Assessing the level of protection of data transfer from the EU to Ukraine: practical recommendations (In Ukrainian)

У співавторстві з Іваном Чопиком

Після рішення у справі Schrems II стало зрозуміло, що потрібно звертати більше уваги на передання даних до третіх країн. У випадку тих країн, щодо яких відсутнє рішення Європейської комісії про адекватність захисту персональних даних, стандартних договірних положень буде недостатньо. Саме тут у центрі уваги — оцінка впливу передання даних (Transfer Impact Assessment, «TIA»).

TIA стає важливим інструментом, який допомагає експортерам даних у Європейській економічній зоні (ЄЕЗ) визначити необхідні для безпечного передання даних заходи, що мають відповідати вимогам із захисту даних, установлених GDPR.

У цій статті ми проаналізуємо, що слід брати до уваги на практиці, аби закласти основу для правильної TIA.

Етап 1 — визначення факту передання персональних даних в Україну

Визначення того, як персональні дані передають в Україну, є першим кроком у комплексній ТІА.

Насамперед експортер даних у ЄЕЗ має визначити, чи насправді він передає (transfers) дані. Зокрема, природа активного передання (transmission) даних не викликає сумнівів. Деякі інші випадки можуть бути не такими очевидними. Наприклад:

  • чи вважатиметься простий доступ (access) до даних з України, які зберігаються на сервері в ЄЕЗ, переданням даних?
  • чи матиме місце передання, якщо компанія у ЄЕЗ зберігає дані працівників української дочірньої компанії для цілей глобального управління персоналом на сервері у США?

Ні GDPR, ні Закон України «Про захист персональних даних» (Закон) не надають визначення переданню даних. Проте системний аналіз Закону дає змогу припустити, що передання даних відбувається лише у випадку, якщо персональні дані розкриваються для подальшої обробки особою, відмінною від суб’єкта даних. Тобто обов’язковою є наявність третьої сторони, якій володілець чи розпорядник розкриває дані.

Європейська рада із захисту даних (European Data Protection Board, EDPB) послуговується схожою логікою: якщо суб’єкт даних розкриває дані за власним бажанням, навіть володільцю за межами ЄЕЗ, це не вважатиметься переданням даних.

EDPB раніше зазначала, що віддалений доступ (remote access) до даних, розташованих на сервері в ЄЕЗ, також є переданням даних. Крім того, компанії однієї корпоративної групи можуть кваліфікуватися як різні організації, на які поширюються вимоги щодо передання даних.

З огляду на зазначене вище досить велика кількість дій з обробки дійсно може становити передання даних.

Етап 2 — визначення інструменту для передання даних в Україну

Після того, як встановлено, що має місце передання персональних даних до України, та після визначення деталей такого передання (категорії персональних даних і суб’єктів даних тощо) необхідно визначити інструмент, на підставі якого відбуватиметься передання даних.

Цей етап TIA має бути загалом простим. Експортер даних повинен переконатися, що обраний інструмент для передання даних (transfer instrument) є доцільним для запланованого передання даних.

Зважаючи на відсутність рішення про адекватність щодо України, експортер даних може використовувати один із інструментів, установлених ст. 46 GDPR, а саме:

  • (i) стандартні договірні положення (standard contractual clauses, «SCC»);
  • (ii) обов’язкові корпоративні правила (binding corporate rules, «BCR»);
  • (iii) кодекси поведінки;
  • (iv) механізми сертифікації.

На сьогодні SCC і BCR є двома найпопулярнішими опціями серед інструментів, використовуваних для передання даних до України. Їх ми й братимемо до уваги в межах нашої публікації.

Звернімо увагу, що експортер даних також може використовувати виняткові підстави відповідно до ст. 49 GDPR, наприклад:

  • однозначна згода;
  • виконання контракту;
  • суспільний інтерес тощо;
  • для передання даних до третьої країни.

Однак ці підстави не слід розглядати як довгострокове рішення, оскільки вони є особливим механізмом, доступним у досить виняткових випадках. Отже, на них не варто покладатися в разі постійного передання даних для бізнес-цілей.

Етап 3 — аналіз українського законодавства та практики його застосування

Оскільки SCC та BCR можна розглядати як належні інструменти транскордонного передання, потрібно оцінити їхню достатність для захисту даних в Україні.

