Personas datu nosūtīšana uz valstīm ārpus Eiropas Ekonomikas zonas (EEZ) bieži vien ir būtiska starptautiskai tirdzniecībai vai sadarbībai. Jūsu MVU darbības ietvaros var būt nepieciešams nosūtīt personas datus uz valsti ārpus EEZ, piemēram, ja jums ir nepieciešams dalīties ar personas datiem ar uzņēmējdarbības partneriem vai piegādātājiem, kas atrodas ārpus EEZ.
VDAR ir ietverti īpaši noteikumi šādai nosūtīšanai. VDAR mērķis ir ar šo noteikumu palīdzību nodrošināt tādu pašu aizsardzības līmeni personas datu nosūtīšanai ārpus EEZ, kāds ir datu nosūtīšanai EEZ.
Kas ir personas datu nosūtīšana ārpus EEZ?
“Nosūtīšana” datu regulā nav konkrēti definēta. Tomēr EDAK ir noteikusi šādus trīs kumulatīvos kritērijus, lai identificētu, kas ir nosūtīšana ārpus EEZ:
- uz pārzini vai apstrādātāju attiecas VDAR attiecībā uz konkrēto apstrādes darbību;
- pārzinis vai apstrādātājs izpauž personas datus citai organizācijai (pārzinim vai apstrādātājam), nosūtot vai kā citādi;
- šī cita organizācija atrodas valstī ārpus EEZ vai ir starptautiska organizācija.
Kā pārsūtīt personas datus ārpus EEZ?
Īsumā- VDAR ir noteikti ierobežojumi personas datu nosūtīšanai ārpus EEZ, uz valstīm, kas nav EEZ dalībvalstis, vai starptautiskām organizācijām, lai nodrošinātu, ka VDAR noteiktais aizsardzības līmenis, ko personām nodrošina VDAR, paliek nemainīgs.
Personas datus var pārsūtīt ārpus EEZ tikai saskaņā ar VDAR V nodaļā minētajiem nosacījumiem.
Nosacījumi par personas datu nosūtīšanu ir jāievēro papildu citām VDAR prasībām. Piemēram, šie nosacījumi ir papildu prasība apstrādes pamatprincipiem, kas jāievēro arī starptautiskās pārsūtīšanas kontekstā. Pārsūtot personas datus, jums ir arī jānodrošina:
- atbilstošs apstrādes tiesiskais pamats;
- ka tiek īstenoti nepieciešamie drošības pasākumi;
- ka jūs apstrādājat tikai tos personas datus, kas ir nepieciešami šai konkrētajai apstrādes darbībai (datu minimizēšanas princips) u. c.
Ja personas datu saņēmējs darbojas kā apstrādātājs, jums joprojām ir juridisks pienākums noslēgt līgumu. Tāpat kā tas būtu jādara apstrādātājam EEZ teritorijā.
Saskaņā ar VDAR ir divi veidi, kā pārsūtīt personas datus uz valsti, kas nav EEZ valsts, vai starptautisku organizāciju. Nosūtīšanu var veikt, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību, vai, ja šāda lēmuma nav, pamatojoties uz atbilstošām garantijām, tostarp īstenojamām tiesībām un tiesiskās aizsardzības līdzekļiem fiziskām personām. Ja nav nedz lēmuma par aizsardzības līmeņa pietiekamību, nedz atbilstošu garantiju, VDAR atsevišķās situācijās pieļauj dažus izņēmumus.
Jūs atradīsiet vairāk informācijas par dažādām iespējām zemāk.
Datu nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību
Eiropas Komisijai ir iespēja pieņemt lēmumus par aizsardzības līmeņa pietiekamību, lai oficiāli un ar saistošu spēku EEZ valstīm apstiprinātu, ka datu aizsardzības līmenis valstī ārpus EEZ vai starptautiskā organizācijā būtībā ir līdzvērtīgs aizsardzības līmenim EEZ.
Kad Eiropas Komisija vērtē, vai aizsardzības līmenis ir pietiekams, uzsvars tiek likts uz tādiem faktoriem kā tiesiskums, cilvēktiesību un pamatbrīvību ievērošana, kā arī uz to, vai datu subjektu tiesības ir efektīvas un īstenojamas, vai attiecīgajā valstī ir neatkarīga un efektīva datu uzraudzības iestāde, un ņemot vērā starptautiskās saistības, ko attiecīgā valsts vai starptautiskā organizācija ir uzņēmusies.
