Daugiau aiškumo dėl reikalavimų perduodant asmens duomenis už Europos Sąjungos ribų?

Daugiau aiškumo dėl reikalavimų perduodant asmens duomenis už Europos Sąjungos ribų?

Praėjus daugiau nei trejiems metams po Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo bei beveik metams, kai Europos Sąjungos Teisingumo Teismas (ESTT) panaikino susitarimą dėl asmens duomenų perdavimo į JAV, Europos Komisija patvirtino naujas standartines duomenų apsaugos sąlygas (angl. Standard Contractual Clauses, toliau – SCCs). Asmenys, kurie vykdydami veiklą asmens duomenis perduoda į trečiąsias šalis už ES ribų, remdamiesi SCCs, gali lengviau atsipūsti ir pradėti rengtis naujų SCCs pasirašymui.

BDAR draudžia perduoti europiečių asmens duomenis už Europos Sąjungos ribų, nebent trečiojoje (ne ES) šalyje asmens duomenims yra užtikrinama tinkama apsauga.

Tinkamą perduodamų asmens duomenų apsaugą galima užtikrinti keletu būdų:

  • Duomenis perduoti į valstybę, teritoriją ar tarptautinę organizaciją, kurią Europos Komisija yra pripažinusi kaip tinkamą – nustačiusi, kad joje europiečių asmens duomenys bus taip pat saugūs kaip ir Europos Sąjungoje, o europiečiai turės galimybes įgyvendinti savo teises. Pavyzdžiui, tokiomis valstybėmis yra pripažintos Kanada, Šveicarija ir Japonija. Greitu metu tokia šalimi turėtų tapti ir Jungtinė Karalystė, kuriai kol kas galioja pereinamasis „Brexit“ laikotarpis ir duomenys gali būti perduodami laisvai.
  • Su duomenų gavėju ar tvarkytoju trečiojoje valstybėje sudaryti Europos Komisijos parengtą standartinių duomenų apsaugos sąlygų sutartį (SCCs) (būtent šias sąlygas atnaujino Europos Komisija).
  • Duomenis perduoti taikant tinkamas apsaugos priemones, kurių sąrašas yra pateikiamas BDAR 46 straipsnyje. Pavyzdžiui, duomenys įmonių grupės viduje perduoti patvirtinus įmonei privalomas taisykles (angl. Binding Corporate Rules).
  • Jeigu neįmanoma įgyvendinti nė vienos iš šių sąlygų, galima mėginti pasinaudoti nukrypti leidžiančiomis nuostatomis konkretiems atvejams, kurie yra nurodomi BDAR 49 straipsnyje. Pavyzdžiui, duomenų perdavimas būtinas sutarčiai vykdyti tarp duomenų subjekto ir duomenų valdytojo (pavyzdžiui, užsakyti viešbučio kambarį) arba duomenų subjektas aiškiai sutiko su duomenų perdavimu į trečiąją valstybę.
  • Arba perduoti nuasmenintus duomenis.

Senosios SCCs buvo patvirtintos 2001 m., remiantis Direktyvos 95/46/EB reikalavimais. 2018 m. gegužės 25 d. įsigaliojus BDAR Europos Komisija buvo įpareigota atnaujinti SCCs ir pritaikyti jas prie BDAR reikalavimų. Atidžiai peržiūrėti naujai rengiamas SCCs įpareigojo ir ESTT Schrems II sprendimas, kuris panaikino Privatumo skydą (asmens duomenų perdavimo susitarimą į JAV) bei nurodė, jog SCCs turi būti mechanizmai, kurie užtikrins, kad:

  • trečiųjų šalių valdžios institucijos neturės nepagrįstos prieigos prie europiečių asmens duomenų;
  • duomenų subjektai galės kreiptis dėl savo pažeistų teisių gynimo, trečiosios šalies valdžios institucijai gavus nepagrįstą prieigą prie asmens duomenų.

Šie papildomi reikalavimai turėtų leisti išvengti situacijų, kai Europoje veikiantis duomenų valdytojas ar tvarkytojas, kuris, pavyzdžiui, tvarko elektroninio pašto archyvą, visą ar dalį archyvo informacijos perduoda Kinijoje ar Baltarusijoje įsikūrusiai bendrovei, o ši remdamasi šalyje galiojančiais įstatymais privalo suteikti prieigą prie tokių duomenų vietos valdžios institucijoms. Siekiant išvengti šios ar panašių situacijų, naujosiose SCCs įtvirtinta keletas apsaugą turinčių užtikrinti sąlygų.

