Privacy Shield — противоречивое соглашение о передаче данных между ЕС и США

С 2016 по 2020 год «Щит конфиденциальности ЕС-США» регулировал передачу персональных данных из ЕС в США. Но в июле 2020 года соглашение о передаче данных было признано недействительным Европейским судом (решение Schrems II), поскольку оно не могло гарантировать уровень защиты данных в соответствии с Общим регламентом по защите данных (GDPR) и ставило во главу угла требования национальной безопасности США. По крайней мере, до вступления в силу новых правил, американские компании будут нести большую ответственность и — если они хотят избежать санкций — должны сейчас активнее, чем когда-либо, участвовать в обсуждении вопросов защиты данных.

Хотя «Щит конфиденциальности» утратил силу, компании ЕС по-прежнему могут экспортировать персональные данные в США. Европейская комиссия решила, что стандартные контрактные оговорки ЕС (SCC) — еще один широко используемый инструмент для передачи данных — по-прежнему позволяют передавать данные на международном уровне. Но вместо того, чтобы просто ввозить данные из Европейского Союза, американские компании, сертифицированные в соответствии со «Щитом конфиденциальности», теперь должны будут договариваться о передаче данных через SCC.

После решения по делу Schrems II использование стандартных договорных оговорок подчиняется более строгим правилам и условиям: Компании ЕС должны принимать дополнительные меры и, в принципе, проводить индивидуальную оценку каждой передачи данных. Однако, поскольку суды ЕС сочли защиту данных в США ограниченной, передача данных из ЕС в США считается небезопасной.

Кроме того, стандартные договорные положения подлежат проверке европейскими органами надзора и защиты данных. Таким образом, если правовая ситуация в третьей стране не позволяет получателю данных соблюдать обязательства по стандартным договорным положениям, передача данных может быть приостановлена или даже запрещена. Другими словами, при рассмотрении уровня защиты данных необходимо учитывать весь процесс. Таким образом, во всех случаях необходимо гарантировать, что органы национальной безопасности и следственные органы в стране-получателе не имеют доступа к персональным данным.

В нынешней ситуации оценка каждого конкретного случая особенно трудна для малых и средних предприятий, поскольку они обычно не обладают ноу-хау и средствами для проверки адекватного уровня защиты данных в третьей стране. Кроме того, в постановлении Европейского суда не уточняется, какие конкретно стандарты должны применяться для оценки отдельных случаев или для возможных расширений стандартных договорных положений.

Тем не менее, малым и средним предприятиям следует активно вникать в эту тему. Эксперты в области права советуют малым и средним предприятиям принять максимальные меры предосторожности и создать надежную документацию о своих усилиях по защите данных. Поступая таким образом, компании будут лучше подготовлены к возможным юридическим спорам и смогут лучше защитить свои действия в суде после окончания действия «Щита конфиденциальности».

Итак, в условиях ограниченного потока данных, как американским компаниям, собирающим данные о гражданах ЕС, двигаться дальше и какие меры они должны предпринять, чтобы убедиться в соблюдении всех формальных аспектов стандартных положений о защите данных? Прежде всего, компаниям, ранее сертифицированным по программе Privacy Shield, следует изучить все потоки данных, контракты и отношения, которые связаны с передачей персональных данных из ЕС в США. Поскольку правовая ситуация в США теперь будет более тщательно анализироваться компаниями из ЕС и более тщательно оцениваться вероятность неправомерного доступа к данным, важно, чтобы вы проанализировали все соглашения и определили, хотите ли вы продолжать получать эти данные. После этого вам необходимо определить, как можно применить КГК, чтобы сохранить поток данных. В то время как некоторые партнеры охотнее примут новое соглашение, чтобы сохранить привычный ход дел, другие наверняка увидят в этом шанс пересмотреть соглашения в свою пользу.

В процессе следует уточнить, примет ли ваш бизнес особые договорные обязательства в связи со сложившейся ситуацией (например, повышенные обязательства по мониторингу и уведомлению). В сложившейся ситуации компании ЕС могут также призвать американских деловых партнеров и поставщиков услуг использовать все доступные технические средства для оптимизации защиты данных, например, использовать сквозное шифрование в программном обеспечении для видеоконференций.

Компании из ЕС, которые могут обойтись без передачи данных, облачных услуг и серверов в третьих странах за пределами ЕС, будут искать в Европе альтернативы, соответствующие GDPR. Кроме того, следует внимательно следить за изменениями в законодательстве о защите данных. В документе FAQ по решению Европейского суда по защите частной жизни (ECJ’s Privacy Shield) Европейский орган по надзору за защитой данных (EDSA) предоставляет информацию о текущем статусе для заинтересованных и затронутых сторон.

Щит конфиденциальности был официально представлен в середине 2016 года как преемник Принципов конфиденциальности «Безопасная гавань» между ЕС и США. Целью соглашения была защита данных европейских граждан, которые хранятся и обрабатываются компаниями, расположенными в США, после их передачи в США. Это касалось исключительно персональных данных, которые, например, в значительной степени собираются в электронной коммерции. К персональным данным относятся номера телефонов, идентификаторы клиентов, номера кредитных карт или идентификационные номера, данные счетов, внешность человека или адрес граждан ЕС в сочетании с другими индивидуальными данными.

Действие преемника «Безопасной гавани» закончилось в июле 2020 года по решению Европейского суда (ECJ). В так называемом постановлении Schrems-II от 16.07.2020 ЕСП исходит из того, что уровень безопасности, требуемый Общим регламентом по защите данных (GDPR), не будет достигнут при хранении и обработке персональных данных в США.

При этом ЕКЮ также аннулировал заключение о достаточности Европейской комиссии, которая неоднократно подтверждала, что в США достаточный уровень защиты данных. Постановление Европейского суда было вызвано иском, поданным австрийским экспертом по защите данных Максимилианом Шремсом, который ранее инициировал прекращение действия соглашения «Безопасная гавань» с помощью судебного иска. В этом иске Шремс хотел запретить Facebook Ireland передавать его личные данные в США, подав жалобу в ирландский орган по защите данных. Когда Высокий суд Ирландии не стал возбуждать дело, Шремс подал в суд. Во второй инстанции ирландский орган по защите данных передал дело в Европейский суд для юридического рассмотрения, который в итоге отменил Щит конфиденциальности ЕС-США.

Преемник «Безопасной гавани» был основан на специальных мерах и стандартах защиты данных, которые должны были соблюдаться США. Важным элементом было то, что американские компании могли сертифицировать себя в рамках «Щита конфиденциальности». После того как американская компания добровольно подчинялась условиям соглашения, проводилась проверка Министерством торговли США. После успешного завершения процесса компания включалась в общедоступную базу данных. На момент окончания срока действия соглашения список включал в общей сложности 5 384 организации.

Щит конфиденциальности ЕС-США гарантировал гражданам ЕС всесторонние права при передаче персональных данных сертифицированным компаниям в США, и граждане ЕС могли напрямую связаться с компаниями, чтобы заявить об этих правах. Эти компании должны были ответить на вопросы граждан в течение 45 дней. Права, гарантированные «Щитом конфиденциальности», включают:

• право на информацию и раскрытие информации
• Право на возражение (при необходимости можно заявить возражение против обработки данных)
• Право на исправление неточных данных
• Право на удаление данных
• Доступны процедуры подачи жалоб/возмещения ущерба

Для обеспечения и защиты своих прав граждане ЕС также могут обратиться к омбудсмену при Государственном департаменте США. Омбудсмен должен быть независимым от всех спецслужб, расследовать проблемы частных лиц и предоставлять информацию о том, соблюдается ли применимое законодательство в конкретных случаях. Однако по настоянию ЕС эта должность была заполнена только в 2018 году. Сначала должность омбудсмена занимала Маниша Сингх, а в июне 2019 года ее сменил Кит Крах.

В качестве альтернативы граждане ЕС могли обратиться в свои национальные органы по защите данных, которые затем могли напрямую связаться с Федеральной торговой комиссией США (FTC) для получения дальнейших разъяснений. Если не удавалось найти другую форму соглашения, то в качестве последнего рубежа выступал арбитражный процесс со вступившим в законную силу арбитражным решением. Кроме того, все компании могли действовать в соответствии с рекомендациями европейских органов по защите данных. Те компании, которые обрабатывают персональные данные, обязаны делать это в любом случае.

Необходимым условием действия «Щита конфиденциальности» было решение о достаточности со стороны Комиссии ЕС, которое удостоверяло, что в США действуют адекватные стандарты защиты данных для хранения и обработки персональных данных из ЕС. Решение об адекватности от 2016 года пересматривалось ежегодно и продлевалось, если соблюдался требуемый уровень защиты данных. Комиссия ЕС и Министерство торговли США проводили обзор совместно с привлечением экспертов. Результатом процедуры стал общедоступный отчет, который был представлен Европейскому парламенту и Совету.

Несмотря на такие обширные меры по защите данных, массовая слежка не была полностью исключена. В шести областях, которые при ближайшем рассмотрении оставляют определенный простор для интерпретации, США могли собирать данные и по ним:

• Контртерроризм
• Раскрытие деятельности иностранных держав
• Борьба с распространением оружия массового уничтожения
• Кибербезопасность
• Защита сил США и их союзников
• Борьба с транснациональными преступными угрозами

Для граждан ЕС широкие права на подачу жалоб в случае конкретных нарушений защиты данных со стороны американских компаний были одними из преимуществ соглашения Privacy Shield. Важным компонентом был также принцип ограничения целей: Данные могут регистрироваться и обрабатываться только с той целью, которая была четко определена заранее и разрешена законом. Для организаций, расположенных в США, печать одобрения обеспечения «адекватной» защиты конфиденциальности была ключевым фактором при передаче данных за пределы ЕС, а также то, что для компаний-участников были отменены требования государств-членов.

Однако «Щит конфиденциальности» между ЕС и США с самого начала встретил противодействие. Критики утверждали, что соглашение не является достаточно далеко идущим. Поступали жалобы на то, что требования Европейского суда были выполнены в недостаточной степени, а многие несоответствия были лишь косметически скрыты. Поскольку должность омбудсмена была передана Министерству иностранных дел, критики посчитали, что соглашению не хватает институциональной независимости и что оно противоречит Общему регламенту по защите данных (Статья 52 (1) GDPR). Они также критиковали тот факт, что пострадавшие граждане ЕС не могли предпринять юридические действия против решений офиса омбудсмена.

Еще одним основным пунктом критики было то, что меры массовой слежки не прошли проверку на пропорциональность и тем самым нарушили европейское законодательство. США по-прежнему оставались центральной контролирующей силой, и не было никаких доказательств проведения расследования национальными надзорными органами. Критики также упустили крайне необходимый контроль над крупными американскими интернет-компаниями.

Из-за этих недостатков критики и эксперты уже тогда предполагали, что соглашение не выдержит рассмотрения в Европейском суде, а значит, не представляет собой долгосрочного, юридически обоснованного решения. Заметно незначительные отличия от Safe Harbor неоднократно осуждались. Многие критики предполагали, что различные лазейки в защите данных де-факто не были закрыты Щитом конфиденциальности.

После внезапного прекращения действия соглашения Safe Harbor экономическая неопределенность изначально была высокой. Существовали опасения относительно санкций (в виде штрафов), если в ходе проверки будут выявлены нарушения защиты данных. Кроме того, новые положения означали, что компаниям придется столкнуться с трудоемкими и дорогостоящими изменениями в области защиты данных.

Многие компании в то время перешли на стандартные договорные положения ЕС (SCC) или уже использовали их в качестве альтернативы или дополнения к соглашению Safe Harbor (например, Facebook). Эта практика усилилась в течение переходного периода до более широкого применения Щита конфиденциальности ЕС-США и сохранялась на протяжении всего срока действия преемника «безопасной гавани». Согласно исследованию PwC, 75% опрошенных американских компаний намерены использовать обязательные корпоративные правила для обеспечения трансграничной передачи данных с Европейским союзом.

Цифры говорят сами за себя: На практике многие компании больше не хотели полагаться только на соглашение о защите данных, которое, как и его предшественник, не устраняло фундаментальных проблем и конфликтов в области защиты данных. С учетом того, что срок действия «Щита конфиденциальности» уже не за горами, ежегодные проверки действительности способствовали росту недоверия. Альтернативное или параллельное использование стандартных договорных положений также было реакцией на зачастую медленное внедрение ключевых пунктов «Щита конфиденциальности» в США, например, длительная задержка с заполнением должности омбудсмена.

После вступления в силу GDPR международные соглашения о защите данных стали намного сложнее. Именно поэтому «Щит конфиденциальности» остался временным переходным соглашением, которое лишь на ограниченный период времени обеспечивало обязательную правовую базу для международной передачи данных. После своего провала «Щит конфиденциальности» также превратился в источник беспомощности и неопределенности для участвующих в нем компаний.

Судьба «Щита конфиденциальности» доказывает, что фундаментальные проблемы защиты данных не могут быть скрыты во времена растущей цифровизации, но должны быть решены устойчиво и с учетом GDPR. В противном случае долгосрочные бизнес-модели, действующие на международном уровне и связанные с персональными данными, потеряют свою основу.

В США неуклонно растет осознание необходимости защиты данных. И осознание важности совместной работы с GDPR также заметно, как это видно на примере Калифорнийского закона о защите частной жизни потребителей (CCPA). Однако вопрос о том, что высокие и полностью оправданные стандарты GDPR еще не превратились в общепризнанный стандарт, который можно было бы распространить на всех партнеров по цифровой торговле, кажется довольно сомнительным в свете сильно расходящихся глобальных взглядов на защиту данных.

GDPR, который в настоящее время дополняется другими нормативными актами ЕС по защите данных, такими как Регламент электронной конфиденциальности, и директивами, такими как законы ЕС о cookie, может все чаще становиться предметом разногласий и препятствием в международных экономических отношениях.

Нажмите здесь для ознакомления с важными юридическими оговорками.