Kokios taisyklės taikomos, jeigu mano organizacija perduoda duomenis už ES ribų?

Atsakymas

Šiandienos globalizuotame pasaulyje vyksta daug asmens duomenų, kurie kartais saugomi skirtingose šalyse esančiuose serveriuose, tarpvalstybinių perdavimų. Bendruoju duomenų apsaugos reglamentu (BDAR) užtikrinama apsauga keliauja su duomenimis. Tai reiškia, kad asmens duomenų apsaugos taisyklės yra taikomos nepriklausomai nuo to, kur duomenys atsiduria. Ši nuostata taikoma ir duomenų perdavimui į ES nepriklausančias šalis (toliau – trečiąsias šalis).

BDAR numatomos priemonės, kaip perduoti duomenis iš ES į trečiąją šalį:

• kartais Europos Komisijos sprendimu gali būti paskelbta, kad trečioji šalis užtikrina pakankamą apsaugos lygį („sprendimas dėl tinkamumo“). Tai reiškia, kad duomenys kitai įmonei, kuri yra toje trečiojoje šalyje, gali būti perduoti nereikalaujant, kad duomenų eksportuotojas užtikrintų papildomas apsaugos priemones ir netaikydami papildomų sąlygų. Kitaip tariant, duomenų perdavimas „tinkamai“ trečiajai šaliai bus prilyginamas duomenų perdavimui ES viduje;
• jeigu sprendimas dėl tinkamumo nėra priimtas, duomenis galima perduoti taikant tinkamas apsaugos priemones, su sąlyga, kad asmenims suteikiamos vykdytinos teisės ir veiksmingos teisių gynimo priemonės. Tarp tokių tinkamų apsaugos priemonių, be kita ko, yra šios:
• įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės atveju įmonės gali perduoti asmens duomenis vadinamųjų įmonei privalomų taisyklių pagrindu,
• susitarimai su asmens duomenų gavėju naudojant, pavyzdžiui, Europos Komisijos patvirtintas standartines sutarčių sąlygas,
• elgesio kodekso ar sertifikavimo mechanizmų įgyvendinimas ir privalomų bei vykdytinų įsipareigojimų taikyti tinkamas apsaugos priemones, skirtas apsaugoti perduotus duomenis, nustatymas gavėjui;
• galiausiai, jeigu asmens duomenis numatoma perduoti trečiajai šaliai, kurios atžvilgiu nėra priimtas sprendimas dėl tinkamumo, ir nėra jokių tinkamų apsaugos priemonių, duomenis galima perduoti remiantis nukrypti leidžiančiomis nuostatomis konkrečiais atvejais, pavyzdžiui, kai asmuo aiškiai sutinka su siūlomu duomenų perdavimu po to, kai gavo visą reikalingą informaciją apie su tokiu perdavimu susijusius pavojus.

Pavyzdys

Jūs esate Prancūzijos įmonė, ketinanti teikti savo paslaugas Pietų Amerikoje, visų pirma Argentinoje, Urugvajuje ir Brazilijoje. Pirmasis žingsnis yra patikrinti, ar tų trečiųjų šalių atžvilgiu yra priimtas sprendimas dėl tinkamumo. Šiuo atveju ir Argentina, ir Urugvajus yra paskelbtos tinkamomis šalimis. Jūs galėtumėte perduoti asmens duomenis šioms dviem trečiosioms šalims be jokių papildomų apsaugos priemonių, tačiau tam, kad galėtumėte perduoti duomenis Brazilijai, kurios atžvilgiu nėra priimtas sprendimas dėl tinkamumo, turėtumėte užtikrinti tinkamas apsaugos priemones.

Nuorodos

• BDAR V skyrius (44–50 straipsniai); 101–116 konstatuojamosios dalys
• Europos duomenų apsaugos valdybos naujausios gairės dėl tarptautinių duomenų perdavimų
  • Europos duomenų apsaugos valdybos gairės dėl referencinio tinkamumo
  • Europos duomenų apsaugos valdybos gairės dėl duomenų valdytojų įmonėms privalomų taisyklių
  • Europos duomenų apsaugos valdybos gairės dėl duomenų tvarkytojų įmonėms privalomų taisyklių
• Taip pat žr. Europos Komisijos komunikatą dėl keitimosi asmens duomenimis ir jų apsaugos globalizuotame pasaulyje1, 2017 m. sausio 10 d.

1 COM(2017)7 final

Example

You're a French company intending to expand its services to South America, notably Argentina, Uruguay and Brazil. The first step would be to check whether those third countries are subject to an Adequacy Decision. In this case, both Argentina and Uruguay have been declared adequate. You’d be able to transfer personal data to those two third countries without any additional safeguards while for transfers to Brazil which is not the subject of Adequacy Decision, you’ll have to frame your transfers by providing appropriate safeguards.