GDPR и ИТ аутсорсинг. FAQ

Общий регламент по защите данных (General Data Protection Regulation/GDPR) вступил в силу уже больше года назад. За это время вышло несколько новых разъяснений, сформировалась рыночная практика, а европейские регуляторы возмужали и стали смелее штрафовать. Самое время делать первые выводы.

В этой статье мы решили дать ответы на пять наиболее распространенных вопросов касательно GDPR от аутсорсинговых ИТ компаний Украины.

1. Мы — компания-подрядчик из Украины, тихонько разрабатываем софт заказчикам из Европы и никого не трогаем. Распространяется ли на нас GDPR?

Прежде всего, следует отметить, что GDPR распространяется на абсолютное большинство украинских продуктовых ИТ-компаний, предлагающих свой продукт на рынок Европейского Союза. Однако вопрос соотношения GDPR и аутсорсинговых компаний является более сложным.

Как известно, GDPR выделяет двух основных субъектов – контроллера и обработчика. Контроллер определяет «как» и «для чего» будут обрабатываться персональные данные. Обработчик, со своей стороны, лишь осуществляет обработку персональных данных от имени и в соответствии с указаниями контроллера. Разграничение этих статусов имеет важное значение, поскольку GDPR предусматривает для них разный объем обязательств.

В типичной модели ИТ аутсорсинга заказчик – компания из Европы, а поставщик услуг – подрядчик из Украины. При такой модели европейская компания в основном будет действовать как контроллер данных. Украинская компания будет выступать обработчиком в понимании GDPR при условии, что она будет иметь доступ или объективную возможность получить доступ к персональным данным, которые обрабатываются заказчиком.

Если украинская компания будет использовать персональные данные, обрабатываемые заказчиком из Европы, для своих целей или самостоятельно определять средства обработки таких данных, она автоматически будет приобретать статус контроллера и самостоятельно нести полную ответственность за соответствие требованиям GDPR.

Больше о сфере действия GDPR можно прочитать в нашей статье «Территория применения GDPR».

2. Как контролирующие органы ЕС смогут взыскать с нас штрафы, ведь мы находимся в Украине?

Вопрос принудительного взыскания штрафов с компаний, расположенных за пределами ЕС, достаточно дискуссионный. Юристы-международники выдвигают несколько тезисов о том, как будут взиматься штрафы в реальной жизни:

• путем заключения специальных или внесении изменений в действующие двусторонние соглашения между ЕС и другими государствами, в соответствии с которыми неевропейские государства будут признавать компетенцию европейских контролирующих органов (Data Protection Authority/DPA);
• путем обращения DPA ко своим национальным судам для санкционирования решений. В таком случае фактически состоится преобразование административного акта DPA в судебный акт, что позволит использовать уже имеющийся и проверенный временем механизм международного исполнения судебных решений.

Каким путем пойдет европейская практика пока не известно, поэтому большинство компаний, расположенных за пределами ЕС, сейчас придерживаются «wait and see approach». Такой подход во многом не оправдан и создает дополнительные риски для бизнеса.

Рассмотрим классическую модель ИТ аутсорсинга: ваш европейский заказчик выступает контроллером персональных данных, а вы предоставляет услуги и имеете доступ к персональным данным его клиентов, а, следовательно, действуете как обработчик.

GDPR требует, чтобы в таком случае европейский заказчик обязательно заключал с вами письменный договор на обработку персональных данных или включал data processing clauses в аутсорс договор. В случае выявления контролирующими органами ЕС факта нарушений требований GDPR и применения штрафов к европейскому заказчику, он может самостоятельно обратиться в суд в порядке регресса и на основании заключенного договора требовать от вас возместить часть понесенных им убытков.

Кроме того, не следует забывать и о «невидимой руке рынка», которая не имеет границ и не обремененная излишней юридической бюрократией. Как показывает практика, все чаще наши украинские клиенты начинают получать письма от своих европейских контрагентов с вопросом: «Are you GDPR compliant?». Для европейских компаний сотрудничество с поставщиками услуг, которые не соблюдают требования GDPR – это существенный фактор риска, поскольку в таком случае именно они несут основной груз ответственности. Как сказал бы классик экономической теории Адам Смит: «Рыночек порешал» 🙂

Необходимость соответствовать требованиям GDPR уже превращается исключительно из обязанности, предусмотренной законодательным актом, на самостоятельное требование цивилизованного рынка, нарушение которого несет не только репутационные риски, но и может привести к потере партнеров и клиентов из Европы.

3. Мой заказчик из Европы прислал опросник/questionnaire с вопросами о порядке обработки персональных данных. Зачем этот опросник и что нам с ним делать?

Достаточно часто контрагенты из Европейского Союза, выступающие контроллерами персональных данных, не ограничиваются только одним вопросом, отвечаете вы требованиям GDPR, а присылают детализированный опросник. На практике такой опросник может иметь различные названия: Supplier Assessment Form, Supplier Assessment Tool, Processor Assessment Questionnaire и др.

