В Общем регламенте защиты персональных данных (General Data Protection Regulation – GDPR) Европейский союз¹ (ЕС, Союз) закрепил ограничение на экспорт персональных данных за пределы ЕС. Трансграничная передача в третьи страны возможна лишь при соблюдении Главы V Регламента. Она содержит ограниченное количество механизмов, направленных на то, чтобы передача в третьи страны не ослабляла уровень защиты персональных данных, гарантированный Регламентом.

Прежде чем разбирать механизмы трансграничной передачи по GDPR, необходимо определиться с понятием трансграничной передачи, а также выяснить, что ею не является.

Терминология

В тексте GDPR не встречается термин “трансграничная передача персональных данных”. Так, ст. 4(23) GDPR упоминает о “трансграничной обработке”, однако этот термин связан с обработкой персональных данных в нескольких точках внутри ЕС и не относится к передаче данных за пределы Союза. Регламентируя экспорт персональных данных за пределы Союза, GDPR использует словосочетание “передача персональных данных в третью страну или международную организацию”. Тем не менее, на практике такую передачу часто называют “трансграничной передачей”. Следуя этому подходу, в данном комментарии мы также используем этот термин.

Критерии трансграничной передачи

GDPR не содержит критериев или определения трансграничной передачи. Однако таковые были сформулированы Европейским советом по защите персональных данных (European Data Protection Board, EDPB) в Руководстве 05/2021 о взаимосвязи статьи 3 GDPR и положений о международной передаче [персональных данных – прим. Data Privacy Office], изложенных в Главе V GDPR².

В пар. 7 Руководства EDPB названы следующие 3 критерия для определения трансграничной передачи:

1. на контролера или процессора (экспортера данных – прим. Data Privacy Office) распространяются требования GDPR в отношении этой обработки;
2. такой контролер или процессор передает персональные данные (в рамках этой обработки) или иным образом делает их доступными другому контролеру, со-контролеру или процессору (импортеру данных);
3. импортер данных находится в третьей стране или является международной организацией (независимо от того, применяются ли к такому импортеру правила GDPR в соответствии со ст. 3 GDPR или нет).

Эти критерии должны соблюдаться одновременно. Соответственно, из указанных критериев можно вывести несколько тезисов.

Тезис 1. Сбор – не передача

На практике очень часто встречается заблуждение, что получение неевропейским контролером данных от субъекта, находящегося в ЕС, является трансграничной передачей. В результате делается ошибочный вывод о необходимости выполнять требования Главы V GDPR “Передача персональных данных в третьи страны или международным организациям”. 

Однако если данные передаются от субъекта, “экспортером” данных в такой ситуации является не контролер и не процессор, а субъект. Таким образом, получение данных от субъекта не является трансграничной передачей данных и представляет собой не что иное, как сбор данных (data collection), на который не распространяются правила Главы V GDPR.

Тезис 2. Трансграничную передачу определяет место назначения

Если данные передаются компании (а не собираются ею), например, она получает персональные сведения от своего партнера или заказчика, то правила Главы V будут применяться, если импортер находится за пределами ЕС. При этом место нахождения экспортера не имеет значения: данные могут перемещаться как с территории ЕС, так и с территории любого другого государства. Кроме того, трансграничной передачей будет являться даже передача данных в пределах одного города при условии, что этот город находится за пределами ЕС (критерий места нахождения импортера данных). Из этого также можно сделать вывод о том, что передача данных получателю, находящемуся внутри ЕС, трансграничной передачей не является и Главой V GDPR не регулируется.

Тезис 3. Возврат данных также является трансграничной передачей

Поскольку экспортером данных может быть процессор, а импортером – контролер, возврат персональных данных (например, после окончания их обработки) также может представлять собой трансграничную передачу, ведь при условии нахождения контролера за пределами ЕС все критерии трансграничной передачи будут соблюдены. Аналогичная ситуация может сложиться, если суб-процессор возвращает данные процессору, находящемуся вне ЕС³.

Это может создать некоторые сложности, например, для компании-контролера из-за пределов ЕС. Если обработка персональных данных такой компанией не регулируется GDPR (например, если компания обрабатывает данные только субъектов, находящихся вне ЕС), однако данные передаются для обработку европейскому процесору, возврат этих данных контролеру будет трансграничной передачей данных. Это значит, что процессору придется не только соблюдать правила Главы V GDPR самому, но и возложить на контролера обязанность обращаться с этими данными “в духе GDPR” (если контролер находится в стране, не обеспечивающей адекватного уровня защиты персональных данных). В результате контролер фактически обязан соблюдать требования GDPR исключительно из-за того, что он выбрал европейского процессора, даже если обработка данных контролером находится вне сферы действия GDPR. Аналогичная ситуация возникнет, если процессор из ЕС будет предоставлять контролеру доступ к уже обработанным данным (то есть, если контролер будет получать данные от процессора не после окончания, а в процессе обработки). Такая позиция представляется несколько нелогичной, поскольку данные возвращаются в страну, где они изначально были созданы и откуда были переданы европейской компании, и потому не нуждаются в дополнительной защите. 

Стоит отметить, однако, что подобное затруднение не возникнет, если процессор будет удалять данные после окончания обработки (а не передавать их контролеру) и при этом не будет предоставлять контролеру доступ к персональным данным в период обработки. 

Тезис 4. Применимость GDPR к обработке данных импортером не имеет значения

Обработка персональных данных импортером также может регулироваться правилами GDPR. Например, если процессор за пределами ЕС обрабатывает персональные данные в контексте деятельности европейской организационной единицы, GDPR применяется к такой обработке в соответствии со ст. 3(1) GDPR. Однако ни один из критериев трансграничной передачи данных не связан с применимостью GDPR к импортеру данных. Таким образом, даже если обработка данных получателем за пределами ЕС регулируется правилами GDPR, передача данных такому получателю может быть трансграничной передачей персональных данных.

