Pāriet uz galveno saturu
Eiropas Komisijas logotips
lvlv

What rules apply if my organisation transfers data outside the EU?

Atbilde

Mūsdienu globalizētajā pasaulē tiek veikta personas datu plaša mēroga pārrobežu pārsūtīšana, un dažkārt tos glabā serveros vairākās valstīs. Vispārīgās datu aizsardzības regulas (VDAR) nodrošinātā aizsardzība “seko” datiem, t. i., noteikumi par personas datu aizsardzību ir piemērojami neatkarīgi no valsts, kurp dati nosūtīti. Tas arī attiecas uz gadījumiem, kad datus nosūta uz valsti, kas nav ES dalībvalsts (turpmāk "trešā valsts").

VDAR ir paredzēti dažādi instrumenti, ar kuriem regulē datu pārsūtīšanu no ES uz trešām valstīm:

  • dažkārt trešo valsti saskaņā ar Eiropas Komisijas lēmumu (“lēmumu par aizsardzības līmeņa pietiekamību”) var atzīt par tādu, kas nodrošina pietiekamu aizsardzības līmeni. Tas nozīmē, ka var pārsūtīt datus citam uzņēmumam, kas atrodas attiecīgajā trešā valstī, un datu eksportētājam nav pienākuma nodrošināt papildu garantijas, un tam nepiemēro papildu nosacījumus. Citiem vārdiem sakot, datu nosūtīšana uz trešo valsti, kas nodrošina pietiekamu datu aizsardzības līmeni, ir pielīdzināma datu nosūtīšanai ES iekšienē.
  • ja nav lēmuma par aizsardzības līmeņa pietiekamību, nosūtīšanu var veikt, īstenojot atbilstošas garantijas, un ar nosacījumu, ka attiecīgajām personām ir paredzētas īstenojamas tiesības un efektīva tiesiskā aizsardzība. Šādas atbilstošas garantijas ietver šādus aspektus:
    • piemēram, uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistītas kopīgā saimnieciskā darbībā, personas datus var nosūtīt, pamatojoties uz tā dēvētajiem saistošajiem uzņēmuma noteikumiem;
    • līgumiskas vienošanās ar personas datu saņēmēju, izmantojot, piemēram, Eiropas Komisijas apstiprinātas līgumu standartklauzulas;
    • rīcības kodekss vai sertifikācijas mehānisms kopā ar datu saņēmēja saistošām un tiesiski īstenojamām saistībām piemērot atbilstošās garantijas, lai aizsargātu nosūtītos datus.
  • visbeidzot, ja personas datus paredzēts nosūtīt uz trešo valsti, attiecībā uz kuru nav pieņemts lēmums par aizsardzības līmeņa pietiekamību un nav ieviestas atbilstošas garantijas, datus atļauts pārsūtīt īpašās situācijās, pamatojoties uz vairākām atkāpēm, piemēram, ja attiecīgā fiziskā persona ir nepārprotami piekritusi ierosinātajai datu pārsūtīšanai pēc tam, kad tai sniegta visa vajadzīgā informācija par riskiem, kas saistīti ar šo pārsūtīšanu.

Piemērs

Jūs esat Francijā nodibināts uzņēmums, kurš plāno paplašināt savu darbību un sākt sniegt pakalpojumus Dienvidamerikā, jo īpaši Argentīnā, Urugvajā un Brazīlijā. Vispirms jums būtu jāpārbauda, vai par šīm trešām valstīm ir pieņemts lēmums par aizsardzības līmeņa pietiekamību. Šajā gadījumā gan Argentīna, gan Urugvaja ir atzītas par valstīm, kas nodrošina pietiekamu aizsardzības līmeni. Uz šīm divām trešām valstīm jūs varētu nosūtīt personas datus bez jebkādām papildu garantijām, savukārt, nosūtot datus uz Brazīliju, par kuru nav pieņemts lēmums par aizsardzības līmeņa pietiekamību, jums būtu jāregulē datu pārsūtīšana, nodrošinot atbilstošas garantijas.

Atsauces

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.

References

1 COM(2017)7 final