Dėl informacijos ir asmens duomenų perdavimo ar gavimo iš Jungtinės Karalystės
Asmens duomenų perdavimo į Jungtinę Didžiosios Britanijos ir Šiaurės Airijos Karalystę (JK) ir tokių duomenų gavimo iš JK klausimas, po Europos Sąjungos (ES) bei Europos atominės energijos bendrijos ir Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės prekybos ir bendradarbiavimo susitarimo yra ypač aktualus toms įmonėms, įstaigoms, organizacijoms ir kitiems asmenims, kurie perduoda asmens duomenis į JK. Valstybinė duomenų apsaugos inspekcija (VDAI) pateikia aktualią informaciją Lietuvos įmonėms, įstaigoms, organizacijoms ir kitiems asmenims, kurių veikla susijusi su asmens duomenų perdavimu į JK, JK pasitraukus iš ES. Lietuvos įmonės, įstaigos, organizacijos ir kiti asmenys, siekdami ir toliau perduoti asmens duomenis, turi būti pasiruošę asmens duomenų perdavimo mechanizmus, užtikrinančius asmens duomenų perdavimo į JK teisėtumą.
Asmens duomenų perdavimas iš Lietuvos į JK nuo 2021 m. sausio 1 d.
2021 m. sausio 1 d. įsigaliojo Europos Sąjungos bei Europos atominės energijos bendrijos ir Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės prekybos ir bendradarbiavimo susitarimas (Susitarimas). Vadovaujantis Susitarimo nuostatomis, asmens duomenų perdavimas į JK nėra laikomas perdavimu į „trečiąją valstybę“ iki tol, kol Europos Komisija priims sprendimą dėl tinkamumo (Sprendimas dėl tinkamumo) JK atžvilgiu, kuomet asmens duomenų iš EEE į tokią „trečiąją valstybę“ judėjimas gali vykti be papildomų apsaugos priemonių tame Sprendime dėl tinkamumo nurodyta apimtimi, arba kol pasibaigs keturių mėnesių terminas (su galimybe pratęsti dar dviems mėnesiams) nuo Susitarimo įsigaliojimo dienos.
Tuo atveju, jeigu nebus priimtas Sprendimas dėl tinkamumo bei pasibaigs keturių mėnesių terminas (su galimybe pratęsti dar dviems mėnesiams), asmens duomenų perdavimas į JK bus vertinamas kaip perdavimas į „trečiąją valstybę“. Asmens duomenys ir toliau galės būti perduodami į JK, bet turės būti laikomasi specialiųjų ES taisyklių, susijusių su asmens duomenų perdavimu „trečiosioms valstybėms“, kaip tai nustatyta 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (BDAR) V skyriuje ar Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymo (Teisėsaugos ADTAĮ) VII skyriuje. Pavyzdžiui, jei šiuo metu Lietuvos įmonės darbuotojų darbo užmokestį apskaičiuoja (išmoka) JK įsteigtas duomenų tvarkytojas, tokia įmonė privalės užtikrinti tinkamą į JK perduodamų asmens duomenų teisinę apsaugą.
Ta pati taisyklė galioja ir tuo atveju, jei Lietuvos įmonė ar valstybinė institucija naudojasi debesų infrastruktūra, kurią teikia JK įsteigtas paslaugų teikėjas. Rekomenduojami įmonių, įstaigų, organizacijų ir kitų asmenų, perduodančių asmens duomenis į JK, veiksmai:
• neatsižvelgiant į tai, ar bus priimtas Sprendimas dėl tinkamumo JK atžvilgiu, ar ne, iš anksto imtis būtinų veiksmų, kad asmens duomenų perdavimas į JK visais atvejais atitiktų ES duomenų apsaugos teisę;
• nustatyti, kokie asmens duomenys yra perduodami į JK;
• įvertinti, priklausomai nuo asmens duomenų tvarkymo tikslo, BDAR ar Teisėsaugos ADTAĮ įtvirtintus duomenų perdavimo į trečiąsias valstybes būdus ir nuspręsti, kuris iš jų labiausiai atitinka konkrečią situaciją, bei imtis pasirinkto būdo įgyvendinimo, pavyzdžiui, duomenis perduoti naudojantis Europos Komisijos patvirtintomis standartinėmis duomenų apsaugos sąlygomis, įmonėms privalomomis taisyklėmis ar kt.
Konsultacijų dėl asmens duomenų teikimo į trečiąsias valstybes galite kreiptis į Valstybinę duomenų apsaugos inspekciją.
Papildoma informacija:
Teisiniai asmens duomenų perdavimo į trečiąsias valstybes būdai Europos Komisijos interneto svetainėje
Europos duomenų apsaugos valdybos metodinė informacija
JK asmens duomenų apsaugos priežiūros institucija (Informacijos komisionierių biuras (ICO)), taip pat yra paskelbusi gaires anglų kalba apie asmens duomenų perdavimą JK atžvilgiu
Valstybinės duomenų apsaugos inspekcijos informacija