Šių metų rugsėjo 17 d. Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) direktorius įsakymu patvirtino Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą, kuris įsigaliojo nuo įsakymo priėmimo. Šiame Įmonei privalomų taisyklių patvirtinimo tvarkos apraše yra nustatyta, kaip ir kada reikia patvirtinti įmonei privalomas taisykles. Taip pat kartu yra aptariami ir įmonei privalomų taisyklių taikymo atvejai. Tam, kad šis aprašas būtų tinkamas ir priimtinas visuomenei, dėl jo daugiau nei mėnesį vyko viešosios konsultacijos. Apie aprašo projekto paskelbimą viešosioms publikacijoms rašėme publikacijoje, paskelbtoje šių metų rugpjūčio 5 d.,
Asmens duomenų perdavimas už Europos Sąjungos ribų
Perduodant asmens duomenis į trečiąsias valstybes (ne Europos Sąjungos valstybes nares) yra privaloma vadovautis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau - BDAR) 44-50 straipsnių nuostatomis. Šiuose straipsniuose yra nustatyta, kad asmens duomenys į trečiąsias šalis gali būti perduodami šiais atvejais:
yra Europos Komisijos sprendimas dėl tinkamo lygio apsaugos;
duomenų valdytojas ar duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis. Šios apsaugos priemonės yra konkretizuotos BDAR 46 straipsnio 2 dalyje;
naudojamos įmonei privalomos taisyklės;
yra BDAR 49 straipsnyje įtvirtinti nukrypti nuo bendrosios tvarkos leidžiančios sąlygos.
Europos Komisija šiuo metu yra priėmusi sprendimus, kuriuo patvirtinama tinkamo lygio apsauga, tik dėl nedidelio skaičiaus valstybių: Andoros, Argentinos, Kanados (komercinių organizacijų), Farerų salų, Gernsio, Meino salos, Japonijos, Džersio, Naujosios Zelandijos, Šveicarijos ir Urugvajaus. Kadangi Europos Komisijos patvirtintų valstybių sąrašas šiuo metu yra gana siauras, duomenų valdytojai, siekdami perduoti asmens duomenis į kitas valstybes, turi imtis kitų BDAR nurodytų veiksmų. Vienas iš jų - naudoti įmonei privalomas taisykles.
Kas yra įmonei privalomos taisyklės?
Įmonei privalomų taisyklių paskirtis yra įtvirtinta BDAR 47 straipsnyje. Taip pat atvejai, kuriais yra taikomos įmonei privalomos taisyklės yra numatytos ir Įmonei privalomų taisyklių patvirtinimo tvarkos apraše (toliau - Aprašas). Šiame Apraše yra numatyta, kad įmonei privalomos taisyklės yra taikomos tada, kai asmens duomenys yra perduodamos į trečiąsias šalis, kai duomenų valdytojai ir/arba duomenų tvarkytojai priklauso tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei. Pavyzdžiui, jeigu įmonė, kuri yra duomenų valdytoja, veikianti Lietuvoje ar bet kurioje kitoje ES valstybėje narėje, siekia valdomus duomenis perduoti savo dukterinei įmonei, kuri taip pat yra duomenų valdytoja, bet įsteigta ne ES valstybėje (trečiojoje šalyje), perdavimas turi būti vykdomas remiantis įmonei privalomomis taisyklėmis.
Kokiais atvejais yra taikomos įmonei privalomos taisyklės?
Nors gana paradoksalu, tačiau svarbu atkreipti dėmesį, kad įmonei privalomos taisyklės iš tikrųjų nėra privalomos. Perduodant duomenis į trečiąsias šalis galima vadovautis ir kitais BDAR 44-50 straipsniuose nustatytais būdais, skirtais užtikrinti asmens duomenų perdavimo teisėtumą į trečiąsias šalis. Žinoma, įmonei privalomų taisyklių patvirtinimas yra rekomenduojamas, kadangi jis palengvintų asmens duomenų perdavimą, jei yra atitinkamos šios sąlygos:
Įmonė yra duomenų valdytoja arba duomenų tvarkytoja;
Įmonė priklauso įmonių grupei;
Įmonė siekia perduoti valdomus arba tvarkomus asmens duomenis kitam duomenų valdytojui arba duomenų tvarkytojui, priklausančiam tai pačiai įmonių grupei;
Įmonė, kuriai perduodami asmens duomenys, yra įsteigta ne Europos ekonominei erdvei (EEE) priklausančioje valstybėje (trečiojoje šalyje).
