FOTO: Freepik
Eiropas Savienībā un Eiropas Ekonomikas zonas valstīs ir spēkā Vispārīgā datu aizsardzības regula, kas nodrošina paaugstinātu personas datu aizsardzības līmeni. Ņemot vērā, ka mūsdienu digitālajā pasaulē personas dati var tikt viegli pārsūtīti un glabāti jebkurā pasaules malā, regula cita starpā paredz papildu nosacījumus, kādi jāņem vērā, datus nosūtot uz trešajām valstīm. Jautājums, ko tas nozīmē, īpaši aktuāls kļuvis, pieaugot riskam, ka Apvienotās Karalistes izstāšanās no ES varētu notikt bez vienošanās. Šāda scenārija gadījumā jau 30. martā datu plūsma uz Apvienoto Karalisti tiks uzskatīta par datu pārsūtīšanu uz trešo valsti.
“Pirmkārt, datu aizsardzības tiesībās ar nosūtīšanu saprot tā saukto juridisko nodošanu, kad dati tiek nodoti kādam trešajam pārstāvim attiecīgajā valstī,” skaidro personas datu aizsardzības speciālists un zvērināts advokāts Ivo Krievs.
Piemēram, slēdzot VISA/“Mastercard” karšu līgumus, bankām būs nepieciešams nodot transakciju datus VISA un “Mastercard” sistēmai, kas var tikt bāzēta ārpus ES/EEZ (piemēram, ASV). Tāpat klientu personas dati var tikt nodoti trešajai valstij, ja kāda pakalpojuma nodrošināšanai tiek piesaistīts sadarbības partneris ārpus ES/EEZ. Piemēram, tūrisma aģentūra rezervē saviem klientiem viesnīcu Ēģiptē vai darba devējs kārto darbiniekiem iebraukšanas vīzas valstī ārpus ES/EEZ. Dati var nonākt trešajā valstī arī pavisam ikdienišķās situācijās, piemēram, iepērkoties interneta veikalā. “Tirdzniecības platforma pat var būt reģistrēta ES, taču ir iespējams, ka pārdevēji/tirgotāji ir bāzēti ārpus ES/EEZ. Tādā gadījumā, tiklīdz pircējs šādā platformā reģistrējas un iepērkas, personas dati tiek nodoti tirgotājam trešajā valstī, ārpus ES/EEZ,” norāda I. Krievs.
“Tāpat ar nosūtīšanu ārpus ES/EEZ saprot arī datu faktisku novietošanu vai glabāšanu ārpus ES/EEZ. Tās ir situācijas, kad dati paliek paša pārziņa kontrolē, tomēr fiziski tie atrodas vai ir darīti pieejami citā valstī,” skaidro I. Krievs. “Piemēram, ja pārzinis īrē vai pats ir iegādājies serveri un novietojis to valstī ārpus ES/EEZ, to uzskatīs par datu nodošanu trešajai valstij,” uzsver datu aizsardzības speciālists. Tieši tāpat, ja pārzinis nolīgs ārpakalpojuma sniedzējus, piemēram, programmētājus, IT infrastruktūras uzturētājus, datu analizētājus u. c., kuri fiziski atrodas un strādā valstī ārpus ES/EEZ, šāda piekļuve personas datiem būtu uzskatāma par datu nodošanu trešajai valstij ar no tā izrietošām sekām,” secina I. Krievs.
Gadījumos, kad personu dati tiek nosūtīti ārpus ES/EEZ, Vispārīgā datu aizsardzības regula paredz datu pārziņa pienākumu ieviest papildu drošības pasākumus, lai pārliecinātos, ka ES iedzīvotāju personas datu apstrādē arī trešajās valstīs tiks piemērots līdzvērtīgs fizisko personu datu aizsardzības līmenis – datu apstrāde būs likumīga un samērīga, dati būs drošībā, tiks ievērotas datu subjekta tiesības kontrolēt savus datus u. c. (plašāk LV portāla skaidrojumā Personas jaunās tiesības. Vispārīgā datu aizsardzības regula).
Vispārīgie principi, kā būtu nodrošināms atbilstošs fizisko personu datu aizsardzības līmenis pēc to nosūtīšanas no ES uz trešajām valstīm, izklāstīti Vispārīgās datu aizsardzības regulas V nodaļā.
