Тран­скор­дон­на пе­ре­да­ча HR-да­них за GDPR

Yurydychna Gazeta - - АНАЛІТИКА | ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ - Ва­ле­рі­яВ і САВЧУК САВЧУК, ра­дник ЮФ «Ва­силь Кі­сіль і Пар­тне­ри» GDPR), Оле­ксандр О МЕЛЬНИК МЕЛЬНИК, юрист ЮФ «Ва­силь Кі­сіль і Пар­тне­ри»

Єв­ро­пей­ський За­галь­ний ре­гла­мент за­хи­сту да­них (да­лі – який за­мі­нить по­пе­ре­дню Ди­ре­кти­ву 95/46/ЄС та по­чне за­сто­со­ву­ва­ти­ся з 25.05.2018 р., вже встиг при­вер­ну­ти до се­бе ува­гу укра­їн­сько­го бі­зне­су, що пра­цює з пер­со­наль­ни­ми да­ни­ми єв­ро­пей­ців. Пе­ред­ба­че­ний ним екс­тра­те­ри­то­рі­аль­ний прин­цип дії зму­шує бу­ти GDPR-compliant усіх тих, хто про­по­нує свої то­ва­ри чи по­слу­ги на рин­ку ЄС або мо­ні­то­рить по­ве­дін­ку ре­зи­ден­тів ЄС. Та­ке ко­ло екс­тра­те­ри­то­рі­аль­ної дії GDPR зму­си­ло пе­ре­гля­ну­ти по­лі­ти­ку при­ва­тно­сті та бі­знес-про­це­си, на­сам­пе­ред, в укра­їн­ській ІТ-ін­ду­стрії, бан­ків­сько­му се­кто­рі, еле­ктрон­ній ко­мер­ції.

Укра­ї­на та­кож узя­ла на се­бе зо­бов’яза­н­ня при­ве­сти на­ціо­наль­не за­ко­но­дав­ство у від­по­від­ність до GDPR, що від­те­пер про­пи­са­но у Пла­ні Уря­ду з ви­ко­на­н­ня Уго­ди про Асо- ці­а­цію з ЄС. Хо­ча вне­се­н­ня змін до ба­зо­во­го За­ко­ну «Про за­хист пер­со­наль­них да­них» на сьо­го­дні ви­гля­дає як да­ле­ка пер­спе­кти­ва (Пла­ном Уря­ду пе­ред­ба­че­но ли­ше роз­роб­ку пер­шо­го про­е­кту змін до 25.05.2018 р.), про­те з ча­сом укра­їн­ське за­ко­но­дав­ство про за­хист пер­со­наль­них да­них теж ґрун­ту­ва­ти­ме­ться на GDPR, як во­но за­раз ґрун­ту­є­ться на по­ло­же­н­нях Ди­ре­кти­ви 95/46/ЄС.

Оскіль­ки сьо­го­дні укра­їн­ське за­ко­но­дав­ство не вра­хо­вує осо­бли­во­стей GDPR у про­це­сі оброб­ки HR-да­них (да­ні про пра­ців­ни­ків, їхній background та мо­ні­то­ринг ро­бо­чої актив­но­сті), мо­же скла­да­ти­ся вра­же­н­ня, що по­ло­же­н­ня GDPR сто­су­ю­ться ли­ше то­ва­рів та по­слуг, які про­по­ну­ю­ться ре­зи­ден­там ЄС че­рез он­лайн-пла­тфор­ми. Однак по­за ува­гою за­ли­ша­є­ться пи­та­н­ня транскор­дон­ної пе­ре­да­чі да­них (зокре­ма, HR-да­них) яка ре­гу­лю­ва­ти­ме­ться GDPR під час екс­пор­ту пер­со­наль­них да­них пра­ців­ни­ків-ре­зи­ден­тів ЄС для їх оброб­ки в Укра­ї­ні.

