Data Privacy Framework — стали ли США “адекватной” юрисдикцией? (часть 1)

10 июля 2023 года в силу вступил механизм для передачи персональных данных из ЕС в США — Data Privacy Framework (DPF), а 17 июля 2023 года вступили в силу дополнения этого механизма для передачи данных в США из Соединенного Королевства и Швейцарии. DPF как способ передачи данных в США, соответствующий GDPR и не требующий BCR и SCC, выглядит привлекательно. Именно поэтому мы получаем много вопросов о том, как работает этот механизм и делает ли он США “адекватной” юрисдикцией (по смыслу статьи 45 GDPR). В этом материале мы постарались просто и доступно рассказать о DPF в форме вопросов и ответов. Будем рады, если информация будет вам полезна 

Содержание

Для чего понадобился DPF?

Цель DPF — облегчить передачу персональных данных между Евросоюзом (ЕС, здесь и далее, упоминая Евросоюз, мы имеем в виду Европейскую экономическую зону, включающую, помимо государств Евросоюза, также Исландию, Норвегию и Лихтенштейн), Соединенным Королевством и Швейцарией — с одной стороны — и США — с другой стороны.  

Согласно GDPR, передача персональных данных в США — это «передача персональных данных в третью страну» (иначе говоря, «трансграничная передача»), регулируемая Главой V GDPR. В зависимости от того, какого уровня защиту обеспечивает законодательство и практика «принимающей страны» (в нашем случае — США), трансграничная передача основывается на решении об адекватности (статья 45 GDPR) либо на одной из надлежащих гарантий, перечисленных в статье 46 GDPR.

Наличие решения об адекватности сильно упрощает передачу персональных данных, поскольку в этом случае никаких дополнительных действий, связанных с передачей данных вовне ЕС, предпринимать не нужно. То есть, такая передача аналогична передаче внутри ЕС: между контролёром и процессором заключается договор (статья 28 GDPR), однако он не будет содержать особых условий, связанных с передачей данных в страну, где не действует GDPR.

Если решения об адекватности нет, передавать персональные данные сложнее. Для этого требуется обеспечить на стороне получателя высокий уровень защиты данных — те самые «надлежащие гарантии». То есть, принимающая сторона должна соблюдать правила обращения с персональными данными, сопоставимые с правилами, установленными в GDPR, даже если местное законодательство устанавливает куда более низкий стандарт защиты.

Обеспечение надлежащих гарантий в большинстве случаев дорогостоящий, длительный и трудозатратный процесс. Поэтому, учитывая объём передачи персональных данных в США (особенно в связи с широким использованием разработанного американскими компаниями программного обеспечения), упрощение передачи было насущной проблемой.

Подписывайтесь на рассылку

Data Privacy Office

Почему такого механизма не было раньше?

Такой механизм был, причем даже не один. Ранее для передачи персональных данных в США существовали два механизма: 

▪️ Механизм «Безопасная гавань» (Safe Harbour Privacy Principles) действовал с 2000 по 2015 год, пока Суд Евросоюза не отменил решение о передаче данных по схеме «Безопасной гавани» из-за широких полномочий американских правоохранительных органов в сфере доступа к персональным данным и их обработки. 

▪️ На замену «Безопасной гавани» пришел «Щит приватности» (EU — US Privacy Shield), функционировавший с 2016 по 2020 год. Его постигла та же судьба: решением Суда Евросоюза от также был отменён. После этого любая передача персональных данных из ЕС в США должна была основываться на одной из надлежащих гарантий из статьи 46 GDPR. 

Являются ли США “адекватной” юрисдикцией в связи со вступлением в силу механизма DPF? Работает ли механизм DPF автоматически для всех американских компаний?

Нет, так же, как «Безопасная гавань» и «Щит приватности», новый механизм предполагает самосертификацию американских компаний, желающих получать персональные данные из ЕС по упрощённой схеме. То есть, мы имеем дело с решением об адекватности (статья 45 GDPR), однако это решение распространяется не на все компании в стране, не на саму юрисдикцию (подход, принятый в других действующих решениях об адекватности), а лишь на те компании, которые заявили о своем участии в DPF, предприняли дополнительные действия и подали документы на включение их в базу данных компаний, участвующих в DPF. База компаний, участвующих в DPF, открыта для всех интересующихся: https://www.dataprivacyframework.gov/s/participant-search (вкладка Active). 

