Kas tai? Eksperto įžvalgos

Ką apie asmens duomenų apsaugos reformą turi žinoti įmonės, veikiančios tarptautiniu mastu

Publikuota: 2018-01-29
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT teisininkė.

Šiuo metu Europos Sąjungos šalyse veiklą vykdančios įmonės turi laikytis 28 skirtingų duomenų apsaugos įstatymų. Įvykdžius asmens duomenų apsaugos reformą, šis biurokratizmas bus sumažintas: nuo 2018 m. gegužės 25 d. visose ES šalyse galios tas pats duomenų apsaugos teisės aktas - Bendrasis duomenų apsaugos reglamentas.

Tačiau nors Bendrasis duomenų apsaugos reglamentas yra tiesioginio taikymo teisės aktas, kiekviena ES valstybė galės konkrečiau apibrėžti jo taisykles ar numatyti taisyklių apribojimus.

Valstybėms narėms suteikiama tam tikra laisvė nustatyti savo taisykles ir nėra užkertamas kelias taikyti valstybės narės teisę, kurioje nustatomos konkrečių duomenų tvarkymo aplinkybės, taip pat ir tiksliau apibrėžiant sąlygas, kuriomis duomenų tvarkymas yra teisėtas.

Todėl nesutikčiau su nuomone, kad, vykdant verslą tarptautiniu mastu, galima aklai pasikliauti išimtinai tik Bendrojo duomenų apsaugos reglamento nuostatomis. Reikėtų įvertinti reikalavimus ir tos šalies, kurioje verslas faktiškai veikia ir kurioje duomenys yra tvarkomi. Tikrai nepasikliaučiau pozicija, kad jei, pavyzdžiui, verslą pradėjote Lietuvoje ir ketinate plėstis į Latviją ir Estiją, verslui nebereikės konsultuotis su tų šalių teisininkais. Reglamente nerasite užuominos, kad jei įmonių grupė veikia ne vienoje ES šalyje, nereikės užtikrinti kitų ES šalių, kuriose veikia verslas, reikalavimų.

 „Vieno langelio“ principas. Kas tai?

Vienas esminių pakeitimų, kurį turi žinoti verslas, vykdantis savo veiklą ne vienoje ES šalyje - nebereikės bendrauti su visų ES šalių priežiūros institucijoms, kurių priežiūros teritorijoje teikiamos ar siūlomos prekės ar paslaugos.

Įsigaliojus Bendrajam duomenų apsaugos reglamentui, įsigalioja ir „vieno langelio“ (angl. one stop shop) principas. Jis reiškia, kad jūsų, kaip duomenų valdytojo ar duomenų tvarkytojo, pagrindinės arba vienintelės buveinės priežiūros institucija įgis teisę veikti kaip vadovaujanti priežiūros institucija tarpvalstybinio duomenų tvarkymo atveju. Tik su ja bus palaikomi ryšiai, vykdant tarpvalstybinį duomenų tvarkymą.

Pavyzdžiui, jei Lietuvoje įsteigta įmonė teikia ir siūlo prekes ar paslaugas ir kitose Baltijos šalyse, Lietuvos įmonė neprivalės palaikyti jokių santykių su Estijos ar Latvijos asmens duomenų apsaugos priežiūros institucijomis, o klientų pateikiami skundai bet kuriai iš institucijų, esančių Estijoje ir (ar) Latvijoje, turėtų būti adresuojami Lietuvos valstybinei duomenų apsaugos inspekcijai.

Kiekvienas duomenų subjektas turėtų turėti teisę pateikti skundą vienai priežiūros institucijai, visų pirma valstybėje narėje, kurioje yra jo įprastinė gyvenamoji vieta, ir turėti teisę į veiksmingas teismines teisių gynimo priemones, jeigu mano, kad jo teisės pagal Bendrąjį duomenų reglamentą yra pažeistos arba jeigu priežiūros institucija nesiima veiksmų dėl skundo, iš dalies arba visiškai atmeta skundą arba jo nepriima, arba nesiima veiksmų, kai tokie veiksmai yra būtini duomenų subjekto teisėms apsaugoti.

Į kurią priežiūros instituciją kreiptis, kai verslas turi daugiau kaip vieną buveinę?

