Изменено законодательство о персональных данных — NPLaw на vc.ru
С 1 сентября 2022 года вступает в силу Федеральный закон № 266 (за исключением отдельных положений), которым вносятся изменения в нормативно-правовые акты, регулирующие обработку персональных данных.
234 просмотров
Основные изменения:
1. Принцип экстерриториальности действия закона о персональных данных
Федеральный закон № 152-ФЗ «О персональных данных» подлежит применению к обработке персональных данных граждан РФ, осуществляемой иностранными юридическими или физическими лицами:
- на основании договора, стороной которого являются граждане РФ, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами РФ; либо
- на основании согласия гражданина РФ на обработку персональных данных.
Таким образом, иностранные лица обязаны соблюдать положение Закона № 152-ФЗ при обработке персональных данных. Ранее применение Закона №152-ФЗ к иностранным лицам, не имеющим на территории РФ физического присутствия, носило ограниченный характер и основывалось на критериях направленности.
2. Новые правила трансграничной передачи персональных данных
До 1 марта 2023 года сохранится порядок передачи ПД. В государства, не обеспечивающие адекватную защиту прав субъектов ПД, передача ПД возможна в пяти случаях, указанных в Законе №152-ФЗ. Однако в страны, которые обеспечивают адекватную защиту ПД, наличие специальных оснований для передачи не требуется.
С 1 марта 2023 года будет операторы будут обязаны направлять уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу ПД. При этом в зависимости от того, обеспечивает иностранное государство адекватную защиту прав субъектов ПД или нет, будет зависеть характер данного уведомления. Так, условно можно выделить два режима уведомлений:
- Уведомительный режим. Он действует при передаче персональных данных в государства, обеспечивающие адекватную защиту прав субъектов ПД. В уведомлении указываются сведения о мерах защиты, принимаемых получателем, условия прекращения обработки персональных данных, а также сведения о лице, которому планируется передача персональных данных. После направления уведомления в РКН оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до принятия решения РКН о запрещении или об ограничении трансграничной передачи персональных данных. В случае принятия решения оператор обязан уничтожить персональные данные или обеспечить их уничтожение.
- Разрешительный режим. Он действует при передаче персональных данных в государства, не обеспечивающие адекватную защиту прав субъектов ПД.В уведомлении указываются сведения о мерах защиты, принимаемых получателем, и условиях прекращения обработки персональных данных, сведения о лице, которому планируется передача, информация о правовом регулировании персональных данных в стране. После направления уведомления в РКН оператор не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении государств до получения решения РКН.
Уведомление можно подать как в бумажном, так и в электронном виде. В уведомление указываются:
- Сведения об операторе, а также дата и номер уведомления, предусмотренного ст. 22 Закона 152-ФЗ;
- Сведения о лице, ответственном за организацию обработки персональных данных;
- Основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных ПД;
- Категории и перечень передаваемых персональных данных;
- Перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
- Дата проведения оператором оценки соблюдения получателями персональных данных конфиденциальности и обеспечения безопасности при их обработке.
3. Введены дополнительные обязанности у лиц, осуществляющих обработку персональных данных по поручению оператора, а также у операторов
Лица, осуществляющие обработку персональных данных по поручению оператора теперь обязаны будут предпринимать меры, направленные на обеспечение выполнения обязанностей, установленных в Законе 152-ФЗ.
Операторы персональных данных обязаны уведомлять РКН о компьютерных инцидентах, повлекших нарушение прав субъектов персональных данных. Данная обязанность возникает с момента выявления компьютерного инцидента и предполагает направление двух уведомлений в РКН:
- в течение 24 часов направляется уведомление с информацией об инциденте. В уведомлении указываются сведения: об инциденте, о предполагаемых причинах, о предполагаемом вреде, о мерах, принятых для устранения последствий.
- в течение 72 часов – о результатах внутреннего расследования инцидента, о лицах, действия которых стали причиной инцидента.
Оператор персональных данных должен будет провести внутреннее расследование компьютерного инцидента в течение трех суток с момента его выявления.
