Asmens duomenų perdavimo į Jungtinę Karalystę (JK) ir tokių duomenų gavimo iš JK klausimas po to, kai JK sutarimas dėl pasitraukimo sąlygų („Brexit“ susitarimas) JK parlamente nebuvo patvirtintas, yra svarbus įmonėms, įstaigoms ir kitiems asmenims, kurie perduoda asmens duomenis į JK, įskaitant Šiaurės Airiją.

Pateikiame aktualios informacijos Lietuvos organizacijoms, kurių veikla susijusi su asmens duomenų perdavimu į JK. Jeigu 2019 m. kovo 30 d. JK pasitrauks iš Europos Sąjungos (ES) be „Brexit“ susitarimo, juridiniai ar kiti asmenys turės būti pasiruošę asmens duomenų perdavimo mechanizmus, užtikrinančius asmens duomenų perdavimo į JK teisėtumą.

Vadovaujantis Bendruoju duomenų apsaugos reglamentu, tarp ES valstybių narių yra užtikrinamas laisvas asmens duomenų judėjimas. Tuo atveju, kai asmens duomenų gavėjas yra įsisteigęs už Europos Ekonominės Erdvės (EEE) ribų, laikoma, kad asmens duomenys perduodami į „trečiąsias valstybes“, todėl juridiniai asmenys turi imtis papildomų apsaugos priemonių, siekiant užtikrinti nenutrūkstamą ES duomenų apsaugos standartų taikymą po duomenų perdavimo.

Nuo 2019 m. kovo 30 d., jei JK pasitrauks iš ES be „Brexit“ susitarimo, ji taps trečiąja valstybe ir duomenų perdavimas į JK bus vertinamas kaip perdavimas į trečiąją valstybę. Tai turės pasekmių kiekvienam juridiniam ir kitam asmeniui, su kuriuo JK (įskaitant Šiaurės Airiją) įsteigti juridiniai asmenys ar kitos organizacijos vykdys prekybą ar bet kokio kito pobūdžio veiklą, nes Lietuvoje veikiantys juridiniai ir kiti asmenys, perduodantys asmens duomenis, turės įgyvendinti tinkamas asmens duomenų perdavimo į JK teisinės apsaugos priemones. Pavyzdžiui, jei šiuo metu Lietuvos įmonės darbuotojų darbo užmokestį apskaičiuoja (išmoka) JK įsteigtas duomenų tvarkytojas, tokia įmonė privalės užtikrinti tinkamą į JK perduodamų asmens duomenų teisinę apsaugą. Ta pati taisyklė galioja ir tuo atveju, jei Lietuvos įmonė ar valstybinė institucija naudojasi debesų infrastruktūra, kurią teikia JK įsteigtas teikėjas.


Duomenų perdavimas iš Lietuvos į JK po 2019 m. kovo mėn., nesant „Brexit“ susitarimo

Nuo JK pasitraukimo iš ES dienos Bendrojo duomenų apsaugos reglamento nuostatos dėl asmens duomenų perdavimo į trečiąsias valstybes bus pradėtos taikyti1 ir JK. Europos Komisijos interneto svetainėje yra išskirti teisiniai būdai, kurie gali būti naudojami vykdant duomenų perdavimą iš ES valstybės narės į trečiąją valstybę. Europos Komisija kai kurių valstybių (tokių kaip Izraelis ir Argentina) duomenų apsaugos sistemą yra pripažinusi kaip tinkamą. Toks sprendimas dėl tinkamumo reiškia, kad asmens duomenų iš EEE į tokią trečiąją valstybę judėjimas gali vykti be papildomų apsaugos priemonių. Tačiau, tokio pripažinimo JK reguliavimui 2019 m. kovo mėn. pabaigoje nebus2.

Dažniausiai naudojamas alternatyvus perdavimo būdas – tai Europos Komisijos patvirtintos standartinės ar pavyzdinės sutarties sąlygos, įgyvendinančios sutartines apsaugos priemones tarp duomenų siuntėjo ir gavėjo.

Papildomos informacijos apie teisinius asmens duomenų perdavimo į trečiąsias valstybes būdus galima rasti Europos Komisijos interneto svetainėje: https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu_en.

JK asmens duomenų apsaugos priežiūros institucija – Informacijos komisionierių biuras (ICO), taip pat yra paskelbusi gaires anglų kalba apie asmens duomenų gavimą JK iš EEE šalių: https://ico.org.uk/for-organisations/data-protection-and-brexit/data-protection-if-there-s-no-brexit-deal/the-gdpr/.


Tolimesni juridinių ir kitų asmenų, perduodančių duomenis į JK, įskaitant Šiaurės Airiją, žingsniai:

- Nustatyti, kokie asmens duomenys yra perduodami į JK.

- Jeigu būtų nuspręsta, kad asmens duomenų perdavimas į JK yra reikalingas, įvertinti Bendrajame apsaugos reglamente įtvirtintus skirtingus duomenų perdavimo būdus ir nuspręsti, kuris iš jų labiausiai atitinka konkrečią situaciją, bei imtis pasirinkto būdo įgyvendinimo dar iki 2019 m. kovo 30 d. duomenų perdavimo.

Konsultacijų dėl asmens duomenų teikimo į trečiąsias šalis galite kreiptis į Valstybinę duomenų apsaugos inspekciją.

 


1Bendrojo duomenų apsaugos reglamento V skyrius nustato asmens duomenų perdavimo į trečiąsias valstybes arba tarptautinėms organizacijoms reikalavimus.