Lektors Ivo Krievs IvoKrievs krievslv Datu nodošana Personas datus var nodot citai valstij kas nav ES vai EEZ dalībvalsts vai starptautiskai organizācijai ja šī valsts vai starptautiskā organizācija nodrošina tādu datu aizsardzības pakāpi kas atbilst attiecīgajai datu aiz ID: 807792
Download The PPT/PDF document "7.tēma. Personas datu nodošana." is the property of its rightful owner. Permission is granted to download and print the materials on this web site for personal, non-commercial use only, and to display it on your personal computer provided you do not modify the materials and that you retain all copyright notices contained in the materials. By downloading content from our website, you accept the terms of this agreement.
Slide1
7.tēma.Personas datu nodošana.
Lektors: Ivo Krievs
Ivo.Krievs
@krievs.lv
Slide2Datu nodošana
Personas datus var nodot citai valstij, kas nav ES vai EEZ dalībvalsts, vai starptautiskai organizācijai, ja šī valsts vai starptautiskā organizācija nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai datu aizsardzības pakāpei Latvijā.
2015.gada 06.oktobra DVI lēmums ‘Par valstīm kas nodrošina tādu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei’:
Jaunz
ēlande,
Urugvajas Austrumu Republika, Izra
ēla, Andora,
Argentīna, Džērsija, Fēru salas, Gērnsija, Kanāda, Menas sala, Šveice
“
Privacy
Shield
” (ASV) iekļautās personas (DVI nav akcept
ējusi)
.
Slide3Datu nodošana
Izņēmumi no FPDAL 28.p. (1) daļā minēto prasību pildīšanā ir pieļaujami, ja pārzinis apņemas veikt uzraudzību pār attiecīgu aizsardzības pasākumu veikšanu
vai
tiek ievērots vismaz viens no šādiem nosacījumiem:
1) ir datu subjekta piekrišana personas datu nodošanai;
2) datu nodošana ir nepieciešama, lai izpildītu vienošanos starp datu subjektu un pārzini, personas dati nododami saskaņā ar datu subjekta līgumsaistībām vai arī , ievērojot datu subjekta lūgumu, datu nodošana nepieciešama, lai noslēgtu līgumu;
Slide4Datu nodošana
3) datu nodošana ir nepieciešama un noteiktā kārtībā pieprasīta saskaņā ar svarīgām valsts un sabiedriskajām interesēm vai ir nepieciešama tiesvedībā;
4) datu nodošana ir nepieciešama, lai aizsargātu datu subjekta dzīvību un veselību;
5) datu nodošana attiecas uz publiskiem vai publiski pieejamā reģistrā uzkrātiem personas datiem.
Slide5Datu nodošana
Lai pārzinis varētu uzraudzīt attiecīgo aizsardzības pasākumu veikšanu, pārzinis un personas datu saņēmējs noslēdz līgumu par personas datu nodošanu, izņemot, ja:
pārzinis nodrošina, ka uz viņu attiecas
uzņēmuma saistošie noteikumi
, kas ietver personas datu apstrādes un aizsardzības principus, nodrošina datu subjektu tiesības un ir apstiprināti vienā no Eiropas Savienības dalībvalstu personas datu aizsardzības uzraudzības iestādēm;
pārzinis noslēdz līgumu atbilstoši Eiropas Komisijas apstiprinātām līguma
standartklauzulām
par personas datu nosūtīšanu uz trešajām valstīm.
http
://
www.dvi.gov.lv
/
lv
/
wp
-
content
/
uploads
/
tiesibu
-akti/es/
Commission_decision
_-_kas_groza_2001.497.ek_-_
datu_nodosana_uz_tresajam_valstim
_-_
Latviski.pdf
Slide6Datu nodošana
Personas datus var nodot citai ES vai EEZ dalībvalstij, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei.
Nododot personas datus citai valstij vai starptautiskai organizācijai, paziņo par attiecīgajiem personas datu apstrādei paredzētajiem ierobežojumiem, ja vien tie nav iekļauti šā panta ceturtajā daļā minētajā līgumā.
Slide7Uzņēmuma saistošie noteikumi
Saistošie Uzņēmuma Noteikumi
Binding
Corporate
Rules
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp195_en.pdf
Saistošie uzņēmuma noteikumi
(Regula)
– personas datu aizsardzības vadlīnijas, ko stingri ievēro pārzinis vai apstrādātājs, kas veic uzņēmējdarbību dalībvalsts teritorijā, attiecībā uz personas datu nosūtīšanu vai vairākkārtēju nosūtīšanu pārzinim vai apstrādātājam vienā vai vairākās trešās valstīs uzņēmuma grupā, kas iesaistīta kopīgā saimnieciskā darbībā.
