Fizisko personu datu aizsardzības regulējuma aktualitātes
Personas datu nosūtīšana
Datu regulas 5.nodaļas mērķis
Rīki personas datu nosūtīšanai uz trešajām valstīm
Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību (Regulas 45. pants)
Valstis par kurām ir pieņemts adekvātuma lēmums
Atbilstošas garantijas
Nosūtīšana, kas nodrošināta balstoties uz starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu
Nosūtīšana, kas nodrošināta ar saistošiem uzņēmuma noteikumiem (Regulas 46 (2) b), 47)
Saistošo noteikumu saturs (1):
Saistošo noteikumu saturs (2):
Nosūtīšana, kas nodrošināta ar standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 93.panta 2.punktā minēto
EST atziņas par standartklauzulām:
EST atziņas par standartklauzulām:
EST atziņas par standartklauzulām:
Nosūtīšana, izmantojot atkāpes īpašiem gadījumiem (1) (Regulas 49.pants)
Nosūtīšana, izmantojot atkāpes īpašiem gadījumiem (2) (Regulas 49.pants)
Izņēmumu piemērošana:
Datus var nosūtīt uz trešo valsti vai starptautisku organizāciju tikai tad, ja nosūtīšana:
Soļi pirms datu nodošanas
Papildus pasākumi
Eiropas savienības tiesas prakse attiecībā uz datu nodošanu ASV
ES-ASV regulējums privātuma jomā
EST atziņas par Privātuma vairogu
EST atziņas par Privātuma vairogu
ES-ASV Privātuma ietvara nosacījumi:
Beigās viss būs labi!
37.11M

Datu nodošana uz 3.valstīm

1. Fizisko personu datu aizsardzības regulējuma aktualitātes

Personas datu nodošana uz trešajām valstīm

2. Personas datu nosūtīšana

Personas dati tiek apstrādāti arī
ārpus ES valstīm
Personas datus apstrādā kompānijas,
kuras ir reģistrētas ārpus ES
Valstis apmainās ar persoans datiem
savu nolūku sasniegšanai
Personu brīva kustība
Personu brīva nodarbināšana
Interneta platformas/sociālie tīkli

3. Datu regulas 5.nodaļas mērķis

Jānodrošina, ka datu aizsardzības
līmenis, ko garantē regula, netiek
samazināts
Personas datus var nosūtīt uz trešo
valsti vai starptautisku organizāciju
tikai tad, ja tiek ievēroti visi
noteikumi, kas paredzēti regulā
Datu subjektiem ir jāsaņem atbilstīgas
garantijas un jābūt pieejamām
īstenojamām datu subjekta tiesībām
un efektīviem tiesiskās aizsardzības
līdzekļiem.

4. Rīki personas datu nosūtīšanai uz trešajām valstīm

Adekvātuma lēmums
(45.p)
Atbilstošas garantijas
(46.p)

5. Nosūtīšana, pamatojoties uz lēmumu par aizsardzības līmeņa pietiekamību (Regulas 45. pants)

Lēmumu pieņem Komisija
Lēmums nozīmē, ka valstī
attiecībā pret kuru pieņemts
lēmums tā tvēruma apjomā
papildus aizsardzības pasākumi
nav nepieciešami
Valstu par kurām pieņems
lēmums skaits nav nemainīgs

6. Valstis par kurām ir pieņemts adekvātuma lēmums

Japāna
Jaunzēlande
Urugvajas Austrumu Republika
Izraēlas valsts
Andoras Firstiste
Argentīnas Republika
Fēru salas
Gērnsija
Džērsija
Kanāda (attiecībā uz komerciālām organizācijām),
Menas sala
Šveices Konfederācija
Korejas Republika
Lielbritānija
6

7. Atbilstošas garantijas

Juridiski saistošs instruments starp
publiskām iestādēm
Standarta aizsardzības klauzulas (SCCs)
(Komisijas vai uzraudzības iestādes)
Saistoši uzņēmuma noteikumi (BCRs)
Rīcības kodeksi
Sertifikācijas mehānisms
Līgumiskas klauzulas /administratīvās
vienošanās (ar uzraudzības iestādes
atļauju)