Остан­ній при­клад зов­сім не­по­оди­но­кий для Укра­ї­ни, оскіль­ки чи­ма­ло транс­на­ціо­наль­них кор­по­ра­цій обро­бля­ють HR-да­ні пра­ців­ни­ків на «кла­стер­но­му» рів­ні, де не­рід­ко укра­їн­ська до­чір­ня ком­па­нія ви­сту­пає цен­тром та­ких кла­сте­рів у Схі­дній Єв­ро­пі ра­зом з кра­ї­на­ми-чле­на­ми ЄС (як-то Поль­ща, Сло­вач­чи­на, Угор­щи­на, Че­хія то­що). Ва­жли­вість до­три­ма­н­ня ви­мог GDPR у про­це­сі пе­ре­да­чі HR-да­них в Укра­ї­ну зу­мов­лю­є­ться та­кож тим, що у ви­пад­ку по­ру­шень від­по­від­аль­ність не­сти­ме екс­пор­тер – єв­ро­пей­ська ком­па­ні­я­во­ло­ді­лець пер­со­наль­них да­них, тоб­то без­по­се­ре­дній ро­бо­то­да­вець ре­зи­ден­тів ЄС, чиї да­ні обро­бля­ти­му­ться в Укра­ї­ні.

Під­ста­ви для транскор­дон­ної пе­ре­да­чі

По­ло­же­н­ня­ми GDPR, як і ще чин­ною на сьо­го­дні Ди­ре­кти­вою 95/46/ЄС, пе­ред­ба­че­но низ­ку ви­пад­ків, за яких до­зво­ля­є­ться тран­скор­дон­на пе­ре­да­ча да­них. На­сам­пе­ред, без­пе­ре­шко­дно пе­ре­да­ча да­них мо­же здій­сню­ва­ти­ся до кра­їн з так зва­ним «аде­ква­тним» рів­нем за­хи­сту. За біль­ше ніж 20 ро­ків дії Ди­ре­кти­ви 95/46/ЄС ли­ше 10 кра­їн сві­ту бу­ли ви­зна­ні Єв­ро­ко­мі­сі­єю як та­кі, що за­без­пе­чу­ють «аде­ква­тний» рі­вень за­хи­сту, а Ка­на­да та США отри­ма­ли ли­ше час­тко­ве ви­зна­н­ня (зокре­ма, че­рез EU-US Privacy Shield – для США).

Ін­ши­ми най­більш по­ши­ре­ни­ми під­ста­ва­ми для транскор­дон­ної пе- ре­да­чі бу­ли та за­ли­ша­ю­ться так зва­ні стан­дар­тні (мо­дель­ні) по­ло­же­н­ня про пе­ре­да­чу пер­со­наль­них да­них (standard contractual clauses), а та­кож за­твер­дже­ні кор­по­ра­тив­ні по­лі­ти­ки (binding corporate rules, чи BCRs). Якщо стан­дар­тні (мо­дель­ні) по­ло­же­н­ня по­ки що не за­зна­ють сут­тє­вих змін, то BCRs впер­ше за­крі­плю­ва­ти­му­ться са­ме на нор­ма­тив­но­му рів­ні (у Ди­ре­кти­ві 95/46/ЄС про них не йшло­ся). Для ба­га­тьох транс­на­ціо­наль­них кор­по­ра­цій са­ме за­твер­дже­н­ня BCRS є ефе­ктив­ним ме­ха­ні­змом для вну­трі­шньо­гру­по­вих обмі­нів HR-да­ни­ми (на­при­клад, цим ме­ха­ні­змом ко­ри­сту­ю­ться та­кі ком­па­нії як ArcelorMittal, Cargill, eBay, Philips, Sanofi Aventis то­що).

GDPR збе­рі­гає мо­жли­вість транскор­дон­ної пе­ре­да­чі да­них в окре­мих ви­клю­чних ви­пад­ках (при­мі­ром, без­умов­на та ви­клю­чна зго­да по­ін­фор­мо­ва­но­го суб’єкта пер­со­наль­них да­них, ви­ко­на­н­ня пра­во­чи­ну між суб’єктом пер­со­наль­них да­них та во­ло­діль­цем да­них, за­хист жит­тє­вих ін­те­ре­сів суб’єкта пер­со­наль­них да­них, пу­блі­чний ін­те­рес то­що). Ці під­ста­ви мо­жуть за­сто­со­ву­ва­ти­ся пе­ре­ва­жно в ін­ди­ві­ду­аль­них ви­пад­ках, во­дно­час во­ни на­вряд чи під­хо­дять для що­ден­но­го транскор­дон­но­го обмі­ну ма­си­ва­ми HR-да­них.

