Кога и как да извършим оценка на въздействието при трансфер (“Transfer impact assessment”/TIA) 

Данните са един от най-важните ресурси на съвременната икономика, а ползването им често се предхожда от нуждата да бъдат трансферирани. Тук се включват трансфери в рамките на Европейската икономическа общност (ЕИО) и такива от държава-членка на ЕИО към трета страна. Бъдещето на последните обаче бе поставено под съмнение в резултат от решението на Съда на Европейския съюз (СЕС) по делото Schrems II, с което бе суспендиран Privacy Shield механизмът за трансфер на данни между САЩ и ЕС. И макар делото да касае отношенията между тези две политически единици, мотивите към решението съдържат достатъчен брой доказателства, за да смятаме, че обхватът на новата правна действителност се простира отвъд отношенията ни със Съединените щати. 

По всяка вероятност трансферът на данни към трети страни ще продължи да бъде възможен, като администраторите и обработващите лични данни ще могат да се опрат на някое от основанията, посочени в чл. 44 и сл. от GDPR. С оглед административната тежест, която основанията предвиждат, както и мотивите на СЕС към Schrems II, изглежда, че стандартните клаузи (SCC) ще бъдат най-сигурния и логичен избор за повечето компании. Въпреки това те не представляват “carte blanche”, която предоставя автоматично възможността за износ на лични данни. Напротив, с оглед новата правна действителност ще бъде необходима оценка на въздействието при трансфер (“Transfer Impact Assessment” или “TIA”). 

Износител и вносител на лични данни 

На първо място трябва да имаме предвид, че Schrems II касае една конкретна част от GDPR, а именно режимът по трансфер на данни в трети за ЕИО страни. За тази цел са необходими две лица – износител, базиран в ЕИО, и вносител – в страна извън ЕИО. Между тях се извършва трансфер на данни, който трябва да се базира на някое от основанията, регламентирани в чл. 44 и сл. от GDPR. Правилата за защита на личните данни целят да гарантират правата на субектите, намиращи се в ЕИО, поради което въпросът за износът на данните е релевантен и се регулира от GDPR. 

Необходимостта от прилагане на TIA 

Тук трябва да се извърши едно принципно разграничение между две категории трети страни. Първата категория съдържа държави, за които Европейската комисия (“Комисията”) е взела решение относно адекватното ниво на защита по смисъла на чл. 45, пар. 1 от GDPR. Към тези държави износителите могат спокойно извършват трансфери при съблюдаване на общите изисквания на GDPR, като не е необходимо да извършват (TIA). Нещо повече – националните надзорни органи не могат да приемат решение, с което да установят, че третата страна не предоставя необходимото ниво на защита и в следствие на това да спрат или забранят предаването на лични данни1. Втората категория страни са тези, за които Комисията не е приела такова решение за адекватно ниво на защита или, алтернативно, е приела, но то е било обявено за невалидно, какъвто именно е случаят с Schrems II. Казаното по-нататък касае втората категория.  

Извършването на TIA от компаниите, които предприемат трансфер към трета страна, не е изрично уреден от правилата за износ на данни на GDPR. В резултат на Schrems II обаче TIA по всяка вероятност ще бъде необходим, дори когато се използват стандартни клаузи. Причината за това се корени в обстоятелството, че SCC обвързват страните по тях, но не и трети страни, каквито са държавните органи2. Следователно не съществува абсолютна гаранция за неприкосновеността на данните, когато се прехвърлят в рамките на SCC, тъй като достъп до тях може да бъде извършен от националните служби и по този начин да се застраши стандартът за еквивалентност, върху който СЕС акцентира в Schrems II. Това обстоятелство е ключово за разбиране на мотивите на Съда по Schrems II: всички основания за трансфер, упоменати в чл. 44 и сл. GDPR, имат за цел да осигурят нивото за защита на данните, предвидено в Съображение 6 от GDPR 3. Когато външни фактори, какъвто е достъпът на националните служби до данните, компрометира еквивалентното ниво на защита, не биха могли да се изпълнят целите на GDPR и изборът на инструмент за трансфер се превръща в безпредметна формалност. В такъв случай износителите и вносителите трябва да прибегнат до конкретни мерки, които да гарантират неприкосновеността на данните, или да преустановят по-нататъшния трансфер. 

