Įdomu tai, kad ESTT konstatavo, jog senasis JAV „saugaus uosto“ sprendimas galioja tik JAV organizacijoms, bet ne JAV institucijoms, o tai reiškia, kad JAV institucijos neturėjo jokių duomenų apsaugos įsipareigojimų prieš Europos Sąjungą.

Skaičiuojama, kad ši ESTT nutartis palies bene 5000 bendrovių, tad kokių papildomų priemonių teks imtis verslui?

Visų pirma, ESTT nutartyje minimi asmens duomenys reiškia bet kokią informaciją, susijusią su fiziniu asmeniu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta pasinaudojant tokiais duomenimis kaip asmens kodas, vienas arba keli asmeniui būdingi fizinio, fiziologinio, psichologinio, ekonominio, kultūrinio ar socialinio pobūdžio požymiai. Taigi, mes čia kalbame ne apie bet kokius duomenis, o konkrečiai – asmens duomenis ir jų prieinamumą nesusijusiems subjektams.

Antras svarbus momentas, kad negaliojančiu pripažintas Europos Komisijos sprendimas dėl valstybių narių asmens duomenų perdavimo į trečiąją šalį, t.y. duomenų perdavimui iš Europos Sąjungos į JAV, o ne atvirkščiai – iš JAV į Europos Sąjungą. Tai reiškia, kad ESTT nutartis neliečia tų ES įmonių, kurios dirba su JAV rinka apdorodamos duomenis, gaunamus iš JAV ir kt. trečiųjų šalių.

Taigi, šis sprendimas aktualus toms ES įmonėms, kurios dirba su JAV rinka, ir dėl savo veiklos specifikos, geografinio išsiplėtimo ir globalios struktūros, siunčia asmens duomenis į JAV jurisdikciją, kurioje tie duomenys ir yra saugomi, kaupiami ar apdorojami.

Iš vienos pusės, ESTT sprendimas reikštų, kad asmens duomenų siuntimas iš Europos Sąjungos į JAV negalimas, nes Europos Komisijos sprendimas, kurio pagrindu tie duomenys keliavo, pripažintas negaliojančiu. Iš kitos pusės, Europos Komisijos sprendimo pripažinimas negaliojančiu nepanaikina Direktyvos 95/46/EC, kurioje numatyta, kad pačios valstybės narės turi užtikrinti, kad asmens duomenų perdavimas į trečiąją šalį gali vykti tik tada, jei trečioji šalis užtikrina adekvatų apsaugos lygį ir yra laikomasi valstybės narės įstatymais nustatytų taisyklių. Taigi, valstybių narių asmens duomenų apsaugos institucijos kiekvienu konkrečiu atveju vertins asmens duomenų perdavimo teisėtumą.

Po šio sprendimo pasirodė ne vienas komentaras, kad iš ES į JAV duomenis perduodančioms korporacijoms teks imtis papildomų veiksmų. Viena iš galimų išeičių, užtikrinant duomenų saugumą – steigti duomenų centrus Europos Sąjungoje.

Nevertinant reikiamų investicijų dydžio, tai daryti, matyt, būtų realiausia ir teisingiausia. Kita galima išeitis, papildomai investuoti į duomenų apsaugos užtikrinimą, stiprinti tarpusavio sutartis su JAV partneriais, numatant papildomus įsipareigojimus, arba, jeigu korporacija perduoda duomenis ne partneriams (kitai kompanijai), o tik savo padaliniui įsikūrusiam JAV – griežtinti įmonių vidaus politiką dėl duomenų perdavimo, apsaugos, tvarkymo ir atskleidimo.

Pažymėtina, kad vienas iš sprendimo motyvų pripažinti Komisijos sprendimą negaliojančiu buvo tai, jog jam „nepakluso“ JAV institucijos.

Tad nacionalinėms valstybių narių asmens duomenų apsaugos institucijoms dabar bus sunku „pasitikėti“ JAV asmens duomenų apsaugos sistema ir pripažinti jos apsaugos lygį adekvačiu, kad ir kokios papildomos pastangos būtų dedamos. Todėl realiausias problemos sprendimo būdas – nauji JAV ir ES susitarimai, pakeisiantys negaliojančiu pripažintą Europos Komisijos sprendimą.