ОНОВЛЕННЯ GDPR: ПЕРЕДАЧА ПЕРСОНАЛЬНИХ ДАНИХ

Нещодавно Суд Європейського Союзу прийняв рішення у справі C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems.

CJEU (Суд Європейського Союзу) підтвердив, що стандарти ЄС щодо захисту даних повинні поширюватися і на дані, що відправляються за кордон. Це означає, що це рішення має більш широкі наслідки, ніж просто визнання EU-US Privacy Shield (Угоди про правила обміну конфіденційною інформацією між ЄС і США) недійсною. Воно також підтверджує важливість захисту особистих даних, що передаються із Великобританії.

Перш за все, я хотів би пояснити, про що саме йшлося у рішенні суду. У справі Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems суд розглянув обґрунтованість Рішення Європейської комісії 2010/87/EC про стандартні договірні умови (Standard Contractual Clauses, SCCs) і знашов його обгрунтованим.

Однак, на думку судді, факт обгрунтованості залежить від того, чи включає рішення 2010/87/EC ефективні механізми, які дозволяють на практиці забезпечувати дотримання рівня захисту, еквівалентного тому, що гарантується у ЄС GDPR й припиняти або забороняти передачу персональних даних у разі порушення цих умов або неможливості їх дотримання.

Отже, суд постановив, що рішення 2010/87 /EC накладає обов’язок на експортера даних й одержувача даних («імпортера даних») перед будь-передачею і з урахуванням обставин передачі перевіряти, чи дотримується цей рівень захисту у країні одержувача даних. Також рішення 2010/87/EC вимагає, щоб імпортер даних інформував експортера даних про неможливість дотримуватися стандартних положеннь про захист даних, і щоб експортер даних, у свою чергу, призупинив передачу даних і/або розірвав договір із імпортером даних.

Суд також розглянув питання про обгрунтованість рішення про Privacy Shield (Угоди про правила обміну конфіденційною інформацією між ЄС і США), оскільки передачі, про які йде мова у контексті національного спору, що призвів до клопотання про винесення попереднього рішення, мали місце між ЄС і США. Суд визнав, що вимоги внутрішнього законодавства США і, зокрема, певні програми, що дозволяють державним органам США отримати доступ до особистих даних, що передаються із ЄС у США у цілях національної безпеки, призводять до обмежень щодо захисту особистих даних, які не прописані таким чином, щоб задовольнити вимоги, які по суті еквівалентні вимогам, що пред’являються законодавством ЄС. До того ж, це законодавство не надає суб’єктам даних права на подачу позову до суду проти влади США. Через зазначений ступінь втручання у основні права осіб, дані яких передаються у третю країну, суд постановив, що Privacy Shield не відповідає вимогам.

Як це може на вас вплинути?

Якщо ви передаєте або передавали дані на міжнародному рівні, ви більше не можете покладатися на Privacy Shield. Перед передачею даних у США вам необхідно перевірити, чи маєте ви на це право відповідно до умов, викладених нижче.

Зверніть увагу, що Європейська комісія і EDPB (Європейська рада із захисту даних) незабаром нададуть більш докладні інструкції щодо додаткових необхідних заходів. У свою чергу, вам слід проаналізувати міжнародні передачі й негайно відреагувати на нові рекомендації та поради. EDPB порекомендував провести аналіз ризиків щодо того, чи забезпечують SCC достатній захист у рамках місцевого законодавства, незалежно від того, чи здійснюється передача у США або куди-небудь ще. Одержувач даних може допомогти вам у цьому.

Ми ж, у свою чергу, можемо запропонувати перевірку вашої політики конфіденційності (Privacy Policy) на відповідність останнім змінам законодавства. Якщо ми прийдемо до висновку, що ваша політика не відповідає встановленим вимогам, ми внесемо до неї відповідні правки й розглянемо можливість використання стандартних положень договору між регулятором і обробником.

Michael Iatsukha

michael@sterlinglawyers.co.uk