8. Nosūtīšana, kas nodrošināta balstoties uz starp publiskām iestādēm vai struktūrām juridiski saistošu un tiesiski īstenojamu

instrumentu vai administratīvu
vienošanos
(Regulas 46 (2) a), 46 (3) b))
Jānodrošina īstenojamas datu subjektu
tiesības un efektīvi tiesiskās aizsardzības līdzekļi
Ja garantijas tiek sniegtas juridiski nesaistošos
administratīvās vienošanās (AV) dokumentos,
ir nepieciešams saņemt kompetentās
uzraudzības iestādes atļauju (saskaņojams ar
EDAK)
Ja trešās valsts tiesību aktos nav noteiktas
EEZ fizisko personu datu aizsardzības tiesības
priekšroka būtu dodama juridiski saistoša
nolīguma slēgšanai
AV vai nu saņēmēja iestādes garantijas, ka
aizsardzība nodrošināta saistošos TA, vai
tiesības jāgarantē ar īpašām saistībām
8

9. Nosūtīšana, kas nodrošināta ar saistošiem uzņēmuma noteikumiem (Regulas 46 (2) b), 47)

Izstrāde, saturs un apstiprināšanas procedūras
ir detalizēti atrunātas Regulā un EDAK
vadlīnijās
Izstrādātais dokuments un to papildinošo
dokumentu kopums ir apstiprināms EDAK;
Dokumentu kopumam jānodrošina adekvāts
aizsardzības līmenis
Rīks uzņēmuma saistošie noteikumi pieejams
privātajam sektoram
Uzņēmumiem, kas plāno šo rīku izstrādāt
jārēķinās ar lielu darba stundu ieguldījumu un
to, ka saskaņošanas process ir smagnējs
9

10. Saistošo noteikumu saturs (1):

Uzņēmumu struktūra un kontaktinformācija:
Norādīt katras uzņēmumu grupas vai uzņēmējsabiedrību grupas struktūru un
kontaktinformāciju.
Datu nosūtīšana:
Aprakstīt datu nosūtīšanu, ietverot personas datu kategorijas, apstrādes veidu un
nolūkus, datu subjektu veidus un trešās valsts identifikāciju.
Saistošais raksturs:
Norādīt noteikumu juridiski saistošo raksturu gan iekšēji, gan ārēji.
Datu aizsardzības principi:
Piemērot vispārīgos datu aizsardzības principus, piemēram, nolūka ierobežojumus, datu
minimizēšanu, glabāšanas laikposmus, datu kvalitāti un drošību.
Datu subjektu tiesības:
Aprakstīt datu subjektu tiesības un līdzekļus šo tiesību īstenošanai, ieskaitot tiesības
iesniegt sūdzību un saņemt kompensāciju.
Atbildība par pārkāpumiem:
Pārzinis vai apstrādātājs uzņemas atbildību par saistošo uzņēmuma noteikumu
pārkāpumiem.
Informācijas sniegšana:
Sniedz informāciju datu subjektam par saistošajiem uzņēmuma noteikumiem.

11. Saistošo noteikumu saturs (2):

Datu aizsardzības speciālists:
Norādīt datu aizsardzības speciālista vai atbildīgās personas uzdevumus.
Sūdzību procedūras:
Aprakstīt sūdzību procedūras.
Verifikācijas mehānismi:
Izveidot mehānismus, lai nodrošinātu saistošo uzņēmuma noteikumu
ievērošanu, piemēram, datu aizsardzības revīzijas.
Izmaiņu ziņošana:
Mehānismi, lai ziņotu par izmaiņām noteikumos un tās reģistrētu.
Sadarbība ar uzraudzības iestādi:
Sadarbības mehānismi ar uzraudzības iestādi, lai nodrošinātu noteikumu
ievērošanu.
Juridisko prasību ziņošana:
Mehānismi, lai ziņotu par juridiskajām prasībām, kurām var būt nelabvēlīga
ietekme.
Apmācība:
Nodrošināt piemērotu datu aizsardzības apmācību personālam.

