Європейський Загальний регламент захисту даних (далі – GDPR), який замінить попередню Директиву 95/46/ЄС та почне застосовуватися з 25.05.2018 р., вже встиг привернути до себе увагу українського бізнесу, що працює з персональними даними європейців. Передбачений ним екстратериторіальний принцип дії змушує бути GDPR-compliant усіх тих, хто пропонує свої товари чи послуги на ринку ЄС чи моніторить поведінку резидентів ЄС. Таке коло екстратериторіальної дії GDPR змусило переглянути політику приватності та бізнес-процеси, насамперед, в українській ІТ-індустрії, банківському секторі, електронній комерції.
Україна також узяла на себе зобов’язання привести національне законодавство у відповідність до GDPR, що відтепер прописано у Плані Уряду з виконання Угоди про Асоціацію з ЄС. Хоча внесення змін до базового Закону «Про захист персональних даних» на сьогодні виглядає як далека перспектива (Планом Уряду передбачено лише розробку першого проекту змін до 25.05.2018 р.), проте з часом українське законодавство про захист персональних даних теж ґрунтуватиметься на GDPR, як воно зараз ґрунтується на положеннях Директиви 95/46/ЄС.
Оскільки сьогодні українське законодавство не враховує особливостей GDPR у процесі обробки HR-даних (дані про працівників, їхній background та моніторинг робочої активності), може складатися враження, що положення GDPR стосуються лише товарів та послуг, які пропонуються резидентам ЄС через онлайн-платформи. Однак поза увагою залишається питання транскордонної передачі даних (зокрема, HR-даних) яка регулюватиметься GDPR під час експорту персональних даних працівників-резидентів ЄС для їх обробки в Україні.
Останній приклад зовсім непоодинокий для України, оскільки чимало транснаціональних корпорацій обробляють HR-дані працівників на «кластерному» рівні, де нерідко українська дочірня компанія виступає центром таких кластерів у Східній Європі разом з країнами-членами ЄС (як-то Польща, Словаччина, Угорщина, Чехія тощо). Важливість дотримання вимог GDPR у процесі передачі HR-даних в Україну зумовлюється також тим, що у випадку порушень відповідальність нестиме експортер – європейська компанія-володілець персональних даних, тобто безпосередній роботодавець резидентів ЄС, чиї дані оброблятимуться в Україні.
Підстави для транскордонної передачі
Положеннями GDPR, як і ще чинною на сьогодні Директивою 95/46/ЄС, передбачено низку випадків, за яких дозволяється транскордонна передача даних. Насамперед, безперешкодно передача даних може здійснюватися до країн з так званим «адекватним» рівнем захисту. За більше ніж 20 років дії Директиви 95/46/ЄС лише 10 країн світу були визнані Єврокомісією як такі, що забезпечують «адекватний» рівень захисту, а Канада та США отримали лише часткове визнання (зокрема, через EU-US Privacy Shield – для США).
Іншими найбільш поширеними підставами для транскордонної передачі були та залишаються так звані стандартні (модельні) положення про передачу персональних даних (standard contractual clauses), а також затверджені корпоративні політики (binding corporate rules, чи BCRs). Якщо стандартні (модельні) положення поки що не зазнають суттєвих змін, то BCRs вперше закріплюватимуться саме на нормативному рівні (у Директиві 95/46/ЄС про них не йшлося). Для багатьох транснаціональних корпорацій саме затвердження BCRS є ефективним механізмом для внутрішньогрупових обмінів HR-даними (наприклад, цим механізмом користуються такі компанії як ArcelorMittal, Cargill, eBay, Philips, Sanofi Aventis тощо).
GDPR зберігає можливість транскордонної передачі даних в окремих виключних випадках (приміром, безумовна та виключна згода поінформованого суб’єкта персональних даних, виконання правочину між суб’єктом персональних даних та володільцем даних, захист життєвих інтересів суб’єкта персональних даних, публічний інтерес тощо). Ці підстави можуть застосовуватися переважно в індивідуальних випадках, водночас вони навряд чи підходять для щоденного транскордонного обміну масивами HR-даних.
Крім того, GDPR передбачає механізми сертифікації на відповідність його вимогам чи приєднання до індустріальних правил обробки персональних даних (Codes of Conduct), які віддалено нагадують подібний інструмент із Директиви 95/46/ЄС. Однак ці механізми лише почнуть розроблятися з початком дії GDPR, тому говорити про їх ефективність можна буде лише після вивчення практики їх застосування.
«Адекватність» захисту
Визнання «адекватності» рівня захисту персональних даних вимогам Директиви 95/46/ЄС передбачало доволі складний та громіздкий процес оцінки Єврокомісією правових та інституційних механізмів третіх країн. Тут варто згадати хоча б Японію та Південну Корею, які розпочали процес перемовин з Єврокомісією ще на початку 2017 р. та досі не отримали рішення про визнання «адекватності» рівня захисту ними персональних даних.
У цьому плані GDPR не принесе значного спрощення. Скоріше, навпаки, відтепер цілий перелік критеріїв, які має оцінити Єврокомісія для надання рішення про «адекватність» захисту, закріплено безпосередньо в тексті GDPR. Ці критерії надзвичайно широкі – від дотримання країною принципу верховенства права та наявності спеціального законодавства, до інституційної спроможності незалежного органу із захисту персональних даних, оцінки наявної судової практики та міжнародно-правових зобов’язань країни у цій сфері.
