Asmens duomenų perdavimas už Europos ekonominės erdvės (EEE) ribų dažnai yra būtinas tarptautinės prekybos ar bendradarbiavimo tikslais. Jūsų MVĮ gali tekti perduoti asmens duomenis į EEE nepriklausančią šalį, pavyzdžiui, kai jums reikia dalintis asmens duomenimis su savo verslo partneriais arba tiekėjais, kurie yra įsisteigę už EEE ribų.
BDAR nustatytos konkrečios nuostatos dėl tokių duomenų perdavimo. Šiomis nuostatomis BDAR siekiama užtikrinti kad asmens duomenys, kurie perduodami, būtų apsaugoti tokiu pačiu lygiu, kaip ir EEE ribose.
Kada asmens duomenys perduodami už EEE ribų?
BDAR nepateikiama tokių duomenų perdavimo apibrėžimo. Tačiau EDAV nustatė šiuos tris kumuliatyvius perdavimo už EEE ribų nustatymo kriterijus:
- duomenų valdytojui arba duomenų tvarkytojui dėl konkretaus duomenų tvarkymo taikomas BDAR;
- šis duomenų valdytojas arba duomenų tvarkytojas atskleidžia asmens duomenis perduodamas, arba kitaip suteikia galimybę susipažinti su asmens duomenimis kitai organizacijai (duomenų valdytojui arba tvarkytojui);
- ši kita organizacija yra EEE nepriklausančioje šalyje arba yra tarptautinė organizacija.
Kaip perduoti asmens duomenis už EEE ribų?
Trumpai tariant, BDAR nustatyti asmens duomenų perdavimo už EEE ribų į EEE nepriklausančias šalis arba tarptautines organizacijas apribojimai, siekiant užtikrinti, kad BDAR suteikiamas asmenų apsaugos lygis išliktų toks pat.
Asmens duomenys gali būti perduodami už EEE ribų tik laikantis BDAR V skyriuje nustatytų tokio perdavimo sąlygų.
Perdavimo sąlygų turi būti laikomasi papildomai prie bendros BDAR atitikties. Pavyzdžiui, šios sąlygos yra papildomas reikalavimas, papildantis pagrindinius duomenų tvarkymo principus, kurių taip pat reikia laikytis tarptautinio duomenų perdavimo atveju. Kai perduodate asmens duomenis, vis tiek turite įsitikinti, kad turite tinkamą teisinį pagrindą tvarkyti duomenis; kad būtų įgyvendintos būtinos saugumo priemonės; kad tvarkytumėte tik asmens duomenis, būtinus šiai konkrečiai duomenų tvarkymo veiklai (duomenų kiekio mažinimo principas) ir t. t. Jei asmens duomenų gavėjas veikia kaip duomenų tvarkytojas, jūs vis tiek teisiškai privalote sudaryti sutartį. Lygiai taip pat, kaip ir su EEE veikiančiu tvarkytoju.
BDAR numatyti du pagrindiniai būdai perduoti asmens duomenis EEE nepriklausančiai šaliai arba tarptautinei organizacijai. Duomenys gali būti perduodami remiantis sprendimu dėl tinkamumo arba, jei tokio sprendimo nėra, taikant tinkamas apsaugos priemones, įskaitant įgyvendinamas fizinių asmenų teises ir teisių gynimo priemones. Nesant nei sprendimo dėl tinkamumo nei atitinkamų apsaugos priemonių, BDAR tam tikrose situacijose leidžia taikyti tam tikras nukrypti leidžiančias nuostatas.
Daugiau informacijos apie įvairius pasirinkimus rasite žemiau.
Duomenų perdavimas remiantis sprendimu dėl tinkamumo
Europos Komisija turi galimybę priimti sprendimus dėl tinkamumo, kad oficialiai patvirtintų, kad EEE nepriklausančioje šalyje arba tarptautinėje organizacijoje duomenų apsaugos lygis yra iš esmės lygiavertis apsaugos lygiui Europos ekonominėje erdvėje.
Vertindama apsaugos lygio tinkamumą, Europos Komisija atsižvelgia į tokius kriterijus kaip teisinė valstybė, pagarba žmogaus teisėms ir pagrindinėms laisvėms, taip pat į tai, ar duomenų subjektų teisės yra veiksmingos ir įgyvendinamos, į nepriklausomos duomenų apsaugos institucijos buvimą ir veiksmingą veikimą EEE nepriklausančioje šalyje ir į šalies ar tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus.
Jei Europos Komisija nusprendžia, kad šalis gali užtikrinti tinkamą apsaugos lygį, tuomet priimamas tinkamumo sprendimas ir asmens duomenys gali būti perduodami kitai įmonei ar organizacijai toje ne EEE šalyje, nereikalaujant, kad duomenų eksportuotojas, t. y. duomenis perduodanti įstaiga, užtikrintų papildomas apsaugos priemones ar būtų taikomos papildomos sąlygos, susijusios su tarptautiniais perdavimais. Kitaip tariant, perdavimai į „tinkamą“ ne EEE šalį bus panašūs į duomenų perdavimą EEE viduje. Tačiau jūsų organizacija vis tiek turės laikytis kitų pagrindinių BDAR principų, kaip paaiškinta aukščiau.
Sprendimai dėl tinkamumo gali būti taikomi visai šaliai arba gali būti priimami tik tam tikroje jos dalyje (t. y. regione). Sprendimai dėl tinkamumo gali apimti visus duomenų perdavimus į šalį arba gali būti taikomi tik tam tikrų rūšių duomenų perdavimui (pvz., viename sektoriuje).
Iki šiol Europos Komisija priėmė sprendimus dėl tinkamumo:
- Andora,
- Argentina,
- Kanada (komercinės organizacijos),
- Farerų salos,
- Gernsis,
- Izraelis,
- Meno sala,
- Japonija,
- Džersis,
- Naujoji Zelandija,
- Korėjos Respublika,
- Šveicarija,
- Jungtinė Karalystė,
- Jungtinės Amerikos Valstijos (komercinės organizacijos, dalyvaujančios ES ir JAV duomenų privatumo sistemoje),
- Urugvajus.
Europos Komisija savo sprendimų dėl tinkamumo sąrašą skelbia savo interneto svetainėje.
Duomenų eksportuotojai yra atsakingi už stebėseną, ar su perdavimu susiję sprendimai dėl tinkamumo vis dar galioja, ar nėra pradėtas atšaukimo procesas ar jau pripažinti negaliojančiais.
Atkreipkite dėmesį, kad sprendimai dėl tinkamumo neužkerta kelio asmenims pateikti skundą. Jie taip pat netrukdo duomenų apsaugos institucijoms (DAI) naudotis savo įgaliojimais pagal BDAR.
Duomenų perdavimas taikant tinkamas apsaugos priemones
Jei nepriimamas sprendimas dėl tinkamumo, organizacijos taip pat gali perduoti asmens duomenis, jei gali užtikrinti tinkamas apsaugos priemones asmens duomenis gaunančios organizacijos atžvilgiu. Be to, asmenys turi turėti galimybę naudotis savo teisėmis ir turėti galimybę pasinaudoti veiksmingomis teisių gynimo priemonėmis.
BDAR 46 straipsnyje išvardytos įvairios duomenų perdavimo priemonės, kurios laikomos „tinkamomis apsaugos priemonėmis“, kuriomis galima naudotis siekiant asmens duomenims perduoti į EEE nepriklausančias šalis, jei nepriimami sprendimai dėl tinkamumo. Pagrindinės BDAR 46 straipsnio duomenų perdavimo priemonių rūšys, susijusios su privačiomis organizacijomis, yra šios:
- Standartinės duomenų apsaugos sąlygos;
- Įmonėms privalomos taisyklės (ĮPT);
- Elgesio kodeksai;
- Sertifikavimo mechanizmai;
- Ad hoc sutarčių sąlygos.
