Дослідження стану українських стартапів у Польщі на AIN.Capital ->
UA RU EN
UA RU EN

Як передавати дані в США за GDPR

03 лютого, 2023, 10:44

Оксана Задніпровська, партнерка Axon Partners спеціально для AIN.UA написала колонку про те, як належним чином передавати персональні дані в США, до чого тут адекватність і договір про обробку даних (DPA). Цей матеріал буде корисним для українських ІТ-бізнесів, які працюють в ЄС та США.

1. Передаємо чи не передаємо?

Найімовірніше — передаєте. 

За розʼясненням EDPB, дані передаються транскордонно, коли:

  1. На експортера (хто передає) поширюється GDPR;
  2. Експортер будь-яким чином надає імпортеру (отримувачу) доступ до даних;
  3. Імпортер знаходиться у третій країні (не плутати з країнами третього світу :)).

Отож, «передаванням» даних може бути навіть зберігання, підключення платіжної системи або обробка даних на серверах іншої компанії. 

ІТ-бізнеси в ЄС зазвичай працюють з даними не тільки в ЄС. Ці бізнеси транскордонні, як і їх потоки даних. Скажімо:

  • ТОВ в Україні цілеспрямовано реєструє на своєму сайті користувачів з ЄС і при цьому зберігає дані на серверах Амазону в США. Оплату отримує на свій рахунок в Україні, підключивши еквайринг. 
  • Або компанія в ЄС підключила Google Analytics (США) до свого сайту, аби насолоджуватися розгорнутою статистикою. 

В обох цих випадках є транскордонний рух персональних даних з ЄС в третю країну – в США. 

2. Чому США — це «третя країна»?

США — країна поза Європейським Економічним Простором. За GDPR це рівноцінно статусу «третіх країн». А тому при транскордонному передаванні даних в США потрібно:

  • перевірити, чи є країна у списку адекватних; перевіряємо: там є Велика Британія і Швейцарія, Андорра і Уругвай і інші, а США там немає; або
  • застосувати спеціальний інструмент з передавання даних (належні гарантії); або 
  • застосувати винятки (як-то згода чи виконання договору з субʼєктом).

3. Що таке належні гарантії?

Належні гарантії в GDPR передбачені, щоб отримувач даних був з даними не менш обачний ніж компанії з ЄС. Це і про безпеку, і про права людей, чиї дані обробляють, і про можливість притягнути до відповідальності. Тому формат цих гарантій відповідний. Всі вони мають бути попередньо затверджені регуляторами або пройти додаткові процедури:

  • обовʼязкові корпоративні правила може використовувати група компаній, це механізм, який дозволяє встановити одну базу правил для кожної компанії групи. Такі правила мають пройти складний процес затвердження регуляторами. Перелік затверджених правил можна глянути на сайті EDPB;
  • затверджені кодекси поведінки підходять в певному секторі (наприклад, є такі для хмарних провайдерів) лише разом із обов’язковими зобовʼязаннями отримувача надати відповідні заходи захисту (наприклад, про цю обовʼязковість можна домовитися в договорі);
  • затверджені механізми сертифікації поки не надто пропрацьовані на практиці, адже лиш в минулому році EDPB затвердили рекомендації, що ж розуміти під цією сертифікацією; сертифікацію також треба поєднувати із обовʼязковими зобовʼязаннями;
  • модельні договірні положення найбільш поширений на простий спосіб надати належні гарантії. Нові положення затверджені Єврокомісією вже більше року. Їх можна використовувати без змін. Потрібно лиш заповнити додатки та обрати потрібний модуль.

Останній варіант звучить дуже просто. І все би нічого — підписали собі договір і не хвилюєтеся. Але ні, передавання конкретно в США досі під великим питанням.

4. Що не так із передаванням даних в США ((не)адекватність)? 

Колись США були у списку адекватних країн. Деякі компанії досі не викреслили із своїх політик приватності посилання на інструмент адекватності США — Щит приватності.

