Kas tai? Eksperto įžvalgos

Ką apie asmens duomenų apsaugos reformą turi žinoti įmonės, veikiančios tarptautiniu mastu

Publikuota: 2018-01-29
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė.

Šiuo metu Europos Sąjungos šalyse veiklą vykdančios įmonės turi laikytis 28 skirtingų duomenų apsaugos įstatymų. Įvykdžius asmens duomenų apsaugos reformą, šis biurokratizmas bus sumažintas: nuo 2018 m. gegužės 25 d. visose ES šalyse galios tas pats duomenų apsaugos teisės aktas - Bendrasis duomenų apsaugos reglamentas.

Tačiau nors Bendrasis duomenų apsaugos reglamentas yra tiesioginio taikymo teisės aktas, kiekviena ES valstybė galės konkrečiau apibrėžti jo taisykles ar numatyti taisyklių apribojimus.

Valstybėms narėms suteikiama tam tikra laisvė nustatyti savo taisykles ir nėra užkertamas kelias taikyti valstybės narės teisę, kurioje nustatomos konkrečių duomenų tvarkymo aplinkybės, taip pat ir tiksliau apibrėžiant sąlygas, kuriomis duomenų tvarkymas yra teisėtas.

Todėl nesutikčiau su nuomone, kad, vykdant verslą tarptautiniu mastu, galima aklai pasikliauti išimtinai tik Bendrojo duomenų apsaugos reglamento nuostatomis. Reikėtų įvertinti reikalavimus ir tos šalies, kurioje verslas faktiškai veikia ir kurioje duomenys yra tvarkomi. Tikrai nepasikliaučiau pozicija, kad jei, pavyzdžiui, verslą pradėjote Lietuvoje ir ketinate plėstis į Latviją ir Estiją, verslui nebereikės konsultuotis su tų šalių teisininkais. Reglamente nerasite užuominos, kad jei įmonių grupė veikia ne vienoje ES šalyje, nereikės užtikrinti kitų ES šalių, kuriose veikia verslas, reikalavimų.

 „Vieno langelio“ principas. Kas tai?

Vienas esminių pakeitimų, kurį turi žinoti verslas, vykdantis savo veiklą ne vienoje ES šalyje - nebereikės bendrauti su visų ES šalių priežiūros institucijoms, kurių priežiūros teritorijoje teikiamos ar siūlomos prekės ar paslaugos.

Įsigaliojus Bendrajam duomenų apsaugos reglamentui, įsigalioja ir „vieno langelio“ (angl. one stop shop) principas. Jis reiškia, kad jūsų, kaip duomenų valdytojo ar duomenų tvarkytojo, pagrindinės arba vienintelės buveinės priežiūros institucija įgis teisę veikti kaip vadovaujanti priežiūros institucija tarpvalstybinio duomenų tvarkymo atveju. Tik su ja bus palaikomi ryšiai, vykdant tarpvalstybinį duomenų tvarkymą.

Pavyzdžiui, jei Lietuvoje įsteigta įmonė teikia ir siūlo prekes ar paslaugas ir kitose Baltijos šalyse, Lietuvos įmonė neprivalės palaikyti jokių santykių su Estijos ar Latvijos asmens duomenų apsaugos priežiūros institucijomis, o klientų pateikiami skundai bet kuriai iš institucijų, esančių Estijoje ir (ar) Latvijoje, turėtų būti adresuojami Lietuvos valstybinei duomenų apsaugos inspekcijai.

Kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo įprastinė gyvenamoji vieta, ir turėti teisę į veiksmingas teismines teisių gynimo priemones, jeigu mano, kad jo teisės pagal Bendrąjį duomenų reglamentą yra pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti.

Į kurią priežiūros instituciją kreiptis, kai verslas turi daugiau kaip vieną buveinę?

Tuo atveju, kai verslas turi daugiau kaip vieną buveinę, reikia nustatyti centrinę administraciją.

