(101) Потоки персональных данных, направляющиеся как в страны вне Союза или международные организации, так и поступающие из них, необходимы для расширения международной торговли и международного сотрудничества. Рост таких потоков привел к новым вызовам и проблемам в области защиты персональных данных. Однако, когда персональные данные передаются из Союза контролёрам, процессорам или иным получателям в третьих странах или международным организациям, уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации. В любом случае, передача данных в третьи страны и международные организации может осуществляться только при полном соблюдении положений настоящего Регламента. Передача может иметь место только, если в соответствии с другими положениями настоящего Регламента, контролёр или процессор соблюдают условия, предусмотренные настоящим Регламентом, относительно передачи персональных данных в третьи страны или международные организации.
(101) Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation. The increase in such flows has raised new challenges and concerns with regard to the protection of personal data. However, when personal data are transferred from the Union to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor.
(102) Настоящий Регламент действует без ущерба международным соглашениям между Союзом и третьими странами в отношении передачи персональных данных, в том числе в отношении соответствующих гарантий для субъектов данных. Государства-члены могут заключать международные соглашения, касающиеся передачи персональных данных в третьи страны и международные организации, в той мере, в которой такие соглашения не влияют на настоящий Регламент либо на иные положения права Союза и предусматривают соответствующий уровень защиты фундаментальных прав субъектов данных.
(102) This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects. Member States may conclude international agreements which involve the transfer of personal data to third countries or international organisations, as far as such agreements do not affect this Regulation or any other provisions of Union law and include an appropriate level of protection for the fundamental rights of the data subjects.
Тезис 1. Сбор — не передача
При этом также очевидно, что передачей данных (data transfer) не является сбор данных (data collection). Об этом свидетельствует и то, что обе эти операции перечислены отдельно друг от друга в определении “обработка персональных данных” в ст. 4(2) GDPR.
Тезис 2. Трансграничный сбор оформлять как передачу не надо
Согласно ст. 44 GDPR и относящейся к ней преамбуле 101 правила Главы V GDPR распространяются именно на передачу. Следовательно, при “трансграничном сборе” данных от субъектов из Европейского союза компанией, находящейся за пределами союза, ей не нужно выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”.
Тезис 3. Оформляются только передачи за границу ЕС
Если данные передаются компании (а не собираются ей), например, она получает персональные сведения из ЕС от своего партнера или заказчика, то Глава V становится обязательной к выполнению благодаря ст. 44 GDPR, которая говорит о передаче в третью страну или международную организацию”. Следует обратить внимание на направление передачи: из ЕС в третью страну или международную организацию, то есть когда данные экспортируются через внешнюю границу Евросоюза. Будучи запущенной, глава V продолжит действовать на последующие передачи без учета направления: “уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации” (Преамбула 111 GDPR)
Если же данные, наоборот, передаются в ЕС, требования данной главы Регламента не применяются, хоть на европейского импортера и продолжат действовать требования из других глав GDPR.
Разбор действия Главы V на конкретных примерах
1. Субъект данных и контролер находятся в ЕС. Данные от субъекта напрямую попадают контролеру, например через анкету, заполненную субъектом, на сайте контролера. Здесь не происходит передачи данных по смыслу Главы V GDPR, так как приведенное в примере движение информации представляет собой сбор данных (data collection). Следовательно, Глава V не применима.
2. Субъект предоставляет данные контролеру, находящемуся вне ЕС. Как и в прошлом примере имеет место не передача данных, а, если можно так выразиться, «трансграничный сбор данных». Следовательно, Глава V также не применима.[2]
3. Собрав данные у европейских субъектов, компания-контролер (data controller — “C”), находящаяся за пределами ЕС, передает данные процессору 1-го уровня (data processor — “Р1”), который также находится вне ЕС.Имеет место передача данных, однако данные не движутся через границу ЕС. Следовательно, Глава V также не будет применяться к данной передаче.
4. Предположим, что процессор Р1 из примера выше пользуется европейским облачным сервисом Р2. Как и предыдущем примере имеет место передача данных, но на этот раз они пересекают границу ЕС. Тем не менее направление, в котором передаются данные: из третьей страны в ЕС. То есть европейская компания является импортером, а не экспортером данных. Следовательно, Глава V опять не применяется, поскольку она регулирует передачи, где европейская компания выступает в качестве экспортера данных. [3]
5. Процессор второго уровня Р2 (cубпроцессор) решил воспользоваться услугами процессора третьего уровня P3 (суб-суб-процессора), который находится в третьей стране [4]
Данные передаются от Р2 к Р3, то есть с территории Европейского союза — за его пределы. Следовательно, для процессора Р2 начинают действовать правила передачи данных за пределы ЕС из Главы V GDPR.
В частности, действует статья 46 GDPR, в соответствии с которой процессору P2 необходимо найти механизм подходящий для такой передачи. Скорее всего, это будут Standard Contracrual Clauses (далее – SCC), хотя есть и другие механизмы трансграничной передачи, которые будут рассмотрены в других частях этой статьи.
С этого момента на все дальнейшие передачи данных, где бы они ни происходили, распространяются требования, установленные Главой V GDPR. Соответственно, даже если после передачи данных из ЕС в 3-ю страну информация будет передаваться внутри этой 3-ей страны, необходимо будет применять один из механизмов трансграничной передачи данных из ст. 46 GDPR.
Примечания:
[1] В соответствии с руководством ICO передачу данных (transfer) также следует отличать от транзита данных (transit), когда данные отправляются через какого-то посредника (например, узел сети Интернет) без намерения предоставить посреднику доступ и возможность проводить над данными действия во время данной передачи.
[2] Вместе с тем в соответствии со ст. 3(2a) GDPR в на эту обработку по-прежнему будут действовать применимые нормы GDPR, в том числе ст. 28 GDPR, которая обязывает контролера и процессора подписывать Data Processing Agreement (далее – DPA).
[3] Как и в предыдущем кейсе, это не отменяет действия GDPR, в частности, потребуется выполнить ст. 28 GDPR, в соответствии с которой необходимо заключение DPA.
[4] При выполнении правил ст. 28 GDPR подключение суб-процессора осуществляется с предварительной авторизации (предварительного разрешения) или поставторизации, т.е. процессор каждый раз запрашивает «разрешение» у контролера на такую передачу.