Publikacijos

Ką apie asmens duomenų apsaugos reformą turi žinoti įmonės, veikiančios tarptautiniu mastu 2018-01-30

Ramintawww

Raminta Stravinskaitė

Šiuo metu Europos Sąjungos šalyse veiklą vykdančios įmonės turi laikytis 28 skirtingų duomenų apsaugos įstatymų. Įvykdžius asmens duomenų apsaugos reformą, šis biurokratizmas bus sumažintas: nuo 2018 m. gegužės 25 d. visose ES šalyse galios tas pats duomenų apsaugos teisės aktas - Bendrasis duomenų apsaugos reglamentas.

Tačiau nors Bendrasis duomenų apsaugos reglamentas yra tiesioginio taikymo teisės aktas, kiekviena ES valstybė galės konkrečiau apibrėžti jo taisykles ar numatyti taisyklių apribojimus.

Valstybėms narėms suteikiama tam tikra laisvė nustatyti savo taisykles ir nėra užkertamas kelias taikyti valstybės narės teisę, kurioje nustatomos konkrečių duomenų tvarkymo aplinkybės, taip pat ir tiksliau apibrėžiant sąlygas, kuriomis duomenų tvarkymas yra teisėtas.

Todėl nesutikčiau su nuomone, kad, vykdant verslą tarptautiniu mastu, galima aklai pasikliauti išimtinai tik Bendrojo duomenų apsaugos reglamento nuostatomis. Reikėtų įvertinti reikalavimus ir tos šalies, kurioje verslas faktiškai veikia ir kurioje duomenys yra tvarkomi. Tikrai nepasikliaučiau pozicija, kad jei, pavyzdžiui, verslą pradėjote Lietuvoje ir ketinate plėstis į Latviją ir Estiją, verslui nebereikės konsultuotis su tų šalių teisininkais. Reglamente nerasite užuominos, kad jei įmonių grupė veikia ne vienoje ES šalyje, nereikės užtikrinti kitų ES šalių, kuriose veikia verslas, reikalavimų.

 „Vieno langelio“ principas. Kas tai?

Vienas esminių pakeitimų, kurį turi žinoti verslas, vykdantis savo veiklą ne vienoje ES šalyje - nebereikės bendrauti su visų ES šalių priežiūros institucijoms, kurių priežiūros teritorijoje teikiamos ar siūlomos prekės ar paslaugos.

Įsigaliojus Bendrajam duomenų apsaugos reglamentui, įsigalioja ir „vieno langelio“ (angl. one stop shop) principas. Jis reiškia, kad jūsų, kaip duomenų valdytojo ar duomenų tvarkytojo, pagrindinės arba vienintelės buveinės priežiūros institucija įgis teisę veikti kaip vadovaujanti priežiūros institucija tarpvalstybinio duomenų tvarkymo atveju. Tik su ja bus palaikomi ryšiai, vykdant tarpvalstybinį duomenų tvarkymą.

Pavyzdžiui, jei Lietuvoje įsteigta įmonė teikia ir siūlo prekes ar paslaugas ir kitose Baltijos šalyse, Lietuvos įmonė neprivalės palaikyti jokių santykių su Estijos ar Latvijos asmens duomenų apsaugos priežiūros institucijomis, o klientų pateikiami skundai bet kuriai iš institucijų, esančių Estijoje ir (ar) Latvijoje, turėtų būti adresuojami Lietuvos valstybinei duomenų apsaugos inspekcijai.

Kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo įprastinė gyvenamoji vieta, ir turėti teisę į veiksmingas teismines teisių gynimo priemones, jeigu mano, kad jo teisės pagal Bendrąjį duomenų reglamentą yra pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti.

Į kurią priežiūros instituciją kreiptis, kai verslas turi daugiau kaip vieną buveinę?

Tuo atveju, kai verslas turi daugiau kaip vieną buveinę, reikia nustatyti centrinę administraciją.

Remiantis Bendrajame duomenų apsaugos reglamente išdėstytu požiūriu, centrinė administracija ES yra ta vieta, kur yra priimami sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių.

Kai duomenis tvarko įmonių grupė, kurios centrinė būstinė yra ES, tos įmonių grupės pagrindine buveine turėtų būti laikoma įmonės, kuri vykdo bendrą kontrolę, buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita buveinė.

Įmonių grupės motininės įmonės centrinė būstinė ar faktinis adresas ES greičiausiai ir bus pagrindinė buveinė, nes tai ir būtų įmonių grupės centrinės administracijos vieta.

Sąvokoje esanti nuoroda į duomenų valdytojo centrinės administracijos vietą puikiai tinka organizacijoms, kurios turi centralizuoto sprendimų priėmimo būstinę ir filialų tipo struktūrą. Tokiais atvejais aišku, kad teisę priimti sprendimus dėl tarpvalstybinio duomenų tvarkymo ir duoti nurodymus dėl jų vykdymo turi bendrovės centrinė būstinė. Tokiu atveju nustatyti pagrindinės buveinės vietą ir vadovaujančią priežiūros instituciją yra labai paprasta.

Tačiau įmonių grupės sprendimų priėmimo sistema gali būti sudėtingesnė, kai skirtingoms buveinėms yra suteikiami nepriklausomi įgaliojimai priimti su tarpvalstybiniu duomenų tvarkymu susijusius sprendimus.