З літа 2020 року і до сьогодні, завдяки австрійському активісту Максу Шремсу, США тимчасово у сірому списку для передачі. Рішення Суду справедливості ЄС у справі Schrems II принесло шквал емоцій любителям прикриватися Щитом приватності. Справа повʼязана із передаванням ірландським Facebook даних європейського користувача до США. Суд вирішив, що передавати дані на підставі Щита – це порушення GDPR. А все тому, що за місцевим законодавством США бізнеси в США мусять розкривати дані органам розвідки в необмежених цілях нацбезпеки США. Тож і підписувати модельні положення для США Суд не визнав панацеєю, бо це не вирішує проблему довгого носа розвідслужб.

Влітку 2021 року Єврокомісія вирішила оновити модельні положення, щоб врахувати рішення у справі Schrems II. Оновлені положення можна (з обережністю) використовувати і для США.

5. До чого обережність при підписанні модельних положень для США?

Ми вже розповідали AIN про нові DPA та про те, кому взагалі вони потрібні DPA. Але трохи нагадаємо.

27 грудня 2022 року сплив час, коли треба було перейти на нові модельні положення ЄС при передаванні даних з ЄС в треті країни (SCC). Тепер це улюблений інструмент для тих, у кого немає свого жорсткого юридичного департаменту. Їх можна просто взяти, заповнити і підписати, і не узгоджувати з контрагентом пів року (бо змістовно їх змінювати заборонено).

Звучить божественно — просто візьми і підпиши. Але для кожної третьої країни підписанню мусить передувати оцінка впливу від передачі даних на права субʼєктів (transfer impact assessment). Це коли бізнес глибоко закопується в законодавство, судову систему і практику держави імпортера, аби зʼясувати, чи безпечно передавати туди дані. Безпечно — це коли судова система працює, субʼєкт може реалізувати свої права, є ефективний орган із захисту даних, а органи розвідки мають укорочені конституційними законами носи. І далі може бути три сценарії:

  1. Якщо виявляється, що передавати дані геть небезпечно, то ніякі модельні положення не допоможуть. Передавати буде незаконно.
  2. Якщо ж небезпека є, але її можна зменшити заходами захисту даних — варто спробувати. Тоді ці заходи треба детально виписати у договорі. 
  3. Якщо небезпеки немає — можна підписати договір із мінімумом заходів захисту.

Для США у більшості випадків буде або пункт 1), або пункт 2). Тож під питанням, як правильно використовувати всі великі американські сервіси (і взагалі, чи варто).

6. Наприклад, чи варто використовувати Google Analytics?

Регулятори дуже критичні щодо цього сервісу з тієї ж причини, що і щодо будь-якого велетенського гравця на ринку провайдерів інформаційних послуг в США — адекватність США для передачі даних все ще під питанням. Вже є практика в Франції, Австрії, Італії про те, що Google Analytics заборонено використовувати для обробки даних резидентів ЄС. Жодні додаткові заходи з боку бізнесу, який використовує Google Analytics, на думку регуляторів, не можуть нівелювати ризик доступу розвідки США до зібраних даних. 

Тому якщо ви таки дуже хочете мати аналітику в своєму сервісі, є такі варіанти: 

  • нічого не робити і чекати скарг від кмітливих користувачів, 
  • шукати альтернативні сервіси з аналітики, або
  • чекати кінця 2023 року, у якому все повинно змінитися.

7. Чому 2023 рік — це рік переможеньок?

Сподіваємося, що і тієї, про яку ви подумали. 

А в сфері передавання даних в США прийде інша радість — Єврокомісія затвердила оновлений договір із урядом США. Процес затвердження продовжується. Якщо в ЄС все затвердять — десь біля кінця 2023 року можна буде не підписувати модельні положення із США і не перевіряти проблемність кожної конкретної передачі, а долучатися до нового інструменту. 

Бізнес із США, який захоче отримувати дані з ЄС, повинен буде податися на спеціальну самосертифікацію. Це означатиме реалізовувати права субʼєктів, дотримуватися принципів обробки і бути готовим до ефективного вирішення спорів щодо обробки даних в спеціальних органах. 

Чекаємо, не дочекаємося. А до того не забуваємо (1) проводити transfer impact assessment для кожної передачі і (2) підписувати модельні положення Єврокомісії.

Автор: Оксана Задніпровська, партнерка Axon Partners

Нема подібних.

#
Залишити коментар

Коментарі | 0

Реклама
Медіакіт Натив Контакти
Підписатись
є новини? напишіть нам
Пошук