Крім то­го, GDPR пе­ред­ба­чає ме­ха­ні­зми сер­ти­фі­ка­ції на від­по­від­ність йо­го ви­мо­гам чи при­єд­на­н­ня до ін­ду­стрі­аль­них пра­вил оброб­ки пер­со­наль­них да­них (Codes of Conduct), які від­да­ле­но на­га­ду­ють по­ді­бний ін­стру­мент із Ди­ре­кти­ви 95/46/ЄС. Однак ці ме­ха­ні­зми ли­ше по­чнуть

роз­ро­бля­ти­ся з по­ча­тком дії GDPR, то­му го­во­ри­ти про їхню ефе­ктив­ність мо­жна бу­де ли­ше пі­сля ви­вче­н­ня пра­кти­ки їх за­сто­су­ва­н­ня.

«Аде­ква­тність» за­хи­сту

Ви­зна­н­ня «аде­ква­тно­сті» рів­ня за­хи­сту пер­со­наль­них да­них ви­мо­гам Ди­ре­кти­ви 95/46/ЄС пе­ред­ба­ча­ло до­во­лі скла­дний та гро­мі­зд­кий про­цес оцін­ки Єв­ро­ко­мі­сі­єю пра­во­вих та ін­сти­ту­цій­них ме­ха­ні­змів тре­тіх кра­їн. Тут вар­то зга­да­ти хо­ча б Япо­нію та Пів­ден­ну Ко­рею, які роз­по­ча­ли про­цес пе­ре­мо­вин з Єв­ро­ко­мі­сі­єю ще на по­ча­тку 2017 р. та до­сі не отри­ма­ли рі­ше­н­ня про ви­зна­н­ня «аде­ква­тно­сті» рів­ня за­хи­сту ни­ми пер­со­наль­них да­них.

У цьо­му пла­ні GDPR не при­не­се зна­чно­го спро­ще­н­ня. Ско­рі­ше, нав­па­ки, від­те­пер ці­лий пе­ре­лік кри­те­рі­їв, які має оці­ни­ти Єв­ро­ко­мі­сія для на­да­н­ня рі­ше­н­ня про «аде­ква­тність» за­хи­сту, за­крі­пле­но без­по­се­ре­дньо в текс­ті GDPR. Ці кри­те­рії над­зви­чай­но ши­ро­кі – від до­три­ма­н­ня кра­ї­ною прин­ци­пу вер­хо­вен­ства пра­ва та на­яв­но­сті спе­ці­аль­но­го за­ко­но­дав­ства, до ін­сти­ту­цій­ної спро­мо­жно­сті не­за­ле­жно­го ор­га­ну із за­хи­сту пер­со­наль­них да­них, оцін­ки на­яв­ної су­до­вої пра­кти­ки та між­на­ро­дно-пра­во­вих зо­бов’язань кра­ї­ни у цій сфе­рі.

Во­дно­час GDPR пе­ред­ба­чає ре­во­лю­цій­ну ідею з мо­жли­ві­стю на­да­н­ня рі­ше­н­ня про «аде­ква­тність» за­хи­сту не ли­ше кра­ї­нам, але й окре­мим се­кто­рам еко­но­мі­ки в ме­жах кра­ї­ни. Для Укра­ї­ни це мо­же озна­ча­ти, на­сам­пе­ред, мо­жли­вість отри­ма­н­ня рі­ше­н­ня Єв­ро­ко­мі­сії про «аде­ква­тність» за­хи­сту пер­со­наль­них да­них в окре­мих се­кто­рах (на­при­клад, ІТ, бан­ків­ський се­ктор то­що), без про­хо­дже­н­ня три­ва­ло­го про­це­су на­да­н­ня та­ко­го рі­ше­н­ня за­га­лом для всі­єї кра­ї­ни (хо­ча без пра­кти­ки на­да­н­ня та­ких «се­кто­раль­них» рі­шень по­ки що не­мо­жли­во го­во­ри­ти, чи ста­не про­цес менш три­ва­лим). Що сто­су­є­ться кри­те­рі­їв оцін­ки для се­кто­раль­но­го рі­ше­н­ня, во­ни за­ли­ша­ю­ться ти­ми ж, що і для ви­зна­н­ня «аде­ква­тно­сті» за­хи­сту в ме­жах усі­єї кра­ї­ни, хо­ча до ува­ги бра­ти­му­ться та­кож про­фе­сій­ні пра­ви­ла та пра­кти­ки кон­кре­тно­го се­кто­ру.

На­о­ста­нок вар­то до­да­ти, що GDPR пе­ред­ба­чає пе­ре­гляд усіх рі­шень про «аде­ква­тність» за­хи­сту 1 раз на 4 ро­ки, що по­тре­бу­ва­ти­ме до­да­тко­вих зу­силь від кра­їн чи се­кто­рів на­віть пі­сля отри­ма­н­ня ни­ми рі­ше­н­ня Єв­ро­ко­мі­сії про «аде­ква­тність» за­хи­сту.