4. Операторы будут обязаны обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Р (ГосСОПКА), включая информирование о компьютерных инцидентах, которые повлекли неправомерную передачу персональных данных
В рамках взаимодействия с ГосСОПКА оператор персональных данных обязан уведомлять ФСБ о компьютерных инцидентах, которые произошли в результате неправомерных действий.
5. Сокращены сроки на исполнение запросов РКН
Срок на исполнение запросов РКН будет сокращен с 30 до 10 рабочих дней с даты их получения. Срок может быть продлен на основании мотивированного уведомления оператора не более чем на 5 рабочих дней.
6. Документы, определяющие политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, теперь должны определять для каждой цели обработки:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов персональных данных; способы, сроки обработки и хранения персональных данных;
- порядок уничтожение персональных данных при достижении целей обработки или при наступлении иных законных оснований.
Если сбор персональных данных осуществляется с использованием сети Интернет, то политика должна быть опубликована на соответствующих страницах сайта, на которых происходит сбор персональных данных.
7. Конкретизированы критерии, предъявляемые к согласию субъекта на обработку персональных данных
В настоящий момент закон определяет действительность согласия субъекта ПД наличием следующих критериев, предъявляемых к согласию – оно должно быть информированным, конкретным, сознательным.
Новый закон устанавливает, что согласие должно быть также предметным и однозначным. Данные критерии являются оценочными, их содержание в законе не раскрывается.
8. Иностранные физические или юридические лица, осуществляющие обработку персональных граждан РФ по поручению оператора, будут нести ответственность перед субъектами наряду с оператором.
[email protected]
Принят закон, усиливающий контроль за оборотом персональных данных
Один из экспертов отметил, что законодательство целенаправленно движется в сторону ужесточения контроля за персональными данными, что вызвано объективными причинами – постоянными утечками, а также внешнеполитической ситуацией.
Госдума приняла закон (законопроект № 101234-8), вносящий изменения в Закон о персональных данных и иные законодательные акты РФ с целью совершенствования правовой защищенности субъектов персональных данных, а также усиления госконтроля в указанной сфере. Поправками введена обязанность операторов незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти.
Так, в случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан в течение суток с момента выявления такого инцидента уведомить о нем уполномоченный орган. Помимо этого, оператор обязан в течение трех суток уведомить о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента. Также вводится обязанность операторов обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Законом втрое (с 30 до 10 дней) сокращены сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
Читайте также
Предлагается распространить обязанность по обезличиванию персональных данных на всех их операторов
Минкомсвязи подготовило поправки по утверждению требований и по обработке персональных данных их операторами, не являющимися госорганами, и установлению ответственности за неисполнение таких требований
31 Августа 2018 Новости
Устанавливается прямой запрет операторам на отказ гражданам в оказании услуг при отказе предоставить свои персональные данные (в том числе биометрические), если такое предоставление не является обязательным. На операторов также возлагается обязанность прекратить дальнейшую обработку персональных данных по требованию их владельца в 30-дневный срок. Одновременно вводится ограничение на обработку биометрических персональных данных несовершеннолетних.
Закон изменяет порядок трансграничной передачи персональных данных. Уточняется, что при трансграничной передаче данных определяющим является не организационно-правовая форма получателя, а его нахождение на территории иностранного государства. Теперь операторы обязаны информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных. В исключительных случаях, при наличии угроз для обороны, безопасности и основ конституционного строя, такая передача может быть ограничена по решению уполномоченного органа власти. Поправки вводят экстерриториальность применения российского законодательства о персональных данных. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Наряду с этим изменения вносятся и в Закон о государственной регистрации недвижимости. Устанавливается, что персональные данные, содержащиеся в ЕГРН, могут быть предоставлены третьим лицам только с согласия физического лица – субъекта таких данных. Для этого в ЕГРН вносится соответствующая запись на основании заявления физического лица, за которым в ЕГРН зарегистрировано право, ограничение прав или обременение на объект недвижимости, а также при внесении соответствующей отметки в заявление о государственной регистрации права. В отсутствие указанной записи сведения из ЕГРН могут быть предоставлены только по запросу нотариуса, действующему на основании письменного заявления заинтересованного лица в целях защиты его прав и законных интересов. К таким обстоятельствам, в частности, могут относиться: наличие договора, стороной которого являются заявитель и правообладатель, причинение ущерба личности или имуществу заявителя, наличие оснований для предъявления заявителем вещного иска к правообладателю и др. В связи с этим корреспондирующие изменения также вносятся в Основы законодательства РФ о нотариате.
Авторы поправок считают, что изменения устраняют существующую правовую коллизию, когда операторы, с одной стороны, обязаны не раскрывать третьим лицам персональные данные без согласия их правообладателя, но, с другой, выдача персональных данных из ЕГРН осуществляется без каких-либо ограничений. В пояснительной записке отмечается, что в настоящее время проблема защищенности персональных данных от несанкционированного доступа неограниченного круга лиц имеет чрезвычайно высокую актуальность. Анализ инцидентов последних лет, когда персональные данные граждан массово попадали в открытый доступ, свидетельствует о недостаточности существующих законодательных механизмов в этом вопросе, указали инициаторы законодательной инициативы.
Они также подчеркнули, что широкое распространение получили сервисы в сети «Интернет», занимающиеся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиаперелеты и железнодорожные переезды и т. п.). «Особую тревогу в текущих условиях вызывает сбор персональных данных в целях идентификации военнослужащих и сотрудников правоохранительных органов (т.н. “деанонимизация”), что впрямую угрожает жизни и личной безопасности их самих, а также их родных. Это вдвойне опасно, учитывая, что действующее законодательство никак не ограничивает выдачу сведений третьим лицам о принадлежащих гражданам объектах недвижимости, включая адреса их мест проживания. В то же время сведения о принадлежащей гражданам недвижимости также являются персональными данными и нуждаются в соответствующей защищенности», – отмечается в пояснительной записке.
Авторы поправок обратили внимание, что подобные нелегальные сервисы преимущественно размещаются в иностранном сегменте Интернета, на который не распространяются требования российского законодательства в сфере персональных данных. При этом действующим законодательством практически не регулируется трансграничная передача персональных данных, что также создает существенную угрозу в условиях текущей внешнеполитической ситуации. По мнению разработчиков, закон позволит повысить уровень защищенности персональных данных российских граждан, обеспечивая конституционное право на неприкосновенность частной жизни.
Читайте также
Цена утечки персональных данных
Защита информации ограниченного доступа требует комплексного подхода
06 Октября 2020 Мнения
Комментируя принятый закон, партнер юридической фирмы «Гареев, Махно и Касьян» Марсель Гареев отметил, что законодательство целенаправленно движется в сторону ужесточения контроля за персональными данными, что вызвано объективными причинами – постоянными утечками, а также внешнеполитической ситуацией. Он подчеркнул, что принятые поправки направлены на расширение круга операторов персональных данных, которые обязаны подать уведомление об обработке персональных данных в Роскомнадзор, а также они направлены на усиление контроля за трансграничной передачей персональных данных. «Вопрос только в том, как все это будет реализовано на практике. Есть определенные опасения. Так, проблемы могут возникнуть на стадии получения у иностранных операторов требуемой законом информации. Например, при запросе о том, какие меры защиты персональных данных применяются иностранной компанией», – заметил эксперт.
Также неоднозначным, по мнению Марселя Гареева, является новое ограничение по поводы выписок из ЕГРН. Эксперт считает, что теперь трудно будет получить информацию о собственниках недвижимости. «На мой взгляд, это существенно усложняет процедуру проверки объекта недвижимости при подготовке к ее покупке, а также создает дополнительную нагрузку на нотариат, которому дали возможность запрашивать данные собственника», – заключил он.
Старший юрист юридической фирмы Versus.legal Иван Кайсаров указал, что поправки направлены преимущественно на два аспекта: на уточнение отдельных положений, которые ранее не были прямо указаны, а выводились правоприменительной практикой или путем системного толкования различных положений закона, а также на усиление контроля за оборотом персональных данных, что должно обеспечить более высокую защиту субъектов персональных данных. «Если говорить о первом аспекте в части уточнения ранее действующих положений, то можно охарактеризовать вносимые изменения позитивно, так как субъекту персональных данных будет проще защищать свои права самостоятельно, не обладая юридическими знаниями, а путем прямой ссылки на положения закона», – полагает эксперт.
Иван Кайсаров отметил, что, согласно поправкам, оператор не вправе отказывать в обслуживании физическому лицу в случае его отказа предоставить биометрические персональные данные или дать согласие на обработку персональных данных, если получение оператором согласия на их обработку не является обязательным. Он заметил, что ранее на практике операторы периодически перестраховывались и даже при наличии возможности обрабатывать персональные данные без отдельного согласия физического лица, а в силу других оснований все равно требовали подписать согласие, а в некоторых случаях отказывали в услугах или иных благах, за которыми обращался клиент. «Теперь можно надеяться, что такая негативная практика со стороны операторов будет минимизирована», – прокомментировал он.
Иван Кайсаров указал, что усиление контроля за оборотом персональных данных, с одной стороны, позволяет больше защищать персональные данные физических лиц и контролировать законную обработку их данных, а с другой – накладывает дополнительные обязанности на бизнес, который должен потратить дополнительные ресурсы на соблюдение данных положений. Кроме того, в некоторых случаях это может немного замедлять определенные бизнес-процессы, уточнил эксперт. «В частности, введено требование о направлении отдельного уведомления перед началом трансграничной передачи для оператора. Выходит, что помимо подачи уведомления о начале обработки персональных данных нужно будет подавать еще дополнительное уведомление в Роскомнадзор в случае трансграничной передачи. Более того, перед подачей такого уведомления оператор должен будет запросить определенные сведения от иностранного лица, которому он передает сведения, например сведения о принимаемых таким лицом мерах по защите передаваемых персональных данных и об условиях прекращения их обработки», – разъяснил эксперт.
Он считает разумным введение требования об уведомлении Роскомнадзора в течение суток о несанкционированной утечке персональных данных и требования об оценке принимаемых иностранной стороной мер перед получением ей персональных данных. Однако аналогичное требование об отдельном уведомлении в части трансграничной передачи, по мнению Ивана Кайсарова, выглядит излишним. «Представляется, что при необходимости получать Роскомнадзору больше сведений о трансграничной передаче можно было бы добавить определенные графы в уведомление, которое подается перед началом общей обработки персональных данных, чтобы не увеличивать количество документов. Также можно было бы сделать какие-то более существенные послабления, если передача персональных данных происходит на территории стран, которые обеспечивают достаточный уровень их защиты, например стран, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», – размышляет эксперт.
Адвокат АА МГКА «Власова и партнеры» Людмила Космовская отметила, что законодатель предпринял попытку заставить иностранных операторов персональных данных внести сведения о себе в реестр Роскомнадзора и исполнять закон наравне с российскими операторами: «Представляется, что в текущей внешнеполитической обстановке, в отсутствие реально работающих межгосударственных соглашений РФ о правовой помощи принцип экстерриториальности может остаться лишь на бумаге».
Она обратила внимание, что поправками полностью переписаны законоположения о трансграничной передаче персональных данных. На операторов возложены новые обязанности – до начала трансграничной передачи данных сообщить об этом в Роскомнадзор отдельным уведомлением (если оператор уже передает данные за границу – уведомление должно быть направлено до 1 марта 2023 г.), а также провести оценку соответствия мер по защите персональных данных, принимаемых в иностранных государствах, пояснила Людмила Космовская.
Адвокат подчеркнула, что, согласно закону, сведения для проведения оценки оператору должны предоставить иностранные лица, в адрес которых осуществляется трансграничная передача данных. «Каким образом российские операторы должны проводить саму оценку, какими документами подтверждать свои выводы, в законе не говорится. При этом до принятия Роскомнадзором решения по уведомлению оператора трансграничная передача данных разрешена только в страны, обеспечивающие адекватную защиту персональных данных (список этих стран утверждается Роскомнадзором)», – отметила она.
