GDPR. Особенности перемещения (передачи) персональных данных за пределы ЕС

Хотя после вступления в силу Регламента Европейского Парламента и Совета (ЕС) 2016/679 о защите персональных данных (более известного как GDPR) прошло больше месяца, украинские участники мирового e-commerce все еще остаются неуверены относительно отношений с европейским законодательством, в которых должен находиться их бизнес. В частности, самой большой загадкой для предпринимателей, чьими контрагентами или клиентами являются субъекты персональных данных, в соответствии с GDPR, остается вопрос о том, при каких условиях, они должны согласовывать свою деятельность с требованиями этого документа и каким образом они могут перемещать персональные данные в контексте границ ЕС, в случае возникновения такой необходимости.


GDPR как документ, который принимался с возможностью применения его норм как на территории Европейского Союза, так и за его пределами, содержит много специфических требований, в частности, такие требования касаются перемещения за пределы ЕС персональных данных, которые собираются на территории Европейского Союза, в третьи страны и / или мировых организаций, для дальнейшей их обработки, хранения и / или использования.

Тест на комплаенс

Следует помнить, что иностранное законодательство по умолчанию держится в пределах суверенитета собственного государства, поэтому отдельные акты будут иметь международное значение только при наличии конкретных условий. В частности, GDPR обязывает украинских предпринимателей приводить свою деятельность в комплаенс, если:

лица, персональные данные которых собираются, находящиеся в Союзе, и при этом эти лица не должны обязательно быть гражданами одной из стран-членов или быть гражданами любого государства вообще — единственным решающим фактом является нахождение лица на территории Союза,
контроллер (компания, определяет цели и объем обработки персональных данных) зарегистрирован в Украине и считается резидентом Украины, и деятельность, при которой собираются и обрабатываются персональные данные, касается предоставления таким лицам украинской компанией товаров и услуг (даже если такие операции не связаны с платежами) на территории Союза, или проведения мониторинга за деятельностью таких лиц, пока последние находятся в пределах Союза.


Однако, существует много случаев, когда украинский бизнес имеет фактический контроль в Украине, а юридически может быть зарегистрирован на территории Европейского Союза. В таком случае подпадание под требования GDPR даже не обсуждается.

В случаях, когда украинская компания действует в Украине и систематически собирает и обрабатывает персональные данные, она должна принимать решения самостоятельно, применять ей нормы Регламента или нет. Рабочая группа 29 (орган Союза, компетентный выдавать руководящие указания относительно GDPR), в свою очередь, поощряет оставлять такие случаи на усмотрение национального права.

Условия передачи данных за пределы ЕС

Вместе с тем, для обеспечения комплаенс недостаточно просто определить потребность применять GDPR в своей деятельности. Смежным — и не менее важным — вопрос того, будет ли происходить, в процессе деятельности предпринимателя, передача персональных данных с территории Союза за рубеж, в частности в Украине. Неосторожное отношение к персональным данным может повлечь за собой серьезные штрафы и компенсации пострадавшим владельцам персональных данных.

Так передача персональных данных может иметь место, когда компания, которая собрала персональные данные, сохраняет и обрабатывает их на территории Европейского Союза, но при этом возникает необходимость в передаче персональных данных за пределы ЕС, в целях, описанных выше. Так, например, контроллер может находиться в Европе, в то время как обработчик может находиться за пределами ЕС, в частности в Украине. В такой ситуации четко выраженный акт передачи персональных данных.

В соответствии с GDPR, передача персональных данных в третьи страны (находящихся по по территории Союза) или международных организаций может происходить исключительно на основании:

  • решение Европейской Комиссии о соответствии уровня защиты, третья страна предоставляет персональным данным, передаются на ее территорию (список юрисдикций с должным уровнем защиты). Сейчас решением Европейской Комиссии утвержден список юрисдикций, которые имеют надлежащий уровень защиты, передача данных которых не требует получения дополнительного разрешения в соответствующих властных структурах. К таким странам входят: Аргентина, Канада (предприятия), Фарерские острова, Андорра, Новая Зеландия, острова Гернси, Швейцария, Израиль, Уругвай, Остров Мэн, США, Остров Джерси;
  • утвержденных соответствующим надзорным органом обязательственных корпоративных правил;
    принятых Европейской Комиссией или соответствующим надзорным органом стандартных положений по защите персональных данных;
  • утвержденным кодексом поведения в совокупности с представленными контроллером или обработчиком в третьей стране обязательствами применить надлежащие гарантии обеспечения прав субъектов данных;
  • утвержденным механизмом сертификации в совокупности с представленными контроллером или обработчиком в третьей стране обязательствами применить надлежащие гарантии обеспечения прав субъектов данных;
  • положений договора между контроллером или оператором и контроллером, оператором или получателем персональных данных в третьей стране или международной организацией при наличии специального разрешения надзорного органа.К сожалению, Украина пока не входит в список стран, предоставляющих достаточные гарантии защиты персональных данных. Поэтому передача данных разрешается только при одном из следующих условий:

1) субъект данных предоставил четкую согласие на предложенный передачи после того, как его было сообщено о возможных рисках такой передачи;
2) передачи необходимо для выполнения контракта между субъектом данных и контролером, или реализации преддоговорных мер, принятых на запрос субъекта данных;
3) передачи необходимо для заключения или исполнения договора, заключенного в интересах субъекта данных между контроллером и другим физическим или юридическим лицом;
4) передачи необходимо на важных основаниях общественного интереса;
5) передачи необходимо для формирования, осуществления или защиты правовых претензий;
6) передачи необходимо для защиты жизненно важных интересов субъекта данных или других лиц, если субъект данных физически или юридически не способен дать согласие.

Что касается других стран, не входящих в вышеупомянутых, то необходимо проводить детальный анализ и принимать решения, основываясь на требованиях внутреннего законодательства такой страны.

GDPR не содержит определения понятия перемещения или его особенностей.
Контекст, в котором употребляется понятие перемещения как операции с персональными данными считается одним из примеров раскрытия персональных данных и толкуется как способ предоставления доступа к ним. В частности, Европейский Суд Справедливости в своей судебной практике так и не выработал единого понятия перемещения, которое было бы универсальным для всех видов обработки персональных данных.

GDPR. Особенности перемещения (передачи) персональных данных за пределы ЕС
GDPR. Особливості переміщення (передавання) персональних даних за межі ЄС

Первые шаги к комплаенс с GDPR

Для приведения деятельности компании в комплаенс, на ранних этапах подготовки важно сформировать карту доступа к персональным данным, где отображаются а) пути получения персональных данных, б) перемещение персональных данных внутри компании, в) доступ к персональным данным конкретных работников, смежных контроллеров, обработчиков и третьих лиц, г) цели и объемы обработки персональных данных.

Важно, чтобы компания учла всех лиц, которых можно считать смежными контроллерами и обработчиками, поскольку GDPR возлагает на контролера обязанность информировать о них субъекта данных. Вместе с тем, компания обязана определить всех субъектов, которым персональные данные передаются, в частности, всех тех, кто находится по за пределами Европейского Союза.

Если передача данных происходит за пределы ЕС субъекту, который находится в третьей стране, то следует проверить, есть ли решение о соответствии гарантий безопасности, которое касается государства назначения передачи персональных данных.

Если эта третья страна не считается безопасной, следует оценить риски передачи данных и минимизировать их, а также заручиться информированным согласием субъекта данных на такое передачи или другой законным основанием из перечисленных выше, а при необходимости, сообщить соответствующий надзорный орган о таком перемещении.

Вывод

Осуществляя свою деятельность на территории Украины или регистрируя компанию в Европейском Союзе, выясните, подпадаете ли вы под требования европейского законодательства, в частности, но не исключительно, под требования GDPR. Выяснив и установив свой долг действовать в соответствии с требованиями нового европейского Регламента по защите персональных данных, убедитесь, что вы приняли все или возникают все необходимые надлежащие меры безопасности в процессе обработки персональных данных, в частности, в процессе передачи персональных данных в третьи стран и / или международных организаций. Важно, оценить влияние нового европейского законодательства, чтобы иметь возможность предусмотреть скрытые препятствия и вовремя адаптироваться к новым законодательным условиям.

Бесплатная первичная консультация по ІТ праву в твоем кейсе. Не медли ;)Твой вопрос ІТ юристам


Хочешь получать крутую инфу по IT-праву,
без спама и надоедливых акций?