Asmens duomenų perdavimas ES nepriklausančioms šalims: sutarčių standartinės sąlygos

 

DOKUMENTAS, KURIO SANTRAUKA PATEIKIAMA:

Sprendimas 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Direktyvos 95/46/EB nuostatas

KOKS ŠIO SPRENDIMO TIKSLAS?

Šiuo sprendimu nustatomos sutarčių standartinės sąlygos, kurias duomenų valdytojai* (eksportuotojai) gali naudoti ES, kai perduoda asmens duomenis* duomenų tvarkytojams* (importuotojams), įsisteigusiems už ES ar EEE ribų, kad būtų užtikrintos tinkamos duomenų apsaugos priemonės ir būtų laikomasi ES duomenų apsaugos teisės aktų reikalavimų (Bendrasis duomenų apsaugos reglamentas, Reglamentas (ES) 2016/679 – žr. santrauką).

PAGRINDINIAI ASPEKTAI

Standartinės sutarčių sąlygos yra išdėstytos sprendimo priede. Standartinės sutarčių sąlygos yra susijusios tik su duomenų apsauga. Šalys gali įtraukti jas į platesnę sutartį arba papildyti jas kitomis nuostatomis ar papildomomis apsaugos priemonėmis, jei jos tiesiogiai ar netiesiogiai neprieštarauja šiuo sprendimu priimtoms standartinėms sutarčių sąlygoms.

1 sąlyga. Sąvokų apibrėžtys

Čia pateikiamos pagrindinių sąvokų, vartojamų standartinėse sutarties sąlygose, apibrėžtys.

2 sąlyga. Išsami informacija apie perdavimą

Šalys sutarties sąlygų priede turėtų pateikti išsamią informaciją apie perdavimą, įskaitant atitinkamą duomenų importuotojo ir eksportuotojo veiklą, perduotų asmens duomenų kategorijas ir tvarkymo veiksmus, kurie bus atliekami su perduotais asmens duomenimis.

3 sąlyga. Trečiosios šalies naudos gavėjos sąlyga

Ši sąlyga leidžia duomenų subjektams iškelti ieškinį duomenų eksportuotojui, duomenų importuotojui ar pagalbiniam duomenų tvarkytojui kaip trečiajai šaliai naudos gavėjai. Taip pat nustatoma, kad šalys neprieštarauja, kad duomenų subjektui atstovautų asociacija arba kita įstaiga, jeigu tai leidžiama pagal nacionalinę teisę.

4 sąlyga. Duomenų eksportuotojo įsipareigojimai

Šioje sąlygoje nustatomi duomenų eksportuotojo sutartiniai įsipareigojimai. Jis turi sutikti ir užtikrinti, kad:

• asmens duomenų tvarkymas vykdomas tik laikantis duomenų apsaugos teisės nuostatų;
• jis davė nurodymus duomenų importuotojui tvarkyti duomenis tik duomenų eksportuotojo vardu ir laikantis duomenų apsaugos teisės bei sąlygų;
• jis suteikia pakankamas garantijas (ir jų laikosi), susijusias su techninėmis ir organizacinėmis saugumo priemonėmis, kad asmens duomenys nebūtų netyčia ar neteisėtai sunaikinti, prarasti, pakeisti, neleistinai atskleisti ar palikti prieinami, visų pirma, kai duomenys tvarkomi tinklu;
• duomenų subjektui buvo pranešta, kad jo specialių kategorijų duomenys gali būti perduoti ES nepriklausančiai šaliai, neužtikrinančiai reikiamos duomenų apsaugos;
• persiųs duomenų apsaugos priežiūros institucijai bet kokį pranešimą, gautą iš duomenų importuotojo, apie tai, kad pastarasis nesilaiko sąlygų, jeigu duomenų eksportuotojas nusprendžia tęsti perdavimą;
• pagal pageidavimą pateiks duomenų subjektams sąlygų kopiją su saugumo priemonių aprašymo santrauka;
• pagalbinio tvarkymo atveju tvarkymo veiklą vykdantis pagalbinis duomenų tvarkytojas turi užtikrinti bent tokį patį asmens duomenų apsaugos lygį, kokį užtikrina duomenų importuotojas.

5 sąlyga. Duomenų importuotojo įsipareigojimai

Šioje sąlygoje nustatomi duomenų importuotojo sutartiniai įsipareigojimai. Jis turi sutikti ir užtikrinti, kad:

• tvarkys asmens duomenis tik duomenų eksportuotojo vardu ir laikysis jo nurodymų ir sąlygų;
• neturi pagrindo manyti, kad pagal jam taikytiną teisę jis negalės vykdyti iš duomenų eksportuotojo gautų nurodymų ir savo įsipareigojimų pagal sutartį;
• kuo greičiau praneš apie bet kokius teisės aktų pakeitimus, kurie gali turėti didelį neigiamą poveikį pagal šias sąlygas teikiamoms garantijoms ir prisiimtiems įsipareigojimams. Duomenų eksportuotojas tokiu atveju turi teisę sustabdyti duomenų perdavimą ir (arba) nutraukti sutartį;
• prieš pradėdamas tvarkyti perduotus asmens duomenis jis įgyvendino nustatytas technines ir organizacines saugumo priemones;
• kuo greičiau praneš duomenų eksportuotojui apie bet kokį teisėsaugos institucijų prašymą atskleisti asmens duomenis, bet kokią atsitiktinę arba nesankcionuotą prieigą prie duomenų ir bet kokius tiesioginius duomenų subjektų prašymus, neatsakydamas į juos, išskyrus atvejus, kai jis turi leidimą tai daryti;
• greitai ir tinkamai atsakys į visas duomenų eksportuotojo užklausas ir laikysis priežiūros institucijos rekomendacijų;
• duomenų eksportuotojo prašymu leis atlikti savo duomenų tvarkymo priemonių auditą, kiek tai susiję su šių sąlygų apimama duomenų tvarkymo veikla;
• pagal pageidavimą pateiks duomenų subjektams sąlygų kopiją su saugumo priemonių aprašymo santrauka;
• pagalbinio duomenų tvarkymo atveju jis gavo duomenų eksportuotojo išankstinį raštišką sutikimą.

6 sąlyga. Atsakomybė

Reikalaujama, kad šalys susitartų, jog bet koks duomenų subjektas, kuriam padaryta žala, nes nebuvo vykdomi nustatyti įsipareigojimai, turi teisę gauti kompensaciją iš duomenų eksportuotojo dėl patirtos žalos.

7 sąlyga. Tarpininkavimas ir jurisdikcija

Duomenų importuotojas turi sutikti, kad jeigu duomenų subjektas prieš jį pasinaudoja trečiosios šalies naudos gavėjos teisėmis ir (arba) pareikalauja kompensuoti žalą, duomenų importuotojas sutiks su duomenų subjekto sprendimu kreiptis dėl ginčo į nepriklausomą tarpininką arba į ES šalies, kurioje įsisteigęs duomenų eksportuotojas, teismą (teisė imtis teisių gynimo priemonių pagal kitas nacionalinės arba tarptautinės teisės nuostatas).

8 sąlyga. Bendradarbiavimas su priežiūros institucijomis

Ši sąlyga taikoma bendradarbiavimui su kompetentinga priežiūros institucija, numatant, kad:

• priežiūros institucija turi teisę atlikti duomenų importuotojo ir bet kurio pagalbinio duomenų tvarkytojo auditą;
• duomenų importuotojas sutinka pranešti duomenų eksportuotojui apie taikytinų teisės aktų, kurie neleistų atlikti duomenų importuotojo audito, buvimą. Tokiu atveju duomenų eksportuotojas turi teisę sustabdyti duomenų perdavimą arba nutraukti sutartį.

9 sąlyga. Reglamentuojantys teisės aktai

Sąlygos reglamentuojamos ES šalies, kurioje įsikūręs duomenų eksportuotojas, teise.

10 sąlyga. Sutarties variantiškumas

Šalims draudžiama įvairinti ir keisti sąlygas, taip pat joms prieštarauti.

11 sąlyga. Pagalbinis duomenų tvarkymas

Su pagalbiniu duomenų tvarkymu susijusioms nuostatoms taikoma ES šalies, kurioje įsikūręs duomenų eksportuotojas, teisė.

12 sąlyga. Įsipareigojimai nutraukus asmens duomenų tvarkymo paslaugų teikimą

Šia sąlyga reglamentuojami šalių įsipareigojimai nutraukus duomenų tvarkymą. Visų pirma šalys turėtų sutarti, kad nutraukus asmens duomenų tvarkymo paslaugų teikimą duomenų importuotojas ir pagalbinis duomenų tvarkytojas grąžins visus perduotus asmens duomenis (arba paprašius juos sunaikins), išskyrus atvejus, kai tai draudžiama pagal teisės aktus.

NUO KADA TAIKOMAS ŠIS SPRENDIMAS?

Sprendimas taikomas nuo 2010 m. gegužės 15 d.

KONTEKSTAS

• Pastaba. Dėl šio sprendimo buvo prašoma priimti prejudicinį sprendimą, todėl 2020 m. liepos 16 d. ES Teisingumo Teismas priėmė sprendimą (byla C-311/18), kuriuo teismas patvirtino sprendimo galiojimą.
• Europos Komisija taip pat išleido du standartinių sutarties sąlygų rinkinius, skirtus tiems atvejams, kai ES esantys duomenų valdytojai perduoda duomenis už ES ar EEE ribų įsisteigusiems duomenų valdytojams.
• Taip pat žr.:
  • Duomenų apsauga (Europos Komisija).

SVARBIAUSIOS SĄVOKOS

PAGRINDINIS DOKUMENTAS

2010 m. vasario 5 d. Komisijos sprendimas 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas (OL L 39, 2010 2 12, p. 5–18)

Vėlesni Sprendimo 2010/87/ES daliniai pakeitimai buvo įterpti į pradinį tekstą. Ši konsoliduota versija yra skirta tik informacijai.

SUSIJĘ DOKUMENTAI

2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1–88)

Žr. konsoliduotą versiją.

2004 m. gruodžio 27 d. Komisijos sprendimas 2004/915/EB, iš dalies keičiantis Sprendimą 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų (OL L 385, 2004 12 29, p. 74–84)

2001 m. birželio 15 d. Komisijos sprendimas 2001/497/EB dėl sutarčių, susijusių su asmens duomenų perdavimu trečiosioms šalims, tipinių punktų, atsižvelgiant į Direktyvą 95/46/EB (OL L 181, 2001 7 4, p. 19–31)

Žr. konsoliduotą versiją.

1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995 11 23, p. 31–50)

Žr. konsoliduotą versiją.

paskutinis atnaujinimas 07.10.2020