Institucijos

Duomenų perdavimas į trečiąsias šalis pagal standartines sutarčių sąlygas: kas keisis gruodžio mėnesį?

Nors duomenų perdavimas į trečiąsias šalis yra gana problematiškas, tačiau nemažai Lietuvos įmonių perduoda duomenis į trečiąsias šalis, vadovaudamiesi sudarytomis standartinėmis sutarčių sąlygomis (SS) dėl duomenų perdavimo į trečiąsias šalis.

Naujosios SS buvo patvirtintos 2021 m. birželio 4 d. Europos Komisijos įgyvendinimo sprendimu. Sprendime nurodyta, kad anksčiau sudarytos SS nustos galioti 2022 m. gruodžio 27 d. ir iki to laiko duomenų teikėjai, kurie remiasi SS, privalo sudaryti sutartis pagal naujas SS. Žinoma, duomenų teikėjai privalėjo sudaryti naujas SS ir tuo atveju, jei keitėsi duomenų tvarkymo operacijos, kurios buvo reguliuojamos ankstesnėmis SS.

Anksčiau, kad asmens duomenų perdavimas į trečiąsias šalis būtų teisėtas, pakakdavo pasirašyti ir laikytis SS, tačiau po 2020 m. liepos 16 d. sprendimo Schrems II byloje, situacija pasunkėjo. Europos Sąjungos Teisingumo Teismas Schrems II byloje priimtame sprendime pasakė, kad perduodant asmens duomenis už ES ribų, privaloma patikrinti, ar trečiosios šalies įstatymai daro įtaką atitinkamų apsaugos priemonių, numatytų BDAR 46 str. veiksmingumui, ir asmenys, perduodantys duomenis turi įgyvendinti papildomas priemones, kurios ištaisytų šiuos trūkumus ir užtikrintų atitiktį ES teisės aktams. Naujosios SS atspinti esmines Schrems II sprendimo nuostatas.

Taigi, po Schrems II sprendimo, perduodant asmens duomenis į trečiąsias šalis, be kita ko, reikia atlikti valstybės, į kurią perduodami asmens duomenys teisinės aplinkos vertinimą ir įvertinti tokią duomenų perdavimo riziką, kas dažnai lemia papildomas išlaidas. Į šį procesą įtraukiamas ir duomenų gavėjas, jam paprastai pateikiamas klausimynas, mat būtent duomenų gavėjas geriausiai pažįsta tiek teisinę, tiek faktinę duomenų apsaugos padėtį atitinkamoje valstybėje.

Kokius klausimus pateikti duomenų gavėjui? Duomenų teikėjas turėtų paprašyti gavėjo  apibūdinti gavėjo šalies įstatymus ir praktiką, ypač tuos, pagal kuriuos reikalaujama atskleisti duomenis valdžios institucijoms arba suteikti tokioms institucijoms prieigą. Taip pat svarbu išsiaiškinti ar gavėjas turi įtarimų, kad negalėtų įvykdyti savo prievolių, kurios bus prisiimtos pagal SS, ar turi procedūras dėl duomenų subjektų teisių įgyvendinimo bei kiti reikšmingi klausimai išsiaiškinti rizikas dėl duomenų perdavimo.

Jei nesuskubote atlikti papildomų veiksmų, užtikrinančių BDAR atitiktį perduodant duomenis pagal SS po Schrems II sprendimo, pats laikas tai padaryti iki naujųjų SS pasirašymo. Dar turite keletą mėnesių susirinkti informaciją ir atlikti rizikos vertinimą, kad spėtumėte pasirašyti naujas SS iki 2022 m. gruodžio 27 d.

Parengė Asta Macijauskienė, advokatų kontoros ILAW LEXTAL partnerė, advokatė

Back to top button