12. Nosūtīšana, kas nodrošināta ar standarta datu aizsardzības klauzulām, ko Komisija pieņem saskaņā ar 93.panta 2.punktā minēto

pārbaudes procedūru (Regulas 46 (2) c))
Komisijas īstenošanas lēmums (ES) 2021/914 par
līguma standartklauzulām attiecībā uz personas datu
nosūtīšanu trešām valstīm saskaņā ar Eiropas
Parlamenta un Padomes Regulu (ES) 2016/679
Standartklauzas var būt elements plašākā līgumā, tās
pēc būtības ir normu kopums, kas nosaka personas
datu aizsardzības nosacījumus
Izmantojot Standartklauzas kā rīku personas datu
atbilstības nodrošināšanai var būt nepieciešama
papildus aizsardzības pasākumu ieviešana
12

13. EST atziņas par standartklauzulām:

Ir jānodrošina, lai to personu tiesībām, kuru
personas dati tiek pārsūtīti uz trešo valsti,
pamatojoties uz datu aizsardzības
standartklauzulām, tiktu piemērots būtībā
līdzvērtīgs aizsardzības līmenis tam, kāds ir
garantēts ES:
ir jāņem vērā gan līguma noteikumi starp pārzini
vai un attiecīgajā trešajā valstī reģistrēto
saņēmēju
gan iespējamu šīs trešās valsts publisko iestāžu
piekļuvi šādi pārsūtītajiem personas datiem – šīs
trešās tiesību sistēmas būtiskie elementi

14. EST atziņas par standartklauzulām:

Standartklauzulu mērķis ir vienīgi sniegt ES reģistrētajiem
personas datu pārziņiem vai apstrādātājiem līgumā paredzētās
garantijas, kas ir piemērojamas vienveidīgi visās trešajās
valstīs un tādējādi neatkarīgi no katrā no tām garantētā
aizsardzības līmeņa.
Ciktāl standartklauzulas nevar sniegt garantijas, kas pārsniegtu
līgumisko pienākumu nodrošināt, lai tiktu ievērots ES prasītais
aizsardzības līmenis, atkarībā no situācijas vienā vai citā
trešajā valstī personas datu apstrādātājam var būt
nepieciešams noteikt tās papildinošus pasākumus, lai
nodrošinātu šī aizsardzības līmeņa ievērošanu.
Pārzinim katrā atsevišķā gadījumā un sadarbībā ar saņēmēju ir
jāpārbauda, vai galamērķa trešās valsts tiesības nodrošina no
ES aspekta pietiekamu aizsardzību personas datiem, kas tikuši
pārsūtīti, pamatojoties uz datu aizsardzības standartklauzulām,
vajadzības gadījumā sniedzot garantijas papildus šajās
klauzulās ietvertajām.

15. EST atziņas par standartklauzulām:

Ja pārzinis vai apstrādātājs, kas reģistrēts Savienībā,
nevar veikt vajadzīgos papildu pasākumus, lai
nodrošinātu šādu aizsardzību, tad tiem vai, pakārtoti,
uzraudzības iestādei, ir jāaptur vai jāizbeidz personas
datu pārsūtīšana uz attiecīgo trešo valsti.
Pārzinim un personas datu saņēmējam vispirms ir
jāpārbauda, vai attiecīgajā trešajā valstī ir ievērots
Savienības tiesībās prasītais aizsardzības līmenis.
Datu saņēmējam attiecīgā gadījumā ir pienākums saskaņā
ar tās pašas 5. klauzulas b) punktu informēt personas datu
pārzini par to, ka tam nav iespējams izpildīt šīs klauzulas,
un datu pārzinim ir pienākums apturēt datu nosūtīšanu
un/vai izbeigt līgumu.

