Konvencija 108+ palengvins asmens duomenų perdavimą į trečiąsias valstybes

Asmens duomenų apsauga yra evoliucija, o ne revoliucija. Dar vienas to įrodymas – Europos Tarybos Konvencija Nr. 108 dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu, kurią iš dalies keičia 2019 m. lapkričio 14 d. Lietuvoje įsigaliojęs protokolas.

Dar 1968 metais Europos Taryba[1] (angl. Council of Europe) priėmė Rekomendaciją Nr. 506 dėl žmogaus teisių ir mokslo bei technologijų raidos, kadangi jau tuomet naujos technologijos, tokios kaip telefoninių pokalbių pasiklausymo įranga, pradėjo kelti grėsmę asmenų teisei į privataus gyvenimo apsaugą.

Ir dar gerokai prieš ES Direktyvą, kurią 2018 metais pakeitė Bendrasis duomenų apsaugos reglamentas, 1981 m. Europos Taryba priėmė Konvenciją Nr. 108 dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau vadinsiu ją Konvencija 108), kuria siekiama užtikrinti, kad, tvarkant asmens duomenis automatizuotai, visų šalių teritorijose būtų gerbiamos kiekvieno asmens, nepaisant jo tautybės ir gyvenamosios vietos, teisės ir pagrindinės laisvės, o svarbiausia, jo teisė į privatų gyvenimą.

Konvenciją 108 yra ratifikavusios 47 Europos Tarybos narės, tarp jų 28 Europos Sąjungos narės bei Rusijos Federacija, Turkija, Ukraina ir net 6 ne Europos Tarybos narės, pavyzdžiui, Argentina ir Meksika.

Per beveik 40 metų, praėjusių nuo Konvencijos 108 sukūrimo, technologijos bei duomenų rinkimo ir panaudojimo būdai itin pasikeitė. Atsižvelgiant į tai, 2018 m. spalio 10 d. Europos Taryba pristatė Konvenciją 108 papildantį protokolą, kuriuo iš dalies keičiama konvencija dėl Asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau – Konvencija 108+).

Lietuva Konvenciją 108+ ratifikavo 2019 m. lapkričio 7 d.

Konvencija 108+ nesukuria papildomų reikalavimų, palyginti su BDAR, bet, manytina, palengvins duomenų perdavimą į trečiąsias valstybes.

Kada galima perduoti duomenis į trečiąsias šalis?

BDAR draudžia perduoti asmens duomenis į trečiąsias valstybes arba tarptautines organizacijas, nebent:

• Valstybė, teritorija ar tarptautinė organizacija į kurią ketinama perduoti asmens duomenis, Europos Komisijos sprendimu yra pripažinta tinkama, t. y., ji užtikrina reikiamą duomenų apsaugos lygį. Pavyzdžiui, tokios šalys yra Argentina, Šveicarija, Naujoji Zelandija, Japonija. Duomenis galima perduoti ir į Jungtines Amerikos Valstijas, jeigu organizacija laikosi Privatumo skydo (angl. Privacy Shield) reikalavimų.
• Duomenys perduodami taikant tinkamas apsaugos priemones, kurių sąrašas yra pateikiamas BDAR 46 straipsnyje, pavyzdžiui:
  • duomenys perduodami įmonių grupės viduje, kai yra patvirtintos įmonei privalomos taisyklės (angl. Binding Corporate Rules);
  • duomenys yra perduodami įmonei, kuri turi reikiamus sertifikatus (deja šiuo metu tokių sertifikatų dar nėra);
  • įmonė, kuriai perduodami asmens duomenys, laikosi verslo kategorijai patvirtinto elgesio kodekso;
  • gautas priežiūros institucijos leidimas; arba
  • su duomenų gavėju ar tvarkytoju trečiojoje valstybėje sudaryta standartinių duomenų apsaugos sąlygų sutartis (angl. Standart data protection clauses).
• Jeigu negalima įgyvendinti nė vienos iš aukščiau nurodomų sąlygų, galima mėginti pasinaudoti nukrypti leidžiančiomis nuostatomis konkretiems atvejams, kurie yra nurodomi BDAR 49 straipsnyje. Pavyzdžiui, duomenų perdavimas yra būtinas vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo arba duomenų subjektas aiškiai sutiko su duomenų perdavimu į trečiąją valstybę.
• Arba perduodami anonimizuoti asmens duomenys.

Perduodant duomenis į valstybę, kuri pripažinta kaip užtikrinanti tinkamą asmens duomenų apsaugos lygį, nereikia imtis papildomų priemonių. Todėl, vertinant iš praktinės pusės, tai yra vienas patogiausių būdų perduoti asmens duomenis į trečiąją valstybę.

Kaip perdavimą gali palengvinti Konvencija 108+?

BDAR 105 konstatuojamojoje dalyje nurodoma, kad Europos Komisija, vertindama valstybę dėl jos tinkamumo užtikrinti asmens duomenų apsaugą, turėtų atsižvelgti į trečiosios valstybės prisijungimą prie Konvencijos 108 ir jos papildomo protokolo (Konvencijos 108+).

Konvencija 108+ pagrįsta BDAR principais ir duomenų subjektams suteikia teises, tokias kaip, pavyzdžiui, surinktų asmens duomenų ištrynimas ar asmens duomenų rinkimo apribojimas. Konvencijoje 108+ taip pat numatytas reikalavimas turėti vieną arba keletą nepriklausomų duomenų apsaugos priežiūros institucijų.

Tikėtina, kad, Europos Tarybos šalims ratifikavus Konvenciją 108+, asmens duomenų perdavimo į trečiąsias valstybes procesai taps paprastesni. Žinoma, užtruks, kol šalys ratifikuos ir įgyvendins Konvenciją 108+ bei kol Europos Komisija patikrins valstybės tinkamumą.