Додаткові заходи безпеки при передачі даних із ЄС: з чим зіткнулися імпортери даних із США

20 Грудня 2021

Необхідність вживання додаткових заходів для передачі персональних даних до третіх країн стало ключовим міркуванням після ухвали у справі Schrems II. Внутрішні процеси компанії, поряд з договірними положеннями зі сторонніми постачальниками послуг, передбачають структурований, документований та контрольований набір заходів захисту, що відображають характер, обсяг, контекст та цілі відповідної передачі, як того вимагає постанова Schrems II та у світлі правил GDPR, що стосуються технічних та організаційних заходів.

Рекомендації щодо додаткових заходів

Майже рік після рішення Суду Європейського Союзу (CJEU) у справі Schrems II, 21 червня 2021 р., Європейська рада із захисту даних (EDPB) опублікувала свої остаточні Рекомендації 01/2020 про заходи, що доповнюють інструменти передачі даних, для забезпечення відповідності рівня захисту персональних даних, що передаються із ЄС.

Явно визнаючи обґрунтованість оцінки ризику на практиці передачі даних з Європейської Економічної Зони в США, ці довгоочікувані Рекомендації стануть полегшенням для багатьох імпортерів даних із США, які щосили намагаються дотримуватися Schrems II. Для інших імпортерів із США Рекомендації ще більше ускладнять дотримання GDPR.

У будь-якому випадку імпортерам даних із США слід очікувати, що вони будуть витрачати свій додатковий час та ресурси на документування своїх оцінок ризиків, пов’язаних із передачею в США персональних даних, що підпадають під дію GDPR.

Передісторія 

У справі Schrems II, Європейський суд справедливості (CJEU) спеціально проаналізував розділ 702 Закону США про спостереження зовнішньою розвідкою (FISA) та визначив, що програми спостереження, що діють відповідно до нього, не забезпечують необхідних мінімальних гарантій для осіб відповідно до принципу пропорційності ЄС або не передбачають засоби правового захисту у разі неналежного спостереження. CJEU анулював Угоду про захист конфіденційності між ЄС та США на цих підставах. CJEU також вивчив дійсність Стандартних договірних умов ЄС (SCC) передачі даних.

Хоча CJEU підтвердив дійсність SCC, у рішенні говорилося, що експортери та імпортери даних повинні оцінити, чи існує адекватний захист даних, що передаються у світлі законів країни призначення, і визначити, чи може виникнути необхідність доповнити SCC за допомогою додаткових гарантій.

У проекті рекомендацій від 10 листопада 2020 року, EDPB опублікував дорожню карту для проведення індивідуальної оцінки передачі, включаючи додаткові заходи захисту. Проект рекомендацій прямо виключає можливість для експортерів та імпортерів даних при оцінці захисту даних, що передаються, покладатися на суб’єктивні фактори, такі як ймовірність доступу державних органів до персональних даних.

Враховуючи, що CJEU визначив, що Розділ 702 FISA не відповідає основним гарантіям відповідно до законодавства ЄС, проект рекомендацій вимагав би, щоб усі передачі даних у США здійснювалися лише за допомогою додаткових заходів. Тим не менш, EDPB дотримувався надзвичайно вузького погляду на те, які заходи можна вважати адекватними, внаслідок чого значна кількість імпортерів даних із США виявилася нездатною виконати проект рекомендацій у розумні терміни, або і взагалі не виконати.

Заключне виконавче рішення Комісії щодо стандартних договірних положень про передачу персональних даних до третіх країн, опубліковане 7 червня 2021 року, підтвердило необхідність використання додаткових заходів, а також надало деякі приклади таких заходів.

Суб’єктивна оцінка ризиків передачі даних

Як і передбачалося у новому SCC Європейської Комісії, EDPB допустив можливість урахування суб’єктивних чинників щодо оцінки ризиків передачі персональних даних США. Зокрема, Рекомендації припускають, що коли дані, що передаються, або імпортер даних підпадають або можуть підпадати під дію законодавства (наприклад, Розділу 702 FISA), яке не відповідає стандартам ЄС, передача даних може здійснюватися без додаткових заходів, якщо сторони можуть продемонструвати відсутність підстав вважати, що законодавство інтерпретуватиметься або застосовуватиметься на практиці до даних або імпортера.

