2023-11-28

ES priežiūros institucijos susitiko dėl Bendrajame duomenų apsaugos reglamente numatytos sertifikavimo kriterijų vertinimo praktikos

2023 m. lapkričio 22–24 d. Liuksemburge įvyko ES valstybių narių asmens duomenų apsaugos priežiūros institucijų darbinis seminaras dėl sertifikavimo kriterijų (sertifikavimo schemų) vertinimo Europos duomenų apsaugos valdybos Atitikties, e. valdžios ir sveikatos ekspertų pogrupyje (angl. Compliance, E-government and Health Expert Subgroup), įgyvendinant Bendrajame duomenų apsaugos reglamente (BDAR) įtvirtintą nuoseklumo mechanizmą.

Šis darbinis seminaras yra kovo mėn. vykusio panašaus seminaro Madride tęsinys. Pirmojo seminaro metu buvo vertinami įvairūs praktikoje daugiausiai diskusijų kėlę sertifikavimo schemų vertinimo aspektai, tokiu būdu siekiant užtikrinti vienodą vertinimo mechanizmą visoje Europos Ekonominėje Erdvėje (EEE). Liuksemburge buvo sprendžiami klausimai, susiję su asmens duomenų teikimu į trečiąsias valstybes.

Atkreipiame dėmesį, kad sertifikavimas taikant BDAR yra aktualus dviem atvejais, t. y. tai gali būti vienas iš:

  1. atskaitomybės (BDAR preambulės 100 konstatuojamoji dalis ir 5 straipsnio 2 dalis) būdų, padedančių įrodyti, kad duomenų valdytojas ar duomenų tvarkytojas laikosi BDAR. Šiuo atveju sertifikavimas reglamentuojamas BDAR 42 straipsniu, arba
  2. asmens duomenų perdavimo į trečiąsias valstybes įrankių (apsaugos priemonių), užtikrinančių, kad asmens duomenims, kurie buvo perduoti už EEE teritorijos ribų, taikomas apsaugos lygis nesumažėtų. Šiuo atveju sertifikavimas reglamentuojamas BDAR 46 straipsnio 2 dalies f punktu.

Seminare buvo aptariami klausimai, susiję tiek su sertifikavimo schemomis pagal BDAR 42 straipsnį (kai šia schema siekiama sertifikuoti asmens duomenų tvarkymo operacijas, apimančias ir asmens duomenų perdavimą į trečiąsias valstybes; šiuo atveju vertinama, kaip asmens duomenis teikiantis subjektas laikosi reikalavimų, nustatytų BDAR V skyriuje), tiek pagal BDAR 46 straipsnį (kai sertifikavimo schema iš esmės skirta įrodyti, kad asmens duomenis gaunantis subjektas trečiojoje valstybėje užtikrina asmens duomenų apsaugą, atitinkančią nustatytąją BDAR).

Darbiniame seminare Liuksemburge dalyvavo VDAI Teisės skyriaus patarėja Margarita Valčiukė bei vyriausioji specialistė Lina Klimavičienė. M. Valčiukė buvo dviejų seminaro temų koordinatorė. Seminaro dalyviai nagrinėjo atskirus šių klausimų taikymo praktikoje aspektus darbo grupėse, vienos iš šių grupių moderatorių buvo ir VDAI atstovė.