GDPR. Особливості переміщення (передавання) персональних даних за межі ЄС
Хоча після вступу в силу Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 про захист персональних даних (більше відомого як GDPR ) пройшло більше місяця, українські учасники світового e-commerce все ще залишаються невпевненими стосовно відносин з європейським законодавством, у яких має перебувати їхній бізнес. Зокрема, найбільшою загадкою для підприємців, чиїми контрагентами або клієнтами є суб’єкти персональних даних, у відповідності з GDPR, залишається питання про те, за яких умов, вони мають узгоджувати свою діяльність з вимогами цього документу та яким чином вони можуть переміщувати персональні дані в контексті меж ЄС, у разі виникнення такої необхідності.
GDPR як документ, який приймався з можливістю застосування його норм як на території Європейського Союзу, так за його межами, містить багато специфічних вимог, зокрема, такі вимоги стосуються переміщення за межі ЄС персональних даних, які збираються на території Європейського Союзу, до третіх країн та/або світових організацій, для подальшої їхньої обробки, зберігання та/або використання.
Тест на комплаєнс
Слід пам’ятати, що іноземне законодавство за замовчуванням тримається в межах суверенітету власної держави, тому окремі акти матимуть міжнародне значення лише за наявності конкретних умов. Зокрема, GDPR зобов’язує українських підприємців приводити свою діяльність у комплаєнс, якщо:
- особи, персональні дані яких збираються, перебувають у Союзі, і при цьому ці особи не повинні обов’язково бути громадянами жодної з держав-членів чи бути громадянами будь-якої держави взагалі – єдиним вирішальним фактом є перебування особи на території Союзу,
- контролер (компанія, що визначає цілі і обсяг обробки персональних даних) зареєстрований в Україні і вважається резидентом України, та
- діяльність, при якій збираються та обробляються персональні дані, стосується надання таким особам українською компанією товарів та послуг (навіть якщо такі операції не пов’язані з платежами) на територіїСоюзу, або проведення моніторингу за діяльністю таких осіб, доки останні знаходяться в межах Союзу.
Однак, існує багато випадків, коли український бізнес має фактичний контроль в Україні, а юридично може бути зареєстрований на території Європейського Союзу. В такому випадку підпадання під вимоги GDPR навіть не обговорюється.
У випадках, коли українська компанія діє в Україні і несистематично збирає та оброблює персональні дані, вона повинна приймати рішення самостійно, застосовувати їй норми Регламенту чи ні. Робоча група 29 (орган Союзу, компетентний видавати керівні вказівки стосовно GDPR), у свою чергу, заохочує залишати такі випадки на розсуд національного права.
Умови передавання даних за межі ЄС
Разом з тим, для забезпечення комплаєнсу недостатньо просто визначити потребу застосовувати GDPR у своїй діяльності. Суміжним – і не менш важливим – є питання того, чи відбуватиметься у процесі діяльності підприємця передавання персональних даних з території Союзу до інших держав, зокрема до України. Необережне ставлення до персональних даних може потягти за собою серйозні штрафи та компенсації постраждалим власникам персональних даних.
Так передавання персональних даних може мати місце, коли компанія, яка зібрала персональні дані, зберігає та оброблює їх на території Європейського Союзу, але при цьому виникає необхідність в передаванні персональних даних за межі ЄС, в цілях, описаних вище. Так, наприклад, контролер може знаходитися в Європі, в той час як Обробник може знаходитися за межами ЄС, зокрема в Україні. В такій ситуації є чітко виражений акт передачі персональних даних.
У відповідності з GDPR, передавання персональних даних до третіх країн (таких, що знаходяться по за територією Союзу) або міжнародних організацій може відбуватися виключно на підставі:
- рішення Європейської Комісії про відповідність рівня захисту, який третя країна надає персональним даним, які передаються на її територію (список юрисдикцій з належним рівнем захисту). Наразі, рішенням Європейської Комісії затверджений список юрисдикцій, які мають належний рівень захисту, передача даних до яких не потребує отримання додаткового дозволу у відповідних владних структурах. До таких країн входять: Аргентина, Канада (підприємства), Фарерські острови, Андорра, Нова Зеландія, Острови Гернсі, Швейцарія, Ізраїль, Уругвай, Остров Мен, США, Острів Джерсі;
- затверджених відповідним наглядовим органом зобов’язальних корпоративних правил;
- ухвалених Європейською Комісією або відповідним наглядовим органом стандартних положень щодо захисту персональних даних;
- затвердженим кодексом поведінки у сукупності з наданими контролером чи обробником у третій країні зобов’язаннями застосувати належні гарантії щодо забезпечення прав суб’єктів даних;
- затвердженим механізмом сертифікації у сукупності з наданими контролером чи обробником у третій країні зобов’язаннями застосувати належні гарантії щодо забезпечення прав суб’єктів даних;
- положень договору між контролером або оператором та контролером, оператором або одержувачем персональних даних у третій країні чи міжнародною організацією за наявності спеціального дозволу наглядового органу.
