Новые условия передачи персональных данных в США и за пределы ЕС в 2020 году

26 июля 2020

Как стало недавно известно, 16 линя 2020 года, Европейский Суд Справедливости вынес решение по делу «Schrems II» (Case C-311/18 Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems), которым признал незаконность решения Европейской Комиссии 2016/1250 , которое было основой для применения EU-US Privacy Shield.

Передача персональных данных за пределы Европы

С принятием GDPR, сложилось впечатление, что регулирование в сфере обработки персональных данных начало стабилизироваться. Европейские компетентные органы выдавали и выдают большое количество разъяснений, которые определяют или просто уточняют тот или иной порядок обработки данных. НЕ исключением оставалась и сфера, касающаяся передачи персональных данных за пределы Европейской Экономической Зоны, в том числе и на территорию Соединенных Штатов Америки.

Так в 2016 Европейской Комиссией было принято решение об утверждении EU-US Privacy Shield, использование которого бы гарантировало безопасность передачи персональных данных компаниям, зарегистрированным на территории США.

Вместе с тем, Европейская Комиссия определяет перечень стран, которые имеют надлежащий уровень защиты персональных данных, и как следствие, при передаче персональных к этим странам должны применяться те же условия, которые применяются к передаче данных внутри Европейской Экономической Зоны. Стоит заметить, что по состоянию на 2020 год, в перечень стран, имеющих надлежащий уровень безопасности обработки персональных данных относится и США, но только в части передачи персональных данных тем компаниям, с территории Соединенных Штатов Америки, которые зарегистрированы в соответствующем реестре FTC.

Что же касается передачи персональных данных в другие страны, то с целью обеспечения безопасной передачи персональных данных, должны применяться требования, определенные GDPR, включая стандартные контрактные условия, утверждении Европейской комиссией в 2001, 2004 и 2010 годах. При этом, стоит отметить, что применение стандартных контрактных условий остается одним из самых распространенных инструментов, который используется компаниями при передаче персональных данных за пределы ЕЭЗ.

Предпосылки для вынесения решения

В 2015 году, Максимилиан Шремс, активист и юрист из Австрии, подал в контролирующий орган Ирландии (DPC) жалобу относительно необеспечения достаточной безопасности передачи персональных данных компанией Facebook персональных данных пользователей с ЕС на территорию США, в частности, Шремс просил признать стандартные контрактные условия, утвержденные европейской Комиссией в 2010 году, такими, которые не обеспечивают должную безопасность персональных данных как в процессе передачи данных, так и после их передачи.

Шремс аргументировал это тем, что законодательство США не регулирует защиту персональных данных, в том числе лиц с территории ЕС, в той мере, как это гарантировано в Хартии основных прав Европейского Союза, и имеет доступ ко всем и любых персональных данных, в силу полномочий своей разведки, определенных законодательством США.

Также нужно напомнить, что в результате жалобы того же Шремс, в 2015 году, к моменту подачи описанной выше жалобы, Европейский Суд Справедливости уже признал незаконным U.S.- EU Safe Harbor Framework, который также был призван обеспечить безопасность передачи персональных данных с ЕС в США.

Последствия вынесенного решения

Европейский Суд Справедливости, 16 июля 2020 года, вынес решение по делу «» Schrems II «, которым признал незаконным применение EU-US Privacy Shield и тем самым перечеркнул попытки европейских и американских правительств найти общий инструмент в вопросах передачи данных.

Такое решение означает, что тысячи американских компаний, которые работали в рамках EU-US Privacy Shield теперь должны искать другой способ обеспечения принадлежности передачи и обработки персональных данных лиц с территории Европы.

Некоторые аналитики отмечают, что причиной признании незаконным EU-US Privacy Shield была невозможность Европейской Комиссии найти баланс между двумя правовыми системами в момент принятия решения 2016/1250.

Что же касается основного предмета жалобы, а именно, стандартных контрактных условий, использование которых регламентировано статьей 46 General Data Protection Regulation, то суд решил не признавать такие положения незаконными, однако постановил, что они должны применяться только в соответствии с европейского законодательства и в рамках требований , которые определяет Хартии основных прав Европейского Союза. Вместе с тем, все компании, которые передают или планируют передавать персональные данные за пределы ЕЭЗ, используя стандартные условия контракта, должны дополнительно гарантировать применение всех соответствующих организационных и технических мероприятий, чтобы обеспечить надлежащий уровень безопасности при передаче персональных данных за пределы ЕС.

Своим решением суд фактически заставил компании, так или иначе вовлеченных в процесс обработки персональных данных как контроллеры, до начала передачи персональных данных, проводить дополнительные действия, направленные на определение того или лицо / компания, которой передаются данные, действительно соответствует требованиям GDPR и другого европейского законодательства в сфере защиты данных. По факту, компаниям нужно постоянно осуществлять так называемый «due diligence» своих партнеров до момента передачи им персональных данных и в процессе взаимодействия с ними.

вывод

К счастью, стандартные контрактные условия не были признаны незаконными, а потому большинство контроллеров, млели перед вынесением решения судом, могут выдохнуть спокойно и ждать соответствующих разъяснений EDPB и контролирующих органов в своих соответствующих юрисдикциях ЕС.

Однако, по нашему мнению, всем владельцам бизнесов стоит приготовиться к тому, что правила передачи данных все же изменятся в жесткую сторону и компании будут вынуждены провидиты due diligence своих партнеров в ближайшее время. Для этого потребуется разработка новых документов и инструментов, а это требует повышенного внимания и профессионализма.

Компания BSO Privacy Group поможет разобраться во всех вопросах, которые могли возникнуть у вас в процессе ознакомления с изложенным выше материалом.