ZHANNA KOVAL 25.01.2021

ОБНОВЛЕНИЕ GDPR: ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Недавно Суд Европейского Союза принял решение по делу C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems.

CJEU (Суд Европейского Союза) подтвердил, что стандарты ЕС по защите данных должны распространяться и на данные, отправляемые за границу. Это означает, что это решение имеет более широкие последствия, чем просто признание EU-US Privacy Shield (Соглашения о правилах обмена конфиденциальной информацией между ЕС и СШАнедействительным. Оно также подтверждает важность защиты личных данных, передаваемых из Великобритании.

Прежде всего, я хотел бы пояснить, о чем именно говорилось в решении суда. В деле Data protection commissioner v Facebook Ireland Ltd and Maximilian Schrems суд рассмотрел обоснованность Решения Европейской комиссии 2010/87/EC о стандартных договорных условиях (Standard Contractual Clauses, SCCs) и счел его обоснованным.

Однако, по мнению судьи, факт обоснованности зависит от того, включает ли Решение 2010/87/EC эффективные механизмы, которые позволяют на практике обеспечивать соблюдение уровня защиты, эквивалентного тому, который гарантируется в ЕС GDPR и приостанавливать или запрещать передачу персональных данных в случае нарушения данных условий или невозможности их соблюдения.

В заключение суд постановил, что Решение 2010/87/EC налагает обязанность на экспортера данных и получателя данных («импортера данных») перед любой передачей и с учетом обстоятельств передачи проверять, соблюдается ли данный уровень защиты в стране получателя данных. Также Решение 2010/87/EC требует, чтобы импортер данных информировал экспортера данных о любой неспособности соблюдать стандартные положения о защите данных, и чтобы экспортер данных, в свою очередь, приостановил передачу данных и/или расторгнул договор с импортером данных.

Суд также рассмотрел вопрос об обоснованности решения о Privacy Shield (Соглашения о правилах обмена конфиденциальной информацией между ЕС и США), поскольку передачи, о которых идет речь в контексте национального спора, приведшего к ходатайству о вынесении предварительного решения, имели место между ЕС и США (U.S.). Суд счел, что требования внутреннего законодательства США и, в частности, определенные программы, позволяющие государственным органам США получить доступ к личным данным, передаваемым из ЕС в США в целях национальной безопасности, приводят к ограничениям в отношении защиты личных данных, не прописанным таким образом, дабы удовлетворить требования, которые по существу эквивалентны требованиям, предъявляемым законодательством ЕС. К тому же, данное законодательство не предоставляет субъектам данных права на подачу иска в суд против властей США. Из-за указанной степени вмешательства в основные права лиц, данные которых передаются в третью страну, Суд постановил, что Privacy Shield не соответсвует требованиям.

Как это может вас затронуть?

Если вы передаете или передавали данные на международном уровне, вы больше не можете полагаться на Privacy Shield. Перед передачей данных в США вам необходимо проверить, имеете ли вы право на это в соответствии с условиями, изложенными ниже.

Обратите внимание, что Европейская комиссия и EDPB (Европейский совет по защите данных) вскоре предоставят более подробное руководство касательно дополнительных необходимых мер. В свою очередь, вам следует проанализировать совершаемые международные передачи и незамедлительно отреагировать на новые рекомендации и советы. EDPB порекомендовал провести анализ рисков в отношении того, обеспечивают ли SCC достаточную защиту в рамках местного законодательства, независимо от того, осуществляется ли передача в США или куда-либо еще. Получатель данных может помочь вам в этом.

Мы же, в свою очередь, можем предложить проверку вашей политики конфиденциальности (Privacy Policy) на соответствие последним изменениям законодательства. Если мы придем к выводу, что ваша политика не соответствует установленным требованиям, мы внесем в нее соответствующие правки и рассмотрим возможность использования стандартных договорных положений между регулятором и обработчиком.

Michael Iatsukha

michael@sterlinglawyers.co.uk

Последние новости
ИСТЕЧЕНИЕ СРОКА БИОМЕТРИЧЕСКОГО ВИДА НА ЖИТЕЛЬСТВО 09.07.2021
Если в последние несколько лет вы получали бессрочный вид на жительство (indefinite leave to remain, ILR), вам, вероятно, выдавался биометрический вид на жительство (BRP), срок действия которого ис...
ОФИЦИАЛЬНОЕ ТРЕБОВАНИЕ О ПОГАШЕНИИ ДОЛГА 09.07.2021
Официальное требование о погашении долга – это своего рода предупреждение должнику о том, что невыплата долга может привести к процедуре признания его/ее банкротом. Данная форма часто используется ...
РАСХОДЫ НА ЮРИДИЧЕСКИЕ УСЛУГИ – МОЖНО ЛИ ИХ ВЗЫСКАТЬ С ОППОНЕНТА ПОСЛЕ ПОБЕДЫ В ЮРИДИЧЕСКОМ СПОРЕ? 09.07.2021
Само собой, этот вопрос возникает у многих клиентов, решившихся возбудить судебное/арбитражное разбирательство или же вынужденных защищать свои интересы в суде. Правила запутаны, все зависит от оп...
РЕГИСТРАЦИЯ В ПОЛИЦИИ ДЛЯ ОБЛАДАТЕЛЕЙ ВИЗ В ВЕЛИКОБРИТАНИЮ 09.07.2021
Разрешение на въезд или вид на жительство в стране может выдаваться на определённых условиях, в том числе и условии регистрации лица в полиции по приезду в Великобританию. В данной статье мы рассмо...