Standartinės sutarčių sąlygos
Standartinės sutarčių sąlygos – tai standartizuotų sutarčių rinkinys, leidžiantis duomenų eksportuotojams numatyti tinkamas apsaugos priemones. Tai priemonė, kurią dažniausiai naudoja dauguma organizacijų. Europos Komisija turi įgaliojimus patvirtinti standartines sutarčių sąlygas kaip tinkamą asmens duomenų perdavimo į EEE nepriklausančias šalis apsaugos priemonę pagal BDAR 46 straipsnio 2 dalies c punktą.
2021 m. birželio 4 d. Europos Komisija priėmė įgyvendinimo sprendimą dėl standartinių sutarčių sąlygų dėl asmens duomenų perdavimo EEE nepriklausančioms šalims pagal BDAR. Europos Komisija savo interneto svetainėje taip pat pateikia standartinių sutarčių sąlygų rinkinį. Sužinokite daugiau apie standartines sutarčių sąlygas.
SSS nagrinėjami įvairūs perdavimo scenarijai ir šiuolaikinių duomenų tvarkymo grandinių sudėtingumas. Duomenų valdytojai ir duomenų tvarkytojai, atsižvelgdami į konkrečias perdavimo aplinkybes, gali naudotis keliomis galimybėmis:
- tarp 2 duomenų valdytojų (C2C);
- duomenų valdytojas - duomenų tvarkytojui (C2P);
- tarp 2 duomenų tvarkytojų (P2P);
- duomenų tvarkytojas - duomenų valdytojui (P2C), kai tvarkytojas yra ES, o duomenų valdytojas – trečiojoje šalyje.
Kiti svarbūs SSS aspektai yra šie:
- galimybė daugiau nei dviem šalims laikytis šių sąlygų;
- galimybė, išskyrus tam tikras išimtis, naudoti standartines sutarčių sąlygas perduodant asmens duomenis pagalbiniam duomenų tvarkytojui EEE nepriklausančioje šalyje;
- galimybė, su tam tikromis išimtimis, asmenims pasinaudoti sąlygomis kaip trečiosios šalies naudos gavėjams;
- šalių atsakomybė tais atvejais, kai pažeidžiamos asmenų teisės;
- asmenų teisė į kompensaciją už patirtą žalą, kai buvo pažeistos jų teisės kaip trečiosios šalies naudos gavėjų;
- reikalavimas atlikti „perdavimo poveikio vertinimą“, kuriame būtų dokumentuojamos konkrečios perdavimo aplinkybės, paskirties šalies įstatymai ir papildomos apsaugos priemonės, taikomos asmens duomenims apsaugoti;
- įsipareigojimai, taikomi valdžios institucijoms suteikiant prieigą prie perduotų duomenų, pvz., prievolė teikti informaciją duomenų eksportuotojams ir ginčyti neteisėtus prašymus.
Įmonėms privalomos taisyklės (ĮPT)
Įmonėms privalomos taisyklės padeda užtikrinti tinkamą duomenų, kuriais keičiamasi tiek EEE, tiek už jos ribų esančių įmonių grupėje, apsaugos lygį ir labiau tinka tarptautinei įmonių grupei, vykdančiai daug duomenų perdavimo operacijų.
Įmonei privalomos taisyklės yra įmonių grupės priimtos vidaus taisyklės, kuriomis nustatoma jų bendra asmens duomenų perdavimo politika. Šios taisyklės turi būti privalomos ir jų turi laikytis visi grupės subjektai, nepriklausomai nuo duomenis priimančiųjų šalių. Be to, jos turi aiškiai užtikrinti duomenų subjektų teisių įgyvendinimą.
Sąlygos, kurių reikia laikytis, kad kompetentinga duomenų apsaugos institucija patvirtintų įmonei privalomas taisykles, išvardintos BDAR 47 straipsnyje ir išsamiau paaiškintos 29 darbo grupės priimtose ir EDAV patvirtintose rekomendacijose. Skirtingos taisyklės taikomos duomenų valdytojams ir duomenų tvarkytojams.
