Рішення про адекватність у разі використання фреймворку про захист даних

10 липня 2023 року Європейська Комісія прийняла доленосне рішення, яким було визнано адекватним рівень захисту персональних даних для передачі даних від ЄС до США у разі використання фреймворку захисту даних. Що ж це може означати для компаній, які здійснюють свою діяльність на території ЄС і який це може мати вплив на ваш бізнес. 

Якщо, ви компанія зі США і маєте бажання вільно (тобто без імплементації додаткових гарантій безпеки, передбачених статтею46 GDPR – славнозвісними Standard Contractual Clauses, наприклад) здійснювати опрацювання персональних даних, то вам варто потрапити у спеціальних список, створений Міністерством торгівлі США (далі – Міністерство торгівлі). Цей список визначає, які компанії застосовують фреймворк захисту даних і мають право на безперешкодне отримання даних фізичних осіб з ЄС.  

Що ж таке цей фреймворк захисту даних і, що він в себе включає?

Фреймворк захисту даних в першу чергу – це прийняті Міністерством торгівлі США спеціальні вимоги, які ставляться до резидентів штатів США (лише компанії або організації), які здійснюють опрацювання персональних даних фізичних осіб, які знаходяться на території ЄС.  

Цей фреймворк включає в себе вимоги до резидентів штатів США, які спрямовані на забезпечення належного рівня захисту персональних даних фізичних осіб у США. Такими вимогами є дотриманням принципів опрацювання персональних даних (повідомлення, доступності та інших), прийнятих Міністерством Торгівлі, а також спеціальних вимог до захисту даних і передачі даних третім особам, проходження сертифікації компанії тощо.

Тож, якщо ваша компанія має бажання передати дані на опрацювання чи спільно опрацьовувати дані з певним резидентом одного зі штатів США, то для таких компаній співпраця з компаніями (контролерами, зокрема спільними контролерами, чи операторами даних) зі списку, створеного Міністерством торгівлі США (Data protection framework list), надає можливість  безперешкодної міжнародної передачі даних, а також мінімізує ризики незаконного розкриття, а тому забезпечує підвищену безпеку даних. При укладенні угод про передачу даних ваша Компанія як контролер даних матиме можливість вимагати у відповідних договорах, щоб компанія, яка є резидентом одного зі штатів США, була включена у згаданий список.

Які тоді вимоги ставляться до резидентів штатів США для їх включення у цей список?

Саме рішення ставить такі вимоги до таких резидентів штатів США:

(a) підпадання під повноваження з розвідки і застосування права Федеральної торгової комісії (Federal Trade Commission or “FTC”), Міністерство транспорту США (the U.S. Department of Transportation або «DOT») або інших державних органів, створені відповідно до закону (statutory bodies),  які забезпечуватимуть дотримання принципів опрацювання персональних даних, прийнятих Міністерством торгівлі США (Department of Commerce або “DOC”); 

(b) публічно заявляти про своє зобов’язання дотримуватися принципів опрацювання персональних даних, прийнятих Міністерством торгівлі; 

(c) публічно розкривати свою політику конфіденційності відповідно до принципів опрацювання персональних даних, прийнятих Міністерством торгівлі;

(d) повністю застосовувати принципів опрацювання персональних даних, прийнятих Міністерством торгівлі.

Для того, щоб потрапити у цей список, компанія зі США повинна самостійно сертифікуватись у Міністерстві торгівлі США. Також це Міністерство зобов’язується зробити список компаній, які пройшли самосертифікацію в Міністерстві та задекларували своє зобов’язання дотримуватися принципів опрацювання персональних даних (далі – “список” або “Data protection framework list”) публічно відкритим: будь-хто може перевірити, чи компанія пройшла сертифікацію у Міністерстві..

Які принципам опрацювання персональних даних мають відповідати резиденти штатів США для того, щоб потрапити у список фреймворку з приватності даних?

Такі принципи опрацювання персональних даних повинні імплементувати компанії резиденти штатів США:

1. Повідомлення: компанії зі США  зобов’язані повідомляти фізичних осіб про:

• те, що компанія включена до списку, створеним Міністерством торгівлі (і надати посилання на список або місце у ньому);
• види персональних даних, які збираються, а також про третіх осіб (одержувачів) або групу третіх осіб (одержувачів), яким ці персональні дані передаються і які також виконують ці принципи;
• своє зобов’язання підпорядковувати принципам опрацювання даних,  операції щодо усіх персональних даних, отриманих з ЄС, покладаючись на фреймворк про приватність даних;
• цілі, для яких збирається та використовуються персональні дані;
• канали зв’язку з компанією для реалізації прав фізичних осіб;
• право осіб на доступ до своїх персональних даних;
• вибір і засоби, які організація пропонує особам для обмеження використання та розкриття їхніх персональних даних;
• існування незалежного органу з вирішення спорів, призначеного для розгляду скарг і надання відповідних безкоштовних засобів захисту особі; також інформація про вид такого органу – чи є це: (1) комісія, створена відповідно цього фреймворку, (2) альтернативний постачальник послуг з вирішення спорів (третейський суд чи арбітраж, наприклад), що базується в ЄС, або (3) постачальник послуг альтернативного вирішення спорів, що базується в Сполучених Штатах;
• чи підпадає компанія під розвідувальні та правозастосовні повноваження Комісії, або будь-якого іншого уповноваженого статутного органу США;
• можливість, за певних умов, для особи звернутися до обов’язкового арбітражу;
• відповідальність  компанії у випадках подальшої передачі третім особам.

1. Альтернативності: компанія повинна запропонувати фізичним особам можливість вибору, тобто надати фізичним особам можливість відмовитися або погодитись щодо питань розкриття персональних даних третій особі або використання персональних даних з метою, яка суттєво відрізняється від мети (цілей), для якої вона була спочатку зібрана. Фізичним особам повинні бути надані чіткі, помітні та легкодоступні механізми для здійснення вибору.
2. Підзвітності при подальшому опрацюванні даних: в першу чергу, як зазначено у самому фреймворку з захисту даних, для здійснення передачі персональних даних третій особі, яка діє як контролер, компанія повинна відповідати вимогам принципів альтернативності та повідомлення.  Компанії резиденти штатів США повинні укласти договір з третьою особою, яка діє як контролер, який передбачає, що персональні дані можуть оброблятися тільки для обмежених і конкретних цілей відповідно до згоди, наданої особою, і що третя особа, як контролер, забезпечує принаймні такий рівень захисту, який вимагають ці принципи (належний рівень захисту), і що така третя особа зобов’язується повідомляти компанію у разі відсутності належного рівня захисту .

Також цей принцип має певні особливості щодо передачі персональних даних до третіх осіб, які виступають в ролі  агентів, зокрема компанії зобов’язуються: 

(i) передавати такі дані лише для обмежених та визначених цілей, а також переконатись, що агент забезпечувати такий самий рівень захисту приватності, який вимагають ці принципи, і матиме змогу повідомити компанію, яка передала дані агенту, про відсутність належного рівня захисту(тобто, такого який не відповідає вимогам цих принципів); 

(ii) вжити розумних та належних заходів для забезпечення ефективного опрацювання  агентом переданих персональних даних у спосіб, що відповідає зобов’язанням компанії і у спосіб,  що відповідає  цим принципам; 

(iii) після отримання повідомлення від агента, про відсутність належного  рівня захисту, вживати розумних та належних заходів для припинення та виправлення несанкціонованої обробки та надавати на запит Міністерству торгівлі  короткий опис або репрезентативну копію відповідних положень про конфіденційність, що містяться в його договорі з агентом.

• Безпечності: компанії, які створюють, зберігають, використовують або поширюють персональну інформацію, повинні вживати розумних і належних заходів для її захисту від втрати, неправильного використання та несанкціонованого доступу, розкриття, зміни та знищення даних, беручи до уваги ризики, пов’язані з обробкою, і характер персональних даних.

1. Цілісність даних та обмеження за призначенням: заборонено опрацьовувати дані у спосіб, який несумісний з початковою метою (у разі відсутності на таку нову мету згоди фізичної особи).
2. Доступності: фізичні особи повинні мати доступ до особистої інформації про них, яку зберігає компанія, та можливість виправляти, змінювати або видаляти цю інформацію, якщо вона є неточною.
3. Регресу, примусового виконання та відповідальності: ефективний захист приватності повинен включати надійні механізми забезпечення дотримання цих принципів, засоби правового захисту для осіб, які постраждали від недотримання цих принципів, а також наслідки для організації, коли ці принципи не дотримуються. Мінімальним  порогом для відповідності цьому принципу, компанії повинні імплементувати такі механізми:

• легкодоступні незалежні механізми оскарження, за допомогою яких скарги та суперечки кожної особи оперативно вирішуються безоплатно для скаржника, а також механізм відшкодування збитків, якщо це передбачено чинним законодавством;
• перевірки факту комплаєнсу Компанії, їхніх практик захисту даних відповідно до їхніх внутрішніх документів (зокрема політик);
• усунення проблем, які виникають внаслідок недотримання цих принципів, а також наслідки невиконання для компаній.

