GDPR: Международен трансфер на лични данни

Иван Савов, председател
на Европейския институт
за риск политика

Новият регламент за защита на личните данни поставя ограничения в трансфера на данни на европейски граждани към страни извън Европейския съюз или международни организации. За да се осъществи адекватна защита на личните данни на гражданите и извън територията на ЕС, Европейската комисия разрешава трансфера на данни само към страни, за които е определила, че разполагат с адекватна защита на личните данни.

На сайта на ЕК (http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm ) се поддържа актуален списък с тези държави. Към момента това са Андора, Аржентина, Канада (търговски организации), Фароа острови, Гърнзи, Израел, Остров на Ман, Джърси, Швейцария, Уругвай и САЩ (ограничено само до рамката Privacy Shield).

Решенията за адекватност не засягат обмена на данни в сектора на реда и сигурността, който е покрит от Директивата за полицията (чл. 36 от Директива 2016/680).
Когато държавата, към която се предават лични данни, не е в списъка на ЕС за адекватност, трябва да се въведат подходящи гаранции за правата на субектите, като:

• Правно обвързващо споразумение;

• Обвързващи корпоративни правила;

• Стандартни клаузи за защита.
Като най-подходящият начин следва да бъде включен в договорните клаузи на съответното споразумение.

При обвързващите корпоративни правила Надзорният орган, обикновено в държавата на администратора на данните, има право да одобри набор от правила, които да се използват за осигуряване на предаването на личните данни. Указания за това могат да се намерят тук (https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en).

При стандартните клаузи Европейската комисия и всеки Надзорен орган (Комисията за защита на личните данни в България) могат да създават и поддържат набори от образци на клаузи за защита на данните, които да се използват в договори при международен трансфер на данни. Когато се прилагат в своята цялост, те се смята, че осигуряват адекватни гаранции. За последната версия на тези клаузи вижте уебсайта на КЗЛД.

Други приемливи условия

В случай че решението за адекватност не е приложимо и не могат да се въведат подходящи гаранции по описаните вече методи, трансферът може да се извърши само ако може да се приложи една от следните ситуации:

1. Субектът на данните е дал изрично съгласие, като е бил информиран за рисковете;

2. Предаването на лични данни е необходимо за изпълнение на договорните задължения към субекта на данните или субектът иска осъществяване на предаването при сключване на договора;

3. Предаването е в интерес на субекта по отношение на договор;

4. Предаването е по причини от обществен интерес;

5. Предаването е свързано с правна претенция;

6. Предаването е необходимо, за да бъдат защитени жизненоважни интереси на субекта в случай, когато самият той не е способен да даде своето съгласие;
7. Предаването се извършва от публичен регистър.

Ако не се прилага нито едно от тези условия, международно предаване на лични данни може да се осъществи само ако са изпълнени ВСИЧКИ от следните условия:
1. Предаването на данни е неповтарящо се;

2. Има ограничен брой субекти;

3. Прави се за неоспорими законни интереси, като не са пренебрегнати тези на субектите;

4. Всички обстоятелства при предаването на данни са оценени;

5. Предоставят се подходящи гаранции;

6. Оценката и гаранциите са документирани;

7. Надзорният орган е информиран за предаването на данни и основанието за това;

8. Субектът е информиран за правата си.

В чл. 49 на GDPR („Дерогации в особени случаи“) са дадени точни дефиниции на тези условия.
След като се установи и одобри правната основа за трансфера на данните, трябва да се определи механизмът за извършване на трансфера, да се извърши анализ на риска, да се разработи програма за управление на риска при трансфера и да се приложи. И

В следващия материал ще разгледаме изискванията на GDPR по отношение на предотвратяването на пробиви и действия при пробиви на личните данни.

Текстът е публикуван в брой 22 / 2018 г. на списание "Икономист" от 1 юни, който може да закупите в разпространителската мрежа в страната. Вижте какво още може да прочетете в броя.