Контрактні положення щодо транскордонної передачі персональних

даних

Застосування досвіду західних країн до українських реалій

Міжнародна конференціяЗахист персональних даних: право, практика, нагляд

Київ, 21.05.2012

Вадим Шестаков, LL.M, юрист

ЗУ «Про захист персональних даних»

Стаття 29. Міжнародне співробітництво

3. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.

Транскордонна передача ПД: українські реалії

•Невизначене поняття «належний захист»;

•Незрозуміло, в яких випадках необхідно отримувати «дозвіл»;

•Невизначене поняття та порядок отримання зазначеного «дозволу»;

•Законодавством не встановлено порядок транскордонної передачі персональних даних.

Проблемні аспекти існуючого правового регулювання

Як можна вдосконалити чинне правове регулювання?

• Визначити критерії «належної захищеності» персональних даних при їх транскордонній передачі;

• Визначити випадки, в яких можлива передача ПД без забезпечення належного захисту;

• Чітко врегулювати порядок передачі персональних даних.

Зміни до ЗУ «Про захист персональних даних»

Які кроки можна вчинити зараз?

Розробка Корпоративного кодексу поведінки, що включатиме Контрактні положення щодо транскордонної передачі ПД

•Документ матиме рекомендаційний характер;•Контрактні положення, за умови підписання, будуть зобов'язувати сторони дотримуватися їх умов;•За умови погодження з ДСЗПД, підписання контрактних положень сторонами буде свідчити про здійснення сторонами всіх можливих заходів для дотримання умов статті 29 ЗУ «Про ЗПД» щодо «належного захисту».

РЕЗУЛЬТАТ: більш-менш чітке розуміння того, що необхідно вчиняти для дотримання вимог законодавства України при транскордонній передачі ПД.

• Типові договірні положення щодо передачі ПД за межі ЄС між володільцями, затверджені Європейською комісією (Standard contractual clauses for the transfer of personal data to third countries, 2001/497/EC);

• Альтернативні типові договірні положення щодо передачі ПД за межі ЄС між володільцями, затверджені Європейською комісією (Alternative set of standard contractual clauses for the transfer of personal data to third countries, 2004/915/EC);

• Типові договірні положення щодо передачі ПД за межі ЄС від володільця розпоряднику, затверджені Європейською комісією (Standard contractual clauses for the transfer of personal data to processors established in third countries, 2010/87/EU);

• Низка інших типових положень, розроблених МТП, а також відповідними органами в США, Канаді тощо.

На що можна спиратися: міжнародний досвід

Контрактні положення щодо транскордонної передачі ПД: українська версія

Сфера застосування

Країна Імпортера:

•Передача ПД у будь-які країни;•Передача ПД у країни, з якими у України не має договору про захист ПД;•Передача ПД у країни, що не є сторонами Конвенції 1982 року;•Передача ПД у країни ЄС, тощо.

Суб'єктний склад:

•Від Володільця Володільцю;•Від Володільця Розпоряднику, тощо.

Контрактні положення щодо транскордонної передачі ПД: українська версія

Термінологія (необхідно забезпечити однакове розуміння сторонами ключових понять):

•Персональні дані;•Обробка ПД;•База ПД;•Суб'єкт ПД;•Володілець;•Розпорядник тощо.

Контрактні положення щодо транскордонної передачі ПД: українська версія

Обов'язки Експортера ПД:

•Гарантувати, що ПД зібрані і обробляються та передаються за кордон відповідно до законодавства України;

•Гарантувати дотримання прав суб'єктів, ПД яких передаються;

•Перевірити здатність Імпортера ПД забезпечувати належний захист ПД, тощо.

Контрактні положення щодо транскордонної передачі ПД: українська версія

Обов'язки Імпортера ПД:

•Забезпечувати захист ПД;•Забезпечувати захист ПД будь-якими третіми особами, яким він передає ПД;•Не передавати ПД будь-якій третій особі, яка знаходиться за межами України або країни Імпортера;•Обробляти ПД у відповідності до:

Законодавства країни Експортера (України) або Принципів обробки ПД, викладених у додатку до Контрактних положень (!).

•Надавати Експортеру можливість проводити перевірку відповідності обробки ПД Контрактним положенням, тощо.

Контрактні положення щодо транскордонної передачі ПД: українська версія

Інші аспекти, що можуть бути передбачені в контрактних положеннях:

•Відповідальність сторін;•Можливість суб'єкта ПД посилатись на контрактні положення з метою захисту своїх прав;•Порядок вирішення спорів, тощо.

Контрактні положення щодо транскордонної передачі ПД: українська версія

Додатки

Принципи обробки ПД:

Обробка тільки з визначеною метою;Достовірність і не надмірність ПД;Захист та конфіденційність ПД;Забезпечення прав суб'єкта ПД + перелік прав;Більш жорсткі умови обробки вразливих ПД, тощо.

Інформація щодо конкретної передачі:Суб'єкти, ПД яких передаються;Мета обробки ПД;Категорії ПД, що обробляються;Обсяг ПД, що передається;Інформація про розпорядників та третіх осіб;Контактні дані відповідальних осіб сторін, тощо.

Контрактні положення щодо транскордонної передачі ПД: українська версія

NB: Контрактні положення повинні бути розроблені таким чином, щоб забезпечити можливість прямого

посилання на них суб'єкту персональних даних!

Дякую за увагу!

Будемо раді бачити Вас у нас в офісі:

вул. Жилянська 59, оф. 107, (Дипломат Хол), Київ, Україна, 01033

t | +38 044 207 08 98 p. o. box | 169, Kyiv, Ukraine, 01033f | +38 044 207 08 98 e | paritet@paritet.ua Наш сайт: http://www.paritet.ua

НАШІ КОНТАКТИ