Eiropas Datu aizsardzības kolēģija ir nākusi klajā ar informatīvu paziņojumu organizācijām par iespējamiem personas datu nosūtīšanas mehānismiem no Eiropas Ekonomikas zonas (EEZ) uz Apvienoto Karalisti (turpmāk – AK) “No-deal” Brexit gadījumā.

Lai pārziņi un apstrādātāji labāk sagatavotos “No-deal” Brexit scenārijam, Datu valsts inspekcija jautājumu un atbilžu formātā sniedz šādus ieteikumus:

“No-deal” Brexit scenārijs: kādas ir iespējamās sekas personas datu plūsmas nodrošināšanā uz AK?

AK izstāšanās no Eiropas Savienības (turpmāk – ES) notiks 2019. gada 30. martā plkst. 00.00 pēc Centrāleiropas laika (30. marta 1:00 no rīta pēc Latvijas laika). ^[1] Tas nozīmē, ka 2019. gada 30. martā AK kļūs par trešo valsti. Ja līdz 2019.gada 30.marta plkst.00.00 nebūs panākta vienošanās ar ES par “sakārtotu” izstāšanos, AK turpmāk netiks uzskatīta par valsti, kas nodrošina adekvātu aizsardzības līmeni un personas datu plūsma tiks uzskatīta par datu pārsūtīšanu uz trešo valsti ārpus ES un Eiropas Ekonomikas zonas (turpmāk – EEZ). Šajā gadījumā, atbildīgajām personām, kas veic datu apstrādi ES un ir iecerējuši nosūtīt datus uz AK, būs nepieciešams nodrošināt datu aizsardzības līmeni, kas līdzinās ES datu aizsardzības līmenim. Tas nozīmē, ka personas datu nosūtīšanai uz AK būs attiecināmi Vispārīgās datu aizsardzības regulas (turpmāk – Regula) V nodaļas “Personas datu nosūtīšana uz trešām valstīm vai starptautiskām organizācijām” nosacījumi.

“No-deal” Brexit gadījumā, atbildīgajām personām, kas veic datu apstrādi ES un ir iecerējuši nosūtīt datus uz AK, turpmāk būs jānodrošina datu aizsardzības līmenis, kas līdzinās ES datu aizsardzības līmenim ievērojot nosacījumus, kas attiecināmi datu nosūtīšanai uz trešo valsti.

Vai “No-deal” Brexit attiecas arī uz mani?

“No-deal” Brexit attieksies uz personām, kuras plāno veikt personas datu apstrādi, nosūtot tālāk datus apstrādei uz AK arī pēc 2019.gada 29.marta.

Ko darīt, lai labāk sagatavotos “No-deal’’ Brexit?

Zemāk aprakstītās darbības ļaus ne tikai labāk sagatavoties “No-deal” Brexit scenārijam, bet arī nodrošinās atbilstošu personas datu nosūtīšanas mehānismu ievērošanu saskaņā ar Regulas nosacījumiem:

1. Nosakiet personas datu apstrādes darbības, kas ir tieši saistītas ar personas datu nosūtīšanu uz AK;
2. Nosakiet personas datu apstrādei vispiemērotāko personas datu nosūtīšanas mehānismu (skatīt nākamo jautājumu);
3. Turpiniet īstenot izvēlēto personas datu nosūtīšanas mehānismu tā, lai tas būtu piemērojams un spēkā esošs no 2019. gada 30. marta;
4. Pārstrādājiet organizācijas normatīvos aktus, iekļaujot tajos nepieciešamos papildinājumus, kas ļautu nosūtīt personas datus uz AK no 2019. gada 30. marta;
5. Vajadzības gadījumā, sniedziet informāciju tām fiziskajām personām, kuru dati ir pakļauti datu nosūtīšanai ārpus EEZ uz AK.

Kādi ir pieejamie mehānismi, lai regulētu personas datu nosūtīšanu uz AK “No-deal” Brexit scenārijā?

Regula nosaka vairākus personas datu nosūtīšanas mehānismus attiecībā uz datu tālāku apstrādi trešajās valstīs, kas ļauj atbildīgajām personām (datu pārziņiem un apstrādātājiem) izvēlēties sev piemērotāko datu nosūtīšanas mehānismu.

1. Standarta līguma klauzulas ir Eiropas Komisijas pieņemtie personas datu pārsūtīšanas līgumu paraugi, kas nosaka datu pārsūtīšanas kārtību, apstrādes mērķus un izvēles līdzekļus starp diviem uzņēmējiem vai starp uzņēmējiem, no kuriem ES aktīva uzņēmēja norādījumus personas datu apstrādē pilda ārpus ES aktīvs uzņēmums. Šo klauzulu mērķis ir atvieglot datu apstrādātāju uzdevumu, apkopojot to nepieciešamo prasību kopumu, kas ļautu nodrošināt adekvātu personas datu aizsardzību trešajā valstī. Šo instrumentu, var uzskatīt par “gatavu lietošanai” un ātri iestrādāt divpusējā līgumā, ņemot vērā konkrētā gadījuma vajadzības. Atgādinām, ka standartklauzas var ietvert plašākā līgumā kā nosacījumu kopumu personas datu apstrādē, taču standarta līguma klauzulu teksts līgumā nevar tikt grozīts un papildināms.
2. Īpašās līguma klauzulas, jeb “ad hoc” klauzas, ir personas datu pārsūtīšanas līgumi, kas ļauj kontrolēt datu pārsūtīšanu īpašās situācijās, piemēram, ja standarta līguma klauzulas nav piemērojamas vai ir jāmaina. Datu valsts inspekcija vērš Jūsu uzmanību, ka “ad hoc” līguma noteikumi ir jāapstiprina Datu valsts inspekcijā, kuras kompetencē ir “ad hoc” līguma klauzulu saskaņošana un apstiprināšana Eiropas Datu aizsardzības kolēģijā.
3. Saistošie uzņēmumu noteikumi attiecas uz uzņēmumu grupas iekšējo datu aizsardzības politiku attiecībā uz personas datu pārsūtīšanu ārpus ES. Tie ir juridiski saistoši, un tos ievēro attiecīgās uzņēmuma grupas dalībnieki, neatkarīgi no to reģistrācijas valsts, kā arī visi to darbinieki tajā pašā uzņēmumā vai grupā. Jauzņēmēji (datu pārziņi) un/vai uzņēmēji (apstrādātāji) ir iesnieguši Saistošos uzņēmumu noteikumus AK Datu aizsardzības iestādei (ICO) izskatīšanai, bet lēmums no ICO vēl nav saņemts, iesakām skatīt Eiropas Datu aizsardzības kolēģija mājas lapā publicēto paziņojumu par Saistošo uzņēmumu noteikumu izstrādes turpmāko kārtību.

