ESTT sprendimas dėl Mobilumo paketo: pasekmės transporto įmo…
2024 m. spalio 4 d. Europos Sąjungos Teisingumo Teismas (ESTT) priėmė itin svarbų sprendimą dėl ES mobilumo paketo. Šis sprendimas buvo priimtas po to…
Praėjus daugiau nei trejiems metams po Bendrojo duomenų apsaugos reglamento (BDAR) įsigaliojimo bei beveik metams, kai Europos Sąjungos Teisingumo Teismas (ESTT) panaikino susitarimą dėl asmens duomenų perdavimo į JAV, Europos Komisija patvirtino naujas standartines duomenų apsaugos sąlygas (angl. Standard Contractual Clauses, toliau – SCCs). Asmenys, kurie vykdydami veiklą asmens duomenis perduoda į trečiąsias šalis už ES ribų, remdamiesi SCCs, gali lengviau atsipūsti ir pradėti rengtis naujų SCCs pasirašymui.
BDAR draudžia perduoti europiečių asmens duomenis už Europos Sąjungos ribų, nebent trečiojoje (ne ES) šalyje asmens duomenims yra užtikrinama tinkama apsauga.
Tinkamą perduodamų asmens duomenų apsaugą galima užtikrinti keletu būdų:
Senosios SCCs buvo patvirtintos 2001 m., remiantis Direktyvos 95/46/EB reikalavimais. 2018 m. gegužės 25 d. įsigaliojus BDAR Europos Komisija buvo įpareigota atnaujinti SCCs ir pritaikyti jas prie BDAR reikalavimų. Atidžiai peržiūrėti naujai rengiamas SCCs įpareigojo ir ESTT Schrems II sprendimas, kuris panaikino Privatumo skydą (asmens duomenų perdavimo susitarimą į JAV) bei nurodė, jog SCCs turi būti mechanizmai, kurie užtikrins, kad:
Šie papildomi reikalavimai turėtų leisti išvengti situacijų, kai Europoje veikiantis duomenų valdytojas ar tvarkytojas, kuris, pavyzdžiui, tvarko elektroninio pašto archyvą, visą ar dalį archyvo informacijos perduoda Kinijoje ar Baltarusijoje įsikūrusiai bendrovei, o ši remdamasi šalyje galiojančiais įstatymais privalo suteikti prieigą prie tokių duomenų vietos valdžios institucijoms. Siekiant išvengti šios ar panašių situacijų, naujosiose SCCs įtvirtinta keletas apsaugą turinčių užtikrinti sąlygų.
Kokius papildomus saugiklius numato naujosios SCCs?
Naujosios SCCs suteikia daugiau aiškumo, į ką konkrečiai atsižvelgti duomenų eksportuotojams renkantis partnerius trečiosiose šalyse, tačiau nepanaikina BDAR įtvirtinto individualaus rizikos vertinimo, kai duomenų valdytojas / tvarkytojas turi įvertinti tvarkomų asmens duomenų jautrumą ir dėl to galintį kilti pavojų duomenų subjektų teisėms ir laisvėms, bei pareigos imtis tinkamiausių organizacinių ir techninių priemonių siekiant išvengti šios rizikos. Taip pat tik praktika parodys, kiek gilus ir išsamus turės būti atliekamas trečiosios šalies teisinės bazės vertinimas.
Rekomendaciją, aktualią trečiosios šalies teisinės bazės bei galimų rizikų vertinimui, patvirtino ir Europos duomenų apsaugos valdyba.
Naujų SCCs įsigaliojimui ir taikymui svarbios datos:
Data | Standartinių duomenų apsaugos sąlygų (SCCs) įsigaliojimas |
2021 m. birželio 27 d. | Įsigalioja naujos SCCs. |
2021 m. rugsėjo 27 d. | Nuo šios dienos naujai pasirašomose duomenų perdavimo sutartyse nebegali būti naudojamos senos SCCs. |
2022 m. gruodžio 27 d. | Iki šios dienos senos SCCs turi būti pakeistos naujomis.
Svarbu, jog jeigu nuo 2021 m. rugsėjo 27 d. iki 2022 m. gruodžio 27 d. pasikeitė duomenų tvarkymo apimtys ir buvo keistos sutarčių sąlygos, turi būti sudaromos naujos SCCs. |
Publikaciją parengė teisininkė Raminta Bučiūtė.