Статья 44 📖 GDPR. Общий принцип передачи

Статья 44 GDPR. Общий принцип передачи

Article 44 GDPR. General principle for transfers

Передача персональных данных, которые подвергаются обработке или предназначены для обработки после передачи в третью страну или международную организацию, осуществляется только, если (с учетом других положений настоящего Регламента), условия, изложенные в этой главе, в том числе условия для дальнейших передач данных из третьей страны или международной организации в другую третью страну или в другую международную организацию, выполняются контролёром и процессором. Все положения настоящей главы следует применять с целью обеспечения, чтобы уровень защиты физических лиц, гарантированный настоящим Регламентом, не подрывался.

Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Преамбулы Оставьте комментарий

Комментарий эксперта

В Общем регламенте защиты персональных данных (General Data Protection Regulation — GDPR) Европейский союз закрепил ограничение на экспорт персональных данных за пределы ЕС. Трансграничная передача в третьи страны возможна лишь при соблюдении Главы V Регламента. Она содержит ограниченное количество механизмов, направленных на то, чтобы передача в третьи страны не ослабляла уровень защиты персональных данных, гарантированный Регламентом.

Прежде чем разбирать механизмы трансграничной передачи по GDPR, необходимо определиться с понятием трансграничной передачи, а также выяснить, что ею не является.

Тезис 1. Сбор — не передача

На практике очень часто встречается заблуждение, что получение не европейским контролером данных от субъекта, находящимся в Европейском Союзе (далее – ЕС), является трансграничной передачей. В результате делается ошибочный вывод о необходимости выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”. Однако получение данных от субъекта не является трансграничной передачей данных и представляет собой не что иное, как сбор данных (data collection).

Британский надзорный орган ICO определяет передачу данных как “намеренную отправку персональных данных или предоставление к ним доступа” (“intentional sending personal data, or making it accessible”)^[1].

Data transfer is an intentional sending personal data to another party or making the data accessible by it, where neither sender nor recipient is a data subject. —

Передача данных — это намеренная отправка иному лицу чьих-то персональных данных или предоставление этому лицу к ним доступа.

При этом также очевидно, что передачей данных (data transfer) не является сбор данных (data collection). Об этом свидетельствует и то, что обе эти операции перечислены отдельно друг от друга в определении “обработка персональных данных” в ст. 4(2) GDPR.

Тезис 2. Трансграничный сбор оформлять как передачу не надо

Согласно ст. 44 GDPR и относящейся к ней преамбуле 101 правила Главы V GDPR распространяются именно на передачу. Следовательно, при “трансграничном сборе” данных от субъектов из Европейского союза компанией, находящейся за пределами союза, ей не нужно выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”.

Тезис 3. Оформляются только передачи за границу ЕС

Если данные передаются компании (а не собираются ей), например, она получает персональные сведения из ЕС от своего партнера или заказчика, то Глава V становится обязательной к выполнению благодаря ст. 44 GDPR, которая говорит о передаче в третью страну или международную организацию”. Следует обратить внимание на направление передачи: из ЕС в третью страну или международную организацию, то есть когда данные экспортируются через внешнюю границу Евросоюза. Будучи запущенной, глава V продолжит действовать на последующие передачи без учета направления: “уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации” (Преамбула 111 GDPR)

Если же данные, наоборот, передаются в ЕС, требования данной главы Регламента не применяются, хоть на европейского импортера и продолжат действовать требования из других глав GDPR.

Разбор действия Главы V на конкретных примерах

1. Субъект данных и контролер находятся в ЕС. Данные от субъекта напрямую попадают контролеру, например через анкету, заполненную субъектом, на сайте контролера. Здесь не происходит передачи данных по смыслу Главы V GDPR, так как приведенное в примере движение информации представляет собой сбор данных (data collection). Следовательно, Глава V не применима.

2. Субъект предоставляет данные контролеру, находящемуся вне ЕС. Как и в прошлом примере имеет место не передача данных, а, если можно так выразиться, «трансграничный сбор данных». Следовательно, Глава V также не применима.^[2]

3. Собрав данные у европейских субъектов, компания-контролер (data controller — “C”), находящаяся за пределами ЕС, передает данные процессору 1-го уровня (data processor — “Р1”), который также находится вне ЕС.Имеет место передача данных, однако данные не движутся через границу ЕС. Следовательно, Глава V также не будет применяться к данной передаче.

4. Предположим, что процессор Р1 из примера выше пользуется европейским облачным сервисом Р2. Как и предыдущем примере имеет место передача данных, но на этот раз они пересекают границу ЕС. Тем не менее направление, в котором передаются данные: из третьей страны в ЕС. То есть европейская компания является импортером, а не экспортером данных. Следовательно, Глава V опять не применяется, поскольку она регулирует передачи, где европейская компания выступает в качестве экспортера данных. ^[3]

5. Процессор второго уровня Р2 (cубпроцессор) решил воспользоваться услугами процессора третьего уровня P3 (суб-суб-процессора), который находится в третьей стране ^[4]

Данные передаются от Р2 к Р3, то есть с территории Европейского союза — за его пределы. Следовательно, для процессора Р2 начинают действовать правила передачи данных за пределы ЕС из Главы V GDPR.

