Проблемы передачи персональных данных с ЕС в третьи страны в соответствии с GDPR: рекомендации EDPB

20 января 2021

В последнее время возникает много предостережений относительно того, что больше не существует надлежащего механизма для передачи персональных данных из Европейского Союза в третьи страны, которые имеют ненадлежащий уровень защиты персональных данных, однако, европейские институты предлагают выход из этой ситуации и предоставляют соответствующие рекомендации.

Решение суда по делу Schrems II

Во-первых, стоит отметить, что в своем решении, по делу C-311/18 (Schrems II), Суд Европейского Союза (CJEU) отметил, что защита, гарантируется персональным данным в Европейском экономическом пространстве (EEA), должен быть обеспечен, куда бы персональные данные не перемещались.

В судебном решении отмечается, что передача персональных данных в третьи страны не может быть средством для подрыва или уменьшение уровня защиты, предоставляемой в Европейском экономическом пространстве. При этом уровень защиты в третьих странах не должен обязательно быть идентичным тому, что гарантируется в пределах EEA, но по сути должно быть эквивалентным ему.

В своем решении суд не опровергает, а подчеркивает действенности стандартных контрактных условий (Standard Contractual Clauses), принятых Европейской Комиссией в начале 2000-х, как инструмента передачи данных, может служить для обеспечения в рамках договорных условий, фактически эквивалентного уровня защиты персональных данных, передаваемых в третьи страны.

Standard Contractual Clauses, а также другие инструменты, предусмотренные в статье 46 GDPR, не должны считаться используются без сочетания с другими мерами, которые могут быть определены компанией в процессе передачи данных. Так, например, контроллер или обработчик, который, выступая в качестве экспортера персональных данных и передавая персональные данные в третью страну, обязан убедиться, в каждом отдельном случае, нет угроз для эффективности мероприятий, которые предусматриваются в статье 46 GDPR. В таких случаях суд оставил открытой возможность для экспортеров применять дополнительные меры, которые заполняют пробелы в защите персональных данных при осуществлении передачи персональных данных, и доводят его до уровня, предусмотренного законодательством ЕС.

Суд не уточнил, какие это могут быть меры, однако подчеркивает, что компаниям — экспортерам данных нужно будет идентифицировать такие меры в каждом конкретном случае. Это соответствует принципу подотчетности статьи 5.2 GDPR, который предусматривает ответственность за несоблюдение GDPR, а также необходимость, при необходимости, продемонстрировать соответствие принципам GDPR по обработке персональных данных.

Рекомендации European Data Protection Board (EDPB)

С целью помочь компаниям — экспортерам данных (будь то контроллеры или обработчики, которые обрабатывают персональные данные в сфере применения GDPR) в исполнении сложной задачи оценки третьих стран и определения соответствующих дополнительных мероприятий, где это необходимо, Европейский совет по защите данных (EDPB) приняла соответствующие рекомендации в Ноябрь 2020 в года под номером 01/2020.

Ниже вы можете найти соответствующий перечень рекомендаций EDPB:

Исследовать все возможные передачи. Первым шагом, который советует EDPB, должен быть направлен на определение всех случаев передачи данных компанией, в рамках своей деятельности. Фактически, компании нужно идентифицировать всех своих контрагентов в третьих странах, кому передаются персональные данные. Компания может выяснить такую ​​информацию, осуществив так называемый Data Mapping. Нужно признать, что процесс идентификации всех случаев передачи данных в рамках деятельности компании является достаточно сложным, однако, осознание того, куда и как передаются персональные данные, необходимо, чтобы обеспечить равноценный уровень защиты где бы такие данные не обрабатывались. Кроме этого, компания должна также убедиться, переданных им данных являются адекватными, релевантными и ограничиваются в соответствии с поставленными целями, для которых они передаются и обрабатываются в третьей стране.
Вторым шагом, который советует EDPB, является проверка инструмента передачи персональных данных, на который возлагается компания, среди перечисленных в главе 5 GDPR. Если Европейская Комиссия уже объявила уровень защиты персональных данных в стране, куда компания передает персональные данные, адекватным, в рамках одного из своих решений об адекватности, согласно статье 45 GDPR или согласно предварительной Директивы 95/46, компании не нужно будет предпринимать никаких дальнейших шагов, кроме контроля за тем, что решение об адекватности остается в силе. При отсутствии решения об адекватности, при осуществлении регулярных и повторяющихся передач персональных данных, компании нужно полагаться на один из инструментов передачи, указанных в статье 46 GDPR и только в некоторых случаях, при осуществлении случайных и неповторяющихся передач, компания может положиться на одно из исключений, предусмотренных статьей 49 GDPR.

