ЄС робить подальші кроки для приведення практики передачі даних у відповідність до вимог GDPR

12 листопада 2020 року, більше ніж через два роки після набуття чинності GDPR, Європейська комісія опублікувала проєкт нових стандартних договірних положень (SCCs) для публічного обговорення. Затримка була спричинена очікуванням судового рішення у справі, широко відомої як Schrems II.

Очікується, що основними змінами у проєкті нових SCCs будуть такі:

– два додаткові варіанти передачі даних, відсутні у чинній редакції SCCs – передачі від процесора до процесора та від процесора до контролера;

– включення формулювання статті 28 GDPR щодо процесора, яке відсутнє у чинній редакції SCCs;

– зміни, обумовлені рішенням у справі Schrems II:

• нова договірна вимога щодо здійснення та фіксації оцінки законодавства країни-імпортера даних для визначення, чи SCCs забезпечують належний рівень захисту;
• якщо оцінка виявить неефективність самих лише SCCs у конкретній ситуації, експортер даних повинен застосувати допоміжні заходи;
• обов’язок імпортера даних повідомити експортера даних про запит публічних органів на доступ до імпортованих даних. Якщо таке повідомлення заборонене місцевим законодавством, імпортер повинен докласти всіх зусиль для скасування заборони;

– передача даних до та від кількох сторін (тобто передачі, що включають більше ніж одного експортера та імпортера даних).

Очікується, що нові SCCs будуть сприятливими для бізнесу та закриють усі існуючі прогалини. Сторони передачі даних зможуть використовувати чинну редакцію SCCs протягом одного року з дати набрання чинності новими SCCs.

Того ж тижня у світлі рішення у справі Schrems II Європейська рада із захисту даних (EDPB), що забезпечує послідовне застосування GDPR, опублікувала свої рекомендації щодо допоміжних заходів та схему дій для оцінки необхідності застосування таких заходів експортерами даних для ефективного захисту персональних даних відповідно до стандартів GDPR. Схема дій передбачає такі кроки.

1. Документувати та структурувати передачі даних (для експортерів даних), у тому числі щодо подальших передач, які можуть бути здійснені імпортерами даних своїм суб-процесорам. Особлива увага має приділятися міжнародній хмарній інфраструктурі, що може потенційно використовуватися для передачі даних до країн поза межами ЄЕЗ. Це має проводитися до здійснення нових/продовження здійснення існуючих передач.

2. Ідентифікувати засоби передачі, на яких ви базуєтеся, наприклад, рішення про адекватність, SCCs, зобов’язальні корпоративні правила (BCRs), кодекси поведінки або відступи (стаття 49 GDPR).

3. Якщо ви використовуєте один із засобів передачі, наведених у статті 46 GDPR, провести аналіз, чи є такий засіб передачі ефективним з точки зору місцевого законодавства та практики країни-імпортера. Оцінка має охоплювати такі особливості передачі: цілі передачі та обробки; види залучених юридичних осіб; індустрію, в якій здійснюється передача (фінтех, телекомунікації тощо); категорії та формат даних, що передаються (простий текст, псевдонімізовані дані тощо); потенційні подальші передачі та інформацію щодо того, чи будуть дані зберігатися у третій країні або до них буде лише віддалений доступ за умови їх зберігання в межах ЄС/ЄЕЗ.

4. Якщо засіб передачі не повністю ефективний, вжити допоміжних заходів додатково до засобів передачі. Такі заходи можуть бути, наприклад:

• технічними (наприклад, використання посиленої псевдонімізації, коли лише експортер даних в ЄС може здійснити повторну ідентифікацію);
• договірними (аудит експортером даних доступу публічних органів до імпортованих даних, обов’язок імпортера даних завчасно повідомити про свою неможливість виконувати свої зобов’язання за договором тощо); та/або
• організаційними (наприклад, внутрішня політика щодо обробки запиту публічних органів на доступ до даних).

5. Здійснити формальні процедури, наприклад, консультації з компетентними наглядовими органами та отримати їхнє погодження.

6. Повторна оцінка ефективності засобів передачі, у тому числі допоміжних заходів.