Kokiais atvejais įmonei privalomos taisyklės nėra taikomos?
Nors įmonei privalomų taisyklių patvirtinimas gali palengvinti asmens duomenų perdavimą į trečiąsias šalis, tačiau įmonei privalomų taisyklių taikymas yra galima ne visais atvejais. VDAI parengė atsakymus į dažniausiai užduodamus klausimus apie įmonei privalomas taisykles, kuriuose nurodė, kad įmonei privalomos taisyklės negali būti taikomos atvejais, kai asmens duomenis siekiama perduoti:
įmonių grupei nepriklausantiems duomenų valdytojams ar duomenų tvarkytojams;
duomenų valdytojo padaliniams, kurie nėra nuo duomenų valdytojo atskiri juridiniai asmenys (filialai, atstovybės, kt.);
įmonių grupė neperduoda asmens duomenų į trečiąją valstybę.
Dokumentai, kuriuos būtina pateikti, siekiant patvirtinti įmonei privalomas taisykles
Tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas siekia patvirtinti įmonei privalomas taisykles, vadovaujančiai priežiūros institucijai reikia pateikti šiuos dokumentus:
Papildomus dokumentus, pagrindžiančius įmonei privalomų taisyklių nustatytus įsipareigojimus, kai tai nurodyta 29 straipsnio darbo grupės metodiniame dokumente, skirtameduomenų valdytojamsarbaduomenų tvarkytojams;
Lentelę (-es) su nuorodomis į konkrečias prašymo, įmonei privalomų taisyklių ir, kiek taikoma, papildomų dokumentų, pagrindžiančius įmonei privalomose taisyklėse nustatytus įsipareigojimus, nuostatas, pagrindžiančias įmonei privalomų taisyklių atitiktį šiose lentelėse nustatytiems įmonei privalomų taisyklių patvirtinimo kriterijams.
Tuo atveju, jeigu įmonių grupės viduje į trečiąsias šalis yra perduodami asmens duomenys, o valstybė, į kurią perduodami asmens duomenys, nėra patvirtinta Europos Komisijos kaip užtikrinanti tinkamo lygio apsaugą, rekomenduojame įmonėje patvirtinti įmonei privalomas taisykles. Apie įmonei privalomų taisyklių patvirtinimo procedūrą bei reikiamus atlikti veiksmus galite susipažinti mūsų rašytoje publikacijoje apie Įmonei privalomų taisyklių patvirtinimo aprašo projektą. Tačiau, jei visgi nuspręsite nesiimti veiksmų patvirtinti įmonei privalomų taisyklių, asmens duomenis į trečiąsias šalis galėsite perduoti, jeigu perdavimas atitikti BDAR 44-50 straipsniuose nustatytus atvejus ir sąlygas.
Doctype
plain-confluence-page
Error rendering macro 'incoming-links'
class com.atlassian.confluence.pages.BlogPost cannot be cast to class com.atlassian.confluence.pages.Page (com.atlassian.confluence.pages.BlogPost and com.atlassian.confluence.pages.Page are in unnamed module of loader org.apache.catalina.loader.ParallelWebappClassLoader @42507077)
VDAI priėmė Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą
Šių metų rugsėjo 17 d. Valstybinės duomenų apsaugos inspekcijos (toliau - VDAI) direktorius įsakymu patvirtino Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą, kuris įsigaliojo nuo įsakymo priėmimo. Šiame Įmonei privalomų taisyklių patvirtinimo tvarkos apraše yra nustatyta, kaip ir kada reikia patvirtinti įmonei privalomas taisykles. Taip pat kartu yra aptariami ir įmonei privalomų taisyklių taikymo atvejai. Tam, kad šis aprašas būtų tinkamas ir priimtinas visuomenei, dėl jo daugiau nei mėnesį vyko viešosios konsultacijos. Apie aprašo projekto paskelbimą viešosioms publikacijoms rašėme publikacijoje, paskelbtoje šių metų rugpjūčio 5 d.,
Asmens duomenų perdavimas už Europos Sąjungos ribų
Europos Komisija šiuo metu yra priėmusi sprendimus, kuriuo patvirtinama tinkamo lygio apsauga, tik dėl nedidelio skaičiaus valstybių: Andoros, Argentinos, Kanados (komercinių organizacijų), Farerų salų, Gernsio, Meino salos, Japonijos, Džersio, Naujosios Zelandijos, Šveicarijos ir Urugvajaus. Kadangi Europos Komisijos patvirtintų valstybių sąrašas šiuo metu yra gana siauras, duomenų valdytojai, siekdami perduoti asmens duomenis į kitas valstybes, turi imtis kitų BDAR nurodytų veiksmų. Vienas iš jų - naudoti įmonei privalomas taisykles.