Ja Eiropas Komisija nolemj, ka valstī ir pietiekams aizsardzības līmenis, un tiek pieņemts lēmums par aizsardzības līmeņa pietiekamību, personas datus var nosūtīt datu saņēmējam attiecīgajā valstī ārpus EEZ bez papildu aizsardzības pasākumiem un bez papildu nosacījumiem, kas saistīti ar nosūtīšanu. Citiem vārdiem sakot, nosūtīšana uz valsti ar atbilstošu aizsardzības līmeni būs līdzvērtīga personas datu nosūtīšanai EEZ. Tomēr, kā skaidrots iepriekš, uz organizāciju joprojām attieksies pārējie datu apstrādes pamatprincipi saskaņā ar VDAR.
Lēmumi par aizsardzības līmeņa pietiekamību var attiekties uz valsti kopumā vai tikai uz tās daļu (piemēram, reģionu). Tāpat lēmumi par aizsardzības līmeņa pietiekamību var attiekties uz visu datu pārsūtīšanu vai tikai uz konkrētiem pārsūtīšanas veidiem (piemēram, vienā nozarē).
Līdz šim Eiropas Komisija ir pieņēmusi lēmumus par aizsardzības līmeņa pietiekamību attiecībā uz:
- Andoru;
- Argentīnu;
- Kanādu (komercorganizācijām);
- Farēru salām;
- Gērnsiju;
- Izraēlu;
- Menas salu;
- Japānu;
- Džērsiju;
- Jaunzēlandi;
- Korejas Republiku;
- Šveici;
- Apvienoto Karalisti;
- Amerikas Savienotajām Valstīm (komerciālās organizācijas, kas piedalās ES un ASV datu privātuma sistēmā),
- un Urugvaju.
Eiropas Komisija savā tīmekļa vietnē publicē sarakstu ar lēmumiem par aizsardzības līmeņa pietiekamību.
Datu nosūtītāji ir atbildīgi par to, lai uzraudzītu, vai lēmumi par aizsardzības līmeņa pietiekamību, kas attiecas uz viņu datu nosūtīšanu, joprojām ir spēkā un nav atcelti vai anulēti.
Lūdzu, ņemiet vērā, ka lēmumi par aizsardzības līmeņa pietiekamību neliedz privātpersonām iesniegt sūdzību. Tie arī neliedz datu aizsardzības iestādēm (DAI) īstenot savas pilnvaras saskaņā ar VDAR.
Datu nosūtīšana, pamatojoties uz atbilstošiem aizsardzības pasākumiem
Ja nav lēmuma par aizsardzības līmeņa pietiekamību, organizācijas var nosūtīt personas datus arī tad, ja var nodrošināt atbilstošus aizsardzības pasākumus attiecībā uz organizāciju, kas saņem personas datus. Turklāt personām ir jāspēj īstenot savas tiesības, un ir jābūt pieejamiem efektīviem tiesiskās aizsardzības līdzekļiem.
VDAR 46. pantā ir uzskaitīti vairāki datu nosūtīšanas rīki, kas ietver "atbilstošus aizsardzības pasākumus", kurus varat izmantot, lai nosūtītu personas datus uz valstīm ārpus EEZ, ja nav pieņemti lēmumi par piemērotību. Galvenie VDAR 46. panta pārsūtīšanas rīku veidi, kas attiecas uz privātām organizācijām, ir šādi:
- Datu aizsardzības standartklauzulas (SCC);
- Saistoši uzņēmuma noteikumi (BCR);
- Rīcības kodeksi;
- Sertifikācijas mehānismi;
- “Ad hoc” līguma noteikumi.
Līguma standartklauzulas (SCC)
Līguma standartklauzulas (SCC) ir standartizētu līgumu kopums, kas datu nosūtītājiem ļauj nodrošināt atbilstošus aizsardzības pasākumus. Tas ir rīks, ko parasti izmanto daudzas organizācijas. Eiropas Komisija ir pilnvarota pieņemt SCC kā atbilstošu garantiju personas datu nosūtīšanai uz valstīm, kas nav EEZ, saskaņā ar VDAR 46. panta 2. punkta c) apakšpunktu.
2021. gada 4. jūnijā Eiropas Komisija pieņēma īstenošanas lēmumu par SCC personas datu nosūtīšanai uz valstīm, kas nav EEZ, saskaņā ar VDAR. Eiropas Komisija savā tīmekļa vietnē piedāvā arī līguma standartklauzulu kopumu. Uzziniet vairāk par līguma standartklauzulām.
SCC pievēršas dažādiem pārsūtīšanas scenārijiem un mūsdienu apstrādes ķēžu sarežģītībai. Pārziņi un apstrādātāji var izmantot vairākas iespējas atkarībā no konkrētajiem pārsūtīšanas apstākļiem, tostarp:
- pārzinis-pārzinis (C2C);
- pārzinis-apstrādātājs (C2P);
- apstrādātājs-apstrādātājs (P2P);
- apstrādātājs-pārzinis (P2C), apstrādātājs atrodas ES, savukārt pārzinis- trešajā valstī.