Относительно предоставления Роскомнадзору права запрещать операторам любую трансграничную передачу данных по представлениям уполномоченных органов эксперт считает, что в случае такого запрета оператор обязан обеспечить уничтожение переданных ранее данных иностранным лицом, однако каким образом, остается открытым. «В целом изменения существенно усложнят работу всем операторам, имеющим иностранных контрагентов, а также самому Роскомнадзору, которому придется проверять тысячи новых уведомлений о трансграничной передаче данных, что может буквально парализовать работу регулятора», – прокомментировала Людмила Космовская.
Кроме того, она заметила, что изменения, устанавливающие новые обязанности операторов по взаимодействию с Роскомнадзором, обязывают всех операторов подключиться к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак. Это, по мнению Людмилы Космовской, повлечет для них дополнительные затраты на приобретение оборудования и специализированного ПО: «Внедрение новелл потребует от операторов переделать значительное количество локальных документов в сфере персональных данных (согласий, поручений, политик, положений и др.), а также перестройки части внутренних бизнес-процессов, связанных с обработкой персональных данных».
Что такое передача персональных данных и когда будут применяться обязательства по главе V?
18 ноября Европейский совет по защите данных принял проект руководства 05/2021 о взаимодействии между применением статьи 3 и положениями о международных передачах в соответствии с главой V Общего регламента ЕС по защите данных. Проект руководящих принципов открыт для общественного обсуждения до конца января.
GDPR регулирует передачу данных: Но что такое передача?Глава V GDPR устанавливает правила передачи персональных данных в третьи страны или международные организации. Однако GDPR не содержит определения «передачи». EDPB предлагает три кумулятивных критерия для передачи:
- Контролер или обработчик подпадает под действие GDPR для соответствующего акта обработки.
- Этот контролер или обработчик («экспортер») раскрывает эти персональные данные, передавая их или иным образом делая их доступными другому контролеру, совместному контролеру или обработчику («импортер»).
- Импортер находится в третьей стране или является международной организацией. Это верно независимо от того, применим ли GDPR к обработке персональных данных импортером.
Организации, работающие в Великобритании, могут быть знакомы с концепцией «пузыря GDPR (теперь GDPR Великобритании)». Управление Комиссара по информации Великобритании предполагает, что если GDPR Великобритании применим к организации на экстерриториальной основе, то передача персональных данных в эту организацию не является «ограниченной передачей» — даже если организации физически находятся за пределами Великобритании, они все еще находятся в пределах пузырь британского GDPR.
EDPB сдувает пузырь GDPR. В нем указывается, что в этой ситуации все еще существует риск того, что «защита, обеспечиваемая GDPR, будет подорвана другим законодательством, под которое подпадает импортер. Это может быть, например, случай, когда третья страна имеет правила о доступе правительства к персональным данным. которые выходят за рамки того, что необходимо и пропорционально в демократическом обществе…» (пункт 3). Соответственно, раскрытие персональных данных импортеру, к которому GDPR применяется на экстерриториальной основе, по-прежнему должно рассматриваться как передача данных. Дальнейшее раскрытие персональных данных этим импортером другим контролерам или обработчикам в третьих странах также будет равносильно передаче — и должно соответствовать условиям главы V GDPR.
Как обеспечить надлежащие гарантии при передаче персональных данных импортеру, непосредственно подпадающему под действие GDPR?Многим организациям необходимо передавать персональные данные контролерам или обработчикам в третьих странах, когда нет решения об адекватности, и к передаче не применяются отступления. Эти организации должны использовать «инструмент передачи», указанный в статье 46 GDPR. Основным инструментом передачи данных является использование стандартных договорных условий. EDPB отмечает, что в этом сценарии это будет означать использование инструмента передачи, «в настоящее время … доступного только в теории». Это связано с тем, что статья 1 Исполнительного решения Комиссии 2021/914 (т. е. решение о принятии новых СУК) говорится, что пункты обеспечивают надлежащую защиту при передаче персональных данных контролеру или (суб)обработчику, обработка данных которого не подпадает под действие GDPR. В EDPB отмечают, что готовы сотрудничать в разработке инструментов перевода, которые можно использовать в этой ситуации. В нем также подчеркивается, что эти инструменты должны избегать дублирования обязательств GDPR, которые уже применимы к импортеру, и вместо этого должны быть направлены на решение проблем, связанных с противоречащими национальными законами и/или правами доступа правительства в третьей стране.
