Дропшиппінг та GDPR - що з передачею персональних даних в треті країни?

21.09.2022

Ви коли-небудь замислювалися над тим, щоб розпочати бізнес в Інтернеті з якомога меншими витратами? Дропшиппінг - це спосіб ведення інтернет-магазину без складу... Клієнт робить замовлення, ви (дропшиппер) передаєте його постачальнику, і він відправляє товар безпосередньо покупцеві. Дропшиппер жодним чином не бере участі в упаковці або доставці.

Звучить просто і вигідно, але кожен, хто веде бізнес в ЄС, повинен дотримуватися чинного законодавства про захист даних (GDPR), особливо при передачі персональних даних в країни, що не входять в Європейську економічну зону, тобто в треті країни

Дропшипперу доводиться мати справу з декількома юридичними питаннями, і ця стаття присвячена одному з найважливіших: передачі персональних даних в країну за межами Європейської економічної зони - яка називається третьою країною по відношенню до Регламенту (ЄС) 2016/679 про захист фізичних осіб у зв'язку з обробкою персональних даних і про вільне переміщення таких даних (GDPR).

Які питання GDPR в рамках моделі дропшиппінгу?

Передача персональних даних до третіх країн є одним з найбільш чутливих аспектів. Цей бізнес за своєю природою передбачає передачу персональних даних. Ми будемо мати на увазі, зокрема, гіпотезу, коли дропшиппер як контролер даних та експортер передає персональні дані клієнтів своїм постачальникам як обробникам. Іншими словами, дані клієнта повинні бути передані постачальнику для того, щоб постачальник міг відправити вантаж.

Однак дропшиппер, як і будь-який інший власник бізнесу, може вирішити користуватися певними послугами (наприклад, платіжними послугами, обслуговуванням серверів та іншими послугами, необхідними для його діяльності), що надаються компаніями, які базуються в третіх країнах. Вимоги щодо передачі персональних даних до третіх країн застосовуються до всіх персональних даних, що залишають межі ЄЕЗ.

Відомо, що найбільш затребувані постачальники знаходяться за межами ЄЕЗ, наприклад, в Китаї або США, і тому перед початком роботи слід взяти до уваги наступні питання.


Які дані будуть передаватися?

Необхідно дотримуватися принципу мінімізації даних, що означає, що дропшиппер повинен передавати тільки ті дані, які необхідні для виконання договору купівлі-продажу. Наприклад, не обов'язково надавати постачальнику банківські реквізити замовника, оскільки замовник здійснив або здійснить платіж на користь вашої компанії.

До яких третіх країн повинні передаватися дані?

Кожну із зазначених країн слід брати до уваги, оскільки кожна країна забезпечує різний рівень захисту даних. Надзвичайно важливим є нещодавнє рішення Суду Європейського Союзу (СЄС) про визнання недійсним Рішення 2016/1250 щодо адекватності захисту, передбаченого угодою ЄС-США про захист персональних даних (справа C-311/18). Таким чином, на практиці угода про захист персональних даних США визнана недійсною. Іншими словами, з 16 липня 2020 року дропшиппери, які здійснюють поставки з США, повинні провести індивідуальний аналіз, щоб визначити, чи відповідає їх передача даних стандартам GDPR.

Які ще передачі?

Дропшиппер повинен оцінити, чи передають його постачальники (як процесори), що знаходяться за межами ЄЕЗ, персональні дані, довірені їм дропшиппером, субпроцесору в іншій третій країні або в тій же третій країні. Наприклад, ваш китайський постачальник користується послугами доставки китайського перевізника, який обробляє персональні дані ваших клієнтів (ім'я, адреса доставки, номер телефону тощо).

Які ще деталі моєї бізнес-схеми?

Завжди слід пам'ятати про принцип "знай свою справу". Існує багато даних, які можуть мати відношення до справи, і належну увагу слід приділяти праву осіб на захист даних як фундаментальному праву. Обмеження цього права можуть бути встановлені лише за умови, що вони мають правову основу, є пропорційними та відповідають стандартам ЄС.

На який інструмент передачі даних я можу розраховувати? Це рішення про адекватність чи договірні умови?

Рішення про належний захист є справжнім полегшенням, оскільки передача даних до відповідної країни буде прирівняна до передачі даних в межах ЄС. В іншому випадку, належну увагу слід приділити договірним положенням між експортером даних (дропшипером) та імпортером даних (постачальниками з третіх країн і т.д.).

Чи є щось у законодавстві або практиці третіх країн, що може вплинути на ефективність інструменту передачі даних, на який я покладаюся?

Тут настає наступна складна частина оцінки. Необхідно вивчити характеристики кожної передачі та оцінити, який вплив вона матиме на ефективну реалізацію прав суб'єктів даних (ваших клієнтів) відповідно до GDPR.

Якщо так, то які додаткові заходи я можу вжити для забезпечення рівня захисту переданих даних відповідно до GDPR?

Якщо попередні кроки показали, що інструмент передачі не є ефективним, необхідно визначити додаткові заходи договірного, технічного або організаційного характеру. Ваші постачальники як обробники даних повинні надати вам допомогу в пошуку та впровадженні додаткових заходів.

Дропшиппер повинен знати, що саме він, а не постачальники, несе відповідальність за дотримання вимог Директиви про захист даних.

Як правило, передача персональних даних не повинна відбуватися, якщо існує ризик того, що персональні дані можуть бути доступні у шкідливий спосіб. Передача може відбутися лише в тому випадку, якщо контролер або процесор, дотримуючись інших положень GDPR, виконує умови, викладені в положеннях GDPR про передачу персональних даних до третіх країн.Європейська Комісія визначилася, які треті країни забезпечують належний рівень захисту даних. У такому випадку передача персональних даних до цієї третьої країни може відбуватися без необхідності отримання додаткового дозволу.
Наразі рішення про адекватність за межами ЄС виконують такі країни: Андорра, Аргентина, Канада, Фарерські острови, Гернсі, Ізраїль, острів Мен, Японія, Джерсі, Нова Зеландія, Швейцарія та Уругвай, Корея та Великобританія.
У разі відсутності рішення про адекватність - слід використовувати один з інструментів передачі даних, передбачених GDPR. Прикладами інструментів передачі є: Обов'язкові корпоративні правила (BCR), Стандартні договірні умови (SCC), прийняті Європейською Комісією, Кодекси поведінки або механізми сертифікації.