Разбор действия Главы V на конкретных примерах 

1. Субъект данных и контролер находятся в ЕС. Данные от субъекта напрямую попадают контролеру, например через анкету, заполненную субъектом, на сайте контролера. Здесь не происходит передачи данных по смыслу Главы V GDPR, так как приведенное в примере движение информации представляет собой сбор данных (data collection). Следовательно, Глава V не применима.
   
2. Субъект предоставляет данные контролеру, находящемуся вне ЕС. Как и в предыдущем примере, имеет место не передача данных, а, если можно так выразиться, «трансграничный сбор данных». Следовательно, Глава V также не применима.
   
3. Собрав данные у европейских субъектов, компания-контролер (data controller – “C”), находящаяся внутри ЕС, передает данные процессору 1-го уровня (data processor – “Р1”),  который находится вне ЕС. В этой ситуации соблюдены все три критерия трансграничной передачи: контролер передает данные процессору, находящемуся за пределами ЕС. Таким образом, такая передача является трансграничной и к ней следует применять правила Главы V GDPR.
   

4. Предположим, что процессор Р1 из примера выше пользуется европейским облачным сервисом Р2. Поскольку процессор Р2 находится внутри ЕС, критерий 3 (место нахождения импортера данных) не соблюдается. Таким образом, к такой передаче правила Главы V GDPR не применимы⁴.
   
5. Собрав данные у европейских субъектов, компания-контролер C, находящаяся за пределами ЕС, передает данные процессору Р1, который также находится вне ЕС. Поскольку данные передаются от контролера, на которого распространяются требования GDPR, процессору, находящемуся за пределами ЕС, такая передача является трансграничной передачей и регулируется правилами Главы V GDPR. Более того, контролер и процессор могут находится как в разных государствах, так и в одном государстве (даже в одном и том же здании: все критерии трансграничной передачи присутствуют).
   

6. Компания-контролер C, находящаяся за пределами ЕС, передает данные неевропейских субъектов для обработки процессору Р1, находящемуся в ЕС. После окончания обработки процессор Р1 возвращает контролеру С персональные данные. Поскольку данные передаются от процессора, на которого распространяются требования GDPR, контролеру, находящемуся за пределами ЕС, такая передача является трансграничной передачей и регулируется правилами Главы V GDPR.
   

7. Предположим, что компания Р1 из примера выше передает контролеру С не персональные данные, а лишь результат их обработки – отчет, в котором содержатся анонимизированные данные. Поскольку процессор передает контролеру анонимизированные данные, которые в соответствии со ст. 4(1) GDPR не являются персональными данными, такая передача данных не регулируется GDPR, соответственно, правила Главы V GDPR не применяются.

Оформление последующих передач персональных данных

Если импортер персональных данных передает их другим получателям (контролерам, процессорам), находящимся за пределами ЕС, такая передача также может соответствовать критериям трансграничной передачи. Для этого необходимо, чтобы обработка данных импортером также входила в сферу регулирования GDPR. В этом случае такой импортер, становясь при последующей передаче экспортером, обязан будет соблюдать правила Главы V GDPR и самостоятельно выбрать механизм такой передачи.

8. Компания-контролер C, находящаяся за пределами ЕС, передает данные европейских субъектов для обработки процессору Р1, находящемуся за пределами ЕС. Процессор Р1 впоследствии передает данные суб-процессору Р2 (также находится за пределами ЕС). У процессора Р1 есть организационная единица в ЕС и обработка данных процессором Р1 происходит в контексте деятельности такой организационной единицы.

Поскольку процессор Р1 обрабатывает персональные данные в контексте деятельности своей организационной единицы в ЕС, такая обработка будет регулироваться нормами GDPR, в том числе правилами Главы V GDPR. Передача данных суб-процессору Р2 будет являться трансграничной передачей.

Однако правила GDPR могут и не распространяться на импортера. Соответственно, последующая передача таким лицом персональных данных не будет являться трансграничной передачей, поскольку не соблюден критерий 1 — подчинение экспортера данных требованиям GDPR. Тем не менее, в соответствии со ст. 44 GDPR данные должны быть защищены и при последующих передачах. Таким образом, даже при последующей передаче экспортер данных должен обеспечить им надлежащую защиту в стране назначения. На практике эта обязанность обычно закреплена в договоре, по которому импортер данных, намереваясь передать данные другому получателю вне ЕС, обязан принять меры защиты, обеспечивающие сохранность персональных данных в стране назначения.

9. Компания-контролер C, находящаяся за пределами ЕС, передает данные европейских субъектов для обработки процессору Р1, находящемуся за пределами ЕС. Процессор Р1 впоследствии передает данные суб-процессору Р2 (также находится за пределами ЕС). У процессора Р1 нет организационной единицы в ЕС.

Поскольку у процессора Р1 нет организационной единицы в ЕС, к обработке персональных данных процессором Р1 нормы GDPR не применяются. Соответственно, если процессор Р1 передает данные суб-процессору Р2, такая передача не является трансграничной передачей (не соблюдается критерий 1) и положения Главы V GDPR к ней не применяются. Однако договор (на схеме — SCC 1), в соответствии с которым контролер С передавал данные процессору Р1, обязывает процессора Р1 включать в договор с суб-процессором Р2 (на схеме — Contract) условия о защите данных в стране суб-процессора Р2.