Bendrojo duomenų apsaugos reglamento privalumai Lietuvos įmonių nenudžiugins?

Eilinėms Lietuvos įmonėms ES Bendrasis duomenų apsaugos reglamentas (GDPR) administracinę naštą padidins. Dauguma įmonių (įmonės tvarkančios asmens duomenis dideliu mastu) privalės turėti duomenų apsaugos pareigūną. Pagal „didelio masto“ apibrėžimą, ši pareiga faktiškai bus taikoma visoms įmonėms. Visos įmonės turės atlikti poveikio duomenų apsaugai vertinimus, tvarkyti išsamią asmens duomenų tvarkymo dokumentaciją, įgyvendinti dar daugiau duomenų subjektų teisių, kreiptis į priežiūros instituciją dėl išankstinių konsultacijų ir vykdyti kitas pareigas. Vis dėlto, daliai Lietuvos įmonių rūpesčių ir pareigų sumažės.

Vienas GDPR privalumas, kuris palies visas įmones yra pareigos registruotis duomenų valdytojų registre panaikinimas. Nors šios biurokratinės procedūros atsisakymas vertintinas teigiamai, tačiau tai labai nedidelė lengvata, lyginant su naujomis GDPR nustatytomis duomenų valdytojų pareigomis.

Kiti GDPR privalumai yra labiausiai nukreipti į įmones, kurios veikia daugiau nei vienoje ES šalyje narėje. Tokioms įmonėms (tarptautinių korporacijų dukterinėms įmonėms vykdančioms veiklą Lietuvoje) įsigaliojus GDPR gyvenimas gali būti žymiai lengvesnis.

Pagal GDPR, įmonių grupė iš esmės bus traktuojama kaip vienas duomenų valdytojas, o duomenų perdavimas tarp grupės įmonių – kaip vidinis duomenų perdavimas (t.y. taip pat, kaip perdavimas tarp personalo skyriaus ir juridinio skyriaus įmonės viduje) (GDPR preambulės 36, 37, 48 paragrafai).

Įmonių grupės, kaip duomenų valdytojo, pagrindinės buveinės priežiūros institucija pagal GDPR turi kompetenciją veikti kaip vadovaujanti priežiūros institucija visam duomenų tvarkymui grupėje (GDPR 56.1 str.) ir turi bendradarbiauti su kitomis susijusiomis priežiūros institucijomis (t.y. priežiūros institucijomis grupės įmonių šalyse) stengdamasi rasti konsensusą (GDPR 60 str.). Savo ruožtu, įmonių grupė gali modeliuoti grupės korporatyvinę struktūrą tokiu būdu, kad pagrindinė buveinė būtų norimoje ES šalyje.

Faktiškai šios GDPR normos suteikia galimybes įmonių grupei pasirinkti vieną vadovaujančiąją priežiūros instituciją norimoje ES šalyje. Spėkite, kiek tarptautinių įmonių rinksis Lietuvą, kaip pagrindinės buveinės vietą?

Manoma, kad dauguma didžiųjų tarptautinių įmonių rinksis Airiją dėl jau esamų korporatyvinių struktūrų (šiuo metu daugelis JAV korporacijų veiklą ES vykdo per pagrindinę įmonę Airijoje), dėl anglų kalbos ir dėl draugiškos bei liberalios Airijos priežiūros institucijų reputacijos. Priminsiu, kad jau šiuo metu Airija yra patraukli jurisdikcija tarptautinėms korporacijoms vykdyti veiklą ES dėl mokesčių lengvatų ir dėl kalbos. Be to, GDPR projektas būtent Airijos pirmininkavimo ES laikotarpiu buvo labiausiai „sušvelnintas“ lyginant su pirminiais Europos Komisijos pasiūlymais. Nemanau, kad tai atsitiktinis sutapimas. Apie Lietuvos asmens duomenų apsaugos priežiūros institucijos reputaciją jau esu rašęs anksčiau ir ji nėra labai pozityvi.

Įprastai tarptautinėje įmonių grupėje pagrindinis asmens duomenų tvarkymo dokumentas yra „Įmonei privalomos taisyklės“ (kaip netiksliai įvardinta lietuviškoje GDPR versijoje; žr. GDPR 47 str.). Realiai turimos omenyje bendros visos įmonių grupės duomenų tvarkymo taisyklės arba įmonių grupės duomenų apsaugos politika (angl. „binding corporate rules“). Tokias bendras įmonių grupės duomenų tvarkymo taisykles suderinus su viena vadovaujančiąja priežiūros institucija, jų nebereikia derinti su priežiūros institucijomis kiekvienoje šalyje, kur veikia grupės įmonės. Jeigu grupės įmonės laikosi bendrų įmonių grupės duomenų tvarkymo taisyklių reikalavimų, jos yra laikomos atitinkančiomis GDPR reikalavimus, nepriklausomai nuo lokalios specifikos.

Faktiškai visa tai reiškia, kad atitikimas GDPR tarptautinės įmonių grupės Lietuvos įmonėje daugeliu atveju bus tiesiog bendrų įmonių grupės duomenų tvarkymo taisyklių arba įmonių grupės duomenų apsaugos politikos vertimas į lietuvių kalbą ir jų įgyvendinimas. Žinoma, įmonei bus daugiau lokalių pareigų, tokių kaip įmonės darbuotojų tvarkančių asmens duomenis mokymai (žr. GDPR 39.1(b), 47.2(b) str.), tačiau juos taip pat galima unifikuoti ir centralizuoti visos įmonių grupės mastu.

Dar vienas svarbus GDPR privalumas tarptautinėms įmonių grupėms yra palengvintas asmenų duomenų perdavimas į trečiąsias šalis (pvz. į JAV, Australiją ar kitas ne ES (EEA) jurisdikcijas). Šiuo metu asmens duomenys teikiami duomenų gavėjams trečiosiose valstybėse tik gavus Valstybinės duomenų apsaugos inspekcijos leidimą (Asmens duomenų teisinės apsaugos įstatymo 35 str. 2 d.). Įsigaliojus GDPR ir įvykdžius keletą išankstinių sąlygų, jokių individualių duomenų perdavimo leidimų nebereikės.

Šiame tinklaraštyje talpinu ir kitą informaciją apie privatumą, asmens duomenis ir kt. Jei reikia racionalaus ir nesavanaudiško patarimo, visuomet galite kreiptis.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *