VALSTYBINĖS DUOMENŲ APSAUGOS INSPEKCIJOS

DIREKTORIUS

 

 

ĮSAKYMAS

DĖL ĮMONEI PRIVALOMų TAISYKLIų PATVIRTINIMO TVARKOS APRAŠO PATVIRTINIMO

 

2020 m.  rugsėjo 17  d. Nr. 1T-94 (1.12.E)

Vilnius

 

 

Vadovaudamasis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 47 straipsniu,

tvirtinu Įmonei privalomų taisyklių patvirtinimo tvarkos aprašą.

 

 

 

 

 

Direktorius                                                                                                            Raimondas Andrijauskas

 

PATVIRTINTA

Valstybinės duomenų apsaugos inspekcijos

direktoriaus 2020 m. rugsėjo 17 d.

įsakymu Nr. 1T-96 (1.12.E)

 

 

ĮMONEI PRIVALOMų TAISYKLIų patvirtinimo TVARKOS APRAŠAS

 

I SKYRIUS

BENDROSIOS NUOSTATOS

 

1.  Įmonei privalomų taisyklių patvirtinimo tvarkos aprašas (toliau – Aprašas) nustato duomenų valdytojų prašymų dėl įmonei privalomų taisyklių patvirtinimo (toliau – Prašymas) pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija), Prašymo nagrinėjimo ir įmonei privalomų taisyklių patvirtinimo tvarką.

2.  Aprašas taikomas Inspekcijai ir duomenų valdytojams, siekiantiems perduoti tvarkomus asmens duomenis į trečiąją valstybę, vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 46 straipsnio 2 dalies b punktu ir 47 straipsniu.

3.  Aprašas nėra taikomas asmens duomenų perdavimui į trečiąsias valstybes, kai:

3.1. asmens duomenys perduodami duomenų valdytojams ar duomenų tvarkytojams, nepriklausantiems įmonių grupei, pateikusiai Prašymą;

3.2. asmens duomenys perduodami į duomenų valdytojo padalinius (filialus, atstovybes ar kt.), kurie nėra atskiri duomenų valdytojai.

4.  Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

 

II SKYRIUS

VADOVAUJANČIOS PRIEŽIŪROS INSTITUCIJOS PASIRINKIMAS IR PRAŠYMŲ PATEIKIMAS

 

5.  Prašymas teikiamas vadovaujančiai priežiūros institucijai. Duomenų valdytojas, siekiantis perduoti asmens duomenis į trečiąją valstybę įmonei privalomų taisyklių pagrindu, turi įvertinti, kurios valstybės duomenų apsaugos priežiūros institucija (toliau – priežiūros institucija) laikytina vadovaujančia priežiūros institucija. Kai duomenų valdytojas, vadovaudamasis kriterijais, nustatytais 29 straipsnio duomenų apsaugos darbo grupės, įkurtos 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46 EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo pagrindu (toliau – Darbo grupė), 2018 m. balandžio 11 d. metodinio dokumento Nr. WP263 (toliau – WP263) 1 dalimi, mano, kad Inspekcija laikytina vadovaujančia priežiūros institucija, ir siekdamas, kad Inspekcija patvirtintų įmonei privalomų taisykles, turi pateikti:

5.1. Prašymą, kurio forma nustatyta šiuose dokumentuose:

5.1.1.   Darbo grupės 2018 m. balandžio 11 d. rekomendacijoje Nr. WP264, nustatyta standartinė prašymo patvirtinti duomenų valdytojo įmonei privalomas taisykles dėl asmens duomenų perdavimo į trečiąsias valstybes forma;

5.1.2.   Darbo grupės 2018 m. balandžio 11 d. rekomendacijoje Nr. WP265, nustatyta standartinė prašymo patvirtinti duomenų tvarkytojo įmonei privalomas taisykles dėl asmens duomenų perdavimo į trečiąsias valstybes forma.

5.2. įmonei privalomų taisyklių  projektą;

5.3. papildomus dokumentus, pagrindžiančius įmonei privalomose taisyklėse nustatytus įsipareigojimus, kai tai nurodyta Aprašo 6 punkte nurodytuose dokumentuose;

5.4. lentelę(-es), nurodytą(-as) Aprašo 6.1, 6.2 papunkčiuose, su nuorodomis į konkrečias Prašymo, įmonei privalomų taisyklių ir, kiek taikoma, papildomų dokumentų nuostatas, pagrindžiančias Taisyklių atitiktį šiose lentelėse nustatytiems įmonei privalomų taisyklių patvirtinimo kriterijams.

6Įmonei privalomų taisyklių turiniui keliami reikalavimai nustatyti:

6.1. Darbo grupės 2017 m. lapkričio 28 d. metodiniame dokumente Nr. WP256, kuriuo nustatoma įmonėms privalomose taisyklėse turinčių būti elementų ir principų lentelė (taikoma duomenų valdytojams);

6.2. Darbo grupės 2017 m. lapkričio 28 d. metodiniame dokumente Nr. WP257, kuriuo nustatoma įmonėms duomenų tvarkytojoms privalomose taisyklėse turinčių būti elementų ir principų lentelė.

7.  Aprašo 5 punkte nurodyti dokumentai Inspekcijai teikiami anglų kalba.

 

III SKYRIUS

PRAŠYMŲ NAGRINĖJIMAS

 

8Prašymą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jų įgaliotas asmuo. Kai Prašymą teikia duomenų valdytojo atstovas, prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos.

9.  Duomenų valdytojas atsako už pateiktos informacijos tikslumą ir teisingumą.

10Prašymą duomenų valdytojas ar jo įgaliotas atstovas pateikia raštu (Inspekcijoje, paštu, naudojantis Nacionaline elektroninių siuntų pristatymo, naudojant pašto tinklą, informacine sistema) arba elektroninių ryšių priemonėmis pasirašytą duomenų valdytojo ar jo įgalioto atstovo kvalifikuotu elektroniniu parašu.

11.  Inspekcija, gavusi dokumentus įvertina, ar Prašymo 1 dalyje aprašytas asmens duomenų perdavimas gali būti atliekamas įmonei privalomų taisyklių pagrindu. Tuo atveju, jei aprašytam asmens duomenų perdavimui, dėl kurio pateiktas Prašymas, nėra taikomas Reglamento (ES) 2016/679 47 straipsnyje nustatytas mechanizmas, Inspekcija ne vėliau kaip per 5 darbo dienas pateikia duomenų valdytojui, Inspekcijai pateikusiam Aprašo 5.1–5.4 papunkčiuose nurodytus dokumentus (toliau – Pareiškėjas), motyvuotą atsisakymą nagrinėti Prašymą.

12Jeigu Pareiškėjas pateikia neišsamų ar netinkamai įformintą Prašymą arba pateikia ne visus dokumentus ar informaciją, nurodytus Aprašo 5 punkte, taip pat, kai Prašymą pateikia neturintis teisės jį pateikti asmuo, Inspekcija, per 5 darbo dienas nuo tokio Prašymo gavimo praneša Pareiškėjui apie būtinybę patikslinti neišsamų ar netinkamai įformintą Prašymą ir (arba) pateikti trūkstamus dokumentus ar informaciją, nurodo ne trumpesnį kaip 10 darbo dienų terminą trūkumams pašalinti.

13Jeigu Pareiškėjas per Inspekcijos nustatytą terminą nepateikia patikslinto išsamaus ir tinkamai įforminto Prašymo arba nepateikia trūkstamų dokumentų ar informacijos, Inspekcija atsisako nagrinėti Prašymą ir apie tai informuoja Pareiškėją.

14.  Inspekcija, priėmusi Prašymą, įvertina Prašymo 1 dalyje nurodytus Pareiškėjo argumentus dėl Inspekcijos pasirinkimo vadovaujančia priežiūros institucija ir pateikia susijusioms priežiūros institucijoms Prašymą. Siunčiant Prašymą Susijusioms priežiūros institucijoms, Inspekcija papildomai nurodo, ar sutinka su Pareiškėjo argumentais dėl Inspekcijos kaip vadovaujančios priežiūros institucijos pasirinkimo.

15.  Jei Susijusi priežiūros institucija nepateikia prieštaravimų per 2 (dvi) savaites ir nėra gauta prašymų pratęsti sprendimo dėl vadovaujančios priežiūros institucijos patvirtinimo terminą 2 (dviem) savaitėms, Inspekcija laikoma vadovaujančia priežiūros institucija. 

16.  Inspekcija, kaip vadovaujanti priežiūros institucija, pasirenka 1 – 2 priežiūros institucijas kaip bendraautores (angl. co-reviewer), galinčias padėti vadovaujančiajai priežiūros institucijai atlikti išsamų Prašymo, įmonei privalomų taisyklių ir papildomų dokumentų, pagrindžiančių įmonei privalomose taisyklėse nustatytus įsipareigojimus, vertinimą (toliau – Bendraautorės). Pasirenkant Bendraautores vadovaujamasi WP263.

17.  Inspekcija Bendraautorėms pateikia vertinti visus Pareiškėjo pateiktus dokumentus (toliau – Dokumentai) ir nustato 1 mėnesio terminą pastaboms pateikti. Esant objektyvioms aplinkybėms, terminas gali būti pratęstas, atsižvelgiant į Bendraautorių pasiūlytą terminą.