Vai “No-deal” Brexit attiecas arī uz publiskajām iestādēm un to struktūrām? Gadījumā, ja tas ir attiecināms, tad kādus datu nosūtīšanas mehānismus var piemērot publiskajām iestādēm?

“No-deal” Brexit gadījumā publiskajām iestādēm un to struktūrām personas datu nosūtīšana uz AK ir iespējama, ja datu apstrādātājs sniedz atbilstošas garantijas datu nosūtīšanai uz AK.

1. Regula paredz personas datus nosūtīšanas mehānismus, kuri ir attiecināmi tikai ES publiskajām iestādēm un to struktūrām, lai pārraudzītu un nodotu personas datus citai ārpus ES un EEZ publiskajai iestādei:Saistoši juridiski instrumenti starp valstīm un publiskajām iestādēm (piemēram, starptautiskās konvencijas);
2. Administratīvie nolīgumi, kuros tiek piemērotas attiecīgās garantijas un datu aizsardzības prasības attiecībā uz fizisko personu tiesībām (datu subjektiem) starp valsts iestādēm un to struktūrām. Administratīvie nolīgumi ir iepriekš jāapstiprina Datu valsts inspekcijā, un dažos gadījumos var būt vajadzīgs arī Eiropas Datu aizsardzības kolēģijas atzinums.

Publiskajām iestādēm vai struktūrām, kuru kompetencē ir Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus, vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu^[2], personas datu nosūtīšanas mehānismi ir jāpiemēro saskaņā ar šajā direktīvā paredzētajiem nosacījumiem par datu nosūtīšanu un Latvijas tiesību aktiem.

Ja AK izstājas no ES bez vienošanās, kādos gadījumos ir nepieciešams ieviest personas datu nosūtīšanas mehānismus? Gadījumā, ja AK izstājas no ES bez vienošanās, kad ir nepieciešams ieviest personas datu nosūtīšanas mehānismus?

“No-deal” Brexit gadījumā, neatkarīgi no tā, vai Jūs esat uzņēmējs, vai pārstāvat publisku iestādi, personas datu nosūtīšanas mehānismam, kuru esat izvēlējušies kā sev visatbilstošāko, ir jābūt spēkā no 2019. gada 30. marta.

Vai pastāv kādi izņēmumi, atkāpes, ja AK izstājas no ES bez vienošanās un garantijām, kas nodrošina pietiekamu aizsardzības līmeni AK?

Ja nav pieņemts lēmums par aizsardzības līmeņa pietiekamību trešajā valstī vai nav nodrošināts atbilstošas garantijas un aizsardzības pasākumi, personas datu nosūtīšana izņēmuma kārtā var notikt tikai tajā gadījumā, ja atbildīgā persona par datu apstrādi un to nosūtīšanu uz trešo valsti izpilda vismaz vienu no Regulas 49.panta “Atkāpes īpašās situācijās” nosacījumiem. Šīs atkāpes var izmantot tikai īpašās situācijās. Jebkurā gadījumā atbildīgajai personai par datu apstrādi un datu nosūtīšanu ir jācenšas ieviest atbilstošus aizsardzības pasākumus un izmantot šos izņēmumus tikai tad, ja šādas atbilstošas garantijas nevar tikt nodrošinātas. Datu aizsardzības iestādes stingri interpretē Regulas 49. pantu, tāpēc izņēmums nevar kļūt par pamatu ilgstošai personas datu apstrādei.

Kas notiek ar datiem, kurus saņemam no AK “No-deal” Brexit gadījumā?

AK valdība ir apņēmusies saglabāt brīvu personas datu plūsmu datu saņemšanai no AK uz ES. Līdz ar to papildu drošības pasākumi netiks ieviesti, taču, saņemot personas datus no AK uzņēmēja (datu pārzinis) un/vai uzņēmēja (datu apstrādātājs), ir svarīgi tomēr pārliecināties, vai datu nosūtīšanas principi atbilst Regulas noteikumiem vai jebkuram citam īpašam tiesiskajam regulējumam.

^[1] Tas izriet no kārtības, kādu paredz Līguma par Eiropas Savienību 50. pants – kad valsts oficiāli paziņo par tās nodomu izstāties, sākas divu gadu laika atskaite (sākot ar 2016. gada referendumu Apvienotajā Karalistē).

^[2] Eiropas Parlamenta un Padomes Direktīva (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI.