Новата европейска нагласа относно трансфера на лични данни към САЩ във връзка с обезсилването на „Щита за поверителност“ на личните данни между ЕС и САЩ (EU-US Privacy Shield)
Органът, осъществяващ контрол върху публичните институции на ЕС във връзка със защитата на личните данни (European Data Protection Supervisor или EDPS) публикува на 29 октомври тази година Стратегия по отношение на трансфер на лични данни от страна на европейски институции, органи, учреждения и агенции към трети държави и по-специално към САЩ. Повод за Стратегията на EDPS е разкриването на информацията, че уебсайтът на Европейския парламент за управление на тестове за коронавирус е „атакуван“ с над 150 заявки за проследяване на потребителите на сайта, като голяма част от тези „тракери“ предават данни към американски компании.
С този документ EDPS, насърчава учрежденията и институциите от ЕС да се въздържат и да избягват предприемане на нови дейности по прехвърляне и предаване на лични данни към САЩ. Стратегията включва още краткосрочни и средносрочни мерки и действия за съответствие като съставяне на Оценка на въздействието на трансфера, изготвяна при всеки един нов процес по трансгранично предаване на данни към САЩ. Част от тази Оценка на въздействие следва да включва информация за конкретното предаване на данни и дали страната, към която данните се предвижда да се предадат, осигурява еквивалентно ниво на защита, съответстващо на това в ЕС.
Изготвената от EDPS Стратегия е поредното доказателство за настъпилата промяна в нагласата на Европейския съюз по отношение на трансфера на лични данни. Правилата относно трансфера на лични данни към трети държави извън ЕС и по-конкретно към САЩ претърпяха значителна промяна в светлината на Решението на Съда на Европейския съюз от 16 юли тази година по делото, станало по-известно като “Schrems II”. По това дело Съдът на ЕС обяви за невалидно Решението на ЕС относно адекватността на „Щита за поверителност“ между ЕС и САЩ (ЕU–US Privacy Shield), който регулираше трансграничното предаване на лични данни между ЕС и САЩ. В мотивите си, Съдът приема, че законите в САЩ позволяват на властите да събират лични данни на субекти на данни от ЕС, без подходящи мерки за защита и гаранции за законосъобразност, които да отговарят на изискванията за защита на личните данни, заложени в правото на ЕС. В допълнение на това Съдът приема, че липсват ефективни средства за търсене на компенсации срещу правителството на САЩ от субектите на данни в ЕС.
В контекста на така приетото Решение, другият регулатор във връзка с лични данни – Европейският комитет за защита на личните данни (European Data Protection Board или EDPB) излезе с пояснение, че не е предвиден „преходен период“, в който администраторите на лични данни от ЕС да могат да осъществяват трансфер на лични данни към САЩ по силата на „Щита за поверителност“.
В резултат на това решение, всички публични и частни лица от ЕС, които са разчитали на този механизъм за трансграничното предаване на лични данни към САЩ, вече трябва да обосноват друго правно основание, в случаите когато предават лични данни към САЩ. В противен случай тези лица рискуват налагането на сериозните санкции, определени в Общия регламент за защита на данните (GDPR).
Администраторите на лични данни от ЕС все още могат да разчитат на някои алтернативни правни основания за трансгранично предаване на данни към САЩ. Такива са например:
- Стандартни договорни клаузи. Те обаче следва да са подчинени на значително по-строга преценка, с оглед задължението на администраторите да установяват дали е налице „еквивалентност“ на нивото на защита на личните данни в третата държава, за всеки отделен случай;
- Обвързващите корпоративни правила, в рамките на обща корпоративна група, одобрени от поне един европейски надзорен орган за защита на личните данни, са друго правно основание за трансгранично предаване на данни. Идентично с използването на стандартните договорни клаузи, тук отново следва да е налице „еквивалентност“ на нивото на защита на личните данни в третата държава, за всеки отделен случай, на база която да се вземат, при необходимост, допълнителни мерки.
В заключение, може да се обобщи, че Решението на Съда на ЕС по делото “Schrems II” неминуемо ще повлиe на международните отношения и търговия, като за бизнеса възникват редица въпроси и рискове. Изготвената Стратегия на EDPS по отношение на трансграничното предаване на лични данни към САЩ, от органзации, учреждения и институции от ЕС дава ясна индикация, че е настъпила нова ера в трансфера на лични данни, като се предвиждат много по-сериозни правила и рестрикции. В момента и двете европейски институции, отговарящи за контрола по защита на личните данни – EDPS и EDPB, са предприели инициатива по изготвянето на допълнителни Указания относно законосъобразното предаване на лични данни към САЩ, но се очаква този процес да отнеме месеци. Необходимостта от реакция на бизнеса и непрекъсването на търговските отношения и оборот обаче налагат бързо съобразяване на досегашните практики по предаване на данни в трети страни с новата посока, очертана от Съда и органите на ЕС.
Автори: Иван Володиев и Александър Аршинков