BDAR nustatė griežtas taisykles, kai kalbama apie duomenų perdavimą trečiosioms šalims ar tarptautinėms organizacijoms.
Kas laikoma trečiosiomis šalimis?
Trečiosios šalys yra teritorijos už Europos Sąjungos, Europos Ekonominės Erdvės, Andoros, Argentinos, Kanados (komercinės organizacijos), Farerų salų, Gernsio, Izraelio, Meino salos, Džersio, Naujosios Zelandijos, Šveicarijos, Urugvajaus ir JAV (tik „Privacy Shield“ sistema) ribų. Dėl Japonijos ir Pietų Korėjos kol kas vykdomos derybos.
Kokios sąlygos taikomos perduodant duomenis trečiosioms šalims?
BDAR taiko papildomas sąlygas įmonėms, perduodančias asmens duomenis trečiosioms šalis.
BDAR 46 str. 2 dalis leidžia įmonėms siųsti asmens duomenis trečiosioms šalims, jei įmonės taiko tinkamas apsaugos priemones, pavyzdžiui, privalomas įmonių taisykles, standartines duomenų apsaugos nuostatas, elgesio kodeksą ir patvirtintus sertifikatus. Įmonėms tinkamiausia apsaugos priemonė yra tipinės sutartys, kurias priėmė Europos Komisija. Šios sutartinės sąlygos reguliuoja duomenų perdavimą tarp duomenų valdytojų ir tvarkytojų. Pavyzdžiui, kai bendrovė nori naudoti debesijos paslaugas (angl. cloud), kurios yra įsikūrusios už ES ribų, jos gali pasirašyti duomenų tvarkymo sutartį (DTS), į kurią įtrauktos standartinės sutarties sąlygos.
Duomenų perdavimo trečiosioms šalims būtinybė
49 straipsnio 1 dalyje teigiama, kad jeigu nepriimtas sprendimas dėl tinkamumo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenų perdavimas trečiosioms šalims arba tarptautinei organizacijai atliekamas tik su tam tikra salyga, pvz.:
- a) duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;
- b) duomenų perdavimas yra būtinas sutarčiai (tarp duomenų subjekto ir duomenų valdytojo, tarp duomenų valdytojo ir duomenų tvarkytojo) vykdyti;
- c) duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;
- d) duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;
- e) duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai interesai.
Asmens duomenų perdavimas pagal 49 str. yra leidžiamas tik tuo atveju, kai jis atsitiktinis ir būtinas.
Tai reiškia, kad bendrovė turi įvertinti, kaip dažnai asmens duomenys siunčiami ir ar yra būtina juos siųsti į trečiąsias šalis, ir ar galima to paties rezultato pasiekti ES viduje.
Sutarties vykdymas gali būti naudojamas kaip teisinis pagrindas, pavyzdžiui, kai kelionių agentūros perduoda savo klientų asmens duomenis į viešbučius ar kitus komercinius partnerius, kurie organizuoja tų klientų buvimą užsienyje.
Įmonės privalo dokumentuoti duomenų perdavimą trečiosioms šalims arba tarptautinėms organizacijoms, remdamiesi BDAR 30 str. Duomenų tvarkymo veiklos įrašai