Международно предаване на данни

Предаването на лични данни на държави извън Европейското икономическо пространство (ЕИП) често е от съществено значение с оглед на международната търговия или сътрудничество. Вашето МСП може да се наложи да прехвърля лични данни в страна извън ЕИП в хода на своите дейности, например когато трябва да споделяте лични данни с вашите бизнес партньори или с доставчици, които са установени извън ЕИП.

ОРЗД съдържа специални разпоредби за такива прехвърляния. С тези разпоредби Регламентът има за цел да гарантира равностойно ниво на защита на личните данни, които се предават с тези, които се ползват в рамките на ЕИП.

Кога се извършва прехвърляне на лични данни извън ЕИП?

В ОРЗД не се дава определение за такова предаване. ЕКЗД обаче установи следните три кумулативни критерия за установяване на прехвърляне извън ЕИП:

  • администраторът или обработващият лични данни е субект на ОРЗД за даденото обработване;
  • този администратор или обработващ лични данни разкрива чрез предаване или по друг начин предоставя лични данни на друга организация (администратор на данни или обработващ лични данни);
  • тази друга организация се намира в държава извън ЕИП или е международна организация.

Как да прехвърляме лични данни извън ЕИП?

С други думи, ОРЗД налага ограничения върху предаването на лични данни извън ЕИП, към трети държави или международни организации, за да се гарантира, че нивото на защита на физическите лица, предоставено от ОРЗД, остава същото.

Лични данни могат да бъдат предавани извън ЕИП само в съответствие с условията за такова предаване, определени в глава V от ОРЗД.

Условията за предаване на данни трябва да се спазват в допълнение към общото спазване на другите правила на ОРЗД. Например тези условия представляват допълнително изискване към основните принципи на обработване, които също трябва да се спазват при международното предаване на данни. Когато прехвърляте лични данни, все пак трябва да се уверите, че разполагате с подходящо правно основание за обработването; че прилагате  необходимите мерки за сигурност; че обработвате само личните данни, необходими за тази конкретна дейност по обработване (принцип за свеждане на данните до минимум) и т.н. Ако получателят на личните данни действа като обработващ лични данни, Вие все още сте законово задължени да сключите договор. По същия начин ще действате по отношение на обработващ лични данни в рамките на ЕИП. 

По принцип, съгласно ОРЗД съществуват два основни начина за предаване на лични данни на държава извън ЕИП или международна организация. Предаването на данни може да се извършва въз основа на решение относно адекватното ниво на защита или, при липса на такова решение, въз основа на подходящи гаранции, включително приложими права и правни средства за защита за физическите лица. При липсата на решение относно адекватното ниво на защита или на подходящи гаранции ОРЗД дава възможност за някои дерогации в определени ситуации.
Ще намерите повече информация за различните възможности по-долу.

Предаване на данни въз основа на решение относно адекватното ниво на защита

Европейската комисия има възможност да приема решения относно адекватното ниво на защита, за да потвърди официално, с обвързващ ефект за държавите от ЕИП, че нивото на защита на данните в държава извън ЕИП или международна организация по същество е равностойно на нивото на защита в Европейското икономическо пространство.

При оценката на адекватността на нивото на защита Европейската комисия взема предвид елементи като принципите на правовата държава, зачитането на правата на човека и основните свободи, както и дали правата на субектите на данни са ефективни и приложими или не, съществуването и ефективното функциониране на независим орган за защита на данните в държавата извън ЕИП и международните ангажименти, поети от държавата или международната организация.

Ако Европейската комисия реши, че държавата предлага адекватно ниво на защита и бъде прието решение в тази връзка, личните данни могат да бъдат предавани на друго дружество или организация в тази държава извън ЕИП, без износителят на данни, т.е. организацията, която предава данните, да бъде задължена да предостави допълнителни гаранции или да подлежи на допълнителни условия, свързани с международното предаване на данни. С други думи, предаването на данни към „адекватна“ държава извън ЕИП ще бъде сравнимо с предаването на данни в рамките на ЕИП. Въпреки това, Вашата организация ще трябва да спазва другите основни принципи на ОРЗД, както е обяснено по-горе.

