Особенности передачи персональных данных за пределы ЕС: что требует GDPR

06 февраля 2020

В процессе обработки персональных данных, у компаний, расположенных на территории Европейского Союза, достаточно часто возникает необходимость в передаче персональных данных за пределы Европейской Экономической Зоны (ЕЭЗ). В таком случае, передача данных должна регламентироваться требованиями GDPR и другого европейского законодательства.

Сущность передачи персональных данных

Что же, перед тем как рассматривать вопрос о законном регулировании передачи данных за пределы Европейской Экономической Зоны, давайте сначала выясним, когда такая передача данных может иметь место. Прежде всего, стоит отметить, что компании, которые имеют представительство на территории ЕС, действуют как контроллеры по отношению к персональным данным, которые ими обрабатываются. Такие компании могут передавать персональные данные другим лицам (компаниям) — обработчикам за пределы ЕЭЗ тогда, когда это необходимо для обеспечения функционирования бизнеса. Персональные данные могут передаваться другим компаниям-контроллерам, если возникает такая необходимость. Общей чертой для этих двух случаев остается обязанность контроллера уведомить физическое лицо, чьи персональные данные обрабатываются, о том, что его персональные данные будут передаваться реципиентам за пределы Европейской Экономической Зоны.

Персональные данные также могут передаваться компаниями и в рамках Европейской Экономической Зоны, однако, в таком случае, требования о передаче значительно упрощенны. Об этом мы поговорим в наших других статьях. Сейчас нас интересуют особенности передачи в так называемые «третьи» страны.

Основные требования к компаниям при передаче персональных данных за пределы ЕЭЗ

В соответствии с GDPR, передача персональных данных должна быть четко регламентирована, в частности, персональные данные могут передаваться только в случаях, когда:

  • персональные данные передаются в страны, имеющие надлежащий уровень защиты персональных данных на законодательном уровне. Список таких стран, территорий и международных организаций утверждается Европейской комиссией каждые четыре года.
  • при отсутствии надлежащего уровня защиты в стране, где находится получатель данных, контроллер или обработчик, который желает передать персональные данные, обеспечивает соответствующие меры защиты данных, при условии наличия доступности прав субъекта данных и эффективных правовых средств защиты субъектов данных; или
  • при отсутствии надлежащего уровня защиты или соответствующих мер защиты, передача или набор передачи персональных данных подпадает под одно из исключений для конкретных ситуаций, на которые распространяется действие GDPR.

Применение таких принципиальных требований при передаче персональных данных за пределы ЕЭЗ, по сути накладывает требования европейского законодательства и на компании, которые находятся за пределами Европы, которым персональные данные передаются.

Принимая во внимание высокие стандарты защиты частной жизни, установленные европейским законодательством, трудно понять, как страны, не имеющие такого же строгого и жесткого законодательного подхода к этому вопросу, могут выполнить требования принципа «адекватности» при передаче данных. В результате, этот элемент Регламента, в некоторых кругах бизнеса по-прежнему рассматривается как серьезное препятствие для международного ведения бизнеса. На практике, для некоторых крупных многонациональных организаций этот вопрос означает принятие практики защиты данных, установленной в пределах ЕС, в своих операциях независимо от того, где на самом деле происходит обработка персональных данных.

Регламент не определяет понятие передачи. Однако под передачей следует понимать не то же самое, что простой транзит. Прежде всего это обработка персональных данных в третьей стране, которая завершает процесс «передачи». Таким образом, тот факт, что личные данные, в процессе передачи реципиенту, что находится в третьей стране, могут транзитом проходить через третью страну, не должно приводить к тому, что к такой передачи должны применяться требования GDPR, если только определенные операции с обработки не имеют место в такой транзитной стране.

Страны с достаточным уровнем защиты

Передача персональных данных в третьи страны может происходить только в том случае, если Европейская Комиссия примет решение, что третья страна, территория или несколько определенных секторов в рамках такой третьей страны, обеспечивает надлежащий уровень защиты персональных данных на законодательном уровне. Такая передача персональных данных не требует получения какого-либо специального разрешения и может осуществляться в режиме, который применяется к передаче данных в пределах ЕЭЗ.

