Оформление трансграничной передачи данных по GDPR

GDPR (General Data Protection Regulation) ограничивает экспорт персональных данных за пределы ЕС. Это возможно лишь при соблюдении Главы V Регламента. Она содержит механизмы, которые позволяют сохранить уровень защиты персональных данных при их передаче. Однако прежде, чем разбирать их подробно, необходимо определиться, что такое трансграничная передача данных, а также выяснить, что ею не является.

data transfer

🔍 Тезис 1. Сбор - не передача

На практике очень часто встречается заблуждение, что получение не европейским контролером данных от субъекта, находящегося в Европейском Союзе (далее – ЕС), является трансграничной передачей. Из-за этого формируется ошибочное суждение о необходимости выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”.

💡 Однако получение данных от субъекта не является трансграничной передачей данных и представляет собой не что иное, как сбор данных (data collection). 

Британский надзорный орган ICO определяет передачу данных как “намеренную отправку персональных данных или предоставление к ним доступа” (“intentional sending personal data, or making it accessible”)[1]. При этом также очевидно, что передачей данных (data transfer) не является сбор данных (data collection). Эти операции перечислены отдельно друг от друга в определении “обработка персональных данных” в ст. 4(2) GDPR. 

 

Записаться на консультацию

 

🔍 Тезис 2. Трансграничный сбор оформлять как передачу не надо

Согласно ст. 44 GDPR и относящейся к ней преамбуле 101, правила Главы V Регламента распространяются именно на передачу. Следовательно, при “трансграничном сборе” данных от субъектов из Европейского союза компанией, находящейся за его пределами, ей не нужно выполнять требования этой главы.

 

🔍 Тезис 3. Оформляются только передачи за границу ЕС

Если данные передаются компании (а не собираются ей) (например, она получает персональные сведения из ЕС от своего партнера или заказчика), то Глава V становится обязательной к выполнению благодаря ст. 44 GDPR, которая говорит о передаче в "третью страну или международную организацию"

Следует обратить внимание на направление передачи: из ЕС в третью страну или международную организацию, то есть когда данные экспортируются через внешнюю границу Евросоюза. Будучи запущенной, глава V продолжит действовать на последующие передачи без учета направления: 

 

Уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации (Преамбула 111 GDPR).

 

Если же данные, наоборот, передаются в ЕС, требования этой главы Регламента не применяются.

Разбор действия Главы V на конкретных примерах 

1. Субъект данных и контролер находятся в ЕС. Данные от субъекта напрямую попадают контролеру (например, через анкету, заполненную субъектом, на сайте контролера).

Здесь нет передачи данных, так как приведенное в примере движение информации представляет собой сбор данных (data collection). Следовательно, Глава V не применяется.

1 case

 

2. Субъект предоставляет данные контролеру, находящемуся вне ЕС.

Как и в прошлом примере имеет место не передача данных, а (если можно так выразиться) «трансграничный сбор данных». Следовательно, Глава V также не применима.[2]

 2 case

 

3. Собрав данные у европейских субъектов, компания-контролер (data controller - “C”), находящаяся за пределами ЕС, передает данные процессору 1-го уровня (data processor - “Р1”),  который также находится вне ЕС.

Имеет место передача данных, однако она не происходит через границу ЕС. Следовательно, Глава V также не будет применяться. 

3 case

 

4. Предположим, что процессор Р1 из примера выше пользуется европейским облачным сервисом Р2.

Как и в предыдущем примере имеет место передача данных, но на этот раз они пересекают границу ЕС. Однако здесь изменено направление, в котором передаются данные, - из третьей страны в ЕС. То есть европейская компания является импортером данных. Следовательно, Глава V опять не применяется, поскольку она регулирует передачи, где европейская компания выступает в качестве экспортера данных. [3]

4 case

 

5. Процессор второго уровня Р2 (cубпроцессор) решил воспользоваться услугами процессора третьего уровня P3 (суб-суб-процессора), который находится в третьей стране.[4]

Данные передаются от Р2 к Р3, то есть с территории Европейского союза за его пределы. Следовательно, для процессора Р2 начинают действовать правила из Главы V GDPR. 

В частности, действует статья 46 GDPR, в соответствии с которой процессору P2 необходимо найти механизм, подходящий для такой передачи. Скорее всего, это будут Standard Contracrual Clauses (далее – SCC). 

С этого момента на все дальнейшие передачи данных, где бы они не происходили, распространяются требования, установленные главой V. Соответственно, даже если после передачи данных из ЕС в 3-ю страну информация будет передаваться внутри нее, необходимо применять один из механизмов трансграничной передачи данных из ст. 46 GDPR.

5 case

 

(c) Сергей Воронкевич CIPP/E, CIPM, MBA - 12.10.2020

Примечания

[1] В соответствии с руководством ICO передачу данных (transfer) также следует отличать от транзита данных (transit), когда данные отправляются через какого-то посредника (например, узел сети Интернет) без намерения предоставить посреднику доступ и возможность проводить над данными действия во время данной передачи.

[2] Вместе с тем в соответствии со ст. 3(2a) GDPR в на эту обработку по-прежнему будут действовать применимые нормы GDPR, в том числе ст. 28 GDPR, которая обязывает контролера и процессора подписывать Data Processing Agreement (далее – DPA).

[3] Как и в предыдущем кейсе, это не отменяет действия GDPR, в частности, потребуется выполнить ст. 28 GDPR, в соответствии с которой необходимо заключение DPA.

[4] При выполнении правил ст. 28 GDPR подключение суб-процессора осуществляется с предварительной авторизации (предварительного разрешения) или поставторизации, т.е. процессор каждый раз запрашивает «разрешение» у контролера на такую передачу.

Записаться на консультацию или задать вопрос эксперту











    Расписание курсов загружается, подожди несколько секунд