Kaip jau rašėme publikacijoje, paskelbtoje šių metų rugpjūčio 5 d., Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) svarstė Įmonei privalomų taisyklių patvirtinimo tvarkos aprašo projektą, kuris tuo metu buvo pateiktas viešosioms konsultacijoms. Rugsėjo 17 d. VDAI direktorius įsakymu patvirtino Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą, kuris šiuo metu jau yra galiojantis. Šioje publikacijoje galėsite susipažinti, kokiais atvejais yra taikomos įmonei privalomos taisyklės.
Asmens duomenų perdavimas už Europos Sąjungos ribų
Perduodant asmens duomenis į trečiąsias valstybes (ne Europos Sąjungos valstybes nares) yra privaloma vadovautis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) 44-50 straipsnių nuostatomis. Šiuose straipsniuose yra nustatyta, kad asmens duomenys į trečiąsias šalis gali būti perduodami šiais atvejais:
yra Europos Komisijos sprendimas dėl tinkamo lygio apsaugos;
duomenų valdytojas ar duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Šios apsaugos priemonės yra konkretizuotos BDAR 46 straipsnio 2 dalyje;
naudojamos įmonei privalomos taisyklės;
yra BDAR 49 straipsnyje įtvirtinti nukrypti nuo bendrosios tvarkos leidžiančios sąlygos.
Europos Komisija šiuo metu yra priėmusi sprendimus, kuriuo patvirtinama tinkamo lygio apsauga, tik dėl nedidelio skaičiaus valstybių: Andoros, Argentinos, Kanados (komercinių organizacijų), Farerų salų, Gernsio, Meino salos, Japonijos, Džersio, Naujosios Zelandijos, Šveicarijos ir Urugvajaus. Kadangi Europos Komisijos patvirtintų valstybių sąrašas šiuo metu yra gana siauras, duomenų valdytojai, siekdami perduoti asmens duomenis į kitas valstybes, turi imtis kitų BDAR nurodytų veiksmų. Vienas iš jų - naudoti įmonei privalomas taisykles.
Kas yra įmonei privalomos taisyklės
Įmonei privalomų taisyklių paskirtis yra įtvirtinta BDAR 47 straipsnyje. Taip pat atvejai, kuriais yra taikomos įmonei privalomos taisyklės yra numatytos ir Įmonei privalomų taisyklių patvirtinimo tvarkos apraše (toliau - Aprašas). Šiame Apraše yra numatyta, kad įmonei privalomos taisyklės yra taikomos tada, kai asmens duomenys yra perduodamos į trečiąsias šalis, kai duomenų valdytojai ir/arba duomenų tvarkytojai priklauso tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei. Pavyzdžiui, jeigu įmonė, kuri yra duomenų valdytoja, veikianti Lietuvoje ar bet kurioje kitoje ES valstybėje narėje, siekia valdomus duomenis perduoti savo dukterinei įmonei, kuri taip pat yra duomenų valdytoja, bet įsteigta ne ES valstybėje (trečiojoje šalyje), perdavimas turi būti vykdomas remiantis įmonei privalomomis taisyklėmis.
Nors gana paradoksalu, tačiau svarbu atkreipti dėmesį, kad įmonei privalomos taisyklės iš tikrųjų nėra privalomos. Perduodant duomenis į trečiąsias šalis galima vadovautis ir kitais BDAR 44-50 straipsniuose nustatytais būdais, skirtais užtikrinti asmens duomenų perdavimo teisėtumą į trečiąsias šalis. Žinoma, įmonei privalomų taisyklių patvirtinimas yra rekomenduojamas, kadangi jis palengvintų asmens duomenų perdavimą, jei yra atitinkamos šios sąlygos:
Įmonė yra duomenų valdytoja arba duomenų tvarkytoja;
Įmonė priklauso įmonių grupei;
Įmonė siekia perduoti valdomus arba tvarkomus asmens duomenis kitam duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei;
Įmonė, kuriai perduodami asmens duomenys, yra įsteigta ne Europos ekonominei erdvei (EEE) priklausančioje valstybėje (trečiojoje šalyje).
Kokiais atvejai įmonei privalomos taisyklės nėra taikomos
Nors įmonei privalomų taisyklių patvirtinimas gali palengvinti asmens duomenų perdavimą į trečiąsias šalis, tačiau įmonei privalomų taisyklių taikymas yra galima ne visais atvejais. VDAI tą pačią dieną po Aprašo priėmimo parengė ir atsakymus į dažniausiai užduodamus klausimus apie įmonei privalomas taisykles. Šiuose klausimuose-atsakymuose VDAI nurodė, kad įmonei privalomos taisyklės negali būti taikomos atvejais, kai asmens duomenis siekiama perduoti:
įmonių grupei nepriklausantiems duomenų valdytojams ar duomenų tvarkytojams;
duomenų valdytojo padaliniams, kurie nėra nuo duomenų valdytojo atskiri juridiniai asmenys (filialai, atstovybės, kt.);
įmonių grupė neperduoda asmens duomenų į trečiąją valstybę.
Dokumentai, kuriuos būtina pateikti, siekiant patvirtinti įmonei privalomas taisykles
Tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas siekia patvirtinti įmonei privalomas taisykles, vadovaujančiai priežiūros institucijai reikia pateikti šiuos dokumentus:
Papildomus dokumentus, pagrindžiančius įmonei privalomų taisyklių nustatytus įsipareigojimus, kai tai nurodyta 29 straipsnio darbo grupės metodiniame dokumente, skirtameduomenų valdytojamsarbaduomenų tvarkytojams;
Lentelę (-es) su nuorodomis į konkrečias prašymo, įmonei privalomų taisyklių ir, kiek taikoma, papildomų dokumentų, pagrindžiančius įmonei privalomose taisyklėse nustatytus įsipareigojimus, nuostatas, pagrindžiančias įmonei privalomų taisyklių atitiktį šiose lentelėse nustatytiems įmonei privalomų taisyklių patvirtinimo kriterijams.
