Europos duomenų apsaugos valdyba (EDPB) paskelbė ilgai lauktas rekomendacijas dėl priemonių, papildančių duomenų perdavimo būdus ir priemones, užtikrinančias ES asmens duomenų apsaugos lygio laikymąsi, taip pat rekomendacijas dėl Europos pagrindinių garantijų laikymosi naudojant stebėjimo priemones. Abu dokumentai buvo priimti po Europos Sąjungos Teisingumo Teismo (ESTT) sprendimo dėl „Privatumo skydo“ panaikinimo, dar kitaip vadinamojo „Schrems II“.
ESTT pažymėjo, kad apsaugos lygis trečiosiose šalyse nebūtinai turi būti identiškas tam, koks yra garantuojamas Europos ekonominėje erdvėje (EEE), bet iš esmės lygiavertis, todėl rekomendacijomis siekiama padėti duomenų valdytojams ir duomenų tvarkytojams, veikiantiems kaip duomenų perdavėjams įvykdyti jų pareigą nustatyti ir įgyvendinti tinkamas papildomas priemones, jei jos reikalingos užtikrinant iš esmės lygiavertį duomenų, kurie yra perduodami trečiosioms šalims, apsaugos lygį.
Keturios būtinos Europos pagrindinės garantijos naudojant stebėjimo priemones
Stebėjimo priemonių naudojimo rekomendacijose nurodomos šios pagrindinės Europos garantijos:
- tvarkymas turėtų būti pagrįstas aiškiomis, tiksliomis ir prieinamomis taisyklėmis;
- reikia įrodyti proporcingumo būtinumą siekiant teisėtų tikslų;
- turėtų egzistuoti nepriklausomas priežiūros mechanizmas;
- veiksmingos pažeistų teisių gynybos priemonės turi būti prieinamos asmeniui.
Keturios pagrindinės Europos garantijos turi būti vertinamos kaip pagrindiniai elementai vertinant pagrindinių teisių į privatumą ir duomenų apsaugą lygį. Šios garantijos neturėtų būti vertinamos savarankiškai, nes yra glaudžiai tarpusavyje susijusios, ir jomis turi būti remiamasi apskritai peržiūrint atitinkamus teisės aktus, susijusius su stebėjimo priemonių naudojimu , minimaliu duomenų subjektų teisių apsaugos lygiu ir teisių gynimo priemonėmis, numatytomis pagal trečiosios šalies nacionalinę teisę. Šios stebėjimo priemonių naudojimo rekomendacijos vaidina labai svarbų vaidmenį vertinant elementus, į kuriuos reikia atsižvelgti analizuojant ir vertinant užsienio įstatymus 3 žingsnyje apibrėžtose Papildomų perdavimo priemonių rekomendacijose.
Atskaitomybės principo taikymo žingsniai perduodant duomenis
Papildomų perdavimo priemonių rekomendacijose, be kita ko, atsižvelgiama ir atskaitomybės principą, kurio privalu laikytis perduodant asmens duomenis į trečiąsias šalis. Tai turėtų būti įgyvendinama pagal šiuos 6 žingsnius:
1 žingsnis. Žinokite (inventorizuokite) savo asmens duomenų perdavimus;
2 žingsnis. Nustatykite asmens duomenų perdavimo mechanizmą, kuriuo remiatės, t. y. ar duomenų perdavimas vyks remiantis sprendimu dėl tinkamumo (GDPR 45 str.) ar leidžiančios nukrypti nuostatomis (GDPR 49 str.) arba tinkamomis apsaugos priemonėmis, tokiomis kaip standartinės sutarčių sąlygos; įmonei privalomos taisyklės ir kt. (GDPR 46 str.);
3 žingsnis. Įvertinkite, ar pasirinktas asmens duomenų perdavimo mechanizmas yra veiksmingas trečiojoje šalyje į kurią perduosite asmens duomenis. Jei yra apsaugos lygio spragų, pereikite prie 4 žingsnio;
4 žingsnis. Įdiekite papildomas priemones, kad pašalintumėte apsaugos lygio spragas. Jei papildomos priemonės negali užpildyti spragų, nepradėkite asmens duomenų perdavimo ar sustabdykite / nutraukite vykdomus duomenų perdavimus;
5 žingsnis. Nustačius veiksmingas papildomas priemones, atlikite procedūrinius veiksmus, susijusius su konkrečiu perdavimo mechanizmu;
6 žingsnis. Stebėkite ir pakartotinai atlikite vertinimą tinkamais intervalais.
Papildomų priemonių pavyzdžiai
Papildomų perdavimo priemonių rekomendacijų 2 priede pateikiamas nebaigtinis papildomų priemonių pavyzdžių sąrašas, įskaitant:
- technines priemones;
- papildomas sutartines priemones;
- organizacines priemones.
Papildomų perdavimo priemonių rekomendacijose pateikiamas planas, kas gali būti daroma, galimas informacijos šaltinis ir keletas papildomų priemonių, kurios galėtų būti įgyvendintos, pavyzdžių. Duomenų perdavėjai turi kruopščiai dokumentuoti savo procesą, nes jie bus atsakingi už sprendimus, kuriuos jie priima remdamiesi GDPR atskaitomybės principu. Be to, duomenų perdavėjai turėtų žinoti, kad ne visais atvejais gali būti įmanoma įgyvendinti pakankamai papildomų priemonių. Papildomų perdavimo priemonių rekomendacijos yra pateiktos viešosioms konsultacijoms, jos taikomos po jų paskelbimo.
Visą Papildomų perdavimo priemonių rekomendacijų tekstą anglų k. galite rasti čia, o rekomendacijas dėl Europos Pagrindinių Garantijų laikymosi naudojant stebėjimo priemones čia.
Parengė advokatė Loreta Andziulytė ir advokato padėjėja Milda Šlekytė