“Regula paredz vairākus personas datu nosūtīšanas mehānismus attiecībā uz tālāku apstrādi trešajās valstīs, kas ļauj atbildīgajām personām (datu pārziņiem un apstrādātājiem) izvēlēties sev piemērotāko mehānismu,” skaidro Valsts datu inspekcija.1
Pirmais un pats vienkāršākais ceļš – personas datu nosūtīšanu uz trešo valsti var veikt, ja Eiropas Komisija (EK) ir nolēmusi, ka attiecīgā trešā valsts, tās teritorija vai sektori, vai starptautiska organizācija nodrošina pietiekamu aizsardzības līmeni. Tad šādai nosūtīšanai nav nepieciešama nekāda īpaša atļauja (regulas 45. panta 1. punkts) un tā ir pielīdzināma datu nosūtīšanai ES iekšienē.
Tomēr šādu valstu nav daudz. Līdz šim EK ir sniegusi atzinumu par datu aizsardzības mehānismu drošības atbilstību šādās valstīs:
Informācija par Eiropas Komisijas pieņemtajiem lēmumiem ir pieejama EK tīmekļvietnes sadaļā > Tiesību akti > Regulējuma iedalījums pēc temata > Datu aizsardzība > Adequasy decisions.
Līdz ar to, ja EK nav pieņēmusi atzinumu par datu aizsardzības drošības atbilstību, pārzinis var nosūtīt personas datus uz trešo valsti tikai tad, ja ir sniegtas atbilstošas papildu garantijas, ka personām, kuru dati tiek apstrādāti, tiks nodrošināti pieejami efektīvi tiesiskās aizsardzības līdzekļi un iespējas īstenot savas datu subjekta tiesības.
Lai kompensētu datu aizsardzības trūkumus trešajā valstī, kā atbilstošas garantijas datu subjektam var tikt izmantotas, piemēram:
1. Standarta līguma klauzulas.
Tie ir EK pieņemtie personas datu pārsūtīšanas līguma paraugi, kas nosaka datu nosūtīšanas kārtību, apstrādes mērķus, datu subjektu tiesības, strīdu izskatīšanas kārtību un citus jautājumus, kas attiecas uz datu nosūtīšanu un apstrādi. “Šo klauzulu mērķis ir atvieglot datu apstrādātāju uzdevumu, apkopojot nepieciešamo prasību kopumu, kas ļautu nodrošināt adekvātu personas datu aizsardzību trešajā valstī. Šo instrumentu var uzskatīt par “lietošanai gatavu” un ātri iestrādāt divpusējā līgumā, ņemot vērā konkrētā gadījuma vajadzības. Standarta klauzulas var ietvert plašākā līgumā kā nosacījumu kopumu personas datu apstrādē, taču standarta līguma klauzulu teksts nevar tikt grozīts un papildināts,” šādu līgumu paraugu piemērošanu “Brexit” vajadzībām skaidro DVI.
Eiropas Komisija ir apstiprinājusi trīs standarta līgumu klauzulu paraugus. Divi no tiem ir paredzēti gadījumiem, kad ES pārzinis nosūta personas datus citam pārzinim ārpus ES/EEZ, savukārt trešais attiecināms uz gadījumiem, kad ES pārzinis datus pārsūta apstrādātājam ārpus ES/EEZ.
2. Īpašās līguma klauzulas.
“Tie ir personas datu pārsūtīšanas līgumi, kas ļauj kontrolēt datu pārsūtīšanu īpašās situācijās, ja, piemēram, standarta līguma klauzulas nav piemērojamas,” skaidro DVI. Šādi “ad hoc” līguma noteikumi ir jāapstiprina Datu valsts inspekcijai, kuras kompetencē ir “ad hoc” līguma klauzulu saskaņošana un apstiprināšana Eiropas Datu aizsardzības kolēģijā.
3. Saistošie uzņēmumu noteikumi.
Uzņēmumu grupas vai uzņēmējsabiedrību grupas, kas iesaistītas kopīgā saimnieciskā darbībā, personas datus var nosūtīt, pamatojoties uz iekšējo personas datu aizsardzības politiku attiecībā uz datu pārsūtīšanu ārpus ES/EEZ.
Uzņēmuma iekšējos noteikumus apstiprina kompetentā uzraudzības iestāde, ja tie ir juridiski saistoši, tie tiek piemēroti un tos ievēro katrs attiecīgās uzņēmumu vai uzņēmējdarbības grupas dalībnieks neatkarīgi no reģistrācijas valsts, kā arī visi to darbinieki, un tie atbilst regulas 47. pantā uzskaitītajām prasībām.
