Нововведення у сфері передачі персональних даних з Великої Британії: UK Extension to the EU-US DPF та IDTA/UK Addendum
У процесі бізнес діяльності компаніям доволі часто доводиться передавати персональні дані за межі своєї країни. Оскільки персональні дані не всюди однаково надійно захищені законодавством, є чимало вимог до їх законного трансферу. У цій статті ми розповімо, як належним чином здійснювати передачу персональних даних з Великої Британії на основі нещодавно впроваджених інструментів.
Почнемо з того, що прийнятий після Брекзиту UK GDPR, по суті дублює норми європейського GDPR, а тому вимоги до трансферу даних з Великої Британії до інших держав такі ж, як і з ЄС до третіх країн.
Перш за все, трансфер може відбуватись на основі рішення про відповідність або за наявності належних гарантій. До таких гарантій належать, зокрема, зобов’язальні корпоративні правила, стандартні положення щодо захисту даних, затверджений кодекс поведінки чи механізм сертифікації. Є також винятки для спеціальних ситуацій, коли, наприклад, передача необхідна на важливих підставах суспільного інтересу.
Передача на основі рішення про відповідність
Рішення про відповідність (adequacy decisions), які у Великій Британії також часто називають “data bridges”, підтверджують, що певна країна забезпечує належний рівень захисту персональних даних, а тому передача даних дозволяється вільно, без необхідності впровадження належних гарантій.
Зараз у список країн, щодо яких є рішення про відповідність, крім держав-членів Європейської економічної зони (ЄЕЗ), входить також Ізраїль, Японія, Швейцарія та інші країни.
А як щодо США?
Для цього є UK Extension to the EU-US DPF.
У липні 2023 Європейська комісія прийняла рішення про відповідність щодо США у разі використання фреймворку про захист даних (EU-US Data Privacy Framework – DPF).
Детальніше про DPF ми вже розповідали раніше.
Слідом за цим, 12 жовтня 2023 набрали чинності Положення про відповідність для США, ухвалені урядом Великої Британії, і відомі як UK Extension to the EU-US Data Privacy Framework (UK Extension).
Що це означає для компаній з Великої Британії?
Тепер вони можуть передавати персональні дані організаціям у США, які сертифіковані відповідно до UK Extension, вільно, без потреби впровадження додаткових належних гарантій та проведення оцінки впливу передачі (transfer impact assessment).
Перевірити список сертифікованих організацій можна на сайті DPF.
Це однозначно позитивні новини, які розширюють можливості для законного трансферу персональних даних до США, та прирівнюють в цьому плані компанії з ЄС та Великої Британії.
Як компаніям з США сертифікуватись відповідно до UK Extension?
Якщо організація пройшла самосертифікацію відповідно до DPF, вона може також виявити бажання бути сертифікованою відповідно до UK Extension, взявши на себе додаткові зобов’язання щодо Великої Британії, і повідомивши про свою участь у UK Extension Міністерство торгівлі США (US Department of Commerce – DoC).
Які винятки?
- Наразі лише організації США, які підпадають під юрисдикцію Федеральної торгової комісії США (US FTC) або Міністерства торгівлі США (DoC), мають право брати участь у програмі DPF. А це означає, що поки банківські, страхові та телекомунікаційні компанії не підпадають під дію DPF.
- DPF також не поширюється на журналістські матеріали (the Journalistic Exceptions Supplemental Principle 2(b)).
- Для отримання інформації, пов’язаної з HR-процесами, на основі DPF, компанії з США мають окремо повідомити про такий намір DoC та переконатись, що вони імплементували належні заходи для отримання таких даних (Human Resources Data Supplemental principle 9(a)(i)).
Як передавати дані компанії у США, яка не є сертифікованою відповідно до UK Extension, або компанії, що знаходиться в третій країні, щодо якої не має такого рішення про відповідність?
У таких випадках потрібно застосовувати належні гарантії. Найпоширенішою гарантією є стандартні положення щодо захисту даних (SCCs).
Коли Велика Британія була частиною ЄС, то її організації використовували SCCs, затверджені Єврокомісією. Після Брексіту, який відбувся у 2020 році, Велика Британія продовжила їх використовувати.
У той же час, у 2021 році Європейська комісія прийняла нові SCCs, але оскільки Велика Британія вже не була частиною ЄС, то вона використовувала все ще стару версію.
З ціллю модернізації SCCs Велика Британія також їх оновила у 2022 році. Зокрема, було схвалено the International Data Transfer Agreement (IDTA) та the International Data Transfer Addendum to the European Commission’s standard contractual clauses for international data transfers (Addendum).
! У перехідних положеннях зазначено, що договори, які були укладені до 21 вересня 2022 року на основі Transitional Standard Clauses (тобто старих європейських SCCs) продовжують діяти як належні гарантії для трансферу даних до 21 березня 2024 року.
А тому компаніям, які перебувають в такій ситуації, вже варто почати задумуватись про укладення нових договорів, а саме the IDTA або the UK Addendum.
Яка різниця між IDTA та UK Addendum?
По суті IDTA виступає британським аналогом нових європейських SCCs для трансферу персональних даних у треті країни. У той же час UK Addendum є просто додатком до нових європейських SCCs.
Головна відмінність IDTA від нових європейських SCCs в тому, що IDTA не має модульного підходу, а тому не покриває вимоги ст. 28 UK GDPR щодо обов’язків процесора, а використовується тільки з метою передачі персональних даних.
Саме тому доведеться підписувати ще один договір – linked agreement, щоб врегулювати відносини між процесором і контролером.
Який механізм обрати?
Якщо організація вже має імплементований механізм з новими європейськими SCCs, то додати до них UK Addendum буде значно простіше, ніж укладати новий договір (IDTA).
Отже, передача персональних даних з Великої Британії має відбуватись відповідно до вимог UK GDPR. Для того, щоб забезпечити комплаєнс цього процесу, необхідно зважати на нововведення у сфері, зокрема, на такі механізми, як UK Extension та IDTA & UK Addendum.
Правильне впровадження цих інструментів може викликати чимало запитань, тож наша команда радо Вам допоможе з забезпеченням трансферу персональних даних відповідно до вимог міжнародного законодавства про захист даних.