Могу ли я обрабатывать данные за пределами ЕЭЗ в соответствии с GDPR?
GDPR допускает передачу данных в страны за пределами Европейской экономической зоны (так называемые “третьи страны”) для обеспечения международной торговли и сотрудничества.
В соответствии с GDPR передача персональных данных в третьи страны может осуществляться при соблюдении определенных условий. Вы можете передавать данные в третьи страны, которые обеспечивают адекватный уровень защиты, признанный Европейской комиссией, такие как (по состоянию на момент обновления статьи): Андорра, Аргентина, Канада (только коммерческие организации), Фарерские острова, Гернси, Израиль, Остров Мэн, Джерси, Новая Зеландия, Швейцария, Уругвай, Япония, Великобритания, Южная Корея и США (если получатель соблюдает Рамочное соглашение о конфиденциальности данных между ЕС и США). В этих странах национальные законодательные нормы обеспечивают уровень защиты персональных данных, сопоставимый с нормами законодательства ЕС. Следовательно, передача данных в эти третьи страны может осуществляться без необходимости применения дополнительных гарантий или выполнения дополнительных условий.
Для передачи данных в третью страну, которая не обеспечивает адекватный уровень защиты, то есть не имеет решения Европейской комиссии о соответствии, необходимо убедиться, что получатель обеспечит надлежащую защиту персональных данных. Кроме того, должны применяться подлежащие исполнению права субъектов данных, а также предоставляться эффективные правовые средства защиты.
Надлежащие гарантии могут быть обеспечены, среди прочего, путем использования стандартных договорных положений, утвержденных Европейской комиссией, а также для передачи данных внутри группы компаний через так называемые обязательные корпоративные правила или путем обязательства соблюдать кодексы поведения, которые были признаны Европейской комиссией как общеприменимые.
Существуют также несколько исключений, которые разрешают передачу данных в третью страну, не охваченную решением об установлении адекватного уровня защиты и без наличия надлежащих гарантий. Одним из таких исключений является получение согласия, которое в данном случае означает согласие субъекта данных после информирования его о рисках, связанных с такой передачей.
Этот контент предоставляется только в образовательных целях. GDPR зависит от фактов, и то, как он применяется к вашей организации, может отличаться от того, что обсуждается в этой статье. Пожалуйста, не рассматривайте это как замену профессионального юридического заключения. Всегда консультируйтесь со своим юристом или другими специалистами, отвечающими за защиту данных в вашей организации. GetResponse не несет ответственности за какие-либо косвенные, особые, случайные или косвенные убытки, возникшие в результате любого использования или доверия любому контенту или материалам, включенным в этот документ.