Дополнительные меры безопасности при передаче данных из ЕС: с чем столкнулись импортеры данных из США

20 декабря 2021

Необходимость принятия дополнительных мер для передачи персональных данных в третьи страны стала ключевым соображением после постановления в деле Schrems II. Внутренние процессы компании, наряду с договорными положениями со сторонними поставщиками услуг, предусматривают структурированный, документированный и контролируемый набор мер защиты, отражающих характер, объем, контекст и цели соответствующей передачи, как того требует постановление Schrems II и в свете правил GDPR, касающихся технических и организационных мер.

Рекомендации по дополнительным мерам

Спустя почти год после решения Суда Европейского Союза (CJEU) по делу Schrems II, 21 июня 2021 г., Европейский совет по защите данных (EDPB) опубликовал свои окончательные Рекомендации 01/2020 о мерах, дополняющих инструменты передачи данных, для обеспечения соответствия уровня защиты персональных данных, передающихся с ЕС.

Явно признавая обоснованность оценки риска на практике передачи данных из Европейской Экономической Зоны в США, эти долгожданные Рекомендации станут (почти) облегчением для многих импортеров данных из США, которые изо всех сил пытаются соблюдать Schrems II. Для других импортеров из США Рекомендации еще больше усложнят соблюдение GDPR.

В любом случае, импортерам данных из США следует ожидать, что они потратят дополнительное время и ресурсы на документирование своих оценок рисков, связанных с передачей в США персональных данных, подпадающих под действие GDPR.

Предыстория

В деле Schrems II Европейский суд справедливости (CJEU) специально проанализировал раздел 702 Закона США о наблюдении за внешней разведкой (FISA) и определил, что программы наблюдения, действующие в соответствии с ним, не обеспечивают требуемых минимальных гарантий для лиц в соответствии с принципом соразмерности ЕС или не предусматривают средства правовой защиты в случае ненадлежащего наблюдения. CJEU аннулировал Соглашение о защите конфиденциальности между ЕС и США на этих основаниях. CJEU также изучил действительность Стандартных договорных условий ЕС (SCC) для передачи данных.

Хотя CJEU подтвердил действительность SCC, в решении говорилось, что экспортеры и импортеры данных должны оценить, существует ли адекватная защита передаваемых данных в свете законов страны назначения, и определить, может ли возникнуть необходимость дополнить SCC с помощью дополнительных гарантий.

В проекте рекомендаций от 10 ноября 2020 года, EDPB опубликовал дорожную карту для проведения индивидуальной оценки передачи, включая дополнительные меры защиты. Проект рекомендаций прямо исключает возможность для экспортеров и импортеров данных при оценке защиты передаваемых данных «полагаться на субъективные факторы, такие как вероятность доступа государственных органов к персональным данным.

Учитывая, что CJEU определил, что Раздел 702 FISA не соответствует основным гарантиям в соответствии с законодательством ЕС, проект рекомендаций требовал бы, чтобы все передачи данных в США осуществлялись только с использованием дополнительных мер. Тем не менее, EDPB придерживался чрезвычайно узкого взгляда на то, какие меры можно считать адекватными, в результате чего значительное количество импортеров данных из США оказалось неспособным выполнить проект рекомендаций в разумные сроки, или вообще когда-либо.

Заключительное исполнительное решение Комиссии по стандартным договорным положениям о передаче персональных данных в третьи страны, опубликованное 7 июня 2021 года, подтвердило необходимость использования дополнительных мер, а также предоставило некоторые примеры таких мер.

Субъективная оценка рисков передачи данных  

Как и предполагалось в новом SCC Европейской Комиссии, EDPB допустил возможность учета субъективных факторов при оценке рисков передачи персональных данных в США. В частности, Рекомендации предполагают, что, когда переданные данные или импортер данных подпадают или могут подпадать под действие законодательства (например, Раздела 702 FISA), которое не соответствует стандартам ЕС, передача данных может осуществляться без дополнительных мер, если стороны могут продемонстрировать отсутствие оснований полагать, что законодательство будет интерпретироваться или применяться на практике к данным или импортеру.