Решенията относно адекватността могат да обхващат дадена държава като цяло или да бъдат ограничени до част от нея (т.е. до регион). Решенията относно адекватността могат да обхващат всички прехвърляния на данни към дадена държава или да бъдат ограничени до някои видове предавания (например в един сектор).

До момента Европейската комисия е приела решения относно адекватното ниво на защита за:

  • Княжество Андора,
  • Република Аржентина,
  • Канада (търговски организации),
  • Фарьорските острови,
  • Гърнзи,
  • Израел,
  • Остров Ман,
  • Япония,
  • Остров Джърси,
  • Нова Зеландия,
  • Република Корея,
  • Конфедерация Швейцария,
  • Обединеното кралство Великобритания и Северна Ирландия,
  • Съединените щати (търговски организации, участващи в рамката за защита на личните данни между ЕС и САЩ),
  • и Източна Република Уругвай.

Европейската комисия публикува списъка с решенията си относно адекватното ниво на защита на своя уебсайт.

Износителите на данни са задължени да следят дали решенията относно адекватността, свързани с извършваното от тях предаване на данни са все още в сила или са в процес на отмяна или обявяване за недействителни.

Моля, имайте предвид, че решенията относно адекватното ниво на защита не възпрепятстват физическите лица да подадат жалба. Те също така не възпрепятстват органите за защита на данните (ОЗД) да упражняват правомощията си съгласно ОРЗД.

Предаване на данни въз основа на подходящи гаранции

При липса на решение относно адекватното ниво на защита организациите могат също така да предават лични данни при предоставени подходящи гаранции по отношение на организацията, която получава личните данни. Освен това физическите лица трябва да могат да упражняват правата си и да разполагат с ефективни правни средства за защита.

В член 46 от ОРЗД са изброени редица инструменти за предаване, съдържащи „подходящи гаранции“, които можете да използвате за прехвърляне на лични данни към държави извън ЕИП при липса на решения относно адекватното ниво на защита. Основните видове инструменти за трансфер по член 46 от ОРЗД, свързани с частни организации, са:

  • Стандартни клаузи за защита на данните;
  • Задължителни фирмени правила (ЗФП);
  • Кодекси за поведение;
  • Механизми за сертифициране;
  • Специфични договорни клаузи.

Стандартни договорни клаузи (СДК)

Стандартните договорни клаузи са набор от стандартизирани договори, които дават възможност на износителите на данни да осигурят подходящи гаранции. Това е инструмент, който обикновено се използва от много организации. Европейската комисия има правомощието да приема СДК като подходяща гаранция за предаването на лични данни на държави извън ЕИП съгласно член 46, параграф 2, буква в) от ОРЗД.

На 4 юни 2021 г. Европейската комисия прие решение за изпълнение относно СДК за предаването на лични данни на държави извън ЕИП съгласно ОРЗД. Европейската комисия също така предоставя набор от стандартни договорни клаузи на своя уебсайт. Научете повече за стандартните договорни клаузи. 

СДК разглеждат различни сценарии за трансфер и сложността на съвременните вериги за обработка. Администраторите и обработващите лични данни могат да използват няколко варианта в зависимост от конкретните обстоятелства на предаването, които включват:

  • администратор-администратор (C2C);
  • „администратор до обработващ лични данни“ (C2P);
  • обработващ лични данни  към обработващ лични данни  (P2P);
  • обработващ лични данни към администратор (P2C), като обработващият лични данни се намира в ЕС, а администраторът — в трета държава.

Други важни аспекти на СДК включват:

  • възможност за повече от две страни да се придържат към клаузите;
  • възможност, с някои изключения, да се използват СДК при прехвърляне на лични данни на подизпълнител в държава извън ЕИП;
  • възможност, с някои изключения, за физическите лица да се позовават на клаузите като трети страни бенефициери;
  • правила относно отговорността между страните в случай на нарушаване на правата на физическите лица;
  • правото на физическите лица на обезщетение за претърпени вреди, когато правата им на трето лице бенефициер са били нарушени;
  • изискване за извършване на „оценка на въздействието върху трансфера“, в която се документират конкретните обстоятелства на предаването, законите в държавата на местоназначение и допълнителните гаранции, въведени за защита на личните данни;
  • задължения в случай на достъп на публичните органи до предаваните данни, например задължението за предоставяне на информация на износителите на данни и за оспорване на неправомерни искания.
Връзка
член 46, буква в) и член 46, буква в); г) от ОРЗД

EUR-Lex

Връзка
член 93, параграф 2 от ОРЗД

EUR-Lex

Връзка
Въпроси и отговори относно стандартните договорни клаузи

Европейска комисия

Задължителни фирмени правила (ЗФП)

Задължителните фирмени правила (ЗФП) спомагат за осигуряването на адекватно ниво на защита на данните, обменяни в рамките на група от дружества, разположени както в ЕИП, така и извън нея, и са по-подходящи за многонационална група от дружества, която извършва голям брой прехвърляния на данни.