Какво прави САЩ и какви гаранции дава? 

Три са основните съображения на СЕС по отношение на обработката на лични данни от американските служби: 

  1. Възможността за “bulk collection” (нетаргетирано събиране) на лични данни; 
  2. Липсата на надзор от независим орган; и 
  3. Липсата на възможност да се иска от съд данните да бъдат достъпени, променени или изтрити. 

В резултат на суспендирането на Privacy Shield механизма американското правителство издаде White Paper, чрез който се опита да обясни какви данни събират националните служби, при какви условия и какви гаранции съществуват. 

Документът уверява компаниите, че службите нямат законово основание да събират данни от компании в рамките на техните европейски операции, касаещи обикновени търговски продукти или услуги. За пример се дава информация, свързана с работници, клиенти или продажби. Изрично се забранява събирането на информация с цел постигането на предимство в сферата на търговията. 

Чрез конкретни примери, разпръснати из документа, може обаче да се създаде сравнително подробна картина за категориите данни, до които службите имат или могат да получат достъп. Такива са: 

  1. Информация за движението на лица в рамките на ЕС;4
  2. Информация за контактите на лица;5
  3. Информация за кореспонденцията (“communications data”);6
  4. E-mail адрес и телефон.7

Източници на информация като e-mail адрес и телефон се наричат селектори и американските служби могат да поискат информация за тях от доставчиците на съответните услуги 8. Чрез селекторите информацията може да се събира според целта или темата9

В резултат от тази информация бихме могли да направим заключение за типа дейности, които могат да бъдат засегнати от американските служби и, съответно, заслужават специално внимание в контекста на Schrems II. Такива са например: 

  1. Хостинг на e-mail; 
  2. Съхранение или използване на данни за съобщителни услуги, геолокация или финансови операции; 
  3. Социални мрежи и потребителски навици, доколкото не попадат в обхвата на изричната забрана за събиране на информация, способна да даде конкурентно предимство. 

Американското законодателство все пак предвижда определена мерки за минимизиране на данните. Така например “bulk collection” в общия случай е забранено. Също така информацията следва да бъде изтрита, ако селекторите са неправилно избрани.  

Предвижда се и възможността субектите на данни да искат обезщетение за вреди, когато правата им бъдат накърнени вследствие на неправомерно събиране и обработка на данни. Остава обаче под съмнение въпросът дали това е достатъчно с оглед разбирането на СЕС, че ефективно средства за защита пред съд означава възможността да бъде поискан достъп до данните, тяхното поправяне или заличаване10.

 

Фактори, които да бъдат оценени, преди да се извърши трансфер на данни 

По същество това са механизми, които осигуряват еквивалентно ниво на защита спрямо ЕИО. СЕС препраща към чл. 46, пар. 1 GDPR, чиито гаранции счита за неизчерпателно изброени 11.

Оценката трябва да се извършва според случая. Обстоятелствата, които следва да се оценят, могат да бъдат условно разделени в две категории. 

На първо място са общите фактори, които по същество се припокриват с тези по чл. 45, пар. 2 GDPR. Това са: 

  1. Върховенство на правото в държавата-вносител включително мерките, приложими в областта на националната сигурност и възможността органите да получат достъп до тях. Тук трябва да се прави разлика между държавите, които са прозрачни относно програмите си за събиране на данни от съображения за национална сигурност, и тези, които не са. По отношение на вторите извършването на оценка ще бъде далеч по-трудно. От полза могат да бъдат Препоръки 02/2020 на Европейското бюро за защита на данните (EDPBза гаранциите, които следва да се предприемат във връзка с мерките по наблюдение. 
  2. Наличието и ефективно функциониране на един или повече независими надзорни органи в държавата-вносител. 
  3. Международните ангажименти, които страна е поела за защита на личните данни. 