Tuo atveju, kai verslas turi daugiau kaip vieną buveinę, reikia nustatyti centrinę administraciją.

Remiantis Bendrajame duomenų apsaugos reglamente išdėstytu požiūriu, centrinė administracija ES yra ta vieta, kur yra priimami sprendimai dėl asmens duomenų tvarkymo tikslų ir priemonių.

Kai duomenis tvarko įmonių grupė, kurios centrinė būstinė yra ES, tos įmonių grupės pagrindine buveine turėtų būti laikoma įmonės, kuri vykdo bendrą kontrolę, buveinė, išskyrus atvejus, kai duomenų tvarkymo tikslus ir priemones nustato kita buveinė.

Įmonių grupės motininės įmonės centrinė būstinė ar faktinis adresas ES greičiausiai ir bus pagrindinė buveinė, nes tai ir būtų įmonių grupės centrinės administracijos vieta.

Sąvokoje esanti nuoroda į duomenų valdytojo centrinės administracijos vietą puikiai tinka organizacijoms, kurios turi centralizuoto sprendimų priėmimo būstinę ir filialų tipo struktūrą. Tokiais atvejais aišku, kad teisę priimti sprendimus dėl tarpvalstybinio duomenų tvarkymo ir duoti nurodymus dėl jų vykdymo turi bendrovės centrinė būstinė. Tokiu atveju nustatyti pagrindinės buveinės vietą ir vadovaujančią priežiūros instituciją yra labai paprasta.

Tačiau įmonių grupės sprendimų priėmimo sistema gali būti sudėtingesnė, kai skirtingoms buveinėms yra suteikiami nepriklausomi įgaliojimai priimti su tarpvalstybiniu duomenų tvarkymu susijusius sprendimus.

Pagrindinės buveinės, kai ji nėra centrinės administracijos vieta ES, nustatymo kriterijai

Jei pagrindinė buveinė nėra centrinės administracijos vieta, reikia nustatyti, kur vykdoma veiksminga ir reali valdymo veikla, kuri per stabilias struktūras priima pagrindinius sprendimus dėl duomenų tvarkymo tikslų ir priemonių.

Reglamento preambulės 36 punkte taip pat yra išaiškinta, kad „asmens duomenų tvarkymo techninių priemonių buvimas ir jų naudojimas arba duomenų tvarkymo veikla savaime nereiškia, kad buveinė yra pagrindinė ir todėl nėra pagrindinės buveinės nustatymo kriterijai“.

Verslas pats nustato, kur yra jo pagrindinė buveinė ir kuri priežiūros institucija yra vadovaujanti priežiūros institucija. Tačiau tokį sprendimą vėliau gali užginčyti atitinkama susijusi priežiūros institucija, todėl, nustatant duomenų valdytojo pagrindinę buveinę, kuri nėra ES įsikūrusi centrinė administracija, reiktų atsižvelgti į šiuos faktorius:

  • kur yra galiausiai pasirašomi sprendimai dėl duomenų tvarkymo tikslų ir priemonių?
  • kur yra priimami sprendimai dėl komercinės veiklos, į kurią įeina duomenų tvarkymas?
  • kas priima sprendimus dėl sprendimų įgyvendinimo?
  • kur įsikūręs vadovas (vadovai), kuris (-ie) yra atsakingas (-i) už tarpvalstybinį duomenų tvarkymą?
  • kur duomenų valdytojas ar tvarkytojas yra įregistruotas kaip bendrovė, jei tai viena teritorija?

Tačiau tai nėra baigtinis sąrašas. Aktualūs gali būti ir kiti faktoriai, priklausomai nuo verslo vykdomos veiklos ar atitinkamos duomenų tvarkymo veiklos.

Jei priežiūros institucija turės priežasčių abejoti, kad duomenų valdytojo nustatyta buveinė iš tikrųjų yra pagrindinė buveinė Bendrojo duomenų apsaugos reglamento vykdymo tikslais, ji, žinoma, gali pareikalauti duomenų valdytojo pateikti papildomą informaciją, įrodančią pagrindinės buveinės buvimo vietą.

Ieškoti „palankesnės teisinės padėties“ yra draudžiama

Bendrasis duomenų apsaugos reglamentas draudžia ieškoti „palankesnės teisinės padėties“ (angl. forum shopping).

