GDPR після Schrems II: як тепер захищати персональні дані

Софія Бруцяк
Молодша юристка ETERNA LAW
Фото: cnaprv.gov.ua

Фото: cnaprv.gov.ua

Уже більш як два роки минуло з того часу, як GDPR набув чинності та не дає спокою компаніям з усього світу.

Усьому виною гнучкий характер регуляції та відсутність чіткості у вимогах, і, як результат, шлях до успішної імплементації всіх принципів і зобов'язань, закріплених у GDPR, вельми тернистий.

Враховувати потрібно не тільки сам текст, а й відповідні рішення Європейського суду, а також рекомендації та роз'яснення національних регуляторів.

Telegram Logo

Яскравий приклад — нещодавнє рішення Європейського суду Schrems II щодо недійсності EU-US , який був правовою основою для комерційної передачі персональних даних між ЄС і Америкою.

Рішення істотно додало роботи privacy professionals міжнародних компаній, а також внесло певну неясність, адже новий механізм регулювання цього питання судом запропонований так і не був.

Google News Logo Підписуйтесь на нас в Google News!

Розглянемо ж докладніше, як саме Schrems II вплинув на privacy compliance, зокрема українських компаній, які працюють із ринками ЄС і США та підпадають під дії GDPR, і проаналізуємо, як німецький регулятор рекомендує справлятися з новою кризою.

Правила міжнародних потоків даних згідно з GDPR

GDPR говорить: якщо компанія планує передавати персональні дані громадян країн ЄС за межі ЄЕС, передача даних має здійснюватися на підставі одного з таких механізмів:

  • рішення про адекватність, затверджене Європейською комісією. Зараз доступне тільки декільком країнам, до яких Україна не належить.
  • стандартні умови — найбільш широко використовуваний метод, зважаючи на легкість імплементації. Передбачає включення до договору затверджених Комісією стандартних умов про захист даних;
  • обов'язкові корпоративні правила, кодекс поведінки, сертифікація, які передбачають складніший механізм погодження з Комісією й тому є менш популярними;
  • у виняткових випадках компанія-експортер також може посилатися на низку відступів від зобов'язань, передбачених статтею 49 GDPR.

Зміни, внесені Schrems II

Schrems II не тільки визнав недійсним механізм EU-US Privacy Shield, але й посилив вимоги до стандартних умов.

З цього часу компаніям потрібно буде проводити індивідуальний аналіз кожного кейса з огляду на законодавство країни-імпортера щодо доступу державних органів до персональних даних, а отже, і рівень безпеки здійснюваної передачі. За необхідності потрібно буде вносити додаткові заходи безпеки.

Про які додаткові заходи безпеки йдеться? Європейський суд залишив це питання відкритим, і до отримання будь-яких офіційних роз'яснень від регуляторів компанії пристосовуються до нових вимог на власний розсуд.

Check-list: Як вдосконалити privacy compliance

24 серпня 2020 року німецький регулятор землі Баден-Вюртемберг опублікував рекомендації щодо міжнародних передач даних згідно з новими вимогами Schrems II.

Поки що це перша інтерпретація національного регулятора «додаткових заходів» безпеки.

Пропонується дотримуватися таких рекомендацій:

  • провести data mapping усіх передач даних третім країнам (тобто країнам за межами ЄЕС);
  • зв'язатися з постачальниками послуг/контрагентами та поінформувати їх про нові вимоги Schrems II;
  • провести рісерч про стан закону у відповідних третіх країнах;
  • перевірити, чи є рішення адекватності з третьою країною-контрагентом;
  • якщо рішення про адекватність відсутнє, визначити, чи можна використовувати стандартні умови без будь-яких додаткових заходів безпеки;
  • за необхідності використовувати стандартні умови з додатковими гарантіями, як-от шифрування, анонімізація або псевдонімізація.

Безумовно, обов'язковими ці рекомендації є тільки на території землі Баден-Вюртемберг, а німецький регулятор, як відомо, особливо суворий щодо privacy compliance.

Водночас чи потрібно згадувати той факт, що зародження принципу приватності та основ GDPR бере свій початок саме в Німеччині?


Безсумнівно, час покаже, яку фінальну крапку поставить наглядовий орган у розв'язанні проблеми передачі персональних даних на транснаціональному рівні.

Однак рекомендації німецького регулятора можна і треба взяти до уваги компаніям, які хочуть убезпечити персональні дані своїх клієнтів і працівників, поки офіційну схему дій ще не затверджено.

The Page Logo
У вас є цікава колонка для The Page?
Пишіть нам: [email protected]

Warning icon Помилка в тексті? Виділіть її мишкою і натисніть: Ctrl + Enter

Редакція не несе відповідальності за зміст матеріалу і може не поділяти точку зору його автора

Коментарі

Всі новини