США не забезпечують достатній захист персональних даних, які передаються з ЄС до США
16 липня 2020 року Суд Європейського Союзу ("Суд") визнав нечинним рішення Європейської Комісії № 2016/1250 від 12 липня 2016 року ("Рішення") про достатність захисту персональних даних за Правовим режимом обміну конфіденційною інформацією між США та ЄС (англ. "EU-U.S. Privacy Shield").
EU-U.S. Privacy Shield – це двосторонній договір між США та ЄС від 2016 року, що був розроблений з метою підтримки трансатлантичної комерції. Договір надає американським компаніям ефективний механізм для передачі персональних даних з ЄС до США із дотриманням вимог законодавства ЄС. За цим механізмом, якщо американська компанія відповідає усім визначеним вимогам та принципам, вона отримує сертифікат про відповідність, після чого може законно обробляти персональні дані, передані із ЄС.
Про які вимоги йдеться?
Законодавство ЄС у сфері захисту персональних даних, основу якого складає GDPR, передбачає, що передача персональних даних у третю країну можлива, лише якщо третя країна забезпечує достатній рівень захисту переданих даних. Достатнім вважається захист, який відповідає вимогам GDPR.
Європейська Комісія уповноважена приймати рішення про те, що третя країна забезпечує належний рівень захисту відповідно до внутрішнього законодавства чи міжнародних зобов'язань,. У межах цих повноважень Європейською Комісією в 2016 році було прийняте Рішення про достатність захисту персональних даних за EU-U.S. Privacy Shield.
У разі відсутності рішення про достатність захисту, передача даних може відбутися, лише якщо експортер персональних даних, який знаходиться у ЄС, самостійно забезпечив належні гарантії, які передбачені законодавством ЄС у цій сфері.
Скарга, подана громадянином Австрії
Провадження у справі про оскарження Рішення було розпочате за ініціативою громадянина Австрії Максиміліана Шремса. У 2018 році він подав скаргу до уповноваженого наглядового органу Ірландії, оскільки там знаходиться європейська штаб-квартира Facebook – відповідача за скаргою. Згодом скарга була передана до Суду Європейського Союзу.
У скарзі йшлося про те, що з 2008 року пан Шремс є користувачем Facebook. Як і у випадку з іншими користувачами, які проживають у Європейському Союзі, особисті дані пана Шремса передаються для обробки на сервери, що належать Facebook та розташовані у США. Пан Шремс стверджував, що закони США і практика їх застосування не забезпечують достатнього захисту від доступу органів влади США до переданих даних, а тому Рішення має бути визнане нечинним.
Ключові позиції рішення Суду
Суд, перевіряючи Рішення на відповідність вимогам GDPR, дійшов до висновку, що у США вимоги національної безпеки, суспільних інтересів та правоохоронних органів мають перевагу над основоположними правами осіб, дані яких передаються із третьої країни.
Таким чином, на думку Суду, законодавство США забезпечує недостатній захист персональних даних, порівняно із GDPR. Суд, зокрема, звернув увагу на наступні проблеми у внутрішньому законодавстві США:
- дані, які передаються до США з ЄС чи будь-якої третьої країни, недостатньо захищені від доступу державних органів США;
- використання таких даних державними органами недостатньо регламентоване, тому можливі зловживання з боку держави.
Унаслідок рішення Суду, компанії більше не зможуть використовувати механізм, передбачений EU-U.S. Privacy Shield, для передачі персональних даних, а будуть керуватися загальними нормами GDPR.
Уповноважені наглядові органи країн Європейського Союзу висловлюють різні позиції стосовно того, як тепер має відбуватися передача даних. Найбільш кардинальне рішення було прийняте уповноваженим органом Берліна: компанії, які зареєстровані у Берліні, зобов'язали відкликати дані, які раніше були передані американським компаніям.
Ймовірно, що на практиці така невизначеність у законодавчому регулюванні може спричинити втрату оперативності у транзакціях та значні грошові втрати для сторін.
Ознайомитись із рішенням Суду можна тут.
За детальною інформацією звертайтесь до наших експертів:
Керуючий партнер
deyneko@everlegal.ua
.jpg)
Партнер
olenyuk@everlegal.ua
