У співавторстві з Іваном Чопиком
Після рішення у справі Schrems II стало зрозуміло, що потрібно звертати більше уваги на передання даних до третіх країн. У випадку тих країн, щодо яких відсутнє рішення Європейської комісії про адекватність захисту персональних даних, стандартних договірних положень буде недостатньо. Саме тут у центрі уваги — оцінка впливу передання даних (Transfer Impact Assessment, «TIA»).
TIA стає важливим інструментом, який допомагає експортерам даних у Європейській економічній зоні (ЄЕЗ) визначити необхідні для безпечного передання даних заходи, що мають відповідати вимогам із захисту даних, установлених GDPR.
У цій статті ми проаналізуємо, що слід брати до уваги на практиці, аби закласти основу для правильної TIA.
Етап 1 — визначення факту передання персональних даних в Україну
Визначення того, як персональні дані передають в Україну, є першим кроком у комплексній ТІА.
Насамперед експортер даних у ЄЕЗ має визначити, чи насправді він передає (transfers) дані. Зокрема, природа активного передання (transmission) даних не викликає сумнівів. Деякі інші випадки можуть бути не такими очевидними. Наприклад:
Ні GDPR, ні Закон України «Про захист персональних даних» (Закон) не надають визначення переданню даних. Проте системний аналіз Закону дає змогу припустити, що передання даних відбувається лише у випадку, якщо персональні дані розкриваються для подальшої обробки особою, відмінною від суб’єкта даних. Тобто обов’язковою є наявність третьої сторони, якій володілець чи розпорядник розкриває дані.
Європейська рада із захисту даних (European Data Protection Board, EDPB) послуговується схожою логікою: якщо суб’єкт даних розкриває дані за власним бажанням, навіть володільцю за межами ЄЕЗ, це не вважатиметься переданням даних.
EDPB раніше зазначала, що віддалений доступ (remote access) до даних, розташованих на сервері в ЄЕЗ, також є переданням даних. Крім того, компанії однієї корпоративної групи можуть кваліфікуватися як різні організації, на які поширюються вимоги щодо передання даних.
З огляду на зазначене вище досить велика кількість дій з обробки дійсно може становити передання даних.
Етап 2 — визначення інструменту для передання даних в Україну
Після того, як встановлено, що має місце передання персональних даних до України, та після визначення деталей такого передання (категорії персональних даних і суб’єктів даних тощо) необхідно визначити інструмент, на підставі якого відбуватиметься передання даних.
Цей етап TIA має бути загалом простим. Експортер даних повинен переконатися, що обраний інструмент для передання даних (transfer instrument) є доцільним для запланованого передання даних.
Зважаючи на відсутність рішення про адекватність щодо України, експортер даних може використовувати один із інструментів, установлених ст. 46 GDPR, а саме:
На сьогодні SCC і BCR є двома найпопулярнішими опціями серед інструментів, використовуваних для передання даних до України. Їх ми й братимемо до уваги в межах нашої публікації.
Звернімо увагу, що експортер даних також може використовувати виняткові підстави відповідно до ст. 49 GDPR, наприклад:
Однак ці підстави не слід розглядати як довгострокове рішення, оскільки вони є особливим механізмом, доступним у досить виняткових випадках. Отже, на них не варто покладатися в разі постійного передання даних для бізнес-цілей.
Етап 3 — аналіз українського законодавства та практики його застосування
Оскільки SCC та BCR можна розглядати як належні інструменти транскордонного передання, потрібно оцінити їхню достатність для захисту даних в Україні.
У своїх нещодавніх рекомендаціях EDPB запропонувала вимогу «достатньої еквівалентності» (essential equivalence requirement), згідно з якою «захист, який надається переданим персональним даним у третій країні, має бути по суті еквівалентним тому, що гарантує GDPR в ЄЕЗ». Це допоможе визначити, чи достатньо самих лише SСC або BCR, чи їх треба поєднати з деякими додатковими механізмами. Це, мабуть, одна з найскладніших і трудомістких частин TIA.
Своєю чергою, EDPB рекомендує зосередитися на:
Аналіз законодавства
Українське законодавство, яке ґрунтується на нині скасованій Директиві 95/46/ЕС, значно відстає від сучасних тенденцій у регулюванні захисту даних. Поки нове законодавство перебуває на етапі розроблення, потрібно зосередитися на аналізі чинного законодавчого регулювання із захисту даних.
Варто наголосити, що аналіз законодавства має бути доволі комплексним. Він повинен охоплювати не лише оцінку еквівалентності захисту персональних даних, установленого українським законодавством, з одного боку, та GDPR — з іншого, а й розглядати інші, більш загальні елементи, такі як:
Як правило, експортер даних може взяти за основу для оцінки ключові сфери, які Європейська комісія та EDPB аналізують для прийняття рішення про адекватність, як це передбачено ст. 45 GDPR. До процесу оцінювання можуть також залучатися як імпортер даних в Україні, так і зовнішні радники.
