Page History
| UI Text Box | ||
|---|---|---|
| ||
Kaip jau rašėme publikacijoje, paskelbtoje šių metų rugpjūčio 5 d., Valstybinė duomenų apsaugos inspekcija Šių metų rugsėjo 17 d. Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) svarstė direktorius įsakymu patvirtino Įmonei privalomų taisyklių patvirtinimo tvarkos aprašo projektąaprašą, kuris tuo metu buvo pateiktas viešosioms konsultacijoms. Rugsėjo 17 d. VDAI direktorius įsakymu patvirtino įsigaliojo nuo įsakymo priėmimo. Šiame Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą, kuris šiuo metu jau yra galiojantis. Šioje publikacijoje galėsite susipažinti, kokiais atvejais yra taikomos įmonei privalomos taisyklės.apraše yra nustatyta, kaip ir kada reikia patvirtinti įmonei privalomas taisykles. Taip pat kartu yra aptariami ir įmonei privalomų taisyklių taikymo atvejai. Tam, kad šis aprašas būtų tinkamas ir priimtinas visuomenei, dėl jo daugiau nei mėnesį vyko viešosios konsultacijos. Apie aprašo projekto paskelbimą viešosioms publikacijoms rašėme publikacijoje, paskelbtoje šių metų rugpjūčio 5 d., |
Asmens duomenų perdavimas už Europos Sąjungos ribų
...
Europos Komisija šiuo metu yra priėmusi sprendimus, kuriuo patvirtinama tinkamo lygio apsauga, tik dėl nedidelio skaičiaus valstybių: Andoros, Argentinos, Kanados (komercinių organizacijų), Farerų salų, Gernsio, Meino salos, Japonijos, Džersio, Naujosios Zelandijos, Šveicarijos ir Urugvajaus. Kadangi Europos Komisijos patvirtintų valstybių sąrašas šiuo metu yra gana siauras, duomenų valdytojai, siekdami perduoti asmens duomenis į kitas valstybes, turi imtis kitų BDAR nurodytų veiksmų. Vienas iš jų - naudoti įmonei privalomas taisykles.
Kas yra įmonei privalomos taisyklės?
Įmonei privalomų taisyklių paskirtis yra įtvirtinta BDAR 47 straipsnyje. Taip pat atvejai, kuriais yra taikomos įmonei privalomos taisyklės yra numatytos ir Įmonei privalomų taisyklių patvirtinimo tvarkos apraše (toliau - Aprašas). Šiame Apraše yra numatyta, kad įmonei privalomos taisyklės yra taikomos tada, kai asmens duomenys yra perduodamos į trečiąsias šalis, kai duomenų valdytojai ir/arba duomenų tvarkytojai priklauso tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei. Pavyzdžiui, jeigu įmonė, kuri yra duomenų valdytoja, veikianti Lietuvoje ar bet kurioje kitoje ES valstybėje narėje, siekia valdomus duomenis perduoti savo dukterinei įmonei, kuri taip pat yra duomenų valdytoja, bet įsteigta ne ES valstybėje (trečiojoje šalyje), perdavimas turi būti vykdomas remiantis įmonei privalomomis taisyklėmis.
Kokiais atvejais yra taikomos įmonei privalomos taisyklės?
Nors gana paradoksalu, tačiau svarbu atkreipti dėmesį, kad įmonei privalomos taisyklės iš tikrųjų nėra privalomos. Perduodant duomenis į trečiąsias šalis galima vadovautis ir kitais BDAR 44-50 straipsniuose nustatytais būdais, skirtais užtikrinti asmens duomenų perdavimo teisėtumą į trečiąsias šalis. Žinoma, įmonei privalomų taisyklių patvirtinimas yra rekomenduojamas, kadangi jis palengvintų asmens duomenų perdavimą, jei yra atitinkamos šios sąlygos:
- Įmonė yra duomenų valdytoja arba duomenų tvarkytoja;
- Įmonė priklauso įmonių grupei;
- Įmonė siekia perduoti valdomus arba tvarkomus asmens duomenis kitam duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei;
- Įmonė, kuriai perduodami asmens duomenys, yra įsteigta ne Europos ekonominei erdvei (EEE) priklausančioje valstybėje (trečiojoje šalyje).
Kokiais
...
atvejais įmonei privalomos taisyklės nėra taikomos?
- įmonių grupei nepriklausantiems duomenų valdytojams ar duomenų tvarkytojams;
- duomenų valdytojo padaliniams, kurie nėra nuo duomenų valdytojo atskiri juridiniai asmenys (filialai, atstovybės, kt.);
- įmonių grupė neperduoda asmens duomenų į trečiąją valstybę.
Dokumentai, kuriuos būtina pateikti, siekiant patvirtinti įmonei privalomas taisykles
Tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas siekia patvirtinti įmonei privalomas taisykles, vadovaujančiai priežiūros institucijai reikia pateikti šiuos dokumentus:
- Prašymą (Duomenų valdytojo teikiamo prašymo forma, Duomenų tvarkytojo teikiamo prašymo forma)
- Įmonei privalomų taisyklių projektą
- Papildomus dokumentus, pagrindžiančius įmonei privalomų taisyklių nustatytus įsipareigojimus, kai tai nurodyta 29 straipsnio darbo grupės metodiniame dokumente, skirtame duomenų valdytojams arba duomenų tvarkytojams;
- Lentelę (-es) su nuorodomis į konkrečias prašymo, įmonei privalomų taisyklių ir, kiek taikoma, papildomų dokumentų, pagrindžiančius įmonei privalomose taisyklėse nustatytus įsipareigojimus, nuostatas, pagrindžiančias įmonei privalomų taisyklių atitiktį šiose lentelėse nustatytiems įmonei privalomų taisyklių patvirtinimo kriterijams.
Apie šių dokumentų pateikimo tvarką galite skaityti mūsų anksčiau rašytoje publikacijoje.
Išvados
Tuo atveju, jeigu įmonių grupės viduje į trečiąsias šalis yra perduodami asmens duomenys, o valstybė, į kurią perduodami asmens duomenys, nėra patvirtinta Europos Komisijos kaip užtikrinanti tinkamo lygio apsaugą, rekomenduojame įmonėje patvirtinti įmonei privalomas taisykles. Apie įmonei privalomų taisyklių patvirtinimo procedūrą bei reikiamus atlikti veiksmus galite susipažinti mūsų rašytoje publikacijoje apie Įmonei privalomų taisyklių patvirtinimo aprašo projektą. Tačiau, jei visgi nuspręsite nesiimti veiksmų patvirtinti įmonei privalomų taisyklių, asmens duomenis į trečiąsias šalis galėsite perduoti, jeigu perdavimas atitikti BDAR 44-50 straipsniuose nustatytus atvejus ir sąlygas.
...