День: 25.01.2021

ОНОВЛЕННЯ GDPR: ПЕРЕДАЧА ПЕРСОНАЛЬНИХ ДАНИХ

Нещодавно Суд Європейського Союзу прийняв рішення у справі C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems.

CJEU (Суд Європейського Союзу) підтвердив, що стандарти ЄС щодо захисту даних повинні поширюватися і на дані, що відправляються за кордон. Це означає, що це рішення має більш широкі наслідки, ніж просто визнання EU-US Privacy Shield (Угоди про правила обміну конфіденційною інформацією між ЄС і США) недійсною. Воно також підтверджує важливість захисту особистих даних, що передаються із Великобританії.

Перш за все, я хотів би пояснити, про що саме йшлося у рішенні суду. У справі Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems суд розглянув обґрунтованість Рішення Європейської комісії 2010/87/EC про стандартні договірні умови (Standard Contractual Clauses, SCCs) і знашов його обгрунтованим.

Однак, на думку судді, факт обгрунтованості залежить від того, чи включає рішення 2010/87/EC ефективні механізми, які дозволяють на практиці забезпечувати дотримання рівня захисту, еквівалентного тому, що гарантується у ЄС GDPR й припиняти або забороняти передачу персональних даних у разі порушення цих умов або неможливості їх дотримання.

Отже, суд постановив, що рішення 2010/87 /EC накладає обов’язок на експортера даних й одержувача даних («імпортера даних») перед будь-передачею і з урахуванням обставин передачі перевіряти, чи дотримується цей рівень захисту у країні одержувача даних. Також рішення 2010/87/EC вимагає, щоб імпортер даних інформував експортера даних про неможливість дотримуватися стандартних положеннь про захист даних, і щоб експортер даних, у свою чергу, призупинив передачу даних і/або розірвав договір із імпортером даних.

Суд також розглянув питання про обгрунтованість рішення про Privacy Shield (Угоди про правила обміну конфіденційною інформацією між ЄС і США), оскільки передачі, про які йде мова у контексті національного спору, що призвів до клопотання про винесення попереднього рішення, мали місце між ЄС і США. Суд визнав, що вимоги внутрішнього законодавства США і, зокрема, певні програми, що дозволяють державним органам США отримати доступ до особистих даних, що передаються із ЄС у США у цілях національної безпеки, призводять до обмежень щодо захисту особистих даних, які не прописані таким чином, щоб задовольнити вимоги, які по суті еквівалентні вимогам, що пред’являються законодавством ЄС. До того ж, це законодавство не надає суб’єктам даних права на подачу позову до суду проти влади США. Через зазначений ступінь втручання у основні права осіб, дані яких передаються у третю країну, суд постановив, що Privacy Shield не відповідає вимогам.

Як це може на вас вплинути?

Якщо ви передаєте або передавали дані на міжнародному рівні, ви більше не можете покладатися на Privacy Shield. Перед передачею даних у США вам необхідно перевірити, чи маєте ви на це право відповідно до умов, викладених нижче.

Зверніть увагу, що Європейська комісія і EDPB (Європейська рада із захисту даних) незабаром нададуть більш докладні інструкції щодо додаткових необхідних заходів. У свою чергу, вам слід проаналізувати міжнародні передачі й негайно відреагувати на нові рекомендації та поради. EDPB порекомендував провести аналіз ризиків щодо того, чи забезпечують SCC достатній захист у рамках місцевого законодавства, незалежно від того, чи здійснюється передача у США або куди-небудь ще. Одержувач даних може допомогти вам у цьому.

Ми ж, у свою чергу, можемо запропонувати перевірку вашої політики конфіденційності (Privacy Policy) на відповідність останнім змінам законодавства. Якщо ми прийдемо до висновку, що ваша політика не відповідає встановленим вимогам, ми внесемо до неї відповідні правки й розглянемо можливість використання стандартних положень договору між регулятором і обробником.

Michael Iatsukha

michael@sterlinglawyers.co.uk

ПОРУШЕННЯ ПРОЦЕСУАЛЬНОГО ПОРЯДКУ ПО МАРШРУТУ SKILLED WORKER (T2 GENERAL): АПЕЛЯЦІЙНИЙ СУД ПРЕДСТАВЛЯЄ ДОДАТКОВІ РОЗ’ЯСНЕННЯ

У недавній справі Topadar v Secretary of State for the Home Department [2020] EWCA Civ 1525 Апеляційний суд розглядав два питання:

  1. На якому етапі Home Office (Міністерство внутрішніх справ) приймає рішення по імміграційної заявці?
  2. Чи є порушенням процесуального порядку відмова Home Office (Міністерства внутрішніх справ) з причини того, що спонсор заявника (тобто роботодавець) не надав додаткову інформацію (без повідомлення заявника про подібний запит)?

Апеляційний суд постановив:

  1. Рішення з імміграційного заяви було прийнято під час першої відмови Home Office. Перегляд цього рішення не входить до процесу прийняття рішення;
  2. Не існує абсолютної вимоги щодо того, що Home Office повинен заздалегідь повідомляти заявника про факти, які можуть вплинути на розгляд його/її заявки.

Вкрай важливо, щоб будь-яка компанія, яка планує спонсорувати працівника-мігранта (включаючи громадян ЄЕЗ), знала про необхідність відповідати на будь-який запит Home Office про надання додаткової інформації. Відсутність відповіді або відмова у наданні відповіді може привести до відхилення заявки.

Якщо у Вас виникли питання, або ж Вам потрібна допомога у подачі заявки, зв’яжіться із нами. Оксана Дем’янчук: oksana@sterling-law.co.uk

ЗАДАЙТЕ НАМ СВОЄ ЗАПИТАННЯ І МИ ЗВ’ЯЖЕМОСЯ ІЗ ВАМИ!