Jei bendrovė tvirtina, kad jos pagrindinė buveinė yra vienoje valstybėje narėje, tačiau joje nevyksta jokia veiksminga ir reali valdymo veikla ar nepriiminėjami sprendimai dėl asmens duomenų tvarkymo, sprendimą, kuri priežiūros institucija yra „vadovaujanti“, priims atitinkamos priežiūros institucijos (arba galiausiai Europos duomenų apsaugos valdyba), atsižvelgdamos į objektyvius kriterijus ir įvertindamos įrodymus.

Pagrindinės buveinės nustatymas gali pareikalauti aktyvaus tyrimo ir priežiūros institucijų bendradarbiavimo. Išvados negali remtis vien tik tiriamos organizacijos teiginiais. Įrodinėjimo pareiga galiausiai tenka duomenų valdytojams ir tvarkytojams. Jie turėtų gebėti įrodyti priežiūros institucijoms, kur yra faktiškai priimami ir vykdomi sprendimai dėl duomenų tvarkymo. Įrašai apie duomenų tvarkymo veiksmus padėtų tiek organizacijoms, tiek priežiūros institucijoms nustatyti vadovaujančią instituciją.

Kai kuriais atvejais atitinkamos priežiūros institucijos paprašys duomenų valdytojo pateikti aiškius įrodymus, kurie atitiktų Europos duomenų apsaugos valdybos gaires, kur yra pagrindinė buveinė ir kur yra priimami sprendimai dėl konkrečios duomenų tvarkymo veiklos.

PAGRINDINIAI PATARIMAI VERSLO ĮMONĖMS, VEIKIANČIOMS TARPTAUTINIU MASTU

  • Įsivertinkite visų ES šalių narių teisės aktų reikalavimų skirtumus Bendrojo duomenų apsaugos reglamento atžvilgiu.
  • Jei įmonė grupės viduje keičiasi asmens duomenimis, tinkamai identifikuokite, kokie duomenys yra perduodami, kokia duomenų perdavimo tvarka, kokie yra perdavimo tikslai, bei nustatykite duomenų subjektų, kuriems daromas poveikis, rūšį ir atitinkamą trečiąją valstybę ar valstybes, į kurias tie duomenys bus perduodami.
  • Nustatykite mechanizmus, kuriais bus galima patikrinti, ar įmonių grupėje yra laikomasi asmens duomenų tvarkymo taisyklių. Tokie mechanizmai apima duomenų apsaugos auditą ir metodus, kuriais bus užtikrinami taisomieji veiksmai siekiant apsaugoti duomenų subjekto teises.
  • Nuspręskite, su kuria duomenų apsaugos priežiūros institucija bendradarbiausite.
  • Pasirenkite įmonių grupei privalomas asmens duomenų tvarkymo taisykles ir jų laikykitės.
  • Paskirkite asmens duomenų pareigūną ar kitą asmenį, kuris būtų atsakingas už stebėseną, ar įmonių grupėje laikomasi įmonei privalomų taisyklių.
     

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO naujienlaiškį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
Macrono švietimo reforma: į mokyklą privalomai – nuo trejų metų

Emmanuelis Macronas, Prancūzijos prezidentas, paskelbė apie planą įvesti privalomą vaikų švietimą mokykloje...

Sveiki sulaukę prisikėlimo šventės!

Mieli skaitytojai, mūsų bičiuliai,

Ar tikrai verslas valdžiai priešas? 2

Jei pavyktų perkrauti valdžios ir verslo santykius ir atversti juose naują puslapį, išloštų visi, o...

Pramonė
2018.03.31
Mažiesiems Rusijos aludariams kiša produkcijos skaitiklius

Rusijos valdininkai sumanė įpareigoti mažas alaus daryklas įsirengti skaitiklius, matuojančius pagaminto...

Agroverslas
2018.03.31
Trumpas pareiškė, kad patrauks JAV pajėgas iš Sirijos 17

JAV prezidentas Donaldas Trumpas vėl nemaloniai nustebino pasaulį ir JAV diplomatijos korpusą. Prezidentas...

