Kaip perduoti duomenis už ES ribų teisėtai, nepakliūti į priežiūros institucijos akiratį ir išvengti baudų?
Ar perduodate asmens duomenis už ES ribų?
Asmens duomenys tapo tarsi naująja skaitmeninio pasaulio valiuta. Įmonės, siekdamos teikti kuo labiau individualizuotas paslaugas, vis dažniau prašo už jas susimokėti ne realiais pinigais, o duomenimis. Pavyzdys – socialinės medijos: internetinių svetainių vartotojai noriai teikia asmens duomenis mainais už prieigą prie socialinių tinklų. Vis dėlto daugelis net nesusimąsto, kad šie asmens duomenys dažniausiai neapsiriboja vienu paslaugų teikėju ir yra perduodami kitoms bendrovėms, kurios gali veikti ir už ES ribų.
Be internetinių svetainių vartotojų duomenų verslai taip pat renka daugybę kitos konfidencialios informacijos, įskaitant duomenis apie savo darbuotojus ar paslaugų teikėjus. Šie duomenys gali apimti finansinę informaciją, su darbo santykiais ar net su sveikata ir šeimos padėtimi susijusius duomenis. Šie duomenys taip pat dažniausiai nėra saugomi tik vienos bendrovės ir yra perduodami išoriniams paslaugų teikėjams, kurie gali būti ir už Europos ekonominės erdvės (EEE) ribų.
Dažnai vyrauja klaidingas požiūris, kad asmens duomenys už ES ribų yra perduodami tik tuomet, kai bendrovė tiesiogiai sudaro sutartį su trečiojoje valstybėje esančiu paslaugos teikėju. Ko daugelis nežino – tai, kad duomenys gali būti perduodami už EEE ribų tiesiog juos saugant trečiosiose šalyse esančiuose serveriuose. Pavyzdžiui, jei darbuotojų ar klientų duomenis saugote visiems gerai žinomoje „SharePoint“ programoje, jau perduodate asmens duomenis už ES ribų. Tai reiškia, kad nepriklausomai nuo duomenų tvarkymo tikslo ar gavėjų, nuo to, ar jie patikėti IT priežiūros paslaugų teikėjams, apskaitos įmonėms, debesijos paslaugų teikėjams ar bet kuriam kitam verslo subjektui, duomenys vis tiek gali patekti į BDAR taikymo sritį.
Duomenų perdavėjai dažnai persiunčia itin jautrią informaciją į trečiąsias šalis, būdami ramūs, kad šiuo atveju negalioja BDAR. Tačiau jie užmiršta, kad BDAR yra numatytas reikalavimas taikyti tam tikrus duomenų apsaugos mechanizmus.
Tinkamas duomenų perdavimo mechanizmas
Kad duomenys būtų perduoti saugiai, BDAR yra įtvirtinta 3 pakopų asmens duomenų perdavimo sistema, kurios viršuje yra Europos Komisijos (EK) sprendimai dėl tinkamumo, viduryje – tinkamos apsaugos priemonės ir galiausiai trečiojoje pakopoje – nukrypti leidžiančios nuostatos.
Sprendimas dėl tinkamumo
Verslai, norėdami perduoti asmens duomenis už ES ribų, visų pirma, turi nustatyti, ar yra priimtas sprendimas, kad trečioji šalis užtikrina tinkamą duomenų apsaugos lygį. Tai neabejotinai paprasčiausias duomenų perdavimo būdas, kadangi verslui užtenka nustatyti, ar EK yra priėmusi sprendimą dėl tinkamumo ir ar tas sprendimas nėra pakeistas ir tebegalioja. Šis duomenų perdavimo būdas puikiai tinka tiek milžiniškoms korporacijoms, tiek mažoms įmonėms, kadangi tokiu atveju bendrovei nereikia taikyti jokių papildomų apsaugos priemonių (be jau taikomų techninių ir organizacinių priemonių), o duomenys keliauja iš esmės taip pat, lyg jie būtų perduodami ES.
Vis dėlto, valstybių, dėl kurių yra priimtas sprendimas dėl tinkamumo, nėra daug. Tokie sprendimai yra priimti dėl Andoros, Argentinos, Izraelio, Japonijos, Šveicarijos, Jungtinės Karalystės ir dar keleto valstybių. Vadinasi, verslai ne visada gali pasinaudoti šiuo duomenų perdavimo mechanizmu ir turi pereiti prie kitos duomenų perdavimo pakopos.
Tinkamos apsaugos priemonės
Reglamentas numato net 8 tinkamas apsaugos priemones: valdžios institucijų arba įstaigų tarpusavio dokumentą; įmonei privalomas taisykles; EK patvirtintas standartines duomenų apsaugos sąlygas; priežiūros institucijos patvirtintas standartines duomenų apsaugos sąlygas; elgesio kodeksą; sertifikavimo mechanizmą; priežiūros institucijos patvirtintas atskirų sutarčių sąlygas; priežiūros institucijos patvirtintas atskirų administracinių susitarimų sąlygas.
