Transfer Impact Assessment: почему это нужно аутсорс IT-компаниям и как его проводить?
В 2020 году Европейский Суд Справедливости (CJEU) принял решение по нашумевшему в privacy-кругах делу Schrems II об адекватности использования инструментов международной передачи персональных данных, предусмотренных GDPR. Среди прочего, был отменен Privacy Shield, использовавшийся для передачи данных между Европейским Союзом и США, из-за чего для сотрудничества с американскими компаниями с того момента было необходимо использовать стандартные договорные условия, принятые Европейской Комиссией (SCC).
Однако в этом же решении CJEU указал, что теперь компании не могут опираться только на подписание SCC при передаче данных за пределы Европейского Союза. Согласно тексту решения каждая передача персональных данных должна быть оценена в индивидуальном порядке, чтобы убедиться в том, что персональные данные адекватны защищены, в том числе от доступа к ним правоохранительными органами.
Поскольку порядок оценки трансфера не закреплен в самом тексте GDPR, European Data Protection Board (EDPB) выпустили пошаговую рекомендацию по оценке адекватности передачи данных за пределы Европейского Союза, которая состоит из шести шагов:
- Создание карты передачи данных;
- Верификация инструмента передачи данных, на который вы опираетесь;
- Оценка законодательства и практик третьей страны;
- Идентификация и принятие дополнительных мер (например, псевдонимизация данных);
- Процедурные шаги по внедрение дополнительных мер;
- Повторная оценка трансфера.
Зачем это нужно аутсорс IT-компаниям?
Чаще всего аутсорс IT-компании в контексте обработки персональных данных выступают процессором, который импортирует данные, передаваемые контроллером (экспортером данных). В решении CJEU указывается, что экспортеры данных являются ответственными за верификацию законодательства и практик третьей страны, которые могут влиять на эффективность гарантий, предусмотренных статьей 46 GDPR. При этом говорится, что в случае необходимости экспортер данных может проводить такую оценку совместно с импортером данных.
Если рассматривать ситуацию с практической точки зрения, то клиенты из Европейского Союза могут иметь подрядчиков из множества стран. Соответственно, проводить оценку законодательства и практик каждой страны может быть обременительным процессом для такой компании. Поэтому перед тем, как начать сотрудничество с исполнителями из третьих стран (третьей страной в понимании GDPR считается любая страна, которая не входит в ЕС/ЕЭС) заказчики могут предоставить им опросник, в котором попросят указать применяемые организационно-технические меры, а также вопросы соответствия законодательства страны исполнителя требованиям GDPR.
Также следует помнить, что процедура передачи данных в страны, по отношению к которым было принято решение об адекватности, принятое Еврокомиссией, отличается от той, которую мы рассматриваем в этой статье.
В последнее время все чаще клиенты из Европейского Союза просят своих подрядчиков предоставить им готовый Transfer Impact Assessment в контексте оценки законодательства и практик страны, куда передаются или будут передаваться персональные данные. Это вполне логичное требование, ведь контрагенту значительно проще провести оценку законодательства той страны, в которой он находится, чем клиенту, который затратит на такую оценку намного больше ресурсов. Ниже разберем, что может в себе содержать Transfer Impact Assessment, подготовленный IT-аутсорс компанией?
Из чего может состоять Transfer Impact Assessment (TIA)?
Как мы уже говорили ранее, в процесс проведения TIA помимо экспортера данных может быть вовлечен импортер данных. Это становится особенно актуальным, когда необходимо провести анализ законодательства и практик страны, в которую передаются данные. Давайте рассмотрим, что конкретно должен в себе содержать TIA, подготовленный исполнителем из третьей страны:
Уровень адекватности защиты персональных данных, предусмотренный законодательством.
Прежде всего, необходимо определить, какие нормативно-правовые акты регулируют вопросы защиты персональных данных в конкретной стране. Во многих странах законы о защите персональных данных были вдохновлены европейской практикой, поэтому многие термины, имея разное название, могут иметь похожий смысл в сравнении с их аналогом в GDPR. Понимание этого значительно сэкономит время, которое вы можете потратить на оценку. Также необходимо обратить особое внимание на подзаконные нормативные акты, например, проверить, необходимо ли контроллеру каким-либо образом взаимодействовать с контролирующими органами в вопросах защиты персональных данных.
Существование эффективного независимого контролирующего органа.
Среди прочего, необходимо выяснить, функционирует ли в стране эффективный независимый контролирующий орган, который несет ответственность за соблюдение законодательства в сфере защиты персональных данных. Сразу же возникает вопрос: как оценивать эффективность контролирующего органа? Если местное законодательство не дает на него ответ, то критерии такой оценки можно найти в Конвенции 108+.
Например, в контексте эффективности у такого органа должны быть компетенции по расследованию нарушений, а также возможность вынесения решений, в том числе административных санкций. Есть еще один способ оценить эффективность – посмотреть, как на практике работает такой орган. Для этого можно, например, проанализировать решения такого органа, а также оценить релевантную судебную практику. Чтобы понять, является ли независимым данный орган, скорее всего, помимо закона о защите персональных данных, будет необходимо анализировать как другие законы, так и судебную практику наряду с наблюдениями некоммерческих организаций.
Соблюдение международных обязательств и участие в международных организациях
Желательно, чтобы TIA содержал информацию о том, членом каких международных организаций является оцениваемая страна. При этом основное внимание необходимо сфокусировать на те организации, которые так или иначе могут быть связаны с защитой персональных данных или прав и свобод человека в целом, например, Совет Европы.
Особенно важным является оценка соблюдений международных обязательств, которые страна взяла на себя. Например, для объективной оценки исполнения обязательств в сфере защиты прав человека можно использовать отчеты Департамента исполнения решений ЕСПЧ по странам-членам Совета Европы в контексте выполнения ими взятых на себя обязательств.
Пропорциональность правительственного вмешательства
В TIA необходимо оценить, насколько велика вероятность, что правительство (чаще всего в лице правоохранительных органов) сможет незаконным способом получить доступ к персональным данным. В частности, желательно проанализировать требования касательно раскрытия данных правоохранительным органам. При этом следует из независимых источников узнать о том, существует ли в стране практика массовой слежки за людьми.
Особое внимание необходимо уделить конкретным положениям процессуального законодательства, а именно определить, в каких случаях правоохранительные органы могут получить доступ, например, к базе данных либо к частной переписке и как этому может противодействовать держатель персональных данных.
***
Проведение Transfer Impact Assessment – комплексная процедура, поэтому оценивать ее результаты нужно целостно, поскольку даже несоблюдение только одного пункта оценивания может поставить под риск всю передачу данных. Главная цель проведения данной процедуры – определить, будут ли персональные данные адекватны защищены при передаче данных и после такого трансфера. В любом случае, всегда нужно следить за всеми релевантными изменениями законодательства, судебной практикой и по необходимости проводить повторные TIA.