Это значит, что при передаче персональных данных американской компании, участвующей в DPF, основанием для трансграничной передачи будет статья 45 GDPR. Но если компания прекращает участвовать в DPF или нужно передать данные другой американской компании, которая никогда не участвовала в механизме DPF, придётся искать другое основание для трансграничной передачи, например, заключать договор, содержащий стандартные условия о передаче данных (SCC).  

Напоминаем, что о любой передаче персональных данных в третью страну (даже о той, что основана на решении об адекватности), необходимо сообщить субъектам персональных данных в политике приватности. 

Забронируйте бесплатную консультацию прямо сейчас.

Мы оцениваем риски для конкретного продукта и выстраиваем индивидуальную стратегию – наиболее быструю и эффективную.

Что такое самосертификация?

В основе механизма DPF лежит процедура самосертификации. Суть её такова: каждая компания, желающая участвовать в DPF, проводит работу по внедрению принципов приватности, готовит политику приватности, обучает работников, назначает внутреннего уполномоченного по вопросам персональных данных и т.д.  

Следующий шаг — подача документов на включение компании в реестр участников DPF. Документы рассматривает Управление международной торговли (International Trade Administration), которое входит в состав Департамента торговли США (USA Department of Commerce). Именно Управление международной торговли является организацией, контролирующей механизм DPF со стороны США. Если претензий к документам нет, Управление вносит сведения о компании в реестр участников DPF. 

Управление проверяет представленные сведения и документы, но не реальную деятельность компании по обработке персональных данных и не соответствие документов этой реальной деятельности. Именно поэтому механизм представляет собой «самосертификацию» в отличие от обычной сертификации, в ходе который проверяющий чаще всего знакомится не только с документами, но и с реальным их исполнением. 

Самосертификация — это разовая или регулярная процедура?

Самосертификация проводится регулярно: впервые — при подаче документов на участие в программе DPF, а в последующем — ежегодно в течение всего периода участия компании в механизме DPF. 

Если компания не прошла повторную сертификацию вовремя, Управление предложит такой компании пройти сертификацию или отказаться от участия в программе. Если компания не отвечает, или начинает, но не завершает повторную сертификацию, или желает прекратить участие в программе, Управление включает такую компанию в перечень компаний, более не участвующих в программе DPF. Этот список доступен по ссылке: https://www.dataprivacyframework.gov/s/participant-search (вкладка Inactive). 

Как узнать, участвует ли компания в программе DPF?

Во-первых, можно проверить, включена ли организация в список компаний, участвующих в DPF, по ссылке: https://www.dataprivacyframework.gov/s/participant-search (вкладка Active). 

Во-вторых, все компании, участвующие в DPF, обязаны включить в свои политики приватности соответствующее указание.  

Если компания прекращает участвовать в программе DPF, такое указание необходимо удалить (при исключении компании из списка участников DPF Управление это проверяет). Более того, Управление также рассматривает жалобы на компании, которые включили такое указание в свои политики, но самосертификацию не прошли. Хотя, конечно, есть риск, что недобросовестная компания воспользуется преимуществом во времени между опубликованием такого текста у себя на сайте и проверкой Управления, если таковая будет. Поэтому рекомендуем проверять контрагентов по списку участников DPF. 

Могут ли компании, расположенные за пределами ЕС, передавать данные в США на основе механизма DPF (то есть, на основе статьи 45 GDPR, без надлежащих гарантий из статьи 46 GDPR)?

Увы, нет. Согласно пояснительной записке EDPB, механизм DPF может использоваться для передачи персональных данных только из ЕС. Это значит, что если компания находится за пределами ЕС и на неё распространяется действие GDPR в соответствии со статьёй 3 (2) GDPR, передача данных от такой компании в США будет основана либо на одной из надлежащих гарантий из статьи 46 GDPR, либо на исключении из статьи 49 GDPR. Использовать в качестве основания для трансграничной передачи решение об адекватности (статья 45 GDPR) такая компания не может, даже если данные передаются американской компании, участвующей в механизме DPF. 

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.