Тема транскордонної передачі даних: Що таке міжнародний захист даних?

Тема захисту даних настільки ж складна, наскільки й актуальна. Особливо, коли мова йде про передачу даних за межі федеральної території, компаніям/громадянам складно зорієнтуватися в джунглях європейських законів, угод та регламентів про захист даних.

У нашому блозі ми хочемо пролити світло на це питання і дати короткий огляд найважливіших термінів і варіантів поводження з персональними даними в міжнародному середовищі.

Регулювання захисту даних у Німеччині та ЄС

У Німеччині Основний закон гарантує кожному громадянину право приймати рішення щодо використання та розкриття своїх даних. Федеральний закон про захист даних допомагає реалізувати це основне право на інформаційне самовизначення. Закон відповідає Європейській директиві про захист даних 95/46/ЄС від 24 жовтня 1995 року, яка спрямована на забезпечення єдиного рівня захисту даних у всьому Європейському економічному просторі. З травня 2017 року вищезгадана директива буде замінена Загальним регламентом про захист даних, який також переслідує мету забезпечення єдиних стандартів захисту даних на всій території ЄС.

Оскільки в Європі діють однакові принципи захисту даних, до передачі даних з Німеччини до країн ЄС застосовуються ті ж самі вимоги, що й до внутрішньої передачі.

Передача даних до третіх країн за межами ЄС

Однак у багатьох випадках персональні дані також передаються до третіх країн, які не пов'язані правилами захисту даних, що діють в ЄС. Це створює особливу проблему для захисту даних, коли рівень захисту даних у цих третіх країнах є нижчим за рівень захисту даних, що застосовується в ЄС. Для того, щоб відповідати високим вимогам безпеки ЄС, існує кілька варіантів для компаній, які передають персональні дані з країни ЄС до так званої "небезпечної третьої країни", які коротко представлені нижче:

1. стандартні договірні умови/типові положення ЄС.

Стандартні договірні положення Комісії ЄС (також відомі як типові положення або стандартні договірні положення) слугують договірною правовою основою для передачі персональних даних з країни ЄС до третьої країни за межами Європейського економічного простору. Вони регулюють права та обов'язки сторін, що підписали договір, у сфері обробки персональних даних у розумінні Європейської директиви про захист даних (95/49/ЄС) і, таким чином, забезпечують належний рівень захисту даних. Типові положення відрізняються залежно від того, чи йдеться про обробку даних на замовлення, чи про передачу функцій. Типові положення повинні бути підписані договірними сторонами і не можуть бути доповнені або іншим чином змінені.

2 Обов'язкові корпоративні правила (BCR)

Обов'язкові корпоративні правила - це обов'язкові корпоративні політики, які встановлюють юридично обов'язкові правила обробки персональних даних у багатонаціональній групі компаній. За допомогою обов'язкових корпоративних правил можна забезпечити єдиний рівень захисту даних. Вимоги, яким повинні відповідати такі індивідуальні корпоративні правила, щоб гарантувати європейський захист даних, регулюються статтею 47 Загального регламенту ЄС про захист даних. Крім того, обов'язкові корпоративні правила групи компаній повинні бути визнані компетентним європейським органом із захисту даних для того, щоб вони були ефективними.

3 Угоди про обробку даних

Угоди про обробку даних (DPA) - це договори про обробку даних на замовлення між експортером даних та обробником даних. Вони повинні містити певні мінімальні вимоги або положення щодо прав на аудит, обробки порушень захисту даних тощо, а також бути схвалені органом захисту даних країни, з якої дані передаються до третьої країни.

4 Індивідуальна згода суб'єктів даних

Теоретично, суб'єкти даних, чиї дані знаходяться під загрозою, також можуть надати індивідуальну згоду на передачу своїх даних до третьої країни з нижчими, ніж європейські, стандартами захисту даних. Однак така згода без однієї з договірних підстав, згаданих вище, часто є нездійсненною на практиці, оскільки вона повинна надаватися індивідуально для кожного випадку обробки і може бути відкликана в будь-який час.

Екскурс у США: Privacy Shield замість Safe Harbor

З липня 2000 року рішення Європейської комісії "Безпечна гавань" (Safe Harbor) слугувало правовою основою для передачі персональних даних з Європейського Союзу до США. Однак у жовтні 2015 року воно було скасоване Судом ЄС у так званій справі Шремса. У 2016 році набула чинності Угода про захист персональних даних між ЄС та США, яка відтоді покликана забезпечити дотримання європейських стандартів безпеки при передачі даних між ЄС та США. З цією метою EU-US Privacy Shield може використовуватися для передачі персональних даних американським компаніям, які попередньо зареєструвалися та пройшли сертифікацію в Міністерстві торгівлі США.

ВИСНОВКИ

Навряд чи будь-яка компанія сьогодні може уникнути теми захисту даних. Якщо дані клієнтів, такі як контактна інформація, історія покупок тощо, повинні передаватися в країни за межами ЄС, наприклад, для обробки даних на замовлення, необхідно вжити відповідних заходів для дотримання європейських стандартів захисту даних, навіть при передачі даних в "небезпечні треті країни".

Обов'язкові корпоративні правила, угоди про обробку даних, типові положення або стандартні договірні умови описують різні способи, за допомогою яких компанії можуть регулювати дотримання вимог щодо захисту даних. Які з цих рішень підходять для відповідних компаній та їхніх процесів, необхідно вирішувати в кожному конкретному випадку. Як агентство з питань цифрової комерції, ми наголошуємо на тому, наскільки важливими є належні заходи захисту даних для захисту особистих прав клієнтів і співробітників та уникнення санкцій (наприклад, попередження на значну суму). Однак, оскільки ми не можемо і не маємо права надавати юридичні консультації, ми рекомендуємо вам звернутися за порадою до спеціалізованого юриста з питань захисту даних.