Проблеми передачі персональних даних з ЄС в треті країни у відповідності з GDPR: рекомендації EDPB

20 Січня 2021

Протягом останнього часу виникає багато пересторог щодо того, що більше не існує належного механізму для передачі персональних даних з Європейського Союзу до третіх країн, які мають неналежний рівень захисту персональних даних, однак, європейські інституції пропонують вихід з цієї ситуації та надають відповідні рекомендації. 

Рішення суду в справі Schrems II

По перше, варто зазначити, що у своєму рішенні, у справі C-311/18 (Schrems II), Суд Європейського Союзу (CJEU) зазначив, що захист, який гарантується персональним даним в Європейському економічному просторі (EEA), повинен бути забезпечений, куди б персональні дані не переміщувалися.

В судовому рішенні наголошується, що передача персональних даних в треті країни не може бути засобом для підриву або зменшення рівня захисту, який надається в Європейському економічному просторі. При цьому, рівень захисту в третіх країнах не повинен обов’язково бути ідентичним тому, що гарантується в межах EEA, але по суті має бути еквівалентним йому.

В своєму рішенні, суд не спростовує, а наголошує на дієвості Стандартних контрактних умов (Standard Contractual Clauses), прийнятих Європейською Комісією на початку 2000-х, як інструменту передачі даних, що може служити для забезпечення, в рамках договірних умов, фактично еквівалентного рівня захисту  персональних даних, що передаються до третіх країн.

Standard Contractual Clauses, а також інші інструменти, передбачені в статті 46 GDPR, не повинні вважатися такими, що використовуються без поєднання з іншими заходами, що можуть бути визначені компанією в процесі передачі даних. Так, наприклад, контролер або обробник, який, виступаючи в якості експортера персональних даних та передаючи персональні дані до третьої країни, зобов’язаний пересвідчитися, в кожному окремому випадку, чи немає загроз для ефективності заходів, які передбачаються в статті 46 GDPR. У таких випадках, суд залишив відкритою можливість для експортерів застосовувати додаткові заходи, які заповнюють прогалини у захисті персональних даних, при здійсненні передачі персональних даних, та доводять його до рівня, передбаченого законодавством ЄС.

Суд не уточнив, які це можуть бути заходи, однак підкреслює, що компаніям – експортерам даних потрібно буде ідентифікувати такі заходи у кожному конкретному випадку. Це відповідає принципу підзвітності статті 5.2 GDPR, який передбачає відповідальність за недотримання GDPR, а також необхідність, при потребі, продемонструвати відповідність принципам GDPR щодо обробки персональних даних.

Рекомендації European Data Protection Board (EDPB)

З метою допомогти компаніям – експортерам даних (будь то контролери чи обробники, які обробляють персональні дані в межах сфери застосування GDPR) у виконанні складного завдання оцінки третіх країн та визначення відповідних додаткових заходів, де це необхідно, Європейська рада з питань захисту даних (EDPB) прийняла відповідні рекомендації в листопаді 2020 року за номером 01/2020.

Нижче ви можете знайти відповідний перелік рекомендацій EDPB:

  • Дослідити всі можливі передачі. Першим кроком, який радить EDPB, повинен бути спрямований на визначення всіх випадків передачі даних компанією, в рамках своєї діяльності. Фактично, компанії потрібно ідентифікувати всіх своїх контрагентів в третіх країнах, кому передаються персональні дані. Компанія може з’ясувати таку інформацію, здійснивши так званий Data Mapping. Потрібно визнати, що процес ідентифікації всіх випадків передачі даних в рамках діяльності компанії є доволі складним, однак, усвідомлення того, куди та як передаються персональні дані, є необхідним, щоб забезпечити рівноцінний рівень захисту де б такі дані не оброблялись. Окрім цього, компанія повинна також переконатися, що передані нею дані є адекватними, релевантними та обмежуються у відповідності до поставлених цілей, для яких вони передаються та обробляються в третій країні.
  • Другим кроком, який радить EDPB, є перевірка інструменту передачі персональних даних, на який покладається компанія, серед перелічених у розділі 5 GDPR. Якщо Європейська Комісія вже оголосила рівень захисту персональних даних в країні, куди компанія передає персональні дані, адекватним, в рамках одного із своїх рішень про адекватність, відповідно до статті 45 GDPR або згідно з попередньою Директивою 95/46, компанії не потрібно буде вживати жодних подальших кроків, крім контролю за тим, що рішення про адекватність залишається чинним. За відсутності рішення про адекватність, при здійсненні регулярних та повторюваних передач персональних даних, компанії потрібно покладатися на один із інструментів передачі, зазначених у статті 46 GDPR і лише в деяких випадках, при здійсненні випадкових та неповторюваних передач, компанія може покластися на одне із виключень, передбачених статтею 49 GDPR.
  • Третім кроком повинна бути оцінка того, чи існує в законодавстві або практиці третьої країни щось таке, що може вплинути на ефективність відповідних гарантій інструментів передачі, на які покладається компанія при передачі персональних даних. Оцінка повинна бути зосереджена в першу чергу на законодавстві третіх країн, яке має відношення або яке регулює передачу персональних даних. Варто ще раз наголосити, що компанія повинна проводити передбачену вище оцінку з надзвичайною ретельністю та детально її задокументувати, оскільки компанія буде нести відповідальність за рішення, яке може бути прийняте на основі такої оцінки.
  • Четвертим кроком є ​​визначення та прийняття додаткових заходів, необхідних для приведення рівня захисту переданих персональних даних до стандарту ЄС. Цей крок необхідний лише у тому випадку, якщо оцінка виявить, що законодавство третьої країни зачіпає ефективність інструменту, передбаченого статтею 46 GDPR, на який компанія покладається або на який має намір покластися в контексті майбутнього переказу. EDPB не надає конкретного переліку додаткових заходів, однак в додатку 2 до Роз’яснень EDPB, про який ми згадували вище, міститься невичерпний перелік прикладів додаткових заходів з деякими умовами, які вони вимагають, щоб бути ефективними. Як і у випадку із відповідними гарантіями, що містяться в інструментах передачі згідно зі статтею 46 GDPR, деякі додаткові заходи можуть бути ефективними в одних країнах, але не обов’язково в інших. Компанія буде нести відповідальність за оцінку їх ефективності в контексті передачі, а також у світлі закону третьої країни та інструменту передачі, на який вона покладається. Інколи, ситуація може вимагати від компанії поєднання кількох додаткових заходів. Зрештою, є варіант виявлення того, що жоден додатковий захід не може забезпечити по суті рівноцінний рівень захисту для конкретної передачі. У таких випадках, коли жоден додатковий захід не підходить, компанія повинна уникати, призупиняти або припиняти передачу персональних даних, щоб уникнути компрометації рівня захисту персональних даних.
  • П’ятий крок – це зробити будь-які офіційні процедурні кроки, які можуть знадобитися для верифікації та офіційного визнання розробленого та вжитого компанією додаткового заходу оскільки, інколи, додаткові заходи, які слід вжити, можуть відрізнятися від інструменту, який компанія використовує або який планує використовувати у відповідності зі статтею 46 GDPR.
  • Шостим і останнім кроком для компанії буде повторна оцінка рівня захисту даних, які ви передаєте третім країнам через відповідні проміжки часу, і моніторинг того, чи відбулися чи можуть відбутися будь-які події, які можуть вплинути на рівень захисту персональних даних. Принцип підзвітності, який передбачається GDPR, вимагає постійної пильності щодо рівня захисту персональних даних всіма компаніями, не залежно від того, діють вони як контролери чи як обробники.

Висновок

Передаючи персональні дані за територію Європейського економічного простору, компанія, яка передає,  ризикує значно більше, а ніж та компанія, яка ці дані отримує, тому ми рекомендуємо не ігнорувати вимоги, які передбачаються GDPR та прислухатися до рекомендацій, які надають кваліфікованими спеціалістами з європейських органів. Разом, з тим, ми наполягаємо на необхідності розробки внутрішньої документації, в рамках діяльності компанії, яка б регламентувала можливість реалізації рекомендацій EDPB для якомога ефективнішої та безпечнішої передачі персональних даних.