Citi nozīmīgi SCC aspekti ir šādi:
- iespēja vairāk nekā divām pusēm ievērot klauzulas;
- iespēja ar dažiem izņēmumiem izmantot SCC, nosūtot personas datus apakšapstrādātājam valstī, kas nav EEZ;
- iespēja privātpersonām ar dažiem izņēmumiem atsaukties uz klauzulām kā trešajām personām, kas ir labuma guvēji;
- noteikumi par pušu atbildību gadījumā, ja tiek pārkāptas personas tiesības;
- fiziskās personas tiesības uz kompensāciju par nodarītajiem zaudējumiem, ja ir pārkāptas tās kā trešās personas labuma guvēja tiesības;
- prasība veikt "datu nodošanas ietekmes novērtējumu", kurā dokumentēti īpašie datu nodošanas apstākļi, galamērķa valsts tiesību akti un papildu drošības pasākumi personas datu aizsardzībai;
- pienākumi gadījumos, kad valsts iestādēm ir piekļuve pārsūtītajiem datiem, piemēram, pienākums sniegt informāciju datu sūtītājiem un apstrīdēt nelikumīgus pieprasījumus.
Saistoši uzņēmuma noteikumi (BCR)
Saistoši uzņēmuma noteikumi (BCR) palīdz nodrošināt pietiekamu aizsardzības līmeni datiem, ar kuriem apmainās uzņēmumu grupā, kas atrodas gan EEZ, gan ārpus tās, un tie ir vairāk piemēroti starptautiskai uzņēmumu grupai, kas veic apjomīgu datu pārsūtīšanu.
BCR ir uzņēmumu grupas pieņemtie iekšējie noteikumi, kuros izklāstīta to vispārējā politika attiecībā uz personas datu nosūtīšanu. Šiem noteikumiem jābūt saistošiem un jāievēro visām grupas struktūrām neatkarīgi no to uzņēmējvalsts. Turklāt tiem ir skaidri jāpiešķir fiziskām personām īstenojamas tiesības saistībā ar viņu personas datu apstrādi.
Nosacījumi, kas jāievēro, lai saņemtu kompetentās DAI apstiprinājumu par BCR, ir uzskaitīti VDAR 47. pantā un sīkāk izskaidroti 29. darba grupas pieņemtajos un EDAK apstiprinātajos ieteikumos. Pārziņiem un apstrādātājiem ir paredzēti dažādi saistošie uzņēmuma noteikumi.
Rīcības kodeksi
Ar VDAR tiek ieviests šis jaunais rīks datu nosūtīšanai. Pretēji BCR, ko var tieši sagatavot atsevišķas uzņēmumu grupas, rīcības kodeksi ir nozaru, un tos izstrādā apvienības, kas pārstāv organizāciju kategorijas. Ir jāievieš akreditētu struktūru sistēma, kas uzrauga atbilstību rīcības kodeksam. EDAK ir uzņēmusies iniciatīvu precizēt nosacījumus, saskaņā ar kuriem kompetentās iestādes var izmantot un apstiprināt rīcības kodeksus. Turklāt EDAK ir atbildīga arī par to nosacījumu konsekvences nodrošināšanu, saskaņā ar kuriem var akreditēt pārraudzības struktūras.
Sertifikācija
Ar VDAR tiek ieviests šis jaunais rīks datu nosūtīšanai organizācijām, kuras sertificējušas sertifikācijas struktūras vai EEZ datu aizsardzības iestādes.
EDAK ir izstrādājusi vadlīnijas, lai precizētu nosacījumus, saskaņā ar kuriem var ieviest sertifikācijas mehānismu. Šis rīks joprojām tiek izstrādāts.
EDAK atbild arī par sertifikācijas struktūru akreditācijas nosacījumu konsekvences nodrošināšanu.
Ad hoc līguma klauzulas
Ja pārziņi vai apstrādātāji nolemj neizmantot Eiropas Komisijas līguma standartklauzulas, tie var izstrādāt savas līguma klauzulas (“ad hoc” klauzulas), kas nodrošina pietiekamus datu aizsardzības pasākumus. Pirms datu nosūtīšanas šādas ad hoc līguma klauzulas ir jāapstiprina kompetentajai valsts DAI saskaņā ar VDAR 46. panta 3. punkta a) apakšpunktu pēc EDAK atzinuma saņemšanas.
Lasīt vairāk
Papildu pasākumi pēc sprieduma lietā Schrems II
Eiropas Savienības Tiesa (EST) 2020. gada spriedumā C-311/18 (Schrems II ) uzsvēra iespējamo nepieciešamību pēc papildu pasākumiem, lai nodrošinātu nepieciešamo aizsardzības līmeni, nosūtot personas datus ārpus EEZ.
