Europos duomenų apsaugos valdyba (EDAV) paskelbė informacinį pranešimą dėl 2023 m. liepos 10 d. Europos Komisijos priimto sprendimo, susijusio su asmens duomenų perdavimu iš ES į JAV[1]. Iki šio sprendimo priėmimo ES piliečių asmens duomenis į JAV importuojantis subjektas (duomenų valdytojas ar duomenų tvarkytojas) turėjo užtikrinti tinkamos apsaugos priemones pagal BDAR 46 straipsnį. Po sprendimo priėmimo buvo suteikta galimybė JAV organizacijoms sertifikuotis bei taikyti supaprastintą asmens duomenų perdavimą į JAV, vadovaujantis BDAR 45 straipsniu. Kartu su naujai priimta ES ir JAV duomenų privatumo sistema iškilo ir naujų klausimų – ar supaprastinus duomenų perdavimą bei įgyvendinant ir taikant ne visas BDAR nustatytas duomenų apsaugos taisykles bus užtikrinta visų dalyvių interesų pusiausvyra ir duomenų subjektų informavimas?
Prielaidos naujos sistemos sukūrimui
Prielaidos naujos sistemos sukūrimui
Pastaruoju metu tampa vis aktualiau sukurti tarptautines sistemas, kurios kontroliuoja asmens duomenų perdavimą per sienas. Bendrasis duomenų apsaugos reglamentas (BDAR) nustato duomenų apsaugos standartus, įtvirtindamas fizinių asmenų teises ir reikalaudamas, kad įmonės, kurios tvarko asmens duomenis, griežtai jų laikytųsi.
Dėl Jungtinių Amerikos Valstijų duomenų apsaugos supanašėjimo į ES standartus bei sugebėjimo užtikrinti iš esmės lygiavertį apsaugos lygį, kuris yra užtikrinamas Europos Sąjungoje, buvo sukurta ES ir JAV duomenų privatumo sistema, kurioje pabrėžiama būtinybė pasiūlyti patikimą ir teisėtą duomenų perdavimo per Atlantą sistemą. BDAR 45 straipsnio 2 dalis patikslina, jog priimant sprendimas dėl tinkamumo jis turi būti grindžiamas išsamia trečiosios šalies teisine tvarka, apimančia tiek duomenų importuotojams taikomas taisykles, tiek apribojimus ir apsaugos priemones, susijusias su valdžios institucijų prieiga prie asmens duomenų. Ši naujai priimta sistema taip pat supaprastina duomenų perdavimą – duomenų importuotojui į JAV nebus taikomos papildomos apsaugos priemonės pagal BDAR, jei jis bus sertifikuotas pagal duomenų privatumo sistemą. Paminėtina, kad organizacijos turės kasmet iš naujo patvirtinti atitiktį sistemai ir Europos Komisijos sprendime numatytiems principams. Nepaisant to, kad duomenų perdavimas yra supaprastintas, duomenų subjektas turi savarankiškai domėtis, kas ir kur saugo jo duomenis – pavyzdžiui, didelė dalis organizacijų naudoja Microsoft 365 programinę įrangą ar produktus („Teams“, „Outlook“ ar kita), tačiau nepaisant to, kad Microsoft būstinė yra ir Europos Sąjungoje, remiantis jų pateikta informacija privatumo politikoje, asmens duomenys taip pat gali būti perduoti ir į trečiąsias šalis jų saugojimui.