У своїх нещодавніх рекомендаціях EDPB запропонувала вимогу «достатньої еквівалентності» (essential equivalence requirement), згідно з якою «захист, який надається переданим персональним даним у третій країні, має бути по суті еквівалентним тому, що гарантує GDPR в ЄЕЗ». Це допоможе визначити, чи достатньо самих лише SСC або BCR, чи їх треба поєднати з деякими додатковими механізмами. Це, мабуть, одна з найскладніших і трудомістких частин TIA.

Своєю чергою, EDPB рекомендує зосередитися на:

  • (i) законодавстві;
  • (ii) практиці його застосування;
  • (iii) міжнародних зобов’язаннях третьої країни.

Аналіз законодавства

Українське законодавство, яке ґрунтується на нині скасованій Директиві 95/46/ЕС, значно відстає від сучасних тенденцій у регулюванні захисту даних. Поки нове законодавство перебуває на етапі розроблення, потрібно зосередитися на аналізі чинного законодавчого регулювання із захисту даних.

Варто наголосити, що аналіз законодавства має бути доволі комплексним. Він повинен охоплювати не лише оцінку еквівалентності захисту персональних даних, установленого українським законодавством, з одного боку, та GDPR — з іншого, а й розглядати інші, більш загальні елементи, такі як:

  • верховенство права;
  • функціональний аналіз українського органу із захисту персональних даних тощо.

Як правило, експортер даних може взяти за основу для оцінки ключові сфери, які Європейська комісія та EDPB аналізують для прийняття рішення про адекватність, як це передбачено ст. 45 GDPR. До процесу оцінювання можуть також залучатися як імпортер даних в Україні, так і зовнішні радники.

Звісно, не кожне передання даних вимагає глибокого занурення в українське законодавство для цілей TIA. Проте ключові моменти мають бути достатньо висвітлені, щоб експортер даних у ЄЕЗ міг прийняти обґрунтоване рішення щодо застосування додаткових заходів (supplementary measures).

Ось деякі загальні міркування, які можна взяти до уваги під час ТІА:

  • обсяг прав суб’єктів даних. Порівняно з GDPR, Закон установлює вужче коло прав суб’єктів даних, що може створити практичні перешкоди в отриманні належного правового захисту (legal remedy) у разі порушення законодавчих вимог щодо обробки даних;
  • нижчі стандарти захисту подальшого передання (onward transfer) персональних даних з України до третіх країн. Закон передбачає ширший перелік країн, передання даних до яких допускається без додаткових інструментів, як-от SCC чи Крім держав — членів ЄЕЗ, передання даних можливе до держав, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108). Водночас Закон не пропонує інструментів для передання даних, аналогічних до ст. 46 GDPR. Закон допускає лише виняткові правові підстави, подібні до тих, що передбачені ст. 49 GDPR. Тобто українські компанії імовірніше змушені застосовувати ці винятки як правило для постійного передання даних до країн, що не забезпечують належного захисту персональних даних. Отже, це нівелює виключний характер застосування таких правових підстав;
  • ефективність контролюючого органу. Хоча в Офісі Уповноваженого Верховної Ради України з прав людини є окремий департамент, який займається захистом персональних даних, відсутність належних технічних, організаційних та фінансових ресурсів не дозволяє повною мірою розслідувати порушення законодавства про захист персональних даних та проводити просвітницьку діяльність.

Практика застосування законодавства

Варто також проаналізувати практичні аспекти захисту даних. EDPB наголошує, що під час TIA необхідно аналізувати практичну можливість доступу органів публічної влади до персональних даних, які обробляє імпортер. Зокрема, EDPB радить приділяти увагу:

  • доступу, про який імпортеру може бути невідомо;
  • доступу через провайдерів телекомунікаційних послуг або комунікаційні мережі.

У цьому сенсі Закон не передбачає жодних положень, що регулюють доступ до персональних даних у такий спосіб.

Закон установлює випадки, коли ефективна реалізація принципів мінімізації даних (data minimisation) й обмеження цілей (purpose limitation), а також заборони обробки чутливих даних (sensitive data) чи прав суб’єктів даних може бути обмежена, якщо це прямо передбачено законом та необхідно в демократичному суспільстві. Такі обмеження можуть застосовувати в інтересах:

  • (i) національної безпеки;
  • (ii) економічного добробуту або
  • (iii) захисту прав і свобод суб’єктів персональних даних чи інших осіб.

Таке обмеження загалом відповідає конституційним виняткам щодо обробки даних.

Для оцінки впливу таких обмежень потрібно проаналізувати законодавство, яке регулює доступ до персональних даних правоохоронних й інших органів публічної влади та їхнє практичне застосування.

Чинне процесуальне законодавство передбачає можливість отримання доступу до персональних даних для:

  • розслідування кримінальних проваджень;
  • запобігання вчиненню злочинів.

Законодавство також визначає вичерпний перелік слідчих і негласних слідчих дій, під час проведення яких правоохоронні органи можуть отримати доступ до персональних даних.

Водночас законодавство передбачає жорсткі процесуальні механізми для проведення таких заходів (наприклад, необхідність отримання ухвали суду).

Отже, процесуальний закон установлює вимоги доступу до даних, і таке втручання можна вважати виправданим (justifiable intrusion).

Крім того, такі процесуальні заходи треба також оцінювати з позиції Європейських основних гарантій проведення негласних слідчих дій, які детально описані в Рекомендаціях EDPB 02/2020.

Незважаючи на передбачені процесуальні вимоги доступу до персональних даних, на практиці правоохоронні органи можуть подекуди порушувати їх. Такий практичний аспект також треба брати до уваги під час проведення TIA.

Міжнародні зобов’язання

Необхідно провести оцінювання міжнародних зобов’язань, які взяла на себе Україна. Такі зобов’язання можуть стосуватися як сфери захисту інформації та персональних даних, так і більш загальних питань. Низка ратифікованих міжнародних договорів у цій сфері достатньо позитивно впливатиме на оцінку даного критерію.

Висновок:

Загалом у межах TIA потрібно розглянути, як чинне законодавство та практика його застосування в Україні можуть вплинути на ефективність захисту персональних даних, що передають до України.

Цілком зрозуміло, що зараз Україна не забезпечує захисту на належному рівні відповідно до стандартів GDPR. Однак дійти такого очевидного висновку — це лише половина шляху. Належна оцінка та порівняльний аналіз мають допомогти визначити галузеві та, що важливіше, специфічні для компанії ризики під час передання даних до України. Результатом цього аналізу є визначення інструментів передання та додаткових заходів захисту, які мінімізуватимуть такі ризики.

Наприклад, якщо експортер даних у ЄЕЗ використовує контактний центр в Україні, він, можливо, має зосередитися на шифруванні приватного спілкування. Водночас інший експортер даних у ЄЕЗ, який передає в Україну медичні дані для обробки в межах аутсорсингових послуг, повинен сконцентруватися на пропорційності передання даних та організаційних заходах щодо безпеки доступу.

Попри все бажання, TIA для різних компаній (навіть в одній галузі) навряд чи можна стандартизувати. Звісно, структура TIA й загальні висновки щодо безпечності передання даних будуть подібними. Та вже на цьому етапі ми розуміємо, що самих лише інструментів передання, таких як SCC та BCR, буде недостатньо, і вони повинні бути підкріплені додатковими заходами. Але наскільки суворими вони мають бути? Саме у цьому й полягає головна мета TIA — з’ясувати, які саме додаткові заходи повинен застосувати експортер під час передання персональних даних в Україну.

У межах TIA важливо також визначити такі механізми, які заповнять прогалини недостатнього захисту, що пропонують SCC чи BCR. Залежно від обставин експортер даних має вирішити, які технічні (наприклад, шифрування, захищені сервери) й організаційні (скажімо, контроль доступу, внутрішні політики) заходи найкраще використати.

Варто також пам’ятати, що TIA не є одноразовим заходом. Компанії мають проводити регулярну оцінку достатності та релевантності обраних додаткових заходів за умови змін в організації передання даних або в правовому регулюванні країни — імпортера даних. На щастя, Україна впевнено йде до прийняття оновленого законодавства про захист персональних даних, що вочевидь виведе правові стандарти на рівень GDPR. Однак практичне застосування таких нових правил потребуватиме додаткового часу для обґрунтованої оцінки.

Related publications

26 March 2024

Publications

Post-War Expectations: National Revenue Strategy
26 March 2024

Publications

Sayenko Kharenko lawyers contributed to the third edition of Advertising Law: A Global Legal Perspective
19 March 2024

Publications

Member Voices
Notification cookies

We use cookies to analyze the behavior of visitors
of our website and improve it. By using our website, you consent to these cookies in accordance with our Cookie Policy.