Asmens duomenų perdavimas už ES/EEE ribų

Perduodant asmens duomenis į užsienį reikėtų atkreipti dėmesį į tai, ar duomenys perduodami į ES/EEE valstybes nares, ar už ES/EEE ribų. Paprastai duomenis perduoti už ES/EEE ribų leidžiama tik tuo atveju, jei perduodant duomenis galima užtikrinti tinkamą duomenų apsaugos lygį. Duomenys perduodami, pavyzdžiui, jei tas pats duomenų valdytojas iš ES/EEE valstybės narės perduoda surinktus duomenis arba atveria prieigą prie jų savo biurui už ES/EEE ribų.

Duomenų perdavimas už ES/EEE ribų gali būti svarstomas, jei Europos Komisija yra įvertinusi ir nusprendusi, kad paskirties šalyje yra tinkamas duomenų apsaugos lygis. Tokių šalių pavyzdžiai: Andora, Argentina, Kanada (komercinės organizacijos), Farerų salos, Gernsis, Izraelis, Meno sala, Japonija, Džersis, Naujoji Zelandija, Korėjos Respublika, Šveicarija, Jungtinė Karalystė pagal BDAR ir Direktyva Nr. 2016/680, JAV (komercinės organizacijos, dalyvaujančios ES ir JAV duomenų privatumo sistemoje) ir Urugvajus. Tai yra pagrindinis duomenų perdavimo pagrindas. Jei tokio sprendimo nėra, BDAR V skyriuje išvardyti kiti galimi duomenų perdavimo pagrindai.

Jei ne ES/EEE šalies duomenų apsaugos lygis nėra laikomas tinkamu, duomenys į ją gali būti perduodami tik esant konkrečiam duomenų perdavimo pagrindui, nustatytam BDAR. Dažniausiai naudojama apsaugos priemonė yra ES Komisijos patvirtintos standartinės sutarčių sąlygos. Standartinės sąlygos gali būti naudojamos tarp dviejų duomenų valdytojų arba tarp duomenų valdytojo ir duomenų tvarkytojo, jei abi duomenų perdavimo šalys įsipareigojo laikytis standartinių sąlygų perdavimo susitarime. Tačiau duomenų perdavimo šalys (visų pirma duomenų valdytojas) turi įvertinti, ar perduodant duomenis reikia ne tik standartinių sąlygų, bet ir papildomų apsaugos priemonių.

Galimas duomenų perdavimas už ES/EEE ribų ir perduodant duomenis taikomos apsaugos priemonės turi būti aprašytos privatumo pranešime.