Verslo aplinka
2018.03.30
Rusiją atstovavimu užsienyje lenkia tik JAV, Kinija ir Prancūzija 4

Diplomatų išsiuntimo iš Rusijos ir Maskvos atsakomųjų veiksmų skandalas paskatino apžvelgti šalių atstovavimo...

Verslo aplinka
2018.03.30
Rusijos atsakas į Vakarų bausmę: akis už akį 14

„Financial Times“ suskaičiavo, kad Rusija išprašys 150 Vakarų diplomatų ir uždarys JAV konsulatą Sankt...

Verslo aplinka
2018.03.30
„Utenos trikotažas“ dividendų nemokės

AB „Utenos trikotažas“ valdyba nusprendė neskirti lėšų dividendų už 2017 m. akcininkams išmokėjimui dėl...

Rinkos
2018.03.30
Rusijos atsakymas Lietuvai: išsiunčia tris diplomatus 21

Linas Linkevičius, šalies užsienio reikalų ministras, paskelbė apie atsakomuosius Rusijos veiksmus Lietuvai.

Verslo aplinka
2018.03.30
Verslo pirkimų Kinijoje ypatumai Premium

Kinija yra niuansų ir beprotiško verslumo šalis, kurioje „gamykla“ gali atsirasti per vieną dieną, o...

Technologijos
2018.03.30
ES pirmininkaujanti Bulgarija: Rusijos diplomatų neišsiųsime, „palaikysime dialogą“ su Maskva 5

Bulgarija neišsiųs Rusijos diplomatų, prisijungdama prie kitų valstybių atsako į prieš dvigubą agentą...

Verslo aplinka
2018.03.30
Grybauskaitės susitikimo su Trumpu temos – saugumas ir energetika 6

Prezidentė Dalia Grybauskaitė kitą savaitę kelias dienas lankysis Jungtinėse Amerikos Valstijose, kartu su...

Verslo aplinka
2018.03.30
„Skaitmeninius mokesčius“ maišo su žemėmis: esą pakenks pačiai ES Premium

Apyvartos mokestis technologijų milžinėms, vos daugiau nei prieš savaitę pristatytas Europos Komisijos (EK),...

Verslo aplinka
2018.03.30
Į miškus taikosi nomenklatūra: į aukštus postus pretenduoja buvę urėdai Premium 1

Tarp pretendentų vadovauti VĮ Valstybinių miškų urėdijos (VMU) regioniniams padaliniams yra ir buvusių...

Agroverslas
2018.03.30
Į Lietuvą – dvigubai galingesnis TUI srautas 5

Praėjusiais metais tiesioginių užsienio investicijų (TUI) srautas Lietuvoje sudarė 528,3 mln. Eur ir,...

Verslo aplinka
2018.03.30
FTB domėjosi Trumpo planais su Putino rėmėju statyti viešbutį Rygoje

2010-aisiais verslininkų grupė, į kurią įėjo turtingas Vladimiro Putino, Rusijos prezidento, rėmėjas, ėmėsi...

Verslo aplinka
2018.03.30
Viena ranka beldžiasi į ES, kita – skambina Putinui Premium 4

Briuselis yra pasiryžęs atverti duris Vakarų Balkanų valstybėms, o pirmosios eilėje – Serbija ir Juodkalnija...

Verslo aplinka
2018.03.30
Paslaugų sektoriuje sparčiausiai augo telekomunikacijų ir IT eksportas

Pernai metų ketvirtajame ketvirtyje sparčiausiai – net 63,5%, lyginant su tuo pačiu ketvirčiu prieš metus,...

Verslo aplinka
2018.03.30
Kauno LEZ reikmėms išperka dar 143 ha Premium 9

Sparčiai investuotojais užsipildanti Kauno laisvoji ekonominė zona (LEZ) iki šių metų pabaigos galės...

Pramonė
2018.03.30
Apnuodytos Julijos Skripal būklė pagerėjo 6

Jungtinės Karalystės ligoninė, kurioje gydomi apnuodytas dvigubas agentas Sergejus Skripalis ir jo dukra...

Verslo aplinka
2018.03.30

Verslo žinių pasiūlymai

Siekdami pagerinti Jūsų naršymo kokybę, statistiniais ir rinkodaros tikslais šioje svetainėje naudojame slapukus (angl. „cookies“), kuriuos galite bet kada atšaukti.
Sutinku Plačiau