Kokius papildomus saugiklius numato naujosios SCCs?

  • Duomenų importuotojas (gavėjas) įsikūręs trečiojoje šalyje turi sutikti, jog Europos Sąjungos valstybių šalių asmens duomenų priežiūros institucijos (pavyzdžiui, Valstybinė duomenų apsaugos inspekcija) turės jurisdikciją jo veiklos atžvilgiu, o jis privalės bendradarbiauti su ja: atsakyti į priežiūros institucijos užklausas bei vykdyti jos nurodymus dėl tvarkomų europiečių asmens duomenų.
  • Duomenų importuotojas (gavėjas) ir eksportuotojas (ES veikiantis duomenų valdytojas ar tvarkytojas) turės įvertinti, ar trečiosios šalies teisės aktai leidžia užtikrinti SCCs sąlygų laikymąsi atsižvelgiant į sutarties turinį ir trukmę, perduodamų duomenų pobūdį, gavėjo rūšį, duomenų tvarkymo tikslą. Vertinimas gali būti atliekamas atsižvelgiant į trečiosios šalies teismų praktiką ir nepriklausomų priežiūros institucijų ataskaitas, prašymų suteikti prieigą prie duomenų tame pačiame duomenų tvarkymo sektoriuje buvimą arba nebuvimą ir kt.
  • Duomenų importuotojas (gavėjas) turi įsipareigoti (jeigu įmanoma) pranešti duomenų eksportuotojui ir duomenų subjektui, jei gauna teisiškai privalomą valdžios (įskaitant teisminę) institucijos prašymą pagal trečiosios šalies teisę atskleisti pagal SCCs perduotus asmens duomenis arba sužino, kad buvo prieita prie tokių duomenų. Be to, esant duomenų eksportuotojo prašymui, duomenų importuotojas (gavėjas) turi imtis visų priemonių užkirsti tokią prieigą, pavyzdžiui, apskųsti teisminės valdžios ar kitų institucijų priimtus sprendimus.
  • Duomenų importuotojas (gavėjas) turi dokumentuoti ir vėliau duomenų eksportuotojui perduoti informaciją apie prašymų suteikti prieigą prie asmens duomenų skaičių ir jų baigtį.

Naujosios SCCs suteikia daugiau aiškumo, į ką konkrečiai atsižvelgti duomenų eksportuotojams renkantis partnerius trečiosiose šalyse, tačiau nepanaikina BDAR įtvirtinto individualaus rizikos vertinimo, kai duomenų valdytojas / tvarkytojas turi įvertinti tvarkomų asmens duomenų jautrumą ir dėl to galintį kilti pavojų duomenų subjektų teisėms ir laisvėms, bei pareigos imtis tinkamiausių organizacinių ir techninių priemonių siekiant išvengti šios rizikos. Taip pat tik praktika parodys, kiek gilus ir išsamus turės būti atliekamas trečiosios šalies teisinės bazės vertinimas.

Rekomendaciją, aktualią trečiosios šalies teisinės bazės bei galimų rizikų vertinimui, patvirtino ir Europos duomenų apsaugos valdyba.

Naujų SCCs įsigaliojimui ir taikymui svarbios datos:

Data Standartinių duomenų apsaugos sąlygų (SCCs) įsigaliojimas
2021 m. birželio 27 d. Įsigalioja naujos SCCs.
2021 m. rugsėjo 27 d. Nuo šios dienos naujai pasirašomose duomenų perdavimo sutartyse nebegali būti naudojamos senos SCCs.
2022 m. gruodžio 27 d. Iki šios dienos senos SCCs turi būti pakeistos naujomis.

Svarbu, jog jeigu nuo 2021 m. rugsėjo 27 d. iki 2022 m. gruodžio 27 d. pasikeitė duomenų tvarkymo apimtys ir buvo keistos sutarčių sąlygos, turi būti sudaromos naujos SCCs.

 

Publikaciją parengė teisininkė Raminta Bučiūtė.

Užsisakykite svarbiausias naujienas