GDPR після Schrems II: як тепер захищати персональні дані

Фото: cnaprv.gov.ua

Уже більш як два роки минуло з того часу, як GDPR  ✕ 25 жовтня 2017 року Кабмін України вирішив імплементувати Загальний регламент щодо захисту персональних даних (GDPR) у національне законодавство до 25 травня 2018 року. набув чинності та не дає спокою компаніям з усього світу.

Усьому виною гнучкий характер регуляції та відсутність чіткості у вимогах, і, як результат, шлях до успішної імплементації всіх принципів і зобов'язань, закріплених у GDPR, вельми тернистий.

Враховувати потрібно не тільки сам текст, а й відповідні рішення Європейського суду, а також рекомендації та роз'яснення національних регуляторів.

Яскравий приклад — нещодавнє рішення Європейського суду Schrems II щодо недійсності EU-US Privacy Shield  ✕ Privacy Shield — програма захисту персональних даних у США, по суті, надбудова над уже чинними законами про приватність. Була створена для спрощення легального доступу американських компаній до персональних даних з ЄС у відповідь на констатацію Європи, що захист персональних даних в американців, м'яко кажучи, не дуже. Завдяки Privacy Shield компанії в США мали можливість без особливого оформлення, як вимагає GDPR, отримувати дані з Європи. , який був правовою основою для комерційної передачі персональних даних між ЄС і Америкою.

Рішення істотно додало роботи privacy professionals міжнародних компаній, а також внесло певну неясність, адже новий механізм регулювання цього питання судом запропонований так і не був.

Розглянемо ж докладніше, як саме Schrems IIСправа C-311/18  ✕ Справа C-311/18 — окреме рішення в рамках більшої судової справи Schrems, в якій австрійський активіст Макс Шремс оскаржує законність передачі його персональних даних ірландським Facebook американському. Фактично суд оголосив рішення Єврокомісії та Європарламенту 2016 року про достатній рівень захисту Privacy Shield недійсним. вплинув на privacy compliance, зокрема українських компаній, які працюють із ринками ЄС і США та підпадають під дії GDPR, і проаналізуємо, як німецький регулятор рекомендує справлятися з новою кризою.

Правила міжнародних потоків даних згідно з GDPR

GDPR говорить: якщо компанія планує передавати персональні дані громадян країн ЄС за межі ЄЕС, передача даних має здійснюватися на підставі одного з таких механізмів:

• рішення про адекватність, затверджене Європейською комісією. Зараз доступне тільки декільком країнам, до яких Україна не належить.
• стандартні умови — найбільш широко використовуваний метод, зважаючи на легкість імплементації. Передбачає включення до договору затверджених Комісією стандартних умов про захист даних;
• обов'язкові корпоративні правила, кодекс поведінки, сертифікація, які передбачають складніший механізм погодження з Комісією й тому є менш популярними;
• у виняткових випадках компанія-експортер також може посилатися на низку відступів від зобов'язань, передбачених статтею 49 GDPR.

Зміни, внесені Schrems II

Schrems II не тільки визнав недійсним механізм EU-US Privacy Shield, але й посилив вимоги до стандартних умов.

З цього часу компаніям потрібно буде проводити індивідуальний аналіз кожного кейса з огляду на законодавство країни-імпортера щодо доступу державних органів до персональних даних, а отже, і рівень безпеки здійснюваної передачі. За необхідності потрібно буде вносити додаткові заходи безпеки.

Про які додаткові заходи безпеки йдеться? Європейський суд залишив це питання відкритим, і до отримання будь-яких офіційних роз'яснень від регуляторів компанії пристосовуються до нових вимог на власний розсуд.

Check-list: Як вдосконалити privacy compliance

24 серпня 2020 року німецький регулятор землі Баден-Вюртемберг опублікував рекомендації щодо міжнародних передач даних згідно з новими вимогами Schrems II.

Поки що це перша інтерпретація національного регулятора «додаткових заходів» безпеки.

Пропонується дотримуватися таких рекомендацій:

• провести data mapping  ✕ Процес створення зіставлень елементів даних між двома різними їх моделями, перший крок для перетворення, передачі, ідентифікації відносин даних, виявлення прихованих конфіденційних даних, консолідації баз даних в єдину базу тощо. усіх передач даних третім країнам (тобто країнам за межами ЄЕС);
• зв'язатися з постачальниками послуг/контрагентами та поінформувати їх про нові вимоги Schrems II;
• провести рісерч про стан закону у відповідних третіх країнах;
• перевірити, чи є рішення адекватності з третьою країною-контрагентом;
• якщо рішення про адекватність відсутнє, визначити, чи можна використовувати стандартні умови без будь-яких додаткових заходів безпеки;
• за необхідності використовувати стандартні умови з додатковими гарантіями, як-от шифрування, анонімізація або псевдонімізація.

Безумовно, обов'язковими ці рекомендації є тільки на території землі Баден-Вюртемберг, а німецький регулятор, як відомо, особливо суворий щодо privacy compliance.

Водночас чи потрібно згадувати той факт, що зародження принципу приватності та основ GDPR бере свій початок саме в Німеччині?

Безсумнівно, час покаже, яку фінальну крапку поставить наглядовий орган у розв'язанні проблеми передачі персональних даних на транснаціональному рівні.

Однак рекомендації німецького регулятора можна і треба взяти до уваги компаніям, які хочуть убезпечити персональні дані своїх клієнтів і працівників, поки офіційну схему дій ще не затверджено.

Читати на The Page

Редакція не несе відповідальності за зміст матеріалу і може не поділяти точку зору його автора