BDAR priemonės, leidžiančios perduoti duomenis iš ES į trečiąją šalį
Duomenis be jokių kliūčių galime perduoti už ES ribų, kai Europos Komisijos sprendimu yra paskelbta, kad trečioji šalis užtikrina pakankamą apsaugos lygį („sprendimas dėl tinkamumo“). Tai reiškia, kad duomenys kitai įmonei, kuri yra toje trečiojoje šalyje, gali būti perduoti nereikalaujant, kad duomenų eksportuotojas užtikrintų papildomas apsaugos priemones, ir netaikant papildomų sąlygų. Kitaip tariant, duomenų perdavimas trečiajai šaliai „tinkamai“ bus prilyginamas duomenų perdavimui ES viduje. Sprendimas dėl tinkamumo yra taikomas tokioms šalims kaip Izraelis, Argentina ir kt.
Bet ką daryti, jei sprendimas dėl tinkamumo nėra priimtas? Tokiu atveju duomenis galima perduoti taikant tinkamas apsaugos priemones, jeigu asmenims suteikiamos vykdytinos teisės ir veiksmingos teisių gynimo priemonės. Tarp tokių tinkamų apsaugos priemonių, be kita ko, yra šios:
- įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės atveju įmonės gali perduoti asmens duomenis vadinamųjų įmonei privalomų taisyklių pagrindu;
- susitarimai su asmens duomenų gavėju naudojant, pavyzdžiui, Europos Komisijos patvirtintas standartines sutarčių sąlygas (SSS);
- elgesio kodekso ar sertifikavimo mechanizmų įgyvendinimas ir privalomų bei vykdytinų įsipareigojimų taikyti tinkamas apsaugos priemones, skirtas apsaugoti perduotus duomenis, nustatymas gavėjui;
- galiausiai, jeigu asmens duomenis numatoma perduoti trečiajai šaliai, kurios atžvilgiu nėra priimtas sprendimas dėl tinkamumo, ir nėra jokių tinkamų apsaugos priemonių, duomenis galima perduoti remiantis nukrypti leidžiančiomis nuostatomis konkrečiais atvejais, pavyzdžiui, kai asmuo aiškiai sutinka su siūlomu duomenų perdavimu po to, kai gavo visą reikalingą informaciją apie su tokiu perdavimu susijusius pavojus.
Kokios naujienos?
Lapkričio 11 d. Europos duomenų apsaugos valdyba (EDAV) viešajam derinimui pateikė rekomendacijas dėl priemonių, papildančių perdavimo saugumo priemones, siekiant užtikrinti asmens duomenų apsaugos ES lygį. Organizacijos yra kviečiamos pateikti savo pastabas ir (ar) iki lapkričio 30 d.
Rekomendacijomis siekiama padėti duomenų valdytojams ir duomenų tvarkytojams, veikiantiems kaip duomenų eksportuotojai, nustatyti pareigas ir įgyvendinti tinkamas papildomas priemones, jei jos reikalingos užtikrinant iš esmės lygiavertį duomenų, kuriuos jie perduoda trečiosioms šalims, apsaugos lygį. Tai darydamas, EDAV siekia nuosekliai taikyti BDAR ir ESTT sprendimą (C-311/18 (Schrems II)) visoje ES.
Rekomendacijose pateikiamas veiksmų, kurių turi imtis duomenų eksportuotojai, planas, siekiant išsiaiškinti, ar jiems reikia imtis papildomų priemonių, kad būtų galima perduoti duomenis už ES ribų pagal ES teisę, ir padėti jiems nustatyti, kurie veiksmai galėtų būti veiksmingi.
Taip pat pateikiamas ir nebaigtinis papildomų priemonių pavyzdžių sąrašas, kurių reikėtų laikytis:
- kai organizacija naudojasi prieglobos paslaugų teikėjo paslaugomis asmens duomenims saugoti trečiosiose šalyse, pvz., atsarginių kopijų saugojimo tikslais;
- kai duomenys už ES ribų yra perduodami tyrimų, statistikos tikslais;
- kai asmens duomenys yra perduodami šaliai, esančiai už ES ribų, kuriai taikomas sprendimas dėl tinkamumo
- kai perduodamiems asmens duomenims yra taikoma papildoma apsauga trečiojoje valstybėje, pvz., siekiant bendrai teikti medicininę ir (ar) teisinę pagalbą;
- kai duomenų eksportuotojas pageidauja, kad asmens duomenis tvarkytų kartu du ar daugiau nepriklausomų tvarkytojų, esančių skirtingose jurisdikcijose, neatskleidžiant jiems duomenų turinio; ir t.t.
Ar dėl BREXIT asmens duomenų perdavimui į Jungtinę Karalystę (JK) yra taikomi reikalavimai asmens duomenų perdavimui už ES ribų?
Vadovaujantis susitarimu dėl išstojimo, iki 2020 m. gruodžio 31 d., t. y. pereinamuoju laikotarpiu JK ir toliau taikoma ES teisė, tarp jos ir BDAR. Nuo 2021 m. sausio 1 d. JK taps „trečiąja valstybe“ ir duomenų perdavimas į JK bus vertinamas kaip perdavimas į „trečiąją valstybę“.
Asmens duomenys ir toliau galės būti perduodami į JK, bet turės būti laikomasi specialiųjų ES taisyklių, nurodytų aukščiau. Šiuo metu ES atlieka JK vertinimą dėl sprendimo dėl tinkamumo priėmimo, ir, jei JK atitiks taikytinas sąlygas bei reikalavimus, sprendimas bus priimtas. Nepaisant to, ar bus priimtas Sprendimas dėl tinkamumo dėl JK, ar ne, iš anksto imtis būtinų veiksmų, kad asmens duomenų perdavimas į JK visais atvejais atitiktų ES duomenų apsaugos teisę.
Kokių veiksmų reikėtų imtis, jei asmens duomenys yra perduodami už ES ribų?
- Atlikti perduodamų asmens duomenų už ES ribų inventorizaciją ir nustatyti, kokie asmens duomenys yra perduodami už ES ribų.
- Įvertinti BDAR įtvirtintus skirtingus duomenų perdavimo į trečiąsias valstybes būdus ir nuspręsti, kuris iš jų labiausiai atitinka konkrečią situaciją.
- Imtis pasirinkto būdo įgyvendinimo, pavyzdžiui, duomenis perduoti naudojantis Europos Komisijos patvirtintomis standartinėmis duomenų apsaugos sąlygomis, įmonėms privalomomis taisyklėmis ar kt., atsižvelgiant į naujai paskelbtų rekomendacijų išaiškinimus.
- Įvertinti, ar jūsų pasirinktos saugumo priemonės yra pakankamos ir nustatyti bei įgyvendinti papildomas apsaugos priemones, jei tai būtina.
- Reguliariai peržiūrėti ir atnaujinti taikomas saugumo priemones.
Ir nepamiršti, kad Valstybinė duomenų apsaugos inspekcija turi teisę sustabdyti arba nutraukti asmens duomenų perdavimą už ES ribų, jei nesilaikote aukščiau nurodytų reikalavimų.