На жаль, Україна поки не входить у список країн, які надають достатні гарантії захисту персональних даних. Тому передавання даних дозволяється лише за однієї з таких умов:
- суб’єкт даних надав чітку згоду на запропоноване передавання після того, як його було повідомлено про можливі ризики такого передавання;
- передавання є необхідним для виконання контракту між суб’єктом даних і контролером, або реалізації переддоговірних заходів, вжитих на запит суб’єкта даних;
- передавання є необхідним для укладення чи виконання договору, укладеного в інтересах суб’єкта даних між контролером та іншою фізичною чи юридичною особою;
- передавання є необхідним на важливих підставах суспільного інтересу;
- передавання є необхідним для формування, здійснення або захисту правових претензій;
- передавання є необхідним для захисту життєво важливих інтересів суб’єкта даних або інших осіб, якщо суб’єкт даних фізично чи юридично неспроможний надати згоду.
Щодо інших країн, які не входять до вищезгаданих, то необхідно проводити детальний аналіз та приймати рішення, базуючись на вимогах внутрішнього законодавства такої країни.
GDPR не містить визначення поняття переміщення чи його особливостей. Контекст, у якому вживається поняття переміщення як операції з персональними даними вважається одним із прикладів розкриття персональних даних і тлумачиться як спосіб надання доступу до них. Зокрема, Європейський Суд Справедливості у своїй судовій практиці так і не виробив єдиного поняття переміщення, яке було б універсальним для всіх видів обробки персональних даних.
Перші кроки до комплаєнсу з GDPR
Для приведення діяльності компанії до комплаєнсу, на ранніх етапах підготовки важливо сформувати карту доступу до персональних даних, де відображаються а) шляхи отримання персональних даних, б) переміщення персональних даних всередині компанії, в) доступ до персональних даних конкретних працівників, суміжних контролерів, обробників та третіх осіб, г) цілі та обсяги обробки персональних даних. Важливо, щоб компанія врахувала всіх осіб, яких можна вважати суміжними контролерами та обробниками, оскільки GDPR покладає на контролера обов’язок інформувати про них суб’єкта даних. Разом з тим, компанія, зобов’язана визначити всіх суб’єктів, яким персональні дані передаються, зокрема, всіх тих, хто знаходиться по за межами Європейського Союзу.
Якщо передавання даних відбувається за межі ЄС суб’єкту, який знаходиться в третій країні, то слід перевірити, чи є рішення про відповідність гарантій безпеки, яке стосується держави призначення передавання персональних даних. Якщо така третя країна не вважається безпечною, слід оцінити ризики передавання даних та мінімізувати їх, а також заручитися поінформованою згодою суб’єкта даних на таке передавання або іншою законною підставою з перерахованих вище, а при необхідності, повідомити відповідний наглядовий орган про таке переміщення.
Висновок
Здійснюючи свою діяльність на території України або ж реєструючи компанію в Європейському Союзі, з’ясуйте, чи підпадаєте ви під вимоги європейського законодавства, зокрема, але не виключно, під вимоги GDPR. З’ясувавши та встановивши свій обов’язок діяти у відповідності з вимогами нового європейського Регламенту щодо захисту персональних даних, пересвідчіться, що ви вжили всіх або виникають всі необхідні належні заходи безпеки в процесі обробки персональних даних, зокрема, в процесі передачі персональних даних до третіх країн та/або міжнародних організацій.
Важливо, оцінити вплив нового європейського законодавства, щоб мати змогу передбачити приховані перепони та вчасно адаптуватися до нових законодавчих умов.