Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
Стандартні договірні застереження: захист і гарантії передавання персональних даних третім країнам
Тетяна Плигач, адвокат, Alexandrov&partners

Дедалі більше українських компаній, які працюють у сфері торгівлі чи надання послуг через мережу Інтернет, використовують персональні дані своїх споживачів (користувачів).

З метою застереження фізичних осіб, що їхні персональні дані не буде використано у злочинних цілях і передано невідомим особам, власники вебсайтів ознайомлюють їх із політикою конфіденційності.

Однак не завжди для збереження й передавання персональних даних досить політики конфіденційності. Тому вбачається необхідність застосовувати міжнародні правові акти.

У цьому разі контролери й/або обробники персональних даних використовують Загальний регламент про захист даних (General Data Protection Regulation), який уведено в дію постановою Європейського Союзу 2016/679. Цей Регламент передбачає правила збирання й обробки особистих даних громадян Європейського Союзу. Виконання GDPR підвищує рівень захисту відомостей, що збираються й обробляються інтернет-ресурсами.

Варто зазначити, що ці правила використовують не лише європейські компанії, а й ті суб'єкти, які надають різні послуги для резидентів Європейського Союзу.

Потрібно зауважити, що в Україні GDPR в обов'язковому порядку повинні застосовувати такі організації:

– софтверні компанії, які продають програмні продукти громадянам Європи;

– компанії-субпідрядники в обслуговуванні європейських комп'ютерних систем і баз даних;

– комерційні організації, що обслуговують громадян ЄС: готелі, ресторанні комплекси, санаторії, туристичні компанії;

– фінансові організації, що обслуговують громадян ЄС: банки, венчурні фонди, валютні біржі;

– логістичні та транспортні компанії, які надають послуги резидентам ЄС.

З огляду на технологічні розробки, що сприяють транскордонним потокам даних для розширення міжнародної співпраці й міжнародної торгівлі, необхідно забезпечити той рівень захисту фізичних осіб, який гарантовано Регламентом ЄС 2016/679.

Отже, згідно з рішенням Європейської комісії від 04.06.2021 р. було затверджено оновлені Стандартні договірні положення (далі – SCCs) про передавання персональних даних третім країнам відповідно до Регламенту ЄС 2016/679 Європейського парламенту та Ради ЄС.

Ці положення мають на меті забезпечити належні гарантії захисту даних у разі їх міжнародного передавання. Контролер або процесор, що передає персональні дані до третьої країни (експортер даних), та контролер або процесор, що отримує персональні дані (імпортер даних), можуть безпосередньо включати ці Стандартні договірні положення до основного договору. Також сторони можуть додавати інші положення чи додаткові запобіжні заходи за умови, що вони не суперечитимуть прямо чи опосередковано SCCs.

Звертаємо вашу увагу на те, що додаткові запобіжні заходи не можуть зашкодити основним правам суб'єктів даних.

Використання Стандартних договірних положень не шкодить будь-яким договірним зобов'язанням експортера даних і/або імпортера щодо забезпечення дотримання привілеїв й імунітетів.

Варто зазначити, що, на відміну від старої редакції SCCs, в оновленому вигляді відображено новий набір положень, які включають до договору, щодо передавання даних від процесора (ЄС) до контролера (за межами ЄС) і від процесора (ЄС) до процесора (за межами ЄС).

З швидким розвитком цифрової економіки, що спричинило широке використання нових і більш складних операцій з обробки, дедалі частіше залучають декількох імпортерів й експортерів даних, створюють довгі та складні ланцюжки їх обробки, розвиваються ділові відносини.

Тому оновлені SCCs можна використовувати для багатосторонніх відносин передавання даних. Віднині SCCs дають змогу іншим сторонам передавання даних долучитися до вже наявного договору.

Для ефективного забезпечення захисту передавання персональних даних необхідно враховувати оцінку законодавства та практики країни імпорту даних.

Від імпортера даних потрібно вимагати, щоб він підпорядковувався юрисдикції такого органу й судів, зобов'язувався виконувати будь-яке обов'язкове рішення відповідно до чинного законодавства держави-члена. Зокрема, імпортер даних повинен відповідати на запити, піддаватися аудиту та виконувати заходи, прийняті наглядовим органом, включно з виправними й компенсаційними заходами.

Отже, варто пам'ятати про попередній досвід імпортера даних щодо реагування на запити про надання персональних даних, судову практику та звіти незалежних наглядових органів.

У змісті SCCs доцільно передбачити різні гарантії, які охоплюють конкретну ситуацію передавання персональних даних процесором (ЄС) до контролера (за межами ЄС).

Зокрема, Стандартні договірні положення повинні вимагати від процесора інформувати контролера, якщо він не може виконувати його вказівки, зокрема і якщо такі інструкції порушують законодавство Європейського Союзу про захист даних, та вимагати від контролера утримуватися від будь-яких дій, які заважають процесору виконувати свої зобов'язання за Регламентом ЄС 2016/679.

У разі отримання імпортером даних обов'язкового запиту від державного органу третьої країни про розкриття персональних даних, переданих згідно із SCCs, по змозі він повинен повідомити про це експортера даних.

Аналогічно, якщо імпортеру даних стане відомо про будь-який прямий доступ державних органів третьої країни до таких персональних даних, він повинен повідомити про це експортера. У разі неможливості імпортера даних повідомити експортера даних про конкретний запит він має вжити всіх можливих заходів і надати якомога більше інформації про отримане звернення.

Оновлені SCCs передбачають установлення вимоги перед імпортером даних вести відповідну документацію про здійснення обробки даних, за що несе передбачену відповідальність.

Також імпортер повинен негайно інформувати експортера даних, якщо він не може виконати зазначені положення з будь-якої причини. Своєю чергою, експортер даних повинен зупинити передавання та в особливих випадках має право розірвати контракт, якщо це стосується обробки персональних даних згідно із SCCs, коли імпортер даних порушує ці пункти або не може їх виконати.

Стандартні договірні положення встановлюють відповідальність між сторонами стосовно порушення прав суб'єктів даних і правила про відшкодування збитків.

Відповідно до оновлених SCCs для сценаріїв передавання даних "контролер – процесор" і "процесор – процесор" відповідальність за порушення прав суб'єктів даних покладено на експортера даних у Європейській економічній зоні (далі – ЄЕЗ).

Отже, процесори та субпроцесори за межами ЄЕЗ не нестимуть відповідальність за порушення перед наглядовими органами ЄС. Водночас це не означає, що імпортери даних не нестимуть відповідальність у таких випадках. Найімовірніше, експортери даних включатимуть це положення про відповідальність до договорів з імпортерами за межами ЄС, зокрема й щодо компенсації за будь-яку поведінку, що спричинила збитки експортеру в ЄС.

Якщо суб'єкт даних зазнає матеріальної або нематеріальної шкоди внаслідок будь-якого порушення прав третьою стороною – бенефіціаром відповідно до SCCs, то він або вона повинні мати право на компенсацію.

Необхідно зауважити, що в разі залучення імпортером даних субпроцесора Стандартні договірні положення повинні встановлювати процедуру загального або конкретного дозволу від експортера даних і/або вимогу письмового контракту із субпроцесором, що забезпечує достатній рівень захисту передавання даних.

Рішення Європейської комісії від 04.06.2021 р. про затвердження оновлених SCCs набуде чинності через 20 днів із моменту офіційного опублікування в Офіційному віснику Європейського Союзу. Перехідний період становитиме 18 місяців із дати офіційного опублікування SCCs.

Тож, організації, що використовували попередню редакцію SCCs, повинні вжити відповідних заходів і привести у відповідність положення незалежно від продовженого перехідного періоду.

З метою захисту даних під час їх транскордонного передавання радимо вжити таких заходів:

– переукласти наявні договори або змінити окремі їх положення відповідно до вимог оновлених Стандартних договірних положень;

– здійснити аналіз і структурувати всі наявні транскордонні передавання даних, зважаючи на ті, у яких передавання вже завершилось, однак дані ще використовує імпортер;

– здійснювати постійний моніторинг діяльності контролерів і процесорів (поза межами ЄС).

ВИСНОВОК:

З огляду на викладене вище, якщо у своїй діяльності ви здійснюєте передавання й/обробку даних, радимо застосовувати всі можливі гарантії захисту для уникнення їх витоку, використовуючи оновлені Стандартні договірні положення, прийняті Європейською комісією.

_____________________________________________
© ТОВ "ІАЦ "ЛІГА", ТОВ "ЛІГА ЗАКОН", 2021

У разі цитування або іншого використання матеріалів, розміщених у цьому продукті ЛІГА:ЗАКОН, посилання на ЛІГА:ЗАКОН обов'язкове.
Повне або часткове відтворення чи тиражування будь-яким способом цих матеріалів без письмового дозволу ТОВ "ЛІГА ЗАКОН" заборонено.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання ЮРИСТ&ЗАКОН
Контакти редакції:
uz@ligazakon.ua