Pagrindinės buveinės, kai ji nėra centrinės administracijos vieta ES, nustatymo kriterijai

Jei pagrindinė buveinė nėra centrinės administracijos vieta, reikia nustatyti, kur vykdoma veiksminga ir reali valdymo veikla, kuri per stabilias struktūras priima pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių.

Reglamento preambulės 36 punkte taip pat yra išaiškinta, kad „asmens duomenų tvarkymo techninių priemonių buvimas ir jų naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra pagrindinės buveinės nustatymo kriterijai“.

Verslas pats nustato, kur yra jo pagrindinė buveinė ir kuri priežiūros institucija yra vadovaujanti priežiūros institucija. Tačiau tokį sprendimą vėliau gali užginčyti atitinkama susijusi priežiūros institucija, todėl, nustatant duomenų valdytojo pagrindinę buveinę, kuri nėra ES įsikūrusi centrinė administracija, reiktų atsižvelgti į šiuos faktorius:

  • kur yra galiausiai pasirašomi sprendimai dėl duomenų tvarkymo tikslų ir priemonių?
  • kur yra priimami sprendimai dėl komercinės veiklos, į kurią įeina duomenų tvarkymas?
  • kas priima sprendimus dėl sprendimų įgyvendinimo?
  • kur įsikūręs vadovas (vadovai), kuris (-ie) yra atsakingas (-i) už tarpvalstybinį duomenų tvarkymą?
  • kur duomenų valdytojas ar tvarkytojas yra įregistruotas kaip bendrovė, jei tai viena teritorija?

Tačiau tai nėra baigtinis sąrašas. Aktualūs gali būti ir kiti faktoriai, priklausomai nuo verslo vykdomos veiklos ar atitinkamos duomenų tvarkymo veiklos.

Jei priežiūros institucija turės priežasčių abejoti, kad duomenų valdytojo nustatyta buveinė iš tikrųjų yra pagrindinė buveinė Bendrojo duomenų apsaugos reglamento vykdymo tikslais, ji, žinoma, gali pareikalauti duomenų valdytojo pateikti papildomą informaciją, įrodančią pagrindinės buveinės buvimo vietą.

Ieškoti „palankesnės teisinės padėties“ yra draudžiama

Bendrasis duomenų apsaugos reglamentas draudžia ieškoti „palankesnės teisinės padėties“ (angl. forum shopping).

Jei bendrovė tvirtina, kad jos pagrindinė buveinė yra vienoje valstybėje narėje, tačiau joje nevyksta jokia veiksminga ir reali valdymo veikla ar nepriiminėjami sprendimai dėl asmens duomenų tvarkymo, sprendimą, kuri priežiūros institucija yra „vadovaujanti“, priims atitinkamos priežiūros institucijos (arba galiausiai Europos duomenų apsaugos valdyba), atsižvelgdamos į objektyvius kriterijus ir įvertindamos įrodymus.

Pagrindinės buveinės nustatymas gali pareikalauti aktyvaus tyrimo ir priežiūros institucijų bendradarbiavimo. Išvados negali remtis vien tik tiriamos organizacijos teiginiais. Įrodinėjimo pareiga galiausiai tenka duomenų valdytojams ir tvarkytojams. Jie turėtų gebėti įrodyti priežiūros institucijoms, kur yra faktiškai priimami ir vykdomi sprendimai dėl duomenų tvarkymo. Įrašai apie duomenų tvarkymo veiksmus padėtų tiek organizacijoms, tiek priežiūros institucijoms nustatyti vadovaujančią instituciją.

Kai kuriais atvejais atitinkamos priežiūros institucijos paprašys duomenų valdytojo pateikti aiškius įrodymus, kurie atitiktų Europos duomenų apsaugos valdybos gaires, kur yra pagrindinė buveinė ir kur yra priimami sprendimai dėl konkrečios duomenų tvarkymo veiklos.

PAGRINDINIAI PATARIMAI VERSLO ĮMONĖMS, VEIKIANČIOMS TARPTAUTINIU MASTU

  • Įsivertinkite visų ES šalių narių teisės aktų reikalavimų skirtumus Bendrojo duomenų apsaugos reglamento atžvilgiu.
  • Jei įmonė grupės viduje keičiasi asmens duomenimis, tinkamai identifikuokite, kokie duomenys yra perduodami, kokia duomenų perdavimo tvarka, kokie yra perdavimo tikslai, bei nustatykite duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę ar valstybes, į kurias tie duomenys bus perduodami.
  • Nustatykite mechanizmus, kuriais bus galima patikrinti, ar įmonių grupėje yra laikomasi asmens duomenų tvarkymo taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais bus užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises.
  • Nuspręskite, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.
  • Pasirenkite įmonių grupei privalomas asmens duomenų tvarkymo taisykles ir jų laikykitės.
  • Paskirkite asmens duomenų pareigūną ar kitą asmenį, kuris būtų atsakingas už stebėseną, ar įmonių grupėje laikomasi įmonei privalomų taisyklių.

 

Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė. Straipsnis publikuotas naujienų portale vz.lt


Teisininkai: Raminta Stravinskaitė

Kontaktai

Jogailos 4, 01116 Vilnius
Telefonas: +370 5 2690 700