NOYB проти Amazon та Facebook: невизначена доля «гігантів» в битві за персональні дані на полях Європи

21 Лютого 2020

Останнім часом, в Європі ходять чутки, що передавати персональні дані в Сполучені Штати Америки буде доволі складно і, до речі, не тільки в США, а і в будь-яку іншу країну, яка знаходиться за межами Європейської Економічної Зони. Річ у тому, що один із основних законних інструментів, який гарантував безпечність та законність передачі персональних даних за межі ЄС, а саме Standard Contractual Clauses, може бути визнаний недостатнім та таким, що не забезпечує належну гарантію того, що передача персональних даних за межі ЄЕЗ, гарантує належний рівень захисту. 

Причину такого занепокоєння потрібно пов’язати з людино, яка ще до недавнього часу була зовсім нікому не відома, а тепер користується не аби якою репутацією серед фахівців в сфері захисту персональних даних. Ім’я цієї людини – Максимліан Шремс.

Шремс проти Facebook

Макс Шремс будучи австрійський студентом та юристом, ще в 2011 році подав скаргу до Ірландської Data Protection Commission на Facebook за фактом неправомірної, на думку Шремса, передачі персональних даних за межі Європейського Союзі. У результаті такої скарги та наступних судових слухань, на рівні Європейського Союзу було прийнято рішення про те, що тодішня угода між США та ЄС щодо забезпечення безпеки обробки персональних даних (U.S.-EU Safe Harbor Framework) не забезпечує  належного захисту при передачі персональних даних з ЄС в США. Внаслідок цього, U.S.-EU Safe Harbor Framework було відмінено рішенням Європейського Суду справедливості, а передача даних, в рамках U.S.-EU Safe Harbor Framework в США, стала незаконною.

Шремс проти Facebook 2.0

Шремс на цьому не зупинився, і вже в 2013 році подав скаргу до контролюючого органу Ірландії (DPC), в якій заявив про те, що Standard Contractual Clauses, які були затверджені Європейською Комісією в 2010 році рішенням № 2010/87, та які застосовуються компанією Facebook, не забезпечують безпеку при передачі персональних даних суб’єктів даних з Європейського Союзу до третіх країн, зокрема і Сполучених Штатів Америки.  

У відповідь на це Data Protection Commission організував кампанію у відповідь, ціллю якої був перегляд через європейські суди не лише питання про підтвердження дійсності Standard contractual clauses, затверджених рішенням № 2010/87, CC, але і питання про належність та законність EU US Privacy Shield, які були розроблені та прийняті на заміну U.S.-EU Safe Harbor Framework. Як наслідок, Data Protection Commission подав позов до Високого суду Ірландії, який після неможливості прийняття остаточного рішення,  передав цю справу в Європейський Суд Справедливості.

Отже, перебуваючи на розгляді в Європейському Суді Справедливості, справа про незаконність застосування Standard contractual clauses ще не добігла свого кінця, однак свою думку з цього приводу висловив Генеральний адвокат Європейського Суду Справедливості  Хенрік Саугмандсгор, який заявив, що  Standard Contractual Clauses, затверджені Європейською Комісією в 2010 році рішенням № 2010/87, все ж передбачають всі необхідні елементи, які забезпечують належну безпеку при передачі персональних даних компаніями за межі Європейської Економічної Зони (ЄЕЗ). Разом з тим, Генеральний адвокат повідомив, що стандартні контракті умови зокрема передбачають наявність пунктів про права та обов’язки контролера даних, а також закріплюють положення про здійснення моніторингу контролюючими органами за дотриманням цих умов. Хенрік Саугмандсгор, у своєму прес-релізі від 19 грудня 2019 року також зазначив, що сподівається на те, що Європейський Суд Справедливості все ж прийме рішення, яке не буде розходитися з його думкою, так як наразі в Європейському Союзі немає інших на стільки зручних інструментів, які б могли бути використані при передачі персональних даних за межі Європи.

Шремс та Amazon. Хто вийде переможцем?

Максиміліан Шремз, в свою чергу, який на даний момент вже спровокував цілу низку судових процесів проти гігантів тієї чи іншої індустрії в питаннях законності обробки персональних даних, прийнявся і за компанію Amazon, яка  є найбільшою компанією в світі за обігом товарів   та послуг, які реалізуються через всесвітню мережу Інтернет.

Так, 19 лютого 2020 року, некомерційна група NOYB, яку очолює Макс Шремс, заявила, що подала скаргу проти Amazon до німецького органу по захисту даних (Hessia data protection authority) через відсутність захисту даних клієнтів Amazon. Відповідно до тверджень NOYB, які були викладені в скарзі, сервери електронної пошти Amazon, які використовуються для прямого зв’язку між клієнтами та сторонніми продавцями на платформі, не використовують базове шифрування, притаманне цій індустрії, що може порушувати правила безпеки обробки даних, які встановлені GDPR.

——————————

Штрафна санкція, яка може бути застосована до компанії Amazon, в рамках цієї скарги, може скласти 2 % від річного обороту компанії. Тобто, такий штраф може стати рекордним для справ, які стосуються порушень в сфері застосування GDPR, враховуючи той факт, що компанія Amazon заявила про свій річний оборот в 2019 році на суму 280 мільярдів доларів.  

Компанія Amazon поки ще не відреагувала на цю скаргу, однак справа обіцяє бути дуже цікавою.

Отже, чекаємо інших новин про Максиміліана Шремса, якого вже деякі спеціалісти охрестили «караючою рукою Європейського Союзу», готуємося до інформації про нові штрафи та забезпечуємо безпеку обробки персональних даних в рамках своїх компаній.