Remiantis Bendrajame duomenų apsaugos reglamente išdėstytu požiūriu, centrinė administracija ES yra ta vieta, kur yra priimami sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių.

Kai duomenis tvarko įmonių grupė, kurios centrinė būstinė yra ES, tos įmonių grupės pagrindine buveine turėtų būti laikoma įmonės, kuri vykdo bendrą kontrolę, buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita buveinė.

Įmonių grupės motininės įmonės centrinė būstinė ar faktinis adresas ES greičiausiai ir bus pagrindinė buveinė, nes tai ir būtų įmonių grupės centrinės administracijos vieta.

Sąvokoje esanti nuoroda į duomenų valdytojo centrinės administracijos vietą puikiai tinka organizacijoms, kurios turi centralizuoto sprendimų priėmimo būstinę ir filialų tipo struktūrą. Tokiais atvejais aišku, kad teisę priimti sprendimus dėl tarpvalstybinio duomenų tvarkymo ir duoti nurodymus dėl jų vykdymo turi bendrovės centrinė būstinė. Tokiu atveju nustatyti pagrindinės buveinės vietą ir vadovaujančią priežiūros instituciją yra labai paprasta.

Tačiau įmonių grupės sprendimų priėmimo sistema gali būti sudėtingesnė, kai skirtingoms buveinėms yra suteikiami nepriklausomi įgaliojimai priimti su tarpvalstybiniu duomenų tvarkymu susijusius sprendimus.

Pagrindinės buveinės, kai ji nėra centrinės administracijos vieta ES, nustatymo kriterijai

Jei pagrindinė buveinė nėra centrinės administracijos vieta, reikia nustatyti, kur vykdoma veiksminga ir reali valdymo veikla, kuri per stabilias struktūras priima pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių.

Reglamento preambulės 36 punkte taip pat yra išaiškinta, kad „asmens duomenų tvarkymo techninių priemonių buvimas ir jų naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra pagrindinės buveinės nustatymo kriterijai“.

Verslas pats nustato, kur yra jo pagrindinė buveinė ir kuri priežiūros institucija yra vadovaujanti priežiūros institucija. Tačiau tokį sprendimą vėliau gali užginčyti atitinkama susijusi priežiūros institucija, todėl, nustatant duomenų valdytojo pagrindinę buveinę, kuri nėra ES įsikūrusi centrinė administracija, reiktų atsižvelgti į šiuos faktorius:

  • kur yra galiausiai pasirašomi sprendimai dėl duomenų tvarkymo tikslų ir priemonių?
  • kur yra priimami sprendimai dėl komercinės veiklos, į kurią įeina duomenų tvarkymas?
  • kas priima sprendimus dėl sprendimų įgyvendinimo?
  • kur įsikūręs vadovas (vadovai), kuris (-ie) yra atsakingas (-i) už tarpvalstybinį duomenų tvarkymą?
  • kur duomenų valdytojas ar tvarkytojas yra įregistruotas kaip bendrovė, jei tai viena teritorija?

Tačiau tai nėra baigtinis sąrašas. Aktualūs gali būti ir kiti faktoriai, priklausomai nuo verslo vykdomos veiklos ar atitinkamos duomenų tvarkymo veiklos.

Jei priežiūros institucija turės priežasčių abejoti, kad duomenų valdytojo nustatyta buveinė iš tikrųjų yra pagrindinė buveinė Bendrojo duomenų apsaugos reglamento vykdymo tikslais, ji, žinoma, gali pareikalauti duomenų valdytojo pateikti papildomą informaciją, įrodančią pagrindinės buveinės buvimo vietą.

Ieškoti „palankesnės teisinės padėties“ yra draudžiama

Bendrasis duomenų apsaugos reglamentas draudžia ieškoti „palankesnės teisinės padėties“ (angl. forum shopping).

