close
МЕНЮ

Новости

Ключевые контакты
17 ноября 2020

ЕС принимает следующие шаги для приведения практики передачи данных в соответствие с требованиями GDPR

12 ноября 2020 года, более чем через два года после вступления в силу GDPR, Европейская комиссия опубликовала проект новых стандартных договорных положений (SCCs) для публичного обсуждения. Задержка была обусловлена ожиданием судебного решения по делу, широко известному как Schrems II.

Ожидается, что основными изменениями в проекте новых SCCs будут следующие:

— два дополнительных варианта передачи данных, которые отсутствуют в текущей редакции SCCs – передачи от процессора к процессору и от процессора к контролеру;

— включение формулировки статьи 28 GDPR относительно процессора, которая отсутствует в текущей редакции SCCs;

— изменения, обусловленные решением по делу Schrems II:

  • новое договорное требование осуществлять и фиксировать оценку законодательства страны-импортера данных для определения того, обеспечивают ли SCCs должный уровень защиты;
  • если оценка выявит неэффективность одних только SCCs в конкретной ситуации, экспортер данных должен применить вспомогательные меры;
  • обязанность импортера данных уведомлять экспортера данных о запросе публичных органов на доступ к импортированным данным. Если такое уведомление запрещено местным законодательством, импортер должен приложить все усилия для отмены запрета;

— передача данных к и от нескольких сторон (то есть передачи, которые задействуют более чем одного экспортера и импортера данных).

Ожидается, что новые SCCs будут благоприятными для бизнеса и закроют все существующие пробелы в регулировании. Стороны передачи данных смогут использовать текущую редакцию SCCs в течение одного года с даты вступления в силу новых SCCs.

На той же неделе в свете решения по делу Schrems II Европейский совет по защите данных (EDPB), обеспечивающий последовательное применение GDPR, опубликовал свои рекомендации касательно вспомогательных мер и схему действий для оценки необходимости применения таких мер экспортерами данных для эффективной защиты персональных данных в соответствии со стандартами GDPR. Схема действий предусматривает такие шаги:

1. Документировать и структурировать передачи данных (для экспортеров данных), в том числе относительно последующих передач, которые могут осуществляться импортерами данных своим суб-процессорам. Особенное внимание должно уделяться международной облачной инфраструктуре, которая может потенциально использоваться для передачи данных в страны за пределами ЕЭЗ. Это должно проводиться до осуществления новых/продолжения реализации существующих передач.

2.Идентифицировать средства передачи, которыми вы руководствуетесь, например, решение об адекватности, SCCs, обязующие корпоративные правила (BCRs), кодексы поведения или отступления (статья 49 GDPR).

3. Если вы используете одно из средств передачи, приведенных в статье 46 GDPR, проанализировать, является ли такое средство передачи эффективным с точки зрения местного законодательства и практики страны-импортера. Оценка должна охватывать такие особенности передачи: цели передачи и обработки; виды участвующих юридических лиц; индустрию, в которой осуществляется передача (финтех, телекоммуникации и пр.); категории и формат передаваемых данных (простой текст, псевдонимизированные данные и пр.); потенциальные последующие передачи и информацию о том, будут ли данные храниться в третьей стране или к ним будет предоставлен удаленный доступ при условии их хранения в пределах ЕС/ЕЭЗ.

4. Если средство передачи не полностью эффективно, принять вспомогательные меры дополнительно к средствам передачи. Такие меры могут быть, например:

  • техническими (например, использование усиленной псевдонимизации, когда только экспортер данных в ЕС может осуществить повторную идентификацию);
  • договорными (аудит экспортером данных доступа публичных органов к импортируемым данным, обязанность импортера данных заранее уведомлять о своей невозможности выполнять обязательства по договору и пр.); и/или
  • организационными (например, внутренняя политика по обработке запросов публичных органов на доступ к данным).

5. Осуществить формальные процедуры, например, консультации с компетентными надзорными органами и получение их согласования.

6. Повторная оценка эффективности средств передачи, в том числе вспомогательных мер.

Поделиться:

Больше Новости
Показать больше