2017. 02. 23.

Bendrasis duomenų apsaugos reglamentas: nauji atvejai, kai asmens duomenis bus galima teikti į trečiąsias šalis be išankstinio priežiūros institucijos leidimo

Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (toliau – Reglamentas) V skyrius aprašo būdus perduoti asmens duomenis į trečiąsias šalis. Reikšmingu pokyčiu laikytina tai, kad atsiras daugiau atvejų, kada asmens duomenų perdavimui į trečiąsias šalis nebereikės specialaus priežiūros institucijos leidimo. Šiuo metu be Valstybinės duomenų apsaugos inspekcijos leidimo asmens duomenis į trečiąsias valstybes galima tik atvejais, nustatytais Asmens duomenų teisinės apsaugos įstatymo 35 str. 5 dalyje. Tuo tarpu net ir egzistuojant bet kuriai iš žemiau nurodytų sąlygų, duomenų valdytojas privalo teikti prašymą ir gauti Valstybinės duomenų apsaugos inspekcijos leidimą. Nors faktiškai prašymo išnagrinėjimas ir leidimo suteikimas įprastai atliekamas per trumpesnį laiko tarpą, tačiau terminas, per kurį Valstybinė duomenų inspekcija turėtų išnagrinėti prašymą, siekia net 2 mėnesius. Tokio leidimo nebereikės Reglamento 46 str. 2 dalyje išvardytais atvejais: kada tinkamos apsaugos priemonės nustatomos teisiškai privalomu ir vykdytinu valdžios institucijų arba įstaigų tarpusavio dokumentu, įmonėms privalomomis taisyklėmis, standartinėmis duomenų apsaugos sąlygomis, patvirtintu elgesio kodeksu arba patvirtintu sertifikavimo mechanizmu. Esminiai verslui nauji atvejai, kai leidimas nebebus reikalingas, aprašomi žemiau.

Standartinės duomenų apsaugos sąlygos    

Pirmiausia paminėtinas ir šiuo metu turbūt populiariausiu esantis standartinių duomenų apsaugos sąlygų įtraukimas į susitarimus tarp duomenų valdytojo ir trečiojoje šalyje esančio duomenų gavėjo ar tvarkytojo. Nors pagal Reglamentą išlieka Europos Komisijos patvirtintų standartinių duomenų apsaugos sąlygų naudojimas taikymas (Reglamento 46 str. 2 d. c) punktas), tačiau taip pat nacionalinėms priežiūros institucijoms suteikiama teisė priimti savo standartines sutarčių sąlygas, kurios, patvirtinus Europos Komisijai, turės tokią pačią reikšmę (Reglamento 46 str. 2 d. d) punktas).

Manytina, kad šiuo metu galiojantys asmens duomenų perdavimo į trečiąsias šalis sutarčių tipiniai punktai, patvirtinti Europos Komisijos sprendimais Nr. 2001/497/EB, 2004/915/EB (dėl perdavimo trečiojoje šalyje esančiam duomenų valdytojui) ir 2010/87/ES (dėl perdavimo trečiojoje šalyje esančiam duomenų tvarkytojui) išliks aktualūs ir jais paremtos iki Reglamento įsigaliojimo pasirašytos duomenų perdavimo sutartys turėtų likti tinkamu duomenų perdavimo pagrindu. Nepaisant to, galiojančias duomenų perdavimo į trečiąsias šalis sutartis vis vien būtina peržiūrėti, nes po Reglamento įsigaliojimo perdavimas turės būti vertinamas pagal Reglamente įtvirtintus aukštesnius asmens duomenų perdavimo standartus ir griežtesnius ribojimus. Neabejotina, kad įsigaliojus Reglamentui šie tipiniai punktai bus didesne ar mažesne dalimi pakeisti, pritaikant juos prie pakitusių asmens duomenų teisinės apsaugos reikalavimų ir naujojo reglamentavimo specifikos, arba juos panaikinus bus patvirtintos naujos standartinės sutarčių sąlygos.

Šis perdavimo būdas yra patogus tuo, kad bendrovėms nereikia pačioms formuoti sąlygų, kurios būtų laikomos pakankamomis, pakankamai bendras pobūdis leidžia jas pritaikyti iš esmės bet kokiam teisėtam vienkartinio ar daugkartinio pobūdžio asmens duomenų perdavimui.

Įmonėms privalomos sąlygos

Skirtingai nei šiuo metu galiojantis teisinis rėžimas, Reglamentas tiesiogiai pripažįsta įmonėms privalomas taisykles (angl. binding corporate rules) kaip tinkamą duomenų apsaugos lygį užtikrinančią priemonę. Tiesa, Lietuvos kontekste šis aspektas nėra toks aktualus dėl to, kad skirtingai nei tam tikrose kitose ES valstybėse, šiuo metu ši priemonė jau pripažįstama tinkama. Iki įtvirtinimo Reglamente, šiuo metu įmonėms privalomos taisyklės yra pripažįstamos pagal įprastinę priežiūros institucijų praktiką ir 29 straipsnio darbo grupės gaires. Kaip reikšmingas pasikeitimas pažymėtina ir tai, kad tokios taisyklės galės būti taikomos ne vien įmonių grupės atžvilgiu, bet ir grupės bendrą ekonominę veiklą vykdančių įmonių atžvilgiu, kurios galimai apimtų ne vien susijusias bendroves, bet ir verslo partnerius.

Pažymėtina, kad nors rėmimasis įmonėms privalomomis taisyklėmis kaip pagrindu perduoti duomenis į trečiąsias valstybes ir nereikalauja išankstinio specialaus priežiūros institucijos leidimo, tačiau taisyklės, kuriomis remiamasi, turi būti patvirtintos kompetentingos priežiūros institucijos ir atitikti konkrečius Reglamento 47 str. 1 bei 2 dalyje įtvirtintus reikalavimus: būti teisiškai privalomos, taikomos visiems atitinkamiems įmonių grupės arba bendrą ekonominę veiklą vykdančių įmonių grupės nariams, duomenų subjektams aiškiai suteikiamos vykdytinos teisės, susijusios su duomenų tvarkymu, taisyklėse turi būti nurodoma įmonių grupės arba grupės įmonių struktūra ir kontaktiniai duomenys, aprašomi duomenų perdavimai arba duomenų perdavimų seka bei nurodoma, kad jos yra teisiškai privalomos tiek vidaus, tiek išorės lygiu, laikomasi bendrųjų duomenų apsaugos principų, saugumo priemonių reikalavimų, išvardytos duomenų subjektų teisės su jų naudojimosi priemonėmis, skundų nagrinėjimo procedūros, taisyklių laikymosi priežiūros procedūros ir kita. 

Šis perdavimo būdas patogus tarptautinių įmonių grupių arba grupių bendrą ekonominę veiklą vykdančių įmonių atveju, kai norima taikyti asmens duomenų perdavimo mechanizmą didesniam skaičiui susijusių bendrovių pagal bendrą politiką. Tokios pareigos kaip ataskaitų teikimas priežiūros institucijai ar duomenų valdytojo arba duomenų tvarkytojo, įsisteigusio ES valstybės narės teritorijoje, įsipareigojimas prisiimti visą atsakomybę už Europos Sąjungoje neįsisteigusio nario padarytus pažeidimus, gali atgrasyti dalį bendrovių nuo šio tinkamų asmens duomenų apsaugos priemonių užtikrinimo būdo. Visgi, pagal Reglamentą reikalaujamas įmonėms privalomų taisyklių minimalūs turinio reikalavimai yra mažesni palyginus su daug išsamesniais reikalavimais, šiuo metu įtvirtintais 29 straipsnio darbo grupės gairėse. 29 straipsnio darbo grupė (ją įsigaliojus Reglamentui pakeis Europos duomenų apsaugos valdyba) šiais metais planuoja paskelbti gaires dėl duomenų perdavimo remiantis įmonėms privalomomis taisyklėmis, kuris turėtų išsamiau paaiškinti tam tikrus šio pagrindo praktinio įgyvendinimo aspektus.

Patvirtintas elgesio kodeksas 

Elgesio kodeksų priėmimas yra įtvirtintas ir šiuo metu galiojančioje Europos Parlamento ir Tarybos direktyvoje Nr. 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, tačiau iki šiol jie buvę tiesiog savanoriški ir paremti savireguliacija, įsigaliojus Reglamentui galės būti įpareigojantys bei vykdytini, todėl elgesio kodeksų laikymasis priskirtinas prie naujų Reglamente įtvirtintų tinkamų apsaugos priemonių. Aprašyti Reglamento 40 straipsnyje, elgesio kodeksai turėtų būti dokumentai, kuriais būtų siekiama padėti tinkamai taikyti Reglamentą atsižvelgiant į konkrečius įvairių su duomenų tvarkymu susijusių sektorių ypatumus ir į konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius. Tokius elgesio kodeksus skatinamos priimti asociacijos ir kitos įstaigos, atstovaujančios įvairių kategorijų duomenų valdytojams arba duomenų tvarkytojams.  