Jei bendrovė tvirtina, kad jos pagrindinė buveinė yra vienoje valstybėje narėje, tačiau joje nevyksta jokia veiksminga ir reali valdymo veikla ar nepriiminėjami sprendimai dėl asmens duomenų tvarkymo, sprendimą, kuri priežiūros institucija yra „vadovaujanti“, priims atitinkamos priežiūros institucijos (arba galiausiai Europos duomenų apsaugos valdyba), atsižvelgdamos į objektyvius kriterijus ir įvertindamos įrodymus.

Pagrindinės buveinės nustatymas gali pareikalauti aktyvaus tyrimo ir priežiūros institucijų bendradarbiavimo. Išvados negali remtis vien tik tiriamos organizacijos teiginiais. Įrodinėjimo pareiga galiausiai tenka duomenų valdytojams ir tvarkytojams. Jie turėtų gebėti įrodyti priežiūros institucijoms, kur yra faktiškai priimami ir vykdomi sprendimai dėl duomenų tvarkymo. Įrašai apie duomenų tvarkymo veiksmus padėtų tiek organizacijoms, tiek priežiūros institucijoms nustatyti vadovaujančią instituciją.

Kai kuriais atvejais atitinkamos priežiūros institucijos paprašys duomenų valdytojo pateikti aiškius įrodymus, kurie atitiktų Europos duomenų apsaugos valdybos gaires, kur yra pagrindinė buveinė ir kur yra priimami sprendimai dėl konkrečios duomenų tvarkymo veiklos.

PAGRINDINIAI PATARIMAI VERSLO ĮMONĖMS, VEIKIANČIOMS TARPTAUTINIU MASTU

  • Įsivertinkite visų ES šalių narių teisės aktų reikalavimų skirtumus Bendrojo duomenų apsaugos reglamento atžvilgiu.
  • Jei įmonė grupės viduje keičiasi asmens duomenimis, tinkamai identifikuokite, kokie duomenys yra perduodami, kokia duomenų perdavimo tvarka, kokie yra perdavimo tikslai, bei nustatykite duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę ar valstybes, į kurias tie duomenys bus perduodami.
  • Nustatykite mechanizmus, kuriais bus galima patikrinti, ar įmonių grupėje yra laikomasi asmens duomenų tvarkymo taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais bus užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises.
  • Nuspręskite, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.
  • Pasirenkite įmonių grupei privalomas asmens duomenų tvarkymo taisykles ir jų laikykitės.
  • Paskirkite asmens duomenų pareigūną ar kitą asmenį, kuris būtų atsakingas už stebėseną, ar įmonių grupėje laikomasi įmonei privalomų taisyklių.
     

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Lietuva sieks, kad šriftas „Palemonas“ būtų „Microsoft“ programose 3

Lietuva sieks, kad originalus lietuviškas kompiuterinis šriftas „Palemonas“ būtų įtrauktas į programinės...

Iš skolininko atlyginimo bus galima išieškoti mažesnę dalį 8

Seimas šeštadienį priėmė Civilinio proceso kodekso pataisas, pagal kurias reikšmingai sumažinta iš skolininkų...

Verslo aplinka
2018.06.30
Seimas nuleido kartelę referendumui dėl dvigubos pilietybės 1

Seimas nuleido kartelę referendumui dėl dvigubą pilietybę leidžiančių Konstitucijos pataisų.

Verslo aplinka
2018.06.30
Patvirtinti BDAR reikalavimus įdiegiantys Lietuvos įstatymai

Nors jau prieš daugiau kaip mėnesį visoje Europos Sąjungoje įsigaliojo naujus reikalavimus duomenų apsaugos...

Verslo aplinka
2018.06.30
Valdančiųjų mėginimas pašalinti VRK narį nepavyko

Vilius Semeška, Tėvynės sąjungos – Lietuvos krikščionių demokratų atstovas Vyriausioje rinkimų komisijoje...

Verslo aplinka
2018.06.30
Skardžiaus apkaltos nebus: parlamentas pritarė komisijos išvadoms 5

Seimo nariai šeštadienį pritarė laikinosios komisijos išvadoms, kuriose sakoma, kad parlamentarui Artūrui...