Прямое раскрытие субъектом данных зарубежному контролеру или обработчику — без передачи не «трансфер». Это связано с тем, что передача имеет , которые должны быть выполнены одним контроллером или процессором на другой контроллер или процессор. Если субъект данных делает данные доступными, это не так. В проекте руководящих принципов используется пример потребителя в Италии, который заказывает товары онлайн на веб-сайте розничного продавца в Сингапуре. Для танго и осуществления передачи нужны двоеВ проекте руководства также указывается, что концепция передачи применима только к раскрытию информации между двумя разными отдельными сторонами, каждая из которых является контролером, совместным контролером или обработчиком: импортер должен отличаться от экспортера. EDPB приводит пример сотрудника польской компании, который едет в Индию на встречу и получает удаленный доступ к системам компании, находясь в Индии. В проекте руководящих указаний отмечается, что сотрудник является не другим контролером, а неотъемлемой частью контролера, поэтому это не перевод.
В проекте руководства отмечается, что раскрытие персональных данных между членами корпоративной группы часто будет равнозначно передаче, поскольку будут отдельные контролеры — например, в случае дочерней и материнской компаний. В проектах руководящих принципов не рассматриваются филиалы, которые не имеют отдельных юридических лиц. Однако, следуя логике, описанной выше, казалось бы, раскрытие данных филиалом головному офису не может быть приравнено к «переводу».
Когда что-то не квалифицируется как передача в третью страну, но все же связано с передачей персональных данных за границу, EDPB подчеркивает, поскольку обработка все еще может быть связана с рисками из-за противоречивых законов или доступа правительства, контролер должен оставаться подотчетным. для его обработки и должен соблюдать другие свои обязательства в соответствии с GDPR.
В проекте руководства отмечается, что EDPB готов сотрудничать в области инструментов передачи для использования с организациями, к которым GDPR применяется в соответствии со статьей 3(2). Статья 3(2) применяет GDPR на экстерриториальной основе, когда персональные данные обрабатываются контролером или обработчиком, не зарегистрированным в ЕС, когда очевидно, что контролер или обработчик намеревается предлагать товары или услуги субъектам данных в ЕС или осуществляет мониторинг поведение субъектов данных в ЕС.
Как насчет статьи 3(1) и экстерриториального охвата?Однако статья 3(2) — не единственный способ, которым GDPR может иметь экстерриториальное действие. GDPR также может применяться на экстерриториальной основе к обработке контролером или процессором за пределами ЕС, который обрабатывает персональные данные в контексте деятельности учреждения в ЕС в соответствии со статьей 3(1). Это принцип, установленный Судом Европейского Союза в решении по делу Google в Испании. EDPB также повторяет это в своих рекомендациях 3_2018 по территориальному охвату и использует следующий пример.
«Веб-сайт электронной коммерции управляется компанией, базирующейся в Китае. Деятельность компании по обработке персональных данных осуществляется исключительно в Китае. Китайская компания открыла европейский офис в Берлине, чтобы вести и осуществлять коммерческую разведку. и маркетинговые кампании на рынках ЕС.В этом случае можно считать, что деятельность европейского офиса в Берлине неразрывно связана с обработкой персональных данных, осуществляемой китайским веб-сайтом электронной коммерции, поскольку коммерческая разведка и маркетинг Кампания на рынки ЕС, в частности, служит тому, чтобы сделать услуги, предлагаемые веб-сайтом электронной коммерции, прибыльными.Обработка персональных данных китайской компанией в отношении продаж в ЕС действительно неразрывно связана с деятельностью европейского офиса в Берлине, касающейся коммерческой разведки. и маркетинговая кампания на рынке ЕС.Обработка персональных данных китайской компанией в связи с ЕС элей, таким образом, можно считать осуществляемыми в контексте деятельности европейского офиса как предприятия в Союзе. Таким образом, эта деятельность китайской компании по обработке данных будет регулироваться положениями GDPR в соответствии со статьей 3(1)».