Кор­по­ра­тив­ні пра­ви­ла – BCRs

GDPR впер­ше на нор­ма­тив­но­му рів­ні пе­ред­ба­чає мо­жли­вість за­твер­дже­н­ня кор­по­ра­тив­них пра­вил – BCRs, при­зна­че­них для вну­трі­шньо­гру­по­вих обмі­нів да­ни­ми з їх пе­ре­да­чею з ЄС до тре­тіх кра­їн. По­ді­бний ме­ха­нізм, хо­ча і нев­ре­гу­льо­ва­ний Ди­ре­кти­вою 95/46/ЄС, існу­вав і ра­ні­ше. Зна­чна кіль­кість транс­на­ціо­наль­них кор­по­ра­цій ним ско­ри­ста­ли­ся.

На сьо­го­дні GDPR пе­ред­ба­чає чі­ткий пе­ре­лік ви­мог, яким має від­по- ві­да­ти BCRs, щоб отри­ма­ти за­твер­дже­н­ня від на­ціо­наль­но­го ор­га­ну із за­хи­сту пер­со­наль­них да­них на те­ри­то­рії ЄС. Зокре­ма, BCRs ма­ють чі­тко пе­ред­ба­ча­ти ме­ту транскор­дон­ної пе­ре­да­чі (на­при­клад, цен­тра­лі­зо­ва­на оброб­ка на кла­стер­но­му рів­ні) та ка­те­го­рії пра­ців­ни­ків, чиї да­ні пе­ре­да­ю­ться. BCRs по­вин­ні та­кож від­обра­жа­ти основ­ні по­ло­же­н­ня GDPR (що­до прин­ци­пів оброб­ки та прав суб’єктів пер­со­наль­них да­них) і пе­ред­ба­ча­ти про­це­ду­ру для оскар­же­н­ня оброб­ки суб’єкта­ми пер­со­наль­них да­них.

Зна­чні змі­ни від­бу­ли­ся та­кож у про­це­ду­рі за­твер­дже­н­ня BCRs. По-пер­ше, ком­па­нії-ре­зи­ден­ти ЄС, які здій­сню­ва­ти­муть транскор­дон­ну пе­ре­да­чу да­них на під­ста­ві BCRs, ма­ють пи­сьмо­во під­твер­ди­ти своє зо­бов’яза­н­ня не­сти від­по­від­аль­ність за будь-які по­ру­ше­н­ня, що мо­жуть тра­пи­ти­ся у про­це­сі пе­ре­да­чі чи подаль­шій оброб­ці. По-дру­ге, як і ра­ні­ше, BCRs ма­ють бу­ти за­твер­дже­ні на­ціо­наль­ним ор­га­ном із за­хи­сту пер­со­наль­них да­них одні­єї з кра­їн ЄС. Во­дно­час одно­ра­зо­ве за­твер­дже­н­ня в та­ко­му ор­га­ні будь-якої з 28 кра­їн­чле­нів ЄС є до­ста­тнім та не по­тре­бу­ва­ти­ме подаль­ших за­твер­джень в ін­ших кра­ї­нах-чле­нах ЄС. Ор­ган, який за­твер­див BCRs, на­бу­ває у цьо­му ви­пад­ку ста­ту­су Lead Authority та здій­снює кон­троль і ко­ор­ди­на­цію ви­ко­на­н­ня BCRs на рів­ні усьо­го ЄС. Най­біль­шу кіль­кість BCRs на сьо­го­дні за­твер­ди­ли на­ціо­наль­ні ор­га­ни Бель­гії, Ве­ли­ко­бри­та­нії, Ні­дер­лан­дів, Фран­ції та окре­мих фе­де­раль­них зе­мель Ні­меч­чи­ни.

От­же, BCRs є ефе­ктив­ним ме­ха­ні­змом для транскор­дон­ної пе­ре­да­чі да­них (в то­му чи­слі HR-да­них), ко­ли та­ка пе­ре­да­ча від­бу­ва­є­ться на рів­ні гру­пи ком­па­ній. Один раз ви­зна­чив­ши об­сяг пер­со­наль­них да­них, що пе­ре­да­ва­ти­му­ться, та ме­ту їх оброб­ки (на­при­клад, під час оброб­ки HR-да­них у «кла­сте­рах»), кор­по­ра­ції мо­жуть за­твер­ди­ти BCRs, що бу­дуть ба­зою для вну­трі­шньо­гру­по­вих обмі­нів да­ни­ми без будь-яких до­да­тко­вих об­тя­жень.

Standard contractual clauses

На­ре­шті GDPR збе­рі­гає мо­жли­вість транскор­дон­ної пе­ре­да­чі да­них на під­ста­ві стан­дар­тних (мо­дель­них) по­ло­жень про пе­ре­да­чу да­них, які роз­ро­бля­ю­ться Єв­ро­ко­мі­сі­єю. З по­ча­тком дії GDPR пра­во роз­ро­бля­ти та­кі мо­дель­ні по­ло­же­н­ня отри­ма­ють та­кож на­ціо­наль­ні ор­га­ни кра­їн ЄС із за­хи­сту пер­со­наль­них да­них.

Стан­дар­тні (мо­дель­ні) по­ло­же­н­ня є ти­по­ви­ми кон­тра­кта­ми, за яки­ми ре­зи­дент ЄС, що во­ло­діє пер­со­наль­ни­ми да­ни­ми, пе­ре­дає їх до тре­тіх кра­їн ін­шо­му во­ло­діль­це­ві (controller-to-controller) чи роз­по­ря­дни­ко­ві (controller-to-processor) пер­со­наль­них да­них. Ро­зро­бле­ні Єв­ро­ко­мі­сі­єю ти­по­ві фор­ми цих кон­тра­ктів збе­рі­га­ти­муть свою чин­ність і пі­сля по­ча­тку дії GDPR – до за­твер­дже­н­ня но­вих від­по­від­них форм. Та­кі ти­по­ві фор­ми мо­жуть віль­но ви­ко­ри­сто­ву­ва­ти­ся будь-яки­ми во­ло­діль­ця­ми пер­со­наль­них да­них та не по­тре­бу­ють до­да­тко­во­го за­твер­дже­н­ня з бо­ку на­ціо­наль­них ор­га­нів із за­хи­сту пер­со­наль­них да­них.

Ви­снов­ки

Як ба­чи­мо, до по­ча­тку за­сто­су­ва­н­ня GDPR з 25.05.2017 р. про на­дій­ність за­хи­сту пер­со­наль­них да­них ре­зи­ден­тів ЄС та за­кон­ність їх оброб­ки на те­ри­то­рії Укра­ї­ни вар­то по­тур­бу­ва­ти­ся не ли­ше ІТ-ком­па­ні­ям та бан­кам, але й усім ком­па­ні­ям, які ре­гу­ляр­но обро­бля­ють HR-да­ні ре­зи­ден­тів ЄС. У той час як отри­ма­н­ня Укра­ї­ною рі­ше­н­ня про «аде­ква­тність» за­хи­сту пер­со­наль­них да­них най­ближ­чим ча­сом не очі­ку­є­ться, окре­мі се­кто­ри укра­їн­сько­го бі­зне­су мо­жуть скон­цен­тру­ва­ти свої зу­си­л­ля для спро­ще­н­ня транскор­дон­ної пе­ре­да­чі да­них з ЄС та ви­зна­н­ня «аде­ква­тно­сті» за­хи­сту, що на­да­є­ться в ме­жах се­кто­ру.

Ком­па­ні­ям, які до­сі обро­бля­ли да­ні ре­зи­ден­тів ЄС без будь-яких пра­во­вих під­став, не­від­кла­дно слід укла­сти хо­ча б ти­по­ві до­го­во­ри з ком­па­ні­я­ми-«екс­пор­те­ра­ми да­них» з ЄС. Це по­тре­бу­ва­ти­ме мі­ні­маль­них зу­силь, але за­хи­стить «екс­пор­те­ра» від по­тен­цій­ної су­во­рої від­по­від­аль­но­сті за GDPR. Для ком­па­ній, що є ча­сти­ною транс­на­ціо­наль­них кор­по­ра­цій та груп, іде­аль­ним рі­ше­н­ням є за­твер­дже­н­ня BCRs в одній з кра­їн ЄС, що на­да­лі до­зво­ля­ти­ме пе­ре­да­чу да­них між ком­па­ні­я­ми гру­пи без жо­дних до­да­тко­вих обме­жень.

Для ком­па­ній, що є ча­сти­ною транс­на­ціо­наль­них кор­по­ра­цій, іде­аль­ним рі­ше­н­ням є за­твер­дже­н­ня BCRs в одній з кра­їн ЄС

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.