Водночас GDPR передбачає революційну ідею з можливістю надання рішення про «адекватність» захисту не лише країнам, але й окремим секторам економіки в межах країни. Для України це може означати, насамперед, можливість отримання рішення Єврокомісії про «адекватність» захисту персональних даних в окремих секторах (наприклад, ІТ, банківський сектор тощо), без проходження тривалого процесу надання такого рішення загалом для всієї країни (хоча без практики надання таких «секторальних» рішень поки що неможливо говорити, чи стане процес менш тривалим). Що стосується критеріїв оцінки для секторального рішення, вони залишаються тими ж, що і для визнання «адекватності» захисту в межах усієї країни, хоча до уваги братимуться також професійні правила та практики конкретного сектору.
Наостанок варто додати, що GDPR передбачає перегляд усіх рішень про «адекватність» захисту 1 раз у 4 роки, що потребуватиме додаткових зусиль від країн чи секторів навіть після отримання ними рішення Єврокомісії про «адекватність» захисту.
Корпоративні правила – BCRs
GDPR вперше на нормативному рівні передбачає можливість затвердження корпоративних правил – BCRs, призначених для внутрішньогрупових обмінів даними з їх передачею з ЄС до третіх країн. Подібний механізм, хоча і неврегульований Директивою 95/46/ЄС, існував і раніше. Значна кількість транснаціональних корпорацій ним скористалися.
На сьогодні GDPR передбачає чіткий перелік вимог, яким має відповідати BCRs, щоб отримати затвердження від національного органу із захисту персональних даних на території ЄС. Зокрема, BCRs мають чітко передбачати мету транскордонної передачі (наприклад, централізована обробка на кластерному рівні) та категорії працівників, чиї дані передаються. BCRs повинні також відображати основні положення GDPR (щодо принципів обробки та прав суб’єктів персональних даних) і передбачати процедуру для оскарження обробки суб’єктами персональних даних.
Значні зміни відбулися також у процедурі затвердження BCRs. По-перше, компанії-резиденти ЄС, які здійснюватимуть транскордонну передачу даних на підставі BCRs, мають письмово підтвердити своє зобов’язання нести відповідальність за будь-які порушення, що можуть трапитися у процесі передачі чи подальшій обробці. По-друге, як і раніше, BCRs мають бути затверджені національним органом із захисту персональних даних однієї з країн ЄС. Водночас одноразове затвердження в такому органі будь-якої з 28 країн-членів ЄС є достатнім та не потребуватиме подальших затверджень в інших країнах-членах ЄС. Орган, який затвердив BCRs, набуває у цьому випадку статусу Lead Authority та здійснює контроль і координацію виконання BCRs на рівні усього ЄС. Найбільшу кількість BCRs на сьогодні затвердили національні органи Бельгії, Великобританії, Нідерландів, Франції та окремих федеральних земель Німеччини.
Отже, BCRs є ефективним механізмом для транскордонної передачі даних (в тому числі HR-даних), коли така передача відбувається на рівні групи компаній. Один раз визначивши обсяг персональних даних, що передаватимуться, та мету їх обробки (наприклад, під час обробки HR-даних у «кластерах»), корпорації можуть затвердити BCRs, що будуть базою для внутрішньогрупових обмінів даними без будь-яких додаткових обтяжень.
Standard contractual clauses
Нарешті GDPR зберігає можливість транскордонної передачі даних на підставі стандартних (модельних) положень про передачу даних, які розробляються Єврокомісією. З початком дії GDPR право розробляти такі модельні положення отримають також національні органи країн ЄС із захисту персональних даних.
Стандартні (модельні) положення є типовими контрактами, за якими резидент ЄС, що володіє персональними даними, передає їх до третіх країн іншому володільцеві (controller-to-controller) чи розпорядникові (controller-to-processor) персональних даних. Розроблені Єврокомісією типові форми цих контрактів зберігатимуть свою чинність і після початку дії GDPR – до затвердження нових відповідних форм. Такі типові форми можуть вільно використовуватися будь-якими володільцями персональних даних та не потребують додаткового затвердження збоку національних органів із захисту персональних даних.
Висновки
Як бачимо, до початку застосування GDPR з 25.05.2017 р. про надійність захисту персональних даних резидентів ЄС та законність їх обробки на території України варто потурбуватися не лише ІТ-компаніям та банкам, але й усім компаніям, які регулярно обробляють HR-дані резидентів ЄС. У той час як отримання Україною рішення про «адекватність» захисту персональних даних найближчим часом не очікується, окремі сектори українського бізнесу можуть сконцентрувати свої зусилля для спрощення транскордонної передачі даних з ЄС та визнання «адекватності» захисту, що надається в межах сектору.
Компаніям, які досі обробляли дані резидентів ЄС без будь-яких правових підстав, невідкладно слід укласти хоча б типові договори з компаніями-«експортерами даних» з ЄС. Це потребуватиме мінімальних зусиль, але захистить «експортера» від потенційної суворої відповідальності за GDPR. Для компаній, що є частиною транснаціональних корпорацій та груп, ідеальним рішенням є затвердження BCRs в одній з країн ЄС, що надалі дозволятиме передачу даних між компаніями групи без жодних додаткових обмежень.
Опубліковано: "Юридична Газета", №17, 24 квітня 2018 р.
Автори: Валерія Савчук, Олександр Мельник