Поскольку переходный период Brexit закончился 31 декабря 2020 года, а соответствующие сделки не были заключены, будущее трансграничной передачи данных между Европейской экономической зоной (ЕЭЗ) и Соединенным Королевством остается неясным. С 1 января 2021 года Соединенное Королевство считается «третьей страной», и, если не будет предложена сделка по Brexit, касающаяся защиты данных в ЕС и Британии, а также того, как должна обрабатываться информация в процессе рыночных отношений между юрисдикциями, регулирование передачи данных может быть затруднительным.
Защита данных в соответствии с GDPR
Согласно статье 44 Общего регламента по защите персональных данных в ЕС (GDPR), существует общий запрет на передачу таких данных из ЕЭЗ получателям, которые находятся вне территории Евросоюза. Среди исключений из этого общего запрета «решение о соответствии», принятое Европейской Комиссией, будет наименее обременительным вариантом для обеспечения непрерывности бизнеса. Это связано с тем, что после получения такого статуса третья страна может свободно осуществлять передачу личных данных с ЕЭЗ без каких-либо дополнительных гарантий. Однако такой статус может быть предоставлен только после рассмотрения Европейской Комиссии и подтверждения того, что третья страна защищает персональные данные (ПД) в соответствии общеевропейскими стандартами. На сегодняшний день Япония является единственной страной, которая получила «решение о соответствии», поскольку ее законодательство отвечает положениям регулирования защиты данных GDPR.
Определение того, может ли передача персональных данных из ЕЭЗ в Соединенное Королевство продолжаться беспрепятственно, было предметом многочисленных обсуждений в течение 2020 года. Однако решение так и не было принято, что означает, что сейчас нет механизма, который бы автоматически разрешал ЕЭЗ передавать личные данные в Великобританию. Предприятиям и организациям придется предпринять конкретные шаги для обеспечения защиты персональных данных в Великобритании в соответствии с GDPR.
Если вы планировали начать бизнес в Великобритании, который подразумевает охват пользователей из ЕС, стоит учитывать, что Европейская Комиссия продолжает рассматривать вопрос о том, следует ли предоставить Соединенному Королевству решение о соответствии.
Великобритания уже включила GDPR в свое законодательство, но ЕК также будет оценивать факторы, которые влияют на реализацию таких положений.
Регулирование защиты данных в Великобритании
В случае если Соединенному Королевству не будет предоставлен статус соответствия, предприятиям придется полагаться на другие исключения, указанные в GDPR. Помимо согласия субъектов данных, следует учитывать следующее:
- Наличие стандартных договорных положений, которые представляют собой отдельные соглашения об обязательствах экспортера и импортера данных, а также о правах лиц, чьи личные данные передаются. Такие договорные положения гарантируют стандарты защиты данных ЕС между двумя сторонами, участвующими в передаче.
- Использование структуры обязательных корпоративных правил. Обязательные корпоративные правила – это внутренние стандарты предприятий, которые облегчают трансграничную передачу данных в рамках многонациональной группы компаний и международных организаций. Это решение обычно требует значительных затрат времени и ресурсов для его реализации и касается только передачи данных внутри организации, исключая, например, отношения с поставщиками услуг.
Недавнее решение Суда Европейского Союза (CJEU) по делу Facebook Ireland Ltd. против Максимилиана Шремса (Schrems II) от 16 июля 2020 года, демонстрирует, что стандартные договорные положения могут быть подходящим механизмом для передачи персональных данных за пределы ЕЭЗ. При этом, должны соблюдаться следующие условия:
- эти договорные положения гарантируют тот же уровень защиты, что и правила ЕС;
- положений достаточно для защиты передачи персональных данных в Британии и других третьих странах в случаях, когда законы этих государств разрешают их службам безопасности получить доступ к ПД.
Стоит отметить, что стандартные договорные положения в настоящее время пересматриваются для внесения необходимых обновлений, которые учитывают Правила GDPR для сбора и обработки данных и последствия Schrems II. Хотя в деле рассматривалось влияние законов США о безопасности на передачу данных, законодательство Соединенного Королевства разрешает аналогичные инвазивные полномочия по сбору разведывательных данных, что может привести к проблемам с передачей данных из ЕЭЗ после Брексита.
Заключение
На данный момент вопрос регулирования деятельности в соответствии с GDPR в Великобритании после выхода из ЕС все еще остается открытым. Команда специалистов IncFine отслеживает актуальные изменения в законодательстве юрисдикций, поэтому если у вас возникли вопросы по теме статьи – свяжитесь с нами удобным для вас способом. Мы готовы провести консультацию по разработке правил компании для соблюдения GDPR и оказать необходимое сопровождение в процессе учреждения бизнеса в Великобритании и странах ЕС.