GDPR после Schrems II: как теперь защищать персональные данные

София Бруцяк
Младший юрист ETERNA LAW
Фото: cnaprv.gov.ua

Фото: cnaprv.gov.ua

Уже больше двух лет прошло с того времени, как GDPR вступил в силу и не дает покоя компаниям со всего мира.

Всему виной гибкий характер регуляции и отсутствие четкости в требованиях, и, как результат, путь к успешной имплементации всех принципов и обязательств, закрепленных в GDPR, весьма тернист.

Учитывать нужно не только сам текст, но и соответствующие решения Европейского суда, а также рекомендации и разъяснения национальных регуляторов.

Telegram Logo

Яркий пример – недавнее решение Европейского суда Schrems II о недействительности EU-U.S. , который был правовой основой для коммерческой передачи персональных данных между ЕС и Америкой.

Решение существенно прибавило работы privacy professionals международных компаний, а также внесло некую неясность, поскольку новый механизм регулирования данного вопроса судом предложен так и не был.

Google News Logo Подписывайтесь на нас в Google News!

Рассмотрим же более детально, как именно Schrems II повлиял на privacy compliance, в том числе украинских компаний, которые работают с рынками ЕС и США и подпадают под действие GDPR, и проанализируем, как немецкий регулятор рекомендует справляться с новым кризисом.

Правила международных потоков данных согласно GDPR

GDPR гласит: если компания планирует передавать персональные данные граждан стран ЕС за пределы ЕЭС, передача данных должна осуществляться на основании одного из следующих механизмов:

  • решение об адекватности, утвержденное Европейской комиссией. Сейчас доступно только нескольким странам, в список которых Украина не входит;
  • стандартные условия – наиболее широко используемый метод ввиду легкости имплементации. Предусматривает включение в договор утвержденных Комиссией стандартных условий о защите данных;
  • обязательные корпоративные правила, кодекс поведения, сертификация, которые предусматривают более сложный механизм согласования с Комиссией и поэтому являются менее популярными;
  • в исключительных случаях компания-экспортер также может ссылаться на ряд отступлений от обязательств, предусмотренных статьей 49 GDPR.

Изменения, внесенные Schrems II

Schrems II не только признал недействительным механизм EU-U.S. Privacy Shield, но и ужесточил требования к стандартным условиям.

С этого времени компаниям нужно будет проводить индивидуальный анализ каждого кейса, учитывая законодательство страны-импортера о доступе государственных органов к персональным данным и, следовательно, уровень безопасности осуществляемой передачи. При необходимости нужно будет вносить дополнительные меры безопасности.

О каких дополнительных мерах безопасности идет речь? Европейский суд оставил этот вопрос открытым, и до получения каких-либо официальных разъяснений от регуляторов компании приспосабливаются к новым требованиям по собственному усмотрению.

Check-list: Как усовершенствовать privacy compliance

24 августа 2020 года немецкий регулятор земли Баден-Вюртемберг опубликовал рекомендации относительно международных передач данных согласно новым требованиям Schrems II.

Пока это первая интерпретация национального регулятора «дополнительных мер» безопасности.

Предлагается соблюдать следующие рекомендации:

  • провести data mappingвсех передач данных в третьи страны (то есть страны за пределами ЕЭС);
  • связаться с поставщиками услуг/контрагентами и проинформировать их о новых требованиях Schrems II;
  • провести рисерч о состоянии закона в соответствующих третьих странах;
  • проверить, есть ли решение адекватности с третьей-страной контрагентом;
  • если решение об адекватности отсутствует, определить, можно ли использовать стандартные условия без каких-либо дополнительных мер безопасности;
  • при необходимости использовать стандартные условия с дополнительными гарантиями, такими как шифрование, анонимизация или псевдонимизация.

Безусловно, обязательными данные рекомендации являются только на территории земли Баден-Вюртемберг, а немецкий регулятор, как известно, особенно строг в отношении privacy compliance.

В то же время нужно ли упоминать о том, что зарождение принципа приватности и основ GDPR берет свое начало именно в Германии?


Несомненно, время покажет, какую финальную точку поставит надзирательный орган в решении проблемы передачи персональных данных на транснациональном уровне.

Однако рекомендации немецкого регулятора можно и следует принять во внимание компаниям, которые хотят обезопасить персональные данные своих клиентов и работников, пока официальная схема действий еще не утверждена.

The Page Logo
У вас есть интересная колонка для The Page?
Пишите нам: kolonka@thepage.ua

Warning icon Ошибка в тексте? Выделите её мышкой и нажмите: Ctrl + Enter

Редакция не несет ответственности за содержание материала и может не разделять мнение его автора

Комментарии

Все новости