В частности, действует статья 46 GDPR, в соответствии с которой процессору P2 необходимо найти механизм подходящий для такой передачи. Скорее всего, это будут Standard Contracrual Clauses (далее – SCC), хотя есть и другие механизмы трансграничной передачи, которые будут рассмотрены в других частях этой статьи.

С этого момента на все дальнейшие передачи данных, где бы они ни происходили, распространяются требования, установленные Главой V GDPR. Соответственно, даже если после передачи данных из ЕС в 3-ю страну информация будет передаваться внутри этой 3-ей страны, необходимо будет применять один из механизмов трансграничной передачи данных из ст. 46 GDPR.

Примечания:

[1] В соответствии с руководством ICO передачу данных (transfer) также следует отличать от транзита данных (transit), когда данные отправляются через какого-то посредника (например, узел сети Интернет) без намерения предоставить посреднику доступ и возможность проводить над данными действия во время данной передачи.

[2] Вместе с тем в соответствии со ст. 3(2a) GDPR в на эту обработку по-прежнему будут действовать применимые нормы GDPR, в том числе ст. 28 GDPR, которая обязывает контролера и процессора подписывать Data Processing Agreement (далее – DPA).

[3] Как и в предыдущем кейсе, это не отменяет действия GDPR, в частности, потребуется выполнить ст. 28 GDPR, в соответствии с которой необходимо заключение DPA.

[4] При выполнении правил ст. 28 GDPR подключение суб-процессора осуществляется с предварительной авторизации (предварительного разрешения) или поставторизации, т.е. процессор каждый раз запрашивает «разрешение» у контролера на такую передачу.

Автор

Сергей Воронкевич CIPP/E, CIPM, MBA, FIP

Сооснователь и директор DPO LLC. Тренер и ведущий консультант

Задать вопрос

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 44 GDPR:

7.5.1 Identify basis for PII transfer between jurisdictions

Control

The organization should identify and document the relevant basis for transfers of PII between jurisdictions.

Implementation guidance

PII transfer can be subject to legislation and/or regulation depending on the jurisdiction or international organization to which data is to be transferred (and from where it originates). The organization should document compliance to such requirements as the basis for transfer.

Some jurisdictions can require that information transfer agreements be reviewed by a designated supervisory authority. Organizations operating in such jurisdictions should be aware of any such requirements.

NOTE Where transfers take place within a specific jurisdiction, the applicable legislation and/or regulation are the same for the sender and recipient.

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 44 GDPR:

8.5.1 Basis for PII transfer between jurisdictions

Control

The organization should inform the customer in a timely manner of the basis for PII transfers between jurisdictions and of any intended changes in this regard, so that the customer has the ability to object to such changes or to terminate the contract.

Implementation guidance

PII transfer between jurisdictions can be subject to legislation and/or regulation depending on the jurisdiction or organization to which PII is to be transferred (and from where it originates). The organization should document compliance with such requirements as the basis for transfer.

The organization should inform the customer of any transfer of PII, including transfers to:

— suppliers;

— other parties;

— other countries or international organizations.

In case of changes, the organization should inform the customer in advance, according to an agreed timeframe, so that the customer has the ability to object to such changes or to terminate the contract.

The agreement between the organization and the customer can have clauses where the organization can implement changes without informing the customer. In these cases, the limits of this allowance should be set (e.g. the organization can change suppliers without informing the customer, but cannot transfer PII to other countries).

In case of international transfer of PII, agreements such as Model Contract Clauses, Binding Corporate Rules or Cross Border Privacy Rules, the countries involved and the circumstances in which such agreements apply, should be identified.

Преамбулы

(101) Потоки персональных данных, направляющиеся как в страны вне Союза или международные организации, так и поступающие из них, необходимы для расширения международной торговли и международного сотрудничества. Рост таких потоков привел к новым вызовам и проблемам в области защиты персональных данных. Однако, когда персональные данные передаются из Союза контролёрам, процессорам или иным получателям в третьих странах или международным организациям, уровень защиты физических лиц, гарантированный в Союзе настоящим Регламентом, не должен ослабляться, в том числе в случаях последующей передачи персональных данных из данной третьей страны или международной организации контролёрам, процессорам в той же или другой третьей стране или международной организации. В любом случае, передача данных в третьи страны и международные организации может осуществляться только при полном соблюдении положений настоящего Регламента. Передача может иметь место только, если в соответствии с другими положениями настоящего Регламента, контролёр или процессор соблюдают условия, предусмотренные настоящим Регламентом, относительно передачи персональных данных в третьи страны или международные организации.

(101) Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation. The increase in such flows has raised new challenges and concerns with regard to the protection of personal data. However, when personal data are transferred from the Union to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor.

(102) Настоящий Регламент действует без ущерба международным соглашениям между Союзом и третьими странами в отношении передачи персональных данных, в том числе в отношении соответствующих гарантий для субъектов данных. Государства-члены могут заключать международные соглашения, касающиеся передачи персональных данных в третьи страны и международные организации, в той мере, в которой такие соглашения не влияют на настоящий Регламент либо на иные положения права Союза и предусматривают соответствующий уровень защиты фундаментальных прав субъектов данных.

(102) This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects. Member States may conclude international agreements which involve the transfer of personal data to third countries or international organisations, as far as such agreements do not affect this Regulation or any other provisions of Union law and include an appropriate level of protection for the fundamental rights of the data subjects.

Оставьте комментарий

Статья 43. Органы по сертификации

Статья 45. Передача данных на основании решения об адекватности