Уже больше двух лет прошло с того времени, как GDPR 25 октября 2017 года Кабмин Украины решил имплементировать Общий регламент по защите персональных данных (GDPR) в национальное законодательство до 25 мая 2018 года. вступил в силу и не дает покоя компаниям со всего мира.
Всему виной гибкий характер регуляции и отсутствие четкости в требованиях, и, как результат, путь к успешной имплементации всех принципов и обязательств, закрепленных в GDPR, весьма тернист.
Учитывать нужно не только сам текст, но и соответствующие решения Европейского суда, а также рекомендации и разъяснения национальных регуляторов.
Яркий пример – недавнее решение Европейского суда Schrems II о недействительности EU-U.S. Privacy Shield программа защиты персональных данных в США, по сути, надстройка над уже существующими законами о приватности. Была создана для упрощения легального доступа американских компаний к персональным данным из ЕС в ответ на констатацию Европы, что защита персональных данных у американцев, мягко говоря, не очень. Благодаря Privacy Shield компании в США имели возможность без особого оформления, как требует GDPR, получать данные из Европы. , который был правовой основой для коммерческой передачи персональных данных между ЕС и Америкой.
Решение существенно прибавило работы privacy professionals международных компаний, а также внесло некую неясность, поскольку новый механизм регулирования данного вопроса судом предложен так и не был.
Рассмотрим же более детально, как именно Schrems II Дело C-311/18 отдельное решение в рамках большего судебного дела Schrems, в котором австрийский активист Макс Шремс оспаривает законность передачи его персональных данных ирландским Facebook американскому. Фактически суд объявил решение Еврокомиссии и Европарламента 2016 года о достаточном уровне защиты Privacy Shield недействительным. повлиял на privacy compliance, в том числе украинских компаний, которые работают с рынками ЕС и США и подпадают под действие GDPR, и проанализируем, как немецкий регулятор рекомендует справляться с новым кризисом.
Правила международных потоков данных согласно GDPR
GDPR гласит: если компания планирует передавать персональные данные граждан стран ЕС за пределы ЕЭС, передача данных должна осуществляться на основании одного из следующих механизмов:
- решение об адекватности, утвержденное Европейской комиссией. Сейчас доступно только нескольким странам, в список которых Украина не входит;
- стандартные условия – наиболее широко используемый метод ввиду легкости имплементации. Предусматривает включение в договор утвержденных Комиссией стандартных условий о защите данных;
- обязательные корпоративные правила, кодекс поведения, сертификация, которые предусматривают более сложный механизм согласования с Комиссией и поэтому являются менее популярными;
- в исключительных случаях компания-экспортер также может ссылаться на ряд отступлений от обязательств, предусмотренных статьей 49 GDPR.
Изменения, внесенные Schrems II
Schrems II не только признал недействительным механизм EU-U.S. Privacy Shield, но и ужесточил требования к стандартным условиям.
С этого времени компаниям нужно будет проводить индивидуальный анализ каждого кейса, учитывая законодательство страны-импортера о доступе государственных органов к персональным данным и, следовательно, уровень безопасности осуществляемой передачи. При необходимости нужно будет вносить дополнительные меры безопасности.
О каких дополнительных мерах безопасности идет речь? Европейский суд оставил этот вопрос открытым, и до получения каких-либо официальных разъяснений от регуляторов компании приспосабливаются к новым требованиям по собственному усмотрению.
Check-list: Как усовершенствовать privacy compliance
24 августа 2020 года немецкий регулятор земли Баден-Вюртемберг опубликовал рекомендации относительно международных передач данных согласно новым требованиям Schrems II.
Пока это первая интерпретация национального регулятора «дополнительных мер» безопасности.
Предлагается соблюдать следующие рекомендации:
- провести data mapping Процесс создания сопоставлений элементов данных между двумя разными их моделями, первый шаг для преобразования, передачи, идентификация отношений данных, обнаружения скрытых конфиденциальных данных, консолидации баз данных в единую базу и прочее. всех передач данных в третьи страны (то есть страны за пределами ЕЭС);
- связаться с поставщиками услуг/контрагентами и проинформировать их о новых требованиях Schrems II;
- провести рисерч о состоянии закона в соответствующих третьих странах;
- проверить, есть ли решение адекватности с третьей-страной контрагентом;
- если решение об адекватности отсутствует, определить, можно ли использовать стандартные условия без каких-либо дополнительных мер безопасности;
- при необходимости использовать стандартные условия с дополнительными гарантиями, такими как шифрование, анонимизация или псевдонимизация.
Безусловно, обязательными данные рекомендации являются только на территории земли Баден-Вюртемберг, а немецкий регулятор, как известно, особенно строг в отношении privacy compliance.
В то же время нужно ли упоминать о том, что зарождение принципа приватности и основ GDPR берет свое начало именно в Германии?
Несомненно, время покажет, какую финальную точку поставит надзирательный орган в решении проблемы передачи персональных данных на транснациональном уровне.
Однако рекомендации немецкого регулятора можно и следует принять во внимание компаниям, которые хотят обезопасить персональные данные своих клиентов и работников, пока официальная схема действий еще не утверждена.
Редакция не несет ответственности за содержание материала и может не разделять мнение его автора