18.  Inspekcija, įvertina gautas bendraautorių pastabas, jei tokių būtų gauta, ir priima sprendimą, ar į jas atsižvelgti. Inspekcijos ir bendraautorių pastabos pateikiamos Pareiškėjui, pateikti paaiškinimus arba atlikti atitinkamus Prašymo, įmonei privalomų taisyklių ir (ar), kai taikoma, kitų su įmonei privalomomis taisyklėmis susijusių dokumentų pakeitimus. Pareiškėjo pateikti atnaujinti Dokumentai teikiami derinti Bendraautorėms. Dokumentų derinimų skaičius nėra ribojamas.

19.  Kai pasiekiamas sutarimas su Bendraautorėmis dėl Dokumentų, jie perduodami derinti Susijusioms priežiūros institucijoms. Pastabos gali būti pateikiamos Inspekcijai per 1 (vieną) mėnesį. Susijusių priežiūros institucijų pastabos pateikiamos Pareiškėjui. Dokumentų derinimų skaičius nėra ribojamas.

20.  Pasiekus susitarimą su susijusiomis priežiūros institucijomis dėl Dokumentų tinkamumo, Inspekcija apie tai informuoja Pareiškėją ir nurodo pateikti galutines Dokumentų versijas. Inspekcija, gavusi galutinius Dokumentus, parengia įsakymo dėl įmonei privalomų taisyklių patvirtinimo (toliau – Įsakymas) projektą, kurį kartu su Dokumentais, vadovaujantis Reglamento (ES) 2016/679 64 straipsnio 1 dalies f punktu, pateikia vertinti Europos duomenų apsaugos valdybai (toliau – Valdyba). Tuo atveju, jei Valdyba pateikia pastabas dėl Dokumentų, šios pastabos pateikiamos vertinti Pareiškėjui.

21.  Inspekcija, gavusi Valdybos nuomonę, nustatančią, kad įmonei privalomos taisyklės atitinka joms keliamus reikalavimus, ne vėliau kaip per 10 darbo dienų patvirtina Įsakymą, kurį kartu su Įsakymu patvirtintomis įmonei privalomomis taisyklėmis pateikia Susijusioms priežiūros institucijoms. Pareiškėjas apie priimtą Įsakymą informuojamas raštu per 3 darbo dienas nuo Įsakymo priėmimo dienos.

22Įmonei privalomų taisyklių atnaujinimui taikoma tokia pati tvarka kaip nagrinėjant įmonei privalomas taisykles pirmą kartą. Tuo atveju, jei atnaujinant įmonei privalomas taisykles vadovaujančios institucijos vaidmuo nepakinta, Aprašo 19–20 punktai (priklausomai nuo pakeitimų masto taip pat Aprašo 21 punktas) netaikomi.

 

IV SKYRIUS

ĮMONEI PRIVALOMŲ TAISYKLIŲ SKELBIMAS

 

23.  Pareiškėjas turi užtikrinti, kad Įsakymas ir patvirtintos įmonei privalomos taisyklės būtų išversti į visas oficialias Susijusių priežiūros institucijų kalbas.

24Įmonei privalomos taisyklės turi būti paskelbtos kiekvieno duomenų valdytojo ir (ar) duomenų tvarkytojo, priklausančio įmonių grupei, interneto svetainėje.

25.  Inspekcija savo interneto svetainėje skelbia jos patvirtintų įmonei privalomų taisyklių sąrašą, nurodant įmonių grupės pavadinimą ir įmonei privalomų taisyklių patvirtinimo ar atnaujinimo datą.

 

V SKYRIUS

PRAŠYMŲ NAGRINĖJIMO NUTRAUKIMAS, INSPEKCIJOS SPRENDIMO PANAIKINIMAS

 

26Inspekcija nutraukia Prašymo nagrinėjimo procedūrą, kai:

26.1to raštu prašo Pareiškėjas ar duomenų valdytojas, kurio vardu pateiktas Prašymas;

26.2Pareiškėjas daugiau nei 2 (du) mėnesius nepateikė Inspekcijos ar kitų priežiūros institucijų pateiktų pastabų vertinimo ir nepranešė Inspekcijai apie objektyvias priežastis, dėl kurių laikinai negali pateikti patikslintų Dokumentų pagal gautas pastabas;

26.3Prašymą pateikė neturintis teisės jį pateikti asmuo.

27.  Inspekcija įsakymu pripažįsta įmonei privalomų taisyklių patvirtinimą negaliojančiu, kai to raštu prašo Pareiškėjas. Apie priimtą Įsakymą informuojamos Susijusios priežiūros institucijos ir Pareiškėjas.

 

VI SKYRIUS

BAIGIAMOSIOS NUOSTATOS

 

28.  Dokumentai, susiję su šio Aprašo nuostatų įgyvendinimu, saugomi vadovaujantis Lietuvos Respublikos dokumentų ir archyvų įstatymo ir jį įgyvendinančių teisės aktų nustatytais terminais ir tvarka.

___________________