Nesen tika svinēta Vispārīgās datu aizsardzības regulas (VDAR) spēkā stāšanās gadskārta (25. maijs) un mēs gribētu atgādināt jums par galvenajiem jautājumiem, kas attiecas uz datu pārsūtīšanu uz ārzemēm jeb tā dēvētajām trešajām valstīm. Vispārīgā datu aizsardzības regula (VDAR) sadala pasauli divās daļās:
a) Eiropas Ekonomikas zona (EEZ), kurā personas datu apstrādei nav īpašu šķēršļu,
b) valstis ārpus EEZ jeb trešās valstis. Datu plūsmas ārpus EEZ (ieskaitot mākoņpakalpojumus, kopīgu piekļuvi datu bāzēm utt.) tiek stingri regulētas un uz tām attiecas konkrēti drošības mehānismi.
Mūsu digitālajā pasaulē uzņēmumiem nereti ir sadarbības partneri no visas pasaules vai arī uzņēmumi paši ir daļa no lielākas grupas. Lai šādos gadījumos nodrošinātu veiksmīgu globālu darbību, uzņēmumiem ir efektīvi jāpārvalda savu cilvēkresursu un klientu dati. Piemēram, kopīgas iekšējās datu bāzes ir viens no rīkiem, kas palīdz uzņēmumiem to īstenot. Tomēr tas nozīmē, ka tiek apstrādāti un pārsūtīti personas dati.
Datu aizsardzības vide nepārtraukti mainās, un izmaiņas, kas skar personas datu pārsūtīšanu uz valstīm ārpus EEZ, notiek nepārtraukti. Piemēram, Brexit vai Eiropas Savienības Tiesas spriedums Schrems II lietā, kas anulē privātuma vairoga mehānismu, kas tika izmantots datu pārsūtīšanai uz ASV.
Jaunās līguma standartklauzulas
Pavisam nesen Eiropas Komisija ir pieņēmusi arī jaunās līguma standartklauzulas (LSK) par personas datu pārsūtīšanu uz trešajām valstīm. Tas ietekmē lielu skaitu uzņēmumu, jo LSK ir ļoti plaši izmantots datu pārsūtīšanas mehānisms. Jaunās LSK ir pieejamas šeit. Ja jūsu uzņēmums pašlaik izmanto vecās LSK, termiņš to aizstāšanai ar jaunajām LSK ir 2022. gada 27. decembris. Garāks pārejas periods netiek attiecināts uz jauniem līgumiem: pēc 2021. gada 27. septembra jaunus līgumus nevar parakstīt, izmantojot iepriekšējos LSK modeļus.
Ņemot vērā iepriekš minēto, mēs esam sagatavojuši īsu “darāmo darbu” sarakstu, kas palīdzēs pārliecināties, ka jūsu uzņēmums ir izpildījis VDAR prasības. Proti, ir nepieciešams:
1) novērtēt jūsu datu plūsmas, rūpīgi apsverot visus sadarbības partnerus (IT, mākoņpakalpojumi), lai saprastu, vai ir iespējams turpināt sadarbību un kādi pasākumi jāveic;
2) novērtēt vajadzību ieviest piemērotus drošības pasākumus datu pārsūtīšanai uz valstīm ārpus EEZ;
3) izskatīt un, ja nepieciešams, grozīt datu apstrādes līgumus ar sadarbības partneriem (standarta noteikums ir, ka datus nevar pārsūtīt ārpus EEZ). Ja jūsu līgumi ar sadarbības partneriem satur vecās LSK, tās nepieciešams aizstāt līdz 2022. gada 27. decembrim;
4) izskatīt privātuma politikas, kas bieži nosaka, ka dati netiek pārsūtīti ārpus EEZ, vai arī tie atsaucas uz privātuma vairoga mehānismu.