1.  Įmonei privalomų taisyklių patvirtinimo tvarkos aprašas (toliau – Aprašas) nustato duomenų valdytojų prašymų dėl įmonei privalomų taisyklių patvirtinimo (toliau – Prašymas) pateikimo Valstybinei duomenų apsaugos inspekcijai (toliau – Inspekcija), Prašymo nagrinėjimo ir įmonei privalomų taisyklių patvirtinimo tvarką.

2.  Aprašas taikomas Inspekcijai ir duomenų valdytojams, siekiantiems perduoti tvarkomus asmens duomenis į trečiąją valstybę, vadovaujantis 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679) 46 straipsnio 2 dalies b punktu ir 47 straipsniu.

3.  Aprašas nėra taikomas asmens duomenų perdavimui į trečiąsias valstybes, kai:

4.  Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Reglamente (ES) 2016/679.

5.  Prašymas teikiamas vadovaujančiai priežiūros institucijai. Duomenų valdytojas, siekiantis perduoti asmens duomenis į trečiąją valstybę įmonei privalomų taisyklių pagrindu, turi įvertinti, kurios valstybės duomenų apsaugos priežiūros institucija (toliau – priežiūros institucija) laikytina vadovaujančia priežiūros institucija. Kai duomenų valdytojas, vadovaudamasis kriterijais, nustatytais 29 straipsnio duomenų apsaugos darbo grupės, įkurtos 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyvos 95/46 EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo pagrindu (toliau – Darbo grupė), 2018 m. balandžio 11 d. metodinio dokumento Nr. WP263 (toliau – WP263) 1 dalimi, mano, kad Inspekcija laikytina vadovaujančia priežiūros institucija, ir siekdamas, kad Inspekcija patvirtintų įmonei privalomų taisykles, turi pateikti:

6.  Įmonei privalomų taisyklių turiniui keliami reikalavimai nustatyti:

7.  Aprašo 5 punkte nurodyti dokumentai Inspekcijai teikiami anglų kalba.

8.  Prašymą pasirašo duomenų valdytojas (fizinis asmuo), duomenų valdytojo (juridinio asmens) vadovas ar jų įgaliotas asmuo. Kai Prašymą teikia duomenų valdytojo atstovas, prie Prašymo pridedami atstovavimą patvirtinantys dokumentai ar jų patvirtintos kopijos.

9.  Duomenų valdytojas atsako už pateiktos informacijos tikslumą ir teisingumą.

10.  Prašymą duomenų valdytojas ar jo įgaliotas atstovas pateikia raštu (Inspekcijoje, paštu, naudojantis Nacionaline elektroninių siuntų pristatymo, naudojant pašto tinklą, informacine sistema) arba elektroninių ryšių priemonėmis pasirašytą duomenų valdytojo ar jo įgalioto atstovo kvalifikuotu elektroniniu parašu.

11.  Inspekcija, gavusi dokumentus įvertina, ar Prašymo 1 dalyje aprašytas asmens duomenų perdavimas gali būti atliekamas įmonei privalomų taisyklių pagrindu. Tuo atveju, jei aprašytam asmens duomenų perdavimui, dėl kurio pateiktas Prašymas, nėra taikomas Reglamento (ES) 2016/679 47 straipsnyje nustatytas mechanizmas, Inspekcija ne vėliau kaip per 5 darbo dienas pateikia duomenų valdytojui, Inspekcijai pateikusiam Aprašo 5.1–5.4 papunkčiuose nurodytus dokumentus (toliau – Pareiškėjas), motyvuotą atsisakymą nagrinėti Prašymą.

12.  Jeigu Pareiškėjas pateikia neišsamų ar netinkamai įformintą Prašymą arba pateikia ne visus dokumentus ar informaciją, nurodytus Aprašo 5 punkte, taip pat, kai Prašymą pateikia neturintis teisės jį pateikti asmuo, Inspekcija, per 5 darbo dienas nuo tokio Prašymo gavimo praneša Pareiškėjui apie būtinybę patikslinti neišsamų ar netinkamai įformintą Prašymą ir (arba) pateikti trūkstamus dokumentus ar informaciją, nurodo ne trumpesnį kaip 10 darbo dienų terminą trūkumams pašalinti.

13.  Jeigu Pareiškėjas per Inspekcijos nustatytą terminą nepateikia patikslinto išsamaus ir tinkamai įforminto Prašymo arba nepateikia trūkstamų dokumentų ar informacijos, Inspekcija atsisako nagrinėti Prašymą ir apie tai informuoja Pareiškėją.

14.  Inspekcija, priėmusi Prašymą, įvertina Prašymo 1 dalyje nurodytus Pareiškėjo argumentus dėl Inspekcijos pasirinkimo vadovaujančia priežiūros institucija ir pateikia susijusioms priežiūros institucijoms Prašymą. Siunčiant Prašymą Susijusioms priežiūros institucijoms, Inspekcija papildomai nurodo, ar sutinka su Pareiškėjo argumentais dėl Inspekcijos kaip vadovaujančios priežiūros institucijos pasirinkimo.