Дело в том, что GDPR прямо предусматривает, что контроллер обязан сотрудничать только с теми обработчиками, которые обеспечивают надлежащие гарантии безопасности персональных данных. На сегодня опросник выступает самым распространенным и легким механизмом для оценки того, придерживаются ли обработчики требований GDPR.

Контроллер отправляет вам опросник, вы самостоятельно его заполняете, подписываете и возвращаете назад. В случае возникновения в будущем нежелательного интереса со стороны DPA к вашему европейскому контрагенту, такой опросник будет выступать доказательством того, что он принял надлежащие меры для проверки своих обработчиков на соответствие требованиям GDPR.

Если же Вы не соответствуете требованиям GDPR – не стоит прописывать обратного, поскольку после подписания опросник превращается в юридический документ, который может быть использован в качестве доказательства в случае возникновения каких-либо споров с контрагентом в будущем.

В случае получения опросника оптимальным вариантом будет консультация с юристом в сфере защиты персональных данных, который проанализирует список вопросов, ваши бизнес-процессы и предоставит рекомендации по заполнению.

4. Наш европейский контрагент попросил подписать Data Processing Agreement. Что это такое?

Как мы уже частично отмечали выше, если ваш европейский контрагент выступает контроллером данных, то GDPR возлагает на него обязанность заключить письменные договора со всеми обработчиками. На практике возможны два варианта развития событий:

• условия об особенностях обработки персональных данных (data protection clauses) будут включены в аутсорс договора о предоставлении услуг;
• заключение отдельного Data Processing Agreement.

Data Processing Agreement – это договор, который заключается между двумя контроллерами, контроллером и обработчиком, обработчиком и субобработчиком, и регулирует особенности обработки персональных данных. Как правило, такой договор определяет предмет и продолжительность обработки, характер и цели обработки, категории персональных данных и субъектов персональных данных, а также права и обязанности сторон.

Для Data Processing Agreement, заключаемого между контроллером и обработчиком, GDPR предусматривает перечень обязательных положений, которые должны быть включены в него. В частности, GDPR предусмотрены следующие обязательства:

• обработка персональных данных должна осуществляться исключительно на основании письменных указаний контроллера;
• гарантии конфиденциальности;
• гарантии принятия надлежащих мер безопасности;
• право привлекать субподрядчиков (субобработчиков) только на основании предварительного письменного разрешения контроллера;
• обязанность удалить или вернуть персональные данные после окончания срока оказания услуг;
• обязанность предоставления контроллеру помощи и информации для обеспечения соответствия требованиям GDPR.

Что касается украинских компаний имеется определенная специфика, которую необходимо учитывать. Согласно решениям Европейской комиссии Украина не относится к государствам, которые обеспечивают надлежащий уровень защиты персональных данных, а это значит, что ваш европейских контрагент может привлекать украинскую компанию к обработке персональных данных только у случае соблюдения специальных условий, предусмотренных GDPR.

Одним из таких условий является заключение между вами и европейским контроллером типового Data Processing Agreement, условия которого приняты Европейской Комиссией. «Смягчать» условия типового договора запрещено.

Поэтому если ваш контрагент не готов идти на уступки и «смягчать» формулировки Data Processing Agreement – вполне возможно, что он использует standard contractual clauses, в таком случае его поведение вполне оправдано.

5. Мы уже отвечаем требованиям GDPR (да, мы крутые), но решили передать часть наших процессов на аутсорс. На что нам стоит обратить внимание?

Достаточно распространенной практикой является ситуация, при которой украинская ИТ аутсорсинговая компания привлекает субподрядчиков. Поставщиками услуг в таком случае могут выступать как юридические лица, так и физические лица-предприниматели.

Если субподрядчики будут иметь доступ к персональным данным клиентов конечного заказчика из Европы, то они будут признаваться субобработчиками в понимании GDPR. В таком случае вы как обработчик персональных данных должны учитывать следующие особенности:

• европейский заказчик должен предварительно предоставить вам в письменном виде (обычно это прописывается в договоре) право привлекать субподрядчиков;
• вы обязаны заключить с таким субподрядчиком Data Processing Agreement или включить data processing clauses в договор субподряда. В то же время условия договора субподряда должны предусматривать такой же объем обязательств по обработке персональных данных, что и договор, заключенный между европейским заказчиком и вами лично;
• уже в процессе предоставления услуг вы должны предварительно предупреждать европейского заказчика о необходимости каких-либо изменений в составе субобработчиков;
• вы как основной обработчик остаетесь ответственным перед заказчиком из Европы за нарушения, совершенные привлеченными субобработчиками.

Вывод

Одним из важнейших нововведений GDPR является распространение сферы его действия не только на контролеров, но и на обработчиков персональных данных. В контексте отношений ИТ аутсорсинга поставщики услуг подпадают под действие GDPR в основном именно как обработчики персональных данных. Обеспечение соответствия обработчиков требованиям GDPR имеет существенную специфику, которую следует обязательно учитывать вашему бизнесу.