Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Экспорт и импорт персональных данных. Правила трансграничной передачи
Ольга Белякова, партнер, CMS Cameron McKenna Nabarro Olswang Николай Гелетий, юрист, CMS Cameron McKenna Nabarro Olswang

На сегодняшний день все большее значение приобретает трансграничная передача персональных данных. Компании используют разные онлайн-сервисы, сохраняют данные на облачных ресурсах, обрабатывают глобальные базы данных о своих работниках, клиентах и контрагентах. Большинство из нас каждый день пользуется всемирными соцсетями, онлайн-сервисами поиска такси, жилья, отелей и т. п. Современный мир онлайн однозначно размывает любые границы и бросает немало вызовов конфиденциальности и защите приватности.

Для примера, самый большой и известный всем онлайн-сервис поиска жилья при регистрации попросит пользователя прислать фотографию официального документа, его личное фото, заполнить основные данные о себе и указать детали платежного инструмента. Информация обо всех запланированных поездках, предпочтениях относительно выбора жилья и многом другом тщательно будет храниться и обрабатываться сервисом. Все это, без сомнения, делается прежде всего для удобства и безопасности клиента. Однако другой стороной медали становится безопасность самих данных во время их передачи.

После недавних неоднократных случаев потери большого количества данных пользователей со стороны разных онлайн-ресурсов невольно приходит осознание, что персональные данные становятся едва не наиболее ценным активом на сегодня, а значит, желаемым объектом для киберпреступников. По результатам исследования компании Javelin Strategy & Research1, общий ущерб от онлайн-преступлений с использованием персональных данных в 2016 году составил 16 млрд долларов США, и данный показатель каждый год только растет.

1 https://www.javelinstrategy.com/coverage-area/2017-identity-fraud

Регулирование в Украине

В Украине вопрос передачи персональных данных иностранным субъектам регулируется базовым Законом "О защите персональных данных" (далее – Закон). Закон в целом основывается на европейской Директиве 95/46/ЕС и на принципах Конвенции Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных (дальше – Конвенция). Принимая это во внимание, в вопросах передачи персональных данных за границу Украина в первую очередь применяет привычный для многих стран принцип адекватности (надлежащести) защиты данных.

В частности, согласно Закону передача персональных данных за границу в большинстве случаев осуществляется исключительно при условии обеспечения соответствующим государством надлежащего уровня защиты персональных данных. Закон не раскрывает понятия или критерии должного уровня такой защиты. Вместо того Закон применяет более упрощенный подход, по которому все государства – участники Европейского экономического пространства (государства ЕС, Исландия, Норвегия и Лихтенштейн), а также государства, подписавшие Конвенцию (около 50 стран-подписантов), признаются обеспечивающими надлежащий уровень защиты. Несмотря на большое количество государств – участников ЕЭП и большое количество подписантов Конвенции, данный критерий на практике не покрывает все случаи передачи персональных данных, например передача персональных данных в США.

Дополнительно к указанному выше подходу надлежащести защиты Закон предусматривает право Кабинета Министров составить перечень, которым дополнительно определить государства с надлежащим уровнем защиты. Несмотря на это, за годы существования Закона правительство так и не приняло критерии или подход к формированию такого перечня, не составило сам список.

В конечном итоге, можем сказать, что отсутствие такого перечня не создает значительных препятствий для бизнеса в вопросах передачи данных за границу. Причиной этому является то, что Закон предлагает целый ряд альтернативных оснований, позволяющих передавать персональные данные в другое государство без оглядки на должный уровень защиты в нем. Среди таких оснований есть как довольно индивидуальные (необходимость защиты жизненно важных интересов субъекта персональных данных или необходимость защиты общественного интереса) или обычные и распространенные (предоставление субъектом персональных данных однозначного согласия на такую передачу).

Влияние GDPR

25 мая 2018 года вступает в силу Европейский Общий регламент защиты данных (GDPR). GDPR призван заменить действующую на сегодняшний день Директиву 95/46/ЕС и привести регулирование защиты персональных данных в соответствие с современными реалиями и развитием технологий. GDPR – горячая тема для обсуждения не только в пределах ЕС, но и по всему миру, в частности и в Украине.

Во-первых, GDPR будет применяться экстерриториально, а значит, ряд украинских компаний (в частности, крупные компании в ІТ, агро- и банковском секторах), на которые будет распространяться GDPR, сейчас активно работают над тем, чтобы отвечать его требованиям. Во-вторых, согласно Соглашению об ассоциации Украина взяла на себя обязательство привести национальное законодательство защиты персональных данных к стандартам GDPR. Планом адаптации законодательства Украины к законодательству ЕС предусмотрена, в частности, и разработка проекта изменений в регулирование защиты персональных данных и, следовательно, рано или поздно украинское законодательство о защите персональных данных тоже будет основываться на стандартах GDPR.

В целом GDPR сохраняет действующие механизмы передачи персональных данных, предусмотренные Директивой (с определенными незначительными изменениями). Кроме этого, новый Регламент предлагает дополнительные инструменты для передачи, которые смогут значительно уменьшить административное давление на бизнес.

Дополнительно GDPR вводит новые механизмы передачи персональных данных, такие как отраслевые правила обработки персональных данных (Codes of Conduct), модельные положения о передаче данных (Model Clauses), разработанные на уровне национальных органов по защите персональных данных государств ЕС, и сертификацию обработки персональных данных.

Конечно, до начала применения GDPR остается немало вопросов к применению таких механизмов на практике.

Адекватность защиты персональных данных (Adequacy)

Как предусмотрено еще действующей на сегодняшний день Директивой, трансграничная передача персональных данных из ЕС в третьи страны разрешается без каких-либо дополнительных ограничений, если такое государство обеспечивает надлежащий уровень защиты данных. Несмотря на известность данного принципа для Украины, о чем упоминалось выше, Еврокомиссия за все время действия Директивы признала надлежащим уровень защиты только в 10 странах вне пределов ЕС (среди которых значительную часть занимают такие страны (образования), как Фарерские острова, Гернси, Остров Мен и Джерси). К Канаде этот принцип применяется в ограниченном виде только в отношении отдельных субъектов, а к США через отдельный механизм – EU-US Privacy Shield. В процессе признания находятся Япония и Южная Корея.

GDPR сохраняет применение принципа адекватности, при этом значительно детализируя и расширяя критерии для признания должного уровня защиты данных в той или иной стране. Таким образом, GDPR, очевидно, не прибавит упрощения в данной части, и пока невозможно сказать, сохранят ли действующие признанные страны свой статус с учетом расширенных критериев GDPR и прибавятся ли новые страны в будущем. Говорить о возможности получения решения Еврокомиссии об "адекватности" защиты персональных данных для Украины, наверное, еще слишком рано, особенно учитывая то, что прохождение длительного процесса предоставления такого решения нашим государством может растянуться на годы.

Обязательные корпоративные правила (Binding Corporate Rules)

Эффективным механизмом для обмена персональными данными внутри группы компаний являются и будут оставаться обязательные корпоративные правила (BCRs). Несмотря на то, что действующая Директива непосредственно не определяла подобный механизм, он эффективно применяется на практике многими глобальными корпорациями (на сегодняшний день около 90 групп компаний применяют BCRs, такие, в частности, как ArcelorMittal Group, Cargill, ENGIE, General Electric и многие другие мировые лидеры2).

2 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en

В отличие от Директивы, GDPR прямо предусматривает возможность внедрения BCRs и закрепляет как четкие требования для таких корпоративных правил, так и процедуру их утверждения. Если BCRs отвечают требованиям GDPR, они могут быть утверждены одним из национальных органов по защите персональных данных государств ЕС. В таком случае никаких дальнейших подтверждений для передачи персональных данных на основании утвержденных BCRs внутри группы (включая в компании-члены группы в третьих странах, например, в Украине) требоваться не будет.

Модельные положения о передаче персональных данных (Model Clauses)

Модельные положения – это уже хорошо известный и проверенный механизм передачи персональных данных за пределы ЕС или ЕЭП. Сами по себе такие положения представляют типовые договорные условия, разработанные Еврокомиссией, использование которых признается надлежащим инструментом защиты при трансграничной передаче персональных данных. На сегодняшний день Еврокомиссия разработала несколько модельных положений для передачи персональных данных владельцу или распорядителю в третьих странах. Такие модельные положения будут сохранять действие и после начала действия GDPR. Можно ожидать, что с началом работы GDPR Еврокомиссия возьмется за разработку новых модельных положений с учетом всех новых законодательных изменений. Согласно GDPR трансграничная передача персональных данных на основании утвержденных модельных положений не требует никакой дополнительной авторизации со стороны национальных органов по защите персональных данных государств ЕС.

Кроме этого, GDPR предусматривает возможность разработки модельных положений на уровне национальных органов. Несмотря на это, до введения в действие GDPR непонятной остается реализация положений с учетом возможной конкуренции между разными органами государств и поиском организациями "выгодной" для себя юрисдикции.

Отраслевые правила обработки персональных данных (Codes of Conduct)

Новым инструментом передачи персональных данных, который вводится вместе с GDPR, являются отраслевые правила (Codes of Conduct). Причиной этому является то, что организации, действующие в одной отрасли, производственных сферах, обычно сталкиваются с подобными вопросами защиты данных. Следовательно, GDPR предоставляет возможность разработать и утвердить отраслевые правила, которые будут служить своеобразной инструкцией для целой сферы компаний. Как следствие, соблюдение отраслевых правил при передаче персональных данных будет служить доказательством соблюдения требований GDPR и не будет требовать дополнительного одобрения со стороны национальных органов ЕС. Удобство и целесообразность использования такого механизма можно будет оценить только с началом работы GDPR и утверждением первых отраслевых правил.

Сертификация

Еще одной новой опцией трансграничной передачи данных по GDPR является механизм сертификации на соответствие его требованиям. Предполагается, что передача персональных данных из ЕС или ЕЭП в третьи страны будет разрешаться на основании сертификации, без какого-либо дополнительного согласования национальными органами ЕС. Вместе с этим пока неизвестно, кто будет проводить такую сертификацию, механизм такой сертификации и как подобный механизм будет реализовываться на практике.

ВЫВОД:

В целом вопросам защиты персональных данных в Украине отводится меньше внимания, чем в других развитых юрисдикциях. Учитывая достаточно мягкую позицию национального регулятора относительно каких-либо нарушений в сфере защиты данных, мало украинских компаний действительно задумываются над соответствием их деятельности всем требованиям законодательства о персональных данных, в частности и при передаче таких данных за границу. В то же время на сегодняшний день значительно большее внимание в мире приковано к вопросам защиты персональных данных, и с дальнейшим развитием технологий, глобализации и ростом киберпреступности актуальность данной темы будет значительно возрастать. Новые вызовы для большой части украинского бизнеса ставит новое законодательство о персональных данных ЕС, за которым, очевидно, проследуют соответствующие изменения в законодательствах других государств, в том числе и в самой Украине. Таким образом, о надежности защиты и законности трансграничной передачи персональных данных следует побеспокоиться уже сегодня.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua