Intro
16 июля 2020 года Европейский Суд (CJEU) обнародовал свое решение по делу C-311/18, известное как Schrems II. CJEU постановил, что EU-U.S. Privacy Shield должен быть признан недействительным. В свою очередь, Standard Contractual Clauses (SCCs), юридический инструмент, который позволяет осуществлять передачу данных из ЕС в третьи страны, признан действительным.
EU-U.S. Privacy Shield
EU-U.S. Privacy Shield был механизмом “адекватности”, который позволял организациям, которые придерживались регулирующих принципов, передавать персональные данные из ЕС в США.
Что дальше?
На момент написания данной статьи, вердикт CJEU оставляет передачу данных из ЕС в США в подвешенном состоянии. Очевидно, что Privacy Shield больше не может быть использован, но остается много вопросов относительно того, остаются ли SCC действительными для передачи данных между ЕС и США или другими странами с эффективными национальными системами надзора.
FAQs:
НА КАКИЕ ОБЯЗАННОСТИ ПО GDPR ВЛИЯЕТ ЭТО РЕШЕНИЕ?
Решение касается ответственности контроллеров и процессоров данных за передачу данных граджан ЕС в страны за пределами ЕС. Любая такая передача должна обеспечивать уровень защиты, и, следовательно, требует использования специального «механизма передачи», среди которых:
- Adequacy: такое решение позволяет неограниченную передачу данных в страну или регион, который обеспечивает адекватную степень защиты данных по мнению Европейской комиссии. Такие страны включают_ Андорру, Аргентину, Канаду (только под PIPEDA), Фарерские острова, Гернси, Израиль, Остров Мэн, Японию, Джерси, Новую Зеландию, Швейцарию и Уругвай. Все решения по адекватности в настоящее время пересматриваются после ступление в силу GDPR.
- Appropriate Safeguards: GDPR позволяет согласовать договорные гарантии между экспортером и импортером данных, гарантирующие надежную защиту персональных данных. Следуя Schrems-II, это означает соблюдение того уровня защиты, который «по существу эквивалентен» GDPR. Компании могут использовать так называемые Standard Contractual Clauses (SCC), утвержденные Европейской Комиссией или национальными органами по защите данных. Компании также могут использовать кастомизированный договор, который подлежит утверждению национальным надзорным органом, прежде чем он может быть подписан.
- Binding Corporate Rules (BCR): GDPR позволяет согласовывать внутригрупповые договорные гарантии между субъектами многонациональной группы компаний. Такие BCRs подлежит утверждению EDPB. В соответствии с решением Schrems-II также BCR должны обеспечить «по существу эквивалентный» GDPR уровень защиты данных.
- Исключения: GDPR предусматривает исключения в Статье 49, которые могут использовать договор или согласие для трансграничной передачи данных. Но эти отступления должны использоваться ограниченно, что означает их нельзя использовать для непрерывной, структурной или массивной передачи данных. Они обосновывают исключительные передачи и не могут стать правилом для постоянных трасферов данных.
Каковы штрафы за несоблюдение правил передачи данных по GDPR?
До 4% годового дохода или 20 млн. евро, в зависимости от того, что выше. Кроме того, DPA (Data Protection Authority) имеют право приостановить передачу данных из своей страны в США.
Что мне нужно сделать с моей текущей EU-U.S. Privacy Shield сертификацией?
Министерство торговли США (U.S. Department of Commerce, DOC) заявило, что Privacy Shield будет продолжать работать, и ожидает, что участники продолжат поддерживать свои Privacy обязательства. U.S. DOC, European Commission, European Data Protection Board (EDPB) указали, что они намерены создать правопреемника Privacy Shield. Компании, оставшиеся в Privacy Shield, могут упростить свой переход к правопреемнику после создания.
Затронутся ли предыдущие передачи данных в рамках EU-U.S. privacy shield?
Все предыдущие передачи данных остаются предметом обязательств по EU-U.S. Privacy Shield.
Будет ли льготный период?
EDPB выпустил руководство, в котором говорится, что льготного периода не будет. Учитывая, что EU-U.S. Privacy Shield был признал недействительными, компании, которые до сих пор использовали EU-U.S. Privacy Shield для передачи данных, необходимо будет, без неоправданной задержки, найти альтернативное правовое основание для передачи данных.
Я хочу выйти из EU-U.S. Privacy Shield. Что мне нужно сделать?
Если вы решите выйти из EU-U.S. PRIVACY SHIELD, вам необходимо следовать процедуре, установленной в США.
Должен ли я обновить политику конфиденциальности компании?
Мы рекомендуем вам не вносить никаких изменений в Политику конфиденциальности в качестве участника Privacy Shield на это время. В настоящее время нет никаких оснований или нормативных указаний для внесения каких-либо изменений, если только Вы не заявили (как экспортер данных в рамках GDPR), что вы полагаетесь на Privacy Shield в качестве правового основания для передачи данных за пределы ЕЭЗ.
Политика конфиденциальности моей организации четко гласит, что мы используем EU-U.S. privacy shield для легитимизации передачи данных из ЕС в США, должны ли мы удалить это уведомление?
Вам нужно будет обновить Политику, при этом нужно указать какую альтернативу вы используете. Вы также можете рассмотреть возможность включения временного уведомления о том, что организация пересматривает решение, основываясь на решении Суда Schrems-II.
Могу ли я передавать персональные данные из ЕС в США в рамках standard contractual clauses?
До тех пор, пока данные не подлежат сбору и / или доступу со стороны властей США в целях национальной безопасности, SCC могут использоваться в каждом конкретном случае в зависимости от того, сможет ли импортер данных США выполнить свои обязательства по конкретной обработке данных. Это означает бремя доказывания как для экспортера данных, так и для импортера данных в третьей стране увеличился, с целью убедиться, что они могут соответствовать всем требованиям SCC. Импортер данных также должен будет подтвердить, что он будет полностью соблюдать все основные принципы GDPR. Это также означает, что импортер и экспортер данных должны будут оценить законодательство третьей страны, чтобы выяснить, например, подчиняются ли они законам о надзоре, которые могут привести к вмешательству в права граждан ЕС. Если да, в таком случае передача не может осуществляться на основе SCC. Это аналогично применяется и к BCR. В своем документе EDPB указал, что он предоставит дальнейшие указания по правовым, техническим и организационным мерам, которые могут быть приняты для дополнения SCC, чтобы обеспечить правовую непрерывную передачу данных.
Как насчет дальнейшей передачи данных от американских компаний, обрабатывающих личные данные ЕС, другим компаниям в США (например, облачным провайдерам)?
Последующие трансферы персональных данных, происходящие из любой из стран ЕЭЗ, должны обрабатываться в соответствие стандартам защиты данных, установленным GDPR. Экспортер данных отвечает за полную цепочку обработки данных, для которой он являются Контроллером данных. Если импортер данных не может гарантировать, что стандарты, включенные в GDPR, и применимые механизмы передачи могут быть соблюдены, дополнительные меры предосторожности должны быть согласованы. Если это осуществить невозможно, передача данных невозможна.
Если моя компания в США переводит сервер в ЕС, мне все еще нужен механизм передачи данных?
Это зависит от того, как данные обрабатываются в компании. Пока данные хранятся на серверах в ЕС и доступ к нему осуществляется только из Ес, механизмы передачи данных не потребуются. Тем не менее, как только доступ к данным осуществляется из-за пределов Ес, происходит обработка данных (в соответствии с определением Статьи 4 (2) GDPR), который также будет представлять собой передачу данных, что требует использования механизмаов передачи. Кроме того, если компания подпадает под действие законодательства США о надзоре, в том числе, но не ограничиваясь, раздела 702 FISA и E.O. 12333, использование сервера EU не является гарантированной защитой.
Будет ли шифрование достаточной мерой смягчения при потенциальном вмешательстве властей США?
Шифрование — это хороший механизм безопасности, который означает, что данные не могут быть перехвачены. Однако есть и другие механизмы, которые могут позволить правительству США получить доступ к личной информации. В конечном итоге набор данных может быть расшифрован при доступе других сторон.
Другие методы передачи все еще действительны?
Все механизмы передачи данных, включенные в GDPR, остаются в силе. CJEU лишил законной силы один из решений (EU-U.S. Privacy Shield) и установил более строгие критерии оценки для использования других механизмов передачи.
Был ли аннулирован SWISS-US Privacy Shield?
Нет.
Какое влияние окажут эти процессы на Brexit и Великобританию?
Пока рано говорить. До конца переходного периода (на данный момент до 31 декабря 2020 года), Великобритания будет продолжать применять GDPR без изменений. Что будет дальше — это предмет переговоров между Великобританией и Европейской комиссией.
Как комментируют это решение регулирующие органы?
EUROPEAN DATA PROTECTION BOARD (EDPB),
«No information on enforcement or advice on transfers; further analysis to follow».U.S. Department of Commerce,
«While the Department of Commerce is deeply disappointed that the court appears to have invalidated the European Commission’s adequacy decision underlying the EU-U.S. Privacy Shield, we are still studying the decision to fully understand its practical impacts».Polish Inspector General for the Protection of Personal Data – GIODO,
«Controllers need to carry out an individual assessment of the level of data protection ensured as part of cross-border data transfers, which must take into account not only the contractual provisions agreed between exporters and importers of data, but also legal provisions in a third country, in particular regarding possible access by authorities public authority of that country to the data transmitted. Further guidance will follow via the EDPB».Estonian Data Protection Inspectorate,
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».