GDPR: какво трябва да знаем за трансфера на лични данни извън ЕС?

Една от силно положителните страни на Общия регламент за защита на личните данни, много по-известен като GDPR, е, че не ограничава потока от лични данни в рамките на ЕС. Това е така, защото се приема, че всяка от държавите-членки е в състояние да гарантира същото ниво на защита на данните, както то е залегнало в самия регламент.

Важно в този смисъл е да се знае, че „износът“ на данни към трети държави, т. е. такива извън Европейския съюз, е разрешен само след изпълнение на определени условия. За целите на GDPR към третите страни приравнени по изисквания са и международните организации.

Според Общия регламент допустимите хипотези за трансфер на лични данни към трети страни или международни организации са:

Решение на Европейската комисия за наличие на адекватно ниво на защита

Прехвърлянето на лични данни извън ЕС въз основа на решение за адекватност не изисква одобрение от надзорния орган (чл. 45, ал. 1 GDPR).

По своята същност решенията за адекватност са „актове за изпълнение“ на Комисията. Те предвиждат механизъм за периодичен преглед най-малко на всеки четири години. Комисията наблюдава развитието в съответните трети държави и отменя, изменя или спира действието на решенията си адекватност, когато разполага с информация, че съответната трета страна не осигурява адекватно ниво на защита на личните данни на граждани на ЕС.

Решенията за адекватност, приети съгласно Директива 95/46 остават в сила, докато не бъдат отменени. Понастоящем такива има по отношение на Андора, Аржентина, Джърси, Гърнзи, Израел, Канада, Нова Зеландия, остров Ман, Уругвай, Фарьорските острови, Швейцария и САЩ (последните на основание специалното споразумение Privacy Shield).

Трансфер на данни при наличие на подходящи гаранции

Съгласно чл. 46, ал. 1 GDPR  прехвърлянето на данни към трети страни отново е възможно без одобрението на надзорния орган, доколкото са налице „подходящи гаранции“ за тяхната защита като

– Обвързващи корпоративни правила (Binding corporate rules), одобрени от съответния надзорен орган (в нашия случай това е КЗЛД, която има практика в одобряването на такива);

– Стандартни клаузи за защита на данните, приети от Комисията или приети от националния надзорен орган и одобрени от Комисията (засега имаме само това по старата директива, вероятно скоро ще има актуализация);

– Одобрен кодекс за поведение или одобрен механизъм за сертифициране, като и в двата случая трябва да са предвидени правно обвързващи и принудително изпълними задължения на администратора или обработващия в третата страна относно прилагането на подходящи мерки за защита, включително по отношение на правата на човека (примерно както в Code of conduct for cloud service providers);

При наличието на одобрение от страна на надзорния орган, подходящите гаранции могат да включват и

– Договорни клаузи, договорени между администратора и обработващия или между администратора, обработващия и получателя на личните данни в третата страна.

Изключения за определени случаи, за които не се иска одобрението на надзорния орган

Те са разписани в чл. 49 от GDPR и са приложими при липса на решение относно адекватното ниво на защита (чл. 45, ал. 3) или на подходящи гаранции (чл. 46), в това число обвързващи корпоративни правила, когато

– субектът на данните изрично е дал съгласието си за предлаганото предаване на данни, след като е бил информиран за свързаните с предаването възможни рискове за субекта на данните поради липсата на решение относно адекватното ниво на защита и на подходящи гаранции;

– предаването е необходимо за изпълнението на договор между субекта на данните и администратора или за изпълнението на преддоговорни мерки, взети по искане на субекта на данните;

– предаването е необходимо за сключването или изпълнението на договор, сключен в интерес на субекта на данните между администратора и друго физическо или юридическо лице;

– предаването е необходимо поради важни причини от обществен интерес;

– предаването е необходимо за установяването, упражняването или защитата на правни претенции;

– предаването е необходимо, за да бъдат защитени жизненоважните интереси на субекта на данните или на други лица, когато субектът на данните е физически или юридически неспособен да даде своето съгласие;

– предаването се извършва от регистър, който съгласно правото на Съюза или правото на държавите членки е предназначен да предоставя информация на обществеността и е достъпен за справка от обществеността по принцип или от всяко лице, което може да докаже, че има законен интерес за това, но само доколкото условията за справка, установени в правото на Съюза или правото на държавите членки, са изпълнени в конкретния случай.

При липса на някое от горепосочените изключения, трансферът на данни към трета страна или международна организация може да се осъществи само ако

– предаването е еднократно (т. е. „не е повтаряемо“),

– засяга само ограничен брой субекти на данни и

– е необходимо за целите на неоспоримите законни интереси, преследвани от администратора, над които не стоят интересите или правата и свободите на субекта на данни и администраторът е оценил всички обстоятелства, свързани с предаването на данните, и въз основа на тази оценка е предоставил подходящи гаранции във връзка със защитата на личните данни.

За последната група изключения е необходимо да се извърши преценка, като те са приложими, само когато

– интересите или правата и свободите на субекта на данните не са преобладаващи и

– администраторът е предвидил подходящи предпазни мерки по отношение на защитата на личните данни.

В тези случаи администраторът е длъжен да уведоми надзорния орган за трансфера, като в тази връзка също трябва да информира субекта на данни за неговите права и законни интереси.

Сума сумарум

трансферът на лични данни извън ЕС съгласно GDPR е възможен, като в немалка част от случаите не е особено сложен или проблематичен, но за сметка на това може да бъде обвързан с някои преценки, които администраторът на данни трябва да направи.

Надявам се този блогпост да ви е бил от полза, а при въпроси съм на ваше разположение!

Disclaimer:  този материал пресъздава състоянието на приложимото право за защита на лични данни към датата на своето публикуване. Ще се старая да го актуализирам при наличие на съответни изменения. В този смисъл, ако го четете на по-късен етап – задължително се свържете с мен, преди да го прилагате при трансфер на лични данни извън ЕС!

 

Колаж – автор Борил Гуринов с преработка на произведение, достъпно под лиценз CC0 в Pexels.