Kas yra įmonei privalomos taisyklės?
Įmonei privalomų taisyklių paskirtis yra įtvirtinta BDAR 47 straipsnyje. Taip pat atvejai, kuriais yra taikomos įmonei privalomos taisyklės yra numatytos ir Įmonei privalomų taisyklių patvirtinimo tvarkos apraše (toliau - Aprašas). Šiame Apraše yra numatyta, kad įmonei privalomos taisyklės yra taikomos tada, kai asmens duomenys yra perduodamos į trečiąsias šalis, kai duomenų valdytojai ir/arba duomenų tvarkytojai priklauso tai pačiai įmonių grupei arba bendrą ekonominę veiklą vykdančių įmonių grupei. Pavyzdžiui, jeigu įmonė, kuri yra duomenų valdytoja, veikianti Lietuvoje ar bet kurioje kitoje ES valstybėje narėje, siekia valdomus duomenis perduoti savo dukterinei įmonei, kuri taip pat yra duomenų valdytoja, bet įsteigta ne ES valstybėje (trečiojoje šalyje), perdavimas turi būti vykdomas remiantis įmonei privalomomis taisyklėmis.
Kokiais atvejais yra taikomos įmonei privalomos taisyklės?
Nors gana paradoksalu, tačiau svarbu atkreipti dėmesį, kad įmonei privalomos taisyklės iš tikrųjų nėra privalomos. Perduodant duomenis į trečiąsias šalis galima vadovautis ir kitais BDAR 44-50 straipsniuose nustatytais būdais, skirtais užtikrinti asmens duomenų perdavimo teisėtumą į trečiąsias šalis. Žinoma, įmonei privalomų taisyklių patvirtinimas yra rekomenduojamas, kadangi jis palengvintų asmens duomenų perdavimą, jei yra atitinkamos šios sąlygos:
Kokiais atvejais įmonei privalomos taisyklės nėra taikomos?
Dokumentai, kuriuos būtina pateikti, siekiant patvirtinti įmonei privalomas taisykles
Tuo atveju, kai duomenų valdytojas arba duomenų tvarkytojas siekia patvirtinti įmonei privalomas taisykles, vadovaujančiai priežiūros institucijai reikia pateikti šiuos dokumentus:
Apie šių dokumentų pateikimo tvarką galite skaityti mūsų anksčiau rašytoje publikacijoje.
Išvados
Tuo atveju, jeigu įmonių grupės viduje į trečiąsias šalis yra perduodami asmens duomenys, o valstybė, į kurią perduodami asmens duomenys, nėra patvirtinta Europos Komisijos kaip užtikrinanti tinkamo lygio apsaugą, rekomenduojame įmonėje patvirtinti įmonei privalomas taisykles. Apie įmonei privalomų taisyklių patvirtinimo procedūrą bei reikiamus atlikti veiksmus galite susipažinti mūsų rašytoje publikacijoje apie Įmonei privalomų taisyklių patvirtinimo aprašo projektą. Tačiau, jei visgi nuspręsite nesiimti veiksmų patvirtinti įmonei privalomų taisyklių, asmens duomenis į trečiąsias šalis galėsite perduoti, jeigu perdavimas atitikti BDAR 44-50 straipsniuose nustatytus atvejus ir sąlygas.