Третьим шагом должна быть оценка того, существует ли в законодательстве или практике третьей страны что-то такое, что может повлиять на эффективность соответствующих гарантий инструментов передачи, на которые возлагается компания при передаче персональных данных. Оценка должна быть сосредоточена в первую очередь на законодательстве третьих стран, которое имеет отношение или регулирующего передачу персональных данных. Стоит еще раз подчеркнуть, что компания должна проводить предусмотренную выше оценку с чрезвычайной тщательностью и подробно ее задокументировать, поскольку компания будет нести ответственность за решение, которое может быть принято на основе такой оценки.
Четвертым шагом является определение и принятие дополнительных мер, необходимых для приведения уровня защиты передаваемых персональных данных стандарту ЕС. Этот шаг необходим только в том случае, если оценка обнаружит, что законодательство третьей страны затрагивает эффективность инструмента, предусмотренного статьей 46 GDPR, на который компания возлагается или на который намерен положиться в контексте будущего перевода. EDPB не предоставляет конкретного перечня дополнительных мероприятий, однако в приложении 2 к Разъяснений EDPB, о котором мы упоминали выше, содержится неисчерпаемый перечень примеров дополнительных мероприятий с некоторыми условиями, которые они требуют, чтобы быть эффективными. Как и в случае с соответствующими гарантиями, содержащиеся в инструментах передачи согласно статье 46 GDPR, некоторые дополнительные меры могут быть эффективными в одних странах, но не обязательно в других. Компания будет нести ответственность за оценку их эффективности в контексте передачи, а также в свете закона третьей страны и инструмента передачи, на который она полагается. Иногда, ситуация может потребовать от компании сочетание нескольких дополнительных мер. Наконец, есть вариант выявления того, что ни один дополнительная мера не может обеспечить по сути равноценный уровень защиты для конкретной передачи. В таких случаях, когда ни один дополнительная мера не подходит, компания должна избегать, приостанавливать или прекращать передачу персональных данных, чтобы избежать компрометации уровня защиты персональных данных.
Пятый шаг — это сделать любые официальные процедурные шаги, которые могут понадобиться для верификации и официального признания разработанного и принятого компанией дополнительной меры так, иногда, дополнительные меры, которые следует принять, могут отличаться от инструмента, который компания использует или планирующего использовать в соответствии со статьей 46 GDPR.
Шестым и последним шагом для компании будет повторная оценка уровня защиты данных, которые вы передаете третьим странам через соответствующие промежутки времени, и мониторинг того, произошли или могут произойти любые события, которые могут повлиять на уровень защиты персональных данных. Принцип подотчетности, который предполагается GDPR, требует постоянной бдительности по уровню защиты персональных данных всеми компаниями, независимо от того, действуют они как контроллеры или как обработчики.

вывод

Передавая персональные данные за территорию Европейского экономического пространства, компания, которая передает, рискует гораздо больше, нежели та компания, которая эти данные получает, поэтому мы рекомендуем не игнорировать требования, которые предусматриваются GDPR и прислушиваться к рекомендациям, которые предоставляют квалифицированными специалистами из европейских органов . Вместе с тем, мы настаиваем на необходимости разработки внутренней документации, в рамках деятельности компании, которая бы регламентировала возможность реализации рекомендаций EDPB для как можно более эффективной и безопасной передачи персональных данных.