EDPB опубликовал новые рекомендации GDPR

EDPB принимает окончательные рекомендации по дополнительным инструментам для обеспечения передачи данных в соответствии с GDPR

21 июня 2021 года Европейский совет по защите данных EDPB опубликовал свои окончательные рекомендации по передаче персональных данных граждан ЕС в третьи страны (не входящие в Европейскую экономическую зону). В большинстве своем документ сохранил структуру черновика, выпущенного еще в ноябре 2020 года, но в него было внесено несколько значительных обновлений. О них и поговорим в сегодняшней статье.

При окончательной доработке рекомендаций, Европейский совет по защите данных учел отзывы заинтересованных сторон, полученные при проведении общественных консультаций.

В своих окончательных рекомендациях EDPB расширяет шестиступенчатый процесс, которым организации должны следовать при передаче персональных данных из Европейской экономической зоны в третью страну. Ниже мы описываем этот шестиэтапный процесс более подробно.

Шаг 1. Знайте свои пути передачи данных

Экспортеры данных должны знать свои пути передачи, записывая и отображая их. Например, когда обработчики за пределами ЕЭЗ передают личные данные субпроцессору в той же или другой третьей стране.

Шаг 2. Определите инструменты передачи, которыми пользуется Ваша компания

Экспортеры данных должны определить инструменты передачи, которые они используют. Инструменты должны соответствовать 46 статье GDPR, а исключения содержатся в 49 статье.

В своих окончательных рекомендациях EDPB подтверждает, что исключения не могут стать «правилом» на практике, но должны быть ограничены конкретными ситуациями. , Поэтому личные данные не могут передаваться в третью страну на постоянной основе в качестве “исключения”, если в стране не предусмотрен адекватный уровень защиты данных или, в качестве альтернативы, не приняты соответствующие меры безопасности.

Шаг 3. Оцените, эффективен ли инструмент передачи, на который вы полагаетесь, согласно статье 46 GDPR, с учетом всех обстоятельств передачи.

Если полагаться на инструмент передачи данных статьи 46 GDPR, экспортеры данных должны оценить, обеспечивает ли механизм необходимый уровень защиты в третьей стране. Он должен быть по существу эквивалентен уровню, гарантированному в ЕЭЗ. Вы можете провести совместную оценку с импортером данных законов и/или действующих практик в третьей стране на:

• ограничение эффективности используемого инструмента передачи; или же

• неуважении и несоблюдении сущности основных прав и свобод, признанных Хартией основных прав ЕС.

EDPB называет такие законы «проблемным законодательством». В нем подчеркивается, что экспортеры данных должны принимать во внимание конкретные обстоятельства передачи и уделять пристальное внимание:

• законам третьей страны, которые устанавливают требования к раскрытию личных данных государственным органам или предоставляют государственным органам полномочия на доступ к личным данным (например, для целей уголовного правопорядка, регулирующего надзора или целей национальной безопасности);

• практикам, действующим в третьей стране, которая приводит к эквивалентному доступу; а также

• эффективности доступных механизмов для получения физическими лицами Европейского союза судебной защиты от незаконного доступа третьего государства к персональным данным.

Примечательно, что в отличие от черновой версии, в окончательных рекомендациях указывается, что оценка может также учитывать задокументированный практический опыт импортера данных в отношении соответствующих запросов на предварительный доступ от государственных органов третьей страны. Это важная уступка со стороны EDPB.

EDPB подчеркивает, что соответствующий и задокументированный опыт импортера данных должен подтверждаться и не противоречить наличию или отсутствию запросов на доступ от других организаций в пределах норм права и отчетов независимых надзорных органов. Однако в рекомендациях также указано, что такой реальный опыт может использоваться только в качестве дополнительного источника информации для оценки, если правовая база третьей страны не запрещает импортеру данных предоставлять информацию о запросах доступа.

EDPB разъясняет в окончательной версии рекомендаций, что объем оценки должен быть ограничен законами и практикой третьих стран, которые: 

• имеют отношение к защите конкретных передаваемых данных и 

• могут повлиять на эффективное применение гарантий, содержащихся в инструменте передачи согласно статьи 46. 

