В рамках дискусії фахівці в галузі захисту персональних даних обговорювали питання законодавчого регулювання транскордонної передачі даних в Україні, а також вимоги GDPR (далі – «Регламент») щодо такої передачі персональних даних. Важливим для українських компаній питанням спікери відокремили застосування норм Регламенту під час транскордонної передачі персональних даних з Європи в Україну та навпаки з України в Європу.
Олена Колченогова навела статистику порушень законодавства під час здійснення транскордонної передачі персональних даних з боку українських володільців персональних даних за даними веб-сайту Уповноваженого з прав людини та відомостей з Єдиного державного реєстру судових рішень. Варто зазначити, що за наявною інформацією в Україні не сформовано практики виявлення та розгляду порушень під час транскордонної передачі персональних даних. Голова Асоціації Digital Ukraine навела декілька прикладів з української та міжнародної практики. Фабула «українського кейсу» полягала в тому, що українська компанія під час організації онлайн заходу збирала персональні дані за допомогою форми на веб-сайті, потім в процесі обробки даних персональні дані передавались на відповідні сервери, що знаходились закордоном. При цьому, фактична обробка персональних даних користувачів здійснювалась за допомогою онлайн-платформи, фізичний хостинг якої знаходився на території РФ, а безпосередня реєстрація користувачів та оплата послуг здійснювалась через онлайн-форму, фізичний хостинг якої відбувався на території Німеччини. Враховуючи, що суб’єкти персональних даних не були повідомлені відповідним чином про здійснення такої транскордонної передачі їх персональних даних, така передача здійснювалась з порушенням вимог законодавства України. Проте, в ході судового розгляду суд не зміг встановити порушення, оскільки не було пред’явлено належним чином оформлені докази, що засвідчували б технічну сторону процесу транскордонної передачі персональних даних.
Другий кейс стосувався належної передачі даних на міжнародному рівні між закордонними компаніями. Справа полягала в тому, що досить відома компанія з розробки та впровадження CRM-систем надавала своїм клієнтам доступ до баз даних суб’єктів даних, чиї персональні дані не завжди обробляла (в т.ч. збирала та здійснювала транскордонну передачу з метою обробки відповідних персональних даних) згідно вимог Регламенту. Контрагенти-користувачі баз даних не приділяли значної уваги документальному оформленню процесу транскордонної передачі даних всередині Компанії, зважаючи на рівень Компанії. Але в середині 2020 року проти Компанії був поданий позов щодо порушення вимог Регламенту, а саме масове відслідковування дій користувачів в мережі Інтернет за допомогою файлів-cookie, на використання яких користувачі не давали згоду, з метою обслуговування цільової онлайн-реклами. Відповідно до вимог GDPR згода на обробку персональних даних громадян ЄС має бути інформативною, конкретною і добровільною. Судовий процес в даній справі і досить триває.
Протягом панельної дискусії спікери обговорили можливі засоби та механізми транскордонної передачі персональних даних відповідно до вимог GDPR, зокрема застосування Standard Contractual Clauses та Binding Corporate Rules. Важливим висновком в процесі дискусії, фахівці відокремили, що під час здійснення передачі даних з України в Європу GDPR також застосовується з відповідними застереженнями.
Детальніше щодо транскордонної передачі персональних даних Ви можете дізнатися у фахівців Digital Ukraine.