16. Nosūtīšana, izmantojot atkāpes īpašiem gadījumiem (1) (Regulas 49.pants)

a)
Datu subjekts ir skaidri piekritis ierosinātajai
nosūtīšanai pēc tam, kad ir ticis informēts par
iespējamiem riskiem, ko šāda nosūtīšana var
radīt datu subjektam lēmuma par aizsardzības
līmeņa pietiekamību un atbilstošu garantiju
trūkuma dēļ
b) Nosūtīšana ir vajadzīga, lai izpildītu līgumu
starp datu subjektu un pārzini vai īstenotu
pasākumus pirms līguma noslēgšanas, kas
pieņemti pēc datu subjekta pieprasījuma
c)
Nosūtīšana ir vajadzīga līguma noslēgšanai
starp pārzini un citu fizisku vai juridisku
personu datu subjekta interesēs vai šāda
līguma izpildei
16

17. Nosūtīšana, izmantojot atkāpes īpašiem gadījumiem (2) (Regulas 49.pants)

d)
e)
f)
g)
Nosūtīšana ir nepieciešama, ja ir svarīgi iemesli
sabiedrības interesēs
Nosūtīšana ir vajadzīga, lai celtu, īstenotu vai
aizstāvētu likumīgas prasības
Nosūtīšana ir vajadzīga, lai aizsargātu datu
subjekta vai citu personu īpaši svarīgas intereses,
ja datu subjekts ir fiziski vai tiesiski nespējīgs dot
savu piekrišanu
Nosūtīšanu izdara no reģistra, kurš saskaņā ar
tiesību aktiem ir paredzēts, lai sniegtu
informāciju sabiedrībai, un kuru var izmantot vai
nu plaša sabiedrība, vai jebkura persona, kas var
pierādīt savas leģitīmās intereses, taču vienīgi
tiktāl, ciktāl konkrētajā gadījumā tiek pildīti
tiesību aktos paredzētie izmantošanas nosacījumi.
17

18. Izņēmumu piemērošana:

Valsts iestādes nevar pamatoties
uz a), b), c) apakšpunktiem
Sabiedrības intereses ir atzītas
Savienības vai dalībvalsts
tiesībās
Nosūtot datus, nenosūta pilnīgi
visus reģistrā ietvertos personas
datus vai veselas personas datu
kategorijas (g)

19. Datus var nosūtīt uz trešo valsti vai starptautisku organizāciju tikai tad, ja nosūtīšana:

Neatkārtojas
Attiecas uz ierobežotu skaitu datu subjektu.
Ir nepieciešama pārziņa pārliecinošām leģitīmām
interesēm, kuras nav mazāk svarīgas par datu subjekta
interesēm, tiesībām un brīvībām.
Pārzinis novērtē visus apstākļus saistībā ar datu
nosūtīšanu un sniedz atbilstošas garantijas datu
aizsardzībai
Pārzinis informē:
uzraudzības iestādi un datu subjektu par nosūtīšanu
un leģitīmajām interesēm

20. Soļi pirms datu nodošanas

Apzināt datu nosūtīšanu
Noteikt nosūtīšanas rīku uz kuru balstās
apzinātā datu nosūtīšana
Apzināt riskus/noteikt vai trešās valsts tiesību
aktos ir kas tāds, kas var ietekmēt nosūtīšanas
rīku mazinot tā aizsardzības līmeni
Saprast kā mazināt iespējamo ietekmi uz
iespējamo aizsardzības līmeņa mazināšanu
Formalizēt pasākumus ar kuriem tiek
nodrošināts aizsardzības līmeņa pietiekamība
Pārskatīt pasākumus vērtējot vai tajos
nepieciešamas izmaiņas
20
Šis fotoattēls, autors: Nezināms autors, licencēts saskaņā ar licenci CC BY

21. Papildus pasākumi

EDAK rekomendācijas 01/2020 par pasākumiem, kas papildina
pārsūtīšanas rīkus, lai nodrošinātu atbilstību personas datu
aizsardzības ES līmenim
Zināt savu nodošanu
Pārbaudīt rīku, uz kura balstās nodošana
Novērtēt, vai trešās valsts tiesību aktos vai praksē ir kaut kas tāds,
kas var ietekmēt attiecīgo aizsardzības pasākumu efektivitāti
Noteikt un pieņemt papildu pasākumus (līgumiska, tehniska vai
organizatoriska rakstura)
Formālie procesuālie pasākumi (līgumiski,
organizatoriski pasākumi)
Pēc attiecīgā laika atkārtoti novērtēt aizsardzības līmeni,
kas piešķirts datiem, kurus pārsūtāt uz trešājām valstīm

