Kyiv Outsourcing Forum 2017 --- OLEKSIY STOLYARENKO «Міжнародні трансфери персональних даних»

1. Міжнародні трансфери
персональних даних
Олексій Столяренко
старший юрист практики IT/IP
26 травня 2017 року

2. 1 Що таке персональні дані?

3. Персональні дані це:
колір волосся
розмір одягу
судимість
ім'я і номер телефону
вік і професія
улюблений серіал
стан здоров'я
місце
проживання
стать
партійність

4. Визначення (GDPR):
GDPR (General Data
Protection Regulation):
Загальний Регламент ЄС про
Захист Даних
(REGULATION (EU) 2016/679
OF THE EUROPEAN
PARLIAMENT AND OF THE
COUNCIL of 27 April 2016 on the
protection of natural persons with
regard to the processing of
personal data and on the free
movement of such data, and
repealing Directive 95/46/EC)
«Персональні дані» означає будь-яку
інформацію, що стосується
ідентифікованої фізичної особи або
такої, що можна ідентифікувати
(«суб'єкта даних»);
«Обробка» означає будь-яку операцію
або набір операцій, яка виконується
стосовно персональних даних або
наборів персональних даних [скорочено];
«Контролер» означає фізичну або
юридичну особу, державний орган,
установу або інший орган, який поодинці
або спільно з іншими, визначає цілі і
засоби обробки персональних даних;
«Процесор» означає фізичну або
юридичну особу, державний орган,
установу або інший орган, який обробляє
персональні дані від імені контролера.

5. 5
Останні події в світі персональних даних:
Art. 29
Working
Party
Art. 29
Working
Party
GDPR
Жовтень 2015:
Рішення ECJ-
“Safe Harbor не
дійсна”
Січень 2016:
Оголошення
EU-US Privacy
Shield як
заміни
Січень 2016:
Оголошення
консультацій по
механізмам
трансферу і
EU-US Privacy
Shield
Березень/
Квітень 2016:
Погодження
механізмів
трансферу і EU-
US Privacy
Shield
Липень 2016:
Рішення по
вступу в дію
EU-US
Privacy Shield
~ Травень
2018
Вступ в силу
GDPR

6. 2 Загальний Регламент ЄС про
Захист Даних
6

7. GDPR– загальний огляд (1)
7
 Регламент v. Директива
 Перші справжні зміни із 1995
 Що станеться з національними законами?
 Які найбільші зміни?
 Чи застосовується до компаній, що розташовані поза ЄС?
 Санкції?
 Регулювання міжнародних трансферів?
 Як готуватись українським компаніям?

8. GDPR – загальний огляд (2)
• Уніфікований закон, що має пряму дію в ЕС (не повна гармонізація)
• Регламент замість Директиви, але багато положень GDPR
дозволяють або вимагають регулювання національним правом
‒ Європейські закони після імплементації
Directive95/46/EC
TheGDPR

9. Матеріальна сфера застосування (ст. 2 GDPR):
9
Поняття персональні дані уточнено:
• IP-адреси
• cookies
• цифрові ідентифікатори або інші
ідентифікатори пристроїв і місця
розташування по яким може бути
ідентифікована конкретна особа.
Матеріальна сфера застосування не змінилась
Обробка персональних даних, щонайменше, частково за допомогою
автоматизованих засобів або інша, ніж за допомогою автоматизованих
засобів, як частина системи обліку даних.

10. Територія застосування (Ст. 3.1 GDPR)
10
Цей Регламент застосовується до
обробки персональних даних в контексті
діяльності контролера або процесора
заснованого в Союзі, незалежно від
того, чи обробка має місце в ЄС чи ні.
Преамбула (19): Під «заснуванням» мається на увазі
ефективне і реальне здійснення діяльності через
стабільні домовленості.
Для контролерів даних, заснованих в ЄС: ніяких істотних змін
Тепер розповсюджується і на процесорів даних заснованих в ЄС,
незалежно від того де здійснюється обробка даних

11. Територія застосування (Ст. 3.2 GDPR) (1)
11
Цей регламент застосовується до обробки персональних даних
суб'єктів даних, які знаходяться в Союзі, навіть якщо
контролер або процесор не засновані в Союзі, де діяльність
по обробці пов'язана з:
пропонуванням товарів або послуг, незалежно від
того, чи вимагається оплата суб'єкта даних таким
суб'єктам даних в Союзі; (або)
моніторингом їх поведінки, якщо їхня поведінка
відбувається в рамках Союзу.