Tam, kad elgesio kodeksas būtų tinkamu pagrindu teikti duomenis į trečiąsias valstybes, jis turi būti pateiktas patvirtinti kompetentingai priežiūros institucijai (jei duomenų tvarkymo veikla vykdoma keliose valstybėse, vertinimą institucijos teikimu atlieka ir Europos duomenų apsaugos valdyba bei Europos Komisija), jame turi būti numatyti mechanizmai, kaip turėtų būti atliekama kodekso nuostatų laikymosi stebėsena, o trečiosiose šalyse įsikūrę duomenų tvarkytojai ar valdytojai turi įsipareigoti laikytis tokio elgesio kodekso. Patvirtintų elgesio kodeksų laikymasis gali būti labai efektyvia duomenų teikimo į trečiąsias šalis teisėtumo užtikrinimo priemone, tačiau tik tada, jei tam tikra veikla užsiimančias įmones atstovauja tinkamą elgesio kodeksą galinti paruošti asociacija ar kita įstaiga. Visgi reikia atkreipti dėmesį į tai, kad patvirtintas elgesio kodeksas sukuria pareigas ją priėmusiai įstaigai prižiūrėti jo besilaikančių valdytojų ar tvarkytojų veiklą, nes už reikiamų priemonių nesiėmimą pažeidimo atveju tokioms įstaigoms gali būti skiriamos baudos.

Sertifikavimas       

Sertifikavimas (Reglamento 42 straipsnis) yra visiškai nauja priemonė tinkamam asmens duomenų apsaugos lygiui užtikrinti. Nors konkreti sertifikavimo tvarka dar nėra aiški, tačiau planuojama, kad Lietuvoje nacionaliniu lygiu šią paslaugą teiks bendrovės, kurias akredituos Valstybinė duomenų apsaugos inspekcija. Pati inspekcija bent šiuo metu pati sertifikuoti neplanuoja, nors teisė atlikti šią funkciją yra numatyta Reglamente. Taip pat planuojama nustatyti sertifikavimo mechanizmus, duomenų apsaugos ženklus bei žymenis ir Europos Sąjungos lygiu. 

Sertifikavimui bus keliami savanoriškumo ir skaidraus proceso reikalavimai. Duomenų valdytojai arba duomenų tvarkytojai trečiosiose šalyse sertifikavimo pagrindu gali prisiimti privalomus ir vykdytinus įsipareigojimus taikyti tinkamas apsaugos priemones, be kita ko, susijusias su duomenų subjektų teisėmis, naudodamiesi sutartinėmis arba kitomis teisiškai privalomomis priemonėmis. Sertifikatas bus išduodamas ne ilgesniam kaip 3 metų laikotarpiui, kuriam pasibaigus gali būti pratęsiamas tomis pačiomis sąlygomis, o nesilaikant reikalavimų yra panaikinamas.  

Dėl iki Reglamento įsigaliojimo išduotų leidimų galiojimo

Būtina paminėti ir tai, kaip Reglamente traktuojami iki jo įsigaliojimo suteikti leidimai. Reglamento 46 str. 5 dalis aprašo priežiūros institucijų suteiktų leidimų galiojimą įsigaliojus Reglamentui. Kaip nurodoma, išduoti leidimai liks galioti tol, kol priežiūros institucija prireikus juos iš dalies pakeis, pakeis naujais leidimais arba panaikins. Taigi, leidimus teikti duomenis į trečiąsias šalis jau turinčioms bendrovėms įsigaliojus Reglamentui nereikės jų keisti naujais tol, kol visos reikšmingos su asmens duomenų perdavimu susijusios aplinkybės išliks nepakitusios.       

 

Atsižvelgdamos į reikšmingai išaugsiančią atsakomybę už asmens duomenų tvarkymo pažeidimus, bendrovės turėtų atsakingai įvertinti kiekvieną asmens duomenų perdavimo į trečiąsias šalis atvejį ir pasirinkti priemones, kurios geriausiai atitiktų konkrečias perdavimo aplinkybes. Net ir remiantis aukščiau išdėstytomis tinkamomis apsaugos priemonėmis, būtina imtis atsakingai įvertinti perduodamų duomenų apimtį ir perdavimo tikslą, atidžiai laikytis Reglamente įtvirtintų asmens duomenų tvarkymui ir perdavimui keliamų reikalavimų. Taip pat pažymėtina, kad esminiu yra duomenų valdytojų ar tvarkytojų, esančių trečiosiose šalyse, įsitraukimas į nurodytų apsaugos priemonių įgyvendinimą, nes perdavimas pagal jas bus galimas tik šiems subjektams tinkamai įsipareigojus laikytis atitinkamų reikalavimų ir prisiimti atsakomybę už galimus pažeidimus. Galiausiai, tinkamas visų su duomenų perdavimu susijusių veiksmų įtvirtinimas vidiniuose dokumentuose bus itin reikšmingas kaip leidžiantis esant poreikiui atskleisti ir įrodyti priežiūros institucijai visas su asmens duomenų perdavimu susijusias aplinkybes, tai išvengiant galimos griežtos atsakomybės dėl asmens duomenų saugumo pažeidimų ar bent jau ją sušvelninant.

Teisininkai

_e7q1924_valentinas_1500362139-2376bd065eacecbef85c6710e22e59f2.png
Valentinas Knyva
Vyresnysis teisininkas

+370 5 248 76 70
valentinas.knyva@ilaw.legal