SCC un citi datu nosūtīšanas rīki saskaņā ar VDAR 46. pantu nedarbojas vakuumā. EST nolēma, ka pārzinis vai apstrādātājs, kas ir datu nosūtītājs, ir atbildīgs par to, lai pārbaudītu, vai trešās valsts tiesību akti vai prakse var ietekmēt 46. pantā noteikto nosūtīšanai nepieciešamo aizsardzības pasākumu efektivitāti.
Lai palīdzētu nosūtītājiem veikt sarežģīto uzdevumu novērtēt valstis, kas saņem datus, un vajadzības gadījumā noteikt piemērotus papildu pasākumus, EDAK ir izstrādājusi ieteikumus.
Atkāpes īpašās situācijās
Papildu lēmumiem par aizsardzības līmeņa pietiekamību un VDAR 46. panta rīkiem VDAR ir arī trešā iespēja, kas ļauj nosūtīt personas datus noteiktās situācijās. Ievērojot īpašus nosacījumus, jūs joprojām varat pārsūtīt personas datus, pamatojoties uz VDAR 49. pantā minēto atkāpi.
VDAR 49. pantam ir ierobežojošs raksturs. Atkāpes ir jāinterpretē tā, lai neapdraudētu vispārējo noteikumu, ka personas datus nevar nosūtīt uz valstīm ārpus EEZ, ja vien nav pieņemts lēmums par aizsardzības līmeņa pietiekamību vai nav nepieciešamo aizsardzības pasākumu. Atkāpes nedrīkst kļūt par ierastu praksi, tās var izmantot tikai īpašās situācijās.
Pamatojoties uz VDAR 49. pantu, pārsūtīšanu var veikt, ja tā ir:
- sagatavota ar personas nepārprotamu piekrišanu;
- vajadzīga, lai izpildītu līgumu starp privātpersonu un organizāciju vai lai veiktu pirmslīguma pasākumus, kas veikti pēc personas pieprasījuma;
- nepieciešama, lai izpildītu personas interesēs noslēgtu līgumu starp pārzini un citu personu;
- vajadzīga svarīgu sabiedrības interešu dēļ;
- vajadzīga, lai celtu, īstenotu vai aizstāvētu likumīgas prasības;
- vajadzīga, lai aizsargātu attiecīgās personas vai citu personu vitālās intereses, ja persona ir fiziski vai juridiski nespējīga dot piekrišanu;
- no reģistra, kas saskaņā ar EEZ valstu tiesību aktiem vai ES tiesību aktiem ir paredzēts, lai informācija būtu pieejama sabiedrībai (un ar to var iepazīties vai nu sabiedrība kopumā, vai personas, kuras var pierādīt likumīgu interesi iepazīties ar reģistru).
Lai novērtētu nosūtīšanas nepieciešamību, ir jāpiemēro noteikta “nepieciešamības pārbaude”. Lai veiktu šo pārbaudi, ir jāizvērtē, vai personas datu nosūtīšanu var uzskatīt par nepieciešamu attiecīgās atkāpes konkrētajam mērķim.
Ja neviena no iepriekš minētajām atkāpēm nav piemērojama konkrētā situācijā, ir iespējams pārsūtīt datus pārziņa leģitīmo interešu īstenošanai.
Tomēr šāda pārsūtīšana ir atļauta tikai tad, ja:
- neatkārtojas (līdzīgas pārsūtīšanas netiek veiktas regulāri);
- ietver datus, kas attiecas tikai uz ierobežotu personu skaitu;
- ir nepieciešama organizācijas leģitīmo interešu īstenošanai (ar nosacījumu, ka datu subjekta tiesības nav svarīgākas);
- uz to attiecas piemēroti aizsardzības pasākumi, ko pieņēmusi organizācija (ņemot vērā visu ar nosūtīšanu saistīto apstākļu novērtējumu), lai aizsargātu personas datus;
- to nedara valsts iestāde, īstenojot savas pilnvaras.
Šādos gadījumos organizācijām ir pienākums informēt attiecīgo DAI par pārsūtīšanu un sniegt personām papildu informāciju.
Kopumā atkāpes būtu jāizmanto tikai kā galējais līdzeklis datu nosūtīšanas formulēšanai — organizācijām vispirms būtu jānovērtē, vai nav iespējams izmantot lēmumu par aizsardzības līmeņa pietiekamību vai atbilstošu aizsardzības pasākumu.
Paļaujoties uz VDAR 49. panta atkāpēm, jums jāpatur prātā, ka organizācijām, kas nosūta datus, ir jāievēro arī citi VDAR noteikumi (ir tiesisks pamats datu paziņošanai, drošības pasākumu īstenošanai, datu minimizēšanai, līguma parakstīšanai, ja saņēmējs ir apstrādātājs utt.).