Skaityti daugiau
Rekomendacija dėl standartinės prašymo formos patvirtinti duomenų valdytojo įmonei privalomas asmens duomenų perdavimo iš EDAV taisykles
EDAV
29 straipsnio darbo grupės nuoroda: rekomendacija dėl duomenų tvarkytojo įmonei privalomų taisyklių patvirtinimo
Europos Komisijos naujienų svetainė
Elgesio kodeksai
BDAR įvedama ši nauja duomenų perdavimo priemonė. Priešingai nei įmonėms privalomos taisyklės, kurias tiesiogiai gali parengti atskiros bendrovių grupės, elgesio kodeksai yra sektoriniai ir juos rengia organizacijų kategorijoms atstovaujančios asociacijos. Turi būti įdiegta akredituotų įstaigų, stebinčių, kaip laikomasi elgesio kodekso, sistema. EDAV ėmėsi iniciatyvos paaiškinti sąlygas, kuriomis kompetentingos institucijos gali taikyti ir patvirtinti elgesio kodeksus. Be to, EDAV taip pat yra atsakinga už sąlygų, kuriomis stebėsenos įstaigos gali būti akredituojamos, nuoseklumą.
Sertifikavimas
BDAR įvedama ši nauja duomenų perdavimo sertifikavimo įstaigų arba EEE duomenų apsaugos institucijų sertifikuotoms organizacijoms priemonė.
EDAV priėmė gaires, kuriomis patikslinamos sąlygos, kuriomis galima įdiegti sertifikavimo mechanizmą. Ši priemonė vis dar kuriama.
EDAV taip pat yra atsakinga už sertifikavimo įstaigų akreditavimo sąlygų nuoseklumo užtikrinimą.
Ad hoc sutarčių sąlygos
Jei duomenų valdytojai arba duomenų tvarkytojai nusprendžia nesinaudoti Europos Komisijos standartinėmis sutarčių sąlygomis, jie gali parengti savo sutarčių sąlygas (ad hoc sąlygas), kuriose būtų numatytos pakankamos duomenų apsaugos priemonės. Prieš perduodant duomenis, kompetentinga nacionalinė duomenų apsaugos institucija, gavusi EDAV nuomonę, turi leisti taikyti tokias ad hoc sutarčių sąlygas pagal BDAR 46 straipsnio 3 dalies a punktą.
Skaityti daugiau
Papildomos priemonės po sprendimo Schrems II
2020 m. sprendime C-311/18 (Schrems II) Europos Sąjungos Teisingumo Teismas (ESTT) pabrėžė, kad organizacijos, perduodamos asmens duomenis už EEE ribų, gali numatyti papildomas priemones, papildančias tinkamas apsaugos priemones.
SSS ir kitos BDAR 46 straipsnyje nurodytos duomenų perdavimo priemonės neveikia vakuume. ESTT nurodė, kad duomenų valdytojai arba duomenų tvarkytojai, veikiantys kaip eksportuotojai, kiekvienu konkrečiu atveju turi patikrinti, ar EEE nepriklausančios šalies teisė ir praktika, pavyzdžiui, dėl teisės aktų, reikalaujančių prieigos prie duomenų, nesumažina
BDAR 46 straipsnyje nurodytų tinkamų apsaugos priemonių veiksmingumo.
Siekiant padėti eksportuotojams atlikti sudėtingą užduotį vertinant duomenis gaunančias šalis ir nustatant tinkamas papildomas priemones, kai tai būtina, EDAV priėmė rekomendacijas.
Duomenų perdavimas remiantis nukrypti leidžiančiomis nuostatomis
Be sprendimų dėl tinkamumo ir BDAR 46 straipsnyje numatytų duomenų perdavimo priemonių, BDAR numato trečią perdavimo būdą, leidžiantį tam tikrais atvejais perduoti asmens duomenis. Atsižvelgiant į konkrečias sąlygas, vis tiek galite perduoti asmens duomenis remdamiesi BDAR 49 straipsnyje numatyta nukrypti leidžiančia nuostata.