Соответственно, EDPB заявляет, что экспортер данных может решить продолжить передачу, не требуя принятия дополнительных мер, если он считает, что нет оснований полагать, что соответствующее и проблемное законодательство и практика будут применяться к переданным данным и/или импортеру данных. Чтобы продемонстрировать, что это означает на практике, в рекомендации включен пример с импортером данных, подпадающим под действие Раздела 702 FISA.

Согласно этому примеру экспортер данных и импортер данных должны оценить, применяется ли Раздел 702 FISA на практике к передаче, принимая во внимание, среди прочего, следующие факторы:

• FISA запрещает импортеру данных раскрывать, что он получил (или нет) запрос от государственного органа на доступ к личным данным, или ограничивает предоставление общей информации об этом;

• импортер данных в прошлом получал запросы от государственных органов на доступ к данным, аналогичным передаваемым; а также

• общедоступная информация и отчеты надзорных органов, организаций гражданского общества и академических учреждений, указывающие на то, что импортеры данных в том же секторе, что и импортер данных, получали запросы на доступ к данным, аналогичным переданным данным в прошлом.

Если экспортер данных и импортер данных придут к выводу, что FISA применяется на практике, то на инструмент передачи можно полагаться только с дополнительными мерами, которые обеспечивают уровень защиты, практически эквивалентный тому, который гарантирован в Европейской экономической зоне. Если экспортер данных и импортер данных не могут определить такие меры, передача персональных данных в третьи страны не должна осуществляться.

В окончательной версии рекомендаций также более четко сформулированы ожидания в отношении участия импортера данных в оценке. В окончательной версии говорится, что импортер данных должен предоставить экспортеру данных соответствующие источники информации, относящиеся к законам и практике третьей страны. При этом слова «где возможно» были опущены. Однако в рекомендациях не уточняется, должны ли экспортер данных и импортер данных каждый готовить оценку или достаточно для них совместной работы над оценкой.

EDPB подчеркивает, что источники информации, которые должны приниматься во внимание при оценке, должны быть:

• релевантными (т. е. для конкретной передачи и/или импортера данных), 

• объективными (т. е. информация, которая подтверждается эмпирическими данными), 

• надежными, 

• поддающимися проверке. (т. е. позволяя органам по надзору за данными проверять надежность информации, если это необходимо), и 

• общедоступными.

Шаг 4: Принять дополнительные меры

Если оценка в соответствии с этапом 3 показывает, что инструмент передачи данных согласно статье 46 GDPR не является эффективным сам по себе, экспортеры данных должны - в сотрудничестве с импортером данных - принять дополнительные меры для обеспечения безопасной передачи персональных данных граждан ЕС в третьи страны. Эти дополнительные меры могут иметь договорный, технический или организационный характер. EDPB подчеркивает, в частности, важную роль, которую технические меры могут играть в окончательных рекомендациях, а в Приложении 2 к рекомендациям приводятся подробные примеры дополнительных мер, которые могут быть приняты в конкретных сценариях передачи.

Шаг 5: Процедурные шаги, если вы определили эффективные дополнительные меры

Экспортеры данных должны предпринять все необходимые процедурные шаги, необходимые для реализации заявленной эффективности дополнительных мер.

Шаг 6. Проводите периодическую повторную проверку безопасности путей, методов и инструментов передачи

Экспортеры данных в сотрудничестве с импортерами данных должны через соответствующие промежутки времени переоценивать события в третьей стране, в которую были переданы персональные данные. Передача данных должна быть незамедлительно приостановлена или прекращена, если импортер данных нарушил или не может выполнить обязательства, взятые на себя в соответствии со статьей 46 GDPR, или если дополнительные меры больше не действуют в третьей стране.

Заключение

Доработанные рекомендации EDPB обеспечивают ясность для компаний, проводящих свои оценки передачи, особенно в отношении включения любого практического опыта импортеров данных в получении запросов на доступ от государственных органов. Мы призываем компании рассмотреть влияние окончательных рекомендаций на их передачу данных, а также необходимость обновлений их оценок передачи или инструментов передачи.