ОБНОВЛЕНИЕ GDPR: ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
25.01.2021
Недавно Суд Европейского Союза принял решение по делу C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems.
CJEU (Суд Европейского Союза) подтвердил, что стандарты ЕС по защите данных должны распространяться и на данные, отправляемые за границу. Это означает, что это решение имеет более широкие последствия, чем просто признание EU-US Privacy Shield (Соглашения о правилах обмена конфиденциальной информацией между ЕС и США) недействительным. Оно также подтверждает важность защиты личных данных, передаваемых из Великобритании.
Прежде всего, я хотел бы пояснить, о чем именно говорилось в решении суда. В деле Data protection commissioner v Facebook Ireland Ltd and Maximilian Schrems суд рассмотрел обоснованность Решения Европейской комиссии 2010/87/EC о стандартных договорных условиях (Standard Contractual Clauses, SCCs) и счел его обоснованным.
Однако, по мнению судьи, факт обоснованности зависит от того, включает ли Решение 2010/87/EC эффективные механизмы, которые позволяют на практике обеспечивать соблюдение уровня защиты, эквивалентного тому, который гарантируется в ЕС GDPR и приостанавливать или запрещать передачу персональных данных в случае нарушения данных условий или невозможности их соблюдения.
В заключение суд постановил, что Решение 2010/87/EC налагает обязанность на экспортера данных и получателя данных («импортера данных») перед любой передачей и с учетом обстоятельств передачи проверять, соблюдается ли данный уровень защиты в стране получателя данных. Также Решение 2010/87/EC требует, чтобы импортер данных информировал экспортера данных о любой неспособности соблюдать стандартные положения о защите данных, и чтобы экспортер данных, в свою очередь, приостановил передачу данных и/или расторгнул договор с импортером данных.
Суд также рассмотрел вопрос об обоснованности решения о Privacy Shield (Соглашения о правилах обмена конфиденциальной информацией между ЕС и США), поскольку передачи, о которых идет речь в контексте национального спора, приведшего к ходатайству о вынесении предварительного решения, имели место между ЕС и США (U.S.). Суд счел, что требования внутреннего законодательства США и, в частности, определенные программы, позволяющие государственным органам США получить доступ к личным данным, передаваемым из ЕС в США в целях национальной безопасности, приводят к ограничениям в отношении защиты личных данных, не прописанным таким образом, дабы удовлетворить требования, которые по существу эквивалентны требованиям, предъявляемым законодательством ЕС. К тому же, данное законодательство не предоставляет субъектам данных права на подачу иска в суд против властей США. Из-за указанной степени вмешательства в основные права лиц, данные которых передаются в третью страну, Суд постановил, что Privacy Shield не соответсвует требованиям.
Как это может вас затронуть?
Если вы передаете или передавали данные на международном уровне, вы больше не можете полагаться на Privacy Shield. Перед передачей данных в США вам необходимо проверить, имеете ли вы право на это в соответствии с условиями, изложенными ниже.
Обратите внимание, что Европейская комиссия и EDPB (Европейский совет по защите данных) вскоре предоставят более подробное руководство касательно дополнительных необходимых мер. В свою очередь, вам следует проанализировать совершаемые международные передачи и незамедлительно отреагировать на новые рекомендации и советы. EDPB порекомендовал провести анализ рисков в отношении того, обеспечивают ли SCC достаточную защиту в рамках местного законодательства, независимо от того, осуществляется ли передача в США или куда-либо еще. Получатель данных может помочь вам в этом.
Мы же, в свою очередь, можем предложить проверку вашей политики конфиденциальности (Privacy Policy) на соответствие последним изменениям законодательства. Если мы придем к выводу, что ваша политика не соответствует установленным требованиям, мы внесем в нее соответствующие правки и рассмотрим возможность использования стандартных договорных положений между регулятором и обработчиком.
Michael Iatsukha