Organizacijų įsitraukimas į ES ir JAV duomenų privatumo sistemą
Organizacijų įsitraukimas į ES ir JAV duomenų privatumo sistemą
JAV įmonės, norėdamos tapti šios sistemos dalimi, turės sertifikuoti savo dalyvavimą, įsipareigojant laikytis išsamiai nustatytų privatumo įsipareigojimų, kurių paraiškas ir atitiktį numatytiems standartams stebės JAV prekybos departamentas, o įsipareigojimų vykdymą užtikrins JAV federalinė prekybos komisija. Taip pat vykdomajame įsakyme numatyta, jog duomenų subjektams, kurių asmens duomenis perduodami į JAV, galioja privalomos apsaugos priemonės, sustiprinta JAV žvalgybos tarnybų veiklos priežiūra bei nepriklausomo ir nešališko teisių gynimo mechanizmo sukūrimas – vienas iš jų – naujas Duomenų apsaugos priežiūros teismas, kuris tirs ir spręs skundus dėl JAV nacionalinio saugumo institucijų prieigos prie duomenų subjektų duomenų.
Atskaitomybės principo įtvirtinimas ir atsakomybė
Atskaitomybės principo įtvirtinimas ir atsakomybė
Organizacijai savanoriškai pasirinkus sertifikuotis pagal ES ir JAV duomenų privatumo sistemą, reikalaujama, kad ji veiksmingai laikytųsi pagrindinių asmens duomenų duomenų apsaugos principų ir jie būtų įgyvendinami. Įmonės privalo pasiūlyti veiksmingas priemones, užtikrinančias principų laikymąsi ir taip pat turi imtis priemonių užtikrinti, kad jų privatumo politika juos atitiktų. Tai gali būti pasiekta taikant vidinio vertinimo sistemą, kuri apimtų vidaus procedūras (pavyzdžiui: darbuotojų BDAR mokymai, nurodantys kaip įgyvendinti organizacijos privatumo politiką, periodiškas objektyvus tikrinimas), arba atliekant išorines atitikties peržiūras (pavyzdžiui BDAR auditas, atsitiktiniai patikrinimai). Taip pat organizacijos privalo saugoti dokumentus apie savo ES ir JAV teisės aktų įgyvendinimą naujai priimtos sistemos srityje ir juos pateikti, jei to prašo kompetentinga institucija arba jie yra reikalingi nepriklausomai ginčų sprendimo institucijai, nagrinėjant skundą dėl neatitikties. Nesilaikant sistemos reglamentavimo gali būti skirtos įvairaus griežtumo sankcijos priklausomai nuo reikalavimo nesilaikymo pobūdžio. Sankcijos gali apimti organizacijos viešinimą už nustatytus neatitikimus, reikalavimą ištrinti tam tikrus duomenis, sertifikavimo sustabdymas ar pašalinimas iš sistemos, taip pat kompensacija asmenims už patirtus nuostolius.
Duomenų apsaugos pareigūno vaidmuo
Duomenų apsaugos pareigūno vaidmuo
Duomenų apsaugos pareigūnas (DAP) yra tarpininkas tarp organizacijos ir priežiūros institucijų, o jo viena iš pagrindinių pareigų yra užtikrinanti, kad organizacijoje būtų laikomasi asmens duomenų apsaugos įstatymų ir vadovaujamasi organizacijos duomenų apsaugos politika (kaip tai įtvirtinta BDAR 39 straipsnyje). DAP gali padėti įgyvendinti naujus reikalavimus pagal naujai priimtą duomenų privatumo sistemą, prisitaikant prie įmonės konteksto. Be to, DAP yra atsakingas už vidaus duomenų tvarkymo veiklos priežiūrą, teikia rekomendacijas dėl poveikio duomenų apsaugai analizės, BDAR dokumentų ir yra kontaktinis asmuo, į kurį kreipiasi asmenys, turintys klausimų su duomenų tvarkymu susijusiomis temomis. Taip pat į DAP gali būti nukreipiami ir duomenų subjektai, kurie nori daugiau sužinoti apie su jais susijusiais saugomais ir tvarkomais asmens duomenimis. DAP užtikrinta, kad įmonės ar organizacijos taikomos duomenų saugumo užtikrinimo priemonės atitiktų jos duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir riziką, susijusią su pavojais fizinių asmenų teisėms ir laisvėms. Taigi, DAP padeda įmonėms įtraukti duomenų apsaugos principus į kasdienę verslo veiklą, propaguoja geriausią praktiką ir yra darbuotojų informacijos šaltinis. Tokia aktyvi strategija sumažina duomenų apsaugos pažeidimų ir teisinių pasekmių pavojų, taip pat išsaugo asmens teises į privatumą, duomenų apsaugą. ES ir JAV duomenų privatumo sistema siūlo transatlantinio duomenų perdavimo būdą, kuriuo atsižvelgiama ir į organizacijų poreikius, ir į asmenų teises. Ši partnerystė rodo bendrą organizacijų įsipareigojimą laikytis aukščiausių duomenų saugumo ir privatumo standartų net ir tobulėjant technologijoms, todėl DAP yra reikalingas siekiant įgyvendinti sistemos reikalavimus, individualiai juos pritaikant ir atsižvelgiant į organizacijos kontekstą bei užtikrinant tinkamų techninių ir organizacinių priemonių priėmimą, taip užtikrinant saugų, bet supaprastintą asmens duomenų perdavimą, kuris nepažeidžia duomenų subjektų teisių.
