DTIA

Захист персональних даних: чому Data Transfer Impact Assessment має бути частиною вашого GDPR-комплаєнсу

Міжнародна передача даних у комплаєнсі з GDPR є складним процесом, оскільки дані передаються в треті країни поза межами Європейського Союзу (ЄС) або Європейської економічної зони (ЄЕЗ). Якщо Ви цікавились питаннями захисту персональних даних, то вже знаєте про рішення Schrems II, в якому Суд Європейського Союзу (CJEU) вказав, що рівень захисту персональних даних, що передаються за межі ЄЕЗ та ЄС має залишатися еквівалентним тому, що гарантується в ЄС та ЄЕЗ (але не обов’язково повинен бути ідентичним). Тобто передача персональних даних до третіх країн не може зменшувати рівень захисту персональних даних.

У цій статті ми на прикладі України розглянемо:

  • Що таке Data Transfer Impact Assessment?
  • Хто такі імпортер та експортер даних та як ці поняття пов’язані із контролерами та процесорами?
  • Як проведення DTIA відноситься до GDPR-комплаєнсу?
  • Хто зобов’язаний проводити DTIA?
  • Які є основні кроки у проведенні DTIA?
  • Яка різниця між Data Transfer Impact Assessment (DTIA) та Data Protection Impact Assessment (DPIA)?
  • Що зазначити в DTIA для передачі персональних даних з ЄС до України?

 Що таке Data Transfer Impact Assessment?

Data Transfer Impact Assessment (DTIA) – це процес оцінки ризиків, які можуть виникнути при передачі персональних даних з однієї держави в іншу, зокрема за межі ЄС/ЄЕЗ, якщо такі треті країни не мають рішення про відповідність.

А чому це важливий етап? Звичайно ж для захисту прав та свобод фізичних осіб, зокрема й приватності суб’єктів персональних даних.

У випадку передачі персональних даних за межі ЄС/ЄЕЗ варто звернути увагу на Стандартні договірні положення (Standard contractual clauses, SCCs), які були опубліковані Європейською комісією у 2021 році. Тоді було прийнято дві групи SCCs: перша стосувалася відносин між контролерами та операторами, для узгодження підходу передачі персональних даних по всій території ЄС/ЄЕЗ, друга – передачі персональних даних до держав за межами ЄС/ЄЕЗ.

У цій статті ми детальніше розглянемо саме другу групу, яка стосується міжнародної передачі персональних даних та покладає обов’язок проведення DTIA. 

Хто такі імпортер та експортер даних та як ці поняття пов’язані із контролерами і процесорами?

Імпортер даних та експортер даних – це терміни, які використовуються в контексті міжнародної передачі персональних даних з однієї країни до іншої. Тобто і контролер і процесор можуть бути як імпортерами, так й експортерами персональних даних, залежно від передачі даних, яка визначена в договорі між сторонами.

DTIA: як провести оцінку впливу передачі персональних даних між ЄС та Україною

Як проведення DTIA відноситься до GDPR-комплаєнсу?

У 2021 році були прийняті нові Стандартні договірні положення (SCCs), де й було підтверджено необхідність проведення DTIA перед міжнародною передачею персональних даних, якщо держава-імпортер немає рішення про відповідність (adequacy decision).

Так у Clause 14 вказано, що сторони перед укладенням SCC повинні оцінити, чи можуть закони та практика третьої країни (країни призначення), застосовні до обробки персональних даних імпортером даних, перешкодити дотриманню положень щодо захисту персональних даних. Це положення й вказує на необхідність проведення DTIA.

Хто зобов’язаний проводити DTIA?

При укладенні договору про міжнародну передачі персональних даних та включаючи до такого договору SCC, сторони мають взяти до уваги законодавство та практику третьої країни та переконатися, що таке законодавство та практика не перешкоджатимуть дотриманню вимог захисту персональних даних, встановлених GDPR.

Проте сам обов’язок проведення оцінки законодавства третьої країни лежить на експортері даних. Експортер повинен визначити, чи існують в державі, де знаходиться імпортер даних, будь-які правила та закони щодо захисту даних, чи є місцевий орган із захисту даних та інші питання, які розглянемо згодом.

Основні кроки при проведенні DTIA

Загалом, Європейська рада із захисту персональних даних (EDPB) у Рекомендації 01/2020 про заходи, які забезпечують дотримання рівня захисту персональних даних ЄС описала 6 кроків, які стосуються Data Transfer Impact Assessment.

EDPB радить, перш за все, знати всі міжнародні передачі даних на територію третіх держав. Відображення всіх передач персональних даних звичайно ж є складним завданням, проте надзвичайно необхідним, щоб гарантувати еквівалентний рівень їх захисту. 

Другим кроком є перевірка інструменту передачі (the transfer tool your transfer relies on) серед перелічених у Розділі V GDPR. Якщо щодо третьої держави є рішення про відповідність (adequacy decision), які Комісія оприлюднює на своєму офіційному сайті, тоді не потрібно вживати жодних подальших дій щодо передачі персональних даних до такої держави. Тут головне – контролювати, щоб рішення про відповідність залишалося чинним.

Стаття 46 GDPR передбачає різні інструменти передачі, які можна використовувати для експорту даних до третьої країни. Найпоширенішим інструментом, ймовірно, буде використання SCCs.

Третій крок – оцінка законів та практики щодо захисту персональних даних третій країні. Під час проведення оцінки законів про захист даних можна виявити, чи обраний інструмент передачі забезпечує належний рівень захисту даних.

Наступним кроком може бути визначення додаткових заходів, якщо виявилось, що обраний інструмент передачі не забезпечує еквівалентного рівня захисту. Додаткові заходи можуть мати технічний та організаційний характер  (наприклад, використання шифрування та псевдонімізація даних).

П’ятий крок полягає саме в провадженні цих додаткових заходів у практику. Після впровадження вашого інструменту передачі та будь-яких відповідних додаткових заходів (за потреби) можна перейти до передачі даних.

А шостим кроком є регулярна перевірка змін в законах та практиках у третій країні, які можуть вплинути на рівень захисту даних, який було визначено на основі початкової оцінки.

Яка різниця між Data Transfer Impact Assessment (DTIA) та Data Protection Impact Assessment (DPIA)?

Незважаючи на схожість назв, DTIA та DPIA є різними процедурами оцінки впливу на захист даних. Проведення DTIA здійснюється для оцінки ризиків, пов’язаних з міжнародною передачею персональних даних, тоді як DPIA оцінює ризики, пов’язані з будь-яким видом опрацювання персональних даних саме в межах Європейського Союзу (коли таке опрацювання може погіршити захист прав фізичних осіб).

Детальніше про DPIA можна прочитати у цій статті

DTIA: як провести оцінку впливу передачі персональних даних між ЄС та Україною

Що зазначити в DTIA для передачі персональних даних з ЄС до України?

Наприклад, продуктова ІТ компанія з ЄС вирішила на аутсорсі залучити компанію з України для розробки нового програмного забезпечення. Для цього компанія з ЄС планує передавати персональні дані її клієнтів розробникам з України, для розробки нового продукту. В такому випадку компанія з ЄС (експортер даних) повинна провести DTIA, щоб оцінити можливі ризики передачі даних до України.

Щоб оцінити фактори ризику у випадку передачі даних в Україну, варто звернути увагу на такі особливості, як ймовірність незаконного доступу до персональних даних, наявність належного рівня захисту даних та загальний рівень дотримання прав людини в державі, а також провести аналіз національної та міжнародної судової практики.

Під час аналізу законів і практик, застосовних до персональних даних в Україні, зверніть увагу на чинні міжнародні (застосовні до України) та національні закони, підзаконні нормативно-правові акти, відповідну судову практику та рекомендації у сфері захисту даних.

До прикладу, проаналізуйте норми чинної Конституції України та Закону України “Про захист персональних даних”, а також норми, які стосуються захисту персональних даних, що містяться в Кримінальному, Кримінальному процесуальному кодексах, Законах України “Про національну поліцію”, “Про Службу безпеки України”, “Про оперативно-розшукову діяльність” тощо. Крім того, проаналізуйте практику Конституційного Суду України та Європейського суду з прав людини щодо України.

Також зазначте про наявність ефективно функціонуючого незалежного наглядового органу, чи посадової особи, які є відповідальними за забезпечення дотримання правил захисту персональних даних. В Україні це Уповноважений Верховної Ради України з прав людини.

Особливу увагу потрібно приділити визначенню рівня виконання Україною міжнародних зобов’язань та участі в міжнародних організаціях щодо захисту персональних даних, а також оцінці рівня пропорційності державного втручання, який передбачений законодавством України (зокрема, законами, які встановлюють вимоги щодо надання персональних даних органам державної влади).

Висновок

Отже, DTIA є відповідальним процесом, який допомагає забезпечити захист персональних даних при їх міжнародній передачі. Здійснювати DTIA необхідно детально та відповідно до встановлених вимог. Недостатня оцінка ризиків може призвести до несанкціонованого доступу до персональних даних, порушення їх захисту або втрати, що може викликати негативні наслідки для репутації компанії.

У проведенні DTIA, як і у вирішенні інших питань, пов’язаних із захистом персональних даних, завжди допоможе наша команда privacy-юристів. 

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)