Оформление трансграничной передачи данных по GDPR. Часть 1
В Общем регламенте защиты персональных данных (General Data Protection Regulation — GDPR) Европейский союз закрепил ограничение на экспорт персональных данных за пределы ЕС. Трансграничная передача в третьи страны возможна лишь при соблюдении Главы V Регламента. Она содержит ограниченное количество механизмов, направленных на то, чтобы передача в третьи страны не ослабляла уровень защиты персональных данных, гарантированный Регламентом.
Прежде чем разбирать механизмы трансграничной передачи по GDPR, необходимо определиться с понятием трансграничной передачи, а также выяснить, что ею не является.
Тезис 1. Сбор — не передача
На практике очень часто встречается заблуждение, что получение не европейским контролером данных от субъекта, находящимся в Европейском Союзе (далее – ЕС), является трансграничной передачей. В результате делается ошибочный вывод о необходимости выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”. Однако получение данных от субъекта не является трансграничной передачей данных и представляет собой не что иное, как сбор данных (data collection).
Британский надзорный орган ICO определяет передачу данных как “намеренную отправку персональных данных или предоставление к ним доступа” (“intentional sending personal data, or making it accessible”)[1].
| Data transfer is an intentional sending personal data to another party or making the data accessible by it, where neither sender nor recipient is a data subject. | Передача данных — это намеренная отправка иному лицу чьих-то персональных данных или предоставление этому лицу к ним доступа. |
При этом также очевидно, что передачей данных (data transfer) не является сбор данных (data collection). Об этом свидетельствует и то, что обе эти операции перечислены отдельно друг от друга в определении “обработка персональных данных” в ст. 4(2) GDPR.
Тезис 2. Трансграничный сбор оформлять как передачу не надо
Согласно ст. 44 GDPR и относящейся к ней преамбуле 101 правила Главы V GDPR распространяются именно на передачу. Следовательно, при “трансграничном сборе” данных от субъектов из Европейского союза компанией, находящейся за пределами союза, ей не нужно выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”.
Тезис 3. Оформляются только передачи за границу ЕС
Если данные передаются компании (а не собираются ей), например, она получает персональные сведения из ЕС от своего партнера или заказчика, то Глава V становится обязательной к выполнению благодаря ст. 44 GDPR, которая говорит о передаче в третью страну или международную организацию”.
Следует обратить внимание на направление передачи: из ЕС в третью страну или международную организацию, то есть когда данные экспортируются через внешнюю границу Евросоюза. Будучи запущенной, глава V продолжит действовать на последующие передачи без учета направления: “уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации” (Преамбула 111 GDPR)
Если же данные, наоборот, передаются в ЕС, требования данной главы Регламента не применяются, хоть на европейского импортера и продолжат действовать требования из других глав GDPR.
Разбор действия Главы V на конкретных примерах
1. Субъект данных и контролер находятся в ЕС. Данные от субъекта напрямую попадают контролеру, например через анкету, заполненную субъектом, на сайте контролера. Здесь не происходит передачи данных по смыслу Главы V GDPR, так как приведенное в примере движение информации представляет собой сбор данных (data collection). Следовательно, Глава V не применима.
2. Субъект предоставляет данные контролеру, находящемуся вне ЕС. Как и в прошлом примере имеет место не передача данных, а, если можно так выразиться, «трансграничный сбор данных» . Следовательно, Глава V также не применима.[2]
3. Собрав данные у европейских субъектов, компания-контролер (data controller — “C”), находящаяся за пределами ЕС, передает данные процессору 1-го уровня (data processor — “Р1”), который также находится вне ЕС.Имеет место передача данных, однако данные не движутся через границу ЕС. Следовательно, Глава V также не будет применяться к данной передаче.
4. Предположим, что процессор Р1 из примера выше пользуется европейским облачным сервисом Р2. Как и предыдущем примере имеет место передача данных, но на этот раз они пересекают границу ЕС. Тем не менее направление, в котором передаются данные: из третьей страны в ЕС. То есть европейская компания является импортером, а не экспортером данных. Следовательно, Глава V опять не применяется, поскольку она регулирует передачи, где европейская компания выступает в качестве экспортера данных. [3]
5. Процессор второго уровня Р2 (cубпроцессор) решил воспользоваться услугами процессора третьего уровня P3 (суб-суб-процессора), который находится в третьей стране [4]
Данные передаются от Р2 к Р3, то есть с территории Европейского союза — за его пределы. Следовательно, для процессора Р2 начинают действовать правила передачи данных за пределы ЕС из Главы V GDPR.
В частности, действует статья 46 GDPR, в соответствии с которой процессору P2 необходимо найти механизм подходящий для такой передачи. Скорее всего, это будут Standard Contracrual Clauses (далее – SCC), хотя есть и другие механизмы трансграничной передачи, которые будут рассмотрены в других частях этой статьи. (В следующей статье я также напишу, почему нынешние редакции SCC для подобных ситуаций не предназначены, но используются).
С этого момента на все дальнейшие передачи данных, где бы она ни происходили, распространяются требования, установленные главой V GDPR. Соответственно, даже если после передачи данных из ЕС в 3-ю страну информация будет передаваться внутри этой 3-ей страны, необходимо будет применять один из механизмов трансграничной передачи данных из ст. 46 GDPR.
(c) Сергей Воронкевич CIPP/E, CIPM, MBA — 12.10.2020
Примечания:
[1] В соответствии с руководством ICO передачу данных (transfer) также следует отличать от транзита данных (transit), когда данные отправляются через какого-то посредника (например, узел сети Интернет) без намерения предоставить посреднику доступ и возможность проводить над данными действия во время данной передачи.
[2] Вместе с тем в соответствии со ст. 3(2a) GDPR в на эту обработку по-прежнему будут действовать применимые нормы GDPR, в том числе ст. 28 GDPR, которая обязывает контролера и процессора подписывать Data Processing Agreement (далее – DPA).
[3] Как и в предыдущем кейсе, это не отменяет действия GDPR, в частности, потребуется выполнить ст. 28 GDPR, в соответствии с которой необходимо заключение DPA.
[4] При выполнении правил ст. 28 GDPR подключение суб-процессора осуществляется с предварительной авторизации (предварительного разрешения) или поставторизации, т.е. процессор каждый раз запрашивает «разрешение» у контролера на такую передачу.
