Оформление трансграничной передачи данных по GDPR

GDPR (General Data Protection Regulation) ограничивает экспорт персональных данных за пределы ЕС. Это возможно лишь при соблюдении Главы V Регламента. Она содержит механизмы, которые позволяют сохранить уровень защиты персональных данных при их передаче. Однако прежде, чем разбирать их подробно, необходимо определиться, что такое трансграничная передача данных, а также выяснить, что ею не является.

🔍 Тезис 1. Сбор - не передача

На практике очень часто встречается заблуждение, что получение не европейским контролером данных от субъекта, находящегося в Европейском Союзе (далее – ЕС), является трансграничной передачей. Из-за этого формируется ошибочное суждение о необходимости выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”.

💡 Однако получение данных от субъекта не является трансграничной передачей данных и представляет собой не что иное, как сбор данных (data collection). 

Британский надзорный орган ICO определяет передачу данных как “намеренную отправку персональных данных или предоставление к ним доступа” (“intentional sending personal data, or making it accessible”)^[1]. При этом также очевидно, что передачей данных (data transfer) не является сбор данных (data collection). Эти операции перечислены отдельно друг от друга в определении “обработка персональных данных” в ст. 4(2) GDPR. 

Записаться на консультацию

🔍 Тезис 2. Трансграничный сбор оформлять как передачу не надо

Согласно ст. 44 GDPR и относящейся к ней преамбуле 101, правила Главы V Регламента распространяются именно на передачу. Следовательно, при “трансграничном сборе” данных от субъектов из Европейского союза компанией, находящейся за его пределами, ей не нужно выполнять требования этой главы.

🔍 Тезис 3. Оформляются только передачи за границу ЕС

Если данные передаются компании (а не собираются ей) (например, она получает персональные сведения из ЕС от своего партнера или заказчика), то Глава V становится обязательной к выполнению благодаря ст. 44 GDPR, которая говорит о передаче в "третью страну или международную организацию". 

Следует обратить внимание на направление передачи: из ЕС в третью страну или международную организацию, то есть когда данные экспортируются через внешнюю границу Евросоюза. Будучи запущенной, глава V продолжит действовать на последующие передачи без учета направления: 

Уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации (Преамбула 111 GDPR).

Если же данные, наоборот, передаются в ЕС, требования этой главы Регламента не применяются.

1. Субъект данных и контролер находятся в ЕС. Данные от субъекта напрямую попадают контролеру (например, через анкету, заполненную субъектом, на сайте контролера).

Здесь нет передачи данных, так как приведенное в примере движение информации представляет собой сбор данных (data collection). Следовательно, Глава V не применяется.

2. Субъект предоставляет данные контролеру, находящемуся вне ЕС.

Как и в прошлом примере имеет место не передача данных, а (если можно так выразиться) «трансграничный сбор данных». Следовательно, Глава V также не применима.^[2]

3. Собрав данные у европейских субъектов, компания-контролер (data controller - “C”), находящаяся за пределами ЕС, передает данные процессору 1-го уровня (data processor - “Р1”),  который также находится вне ЕС.

Имеет место передача данных, однако она не происходит через границу ЕС. Следовательно, Глава V также не будет применяться. 

4. Предположим, что процессор Р1 из примера выше пользуется европейским облачным сервисом Р2.

Как и в предыдущем примере имеет место передача данных, но на этот раз они пересекают границу ЕС. Однако здесь изменено направление, в котором передаются данные, - из третьей страны в ЕС. То есть европейская компания является импортером данных. Следовательно, Глава V опять не применяется, поскольку она регулирует передачи, где европейская компания выступает в качестве экспортера данных. ^[3]

5. Процессор второго уровня Р2 (cубпроцессор) решил воспользоваться услугами процессора третьего уровня P3 (суб-суб-процессора), который находится в третьей стране.^[4]

Данные передаются от Р2 к Р3, то есть с территории Европейского союза за его пределы. Следовательно, для процессора Р2 начинают действовать правила из Главы V GDPR. 

В частности, действует статья 46 GDPR, в соответствии с которой процессору P2 необходимо найти механизм, подходящий для такой передачи. Скорее всего, это будут Standard Contracrual Clauses (далее – SCC). 

С этого момента на все дальнейшие передачи данных, где бы они не происходили, распространяются требования, установленные главой V. Соответственно, даже если после передачи данных из ЕС в 3-ю страну информация будет передаваться внутри нее, необходимо применять один из механизмов трансграничной передачи данных из ст. 46 GDPR.

(c) Сергей Воронкевич CIPP/E, CIPM, MBA - 12.10.2020