Saistošais raksturs
Slide8Uzņēmuma saistošie noteikumi
Daži SKN ietveramie principi:
Dalībnieka pienākums ievērot SKN, drošības un konfidencialitātes prasījumus;
Dalībnieka atbildība par kompensāciju izmaksām;
pierādīšanas pienākums dalībniekam, nevis datu subjektam;
vieglas piekļuves SKN nodrošināšana datu subjektam;
pienākums sadarboties ar datu aizsardzības iestādēm;
Slide9Uzņēmuma saistošie noteikumi
Pārziņa atbildība
Pakalpojumu līgumā pārzinim jāapņemas:
informēt datu subjektus par datu nosūtīšanu ārpus ES;
informēt datu subjektus par operatoru SKN, pēc pieprasījuma darot tos pieejamus datu subjektam;
par drošības pasākumiem jāinformē subjekts.
Slide10Rekomendācijas:
Vai
publicējot
informāciju
mājaslapa
̄ es nododu datus uz
trešajām
valstīm
, jo
šos
datus redz visa pasaule?
Nē,
šāda
datu
apstrāde
nav
uzskatāma
par datu
nodošanu
trešajām
valstīm
, ja vien
attiecīga
̄ interneta vietne netiek
saglabāta
pie interneta pakalpojuma
sniedzēja
, kurš darbojas no valsts, kas nav ES vai EEZ
dalībvalsts
.
Vai
pārzinim
ir
jānosaka
, vai operatoram ir
tiesības
nodot
informāciju
apakšoperatoram
?
Jā, Eiropas Komisijas
lēmuma
̄ C (2010) 593
standartklauzulas
(operatori) 5.panta h) punktā
norādīts
, ka datu
saņēmējs
nedrīkst
nodot datus
pakārtotai
datu
apstrādei
(
apakšoperatoram
) pirms datu
nodevēja
rakstiskas
piekrišanas
saņemšanas
.
Slide11Rekomendācijas:
Vai dati tiek nodoti, ja tie tiek
nosūtīti
un
glabājas
serverī
šifrēta
̄ veidā?
Personas dati ir
jebkāda
informācija
, kas attiecas uz
identificētu
vai
identificējamu
fizisko personu. Ja
apstrādāti
(
nosūtīti
un
glabāti
) tiek
šifrēti
dati un datu
saņēmējam
nav
iespējams
izmantojot
saprātīgus
līdzekļus
šos
datus
atšifrēt
, tad
šāda
informācijas
apmaiņa
nav
uzskatāma
par datu
nodošanu
, jo netiek nodoti personas dati (
šifrētās
pakotnes nav
attiecināmas
uz
identificētu
vai datu
saņēmējam
identificējamu
fizisku personu).
Vai ir
jāreģistrējas
DVI, ja datus nodod operatoram ES, kurš
savukārt
pārsūta
datus citam operatoram (
apakšoperatoram
)
ārpus
ES?
Ņemot
vēra
̄, ka starp
pārzini
un operatoru
atbilstoši
FPDAL 14.pantam ir
jāslēdz
rakstveida
līgums
, kurā
jānosaka
operatora pilnvaru apjoms
attiecība
̄ uz ar personas datiem
veicamajām
darbībām
, tad
uzskatāms
, ka operators
ārpus
ES datus var nodot tikai ar
tiešu
pārziņa
pilnvarojumu,
līdz
ar to ir
uzskatāms
, ka datu
nodošanu
ir
sankcionējis
pārzinis
un
saskaņa
̄ ar FPDAL 21.panta 1.punktu
pārzinim
ir
jāveic
reģistrācija
DVI.
Slide12Rekomendācijas:
Vai, izmantojot
mākoņdatošanas
pakalpojumus (
piemēram
, “
OneDrive
”) ir
jāveic
reģistrācija
DVI?
Ja
mākoņdatošanas
pakalpojuma
sniedzējs
kā
daļu
no pakalpojuma
piedāva
̄
informācijas
uzglabāšanu
ES
robežās
un
ārpus
ES un EEZ
robežām
(
piemēram
, serveri, kuros tiek
uzglabāti
personas dati atrodas arī Indijas Republikā vai
Ķīnas
Tautas Republikā), tad
šāda
personas datu
apstrāde
ir
reģistrējama
DVI, jo
pārzinis
nevar
nodrošināt
kontroli, ka datu
uzglabāšana
notiek ES un EEZ.
Savukārt
, ja
pārzinis
var
garantēt
, ka
mākoņdatošana
notiek ES un EEZ
robežās
, tad datu
nodošana
trešajām
valstīm
netiek veikta un DVI personas datu
apstrāde
saskaņa
̄ ar FPDAL 21.panta 1.punktu nav
jāreģistre
̄.