Чому Україна на шляху до стандартів недоторканності даних ЄС стикається з перешкодами (російською мовою)

Украинский орган по защите данных (data protection authority, DPA) не утруждал себя уточнением каких-либо вопросов относительно трансграничной передачи персональных данных для украинского бизнеса

Текущий закон о защите персональных данных (Закон) основан в целом на Директиве 95/46/EC, утратившей силу после принятия GDPR. Он не был разработан для удовлетворения новых реалий мира, которым правят данные. Поэтому предусмотренные Законом механизмы обработки и защиты персональных данных признаны устаревшими и требуют значительных изменений.

Это стало целью законопроекта о защите персональных данных (Законопроект), поданного в парламент пару недель назад. Над его созданием работали в течение нескольких лет, и поэтому Законопроект претерпел множество изменений. Его принятие является одним из обязательств Украины по Соглашению об ассоциации между ЕС и Украиной. И хотя все сроки для проведения реформы в сфере приватности прошли, лучше поздно, чем никогда.

Мы бы хотели познакомить бизнес с основными изменениями, которые ожидаются в связи с Законопроектом. Он, вероятно, будет меняться еще много раз до его принятия и вступления в силу (которое ожидается в 2023 году). Однако базовые принципы и концепции, успешно внедренные в ЕС и заимствованные национальными законодателями, с большой долей вероятности останутся.

Правовые основания для трансграничной передачи

Действующие правовые основания для трансграничной передачи персональных данных, предусмотренные Законом, хоть и скопированы со старой Директивы ЕС, являются недостаточно понятными для среднестатистического бизнеса. Украинский орган по защите данных (data protection authority, DPA) не утруждал себя уточнением каких-либо вопросов относительно трансграничной передачи персональных данных для украинского бизнеса.

Поэтому самым безопасным и распространенным подходом стало получение согласия от субъектов данных для любого действия по обработке, в том числе для передачи персональных данных за пределы Украины. И пока осведомленность субъектов данных в Украине о своих правах оставалась низкой, такой подход достаточно хорошо срабатывал.

Для передачи в страны без адекватного уровня защиты персональных данных, кроме существующих правовых оснований (таких как однозначное согласие, выполнение договора, жизненно важные интересы и пр.), которые являются по своей природе исключительными и носят ситуативный характер, Законопроект предлагает более универсальные механизмы:

  • обязательные юридические акты, регулирующие отношения между субъектами властных полномочий;
  • обязательные корпоративные правила (binding corporate rules, BCR);
  • утвержденный кодекс поведения (Code of Conduct);
  • утвержденный механизм сертификации вместе с обязательствами контроллера или оператора в третьей стране, которые подлежат обязательному исполнению, относительно принятия надлежащих гарантий, в том числе в части прав субъектов данных;
  • стандартные условия защиты персональных данных, утвержденные украинским DPA.

Все вышеперечисленные инструменты, кроме первого, могут использоваться частным бизнесом.

Кодекс поведения может быть разработан и использоваться для конкретного сектора/индустрии или группы предприятий и отражает специфические правила и руководства по защите персональных данных, которые объясняются положениями Законопроекта и помогают организовать действия по обработке на практике.

Малый и средний бизнес (МСБ) больше остальных выигрывает от таких кодексов, поскольку в конкретном секторе (например, здравоохранение) компании осуществляют схожие действия по обработке персональных данных, а у большинства МСБ нет достаточных ресурсов для проведения полномасштабного аудита приватности для определения своих действий по обработке персональных данных и необходимых мер безопасности.

Учитывая недостаточный уровень самоорганизации МСБ и единых организаций, которые бы объединяли весь МСБ в определенной индустрии, использование кодексов поведения на данном этапе может звучать нереалистично. Кроме того, использование кодексов поведения требует контроля за членами таких организаций относительно выполнения ими правил, предусмотренных кодексами.

Другой новый механизм, внедряемый Законопроектом, — это обязательные корпоративные правила (binding corporate rules, BCR). Это полезный инструмент, который может применяться большими компаниями с многочисленными дочерними предприятиями в разных странах для унификации стандартов защиты данных и приведения их в соответствие с применимыми законами и лучшими практиками.

После вступления в силу GDPR только 7 корпорациям утвердили их BCR и только 2 ассоциации получили проект решения EDPB касательно их кодексов поведения. Это связано с тем, что разработка подобных документов должна соответствовать руководствам EDPB. Кроме того, это также подтверждает, что процесс утверждения не является формальным, а органы действительно анализируют документы и оценивают их практическую эффективность.

И кодексы поведения, и BCR украинских компаний потребуют утверждения украинским DPA. Последний также должен будет разработать руководства, аналогичные руководствам EDPB, которые позволят украинским компаниям лучше понять природу обоих документов. Учитывая недостаток практического опыта, ожидаемого к созданию нового украинского DPA, анализ и утверждение первых разработанных кодексов и BCR может потребовать много времени.

Механизм сертификации позволит компаниям получить сертификацию от украинского DPA/аккредитованных учреждений, подтверждающую соответствие действий по обработке и защите персональных данных требованиям Законопроекта.

Этот механизм является самым отдаленным во времени. Для его реализации украинскому DPA необходимо сначала принять процедуру сертификации и аккредитации сертификационных учреждений, аккредитовать последних, и только после этого такой механизм станет доступным к применению.

Последняя доступная опция для трансграничной передачи персональных данных недостаточно четко прописана в Законопроекте. Сравнивая положения Законопроекта с положениями GDPR, можно предположить, что законодатели имели в виду стандартные договорные положения, которые являются самым распространенным правовым основанием для международной передачи персональных данных в ЕС. Однако на данном этапе тяжело оценить, что имелось в виду под этим положением.

Дополнительный механизм предоставления статуса адекватности отдельным странам позволит украинскому DPA оценивать уровень защиты персональных данных третьих стран и то, соответствует ли он стандартам Законопроекта. Этот механизм схож с тем, который использует Европейская комиссия.

Процесс предоставления статуса адекватности обычно занимает несколько лет. Учитывая, что подобные полномочия предоставлялись Законом и правительству, которое не проанализировало режим защиты персональных данных ни одной страны за более чем 10 лет, этот механизм потребует значительных усилий от нового украинского DPA.

Также сомнительно, что третьи страны будут проходить бюрократическую процедуру получения статуса «безопасной» с точки зрения защиты персональных данных в стране по украинскому праву.

В процессе разработки Законопроекта предлагалось автоматическое предоставление статуса адекватности тем странам, которые получили решение об адекватности от Европейской комиссии. Однако такое предложение не было отображено в Законопроекте.

Почему это касается (практически) всех

Если вы думаете, что трансграничная передача персональных данных имеет место только в крупных корпорациях с офисами по всему миру, вынуждены вас разочаровать. К примеру, если вы контроллер персональных данных и храните их в облачных хранилищах (которые обычно размещаются за пределами Украины, например, OneDrive, DropBox, GoogleDrive), такое хранение уже будет считаться обработкой персональных данных за пределами Украины. И вы будете нести ответственность за обеспечение наличия должного правового основания для такого хранения персональных данных на облаке. В противном случае, на вас потенциально можно наложить штраф в размере до 300 000 грн для физических лиц или до 5 % общего годового оборота, но не менее 300 000 гривен для юридических лиц.

 

Подібні публікації

07 Лютого 2023

Публікації

Потрібні на економічному фронті: хто може бронювати працівників від мобілізації
07 Лютого 2023

Публікації

Відстрочка від мобілізації. Що змінюється в правилах бронювання співробітників
30 Січня 2023

Публікації

Понад 173 млн грн відшкодування вже присудили рф українські суди
Cookies повідомлення

Ми використовуємо дані cookie, щоб аналізувати поведінку відвідувачів
нашого сайту та покращувати його. Використовуючи наш сайт, ви даєте згоду на дані cookie відповідно до нашої Cookie Policy.