Політика Передачі Персональних Даних

Викладена процедура призначена для використання при передачі персональних даних до країн за межами Європейського Союзу. Вона також може застосовуватися при перевірці того, чи відповідають існуючі механізми вимогам Загального регламенту захисту даних ЄС (GDPR).

Webrov Group OÜ (далі Компанія) розуміє, що ініціація GDPR полягає у захисті персональних даних, де б вони не знаходилися; існують суворі вимоги, що регулюють передачу персональних даних та заходи, які мають бути вжиті, щоб передача була законною. Штрафи за порушення GDPR є значними, і Компанія подбає про те, щоб завжди діяти в рамках закону
 

Ця процедура застосовується там, де, відповідно до GDPR, Компанія, будучи контролером даних, бажає передати особисті дані, що вона обробляє, до третіх країн чи за межами ЄС.

Цю процедуру слід розглядати разом із іншими документами, розробленими Компанією.

Визначення країни чи країн призначення

Щоб встановити, чи є передача персональних даних законною відповідно до GDPR, країна призначення (або країни) повинна бути точно встановлена разом з будь-якими іншими країнами, в яких отримуватимуть персональні дані.

Рішення про адекватність

Після визначення країни призначення (або країн) необхідно ознайомитись із переліком країн, для яких застосовується рішення про адекватність. Цей список публікується в Офіційному журналі Європейського Союзу та на веб-сайті Європейської комісії (ec.europa.eu).

Дотепер Європейська комісія визнала Андорру, Аргентину, Канаду (комерційні організації), Фарерські острови, Гернсі, Ізраїль, острів Мен, Джерсі, Нова Зеландія, Швейцарію, Уругвай та США (обмежена рамками Privacy Shield) такими, що надають належний рівень захисту персональних даних. При цьому ця інформація періодично змінюється.
 

Рішення про адекватність означає, що Європейська комісія вважає, що рівень захисту персональних даних у цій країні є прийнятним, і тому передача не потребує будь-яких додаткових правових гарантій, які мають бути введені в дію. Рішення про адекватність регулярно переглядаються не рідше одного разу на чотири роки і може бути скасовано, коли Європейська комісія більше не вважає, що відповідна країна відповідає їхнім вимогам щодо захисту персональних даних.

Приватним випадком у цій галузі є EU-US Privacy Shield, який охоплює передачу особистих даних громадян ЄС до США. Американські організації, які відповідають Privacy Shield, можуть зберігати та обробляти такі особисті дані, якщо вони відповідають суворим гарантіям, які еквівалентні вимогам GDPR. Особисті дані можуть бути вільно передані таким американським організаціям, якби було прийнято рішення про адекватність.

Беручи до уваги викладене вище, Компанія зобов'язується переконатися, що американські компанії, яким передаються персональні дані, відповідають Privacy Shield.

Впровадити відповідні гарантії

У випадку, якщо країна (або декілька країн), до якої мають бути передані особисті дані, не підпадають під рішення про адекватність, мають бути передбачені відповідні гарантії для забезпечення прав суб'єктів даних та дійових правових засобів захисту таких прав.

Існує ціла низка способів надання цих гарантій за GDPR:

а) між державними органами через юридично зобов'язуючу угоду, яка може бути застосована;

b) використання обов'язкових корпоративних правил;

c) використання стандартних положень щодо захисту даних, прийнятих або Європейською комісією, або відповідним контролюючим органом;

d) через затверджений кодекс поведінки;

e) через сертифікації.

Статус деяких із перелічених вище гарантій може змінюватися з часом, адже подальші рекомендації публікуються як Європейською комісією, так і окремими контролюючими органами.

Найбільш підходящий метод забезпечення захисту прав суб'єктів даних, чиї дані будуть передані, має бути обраний та включений до договірних положень відповідної угоди, за якою Компанією передаватимуться персональні дані.

Інші прийнятні умови передачі персональних даних

У випадку, якщо рішення про адекватність не застосовується до країни призначення, і відповідні запобіжні заходи не можуть бути встановлені з використанням вищевказаних способів, Компанія здійснює транснаціональну передачу персональних даних, якщо існує одна з таких ситуацій:

а) суб'єкт даних явно погоджується на передачу, будучи проінформованим про ризики;

b) передача необхідна для виконання контрактних зобов'язань перед суб'єктом даних або суб'єкт даних вимагає передачі до укладення договору;

c) передача здійснюється на користь суб'єкта даних відповідно до договору;

d) передача здійснюється з метою задоволення публічного інтересу;

e) передача пов'язана із судовим позовом;

f) захист життєво важливих інтересів суб'єкта даних, а суб'єкт не здатний надати свою згоду;

g) передача здійснюється з державного реєстру.
 

Специфіка кожної з цих умов повинна бути перевірена Компанією безпосередньо зі статті 49 GDPR («Відступи для конкретних ситуацій»), перш ніж ґрунтувати передачу на них.

Висновки

Загалом при передачі персональних даних до третіх країн за межами ЄС компанія перевіряє наявність адекватного рівня захисту одним з наступних методів:

• країна одержувача перебуває у затвердженому ЄС переліку країн із адекватним рівнем захисту прав суб'єкта персональних даних;
• країна одержувача має належний контроль за захистом даних, встановлений правовим чи саморегулівним режимом;
• Компанія має чинний контракт, який використовує існуючі або затверджені положення щодо захисту даних для забезпечення належного захисту;
• Компанія здійснює передачу за затвердженими обов'язковими корпоративними правилами;
• Компанія покладається на затверджені кодекси поведінки або механізми сертифікації, а також зобов'язання країни отримувача застосовувати відповідні гарантії щодо прав суб'єкта даних.

Як тільки правова основа передачі персональних даних була визначена, слід розглянути питання щодо механізму досягнення передачі. Він змінюватиметься в залежності від таких факторів, як тип і обсяг даних, призначення та технологія, що використовується.

Компанія зобов'язується подбати про те, щоб гарантії, які були узгоджені в рамках передачі, дотримувалися та що докази їх використання зберігаються для майбутніх цілей аудиту.

Веб-сайт Європейської комісії та відповідного контролюючого органу моніториться Компанією, з метою оперативного виявлення та прийняття будь-яких змін, що впливають на законність передачі персональних даних.