BDAR 49 straipsnis yra išimtinio pobūdžio. Nukrypti leidžiančios nuostatos turi būti aiškinamos taip, kad neprieštarautų pačiam nukrypti leidžiančių nuostatų pobūdžiui, nes tai yra taisyklės, pagal kurias asmens duomenys negali būti perduodami į EEE nepriklausančią šalį, išimtys, nebent toje šalyje būtų numatytas tinkamas duomenų apsaugos lygis arba nustatytos tinkamos apsaugos priemonės. Nukrypti leidžiančios nuostatos praktikoje negali tapti „taisykle“, bet turi būti taikomos tik konkrečiais atvejais.
Remiantis BDAR 49 straipsniu, perdavimas arba perdavimų rinkinys gali būti atliekamas, kai perdavimas yra:
- vykdomas gavus aiškų asmens sutikimą;
- būtinas asmens ir organizacijos sutarčiai vykdyti arba veiksmams atlikti iki sutarties sudarymo, kurių imamasi asmens prašymu;
- būtinas asmens interesais sudarytai sutarčiai tarp duomenų valdytojo ir kito asmens įvykdyti;
- būtinas dėl svarbių viešojo intereso priežasčių;
- būtinas teisiniams reikalavimams pareikšti, vykdyti ar apginti;
- būtinas gyvybiniams atitinkamo asmens ar kitų asmenų interesams apsaugoti, kai asmuo fiziškai ar teisiškai negali duoti sutikimo; arba
- sudarytas iš registro, kuris pagal EEE šalies nacionalinę teisę arba ES teisę skirtas teikti informaciją visuomenei (ir su kuriuo gali susipažinti plačioji visuomenė arba asmenys, galintys įrodyti teisėtą interesą susipažinti su registru).
Siekiant įvertinti perdavimo būtinumą, turi būti atliekamas „būtinumo testas“. Atliekant šį testą reikia įvertinti, ar asmens duomenų perdavimas gali būti laikomas būtinu siekiant konkretaus atitinkamos nukrypti leidžiančios nuostatos tikslo.
Kai konkrečiu atveju netaikoma nė viena iš pirmiau nurodytų nukrypti leidžiančių nuostatų, duomenis galima perduoti dėl įtikinamų teisėtų duomenų valdytojo interesų.
Tačiau tokie perdavimai leidžiami tik tada, kai perdavimas:
- nėra pasikartojantis (panašūs pervedimai atliekami nereguliariai);
- apima duomenis, susijusius tik su ribotu asmenų skaičiumi;
- yra būtinas siekiant įgyvendinti įtikinamus teisėtus organizacijos interesus (su sąlyga, kad asmens interesai nėra viršesni už tokius interesus);
- jam taikomos tinkamos apsaugos priemonės, kurias užtikrina organizacija (atsižvelgiant į visų su perdavimu susijusių aplinkybių vertinimą), kad apsaugotų asmens duomenis; ir
- viešosios valdžios institucija nevykdo savo viešosios valdžios įgaliojimų.
Tokiais atvejais organizacijos privalo informuoti atitinkamą DAI apie perdavimą ir suteikti asmenims papildomos informacijos.
Apskritai nukrypti leidžiančios nuostatos turėtų būti taikomos tik kaip kraštutinė priemonė duomenų perdavimui atlikti. Taigi organizacijos pirmiausia turėtų įvertinti, ar neįmanoma taikyti sprendimo dėl tinkamumo arba tinkamų apsaugos priemonių.
Remdamiesi BDAR 49 straipsnio nukrypti leidžiančiomis nuostatomis, turite nepamiršti, kad duomenis perduodančios organizacijos taip pat turi laikytis kitų BDAR nuostatų (turėti teisinį duomenų perdavimo pagrindą, įgyvendinti saugumo priemones, sumažinti duomenų kiekį, pasirašyti sutartį, jei duomenų gavėjas yra duomenų tvarkytojas ir t. t.).