GDPR Transfer to third countries

Asmens duomenų perkėlimas į trečiąsias (ne EU) šalis

BDAR nustatė griežtas taisykles, kai kalbama apie duomenų perdavimą trečiosioms šalims ar tarptautinėms organizacijoms.

Kas laikoma trečiosiomis šalimis?

Trečiosios šalys yra teritorijos už Europos Sąjungos, Europos Ekonominės Erdvės, Andoros, Argentinos, Kanados (komercinės organizacijos), Farerų salų, Gernsio, Izraelio, Meino salos, Džersio, Naujosios Zelandijos, Šveicarijos, Urugvajaus ir JAV (tik „Privacy Shield“ sistema) ribų. Dėl Japonijos ir Pietų Korėjos kol kas vykdomos derybos.

Kokios sąlygos taikomos perduodant duomenis trečiosioms šalims?

BDAR taiko papildomas sąlygas įmonėms, perduodančias asmens duomenis trečiosioms šalis.

 

BDAR 46 str. 2 dalis leidžia įmonėms siųsti asmens duomenis trečiosioms šalims, jei įmonės taiko tinkamas apsaugos priemones, pavyzdžiui, privalomas įmonių taisykles, standartines duomenų apsaugos nuostatas, elgesio kodeksą ir patvirtintus sertifikatus. Įmonėms tinkamiausia apsaugos priemonė yra tipinės sutartys, kurias priėmė Europos Komisija. Šios sutartinės sąlygos reguliuoja duomenų perdavimą tarp duomenų valdytojų ir tvarkytojų. Pavyzdžiui, kai bendrovė nori naudoti debesijos paslaugas (angl. cloud), kurios yra įsikūrusios už ES ribų, jos gali pasirašyti duomenų tvarkymo sutartį (DTS), į kurią įtrauktos standartinės sutarties sąlygos.

Duomenų  perdavimo trečiosioms šalims būtinybė

 

49 straipsnio 1 dalyje teigiama, kad jeigu nepriimtas sprendimas dėl tinkamumo arba nenustatytos tinkamos apsaugos priemonės, asmens duomenų perdavimas trečiosioms šalims arba tarptautinei organizacijai  atliekamas tik su tam tikra salyga, pvz.:

  1. a) duomenų subjektas aiškiai sutiko su siūlomu duomenų perdavimu po to, kai buvo informuotas apie galimus tokių perdavimų pavojus duomenų subjektui dėl to, kad nepriimtas sprendimas dėl tinkamumo ir nenustatytos tinkamos apsaugos priemonės;
  2. b) duomenų perdavimas yra būtinas sutarčiai (tarp duomenų subjekto ir duomenų valdytojo, tarp duomenų valdytojo ir duomenų tvarkytojo) vykdyti;
  3. c) duomenų perdavimas yra būtinas dėl svarbių viešojo intereso priežasčių;
  4. d) duomenų perdavimas yra būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus;
  5. e) duomenų perdavimas yra būtinas, kad būtų apsaugoti gyvybiniai interesai.

 

Asmens duomenų perdavimas pagal 49 str. yra leidžiamas tik tuo atveju, kai jis atsitiktinis ir būtinas.

Tai reiškia, kad bendrovė turi įvertinti, kaip dažnai asmens duomenys siunčiami ir ar yra būtina juos siųsti į trečiąsias šalis, ir ar galima to paties rezultato pasiekti ES viduje.

Sutarties vykdymas gali būti naudojamas kaip teisinis pagrindas, pavyzdžiui, kai kelionių agentūros perduoda savo klientų asmens duomenis į viešbučius ar kitus komercinius partnerius, kurie organizuoja tų klientų buvimą užsienyje.

 

Įmonės privalo dokumentuoti duomenų perdavimą trečiosioms šalims arba tarptautinėms organizacijoms, remdamiesi BDAR 30 str. Duomenų tvarkymo veiklos įrašai

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų.Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl tai...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....