Блог

Обработка персональных данных за пределами ЕС

Технические и юридические форумы ЕС переполнены вопросами, касающимися обработки персональных данных как со стороны пользователей, так и со стороны владельцев сайтов и приложений. GDPR «в силе» уже третий год, но споры вокруг Регламента, а также толкование конкретных нюансов не утихают.

Среди прочего, жителей ЕС учат тому, что нужно предусмотреть в случае, если резидент передает свои личные данные за пределы ЕС.  Для локальных разработчиков и владельцев сайтов это – руководство к действию и направление, в котором нужно двигаться для того, чтобы привести свой ресурс в соответствие с требованиями Регламента и смело «смотреть в глаза» рынку Европы.

Личные данные ЕС должны получать те же стандарты заботы и безопасности за рубежом, что и на их родной территории. Поэтому очень важно, чтобы любой, кто хранит или перемещает данные ЕС за пределы территории, знал, как это сделать на законных основаниях.

Чего надеется достичь ЕС, ограничивая передачу данных таким образом?  

Ограничения ЕС на передачу данных гарантируют, что:
• Граждане и жители ЕС контролируют, как их данные используются, хранятся и обрабатываются
• Компании не могут воспользоваться слабым законодательством о защите данных в других экономических территориях

По сути, жители и граждане ЕС имеют право знать, где находятся их персональные данные и какие существуют меры предосторожности для их защиты. Например, предприятие не может хранить данные персональных данных ЕС в стране, где эти данные свободно передаются нежелательным компаниям без согласия владельца данных.

Суть в том, что вы не можете точно знать, какие страны защищают персональные данные в соответствии со стандартами, требуемыми соответствующими законами ЕС. Таким образом, передача персональных данных резидентов ЕС за пределы зоны действия ЕС всегда сопряжена с риском того, что данные не будут должным образом защищены. Прежде чем перемещать данные из ЕС, вы должны тщательно продумать:
• характер информации, которую вы планируете передавать
• Как вы собираетесь защищать данные после их перемещения и хранения в другом месте
• необходимо ли вообще перемещать данные

Большинство предприятий подвержены влиянию GDPR, где бы они ни находились. Если у вас есть клиенты или пользовательская база из ЕС, и вы собираете какую-либо их личную информацию - даже просто адрес электронной почты или данные аналитики файлов cookie - вы попадете под действие GDPR.

Персональные данные

GDPR в первую очередь касается персональных данных или информации, позволяющей установить личность. Очень важно знать, что мы подразумеваем под персональными данными.
GDPR определяет персональные данные в статье 4: «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъекту данных»); идентифицируемое физическое лицо - это лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на такой идентификатор, как имя, идентификационный номер, местоположение, онлайновый идентификатор или один или несколько факторов, относящихся к физической, физиологической, генетической, психической, экономической, культурной или социальной идентичности этого физического лица "

Как мы видим, это широкое определение. Персональные данные - это любая информация, которая может использоваться для идентификации кого-либо. Это может быть просто имя или адрес, или что-то конфиденциальное, например, номер социального страхования или группа крови.
Некоторые категории освобождены от правил защиты данных по юридическим причинам, например, система уголовного правосудия.

Передача данных

GDPR применяется как к обработчикам данных, так и к контроллерам данных. Важно понимать это различие, потому что процесс передачи данных запускает правила и гарантии, применяемые к передаче персональных данных в ЕС.
Контроллеры устанавливают, какие персональные данные им нужны и зачем. Например, продавец одежды собирает имена и адреса доставки, чтобы предоставить пользователю заказ.
Процессоры берут информацию, собранную контроллерами, и обрабатывают ее согласно соответствующим рекомендациям по защите данных.

Почему это различие важно?

Рассмотрим, например, британский ритейлер, который использует зарубежные серверы для размещения и хранения своей информации. Он также может использовать процессоры, такие как ИТ-фирмы и поставщики услуг, которые базируются за пределами ЕС. В тот момент, когда персональные данные обрабатываются для выезда с территории ЕС, они становятся уязвимыми и должны быть защищены гарантиями, соответствующими требованиям GDPR.
Возьмем, к примеру, ритейлера «Ladies First». Этот ритейлер базируется в ЕС. Он использует стороннюю компанию для передачи своей рассылки подписчикам. Ритейлер заключил соглашение об обработке данных с компанией, занимающейся обработкой информационных бюллетеней, чтобы обеспечить правильную обработку персональных данных с момента, когда пользователи предоставляют свою личную информацию ритейлеру.
Ритейлер или контроллер должен использовать процессор в стране с жесткими законами о защите данных. Почему? Потому что, если вы планируете передавать свои личные данные в страну за пределами ЕС, вы несете ответственность за то, чтобы это было безопасно и законно.

Третьи страны

Страны за пределами ЕС и его единой рыночной территории известны как третьи страны. Эти третьи страны должны соответствовать строгим стандартам защиты данных, если они хотят хранить, использовать или обрабатывать личные данные ЕС.
Комиссия ЕС согласилась с тем, что в некоторых странах действуют строгие законы о защите данных. Список утвержденных стран регулярно обновляется. Важно, чтобы предприятия могли передавать персональные данные ЕС на эти территории, не обращаясь за разрешением в регулирующие органы по защите данных.

Например, Twitter привлекает пользователей со всего мира. Политика Приватности включает в себя положение о том, как защищать личные данные ЕС. Платформа имеет целую страницу, посвященную ее глобальным политикам передачи данных.

Твиттер объясняет, что правила защиты данных различаются в разных странах, и, следовательно, пользователям не могут быть гарантированы одинаковые меры защиты данных. Тем не менее, в то же время, Twitter признает, что несет ответственность за надлежащую защиту любых данных, которые он передает или хранит за пределами ЕС.

Принципы GDPR

Страны, в которые вы можете передавать личные данные ЕС, поддерживают нормы GDPR в своих собственных законах о данных. Принципы GDPR сосредоточены вокруг прозрачности и контроля.
Принципы:
1. Законность, справедливость и прозрачность
2. Ограничения в отношении целей сбора, обработки и хранения
3. Минимизация данных
4. Точность данных
5. Пределы хранения данных
6. Честность и конфиденциальность

Таким образом, утвержденные страны должны продемонстрировать, что их собственные законы о данных требуют такого же стандарта приватности.

Таким образом, мы можем сказать, что можно передавать личные данные ЕС в третьи страны, при условии, что в этих странах действуют надлежащие законы о данных.
GDPR предоставляет гражданам и жителям ЕС два основных права: во-первых, право контролировать и ограничивать персональные данные, которыми они делятся, и, во-вторых, право удалять или изменять эту информацию.
Основополагающим принципом является прозрачность, и больше нельзя делиться личными данными ЕС без разбора в маркетинговых и коммерческих целях или хранить данные на уязвимом, небезопасном сервере.

Когда украинские компании думают над тем, насколько их касаются требования GDPR,  они должны помнить, что действие Регламента относится не столько к географической территории, сколько к резидентам ЕС с их персональными данными. Передавая свои данные за пределы ЕС, жители Европы имеют право знать, как эти данные будут обрабатываться, какими законами регулируется обработка на локальном уровне, и насколько веб-ресурс, где они будут размещены, соответствует требованиям европейского Регламента.

Читайте по теме:
Privacy Notice: как не испугать пользователя
Конфиденциальность и «удаленка». Что делать сотрудникам, которые отвечают за соответствие
Как создать Privacy Notice в соответствии с требованиями GDPR

Made on
Tilda