|
Настоящият информационен материал има за цел да даде разяснения относно ключови моменти при предаването (трансфера) на лични данни на трети държави или международни организации. Същият няма задължителен характер и не претендира за изчерпателност.
|
Какво е предаване на лични данни?
Предаване на лични данни настъпва, когато данните на граждани на държавите-членки или на лица пребиваващи на територията на ЕС се обработват или са предназначени за обработване след предаването им към трети държави или международни организации.
Предаването на лични данни извън ЕС към трети държави или международни организации, се осъществява само при спазване на условията, предвидени в главаV на Регламент(ЕС) 2016/679, Общ Регламент относно защитата на данните (ОРЗД).
Предаването на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнения на наказанията в обхвата на директива(ЕС) 2016/680 се осъществява по реда на главаVIII от Закона за защита на личните данни (ЗЗЛД).
Какво означава „трета държава”?
Това е всяка държава извън Европейския съюз или Европейското икономическо пространство. Общият регламент относно защитата на данните изисква прилагането на мерки за осигуряване на постоянна защита на данните, прехвърлени в „трети държави/ трети страни”, т.е. държави извън ЕС/ ЕИП.
ОРЗД и предаването на лични данни на трета държава
Съгласно ОРЗД се идентифицират три допълващи се критерия, които определят дейностите по обработване като международен трансфер:
•Администратор или обработващ лични данни, чиято конкретна дейност по обработване попада в обхвата на разпоредбите на ОРЗД;
•Администратор или обработващ лични данни („износител”) разкрива чрез предаване или по друг начин предоставя личните данни на друг администратор, съвместен администратор или обработващ („вносител”).
•Вносителят е установен в трета държава или се явява международна организация по отношение на даденото обработване.
Правила за трансфер на лични данни извън ЕС
В случаите когато се осъществява предаване/прехвърляне на лични данни от България (или друга държава-членка на ЕС) към трети държави и/или международни организации, то може да се извършва, само ако администраторът или обработващият лични данни изпълняват условията и спазва правилата за трансфер на лични данни разписани в главаV от ОРЗД, а именно:
• въз основа на решение за адекватно ниво на защита от Европейската комисия съгласно ОРЗД;
• ако са осигурени „подходящи гаранции”, чрез други инструменти за предаване на лични данни към трети държави (Задължителни фирмени правила, Стандартни договорни клаузи, Кодекси на поведение, Механизми за сертифициране, печати или маркировки за защита на данните);
• при липса на някое от горните, чрез „дерогации в особени случаи”, когато предаването се осъществява по изключение.
Предаване на лични данни въз основа на решение за адекватност
Съгласно разпоредбите на член45 от ОРЗД, Европейската комисия преценява дали предаване на лични данни на трети държави може да се осъществи, ако същата осигурява адекватно ниво на защита на личните данни. След приемането на решение за адекватност на конкретна трета държава, към нея може да се осъществяват трансфери (на нейната територия, определени сектори) и с това се гарантира, че е осигурено адекватно ниво на защита. Така не е необходим алтернативен инструмент за предаване на данни по член 46 от ОРЗД.
Списък с държавите с решение за адекватно ниво на защита може да откриете тук.
Наличието на решение за адекватно ниво на защита обаче не е основание за ограничаване на правото на субектите на данни да подадат жалба. То не възпрепятства и надзорните органи да разследват или да сезират национален съд, при съмнения във валидността на решението, което се установява от Съда на ЕС.
|
Важно: Администраторът или обработващият лични данни трябва периодично да следят за актуалното състояние на решението за адекватно ниво на защита (по Регламент(ЕС) 2016/679 или Директива(ЕС) 2016/680), на база на което ще се предава лични данни, с оглед гарантирането на равностойно ниво на защита в определена трета държава, съгласно правото на ЕС.