Давайте немного изменим факты, чтобы берлинский офис также выполнял некоторую обработку, а затем персональные данные передавались в Китай. Допустим также, что берлинский офис является дочерней компанией китайской материнской компании. Согласно трем критериям EDPB, это будет передача персональных данных. Однако GDPR будет применяться к обработке китайской материнской компанией в соответствии со статьей 3 (1), что означает, что SCC не могут быть использованы. Как EDPB в проекте руководства, так и Европейская комиссия на Конгрессе по защите данных IAPP 2021 года упоминают о работе над инструментами передачи для решения вопросов передачи организациям, к которым GDPR применим в соответствии со статьей 3(2). Перефразируя Оскара Уайльда, «утрата одной формы экстерриториального применения GDPR может рассматриваться как несчастье; потеря обеих выглядит как небрежность». Будем надеяться, что эти инструменты также учитывают экстерриториальное воздействие статьи 3(1) на импортера; в противном случае экспортеры данных все равно останутся с передачей, для которой доступны только теоретические решения. Будем также надеяться, что эти новые инструменты охватывают обе статьи 3(1) и 3(2) в одном и том же документе: было бы очень сложно иметь три разных набора СУК.
Фото Келли Сиккема на Unsplash
Третьи страны — Общий регламент по защите данных (GDPR)
Учитывая международную торговлю и сотрудничество, в наши дни очень важно иметь возможность также передавать данные в третьи страны. Проверка правомерности такой передачи проводится в два этапа.
Во-первых, сама передача данных должна быть законной. Любая обработка персональных данных запрещена, но при условии возможности авторизации. Помимо согласия, ст. 6 Общего регламента по защите данных (GDPR) изложены дополнительные причины разрешения, такие как выполнение контракта или защита жизненно важных интересов. Для специальных персональных данных, требующих более высокого уровня защиты, ст. 9GDPR содержит отдельные юридические требования.
Если предполагаемая передача данных соответствует общим требованиям, на втором этапе необходимо проверить, разрешена ли передача в третью страну. Необходимо различать безопасные и небезопасные третьи страны. Безопасные третьи страны — это страны, для которых Европейская комиссия подтвердила соответствующий уровень защиты данных на основании решения об адекватности. В этих странах национальные законы обеспечивают уровень защиты персональных данных, сравнимый с законодательством ЕС. Третьи страны, которые обеспечивают адекватный уровень защиты: Андорра, Аргентина, Канада (только коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, Джерси, Новая Зеландия, Швейцария, Уругвай, Япония, Великобритания и Юг. Корея. Передача данных в эти страны прямо разрешена.
Постановлением «Schrems II» от 16 июля 2020 г. (по делу C-311/18) Европейский суд объявил Исполнительное решение Комиссии (ЕС) 2016/1250 от 12 июля 2016 г. в соответствии с Директивой 95/46/ EC Европейского парламента и Совета по адекватности защиты данных ЕС-США (Privacy Shield) недействительным с немедленным вступлением в силу. Поэтому передача данных в США не может основываться на Privacy Shield. Передача данных в США требует других гарантий, согласно ст. 44 и след. GDPR, чтобы создать надлежащий уровень защиты данных.
Если для страны нет решения об адекватности, это не обязательно запрещает любую передачу данных в эту страну. Скорее, контролер должен другим способом обеспечить достаточную защиту персональных данных получателем. Это может быть обеспечено с помощью стандартных договорных положений для передачи данных внутри Группы с помощью так называемых «обязательных корпоративных правил», посредством обязательства соблюдать кодексы поведения, которые были объявлены Европейской комиссией как общеприменимые, или сертификация процедуры обработки данных.
Кроме того, существует несколько исключений, которые узаконивают передачу данных в третью страну, даже если защита персональных данных не может быть обеспечена в достаточной мере. Чаще всего здесь имеет значение согласие субъекта данных. При этом особо следует отметить требования к тому, чтобы такое согласие было дано свободно. Другие исключения, такие как передача для выполнения контрактов, важные причины, представляющие общественный интерес, и отстаивание законных прав, как правило, менее актуальны на практике.