1. Субъект данных и контролер находятся в ЕС. Данные от субъекта напрямую попадают контролеру (например, через анкету, заполненную субъектом, на сайте контролера).
Здесь нет передачи данных, так как приведенное в примере движение информации представляет собой сбор данных (data collection). Следовательно, Глава V не применяется.
2. Субъект предоставляет данные контролеру, находящемуся вне ЕС.
Как и в прошлом примере имеет место не передача данных, а (если можно так выразиться) «трансграничный сбор данных». Следовательно, Глава V также не применима.[2]
3. Собрав данные у европейских субъектов, компания-контролер (data controller - “C”), находящаяся за пределами ЕС, передает данные процессору 1-го уровня (data processor - “Р1”), который также находится вне ЕС.
Имеет место передача данных, однако она не происходит через границу ЕС. Следовательно, Глава V также не будет применяться.
4. Предположим, что процессор Р1 из примера выше пользуется европейским облачным сервисом Р2.
Как и в предыдущем примере имеет место передача данных, но на этот раз они пересекают границу ЕС. Однако здесь изменено направление, в котором передаются данные, - из третьей страны в ЕС. То есть европейская компания является импортером данных. Следовательно, Глава V опять не применяется, поскольку она регулирует передачи, где европейская компания выступает в качестве экспортера данных. [3]
5. Процессор второго уровня Р2 (cубпроцессор) решил воспользоваться услугами процессора третьего уровня P3 (суб-суб-процессора), который находится в третьей стране.[4]
Данные передаются от Р2 к Р3, то есть с территории Европейского союза за его пределы. Следовательно, для процессора Р2 начинают действовать правила из Главы V GDPR.
В частности, действует статья 46 GDPR, в соответствии с которой процессору P2 необходимо найти механизм, подходящий для такой передачи. Скорее всего, это будут Standard Contracrual Clauses (далее – SCC).
С этого момента на все дальнейшие передачи данных, где бы они не происходили, распространяются требования, установленные главой V. Соответственно, даже если после передачи данных из ЕС в 3-ю страну информация будет передаваться внутри нее, необходимо применять один из механизмов трансграничной передачи данных из ст. 46 GDPR.
(c) Сергей Воронкевич CIPP/E, CIPM, MBA - 12.10.2020