Цікавим нововведенням фреймворку про захист даних є обов’язок компаній розглядати позови в арбітражі за умови, що фізична особа звернулася до обов’язкового арбітражу, направивши відповідній компанії повідомлення та дотримуючись процедур і умов, викладених арбітражній угоді (Додаток I до фреймворку).

Як компанії-резиденту США попасти у список учасників фреймворку з безпечної передачі даних?

Для початкової самостійної сертифікації (або повторної сертифікації через деякий час) для участі у фреймворку з безпечної міжнародної передачі даних, компанія повинна щоразу надавати Міністерству торгівлі подання про  дотримання компанією принципів опрацювання персональних даних, яке містить принаймні таку інформацію:

• назву сертифікованої (або повторно сертифікованої) компанії зі США, а також назви будь-яких її афілійованих юридичних осіб у США або дочірніх компаній у США, які також дотримуються принципів опрацювання персональних даних;
• опис діяльності компанії щодо персональних даних, які будуть отримані з ЄС у разі використання компанією фреймворку про захист даних;
• опис відповідної політики конфіденційності компанії;
• контактні дані для розгляду скарг, запитів на доступ та будь-яких інших питань, що виникають відповідно до принципів опрацювання персональних даних , у тому числі

1. ім’я, посада, адреса електронної пошти та номер телефону відповідальної особи в Компанії; та
2. відповідну поштову адресу компанії в США;

• конкретний державний орган, який має юрисдикцію розглядати будь-які претензії до організації щодо можливих недобросовісних або оманливих практик та порушень законів або нормативних актів, що регулюють приватність даних;
• назва будь-якої програми захисту приватності даних, в якій організація є учасником;
• метод перевірки (або самостійна оцінка, або зовнішні перевірки на відповідність, включаючи перевірки третіми особами); 
• відповідний незалежний механізм оскарження, доступний для розслідування невирішених скарг фізичних осіб.

Також після внесення компанії до списку, їй також необхідно в подальшому проходити відповідну верифікацію, тобто здійснювати подальші процедури перевірки відповідності процесів опрацювання даних практикам приватності, які представлені людині, чиї дані зібрані та опрацьовані компанією, та регуляторам. Компанія може здійснювати таку верифікацію або шляхом самооцінки, або шляхом зовнішньої перевірки на відповідність.

Якщо компанія обрала самооцінку, така перевірка повинна продемонструвати, що її політика конфіденційності щодо персональних даних, отриманих з ЄС, є точною, всеосяжною, легкодоступною, відповідає принципам опрацювання даних і повністю впроваджена (тобто дотримується). У ній також має бути зазначено, що фізичні особи поінформовані про будь-які внутрішні механізми розгляду скарг та про незалежні механізми оскарження, за допомогою яких вони можуть подавати скарги; що в організації діють процедури навчання працівників щодо її реалізації та притягнення їх до дисциплінарної відповідальності за її недотримання; що в організації діють внутрішні процедури періодичного проведення об’єктивних перевірок дотримання вищезазначених принципів. Внутрішній документ, що підтверджує проходження самооцінки, має бути підписаний відповідною посадовою особою або іншим уповноваженим представником організації щонайменше раз на рік і надаватися на вимогу окремих осіб або в контексті розслідування чи скарги про недотримання вимог.

Висновки

Отже, рішення Європейської Комісії спростить передачу персональних даних резидентів ЄС до компаній, які є резидентами США, оскільки передача даних здійснюватиметься безперешкодно, тобто без необхідності укладення додаткових договорів і (та) необхідності чекати впровадження компаніями зі США відповідних заходів захисту даних (так як певний рівень захисту буде вже впроваджений). Як наслідок пришвидшиться процедура передачі даних між європейськими контролерами та відповідними компаніями-резидентами США, включених до списку компаній, які пройшли самосертифікацію в Міністерстві та задекларували своє зобов’язання дотримуватися принципів опрацювання персональних даних, оскільки такі компанії, що внесені у список, під час сертифікації підтверджують належний рівень захисту, а не тільки зобов’язуватимуться створити такий рівень захисту.