15.  Jei Susijusi priežiūros institucija nepateikia prieštaravimų per 2 (dvi) savaites ir nėra gauta prašymų pratęsti sprendimo dėl vadovaujančios priežiūros institucijos patvirtinimo terminą 2 (dviem) savaitėms, Inspekcija laikoma vadovaujančia priežiūros institucija. 

16.  Inspekcija, kaip vadovaujanti priežiūros institucija, pasirenka 1 – 2 priežiūros institucijas kaip bendraautores (angl. co-reviewer), galinčias padėti vadovaujančiajai priežiūros institucijai atlikti išsamų Prašymo, įmonei privalomų taisyklių ir papildomų dokumentų, pagrindžiančių įmonei privalomose taisyklėse nustatytus įsipareigojimus, vertinimą (toliau – Bendraautorės). Pasirenkant Bendraautores vadovaujamasi WP263.

17.  Inspekcija Bendraautorėms pateikia vertinti visus Pareiškėjo pateiktus dokumentus (toliau – Dokumentai) ir nustato 1 mėnesio terminą pastaboms pateikti. Esant objektyvioms aplinkybėms, terminas gali būti pratęstas, atsižvelgiant į Bendraautorių pasiūlytą terminą.

18.  Inspekcija, įvertina gautas bendraautorių pastabas, jei tokių būtų gauta, ir priima sprendimą, ar į jas atsižvelgti. Inspekcijos ir bendraautorių pastabos pateikiamos Pareiškėjui, pateikti paaiškinimus arba atlikti atitinkamus Prašymo, įmonei privalomų taisyklių ir (ar), kai taikoma, kitų su įmonei privalomomis taisyklėmis susijusių dokumentų pakeitimus. Pareiškėjo pateikti atnaujinti Dokumentai teikiami derinti Bendraautorėms. Dokumentų derinimų skaičius nėra ribojamas.

19.  Kai pasiekiamas sutarimas su Bendraautorėmis dėl Dokumentų, jie perduodami derinti Susijusioms priežiūros institucijoms. Pastabos gali būti pateikiamos Inspekcijai per 1 (vieną) mėnesį. Susijusių priežiūros institucijų pastabos pateikiamos Pareiškėjui. Dokumentų derinimų skaičius nėra ribojamas.

20.  Pasiekus susitarimą su susijusiomis priežiūros institucijomis dėl Dokumentų tinkamumo, Inspekcija apie tai informuoja Pareiškėją ir nurodo pateikti galutines Dokumentų versijas. Inspekcija, gavusi galutinius Dokumentus, parengia įsakymo dėl įmonei privalomų taisyklių patvirtinimo (toliau – Įsakymas) projektą, kurį kartu su Dokumentais, vadovaujantis Reglamento (ES) 2016/679 64 straipsnio 1 dalies f punktu, pateikia vertinti Europos duomenų apsaugos valdybai (toliau – Valdyba). Tuo atveju, jei Valdyba pateikia pastabas dėl Dokumentų, šios pastabos pateikiamos vertinti Pareiškėjui.

21.  Inspekcija, gavusi Valdybos nuomonę, nustatančią, kad įmonei privalomos taisyklės atitinka joms keliamus reikalavimus, ne vėliau kaip per 10 darbo dienų patvirtina Įsakymą, kurį kartu su Įsakymu patvirtintomis įmonei privalomomis taisyklėmis pateikia Susijusioms priežiūros institucijoms. Pareiškėjas apie priimtą Įsakymą informuojamas raštu per 3 darbo dienas nuo Įsakymo priėmimo dienos.

22.  Įmonei privalomų taisyklių atnaujinimui taikoma tokia pati tvarka kaip nagrinėjant įmonei privalomas taisykles pirmą kartą. Tuo atveju, jei atnaujinant įmonei privalomas taisykles vadovaujančios institucijos vaidmuo nepakinta, Aprašo 19–20 punktai (priklausomai nuo pakeitimų masto taip pat Aprašo 21 punktas) netaikomi.

23.  Pareiškėjas turi užtikrinti, kad Įsakymas ir patvirtintos įmonei privalomos taisyklės būtų išversti į visas oficialias Susijusių priežiūros institucijų kalbas.

24.  Įmonei privalomos taisyklės turi būti paskelbtos kiekvieno duomenų valdytojo ir (ar) duomenų tvarkytojo, priklausančio įmonių grupei, interneto svetainėje.

25.  Inspekcija savo interneto svetainėje skelbia jos patvirtintų įmonei privalomų taisyklių sąrašą, nurodant įmonių grupės pavadinimą ir įmonei privalomų taisyklių patvirtinimo ar atnaujinimo datą.

26.  Inspekcija nutraukia Prašymo nagrinėjimo procedūrą, kai:

27.  Inspekcija įsakymu pripažįsta įmonei privalomų taisyklių patvirtinimą negaliojančiu, kai to raštu prašo Pareiškėjas. Apie priimtą Įsakymą informuojamos Susijusios priežiūros institucijos ir Pareiškėjas.

28.  Dokumentai, susiję su šio Aprašo nuostatų įgyvendinimu, saugomi vadovaujantis Lietuvos Respublikos dokumentų ir archyvų įstatymo ir jį įgyvendinančių teisės aktų nustatytais terminais ir tvarka.