Особенности FISA

Рекомендации EDPB включают расширенный и гораздо более подробный пример того, как оценивать риск Раздела 702 FISA для данных, передаваемых в США. Например, в примере повторяется акцент на применении на практике Раздела 702 FISA к конкретной передаче и перечисляются надежные источники информации для определения применения Раздела 702 на практике, например, Правила процедуры Суда по надзору за внешней разведкой (FISC), рассекреченные мнения и решения FISC, а также прецедентное право судов США, среди прочего.

Также Рекомендации EDPB предполагают документирование ответов на вопросы, касающиеся того, показывает ли общедоступная информация, что существует юридический запрет на информирование экспортера о конкретном запросе на доступ к переданным данным, то есть положение о предотвращении разглашения информации (ответ на который неизбежно будет быть «да»); существуют ли широкие ограничения на предоставление общей информации о запросах доступа к передаваемым данным (возможно, «нет»); и есть ли «отсутствие полученных запросов».

В Рекомендациях не ясны последствия требований по предотвращению разглашения информации, далее указывается, что «задокументированный практический опыт импортера с соответствующими предыдущими случаями запросов на доступ, полученных от государственных органов» может быть принят во внимание только в том случае, если правовая база третьей страны не запрещает импортеру предоставлять информацию о запросах на раскрытие информации от государственных органов или об отсутствии таких запросов.

В Рекомендациях также отмечается, что отсутствие предыдущих запросов, полученных импортером, никогда не может рассматриваться само по себе как решающий фактор, позволяющий осуществить передачу без дополнительных мер, тем самым поощряя импортеров и экспортеров данных к тщательному изучению более широкого круга факторов при оценке рисков при передачи данных.

Другие важные аспекты

Помимо перечисления источников для анализа применения Раздела 702 FISA на практике, Рекомендации включают длинный список других возможных источников для оценки законодательства страны назначения в порядке предпочтения. Это варьируется от «прецедентного права Суда Европейского Союза» до «внутренних заявлений или записей импортера, прямо указывающих на то, что запросы на доступ не поступали в течение достаточно длительного периода. Сами дополнительные меры по большей части не изменились, и для американских импортеров (особенно тех, которые уже внедрили такие меры) приоритетом теперь должно быть полное документирование оценок рисков передачи.

В отличие от проекта рекомендаций, в рекомендациях больше не говорится прямо, что отступления от требований статьи 49 GDPR (например, использование явного согласия или исполнения контракта для передачи данных в США) должны ограничиваться «случайными и неповторяющимися передачами». Однако EDPB повторяет, что отступления от статьи 49 не могут стать «правилом» на практике, а должны быть ограничены конкретными ситуациями.

Выводы

Принятие в Рекомендациях субъективного подхода к оценке является важным и долгожданным событием для многих импортеров данных в США. Подробное руководство в Рекомендациях по требуемому уровню оценки, источникам информации и отработанному (хотя и высокоуровневому) примеру влияния Раздела 702 FISA на переводы будет полезно для предприятий и специалистов по конфиденциальности, когда они проводят или обновляют оценки рисков. Но объем и детализация этих оценок, и, в частности, документация, необходимая для обоснования решения американского импортера не применять дополнительные меры, потребуют постоянных усилий. Американские импортеры, работающие в секторах с повышенным риском или обрабатывающие более конфиденциальные данные, должны ожидать дополнительного раунда комплексной проверки со стороны своих клиентов, партнеров и аффилированных лиц из ЕЭЗ.

За пределами США требование учитывать не только законодательство, но и практику в стране назначения будет трудно удовлетворить в некоторых обстоятельствах, особенно для юрисдикций с менее развитыми правовыми системами, и может привести к принятию некоторых трудных решений в будущем для экспортеров данных с ЕЭЗ.