12. Територія застосування (Ст. 3.2 GDPR) (2)
12
Як зрозуміти, що контролер або процесор пропонує товари або послуги
суб'єктам даних, що знаходяться в Союзі?
Відповідні фактори: використання мови або валюти, що як правило, використовується
в одній або більше державах-членах ЄС з можливістю замовлення товарів і послуг,
використовуючи цю мову; і/або вказування клієнтів або користувачів, які знаходяться в
Союзі.
Як зрозуміти, що контролер або процесор здійснює моніторинг поведінки
суб'єктів даних, що знаходяться в Союзі?
Преамбула (21): Для того, щоб визначити, чи обробка даних може розглядатися як
моніторинг поведінки суб'єктів даних, необхідно встановити, чи здійснюється
спостереження за діями осіб в Інтернеті, в тому числі профілювання (аналіз або
передбачення особистих рис характеру, поведінки і поглядів).

13. Так що ж нового в GDPR?
GameChangers

14. Нові права суб'єктів даних
14
Ст. 12 (1) GDPR • Право на зрозумілу інформацію:
Контролер забезпечує надання
обов'язкової інформації для суб'єкта
даних в зрозумілій, дохідливій і легко
доступній формі.
Ст. ст. 17, 18, 19, 20, 32 GDPR • право бути забутим
• право на мобільність даних
• право заперечувати проти рішень,
заснованих на профілюванні
• право отримувати повідомлення
про деякі порушення безпеки
зберігання даних

15. Міжнародні трансфери персональних даних
15
Рішення про
адекватність (ст. 41
GDPR)
Рішення Комісії
Країни, території,
сектора, і міжнародні
організації
Переглядаються раз в 4
роки
Можуть бути скасовані
після повідомлення та
належного
обґрунтування
Ex: Швейцарія,
Аргентина, Уругвай
Трансфери засновані на
відповідних захисних засобах
(ст. 42/43 GDPR)
Відповідні угоди між державними
органами або державними
інституціями
BCRs: (зобов'язання групи
компаній, що ведуть спільну
економічну діяльність)
SCCs затверджені Комісією
SCCs затверджені Державним
органом по захисту персональних
даних із схваленням Комісією
Затверджені правила поведінки із
обов'язковими для виконання
зобов'язаннями
Затверджені сертифікаційні
механізми із обов'язковими для
виконання зобов'язаннями
Відступ від вимог (ст. 44 GDPR)
Явна згода
Необхідність виконання договору
між суб'єктом даних і контролером
або здійснення переддоговірних
заходів на запит суб'єкта
Необхідність виконання договору
укладеного в інтересах суб'єкта
даних
Необхідність захисту громадських
інтересів
Необхідність встановлення, захисту
прав
Необхідність захисту життєво
важливих інтересів суб'єкта даних
або іншої особи, за умови, якщо
дані особи нездатні для здійснення
своїх прав
Публічні реєстри
Законні інтереси Контролера даних
(інформувати DPA)

16. Відповідальність / Штрафи
16
• Ст. 77: Фізичні особи можуть зажадати
компенсації матеріальної або
нематеріальної шкоди
• Ст. 79.3 (а): Порушення прав суб'єктів
даних відповідно до ст. ст. 12 - 20 тягне за
собою штрафи в розмірі до 20 000 000
євро, або до 4% від загального
світового річного обороту попереднього
фінансового року, в залежності від того, що
вище…

17. Що робити українським IT компаніям? (1)
17
ТАК?
НІ?
Проаналізувати, чи Ваша компанія буде підпадати під
сферу регулювання GDPR:
• контролер, процесор заснований в ЄС?
• контролер, не заснований в ЄС, але пропонуєте товари
або послуги, ведете спостереження за поведінкою
жителів ЄС?
• збираєте, обробляєте дані жителів ЄС?