Apibendrinimas
Apibendrinimas
Naujoji sistema palengvina laisvą duomenų judėjimą į JAV bendroves, kurios yra prisijungusios prie ES ir JAV duomenų privatumo sistemos. Taip pat padeda užtikrinti, jog būtų apsaugoti ir duomenų subjektų duomenys. Nuo 2023 m. liepos 10 d., ES ir JAV duomenų privatumo sistemos įsigaliojimo pradžios, organizacijoms yra suteikta galimybė įsipareigoti laikytis išsamių privatumo taisyklių. Be to, naujai įsteigtam Duomenų apsaugos priežiūros teismui yra suteiktos teisės nustačius pažeidimus skirti sankcijas. Viena iš jų – nurodymas ištrinti duomenis, taip apsaugant duomenų subjektus bei užtikrinant interesų balansą tarp duomenų importuotojų bei subjektų. Taip pat sankcijos gali apimti kompensaciją asmenims už patirtus nuostolius, pašalinimą iš sertifikuotų įmonių sąrašo bei organizacijos viešinimą dėl neatitikimų. Naujai priimta sistema atskleidžia būtinybę reglamentuoti asmens duomenų apsaugą bei perdavimą. ES ir JAV duomenų privatumo sistemos sukūrimas rodo, jog tarptautinis bendradarbiavimas yra itin svarbus bei naudingas plečiant teisinį reguliavimą. Šiuo požiūriu ne tik sprendžiami sudėtingi duomenų perdavimo klausimai, bet ir stiprinamas skaitmeninio pasitikėjimo pagrindas, nes laikomasi duomenų apsaugos standartų, kurių atitiktį organizacijose užtikrina duomenų apsaugos pareigūnas. Pastebėtina, kad DAP ne tik prižiūri sistemos principų ir sertifikato įpareigotų nuostatų laikymąsi, bet ir padeda įgyvendinti asmens duomenų saugumo priemones, jas pritaikant prie individualių įmonės poreikių. BDAR reikalavimai bus įgyvendinami paprasčiau: duomenų valdytojai, perduodantiems duomenis į JAV, galės taikyti supaprastintą duomenų perdavimą pagal BDAR 45 straipsnį. Tai suponuoja, kad perdavimas bus lengvesnis, nereikės gauti specialaus leidimo duomenų perdavimui ar taikyti papildomų apsaugos priemonių. Įmonės galės naudoti tokias pačias priemones, kurios jau yra naudojamos Europos Sąjungos vidinėse duomenų perdavimo sistemose.
Papildomai rekomenduojama skaityti: Aktuali informacija dėl asmens duomenų perdavimo į Jungtines Amerikos Valstijas – Valstybinė duomenų apsaugos inspekcija (lrv.lt)
[1] Komisijos sprendimas dėl ES ir JAV duomenų privatumo sistemos tinkamumo
