Что такое трансграничная передача данных?

Глава V GDPR регулирует вопросы трансграничной передачи данных, но, как ни парадоксально, в тексте Регламента вы не найдете определения трансграничной передачи. К счастью, Европейский совет по защите персональных данных (European Data Protection Board, EDPB) разработал Глава 1Руководство 05/2021 о взаимосвязи статьи 3 GDPR и положений о международной передаче [персональных данных], изложенных в Главе V GDPR*, в котором представил критерии определения трансграничной передачи данных**.

 

На раз-два-три!

 

В пар. 7 Руководства EDPB называет следующие 3 критерия для определения трансграничной передачи:

📌  на контролера или процессора (экспортера данных – прим. Data Privacy Office) распространяются требования GDPR в отношении этой обработки;

📌  такой контролер или процессор передает персональные данные (в рамках этой обработки) или иным образом делает их доступными другому контролеру, со-контролеру или процессору;

📌  импортер данных находится в третьей стране или является международной организацией (независимо от того, применяются ли к такому импортеру правила GDPR в соответствии со ст. 3 GDPR или нет).

Эти критерии должны соблюдаться одновременно.

 

Имеет ли значение, где находится экспортер?

 

Нет, экспортер может находиться как в ЕЭЗ (Европейской экономической зоне), так и за ее пределами. Основной критерий – применимость GDPR к соответствующей обработке. 

💡 Пример: сингапурский стартап создал мобильное приложение и предлагает его пользователям из ЕЭЗ. К такой обработке будут применяться правила GDPR, поскольку компания предлагает товары и/или услуги субъектам на территории ЕЭЗ (ст. 3(2) GDPR). Соответственно, передача данных таким контролером в третьи страны (например, из Сингапура в Китай) будет трансграничной передачей к ней будут применяться правила Главы V GDPR.

 

А если мы получаем данные напрямую от субъекта?

 

Если субъект передает свои данные напрямую контролеру или процессору, такую передачу нельзя рассматривать как трансграничную передачу персональных данных. Правила Главы V GDPR на “трансграничный сбор” персональных данных не распространяются.

💡 Пример: сингапурский стартап, разработавший мобильное приложение для европейского рынка, собирает некоторые персональные данные напрямую от пользователей (например, когда они вводят их в приложении). Получение данных напрямую от субъекта данных не является трансграничной передачей.

Data Transfer

Важна ли роль импортера или экспортера?

 

Нет, роль экспортера и импортера значения не имеет. Как на стороне экспортера, так и на стороне импортера могут быть контролер, со-контролер или процессор. 

При этом возможна ситуация, когда процессор, находящийся в ЕЭЗ и подчиняющийся правилам GDPR, передает данные контролеру соответствующей обработки, который находится за пределами ЕЭЗ и не подчиняется правилам GDPR (то есть, на обработку этих данных именно контролером положения GDPR в соответствии со ст. 3 GDPR не распространяются).

💡 Пример: украинская компания для обработки персональных данных своих сотрудников (все они находятся в Украине) использует облачное ПО, разработанное австрийской компанией. Данные, хранящиеся в системе, физически хранятся на сервере в Австрии. Австрийская компания (процессор) передает персональные данные (делает их доступными) украинской компании (контролеру соответствующей обработки). При этом на обработку этих данных австрийской компанией положения GDPR распространяются в соответствии со ст. 3(1) GDPR, а на обработку данных украинской компанией нет. Соответственно, при передаче данных из Австрии в Украину австрийская компания-процессор обязана соблюдать правила Главы V GDPR. Такая передача будет трансграничной передачей данных.

 

А что, если на импортера также распространяются требования GDPR?

 

Будет ли трансграничной передачей предоставление доступа к данным тому импортеру, к чьей обработке также применяется GDPR? 

Да, будет.

💡 Пример: мексиканская компания для обработки персональных данных своих европейских клиентов использует облачное ПО, разработанное испанской компанией. Данные, хранящиеся в системе, физически хранятся на сервере в Испании. Испанская компания (процессор) передает персональные данные (делает их доступными) мексиканской компании (контролеру соответствующей обработки). На обработку этих данных испанской компанией положения GDPR распространяются в соответствии со ст. 3(1) GDPR. Однако на обработку данных мексиканской компанией GDPR также распространяется в соответствии со ст. 3(2) GDPR. Таким образом, импортер данных также будет их обрабатывать в соответствии с GDPR. В пар. 7 и 18 Руководства надзорный орган указывает, что распространение требований GDPR на обработку данных импортером не влияет на определение трансграничной передачи. Соответственно, передача данных из Испании в Мексику будет трансграничной передачей данных.

 

А как насчет подводных камней?

 

Увы, таковые тоже есть.

В пар. 23 Руководства EDPB указывает, что надлежащие инструменты (в том числе standard contractual clauses – SCC) для трансграничной передачи данных импортерам, на которых распространяется GDPR по ст. 3(2) GDPR, “пока доступны лишь теоретически”. В том же параграфе EDPB говорит, что он всемерно поддерживает разработку нового комплекта SCC для импортеров, на которых требования GDPR распространяются согласно ст. 3(2) GDPR.

Это значит, что новые SCC, принятые Еврокомиссией в июне 2021 г. (решение 2021/914 от 04 июня 2021 г.), нельзя использовать, если на импортера данных распространяются требования GDPR, что следовало также из преамбулы 7 к соответствующему решению Еврокомиссии:

 

(7) … [Данные] стандартные договорные условия (SCC) могут использоваться только для передачи данных только тогда, когда на обработку таких данных импортером не распространяются требования Регламента (ЕС) 2016/679 (то есть, GDPR – прим. Data Privacy Office).  

 

То есть, если “новые” SCC нельзя использовать для передачи данных импортеру, на которого распространяются требования GDPR, компаниям придется искать другой способ сделать такую трансграничную передачу законной. Кто знает, может, в ближайшее время мы получим еще один комплект SCC от Еврокомиссии?

 

* Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR.

** На момент публикации этого материала Европейским советом по защите персональных данных принята версия Руководства “Для публичного обсуждения”.

Расписание курсов загружается, подожди несколько секунд