Нові умови передачі персональних даних в США та за межі ЄС в 2020 році

26 Липня 2020

Як стало нещодавно відомо, 16 линя 2020 року, Європейський Суд Справедливості виніс рішення у справі “Schrems II”  (Case C-311/18, Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems), яким визнав незаконність рішення Європейської Комісії  2016/1250, яке було основою для застосування EU-US Privacy Shield.

Передача персональних даних за межі Європи

З прийняттям GDPR, склалося враження, що регулювання в сфері обробки персональних даних почало стабілізуватися. Європейські компетентні органи видавали та видають велику кількість роз’яснень, які визначають або ж просто уточнюють той чи інший порядок обробки даних. Не винятком залишалася і сфера, що стосується передачі персональних даних за межі Європейської Економічної Зони, зокрема і на територію Сполучених Штатів Америки.

Так в 2016 Європейською Комісією було прийнято рішення про затвердження EU-US Privacy Shield, використання якого б гарантувало безпеку передачі персональних даних компаніям, зареєстрованим на території США.

Разом з тим, Європейська Комісія визначає перелік країн, які мають належний рівень захисту персональних даних, і як наслідок, при передачі персональних до цих країн повинні застосовуватися ті ж умови, які застосовуються до передачі даних в середині Європейської Економічної Зони. Варто зауважити, що станом на 2020 рік, до переліку країн, що мають належний рівень безпеки обробки персональних даних відноситься і США, але лише в частині передачі персональних даних тим компаніям, з території Сполучених Штатів Америки, які зареєстровані у відповідному реєстрі FTC.

Що ж стосується передачі персональних даних у всі інші країни, то з метою гарантування безпечної передачі персональних даних, повинні застосовуватися вимоги, визначені GDPR, включаючи стандартні контрактні умови, затвердженні Європейською комісією в 2001, 2004 та 2010 роках. При цьому, варто наголосити на тому, що застосування стандартних контрактних умов залишається одним із найпоширеніших інструментів, який використовується компаніями при передачі персональних даних за межі ЄЕЗ.

Передумови щодо винесення рішення

В 2015 році, Максиміліан Шремс, активіст та юрист з Австрії, подав до контролюючого органу Ірландії (DPC) скаргу щодо незабезпечення достатньої безпеки передачі персональних даних компанією Facebook персональних даних користувачів з ЄС на територію США, зокрема, Шремс просив визнати стандартні контрактні умови, затверджені Європейською Комісією в 2010 році, такими, що не забезпечують належну безпеку персональних даних як в процесі передачі даних, так і після їхньої передачі.

Шремс аргументував це тим, що законодавство США не регулює захист персональних даних, зокрема і осіб з території ЄС, в тій мірі, як це гарантовано в Хартії основних прав Європейського Союзу, та має доступ до всіх та будь-яких персональних даних, в силу повноважень своєї розвідки, які визначені законодавством США.

Також потрібно нагадати, що в результаті скарги того ж Шремса, в 2015 році, до моменту подачі описаної вище скарги, Європейський Суд Справедливості вже визнав незаконним  U.S.- EU Safe Harbor Framework, що також був покликаний забезпечити безпеку передачі персональних даних з ЄС до США.

Наслідки винесеного рішення

Європейський Суд Справедливості, 16 липня 2020 року, виніс рішення по справі «“Schrems II”, яким визнав незаконним застосування EU-US Privacy Shield і тим самим перекреслив намагання європейських та американських урядів знайти спільний інструмент в питаннях передачі даних.

Таке рішення означає, що тисячі американських компаній, які працювали в рамках EU-US Privacy Shield тепер повинні шукати інший спосіб гарантування належності передачі та обробки персональних даних осіб з території Європи.

Деякі аналітики зазначають, що причиною визнання незаконним EU-US Privacy Shield була неможливість Європейської Комісії знайти баланс між двома правовими системами в момент прийняття рішення 2016/1250.

Що ж стосується основного предмету скарги, а саме, стандартних контрактних умов, використання яких регламентоване статтею 46 General Data Protection Regulation, то суд вирішив не визнавати такі положення незаконними, однак постановив, що вони повинні застосовуватися тільки у відповідності до Європейського законодавства та в рамках вимог, які визначає Хартії основних прав Європейського Союзу. Разом з цим, всі компанії, які передають або планують передавати персональні дані за межі ЄЕЗ, використовуючи стандартні контрактні умови, повинні додатково гарантувати застосування всіх відповідних організаційних та технічних заходів, щоб гарантувати належний рівень безпеки при передачі персональних даних за межі ЄС.

Своїм рішенням, суд фактично змусив компанії, так чи інакше залучених до процесу обробки персональних даних як контролери, до початку передачі персональних даних, проводити додаткові дії, спрямовані на визначення того чи особа/компанія, якій передаються дані, дійсно відповідає вимогам GDPR та іншого європейського законодавства в сфері захисту даних. По факту, компаніям потрібно постійно здійснювати так званий “due diligence” своїх партнерів до моменту передачі їм персональних даних та в процесі взаємодії з ними.

Висновок

На щастя, стандартні контрактні умови не були визнані незаконними, а тому більшість контролерів, які мліли перед винесенням рішення судом, можуть видихнути спокійно та чекати відповідних роз’яснень EDPB та контролюючих органів у своїх відповідних юрисдикціях ЄС.

Однак, на нашу думку, всім власникам бізнесів варто приготуватися до того, що правила передачі даних все ж зміняться в жорсткішу сторону і компанії будуть змушені провидити  due diligence своїх партнерів вже найближчим часом. Для цього знадобиться розробка нових документів та інструментів, а це потребує значної уваги та професіоналізму.

Компанія BSO Privacy Group допоможе розібратися в усіх питаннях, які могли виникнути у вас в процесі ознайомлення з викладеним вище матеріалом.