22. Eiropas savienības tiesas prakse attiecībā uz datu nodošanu ASV

22

23. ES-ASV regulējums privātuma jomā

Drošā osta (Safe harbour)
Privātuma vairogs (Privacy
shield)
ES-ASV Privātuma ietvars
(EU-US Privacy framework)
23

24. EST atziņas par Privātuma vairogu

No ASV tiesību aktiem neizriet ne tas, ka pastāv tajā
paredzētie pilnvaru ierobežojumi attiecībā uz
uzraudzības programmu īstenošanu ārējās izlūkošanas
mērķiem, ne arī garantiju esamība personām, kuras
nav Amerikas pilsoņi un kuras potenciāli skar šīs
programmas.
Personas datu aizsardzības ierobežojumi, kas izriet no
ASV iekšējā tiesiskā regulējuma par ASV publisko
iestāžu piekļuvi no Savienības uz ASV pārsūtītiem
personas datiem un šādu datu izmantošanu, kurus
Komisija ir izvērtējusi lēmumā, nav ierobežoti tādā
veidā, lai atbilstu prasībām, kas būtībā ir līdzvērtīgas
tām, kuras Savienības tiesībās ir izvirzītas Hartas 52.
panta 1. punkta otrajā teikumā

25. EST atziņas par Privātuma vairogu

Tiesiskajā regulējumā, kurā indivīdiem nav paredzētas
nekādas iespējas likt lietā tiesību aizsardzības
līdzekļus, lai piekļūtu personas datiem, kas uz tiem
attiecas, vai panākt šādu datu labošanu vai dzēšanu,
nav ņemta vērā Hartas 47. pantā iedibināto
pamattiesību uz efektīvu aizsardzību tiesā būtība.
Trūkums tiesību aizsardzībā tiesā attiecībā uz
iejaukšanos, kas saistīta ar informācijas programmām,
kuras balstītas uz šo prezidenta dekrētu, ir šķērslis
secinājumam, kuru PV lēmumā ir izdarījusi Komisija,
ka ASV tiesības nodrošina būtībā līdzvērtīgu
aizsardzības līmeni tam, kas ir garantēts Hartas 47.
pantā.

26. ES-ASV Privātuma ietvara nosacījumi:

ASV organizācijām katru gadu pašām jāsertificējas ASV Tirdzniecības departamentā,
apliecinot, ka tās ievēro Datu privātuma ietvara principus.
Organizācijām jāievēro tādi principi kā informēšana, izvēle, atbildība par datu tālāku
nosūtīšanu, drošība, datu integritāte un nolūka ierobežošana, piekļuve, tiesiskā
aizsardzība, izpilde un atbildība.
ASV Tirdzniecības departaments pārrauga ietvara administrēšanu, savukārt Federālā
tirdzniecības komisija (FTC) un Transporta departaments nodrošina atbilstības izpildi.
Organizācijām jānodrošina efektīvi tiesiskās aizsardzības mehānismi indivīdiem, tostarp
neatkarīgi tiesiskās aizsardzības mehānismi un sadarbība ar Eiropas datu aizsardzības
iestādēm.
Organizācijām jāievieš atbilstoši drošības pasākumi, lai aizsargātu personas datus.
Organizācijām jānodrošina, ka personas dati ir uzticami paredzētajam lietojumam,
precīzi, pilnīgi un aktuāli.
Indivīdiem jābūt piekļuvei saviem personas datiem un iespējai labot, grozīt vai dzēst
neprecīzu informāciju.
Ietvars ietver aizsardzības pasākumus un ierobežojumus ASV valdības piekļuvei
personas datiem nacionālās drošības un tiesībaizsardzības nolūkos.

27. Beigās viss būs labi!

English     Русский Rules