Одним из примеров, на который можем сослаться при определении адекватности страны, являются Соединенные Штаты Америки, однако здесь также есть определенные нюансы. Между Европейским Союзом и США был заключен документ под названием EU US Privacy Shield, который обеспечивает адекватный режим передачи для тех американских компаний, которые зарегистрированы в реестре EU US Privacy Shield. В случае, если компания в США не зарегистрирована в таком реестре, передача данных такой компании не может считаться безопасной и адекватной, соответственно должны применяться другие меры безопасности, которые определенны GDPR.

При определении адекватности третьей страны, Европейская Комиссия принимает во внимание ряд факторов, которые могут быть определяющими для принятия максимально беспристрастного решения. Прежде всего, эти факторы касаются:

  • верховенства права, уважения к правам человека и фундаментальных свобод, а также соответствующего законодательства;
  • норм о защите данных, правил профессиональной деятельности и мер безопасности, в том числе, правил для дальнейшей передачи персональных данных в другую третью страну или международную организацию;
  • действенных прав субъектов данных, которые можно реализовать, и действенного административной и судебной защиты субъектов данных, чьи персональные данные передаются;
  • существования и действенного функционирования независимых надзорных органов в третьей стране;
  • международных обязательств, которая взяла на себя третья страна или других обязательств, вытекающих из юридически обязывающих конвенций или инструментов, касающихся защиты персональных данных.

Надлежащие меры защиты персональных данных

Если персональные данные передаются в страны, уровень защиты персональных данных в которых признан Европейской Комиссией надлежащим, в таком случае, компания, независимо от того, действует ли она как контроллер или как обработчик, в процессе передачи персональных данных, должна гарантировать наличие надлежащих мер защиты, а также возможность реализации законных прав субъектами данных.

В целом же, надлежащие меры защиты, которые компания применяет, могут требовать или не требовать дополнительного согласования компетентного контролирующего органа. К мерам, которые не нуждаются в дополнительной специальной авторизации контролирующих органов, можно отнести:

• Binding Corporate Rules (BCR), которые принимаются согласно статье 47 GDPR;

• Стандартные положения по защите данных, принятые Европейской Комиссией, согласно экспертной процедуры, указанной в статье 93 GDPR;

• Стандартные положения по защите данных, принятые контролирующим органом и утвержденные Европейской Комиссией, согласно экспертной процедуры, указанной в статье 93 GDPR.

В свою очередь, к мероприятиям защиты, которые требуют дополнительного согласования со стороны контролирующих органов, могут относиться:

• положения договора между контроллером или обработчиком и контроллером, обработчиком или реципиентом персональных данных в третьей стране.

Исключение, которые применяются при передаче персональных данных

Также, очень большое внимание нужно уделить исключениям, которые предусматриваются GDPR, когда Европейская Комиссия не признала, что страна, в которую направляются персональные данные, имеет надлежащий уровень защиты, или когда компания, которая передает персональные данные, не приняла надлежащих мер защиты персональных данных.

Исключениями в контексте обработки персональных данных частным бизнесом, следует считать ситуации, когда:

  • субъект данных предоставил четкое согласие на передачу данных после того, как ему было сообщено о возможных рисках такой передачи, несмотря на отсутствие решения о надлежащем уровне защиты страны, в которую передаются данные, а также надлежащие меры защиты;
  • передача данных необходима для исполнения контракта между субъектом данных и контролером или реализации преддоговорных мер, на соответствующий запрос субъекта данных;
  • передача данных необходима для заключения или исполнения договора, заключенного в интересах субъекта данных между контроллером и другим физическим или юридическим лицом;
  • передачи необходимо для подачи, исполнения или защиты правовых претензий;
  • передача данных необходима для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не способен дать согласие.

Вывод

В целом же, существуют и другие механизмы, с помощью которых можно легитимизовать передачу персональных данных в страны, которые находятся за пределами Европейской экономической зоны. Специалисты BSO Privacy Group с радостью помогут вам разобраться с такими вопросами и соответствующими проблемами, если они у вас возникают.