18. Що робити українським IT компаніям? (2)
18
Починати готуватись до відповідності
умовам GDPR:
- аналізувати свою діяльність по обробці
даних
- впроваджувати принципи захисту
персональних даних в дизайн організації
- оновлювати політики, інструменти,
системи збору і обробки персональних
даних
- працювати над створенням «карт
обробки даних»
- впроваджувати відповідні організаційні
та технічні засоби захисту персональних
даних і т.д.
ТАК!

19. 3 The EU-U.S. Privacy Shield
19

20. The EU-U.S. Privacy Shield (Safe Harbor 2.0)
Не договір, але рішення про надання адекватного захисту
персональних даних Європейською Комісією
Компанії в США, що сертифіковані за цією програмою
надають адекватний захист персональних даних.
Рішення по програмі Privacy Shield складається із різних частин:
основної частини і 7 Додатків, де важливими елементами є:
7 Основних Принципів;
Письмові запевнення в дотриманні принципів захисту
персональних даних державними органами США.
Глобальний ефект програми через застосування Принципу
Розповсюдження на Подальші Трансфери.
 Вимоги впливають на компанії, що не знаходяться в США,
якщо їх залучили до співпраці компанії в США, які отримали дані по
програмі.

21. Принципи програми Privacy Shield
1. Повідомлення
• необхідно інформувати суб'єктів даних щодо 13 конкретних видів даних
(наприклад, щодо типу зібраних даних, цілей обробки, можливості
скаржитись в обов'язковий арбітраж і т.д.)
2. Вибір
• можливість відмовитись від розкриття персональних даних та використання
даних для інших цілей
3. Відповідальність за подальші Трансфери
• подальші трансфери можливі тільки для обмежених і спеціально вказаних
цілей і тільки на підставі договору, де отримувач даних зобов'язується
надавати той самий рівень захисту як і передбачений в програмі
4. Принцип безпеки
• необхідно впровадити розумні та відповідні засоби безпеки для захисту
персональної інформації від втрати, неналежного використання,
неавторизованого доступу, розголошення, зміни, та знищення

22. Принципи програми Privacy Shield
22
5. Цілісність даних і Обмеження Цілей
• необхідно обмежити збір персональних даних, необхідними і не обробляти
їх для несумісних цілей
• персональні дані повинні бути надійними для використання за
призначенням, містити точну і актуальну інформацію
6. Доступ
• повинні надати суб'єктам доступ до особистих даних для виправлення,
зміни або видалення неточної інформації або обробленої в порушення
Принципів програми
7. Відшкодування, Захист і Відповідальність
• повинні впровадити легкодоступні незалежні механізми оскарження та
вирішення скарг без будь-яких витрат для фізичних осіб
• необхідно періодично перевіряти, чи опубліковані політики конфіденційності
відповідають Privacy Shield і чи Принципи фактично дотримуються

23. Додаткові ресурси:
23
2017 Global Privacy Handbook
(http://globalprivacymatrix.bakermckenzie.com)
B:INFORM NEWSLETTER (www.bakerinform.com)
Global IT/C Hub(http://globalitc.bakermckenzie.com/privacydatasecurity)

24. 24
Дякую.

25. Baker & McKenzie – CIS, Limited is a member firm of Baker & McKenzie International, a Swiss Verein with member law
firms around the world. In accordance with the common terminology used in professional service organisations,
reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an
"office" means an office of any such law firm. This may qualify as “Attorney Advertising” requiring notice in some
jurisdictions. Prior results do not guarantee a similar outcome.
© 2016 Baker & McKenzie – CIS, Limited
www.bakermckenzie.com
Олексій Столяренко
Старший юрист
Бейкер Макензі
Бізнес-центр Ренесанс
вул. Бульварно-Кудрявська, 24
Київ 01601, Україна
Тел.: +380 44 590 0101
Факс: +380 44 590 0110
oleksiy.stolyarenko@bakermckenzie.com