Как соответствовать GDPR: правила экспорта персональных данных из ЕС

GDPR: правила экспорта персональных данных из ЕС

Требования и основные участники правил GDPR

В последнее время при посещении всевозможных веб-ресурсов пользователи интернета скорее всего обратили внимание на массовое обновление политик конфиденциальности, а также на изменение формы запросов на сохранение куки (cookie) и использование персональных данных.

Таким образом мировой бизнес готовится к вступлению в силу Регламента ЕС 2016/679, более известного как GDPR (General Data Protection Regulation), которое произойдет 25 мая 2018 года.

Пожалуй, наиболее актуальным аспектом GDPR для компаний за пределами ЕС являются правила перемещения (экспорта) персональных данных (ПД) за пределы Евросоюза.

Соответствие GDPR является необходимостью, если ваша компания:

  • выступает контролером данных (data controller), т. е. распорядителем собственной базы персональных данных из ЕС;
  • компания выступает обработчиком данных (data processor), т. е. работает с чужими базами персональных данных из Евросоюза.

Для компаний, работающих с европейскими потребителями, соблюдение правил экспорта данных с 25 мая 2018 года становится без преувеличения вопросом выживания.

На кого распространяются правила GDPR? Понятие «экспорта персональных данных из ЕС».

Перемещение (экспорт) данных из ЕС имеет место между такими экспортерами и импортерами данных:

  • от контролера в ЕС – контролеру за пределами ЕС/ЕЭП;
  • от контролера в ЕС – обработчику за пределами ЕС/ЕЭП;
  • от обработчика в ЕС – субобработчику за пределами ЕС/ЕЭП.

Принципы и правила экспорта данных согласно GDPR

Согласно главе 5 GDPR, общий принцип разрешенного экспорта персональных данных за пределы ЕС заключается в обеспечении установленного Регламентом уровня защиты прав субъектов данных в ЕС (физических лиц), независимо от места обработки данных.

В соответствии с Соглашением о Европейском экономическом пространстве (ЕЭП, англ. ЕЕА) регламент GDPR в полной мере имплементируется в законодательство стран ЕЭП, в число которых, кроме стран ЕС, входят Норвегия, Исландия и Лихтенштейн. Перемещение ПД между ЕС и данными странами приравнивается к перемещению данных внутри ЕС.

Полный список стран, которые обязаны соблюдать правила GDPR, вы можете найти в нашей статье: КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ GDPR?

Перемещение персональных данных за пределы ЕС/ЕЭП без дополнительных разрешений возможно в таких случаях:

1. На основе «решения об адекватности», принимаемого Еврокомиссией в отношении определенной юрисдикции или территории. Данные решения принимаются на основе выводов Еврокомиссии об адекватном уровне защиты персональных данных в такой юрисдикции. На 1 мая 2018 года такие решения приняты в отношении Андорры, Аргентины, Канады (в отношении коммерческих организаций), Фарерских островов, Гернси, Израиля, о. Мэн, Джерси, Новой Зеландии, Швейцарии, Уругвая и США (в отношении организаций, сертифицированных по системе EU-US Privacy Shield).

2. На основе соглашения между государственными органами.

3. На основе обязующих корпоративных правил, согласованных с Европейским советом по защите данных (применяется мультинациональными компаниями и группами; при этом компания, находящаяся в пределах ЕС, принимает на себя обязательства и риски, связанные с нарушением Регламента за пределами ЕС).

4. На основе соглашения сторон с применением стандартных договорных условий (модельного договора), утвержденных Еврокомиссией или местным органом по защите персональных данных страны-члена ЕС и одобренных Еврокомиссией.

5. На основе соответствия кодексу поведения (code of conduct) ассоциации или отрасли, одобренного Еврокомиссией.

6. На основе сертификации по механизму, утвержденному Еврокомиссией (отсутствует на 1 мая 2018 г.).

Местным законодательством страны экспортера (члена ЕС) могут быть предусмотрены также дополнительные запреты и ограничения на экспорт персональных данных.

Все вышеперечисленные основания призваны обеспечить подконтрольность и материальную ответственность неевропейских контролеров и обработчиков согласно GDPR и, соответственно, взятие на себя целого ряда обязательств – в частности, обязательств перед субъектами данных и контролирующим органом страны экспортера по защите данных.

В отсутствие указанных выше оснований экспорт данных возможен только по информированному согласию субъектов данных (физических лиц) или в рамках договора, заключенного с такими физическими лицами или в их интересах, а также в общественных интересах, в целях защиты прав субъектов данных и в ряде других случаев.

Что делать компаниям не из ЕС? Распространяются ли на них правила GDPR?

Если страна импортера не входит в ЕС/ЕЭП и относительно нее не принято «решение об адекватности», наиболее доступным выходом из ситуации может быть заключение с европейскими партнерами соглашения на основе стандартных условий (модельного договора) как обязательного приложения к основному договору сторон (в качестве последнего могут выступать условия пользования (Terms of Service) и/или соглашение об обработке персональных данных (Data Processing Agreement)).

Действующие правила рассматривают такой модельный договор исключительно как двусторонний документ за подписями сторон. Как следствие, необходима разработка механизма его подписания, что несколько усложняет процесс продажи онлайн. Вместе с тем необходимо понимать, что за выбор импортера и надлежащую защиту им получаемых персональных данных несет ответственность, прежде всего, экспортер персональных данных (контролер или обработчик данных в ЕС). Как следствие, в заключении модельного договора прежде всего заинтересованы ваши европейские клиенты и партнеры, передающие вам из ЕС свои базы персональных данных.

Какие меры надо предпринять НЕ ЕС сайтам, но которые работают с резидентами Европейского союза?

Поэтому импортерам данных из ЕС следует быть готовыми к появлению у европейских клиентов соответствующих запросов на соответствие GDPR, без удовлетворения которых законное ведение бизнеса в ЕС станет невозможным. К импортерам данных резидентов ЕС, независимо от местонахождения, применяются положения GDPR в части необходимых организационных и технических мер защиты, в том числе назначение, в ряде случаев, своего представителя в ЕС, а также инспектора по защите данных (Data Protection Officer, DPO). Обработка же чужих данных по поручению контролеров из ЕС будет возможна только на основе двустороннего, подписанного сторонами соглашения об обработке персональных данных (Data Processing Agreement).

Как следствие, конкурентоспособность импортера данных на рынке ЕС будет прямо зависеть от способности такого импортера доказать клиентам-экспортерам данных способность обеспечить надлежащий уровень защиты персональных данных, а также связанных с ними личных прав и свобод согласно GDPR. Но даже при условии соответствия, бизнес импортера данных не будет застрахован от блокировки со стороны европейских органов по защите персональных данных по причинам межгосударственного характера. В таком случае смена юрисдикции может оказаться для импортера единственным реальным способом продолжить работу на европейском рынке после 25 мая 2018 года.

SBSB окажет квалифицированную юридическую помощь на соответствие вашего бизнеса GDPR.

Не стоит опасаться трудностей в связи с вышеперечисленными изменениями.

Команда специалистов SBSB готова оказать вам профессиональную помощь в определении оптимальной юрисдикции вашей компании в ЕС или за его пределами, регистрации и обслуживании компании, написании необходимых политик, а также приведении вашего бизнеса в соответствие с нормами GDPR.

За юридической помощью пишите нам на info@sb-sb.com