Atbilde
Mūsdienu globalizētajā pasaulē tiek veikta personas datu plaša mēroga pārrobežu pārsūtīšana, un dažkārt tos glabā serveros vairākās valstīs. Vispārīgās datu aizsardzības regulas (VDAR) nodrošinātā aizsardzība “seko” datiem, t. i., noteikumi par personas datu aizsardzību ir piemērojami neatkarīgi no valsts, kurp dati nosūtīti. Tas arī attiecas uz gadījumiem, kad datus nosūta uz valsti, kas nav ES dalībvalsts (turpmāk "trešā valsts").
VDAR ir paredzēti dažādi instrumenti, ar kuriem regulē datu pārsūtīšanu no ES uz trešām valstīm:
- dažkārt trešo valsti saskaņā ar Eiropas Komisijas lēmumu (“lēmumu par aizsardzības līmeņa pietiekamību”) var atzīt par tādu, kas nodrošina pietiekamu aizsardzības līmeni. Tas nozīmē, ka var pārsūtīt datus citam uzņēmumam, kas atrodas attiecīgajā trešā valstī, un datu eksportētājam nav pienākuma nodrošināt papildu garantijas, un tam nepiemēro papildu nosacījumus. Citiem vārdiem sakot, datu nosūtīšana uz trešo valsti, kas nodrošina pietiekamu datu aizsardzības līmeni, ir pielīdzināma datu nosūtīšanai ES iekšienē.
- ja nav lēmuma par aizsardzības līmeņa pietiekamību, nosūtīšanu var veikt, īstenojot atbilstošas garantijas, un ar nosacījumu, ka attiecīgajām personām ir paredzētas īstenojamas tiesības un efektīva tiesiskā aizsardzība. Šādas atbilstošas garantijas ietver šādus aspektus:
- piemēram, uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistītas kopīgā saimnieciskā darbībā, personas datus var nosūtīt, pamatojoties uz tā dēvētajiem saistošajiem uzņēmuma noteikumiem;
- līgumiskas vienošanās ar personas datu saņēmēju, izmantojot, piemēram, Eiropas Komisijas apstiprinātas līgumu standartklauzulas;
- rīcības kodekss vai sertifikācijas mehānisms kopā ar datu saņēmēja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošās garantijas, lai aizsargātu nosūtītos datus.
- visbeidzot, ja personas datus paredzēts nosūtīt uz trešo valsti, attiecībā uz kuru nav pieņemts lēmums par aizsardzības līmeņa pietiekamību un nav ieviestas atbilstošas garantijas, datus atļauts pārsūtīt īpašās situācijās, pamatojoties uz vairākām atkāpēm, piemēram, ja attiecīgā fiziskā persona ir nepārprotami piekritusi ierosinātajai datu pārsūtīšanai pēc tam, kad tai sniegta visa vajadzīgā informācija par riskiem, kas saistīti ar šo pārsūtīšanu.
Piemērs
Jūs esat Francijā nodibināts uzņēmums, kurš plāno paplašināt savu darbību un sākt sniegt pakalpojumus Dienvidamerikā, jo īpaši Argentīnā, Urugvajā un Brazīlijā. Vispirms jums būtu jāpārbauda, vai par šīm trešām valstīm ir pieņemts lēmums par aizsardzības līmeņa pietiekamību. Šajā gadījumā gan Argentīna, gan Urugvaja ir atzītas par valstīm, kas nodrošina pietiekamu aizsardzības līmeni. Uz šīm divām trešām valstīm jūs varētu nosūtīt personas datus bez jebkādām papildu garantijām, savukārt, nosūtot datus uz Brazīliju, par kuru nav pieņemts lēmums par aizsardzības līmeņa pietiekamību, jums būtu jāregulē datu pārsūtīšana, nodrošinot atbilstošas garantijas.
Atsauces
- V nodaļa (44.–50. pants), 101.–116. apsvērums
- EDAK jaunākās pamatnostādnes par personas datu starptautisku nosūtīšanu:
- Uzziņai skatīt arī Eiropas Komisijas paziņojumu “Apmaiņa ar personas datiem un šo datu aizsardzība globalizētā pasaulē”, 2017. gada 10. janvāris
- EDAK pamatnostādnes par pietiekamības atsaucēm
- EDAK pamatnostādnes par pārziņiem saistošajiem uzņēmuma noteikumiem
- EDAK pamatnostādnes par apstrādātājiem saistošajiem uzņēmuma noteikumiem
Example
You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.
References
- Chapter V, Articles (44 to 50) and Recitals (101) to (116) of the GDPR
- EDPB's latest guidelines on International transfers:
- See also for reference the European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017
1 COM(2017)7 final