4. Rīcības kodeksi un sertifikācijas mehānismi.
Jāmin, ka regula ievieš arīdzan citus jaunus instrumentus datu starptautiskai nosūtīšanai, piemēram, trešajā valstī esošam datu saņēmējam vai apstrādātājam piemērojot regulā noteiktā kārtībā apstiprinātus rīcības kodeksus vai sertifikācijas mehānismus (privātuma zīmogi un marķējumi).
Atkāpes īpašās situācijās
Visbeidzot, ja personas datus paredzēts nosūtīt uz trešo valsti, par kuru nav pieņemts EK lēmums par aizsardzības līmeņa pietiekamību un nav ieviestas atbilstošas garantijas, datus ir atļauts pārsūtīt tikai īpašās situācijās.
Piemēram, ja attiecīgā persona ir nepārprotami piekritusi ierosinātajai datu pārsūtīšanai pēc tam, kad tai ir sniegta informācija par iespējamiem riskiem, ko šāda nosūtīšana var radīt atbilstošu drošības garantiju trūkuma dēļ, vai ja datu nosūtīšana ir sabiedrības interesēs, kā arī citos regulas 49. pantā uzskaitītajos gadījumos.
Plašāka informācija angļu valodā par juridiskajiem mehānismiem datu nosūtīšanai ārpus ES/EEZ ir pieejama Eiropas Komisijas mājaslapas sadaļā Tiesību akti > Datu aizsardzība > International dimension of data protection.
Ja “Brexit” noritēs bez vienošanās
Jautājums par datu nosūtīšanu uz trešo valsti ir kļuvis īpaši aktuāls saistībā ar Apvienotās Karalistes lēmumu izstāties no Eiropas Savienības un risku, ka tas varētu notikt bez vienošanās. Tādā gadījumā personas datu nodošanu ES un Apvienotās Karalistes starpā regulēs Vispārīgās datu aizsardzības regulas noteiktais tiesiskais ietvars par personas datu nodošanu trešajām valstīm.
Tas nozīmē, ka uzņēmumam, kas reģistrēts Latvijā un plāno veikt datu nodošanu citam datu pārzinim vai apstrādātājam Apvienotajā Karalistē pēc 29. marta, kad noslēdzas divu gadu termiņš, kopš tā paziņoja par lēmumu izstāties no ES, iespējams, būs nepieciešams veikt papildu juridiskus un tehniskus drošības pasākumus. Situācijā, kad nav skaidri zināma “Brexit” praktiskā norise, ieviest papildu risinājumus jābūt gataviem jau marta beigās. “Ja “Brexit” notiek bez vienošanās, neatkarīgi no tā, vai esat uzņēmējs vai pārstāvat publisku iestādi, personas datu nosūtīšanas mehānismam, kuru esat izvēlējušies kā atbilstošāko, ir jābūt spēkā no 2019. gada 30. marta,” uzsver DVI.
Datu valsts inspekcijas atbildes uz biežāk uzdotajiem jautājumiem par personas datu apmaiņu ar Apvienoto Karalisti pēc “Brexit” ir apkopotas DVI mājaslapas sadaļā Biežāk uzdotie jautājumi par Apvienotās Karalistes izstāšanos no Eiropas Savienības bez vienošanās tā dēvētajā “No-deal” “Brexit” gadījumā.
Tā kā Apvienotās Karalistes personas datu aizsardzības līmenis būtībā ir līdzvērtīgs ES līmenim, EK iepriekš ir norādījusi, ka tā varētu pieņemt lēmumu par aizsardzības līmeņa pietiekamību, kas ļauj bez ierobežojumiem pārsūtīt personas datus uz Apvienoto Karalisti.2 Tomēr šādu lēmumu varēs pieņemt tikai tad, kad Apvienotā Karaliste būs kļuvusi par trešo valsti.
1 Avots: Datu valsts inspekcijas sagatavotā informācija par biežāk uzdotajiem jautājumiem par Apvienotās Karalistes izstāšanos no Eiropas Savienības bez vienošanās tā dēvētajā “No-deal” “Brexit” gadījumā.
2 Komisijas paziņojums Eiropas Parlamentam, Eiropadomei, Padomei, Eiropas Centrālajai bankai, Eiropas Ekonomikas un sociālo lietu komitejai, Reģionu komitejai un Eiropas Investīciju bankai. Sagatavošanās saistībā ar Apvienotās Karalistes izstāšanos no Eiropas Savienības 2019. gada 30. martā.