Особливості передачі персональних даних за межі ЄC: що вимагає GDPR

06 Лютого 2020

В процесі обробки персональних даних, у компаній, які розташовані на території Європейського Союзу, досить часто виникає необхідність в передачі персональних даних за межі Європейської Економічної Зони (ЄЕЗ). В такому випадку, передача даних повинна регламентуватися вимогами GDPR та іншого європейського законодавства.

Сутність передачі персональних даних

Що ж, перед тим як розглядати питання стосовно законного регулювання передачі даних за межі Європейської Економічної Зони, давайте спочатку з’ясуємо, коли така передача даних може мати місце. Насамперед, варто зазначити, що компанії, які мають осідок на територіє ЄС, діють як контролери по відношенню до персональних даних, що ними оброблюються. Такі компанії можуть передавати персональні дані іншим особам (компаніям) – обробникам за межі ЄЕЗ тоді, коли це необхідно для забезпечення функціонування бізнесу. Також персональні дані можуть передаватися іншим компаніям-контролерам, якщо виникає така необхідність. Спільною рисою для цих двох випадків залишається обов’язок контролера повідомити фізичну особу, чиї персональні дані оброблюються про те, що їхні персональні дані будуть передаватися реципієнтам за межі Європейської Економічної Зони.

Персональні дані також можуть передаватися компаніями і в рамках Європейської Економічної Зони, однак, в такому випадку, вимоги щодо передачі є значно спрощеними. Про це ми поговоримо в наших інших статтях. Наразі нас цікавлять особливості передачі в так звані «треті» країни.

Основні вимоги до компаній при передачі персональних  даних за межі ЄЕЗ

У відповідності до GDPR, передача персональних даних має бути чітко регламентована, зокрема, персональні дані можуть передаватися тільки у випадках, коли:

  • персональні дані передаються в країни, які мають належний рівень захисту персональних даних на законодавчому рівні. Список таких країн, територій та міжнародних організацій затверджується Європейською комісією кожні чотири роки.
  • за відсутності належного рівня захисту в країні, де знаходиться отримувач даних, контролер або обробник, який бажає передати персональні дані, забезпечує відповідні заходи захисту даних, за умови наявності доступності прав суб’єкта даних та ефективних правових засобів захисту суб’єктів даних; або
  • за відсутності належного рівня захисту або відповідних заходів захисту, передача або набір передачі персональних даних підпадає під одне з виключень для конкретних ситуацій, на які поширюється дія GDPR.

Застосування таких принципових вимог при передачі персональних даних за межі ЄЕЗ,по суті накладає вимоги європейського законодавства і на компанії, що знаходяться за межами Європи, яким персональні дані передаються.

Беручи до уваги високі стандарти захисту приватного життя, встановлені європейським законодавством, важко зрозуміти, як країни, що не мають такого ж суворого та жорсткого законодавчого підходу до цього питання, можуть виконати вимоги принципу «адекватності» при передачі даних. В результаті, цей елемент Регламенту, в деяких колах бізнесу, як і раніше буде розглядатися як серйозна перешкода для міжнародного ведення бізнесу. На практиці, для деяких великих багатонаціональних організацій це питання означає прийняття практики захисту даних,  встановлених в межах ЄС, у своїх операціях незалежно від того, де насправді відбувається обробка персональних даних.

Регламент не визначає поняття передачі. Однак під передачею варто розуміти не те ж саме, що простий транзит. Насамперед це обробка персональних даних в третій країні, яка завершує процес «передачі». Таким чином, той факт, що особисті дані, в процесі передачі реципієнту, що знаходиться в третій країні,  можуть транзитом проходити через третю країну, не повинно призводити до того, що до такої передачі повинні застосовуватися вимоги GDPR,  якщо тільки певні операції з обробки не мають місце в такій транзитній країні.

Країни з достатнім рівнем захисту

Передача персональних даних до третіх країн може відбуватися тільки в тому випадку, якщо Європейська  Комісія прийме рішення, що третя країна, територія чи один або декілька
визначених секторів у межах такої третьої країни,  забезпечує належний рівень захисту персональних даних на законодавчому рівні. Така передача персональних даних не вимагає отримання будь-якого спеціального дозволу та може здійснюватися в режимі, який застосовується до передачі даних в межах ЄЕЗ.

Одним з прикладів, на який можемо послатися при визначенні адекватності країни, є Сполучені Штати Америки, однак тут також є певні нюанси. Між Європейським Союзом та США був укладений документ, що має назву EU US Privacy Shield, який забезпечує адекватний режим передачі для тих американських компаній, які зареєстровані в  реєстрі EU US Privacy Shield. У випадку, якщо компанія з США не зареєстрована в такому реєстрі, передача даних такій компанії не може вважатися безпечною та адекватною, а отже повинні застосовуватися інші заходи безпеки, визначені GDPR.

При визначенні адекватності третьої країни, Європейська Комісія бере до уваги ряд факторів, які можуть визначальними для прийняття максимально неупередженого рішення. Насамперед, ці фактори стосуються:

  • верховенства права, поваги до прав людини та фундаментальних свобод, а також відповідного
    законодавства;
  • норм про захист даних, правил професійної діяльності та заходів з безпеки, в тому числі, правил для подальшої передачі персональних даних до іншої третьої країни чи міжнародної організації;
  • дієвих прав суб’єктів даних, які можна реалізувати, та дієвого адміністративного і судового захисту для суб’єктів даних, чиї персональні дані передаються;
  • існування та дієвого функціонування незалежних наглядових органів у третій країні;
  • міжнародних зобов’язань, що взяла на себе третя країна, або інших зобов’язань, що випливають із юридично зобов’язальних конвенцій або інструментів, що стосуються захисту персональних даних.

Належні заходи захисту персональних даних

Якщо персональні дані передаються в країни, рівень захисту персональних даних в яких не визнаний Європейською Комісією як належний, в такому випадку, компанія, незалежно від того, чи діє вона як контролер чи обробник, в процесі передачі персональних даних, повинна гарантувати наявність належних заходів захисту, а також можливість реалізації прав суб’єктами даних в законний спосіб.

Загалом же, належні заходи захисту, які компанія застосовує, можуть потребувати додаткового погодження компетентного контролюючого органу, а можуть і не потребувати. До заходів, які не потребують додаткової спеціальної авторизації контролюючих органів,  можемо віднести:

  • Binding Corporate Rules (BCR), згідно із статтею 47 GDPR;
  • Стандартні положення щодо захисту даних, ухвалені Європейською Комісією, відповідно до експертної процедури, зазначеної в статті 93 GDPR;
  • Стандартні положення щодо захисту даних, ухвалені контролюючим органом і затвердженими Європейською Комісією, відповідно до експертної процедури, зазначеної в статті 93 GDPR.

В свою чергу, до заходів захисту, які потребують додаткового погодження з боку контролюючих органів, можуть відноситися:

  • положення договору між контролером або обробником та контролером, обробником або реципієнтом персональних даних у третій країні.

Виключення, які застосовуються при передачі персональних даних

Також, дуже велику увагу потрібно приділити виключенням, які передбачає GDPR, коли Європейська Комісія не визнала, що країна, в яку надсилаються персональні дані, має належний рівень захисту, або коли компанія, яка передає персональні дані, не вжила належних заходів захисту персональних даних.

Виключеннями в контексті обробки персональних даних приватним бізнесом, слід вважати ситуації, коли:

  • суб’єкт даних надав чітку згоду на передачу даних після того, як його було повідомлено про можливі ризики такої передачі, зважаючи на відсутність рішення про належний рівень захисту країни, в яку передаються дані, а також належних заходів захисту;
  • передача даних є необхідною для виконання контракту між суб’єктом даних і контролером або реалізації переддоговірних заходів, вжитих на запит суб’єкта даних;
  • передача даних є необхідною для укладення чи виконання договору, укладеного в інтересах суб’єкта даних між контролером та іншою фізичною чи юридичною особою;
  • передавання є необхідним для подачі, виконання або захисту правових претензій;
  • передача даних є необхідною для захисту життєво важливих інтересів суб’єкта даних або інших осіб, якщо суб’єкт даних фізично чи юридично неспроможний надати згоду.

Висновок

Загалом же, існують і інші механізми, з допомогою яких можна легітимізувати передачу персональних даних в країни, які знаходяться за межами Європейської Економічної Зони. Спеціалісти BSO Privacy Group з радістю допоможуть вам розібратися з такими питаннями та проблемами, якщо вони у вас виникають.