NOYB против Amazon и Facebook: неопределенная судьба «гигантов» в битве за персональные данные на полях Европы

21 февраля 2020

В последнее время, в Европе ходят слухи, что передавать персональные данные в США будет довольно сложно и, кстати, не только в США, но и в любую другую страну, которая находится за пределами Европейской экономической зоны. Дело в том, что один из основных законных инструментов, который гарантировал безопасность и законность передачи персональных данных за пределы ЕС, а именно Standard Contractual Clauses, может быть признан недостаточным и таким, что не обеспечивает надлежащую гарантию того, что передача персональных данных за пределы ЕЭЗ гарантирует надлежащий уровень защиты.

Причину такого беспокойства нужно связать с человеком, который еще до недавнего времени была совершенно никому не известна, а теперь пользуется не абы какой репутацией среди специалистов в сфере защиты персональных данных. Имя этого человека — Максимлиан Шремс.

Шремс против Facebook

Макс Шремс будучи австрийский студентом и юристом, еще в 2011 году подал жалобу в Ирландской Data Protection Commission на Facebook по факту неправомерного, по мнению Шремс, передачи персональных данных за пределы Европейского Союзе. В результате такой жалобы и последующих судебных слушаний, на уровне Европейского Союза было принято решение о том, что тогдашняя соглашение между США и ЕС по обеспечению безопасности обработки персональных данных (US-EU Safe Harbor Framework) не обеспечивает надлежащей защиты при передаче персональных данных с ЕС в США. В результате, U.S.-EU Safe Harbor Framework был отменен решением Европейского Суда справедливости, а передача данных, в рамках U.S.-EU Safe Harbor Framework в США, стала незаконной.

Шремс против Facebook 2.0

Шремс на этом не остановился, и уже в 2013 году подал жалобу в контролирующий орган Ирландии (DPC), в которой заявил о том, что Standard Contractual Clauses, которые были утверждены Европейской Комиссией в 2010 году решением № 2010/87, и применяемые компанией Facebook, не обеспечивают безопасность при передаче персональных данных субъектов данных из Европейского Союза в третьи страны, в том числе и Соединенных Штатов Америки.

В ответ на это Data Protection Commission организовал кампанию в ответ, целью которой был просмотр через европейские суды не только вопрос о подтверждении действительности Standard contractual clauses, утвержденных решением № 2010/87, CC, но и вопрос о принадлежности и законность EU US Privacy Shield, которые были разработаны и приняты на замену US-EU Safe Harbor Framework. Как следствие, Data Protection Commission подал иск в Высокий суд Ирландии, который после невозможности принятия окончательного решения, передал это дело в Европейский Суд Справедливости.

Итак, находясь на рассмотрении в Европейском Суде Справедливости, дело о незаконности применения Standard contractual clauses еще не подошла к концу, однако свое мнение по этому поводу высказал Генеральный адвокат Европейского Суда Справедливости Хенрик Саугмандсгор, который заявил, что Standard Contractual Clauses, утвержденные Европейской Комиссией в 2010 году решением № 2010/87, все же предусматривают все необходимые элементы, которые обеспечивают надлежащую безопасность при передаче персональных данных компаниями за пределы Европейской Экономической Зоны (ЕЭЗ). Вместе с тем, Генеральный адвокат сообщил, что стандартные контракте условия частности предусматривают наличие пунктов о правах и обязанностях контролера данных, а также закрепляют положение об осуществлении мониторинга контролирующими органами за соблюдением этих условий. Хенрик Саугмандсгор, в своем пресс-релизе от 19 декабря 2019 также отметил, что надеется на то, что Европейский Суд Справедливости все же примет решение, которое не будет расходиться с его мнением, так как сейчас в Европейском Союзе нет других настолько удобных инструментов , которые могли бы быть использованы при передаче персональных данных за пределы Европы.

Шремс и Amazon. Кто выйдет победителем?

Максимилиан Шремз, в свою очередь, который на данный момент уже спровоцировал целый ряд судебных процессов против гигантов той или иной индустрии в вопросах законности обработки персональных данных, принялся и за компанию Amazon, которая является крупнейшей компанией в мире по обороту товаров и услуг, которые реализуются через всемирную сеть Интернет.

Так, 19 февраля 2020, некоммерческая группа NOYB, которую возглавляет Макс Шремс, заявила, что подала жалобу против Amazon немецкому органа по защите данных (Hessia data protection authority) из-за отсутствия защиты данных клиентов Amazon. Согласно утверждениям NOYB, которые были изложены в жалобе, серверы электронной почты Amazon, которые используются для прямой связи между клиентами и сторонними продавцами на платформе, не используют базовое шифрование, присущее этой индустрии, может нарушать правила безопасности обработки данных, которые установлены GDPR.

——————————

Штрафная санкция, которая может быть применена к компании Amazon, в рамках этой жалобы, может составить 2% от годового оборота компании. То есть, такой штраф может стать рекордным для дел, касающихся нарушений в сфере применения GDPR, учитывая тот факт, что компания Amazon заявила о своем годовой оборот в 2019 году на сумму 280 000 000 000 долларов.

Компания Amazon пока не отреагировала на эту жалобу, однако дело обещает быть очень интересной.

Итак, ждем других новостей о Максимилиана Шремс, которого уже некоторые специалисты окрестили «карающей рукой Европейского Союза», готовимся к информации о новых штрафах и обеспечиваем безопасность обработки персональных данных в рамках своих компаний.