GDPR после Schrems II: как теперь защищать персональные данные

Фото: cnaprv.gov.ua

Уже больше двух лет прошло с того времени, как GDPR  ✕ 25 октября 2017 года Кабмин Украины решил имплементировать Общий регламент по защите персональных данных (GDPR) в национальное законодательство до 25 мая 2018 года. вступил в силу и не дает покоя компаниям со всего мира.

Всему виной гибкий характер регуляции и отсутствие четкости в требованиях, и, как результат, путь к успешной имплементации всех принципов и обязательств, закрепленных в GDPR, весьма тернист.

Учитывать нужно не только сам текст, но и соответствующие решения Европейского суда, а также рекомендации и разъяснения национальных регуляторов.

Яркий пример – недавнее решение Европейского суда Schrems II о недействительности EU-U.S. Privacy Shield  ✕ Privacy Shield — программа защиты персональных данных в США, по сути, надстройка над уже существующими законами о приватности. Была создана для упрощения легального доступа американских компаний к персональным данным из ЕС в ответ на констатацию Европы, что защита персональных данных у американцев, мягко говоря, не очень. Благодаря Privacy Shield компании в США имели возможность без особого оформления, как требует GDPR, получать данные из Европы. , который был правовой основой для коммерческой передачи персональных данных между ЕС и Америкой.

Решение существенно прибавило работы privacy professionals международных компаний, а также внесло некую неясность, поскольку новый механизм регулирования данного вопроса судом предложен так и не был.

Рассмотрим же более детально, как именно Schrems IIДело C-311/18  ✕ Дело C-311/18 — отдельное решение в рамках большего судебного дела Schrems, в котором австрийский активист Макс Шремс оспаривает законность передачи его персональных данных ирландским Facebook американскому. Фактически суд объявил решение Еврокомиссии и Европарламента 2016 года о достаточном уровне защиты Privacy Shield недействительным. повлиял на privacy compliance, в том числе украинских компаний, которые работают с рынками ЕС и США и подпадают под действие GDPR, и проанализируем, как немецкий регулятор рекомендует справляться с новым кризисом.

Правила международных потоков данных согласно GDPR

GDPR гласит: если компания планирует передавать персональные данные граждан стран ЕС за пределы ЕЭС, передача данных должна осуществляться на основании одного из следующих механизмов:

• решение об адекватности, утвержденное Европейской комиссией. Сейчас доступно только нескольким странам, в список которых Украина не входит;
• стандартные условия – наиболее широко используемый метод ввиду легкости имплементации. Предусматривает включение в договор утвержденных Комиссией стандартных условий о защите данных;
• обязательные корпоративные правила, кодекс поведения, сертификация, которые предусматривают более сложный механизм согласования с Комиссией и поэтому являются менее популярными;
• в исключительных случаях компания-экспортер также может ссылаться на ряд отступлений от обязательств, предусмотренных статьей 49 GDPR.

Изменения, внесенные Schrems II

Schrems II не только признал недействительным механизм EU-U.S. Privacy Shield, но и ужесточил требования к стандартным условиям.

С этого времени компаниям нужно будет проводить индивидуальный анализ каждого кейса, учитывая законодательство страны-импортера о доступе государственных органов к персональным данным и, следовательно, уровень безопасности осуществляемой передачи. При необходимости нужно будет вносить дополнительные меры безопасности.

О каких дополнительных мерах безопасности идет речь? Европейский суд оставил этот вопрос открытым, и до получения каких-либо официальных разъяснений от регуляторов компании приспосабливаются к новым требованиям по собственному усмотрению.

Check-list: Как усовершенствовать privacy compliance

24 августа 2020 года немецкий регулятор земли Баден-Вюртемберг опубликовал рекомендации относительно международных передач данных согласно новым требованиям Schrems II.

Пока это первая интерпретация национального регулятора «дополнительных мер» безопасности.

Предлагается соблюдать следующие рекомендации:

• провести data mapping  ✕ Процесс создания сопоставлений элементов данных между двумя разными их моделями, первый шаг для преобразования, передачи, идентификация отношений данных, обнаружения скрытых конфиденциальных данных, консолидации баз данных в единую базу и прочее. всех передач данных в третьи страны (то есть страны за пределами ЕЭС);
• связаться с поставщиками услуг/контрагентами и проинформировать их о новых требованиях Schrems II;
• провести рисерч о состоянии закона в соответствующих третьих странах;
• проверить, есть ли решение адекватности с третьей-страной контрагентом;
• если решение об адекватности отсутствует, определить, можно ли использовать стандартные условия без каких-либо дополнительных мер безопасности;
• при необходимости использовать стандартные условия с дополнительными гарантиями, такими как шифрование, анонимизация или псевдонимизация.

Безусловно, обязательными данные рекомендации являются только на территории земли Баден-Вюртемберг, а немецкий регулятор, как известно, особенно строг в отношении privacy compliance.

В то же время нужно ли упоминать о том, что зарождение принципа приватности и основ GDPR берет свое начало именно в Германии?

Несомненно, время покажет, какую финальную точку поставит надзирательный орган в решении проблемы передачи персональных данных на транснациональном уровне.

Однако рекомендации немецкого регулятора можно и следует принять во внимание компаниям, которые хотят обезопасить персональные данные своих клиентов и работников, пока официальная схема действий еще не утверждена.

Читать на The Page

Редакция не несет ответственности за содержание материала и может не разделять мнение его автора