Звісно, не кожне передання даних вимагає глибокого занурення в українське законодавство для цілей TIA. Проте ключові моменти мають бути достатньо висвітлені, щоб експортер даних у ЄЕЗ міг прийняти обґрунтоване рішення щодо застосування додаткових заходів (supplementary measures).
Ось деякі загальні міркування, які можна взяти до уваги під час ТІА:
Практика застосування законодавства
Варто також проаналізувати практичні аспекти захисту даних. EDPB наголошує, що під час TIA необхідно аналізувати практичну можливість доступу органів публічної влади до персональних даних, які обробляє імпортер. Зокрема, EDPB радить приділяти увагу:
У цьому сенсі Закон не передбачає жодних положень, що регулюють доступ до персональних даних у такий спосіб.
Закон установлює випадки, коли ефективна реалізація принципів мінімізації даних (data minimisation) й обмеження цілей (purpose limitation), а також заборони обробки чутливих даних (sensitive data) чи прав суб’єктів даних може бути обмежена, якщо це прямо передбачено законом та необхідно в демократичному суспільстві. Такі обмеження можуть застосовувати в інтересах:
Таке обмеження загалом відповідає конституційним виняткам щодо обробки даних.
Для оцінки впливу таких обмежень потрібно проаналізувати законодавство, яке регулює доступ до персональних даних правоохоронних й інших органів публічної влади та їхнє практичне застосування.
Чинне процесуальне законодавство передбачає можливість отримання доступу до персональних даних для:
Законодавство також визначає вичерпний перелік слідчих і негласних слідчих дій, під час проведення яких правоохоронні органи можуть отримати доступ до персональних даних.
Водночас законодавство передбачає жорсткі процесуальні механізми для проведення таких заходів (наприклад, необхідність отримання ухвали суду).
Отже, процесуальний закон установлює вимоги доступу до даних, і таке втручання можна вважати виправданим (justifiable intrusion).
Крім того, такі процесуальні заходи треба також оцінювати з позиції Європейських основних гарантій проведення негласних слідчих дій, які детально описані в Рекомендаціях EDPB 02/2020.
Незважаючи на передбачені процесуальні вимоги доступу до персональних даних, на практиці правоохоронні органи можуть подекуди порушувати їх. Такий практичний аспект також треба брати до уваги під час проведення TIA.
Міжнародні зобов’язання
Необхідно провести оцінювання міжнародних зобов’язань, які взяла на себе Україна. Такі зобов’язання можуть стосуватися як сфери захисту інформації та персональних даних, так і більш загальних питань. Низка ратифікованих міжнародних договорів у цій сфері достатньо позитивно впливатиме на оцінку даного критерію.
Висновок:
Загалом у межах TIA потрібно розглянути, як чинне законодавство та практика його застосування в Україні можуть вплинути на ефективність захисту персональних даних, що передають до України.
Цілком зрозуміло, що зараз Україна не забезпечує захисту на належному рівні відповідно до стандартів GDPR. Однак дійти такого очевидного висновку — це лише половина шляху. Належна оцінка та порівняльний аналіз мають допомогти визначити галузеві та, що важливіше, специфічні для компанії ризики під час передання даних до України. Результатом цього аналізу є визначення інструментів передання та додаткових заходів захисту, які мінімізуватимуть такі ризики.
Наприклад, якщо експортер даних у ЄЕЗ використовує контактний центр в Україні, він, можливо, має зосередитися на шифруванні приватного спілкування. Водночас інший експортер даних у ЄЕЗ, який передає в Україну медичні дані для обробки в межах аутсорсингових послуг, повинен сконцентруватися на пропорційності передання даних та організаційних заходах щодо безпеки доступу.
Попри все бажання, TIA для різних компаній (навіть в одній галузі) навряд чи можна стандартизувати. Звісно, структура TIA й загальні висновки щодо безпечності передання даних будуть подібними. Та вже на цьому етапі ми розуміємо, що самих лише інструментів передання, таких як SCC та BCR, буде недостатньо, і вони повинні бути підкріплені додатковими заходами. Але наскільки суворими вони мають бути? Саме у цьому й полягає головна мета TIA — з’ясувати, які саме додаткові заходи повинен застосувати експортер під час передання персональних даних в Україну.
У межах TIA важливо також визначити такі механізми, які заповнять прогалини недостатнього захисту, що пропонують SCC чи BCR. Залежно від обставин експортер даних має вирішити, які технічні (наприклад, шифрування, захищені сервери) й організаційні (скажімо, контроль доступу, внутрішні політики) заходи найкраще використати.
Варто також пам’ятати, що TIA не є одноразовим заходом. Компанії мають проводити регулярну оцінку достатності та релевантності обраних додаткових заходів за умови змін в організації передання даних або в правовому регулюванні країни — імпортера даних. На щастя, Україна впевнено йде до прийняття оновленого законодавства про захист персональних даних, що вочевидь виведе правові стандарти на рівень GDPR. Однак практичне застосування таких нових правил потребуватиме додаткового часу для обґрунтованої оцінки.