Нові правила передачі даних з території Європейського Союзу в США
Після визнання Європейським Судом Справедливості в 2020 році EU-US Privacy Shield документом, що більше не забезпечує належну та законну передачу персональних даних з території Європейського Союзу до Сполучених Штатів Америки, виникло багато непорозумінь при роботі американських компаній на території об’єднаної Європи.
Попереднє регулювання передачі даних
Після набрання законної сили в 2018 році Загального Регулювання із Захисту Даних (GDPR), контроль за збиранням, обробкою та передачею персональних даних в рамках європейської спільноти значно посилився. Зміни в «правила гри» щодо обробки персональних даних стосувалися зокрема і компаній, місцем реєстрації яких є Сполучені Штати Америки, які провадили свою бізнес діяльність в ЄС або здійснювали обробку персональних даних осіб, що знаходилися на території Європейського Союзу.
Так, до 2020 року, передача персональних даних з Європейського Союзу до американських компаній регулювалося таким документом як EU-US Privacy Shield, який набув чинності в 2016 році. Однак, у зв’язку зі зверненням активістів до контролюючих органів ЄС, а також до Європейського Суду Справедливості, цей документ був визнаний незаконним та таким, що не забезпечує належну безпеку при передачі даних осіб, які знаходяться в Європейському Союзі до Сполучених Штатів Америки.
Основною підставою для визнання документом незаконним стало те, що він не покривав своїми нормами доступ до персональних даних державних органів США, зокрема органів, які провадять розвідувальну діяльність та діяльність, спрямовану на захист національних інтересів та безпеки Сполучених Штатів.
Перехідні умови передачі даних
Після визнання EU-US Privacy Shield недієвим документом, постало логічне питання стосовно того, як передавати дані після такого визнання. Єдиним механізмом та дієвим інструментом, який міг цьому зарадити, у відповідності до General Data Protection Regulation, залишався механізм використання Стандартних Контрактних Умов (Standard Contractual Clauses (SCC)). Ці SCC діяли паралельно з EU-US Privacy Shield та використовувалися як практичний механізм, що дозволяв сторонам узгоджувати нюанси передачі даних за межі Європейського Союзу. Разом з визнанням EU-US Privacy Shield недієвим, а також з ростом занепокоєності європейського бізнесу щодо втручання в персональні дані державних органів США, Стандартні Контрактні Умови втратили свою дієвість в первинній формі.
EDPB був вимушений терміново шукати варіанти вдосконалення SCC, в наслідок чого, в 2021 році EDPB було видано нові рекомендації щодо додаткових заходів безпеки при передачі даних з ЄС в США, які потрібно було долучити до Стандартних Контрактних Умов. З моменту публікації цих рекомендацій, баланс відповідності передачі даних за межі ЄС було більш-менш вирівняно, однак він був дуже хиткий, адже ніяким чином не перекривав вимоги законодавчих актів, таких наприклад як Foreign Intelligence Surveillance Act, в контексті доступу до персональних даних, які знаходилися в розпорядженні американських компаній.
Нові перспективи в регулюванні передачі даних
Сполучені Штати та Європейська комісія (ЄК) узгодили в принципі нову Трансатлантична систему конфіденційності даних (Trans-Atlantic Data Privacy Framework), яка полегшить компаніям передачу особистих даних, включно з даними про співробітників, із країн Європейського Союзу (ЄС) до США. Нова рамкова співпраця, оголошена в березні 2022 року, спрямована на вирішення проблем конфіденційності, на які посилався Суд ЄС у 2020 році, коли визнав недійсним попередній документ EU-US Privacy Shield.
Трансатлантична система конфіденційності даних має на меті запровадити кращий захист конфіденційності, щоб обмежити діяльність розвідки США, пов’язану з особистими даними жителів ЄС, і дозволить жителям ЄС вимагати відшкодування через незалежний суд із розгляду питань захисту даних.
ЄК процитувала кілька ключових принципів нової структури, зазначивши, що:
• Дані зможуть вільно та безпечно передаватись між ЄС та американськими компаніями-учасниками цієї рамкової співпраці.
• Нові правила та обов’язкові гарантії обмежать доступ розвідувальних органів США лише до даних, які є «необхідними та пропорційним
и» для захисту національної безпеки, а розвідувальні агентства запровадять процедури для забезпечення ефективного нагляду за новими стандартами конфіденційності та громадянських свобод.
• Нова незалежна дворівнева система правового захисту, включаючи суд із захисту даних, розслідуватиме скарги жителів Європи щодо доступу розвідувальних служб США до їхніх особистих даних.
• Будуть запроваджені спеціальні механізми моніторингу та перегляду.
Трансатлантична система конфіденційності даних повинна пройти різні регулятивні кроки, перш ніж вона стане ефективною та стане доступною для транснаціональних компаній.
Оголошені офіційними органами деталі свідчать про те, що нова структура працюватиме подібним до EU-US Privacy Shield чином, сприяючи експорту персональних даних до американських організацій, які самостійно сертифікують своє дотримання її принципів через Міністерство торгівлі США.
До тих пір, поки Трансатлантична система конфіденційності даних не буде затверджена і не набере чинності, компанії не можуть покладатися на неї для захисту експорту своїх даних до США. Тому наразі компаніям зі США та ЄС потрібно буде продовжувати співпрацю, щоб запровадити альтернативні гарантії та провести оцінку впливу передачі на їхній експорт даних з ЄС до США.
Нова Трансатлантична система конфіденційності даних повинна забезпечити більш плавний і простий механізм передачі даних для багатонаціональних роботодавців. Саме ця проблема, в минулому, спонукала багатьох підписатися на попередній EU-US Privacy Shield.
В будь-якому випадку, потрібно чекати публікації остаточного драфту документу, який прогнозується на кінець поточного року. Після цього, ми зможе вже з впевненістю говорити, яким чином компаніям із США потрібно провадити свою діяльність, дотримуючись вимог щодо захисту персональних даних з ЄС, не порушуючи при цьому законодавство ЄС, а також права та інтереси європейців.