|
Предаване на лични данни към трети страни въз основа на подходящи гаранции
При редовно или повтарящо се предаване на данни, при което липсва решение относно адекватното ниво на защита трябва да разчитате на някой от инструментите за предаване, изброени в чл.46 от ОРЗД. Съгласно който администраторът или обработващият лични данни следва да предоставя „адекватни предпазни мерки/ подходящи гаранции”, както и да са налице „приложими права” на субектите на данни и ефективни правни средства за защита. Тези мерки могат да включват:
– Задължителните фирмени правила (ЗФП) представляват вътрешни правила за защита на личните данни, определящи политиката за защита на личните данни в мултинационална група от предприятия/ дружества, позиционирани в ЕИП към такива извън него. ЗФП представляват цялостна програма за съответствие, включваща спазване на политики и процедури, одити, разглеждане на жалби и обучения в рамките на една организация. Всяко дружество от групата предприятия, в качеството на администратор на лични данни, трябва да отговаря и да е в състояние да докаже спазването на ЗФП. Повече…
– Стандартни договорни клаузи (СДК), които представляват типови договорни клаузи като инструмент за предаване на данни в трети страни съгласно ОРЗД. Те съдържат договорни задължения на износителя и вносителя на данни, във връзка със защита правата за лицата, чиито лични данни биват предавани. Те представляват и подходящи гаранции за защита на данните при предаването им в трети страни. СДК биват одобрени и приети от Европейската комисия. Повече…
– Кодексите на поведение представляват доброволен инструмент за отчетност за администраторите и обработващите лични данни, чрез конкретни и респективно подходящи гаранции/правила за защита на данните в даден сектор или във връзка с конкретни операции по обработване. Кодексите могат да подпомогнат организациите (например: микро-, малките и средни предприятия) да гарантират, че следват най-добрите практики и правила, като по този начин осигуряват по ефективното прилагане на ОРЗД, както и да служат за основание за предаване на данни на трети държави. Повече…
|
Важно: Организациите, отговарящи за прилагането на наднационални кодекси, предоставят за преглед проекта на кодекс за поведение на надзорният орган по защита на данните. След прегледа му, същият се предоставя за одобрение до всички засегнати надзорни органи и на ЕКЗД за извършване на цялостна оценка на съдържанието в съответствие с членове40 и 41 от ОРЗД.
|
– Механизми за сертифициране, печати или маркировки за защита на данните, които представляват доброволен инструмент за доказване прилагането на подходящи гаранции за защита на данни, в съответствие с ОРЗД. Те позволят на субектите на данни бързо да оценят нивото на защита на данните на съответни продукти и услуги. Повече…
|
Важно: Администраторът или обработващият лични данни следва да направи оценка на законодателството на третата страна, на която ще се предават лични данни. Независимо от вида инструмент, който ще бъде използван е възможно да възникне необходимост от „допълващи мерки”, за да се гарантира равностойно ниво на защита в конкретна трета държава, изискано съгласно правото на ЕС.
|
Инструменти за предаване на данни към трети страни след „SchremsII”
Решението на Съда на ЕС се отнася до всички подходящи гаранции съгласно член46 от Регламент(ЕС) 2016/679, които се прилагат за предаването на данни от Европейското икономическо пространство (ЕИП), към която и да трета държава. Посочените от Съда правни разпоредби на САЩ (член702 от Закона за упражняване на надзор върху външното разузнаване („FISA”) и Изпълнителна заповед12333) се прилагат за всяко предаване на данни към САЩ по електронен път, който попада в обхвата на тези разпоредби, независимо от конкретното средство, използвано за трансфера.
За да продължи предаването на данни към трети държави след решението на Съда е важно администраторите на лични данни да извършат индивидуален анализ относно нивото на защита в третата държава, което по същество трябва да е равностойно на гарантираното в ЕС. По този начин може да се определи дали СДК или ЗФП могат да се приложат на практика и дали са необходими допълнителни мерки, както и дали правото на третата държава не противоречи на приложените допълнителни мерки, което от своя страна би въздействало на тяхната ефективност. Повече…
Инструменти за предаване на лични данни към трети страни въз основа на дерогации
При случен и еднократен трансфер на данни можете да се позовете на някоя от дерогациите, предвидени в член 49 от ОРЗД.Например въз основа на съгласие от страна на субекта на данни; за изпълнение или сключване на договори; за защита на жизненоважни интереси на субекта на данни, при невъзможност лицето да даде своето съгласие. Повече…
|
Седем практически стъпки при предаване на лични данни на трети държави, които износителят трябва да извърши:
Стъпка 1: Да е наясно къде ще предава личните данни на субектите, за да може да може да гарантира равностойно ниво на защита.
Стъпка 2: Да провери дали държавата има решение за адекватно ниво на защита, прието от Европейската комисия.
Стъпка 3: Да провери кой инструмент за предаване на лични данни, изброени в глава V от ОРЗД е подходящ конкретния случай.
Стъпка 4: Да прецени дали законодателството или практиката на третата държава биха засегнали приложените от него инструментите за предаване, във връзка с конкретното предаване.
Стъпка 5: Да определи и приеме допълнителни мерки, за да приведе нивото на защита на данните в съответствие ОРЗД, т.е. със стандарта на ЕС за равнопоставеност.
Стъпка 6: Да предприеме формални процедурни стъпки, след като е набелязал ефективните допълващи мерки. Това са мерки допълващи инструментите за предаване на лични данни към трети страни съгласно чл. 46 от ОРЗД.
Стъпка 7: Да извършва периодично оценка на нивото на защита и да следи за промени, които могат да имат отношение на предаването на данни в определена трета държава.
|
Публикувано на 28.11.2022 г.
