Šių metų rugsėjo 17 d. Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) priėmė Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą. Šiame Įmonei privalomų taisyklių patvirtinimo tvarkos apraše yra nustatyta kaip organizacijos turi kreiptis į VDAI, norėdamos pasinaudodoti Bendrojo duomenų apsaugos reglamento (toliau - BDAR) 47 str. įtvirtintu  asmens duomenų perdavimo iš Europos Sąjungos į trečiąsias valstybes mechanizmu – Įmonei privalomomis taisyklėmis, ir kaip šios taisyklės yra tvirtinamos. Prieš aprašo patvirtinimą siekiant gauti suinteresuotųjų šalių nuomonę buvo vykdytos viešosios konsultacijos. Apie aprašo projekto paskelbimą viešosioms publikacijoms taip taip esame rašę publikacijoje.  Šioje publikacijoje duomenų apsaugos pareigūnas Allaw atkreipia dėmesį į pagrindinius Įmonėms privalomų taisyklių taikymo aspektus.

Ar Įmonei privalomos taisyklės vienintelis būdas perduoti asmens duomenis už ES ribų?


Įmonei privalomos taisyklės nėra vienintelis būdas peduoti asmens duomenis į trečiąsias valstybes (t.y., už Europos Sąjungos ribų). Perduodant asmens duomenis į trečiąsias valstybes (ne Europos Sąjungos valstybes nares) yra privaloma vadovautis BDAR 44-50 straipsnių nuostatomis. Šiuose straipsniuose yra nustatyta, kad asmens duomenys į trečiąsias šalis gali būti perduodami šiais atvejais:

  • yra Europos Komisijos sprendimas dėl tinkamo lygio apsaugos;
  • duomenų valdytojas ar duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Šios apsaugos priemonės yra konkretizuotos BDAR 46 straipsnio 2 dalyje;
  • naudojamos įmonei privalomos taisyklės;
  • yra BDAR 49 straipsnyje įtvirtinti nukrypti nuo bendrosios tvarkos leidžiančios sąlygos.

Europos Komisija šiuo metu yra priėmusi sprendimus, kuriuo patvirtinama tinkamo lygio apsauga, tik dėl nedidelio skaičiaus valstybių: Andoros, Argentinos, Kanados (komercinių organizacijų), Farerų salų, Gernsio, Meino salos, Japonijos, Džersio, Naujosios Zelandijos, Šveicarijos ir Urugvajaus. Kadangi Europos Komisijos patvirtintų valstybių sąrašas šiuo metu yra gana siauras, duomenų valdytojai, siekdami perduoti asmens duomenis į kitas valstybes nei nurodyta minėtame apraše, turi imtis kitų BDAR nurodytų veiksmų. Vienas iš jų - naudoti įmonei privalomas taisykles.

Kas yra Įmonei privalomos taisyklės?


Įmonei privalomos taisyklės yra vienas iš BDAR 47 str. nustatytų asmens duomenų perdavimo būdų, kai duomenų valdytojai ir/arba duomenų tvarkytojai priklauso tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei. Pavyzdžiui, jeigu įmonė, kuri yra duomenų valdytoja, veikianti Lietuvoje ar bet kurioje kitoje ES valstybėje narėje, siekia valdomus duomenis perduoti savo dukterinei įmonei, kuri taip pat yra duomenų valdytoja, bet įsteigta ne ES valstybėje (trečiojoje šalyje), perdavimas turi būti vykdomas remiantis įmonei privalomomis taisyklėmis.

Kokiais atvejais yra taikomos Įmonei privalomos taisyklės?


Asmens duomenys taikomos ir duomenys gali būti perduoti jomis vadovaujanti jei yra tenkinamos šios sąlygos:

  1. Organizacija yra duomenų valdytoja arba duomenų tvarkytoja;
  2. Organizacija priklauso įmonių grupei;
  3. Organizacija siekia perduoti valdomus arba tvarkomus asmens duomenis kitam duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei;
  4. Organizacija, kuriai perduodami asmens duomenys, yra įsteigta ne Europos ekonominei erdvei (EEE) priklausančioje valstybėje (trečiojoje šalyje).

Kokiais atvejais Įmonei privalomos taisyklės nėra taikomos?


Įmonei privalomų taisyklių taikymas yra galima ne visais atvejais. Remiantis VDAI aiškinimu Įmonei privalomos taisyklės negali būti taikomos tais atvejais, kai asmens duomenis siekiama perduoti:

  • įmonių grupei nepriklausantiems duomenų valdytojams ar duomenų tvarkytojams;
  • duomenų valdytojo padaliniams, kurie nėra nuo duomenų valdytojo atskiri juridiniai asmenys (filialai, atstovybės, kt.);
  • įmonių grupė neperduoda asmens duomenų į trečiąją valstybę.

Dokumentai, kuriuos būtina pateikti, siekiant patvirtinti Įmonei privalomas taisykles


Tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas siekia patvirtinti Įmonei privalomas taisykles, įmonių grupei vadovaujančiai priežiūros institucijai (jeigu Lietuvoje - Valstybinei duomenų apsaugos inspekcijai) reikia pateikti šiuos dokumentus:

  • Prašymą (Duomenų valdytojo teikiamo prašymo forma, Duomenų tvarkytojo teikiamo prašymo forma)
  • Įmonei privalomų taisyklių projektą
  • Papildomus dokumentus, pagrindžiančius Įmonei privalomų taisyklių nustatytus įsipareigojimus, kai tai nurodyta 29 straipsnio darbo grupės metodiniame dokumente, skirtame duomenų valdytojams arba duomenų tvarkytojams;
  • Lentelę (-es) su nuorodomis į konkrečias prašymo, įmonei privalomų taisyklių ir, kiek taikoma, papildomų dokumentų, pagrindžiančius įmonei privalomose taisyklėse nustatytus įsipareigojimus, nuostatas, pagrindžiančias įmonei privalomų taisyklių atitiktį šiose lentelėse nustatytiems įmonei privalomų taisyklių patvirtinimo kriterijams.

Apie šių dokumentų pateikimo tvarką taip pat galite skaityti mūsų ankstesnėje publikacijoje

Link to this page