ЗФП са вътрешни правила, приети от група дружества, които определят тяхната глобална политика за предаване на лични данни. Тези правила трябва да бъдат обвързващи и да се спазват от всички организации от групата, независимо от приемащите ги държави. Освен това те трябва изрично да предоставят приложими права на физическите лица във връзка с обработването на техните лични данни.

Условията, които трябва да бъдат спазени, за да бъде одобрено ЗФП от компетентния ОЗД, са изброени в член 47 от ОРЗД и допълнително обяснени в препоръките, приети от Работна група 29 и одобрени от ЕКЗД. Предвидени са различни задължителни фирмени правила за администраторите и обработващите лични данни.

Връзка
член 47 от ОРЗД

EUR-Lex

Връзка
Препоръка относно стандартния формуляр за одобрение на задължителни фирмени правила за администратора за предаването на лични данни от ЕКЗД

ЕКЗД

Връзка
Работна група по член 29: Препоръка относно одобряването на задължителните фирмени правила за обработващия лични данни

Новинарска зала на Европейската комисия

Кодекси за поведение

ОРЗД въвежда този нов инструмент за предаване на данни. За разлика от ЗФП, които могат да бъдат изготвени пряко от отделни групи дружества, кодексите за поведение са секторни и разработени от сдружения, представляващи определени  организации. Трябва да бъде въведена система от акредитирани органи, които да наблюдават спазването на кодекса за поведение. ЕКЗД пое инициативата да изясни условията, при които кодексите за поведение могат да се използват и одобряват от компетентните органи. В допълнение към това ЕКЗД отговаря и за осигуряването на съгласуваност на условията, при които могат да бъдат акредитирани органите за наблюдение.

Връзка
член 40 от ОРЗД

EUR-Lex

Връзка
член 46, буква д) от ОРЗД

EUR-Lex

Връзка
Насоки относно кодексите за поведение като средство за предаване на данни

ЕКЗД

Сертифициране

С ОРЗД се въвежда този нов инструмент за предаване на данни на организации, които са сертифицирани от сертифициращи органи или ОЗД на ЕИП.
ЕКЗД прие насоки за изясняване на условията, при които може да бъде въведен механизъм за сертифициране. Този инструмент все още е в процес на разработване.
ЕКЗД също така отговаря за осигуряването на съгласуваност на условията за акредитиране на сертифициращи органи.

Връзка
член 42 от ОРЗД

EUR-Lex

Връзка
член 46, буква е) от ОРЗД

EUR-Lex

Връзка
Насоки относно сертифицирането като инструмент за предаване на данни

ЕКЗД

Специфични договорни клаузи

Ако администраторите на данни или обработващите лични данни решат да не използват стандартните договорни клаузи на Европейската комисия, те могат да изготвят свои собствени договорни клаузи („специфични“ клаузи), предлагащи достатъчни гаранции за защита на данните. Преди всяко предаване на данни тези договорни клаузи трябва да бъдат разрешени от компетентния национален ОЗД в съответствие с член 46, параграф 3, буква а) от ОРЗД след становище на ЕКЗД.

Връзка
член 46, параграф 3, буква а) от ОРЗД

EUR-Lex

Допълнителни мерки след постановяване на решението Schrems II

В своето решение C-311/18 (Schrems II) от 2020 г. Съдът на Европейския съюз подчерта евентуалната необходимост организациите да предоставят допълнителни мерки в допълнение към подходящите гаранции при предаването на лични данни извън ЕИП. 