Išvados
Tuo atveju, jeigu įmonių grupės viduje į trečiąsias šalis yra perduodami asmens duomenys, o valstybė, į kurią perduodami asmens duomenys, nėra patvirtinta Europos Komisijos kaip užtikrinanti tinkamo lygio apsaugą, rekomenduojame įmonėje patvirtinti įmonei privalomas taisykles. Apie įmonei privalomų taisyklių patvirtinimo procedūrą bei reikiamus atlikti veiksmus galite susipažinti mūsų rašytoje publikacijoje apie Įmonei privalomų taisyklių patvirtinimo aprašo projektą. Tačiau, jei visgi nuspręsite nesiimti veiksmų patvirtinti įmonei privalomų taisyklių, asmens duomenis į trečiąsias šalis galėsite perduoti, jeigu perdavimas atitikti BDAR 44-50 straipsniuose nustatytus atvejus ir sąlygas.
Doctype
plain-confluence-page
Error rendering macro 'incoming-links'
class com.atlassian.confluence.pages.BlogPost cannot be cast to class com.atlassian.confluence.pages.Page (com.atlassian.confluence.pages.BlogPost and com.atlassian.confluence.pages.Page are in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @42507077)
VDAI patvirtino Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą
Kaip jau rašėme publikacijoje, paskelbtoje šių metų rugpjūčio 5 d., Valstybinė duomenų apsaugos inspekcija (toliau - VDAI) svarstė Įmonei privalomų taisyklių patvirtinimo tvarkos aprašo projektą, kuris tuo metu buvo pateiktas viešosioms konsultacijoms. Rugsėjo 17 d. VDAI direktorius įsakymu patvirtino Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą, kuris šiuo metu jau yra galiojantis. Šioje publikacijoje galėsite susipažinti, kokiais atvejais yra taikomos įmonei privalomos taisyklės.
Asmens duomenų perdavimas už Europos Sąjungos ribų
Europos Komisija šiuo metu yra priėmusi sprendimus, kuriuo patvirtinama tinkamo lygio apsauga, tik dėl nedidelio skaičiaus valstybių: Andoros, Argentinos, Kanados (komercinių organizacijų), Farerų salų, Gernsio, Meino salos, Japonijos, Džersio, Naujosios Zelandijos, Šveicarijos ir Urugvajaus. Kadangi Europos Komisijos patvirtintų valstybių sąrašas šiuo metu yra gana siauras, duomenų valdytojai, siekdami perduoti asmens duomenis į kitas valstybes, turi imtis kitų BDAR nurodytų veiksmų. Vienas iš jų - naudoti įmonei privalomas taisykles.
Kas yra įmonei privalomos taisyklės
Įmonei privalomų taisyklių paskirtis yra įtvirtinta BDAR 47 straipsnyje. Taip pat atvejai, kuriais yra taikomos įmonei privalomos taisyklės yra numatytos ir Įmonei privalomų taisyklių patvirtinimo tvarkos apraše (toliau - Aprašas). Šiame Apraše yra numatyta, kad įmonei privalomos taisyklės yra taikomos tada, kai asmens duomenys yra perduodamos į trečiąsias šalis, kai duomenų valdytojai ir/arba duomenų tvarkytojai priklauso tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei. Pavyzdžiui, jeigu įmonė, kuri yra duomenų valdytoja, veikianti Lietuvoje ar bet kurioje kitoje ES valstybėje narėje, siekia valdomus duomenis perduoti savo dukterinei įmonei, kuri taip pat yra duomenų valdytoja, bet įsteigta ne ES valstybėje (trečiojoje šalyje), perdavimas turi būti vykdomas remiantis įmonei privalomomis taisyklėmis.
Nors gana paradoksalu, tačiau svarbu atkreipti dėmesį, kad įmonei privalomos taisyklės iš tikrųjų nėra privalomos. Perduodant duomenis į trečiąsias šalis galima vadovautis ir kitais BDAR 44-50 straipsniuose nustatytais būdais, skirtais užtikrinti asmens duomenų perdavimo teisėtumą į trečiąsias šalis. Žinoma, įmonei privalomų taisyklių patvirtinimas yra rekomenduojamas, kadangi jis palengvintų asmens duomenų perdavimą, jei yra atitinkamos šios sąlygos:
Kokiais atvejai įmonei privalomos taisyklės nėra taikomos
Dokumentai, kuriuos būtina pateikti, siekiant patvirtinti įmonei privalomas taisykles
Tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas siekia patvirtinti įmonei privalomas taisykles, vadovaujančiai priežiūros institucijai reikia pateikti šiuos dokumentus:
Išvados
Tuo atveju, jeigu įmonių grupės viduje į trečiąsias šalis yra perduodami asmens duomenys, o valstybė, į kurią perduodami asmens duomenys, nėra patvirtinta Europos Komisijos kaip užtikrinanti tinkamo lygio apsaugą, rekomenduojame įmonėje patvirtinti įmonei privalomas taisykles. Apie įmonei privalomų taisyklių patvirtinimo procedūrą bei reikiamus atlikti veiksmus galite susipažinti mūsų rašytoje publikacijoje apie Įmonei privalomų taisyklių patvirtinimo aprašo projektą. Tačiau, jei visgi nuspręsite nesiimti veiksmų patvirtinti įmonei privalomų taisyklių, asmens duomenis į trečiąsias šalis galėsite perduoti, jeigu perdavimas atitikti BDAR 44-50 straipsniuose nustatytus atvejus ir sąlygas.