Особливості FISA

Рекомендації EDPB включають розширений і більш докладний приклад того, як оцінювати ризик розділу 702 FISA для даних, що передаються в США. Наприклад, у прикладі повторюється акцент на застосуванні на практиці Розділу 702 FISA до конкретної передачі та перераховуються надійні джерела інформації для визначення застосування Розділу 702 на практиці, зокрема, Правила процедури Суду з нагляду за зовнішньою розвідкою (FISC), розсекречені припущення та рішення FISC, а також, серед іншого, прецедентне право судів США.

Також Рекомендації EDPB передбачають документування відповідей на запитання, чи показує загальнодоступна інформація, що існує юридична заборона на інформування експортера про конкретний запит на доступ до переданих даних, тобто положення про запобігання розголошенню інформації (відповідь на яку неминуче буде бути «так») та чи існують широкі обмеження на надання загальної інформації про запити доступу до даних, що передаються (можливо, «ні») і чи є «відсутність отриманих запитів».

У Рекомендаціях не зрозумілі наслідки вимог щодо запобігання розголошенню інформації, далі вказується, що «задокументований практичний досвід імпортера з відповідними попередніми випадками запитів на доступ, отриманих від державних органів» може бути прийнятий до уваги лише в тому випадку, якщо правова база третьої країни не забороняє імпортеру надавати інформацію про запити на розкриття інформації від державних органів або відсутність таких запитів.

У Рекомендаціях також наголошується, що відсутність попередніх запитів, отриманих імпортером, ніколи не може розглядатися як вирішальний фактор, що дозволяє здійснити передачу без додаткових заходів, тим самим заохочуючи імпортерів і експортерів даних до ретельного вивчення ширшого кола факторів при оцінці ризиків при передачі даних.

Інші важливі аспекти

Крім перерахунку джерел для аналізу застосування розділу 702 FISA на практиці, Рекомендації включають довгий список інших можливих джерел для оцінки законодавства країни призначення як перевагу. Це варіюється від «прецедентного права Суду Європейського Союзу» до «внутрішніх заяв або записів імпортера, які прямо вказують на те, що запити на доступ не надходили протягом досить тривалого періоду. Самі додаткові заходи здебільшого не змінилися, і для американських імпортерів (особливо тих, які вже впровадили такі заходи), пріоритетом тепер має бути повне документування оцінок ризиків передачі.

На відміну від проекту рекомендацій, у Рекомендаціях більше прямо не йдеться, що відступ від вимог статті 49 GDPR (наприклад, використання явної згоди або виконання контракту для передачі даних у США) повинні обмежуватися «випадковими та неповторними передачами». Проте EDPB повторює, що відступи від статті 49 не можуть стати «правилом» на практиці, а мають бути обмежені конкретними ситуаціями.

Висновки

Прийняття в Рекомендаціях суб’єктивного підходу до оцінки є важливою та довгоочікуваною подією для багатьох імпортерів даних у США. Детальний посібник у Рекомендаціях щодо необхідного рівня оцінки, джерел інформації та відпрацьованого (хоч і високорівневого) прикладу впливу Розділу 702 FISA на передачу даних буде корисним для підприємств та спеціалістів з конфіденційності, коли вони проводять або оновлюють оцінки ризиків. Але обсяг та деталізація цих оцінок, і, зокрема, документація, необхідна для обґрунтування рішення американського імпортера не вживати додаткових заходів, потребуватимуть постійних зусиль. Американські імпортери, які працюють у секторах з підвищеним ризиком або обробляють більш конфіденційні дані, повинні очікувати на додатковий раунд комплексної перевірки з боку своїх клієнтів, партнерів та афілійованих осіб з ЄЕЗ.

За межами США вимога враховувати не лише законодавство, а й практику в країні призначення буде важко задовольнити в деяких обставинах, особливо для юрисдикцій з менш розвиненими правовими системами, і може призвести до ухвалення деяких важких рішень у майбутньому для експортерів даних з ЄЕЗ.