Les transferts de données libérés mais encadrés

Duomenų perdavimas leidžiamas, bet reguliuojamas

Ištrauka iš Bruno DUMAY knygos: GDPR IŠŠIKRAVIMAS – vadovams, strateginiams skyriams ir įmonių bei organizacijų darbuotojams – Gaëlle MONTEILLER pratarmė

Kad ir kaip stebintų tai globalizuotoje ekonomikoje, kur sienų sąvoka atrodo nesuderinama su sandoriais internetu, ES uždraudė perduoti asmens duomenis tolesniam tvarkymui į trečiąją šalį, t. y. esančią už Sąjungos ribų, be priežiūros institucijos leidimo.

BDAR panaikina išankstinio leidimo tvarką. Tačiau duomenų perdavimui būtinos tam tikros sąlygos. Komisija savo sprendimu turi būti nustačiusi, kad ne ES gavėjas (šalis, teritorija ar šalies sektorius, tarptautinė organizacija) „užtikrina tinkamą apsaugos lygį“ (45-1 straipsnis). 

Antrasise 45 straipsnio pirmojoje pastraipoje išvardyti kriterijai, atitinkantys šį tinkamą apsaugos lygį, įskaitant teisinės valstybės principą, pagarbą žmogaus teisėms ir pagrindinėms laisvėms, teisės aktus, veiksmingą nepriklausomos priežiūros institucijos egzistavimą, tarptautinius įsipareigojimus ir kt. Jei išnagrinėjus šiuos kriterijus daroma išvada, kad priemonė atitinka Europos taisykles, Komisija priima „įgyvendinimo aktą“, kuris periodiškai peržiūrimas bent kas ketverius metus (45-3 straipsnis). Taip pat patikslinama, kad Komisija nuolat stebi įvykius trečiosiose šalyse (45-4 straipsnis).

Tačiau perdavimas yra galimas, visada be išankstinio leidimo, į paskirties vietą, kuriai netaikomas įgyvendinimo aktas. Iš tiesų, 46 straipsnyje numatyta, kad duomenų valdytojas arba tvarkytojas gali perduoti duomenis, „jei pateikė tinkamas garantijas ir su sąlyga, kad duomenų subjektai turi vykdytinas teises ir veiksmingas teisių gynimo priemones“ (46-1 straipsnis).

Šios tinkamos garantijos gali būti suteikiamos įvairiais būdais, kai kuriuos iš jų jau minėjome:

  •  Teisiškai įpareigojantis ir vykdytinas dokumentas tarp valdžios institucijų ar įstaigų;
  •  Privalomos įmonių taisyklės (įmonių grupėms šių taisyklių sąlygos, kurias turi patvirtinti priežiūros institucija, nurodytos 47 straipsnyje);
  • Komisijos tiesiogiai arba per priežiūros instituciją patvirtintos standartinės sąlygos;
  •  Elgesio kodeksas arba sertifikavimo mechanizmas „kartu su privalomu ir vykdytinu duomenų valdytojo arba tvarkytojo trečiojoje šalyje įsipareigojimu taikyti tinkamas apsaugos priemones“ (46-2 straipsnis).

Tinkamos perdavimo apsaugos priemonės, šį kartą gavus priežiūros institucijos leidimą, gali būti užtikrintos dviem kitais būdais:

– Duomenų valdytojo arba subrangovo sutartis su jų partneriais trečiojoje šalyje;

– „Nuostatos, kurios turi būti įtrauktos į administracinius susitarimus tarp valdžios institucijų ar viešųjų įstaigų“ (46-3 straipsnis).

Todėl bet koks perdavimas draudžiamas ne pagal įgyvendinimo aktą, užtikrinantį tinkamą apsaugos lygį arba konkrečias garantijas. Tačiau numatytos išimtys konkrečioms 49 straipsnyje išvardytoms situacijoms. Perdavimas visų pirma galimas:

– Kai atitinkamas asmuo davė aiškų sutikimą, prieš tai informuotas apie susijusią riziką; 

– Vykdant sutartį tarp duomenų subjekto ir duomenų valdytojo (arba jo interesais su kitu fiziniu ar juridiniu asmeniu);

– Kai perdavimas yra susijęs su viešuoju interesu, teisinių teisių įgyvendinimu arba būtinas siekiant apsaugoti gyvybinius duomenų subjekto interesus.

Šios daugybės nuostatų dėl duomenų perdavimo galimybių matyti, kad BDAR iniciatoriai nori užtikrinti asmens duomenų apsaugą netrukdydami įmonių ir administracijų veiklai. Panaikinę išankstinio leidimo reikalavimą daugeliu atvejų, jie remiasi subjektų atsakomybe, kurių darbą turi būti įmanoma patikrinti pagal garsųjį atskaitomybės principą.

Atraskite Viqtor®
lt_LTLT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV sk_SKSK sl_SISL lt_LTLT