina “atbilstošu datu aizsardzības pakāpi”. Ievērojot minēto, “drošā patvēruma” sistēma personas datu nodošanai uz ASV vairs netiek atzīta arī Latvijā.

Tas nozīmē, ka privātpersonām, uzņēmumiem, valsts un pašvaldību institūcijām, kas līdz šim ir organizējušas personas datu nodošanu (pārziņiem Fizisko personu datu aizsardzības likuma izpratnē) uz ASV, izmantojot “drošā patvēruma” sistēmu, turpmāk ir jāizmanto citas Fizisko personu datu aizsardzības likumā paredzētās iespējas personas datu nodošanai uz ASV. Būtiski norādīt, ka pārejas periods šo personas datu aizsardzības procesu sakārtošanai nav paredzēts, tāpēc zemāk norādīto prasību izpilde jāuzsāk nekavējoties.

Saskaņā ar Fizisko personu datu aizsardzības likumu, personas datus drīkst nodot uz ASV, ja pastāv kāds no šī likuma 28.panta otrajā daļā noteiktajiem nosacījumiem, un papildus ir noslēgts līgums par personas datu nodošanu (alternatīvi - Eiropas Komisijas apstiprinātās līguma standartklauzulas par personas datu nosūtīšanu uz trešajām valstīm), vai arī ir ieviesti uzņēmuma saistošie noteikumi (derēs, ja personas datu nodošana notiek vienas uzņēmumu grupas ietvaros). Šiem saistošajiem noteikumiem ir jābūt apstiprinātiem kādā no ES dalībvalstu personas datu aizsardzības uzraudzības iestādēm, piemēram, Datu valsts inspekcijā.