Iš pirmo žvilgsnio atrodo, kad apsaugos priemonių spektras itin platus. Atidžiau panagrinėjus akivaizdu, kad ne visos priemonės pritaikomos praktiškai. Pavyzdžiui, nors BDAR ir išskiria priežiūros institucijos patvirtintas standartines duomenų apsaugos sąlygas, praktikoje jos negali būti taikomos dėl to, kad Valstybinė duomenų apsaugos inspekcija tokių sąlygų dar nėra patvirtinusi, valdžios institucijų ar įstaigų tarpusavio dokumento negali naudoti privatūs juridiniai asmenys ir pan.
Kai kurios priemonės siūlo gan lengvą įgyvendinimo kelią, pavyzdžiui, norint pritaikyti EK patvirtintas standartines duomenų apsaugos sąlygas, iš esmės užtenka nustatyti santykį tarp duomenų perdavėjo ir gavėjo bei pritaikyti tinkamas technines ir organizacines priemones. Ši priemonė yra pigi, todėl puikiai tinkama net nedidelėms įmonėms.
Kitoms apsaugos priemonėms įgyvendinti reikia daugiau pastangų. Pavyzdžiui, norėdama parengti elgesio kodeksą, bendrovė turės investuoti ne tik finansinių, bet ir žmogiškųjų išteklių. Kad elgesio kodeksas atspindėtų tam tikro sektoriaus ypatumus, jį rengiant teks prisidėti ne tik teisininkams, bet ir to sektoriaus darbuotojams. Taigi apsaugos priemonės, kurios tinka bendrovėms milžinėms, nebūtinai tiks smulkiesiems verslams. Dėl to organizacijoms, besirenkančioms tinkamiausią apsaugos priemonę duomenų perdavimo veiklai, labai svarbu atidžiai įvertinti konkrečius poreikius ir galimybes.
Nukrypti leidžiančios nuostatos
Pasitaiko ir tokių situacijų, kai EK nėra priėmusi sprendimo dėl tinkamumo, o tinkamų apsaugos priemonių nepavyksta nustatyti. Tokiu atveju nusiminti nereikėtų, kadangi Reglamentas vis tiek suteikia galimybę perduoti asmens duomenis, remiantis nukrypti leidžiančiomis nuostatomis.
BDAR numato, kad asmens duomenys už ES ribų gali būti perduodami, kai egzistuoja viena iš šių sąlygų: duomenų subjektas davė aiškų ir informuotą sutikimą; duomenis būtina perduoti siekiant sudaryti ir (ar) vykdyti sutartį; perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių; duomenys turi būti perduodami, siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus; perdavimas yra būtinas, siekiant apsaugoti gyvybinius interesus; arba kai duomenys perduodami iš teisės aktu įsteigto registro, skirto naudoti visuomenei ar teisėtų interesų turintiems asmenims.
Šis duomenų perdavimo būdas nuo kitų dviejų skiriasi tuo, kad juo nėra užtikrinamas toks aukštas duomenų apsaugos lygis kaip perduodant duomenis, remiantis sprendimu dėl tinkamumo ar taikant tinkamas apsaugos priemones. Dėl to nukrypti leidžiančios nuostatos turėtų būti suprantamos veikiau kaip išimtis, o ne taisyklė.
Nepritaikius nė vieno duomenų perdavimo mechanizmo, Valstybinė duomenų apsaugos inspekcija verslams gali ne tik skirti baudas, siekiančias 60 tūkst. eurų, bet ir teikti nurodymus dėl pažeidimų ištaisymo, įspėjimus, papeikimus, nustatyti laikiną arba galutinį draudimą tvarkyti duomenis ir kt. Jei sankcijos pakankamai neatgraso nuo duomenų apsaugos pažeidimų, reikia prisiminti, kad pažeidus duomenų apsaugos reikalavimus, gali būti pakenkta darbuotojų, klientų ar kitų duomenų subjektų duomenų apsaugai. Taigi, neužtikrinus tinkamo duomenų perdavimo, bendrovėms gali tekti „susimokėti“ prarastais klientais, gera reputacija, darbuotojų pasitikėjimu ir kt.
Sekite teisinio reguliavimo naujoves
Daugelis verslų mano, kad BDAR atitikties užtikrinimas yra ne kelionė, o tikslas: atlikome BDAR auditą, parengėme reikiamą dokumentaciją, bendrovės darbas baigtas. Toks požiūris klaidingas.
Nuolat kintantys teismų ir priežiūros institucijų išaiškinimai primena, kad duomenų apsaugos sritis kasdien keičiasi ir tai, kas tiko vakar, šiandien gali būti nebeaktualu. Pavyzdžiui, privatumo skydas, kuriuo remiantis duomenys buvo perduodami į JAV, buvo pripažintas kaip netinkama apsaugos priemonė. Nepaisant to, vis dar galima rasti dešimtis ar net šimtus skirtingų privatumo politikų, kuriose nurodoma, kad duomenys yra perduodami, taikant privatumo skydą.
Pasaulyje, kuriame asmens duomenys tapo skaitmeninio amžiaus gyvybine jėga, verslams, perduodantiems asmens duomenis, dar niekada nebuvo kilę tiek pavojų. Bendrovės, kurios nesugeba prisitaikyti, rizikuoja ne tik sulaukti baudų, bet ir pakenkti reputacijai bei prarasti klientų pasitikėjimą. Dėl to svarbu prisiminti, kad BDAR reikalavimų laikymasis yra ne vienkartinė užduotis, o nuolatinis įsipareigojimas.