2024-04-11

Vilniuje vyko VDAI organizuojamas Įmonėms privalomų taisyklių seminaras (BCR workshop)

Vilniuje įvyko ES priežiūros institucijų susitikimas dėl Bendrajame duomenų apsaugos reglamente numatytų įmonėms privalomų taisyklių vertinimo praktikos

 

2024 m. balandžio 9–10 d. Valstybinė duomenų apsaugos inspekcija Vilniuje surengė ES valstybių narių asmens duomenų apsaugos priežiūros institucijų darbinį seminarą dėl įmonėms privalomų taisyklių (angl. Binding Corporate Rules) vertinimo. Renginyje dalyvavo Europos duomenų apsaugos valdybos Tarptautinio asmens duomenų perdavimo pogrupio (angl. International Transfers Subgroup) nariai ir kiti priežiūros institucijų atstovai, siekiant dalintis turima patirtimi ir įgyvendinti Bendrajame duomenų apsaugos reglamente (BDAR) įtvirtintą nuoseklumo mechanizmą.

 

Asmens duomenų teikimas į trečiąsias valstybes yra daugumo verslo subjektų ar valstybės institucijų neatsiejama veiklos dalis. Visų rinkos dalyvių veikla, naudojami produktai, technologijos ir infrastruktūra nuolat kinta, integruoja vystomas ir plečiamas informacinių technologijų galimybes, neretai susijusias su asmens duomenų tvarkymu, neapsiribojančiu tik Europos Ekonominės Erdvės sienomis. Atitinkamai, tai kelia tokiems rinkos dalyviams papildomų iššūkių, siekiant užtikrinti, kad jų veikla ar jai vykdyti naudojamos priemonės išlaikytų tinkamą balansą tarp verslo ar valstybės institucijų siekių ir asmens duomenų (juos tvarkant trečiosiose valstybėse) apsaugos.

 

Primename, kad tais atvejais, kai asmens duomenis siekiama perduoti į trečiąsias valstybes, asmens duomenis perduodantys subjektai turi užtikrinti BDAR reikalavimus, tokiu būdu užtikrinant, kad asmens duomenis tvarkant trečiosiose valstybėse tokiems duomenims būtų užtikrinama lygiavertė apsauga. Taigi, nors bet koks asmens duomenų tvarkymas turi, visų pirma, būti teisėtas (BDAR 5, 6, 9, 10 straipsniai), tais atvejais, kai jie perduodami į trečiąsias valstybes, papildomai turi būti naudojami ir asmens duomenų perdavimo į trečiąsias valstybes įrankiai, nustatyti BDAR V skyriuje. Nors BDAR 46 straipsnis nustato aštuonis tokius įrankius, tačiau praktikoje šiuo metu aktyviai naudojami tik keli iš jų.

 

Įmonei privalomos taisyklės (toliau – BCR), kaip vienas iš asmens duomenų perdavimo į trečiąsias valstybes įrankių (BDAR 46 straipsnio 2 dalies b punktas), yra sukurtas naudoti įmonių grupėms (atsižvelgiant į asmens duomenų tvarkymo tarp įmonių grupės narių specifiką) buvo naudojamas dar iki BDAR įsigaliojimo, todėl per ilgą taikymo laikotarpį buvo reguliariai tobulinamas, įvertinant rinkos dalyvių poreikius ir asmens duomenų apsaugos priežiūros institucijos patirtį ir lūkesčius.

 

Asmens duomenų apsaugos priežiūros institucijos reguliariai (kas 2 metus) organizuoja vidinius mokymus ir darbinius seminarus, siekdamos dalintis turima patirtimi BCR vertinimo klausimais ir išspręsti daugiausiai diskusijų keliančius aspektus, susijusius su BCR vertinimu ir naujų reikalavimų jų turiniui (žr. Rekomendacijas) įgyvendinimu. Lietuvoje toks susitikimas organizuotas pirmą kartą.

IMG_3835-i_vidu.JPG