Facebook Pixel

Защита персональных данных в ЕС: изменения, которые касаются Украины

Антон Поликарпов
советник AVELLUM, руководитель практики интеллектуальной собственности

В июне в Верховной Раде зарегистрирован законопроект о защите персональных данных № 5628. Законопроект должен согласовать локальное законодательство с Регламентом ЕС о защите данных (GDPR) и установить обновленные правила обработки персональных данных. Предварительно ожидается, что законопроект (после принятия) вступит в силу в 2023 году. Но даже к этому времени GDPR может влиять и влияет на украинский бизнес. Ниже мы рассмотрели некоторые из последних тенденций в этой сфере.

Передача персональных данных в «третьи страны»: стандартные договорные положения и оценка передачи данных

Для целей GDPR Украина считается «третьей страной». Кроме того, ЕС не признал нас страной, которая обеспечивает адекватную защиту персональных данных. В связи с этим для передачи данных из ЕС в Украину компании подписывают документ под названием Standard Contractual Clauses (SCC), который является надлежащим основанием для передачи данных в этом случае.

До недавнего времени контрагенты относились к этому документу как к формальному требованию, которого не сложно придерживаться. Однако за последний год в вопросе передачи данных в «третьи страны» произошли значительные изменения:

  • в июле 2020 года Суд Европейского союза принял решение по делу Schrems II, которым признал недействительным механизм передачи данных из ЕС в США, известный как Privacy Shield. Кроме того, Суд установил, что компании из ЕС, которые передают данные в «третьи страны», должны оценить, будут ли персональные данные в таких странах защищены на уровне, совместимом с GDPR;
  • в июне 2021 года были утверждены финальные рекомендации Европейского совета по защите персональных данных (EDPB) к проведению такой оценки. Согласно рекомендациям, стороны должны оценить, могут ли законодательство и административная практика «третьей страны» нивелировать эффективность гарантий, предоставленных по передаче персональных данных в конкретном случае;
  • в июне 2021 года также была принята новая редакция SCC. Она учитывает указанное решение Суда Европейского союза и рекомендации EDPB и возлагает на стороны обязанность провести оценку передачи данных и задокументировать ее результаты.

Приведенные изменения предусматривают активное участие контрагентов (в частности украинских компаний) в подготовке документов о передаче данных. Поскольку именно компании из «третьих стран» могут помочь европейским партнерам оценить местное законодательство на предмет рисков и задокументировать результаты такой оценки. С учетом последствий Brexit отдельно следует ожидать нового режима передачи данных из Соединенного Королевства в «третьи страны», относительно которого уже проходят публичные консультации.

Скрупулезность к Big Tech компаниям: возможное влияние на локальный бизнес

За период с июля по сентябрь европейские регуляторы в сфере защиты данных (DPA) наложили 2 крупнейших штрафа за нарушение GDPR:

  • люксембургское DPA наложило штраф в размере 746 млн евро на Amazon (предполагается, что причиной штрафа является использование Amazon целевой рекламы без должного согласия пользователей);
  • ирландское DPA наложило штраф в размере 225 млн евро на WhatsApp из-за проблем с прозрачностью обработки данных.

Эти случаи подтверждают общую тенденцию — стремление регуляторов заставить крупные компании придерживаться единых правил и предотвратить очередные массовые злоупотребления во время обработки данных. Ожидается, что такая тенденция заставит и сами компании пересмотреть свои процессы на соответствие GDPR и другим релевантным требованиям. Так, после решения по делу Schrems II такие компании, скорее всего, будут уделять больше внимания процессам передачи данных из ЕС подрядчикам (или субподрядчикам) в «третьи страны», в частности в Украину.

«Невидимая рука» GDPR: ответственность компаний, которые находятся за пределами ЕС

В мае этого года DPA Нидерландов приняло решение наложить штраф в размере 525 тыс. евро на Locatefamily.com — фактически веб-сайт, серверы которого, по мнению регулятора, находятся в Канаде. При этом DPA не установило конкретное лицо, которое является владельцем ресурса.

Причина штрафа — нарушение обязанности по назначению представителя в ЕС по вопросам обработки персональных данных (data representative). Такая обязанность возникает у тех компаний, которые подпадают под экстерриториальное действие GDPR и при этом осуществляют отдельные виды обработки данных, определенные в GDPR (например, обработку, которая может представлять особый риск для прав и свобод физических лиц с учетом ее природы, объема, целей и т. д.).

Это решение демонстрирует, каким образом положение об экстерриториальном действии GDPR (одно из наименее исследованных на сегодня) может работать на практике. Вопрос принудительного исполнения этого штрафа остается открытым. Несмотря на это репутационные потери от решения DPA Нидерландов существенные. Так, любой поиск информации по Locatefamily (ресурс, позволяющий найти своих родственников в разных странах мира, который полностью зависит от обработки данных) демонстрирует, что у него были проблемы с выполнением требований GDPR.

За последние 3 года украинский бизнес прошел этапы повышенного внимания к GDPR (из-за положения о его экстерриториальности и высоких размеров штрафов) и в значительной степени игнорирования его положений. Однако приведенные тенденции применения GDPR и перспективы принятия законопроекта могут снова вернуть вопрос комплаенса в сфере защиты данных в повестку дня локальных компаний.

Поблагодарить 🎉
The Page Logo
У вас есть интересная колонка для The Page?
Пишите нам: [email protected]

Редакция не несет ответственности за содержание материала и может не разделять мнение его автора