СДК и другите инструменти за предаване, посочени в член 46 от ОРЗД, не работят във вакуум. Съдът на ЕС заяви, че администраторите или обработващите лични данни, действащи като износители, са отговорни за проверката, за всеки отделен случай, дали правото или практиката на държавата извън ЕИП засяга ефективността на подходящите гаранции, съдържащи се в инструментите за предаване на данни по член 46 от ОРЗД, например поради наличието на законодателство, налагащо достъп до данни.

ЕКЗД прие препоръки, за да помогне на износителите със сложната задача да оценят държавите, които получават данните, и да набележат подходящи допълнителни мерки, когато е необходимо.

Връзка
Препоръки относно допълнителните мерки

ЕКЗД

Връзка
Често задавани въпроси относно решението по делото Schrems II

ЕКЗД

Предаване на данни въз основа на дерогации

Освен решенията относно адекватността и инструментите за предаване на лични данни по член 46 от ОРЗД, Регламентът съдържа и трета възможност, позволяваща предаване на лични данни в определени ситуации. При спазване на определени условия може да имате възможност да прехвърляте лични данни въз основа на дерогация, посочена в член 49 от ОРЗД.

Член 49 от ОРЗД има изключителен характер. Дерогациите трябва да се тълкуват по начин, който не противоречи на самото естество на дерогациите като изключения от правилото, че личните данни не могат да бъдат предавани на държава извън ЕИП, освен ако тази държава не предвиди адекватно ниво на защита на данните или, като алтернатива, са въведени подходящи гаранции. Изключенията не могат да се превърнат в „правилото“ на практика, а трябва да бъдат ограничени до конкретни ситуации.

Въз основа на член 49 от ОРЗД предаването/ията може/гат да бъде/ат извършено/и, когато е/са:

  • направено/и с изричното съгласие на физическото лице;
  • необходимо/и за изпълнението на договор между физическото лице и организацията или за преддоговорни действия, предприети по искане на физическото лице;
  • необходимо/и за изпълнението на договор, сключен в интерес на физическото лице, между администратора на лични данни и друго лице;
  • необходимо/и поради важни причини от обществен интерес;
  • необходимо/и за установяването, упражняването или защитата на правни претенции;
  • необходимо/и за защита на жизненоважните интереси на въпросното физическо лице или на други лица, когато лицето е физически или юридически неспособно да даде съгласие; или
  • се извършва/т от регистър, който съгласно националното право на държава от ЕИП или правото на ЕС има за цел да предоставя информация на обществеността (и който е достъпен за справки от обществеността по принцип или от лицата, които могат да докажат законен интерес от проверка на регистъра).

Трябва да се приложи определен „тест за необходимост“, за да се прецени необходимостта от прехвърлянето. Този тест изисква оценка на това дали предаването на лични данни може да се счита за необходимо за конкретната цел на въпросната дерогация.

Когато нито една от горепосочените дерогации не е приложима в конкретна ситуация, е възможно да се предават данни поради наличието на неоспоримите законни интереси на администратора на данни.

Такива прехвърляния обаче са разрешени само когато трансфера:

  • не се повтаря (подобни трансфери не се извършват редовно);
  • включва данни, свързани само с ограничен брой лица;
  • е необходим за целите на неоспоримите законни интереси на организацията (при условие че интересите на физическото лице нямат преимущество пред интересите на организацията);
  • е обект на подходящи гаранции, въведени от организацията (при оценка на всички обстоятелства около предаването) за защита на личните данни; и
  • не се извършва от публичен орган при упражняването на неговите публични правомощия.

В тези случаи организациите са задължени да информират съответния ОЗД за прехвърлянето и да предоставят допълнителна информация на физическите лица.

Като цяло дерогациите следва да се използват само като крайна мярка за определяне на предаването на данни — организациите следва първо да преценят дали не е възможно да се използва или решение относно адекватното ниво на защита, или подходяща предпазна мярка.

Когато се позовавате на дерогациите по член 49 от ОРЗД, трябва да имате предвид, че организациите, които предават данни, трябва да спазват и други разпоредби на ОРЗД (наличие на правно основание за предаването на данни, прилагане на мерки за сигурност, свеждане на данните до минимум, подписване на договор, ако получателят е обработващ данни и т.н.).

Връзка
член 49 от ОРЗД

EUR-Lex

Връзка
Насоки относно дерогациите

ЕКЗД