След общата оценка следва да се прецени конкретно: 

  1. Какво е естеството на данните, които страните желаят да прехвърлят, включително дали представляват някоя категория чувствителна информация. 
  2. Целите, за които данните се прехвърлят. 
  3. Какви лица участват в трансфера (публични или частни, администратор или обработващ лични данни). 
  4. Секторите на дейност, в рамките на които се обработват данните. 
  5. Форматът на данните (обикновен текст или друг). 
  6. До каква степен данните са публично достояние. 
  7. Мерките, предприети за сигурността на данните. 
  8. Дали данните ще бъдат съхранени в третата страна или в ЕИО, но с възможен достъп до тях от третата страна. 
  9. Възможността да бъде извършено по-нататъшно трансфериране към друга трета страна12.

Риск за правата на субектите и след прилагане на стандартните клаузи – какви мерки могат да се предприемат? 

Различни мерки могат да бъдат взети, за да се защитят правата на субектите в подобни ситуации. Като обща мярка се отличава криптирането. В своята стратегия след Schrems II Европейското бюро за защита на данните (“EDPB”) препоръчва да бъде изпратено известие до надзорния орган на държавата-износител. 

Други технически и организационни мерки, които могат да бъдат предприети, са например: 

  1. Минимизиране на данните – прехвърляне на минималното количество данни, небхохдимо за съответната операция. 
  2. Псевдониомизация на данните – премахване на възможността субектите на данни да бъдат идентифицирани без допълнителна информация. 
  3. Ограничаване на лицата, които имат достъп до данните. 
  4. Осигуряване на подходящо съхранение на данните. 
  5. Политики за конфиденциалност. 
  6. Използването на логове, които пазят информация за всеки извършен достъп до данните. 
  7. Криптиране и офлайн съхранение на back-up системите. 
  8. Известие до другата страна, когато е извършен пробив в сигурността на данните. 
  9. Известяване на субекта на данни, когато пробивът е в състояние да наруши негови права и интереси. 

Неизчерпателен списък с допълнителни технически и организационни мерки може да бъде открит в Приложение II от Препоръки 01/2020 на EDPB.  

В заключение, Schrems II въведе цяло едно допълнително ниво на оценка за задължените лица, когато извършват трансфер на данни към трети страни. Те следва да преценят на първо място дали е налице решение за адекватност, прието от Комисията. Когато има такова, те ще могат да извършат трансфера при съблюдаване на общите изисквания на GDPR. Когато решение липсва, ще трябва да разчитат на някое от основанията по чл. 44 и сл. GDPR, като същевременно преценят за всеки конкретен трансфер и за всяка конкретна страна дали е осигурено ниво на защита, еквивалентно на това в ЕИОКогато защитата не е гарантирана, задължените лица трябва да предприемат подходящи технически и организационни мерки, гарантиращи неприкосновеността на данните. В оптималния случай това ще бъдат мерки, които правят данните неразбираеми за всяко лице, различно от вносителя. В краен случай, ако въпреки предприетите мерки нивото на защита не може да бъде гарантирано, износителят би могъл да извести компетентния национален орган, като последният може да спре или забрани трансфера. В случай че междувременно трансферът бъде извършен и националният орган установи неговата незаконосъобразност, той ще може да наложи подходяща корективна мярка. 

Vladimir Slavov

Legal Associate
02/9924058

Поискай консултация

    1. Schrems II, пар. 118
    2. Schrems II, пар. 125 и 126
    3. Schrems II, пар. 93
    4. стр. 4
    5. стр. 4
    6. стр. 7
    7. стр. 7
    8. стр. 7
    9. PPD-28, раздел 4.2
    10. Schrems II, пар. 194
    11. Schrems II, пар. 103-105
    12. Препоръки на EDPB от 10 ноември 2020 г., стр. 12

    Поискай консултация

     

      *Първоначалната консултация има за цел да Ви ориентира какъв тип услуга Ви е необходима във Вашия случай и колко струва тя. Съгласно, чл.9 и 45 от Закона за адвокатурата и чл.5 от Етичния кодекс на адвоката, опазването на Вашите тайни е наша основна мисия и клетвено задължение.

      ПУБЛИКАЦИИ

       

      Поискай консултация