Datu pārsūtīšana ir atļauta, bet regulēta

Fragments no Bruno DUMAY grāmatas: GDPR ATŠĶIRŠANA – uzņēmumu un organizāciju vadītājiem, stratēģiskajiem departamentiem un darbiniekiem – Gaëlle MONTEILLER priekšvārds

Lai arī globalizētajā ekonomikā, kur robežu jēdziens šķiet nesavienojams ar darījumiem internetā, tas varētu šķist pārsteidzoši, ES aizliedza personas datu nosūtīšanu tālākai apstrādei uz trešo valsti, t. i., uz valsti, kas atrodas ārpus Savienības, bez uzraudzības iestādes izdotas atļaujas.

GDPR atceļ iepriekšējas atļaujas režīmu. Tomēr, lai pārsūtīšana notiktu, ir jāievēro noteikti nosacījumi. Komisijai ar lēmumu ir jānosaka, ka saņēmējs, kas nav ES dalībvalsts (valsts, teritorija vai valsts sektors, starptautiska organizācija), "nodrošina pietiekamu aizsardzības līmeni" (45. panta 1. punkts). 

2.^e 45. panta pirmajā daļā ir uzskaitīti kritēriji, kas atbilst šim pienācīgajam aizsardzības līmenim, tostarp tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, likumdošana, neatkarīgas uzraudzības iestādes efektīva pastāvēšana, starptautiskas saistības utt. Ja šo kritēriju pārbaude ļauj secināt, ka pasākums atbilst Eiropas noteikumiem, Komisija pieņem "īstenošanas aktu", kas periodiski jāpārskata vismaz reizi četros gados (45. panta 3. punkts). Tālāk ir norādīts, ka Komisija pastāvīgi uzrauga notikumus trešās valstīs (45. panta 4. punkts).

Tomēr pārsūtīšana ir iespējama, vienmēr bez iepriekšējas atļaujas, uz galamērķi, kas nav bijis īstenošanas akta priekšmets. Patiešām, 46. pantā ir noteikts, ka datu pārzinis vai apstrādātājs var pārsūtīt datus, "ja tas ir sniedzis atbilstošas garantijas un ar nosacījumu, ka datu subjektiem ir īstenojamas tiesības un efektīvi tiesiskās aizsardzības līdzekļi" (46. panta 1. punkts).

Šīs atbilstošās garantijas var nodrošināt dažādos veidos, no kuriem dažus mēs jau esam minējuši:

•  Juridiski saistošs un izpildāms dokuments starp valsts iestādēm vai struktūrām;
•  Saistošie uzņēmuma noteikumi (uzņēmumu grupām šo noteikumu nosacījumi, kas jāapstiprina uzraudzības iestādei, ir noteikti 47. pantā);
• Standarta klauzulas, ko apstiprinājusi Komisija vai nu tieši, vai ar uzraudzības iestādes starpniecību;
•  Rīcības kodekss vai sertifikācijas mehānisms, “kam pievienota trešās valsts pārziņa vai apstrādātāja saistoša un izpildāma apņemšanās piemērot atbilstošus aizsardzības pasākumus” (46. panta 2. punkts).

Atbilstošus drošības pasākumus datu pārsūtīšanai var nodrošināt, šoreiz pēc uzraudzības iestādes atļaujas saņemšanas, ar diviem citiem līdzekļiem:

– Līgums starp datu pārzini vai apakšuzņēmēju un to partneriem trešajā valstī;

– “Noteikumi, kas jāiekļauj administratīvajās vienošanās starp valsts iestādēm vai valsts struktūrām” (46. panta 3. punkts).

Tādēļ jebkāda pārsūtīšana ir aizliegta ārpus īstenošanas akta, kas garantē atbilstošu aizsardzības līmeni vai īpašas garantijas. Tomēr ir paredzēti izņēmumi īpašām situācijām, kas uzskaitītas 49. pantā. Pārsūtīšana ir iespējama:

– Ja attiecīgā persona ir devusi nepārprotamu piekrišanu pēc tam, kad ir informēta par iespējamajiem riskiem; 

– Saistībā ar līguma izpildi starp datu subjektu un pārzini (vai viņa interesēs ar citu fizisku vai juridisku personu);

– Ja pārsūtīšana ir sabiedrības interesēs vai saistīta ar likumīgu tiesību īstenošanu, vai ir nepieciešama, lai aizsargātu datu subjekta vitālās intereses.

Šie daudzie noteikumi par datu pārsūtīšanas iespējām liecina, ka GDPR iniciatori vēlas garantēt personas datu aizsardzību, netraucējot uzņēmumu un pārvaldes iestāžu darbību. Atceļot iepriekšējas atļaujas nepieciešamību lielākajā daļā gadījumu, viņi liek uz dalībnieku atbildību, kuru darbu ir jāspēj pārbaudīt saskaņā ar slaveno atbildības principu.