Verslo aplinka
2018.06.30
Ligoninių tinklo pertvarka tik vargais negalais patvirtinta Seime

Nors opozicija boikotavo Vyriausybės pasiūlymų dėl valstybinių ligoninių tinklo optimizavimo priėmimą Seime,...

Verslo aplinka
2018.06.30
Kol valdžia reformuoja mokesčius, kapitalas balsuoja kojomis 8

Kol valdžia gražbyliavo apie būsimą mokesčių reformą, kuri Lietuvą turi paversti patraukliausia šalimi...

Verslo aplinka
2018.06.30
Prezidentė pasirašė mokesčių reformos įstatymus 4

Kaip ir žadėjo, prezidentė Dalia Grybauskaitė neatidėliojo Seimo priimtųjų mokesčių reformos įstatymų...

Verslo aplinka
2018.06.30
Vaistai atsiras ir parduotuvėse bei degalinėse 14

Kai kurie nereceptiniai vaistai nedidelėmis pakuotėmis nuo kitų metų galės atsirasti Lietuvos maisto prekių...

Verslo aplinka
2018.06.30
Įteisinta šeimos kortelė, suteiksianti nuolaidų daugiavaikėms šeimoms 3

Seimas šeštadienį įteisino Šeimos korteles - daugiavaikės šeimos su jomis turės teisę naudotis tam tikromis...

Verslo aplinka
2018.06.30
Migracijos politika turkmėniškai: iki 40 m. uždrausta išvykti iš šalies 14

Turkmėnija išsprendė migracijos problemą, uždrausdama gyventojams, nesulaukusiems 40 metų, išvykti iš šalies.

Pramonė
2018.06.30
Moterys prie vairo – galimybė kelti ekonomiką 1

Saudo Arabijoje šią savaitę buvo panaikintas paskutinis pasaulyje galiojęs draudimas vairuoti moterims. Taip...

Verslo aplinka
2018.06.30
Prokuratūra sustabdė ikiteisminį tyrimą dėl M. Majausko šmeižimo 6

Vilniaus prokuratūra penktadienį sustabdė ikiteisminį tyrimą dėl Seimo nario Mykolo Majausko galimo šmeižimo.

Verslo aplinka
2018.06.29
Teismas atmetė K. Brazauskienės ieškinį dėl 113.000 Eur už nesumokėtą rentą 2

Vilniaus apygardos administracinis teismas atmetė prezidento Algirdo Mykolo Brazausko našlės Kristinos...

Verslo aplinka
2018.06.29
Seimas pritarė mažiausių pensijų padidinimui 1

Seimas penktadienį pritarė Vyriausybės siūlymui didinti mažiausias senatvės pensijas pensininkams, kurie yra...

Verslo aplinka
2018.06.29
Užsienyje investavo daugiausia nuo 2004 m.

Tiesioginių užsienio investicijų (TUI) srautas pirmąjį 2018 m. ketvirtį Lietuvoje išaugo 1,6 karto, palyginti...

Verslo aplinka
2018.06.29
Infliacija euro zonoje dėl naftos kainų pasiekė 2% ribą

Pirmą kartą per daugiau nei metus infliacija euro zonoje birželį pasiekė 2%, rodo preliminarūs Eurostato...

Verslo aplinka
2018.06.29
Laikinai neišduodamos jungtinės pažymos viešiesiems pirkimams 1

Penktadienį į „Verslo žinias“ kreipėsi viešuosiuose pirkimuose artimiausiu metu ketinantys dalyvauti...

Technologijos
2018.06.29
Rusija neįsileis lietuvių ekspedicijos „Misija Sibiras“ 36

Rusija nutarė neįsileisti jau tradicija tapusios kasmetinės Lietuvos jaunimo ekspedicijos „Misija Sibiras“,...

Verslo aplinka
2018.06.29

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau