GDPR є серйозним викликом, особливо для компаній, що не входять до ЄС, але обробляють персональні дані громадян ЄС або надають послуги на території ЄС. При передачі персональних даних у треті країни – зокрема в Україну – вони повинні дотримуватися суворих вимог захисту даних. Багато компаній запитують себе, як забезпечити правомірний обмін даними між ЄС і Україною, яку роль відіграють стандартні договірні положення та що слід враховувати після рішення «Schrems II». Ми пояснюємо, які технічні та організаційні заходи необхідні для захисту персональних даних відповідно до вимог GDPR, як компанії мають враховувати чинні норми та можливі невизначеності, а також які рішення доступні для малих і середніх підприємств без власного представництва в ЄС. Також ви дізнаєтесь, як компанія за межами ЄС може досягти відповідності вимогам із захисту даних та уникнути штрафів.

Передача даних ЄС–Україна: правові рамки

Багато малих і середніх підприємств з-за меж ЄС потребують ефективної й водночас законної передачі даних між ЄС і Україною – наприклад, у рамках співпраці з українськими постачальниками послуг чи ІТ-фахівцями. Оскільки Україна не визнана GDPR як «безпечна третя країна», для передачі даних до України необхідно застосовувати спеціальні заходи. Центральну роль тут відіграють стандартні договірні положення (Standard Contractual Clauses, SCC): вони гарантують дотримання стандартів захисту даних ЄС і за його межами. Проте після рішення «Schrems II» самих лише стандартних договірних положень може бути недостатньо. Важливо належно оцінювати ризики та застосовувати додаткові гарантії, щоб запобігти неналежній обробці персональних даних, наприклад, даних клієнтів ЄС у третіх країнах. Лише так можливо гарантувати відповідність передачі даних ЄС–Україна вимогам GDPR.

Schrems II: наслідки для передачі даних

Рішення Європейського суду справедливості (ЄСС) у справі «Schrems II» від липня 2020 року докорінно змінило правила міжнародних передач даних. ЄСС визнав недійсною угоду «Privacy Shield» між ЄС та США, що одночасно посилило вимоги і для інших третіх країн – включно з Україною.

Для компаній це означає:

• Передача персональних даних у треті країни дозволяється лише за суворих умов.
• Стандартні договірні положення залишаються чинними, але потребують обов’язкового додаткового аналізу ризиків.
• Має бути забезпечений адекватний рівень захисту даних у країні-отримувачі; якщо цього недостатньо – необхідні додаткові технічні й організаційні заходи.

Це особливо важливо для обмінів між ЄС та Україною, де існують специфічні ризики: наприклад, державний доступ, невизначена правова база або відсутність незалежних наглядових органів. GDPR вимагає прозорого інформування суб’єктів даних про передачу та гарантування їхніх прав: доступу, виправлення, видалення й заперечення. Рішення Schrems II зобов’язує компанії проводити так звану оцінку впливу передачі даних (Transfer Impact Assessment, TIA) при використанні стандартних договірних положень. Мета – оцінити індивідуальні ризики і вжити додаткових заходів захисту там, де це потрібно. Без таких заходів існує ризик значних штрафів і шкоди репутації. Таким чином, захист даних залишається ключовим елементом для будь-якої компанії, яка міжнародно обробляє персональні дані громадян ЄС.

Забезпечення захисту даних при передачах ЄС–Україна

Компанії, що передають персональні дані громадян ЄС в Україну, повинні відповідати вимогам GDPR і гарантувати правомірність цього процесу. Рішення можуть включати:

1. Використання стандартних договірних положень (SCC): контракти, розроблені Єврокомісією, які зобов’язують отримувача в Україні дотримуватися стандартів ЄС. Їх необхідно адаптувати до конкретної ситуації та підписати обома сторонами.
2. Оцінка впливу передачі даних (TIA): після Schrems II потрібно здійснювати ризик-аналіз кожного випадку передачі. Це включає:
   • оцінку правового середовища в Україні,
   • аналіз потенційних ризиків для суб’єктів даних,
   • документування результатів та вжитих заходів.
3. Додаткові технічні й організаційні гарантії: якщо рівень захисту не достатній, застосовуються додаткові заходи, зокрема:
   • наскрізне (end-to-end) шифрування,
   • псевдонімізація перед передачею,
   • обмеження доступу до даних на стороні одержувача,
   • регулярне навчання українських партнерів із захисту даних.
4. Прозора інформованість суб’єктів даних: GDPR зобов’язує повідомляти про передачу у треті країни. Особи повинні знати тип, обсяг, мету передачі та свої права.
5. Документування й докази: усі заходи – від впровадження SCC до технічних гарантій – мають бути зафіксовані й за потреби представлені наглядовим органам.
6. Призначення представника в ЄС: для відповідності вимогам ст. 27 GDPR і забезпечення контакту з органами ЄС рекомендується призначити офіційного представника в ЄС.

Практичний приклад

Американська софтверна компанія співпрацює з українськими розробниками і отримує доступ до даних клієнтів з ЄС. Для забезпечення відповідності GDPR компанія укладає стандартні договірні положення з українським партнером, шифрує всі дані, проводить детальну TIA та документує заходи. Спілкування з органами захисту даних здійснює призначений представник у ЄС. Так компанія виконує вимоги GDPR і Schrems II для міжнародних обмінів даними між ЄС та Україною та мінімізує ризики порушення.

Висновок

Дотримання GDPR для передач даних ЄС–Україна є обов’язковим. Після Schrems II одних лише стандартних договірних положень часто недостатньо – потрібні додаткові оцінки ризиків і технічні заходи захисту. Це єдиний шлях гарантувати належний захист персональних даних громадян ЄС в Україні. Компанії з-за меж ЄС повинні документувати всі процеси, забезпечувати права суб’єктів даних і призначати представника в ЄС. Варто звернутися до фахових консультантів, аби забезпечити відповідність вимогам і уникнути значних штрафів. Зверніться до нас за індивідуальними рішеннями для міжнародних передач даних між ЄС та Україною.