GDPR. Особенности перемещения (передачи) персональных данных за пределы ЕС

Хотя после вступления в силу Регламента Европейского Парламента и Совета (ЕС) 2016/679 о защите персональных данных (более известного как GDPR) прошло больше месяца, украинские участники мирового e-commerce все еще остаются неуверены относительно отношений с европейским законодательством, в которых должен находиться их бизнес. В частности, самой большой загадкой для предпринимателей, чьими контрагентами или клиентами являются субъекты персональных данных, в соответствии с GDPR, остается вопрос о том, при каких условиях, они должны согласовывать свою деятельность с требованиями этого документа и каким образом они могут перемещать персональные данные в контексте границ ЕС, в случае возникновения такой необходимости.

GDPR как документ, который принимался с возможностью применения его норм как на территории Европейского Союза, так и за его пределами, содержит много специфических требований, в частности, такие требования касаются перемещения за пределы ЕС персональных данных, которые собираются на территории Европейского Союза, в третьи страны и / или мировых организаций, для дальнейшей их обработки, хранения и / или использования.

Тест на комплаенс

Следует помнить, что иностранное законодательство по умолчанию держится в пределах суверенитета собственного государства, поэтому отдельные акты будут иметь международное значение только при наличии конкретных условий. В частности, GDPR обязывает украинских предпринимателей приводить свою деятельность в комплаенс, если:

лица, персональные данные которых собираются, находящиеся в Союзе, и при этом эти лица не должны обязательно быть гражданами одной из стран-членов или быть гражданами любого государства вообще — единственным решающим фактом является нахождение лица на территории Союза,
контроллер (компания, определяет цели и объем обработки персональных данных) зарегистрирован в Украине и считается резидентом Украины, и деятельность, при которой собираются и обрабатываются персональные данные, касается предоставления таким лицам украинской компанией товаров и услуг (даже если такие операции не связаны с платежами) на территории Союза, или проведения мониторинга за деятельностью таких лиц, пока последние находятся в пределах Союза.

Однако, существует много случаев, когда украинский бизнес имеет фактический контроль в Украине, а юридически может быть зарегистрирован на территории Европейского Союза. В таком случае подпадание под требования GDPR даже не обсуждается.

В случаях, когда украинская компания действует в Украине и систематически собирает и обрабатывает персональные данные, она должна принимать решения самостоятельно, применять ей нормы Регламента или нет. Рабочая группа 29 (орган Союза, компетентный выдавать руководящие указания относительно GDPR), в свою очередь, поощряет оставлять такие случаи на усмотрение национального права.

Условия передачи данных за пределы ЕС

Вместе с тем, для обеспечения комплаенс недостаточно просто определить потребность применять GDPR в своей деятельности. Смежным — и не менее важным — вопрос того, будет ли происходить, в процессе деятельности предпринимателя, передача персональных данных с территории Союза за рубеж, в частности в Украине. Неосторожное отношение к персональным данным может повлечь за собой серьезные штрафы и компенсации пострадавшим владельцам персональных данных.

Так передача персональных данных может иметь место, когда компания, которая собрала персональные данные, сохраняет и обрабатывает их на территории Европейского Союза, но при этом возникает необходимость в передаче персональных данных за пределы ЕС, в целях, описанных выше. Так, например, контроллер может находиться в Европе, в то время как обработчик может находиться за пределами ЕС, в частности в Украине. В такой ситуации четко выраженный акт передачи персональных данных.

В соответствии с GDPR, передача персональных данных в третьи страны (находящихся по по территории Союза) или международных организаций может происходить исключительно на основании:

• решение Европейской Комиссии о соответствии уровня защиты, третья страна предоставляет персональным данным, передаются на ее территорию (список юрисдикций с должным уровнем защиты). Сейчас решением Европейской Комиссии утвержден список юрисдикций, которые имеют надлежащий уровень защиты, передача данных которых не требует получения дополнительного разрешения в соответствующих властных структурах. К таким странам входят: Аргентина, Канада (предприятия), Фарерские острова, Андорра, Новая Зеландия, острова Гернси, Швейцария, Израиль, Уругвай, Остров Мэн, США, Остров Джерси;
• утвержденных соответствующим надзорным органом обязательственных корпоративных правил;
  принятых Европейской Комиссией или соответствующим надзорным органом стандартных положений по защите персональных данных;
• утвержденным кодексом поведения в совокупности с представленными контроллером или обработчиком в третьей стране обязательствами применить надлежащие гарантии обеспечения прав субъектов данных;
• утвержденным механизмом сертификации в совокупности с представленными контроллером или обработчиком в третьей стране обязательствами применить надлежащие гарантии обеспечения прав субъектов данных;
• положений договора между контроллером или оператором и контроллером, оператором или получателем персональных данных в третьей стране или международной организацией при наличии специального разрешения надзорного органа.К сожалению, Украина пока не входит в список стран, предоставляющих достаточные гарантии защиты персональных данных.

Первые шаги к комплаенс с GDPR

Для приведения деятельности компании в комплаенс, на ранних этапах подготовки важно сформировать карту доступа к персональным данным, где отображаются а) пути получения персональных данных, б) перемещение персональных данных внутри компании, в) доступ к персональным данным конкретных работников, смежных контроллеров, обработчиков и третьих лиц, г) цели и объемы обработки персональных данных.

Важно, чтобы компания учла всех лиц, которых можно считать смежными контроллерами и обработчиками, поскольку GDPR возлагает на контролера обязанность информировать о них субъекта данных. Вместе с тем, компания обязана определить всех субъектов, которым персональные данные передаются, в частности, всех тех, кто находится по за пределами Европейского Союза.

Если передача данных происходит за пределы ЕС субъекту, который находится в третьей стране, то следует проверить, есть ли решение о соответствии гарантий безопасности, которое касается государства назначения передачи персональных данных.

Если эта третья страна не считается безопасной, следует оценить риски передачи данных и минимизировать их, а также заручиться информированным согласием субъекта данных на такое передачи или другой законным основанием из перечисленных выше, а при необходимости, сообщить соответствующий надзорный орган о таком перемещении.

Вывод

Осуществляя свою деятельность на территории Украины или регистрируя компанию в Европейском Союзе, выясните, подпадаете ли вы под требования европейского законодательства, в частности, но не исключительно, под требования GDPR. Выяснив и установив свой долг действовать в соответствии с требованиями нового европейского Регламента по защите персональных данных, убедитесь, что вы приняли все или возникают все необходимые надлежащие меры безопасности в процессе обработки персональных данных, в частности, в процессе передачи персональных данных в третьи стран и / или международных организаций. Важно, оценить влияние нового европейского законодательства, чтобы иметь возможность предусмотреть скрытые препятствия и вовремя адаптироваться к новым законодательным условиям.