3 минуты чтения

Поделиться этой статьей

Rate this Post

Соглашение о передаче данных через Атлантику: Рамочная программа защиты данных ЕС-США

29/11/2023

Если вы занимаетесь трансграничным бизнесом, электронной коммерцией, онлайн-услугами или работаете с партнерами из США, Рамочная программа защиты данных ЕС-США (DPF) предлагает значительные преимущества. Эта программа, которая вступила в силу более года назад, упрощает передачу данных из Европейского Союза (и, возможно, Сербии в ближайшем будущем) в Соединенные Штаты. Опираясь на DPF, вы можете упростить соблюдение нормативных требований, избегая более сложных мер, таких как добавление стандартных договорных положений (SCC) в соглашения, проведение оценки воздействия передачи данных (DTIA) или принятие других защитных мер для международных передач данных.

Эта программа предлагает более прямолинейный путь для соблюдения нормативных требований, при этом гарантируя, что трансатлантические потоки данных соответствуют необходимым стандартам конфиденциальности.

10 июля 2023 года Европейская комиссия приняла решение об эквивалентности. Это решение стало результатом трехлетних переговоров и сотрудничества между властями Европейского Союза и США относительно передачи персональных данных из ЕЭЗ (Европейской экономической зоны) на территорию США. Ранее президент США подписал указ о повышении мер безопасности для американской разведывательной деятельности, что обеспечило более высокий уровень защиты персональных данных на территории США и открыло путь для принятия решения об эквивалентности ЕС.

 

Хронология и вызовы трансатлантической передачи персональных данных

 

Общий регламент по защите данных (GDPR) устанавливает требования для передачи данных из Европейского Союза в третьи страны, и данные могут быть переданы в страны, не входящие в ЕС, только в случае, если власти ЕС установили, что законодательство страны получателя обеспечивает адекватный уровень защиты. Статус США в этом вопросе в предыдущий период был непоследовательным.

Для лучшего понимания того, что привело к созданию новой Рамочной программы защиты данных ЕС-США, представлена хронологическая последовательность событий:

  • Впервые США попали в список стран, которые обеспечивают такой же уровень защиты данных, как и государства-члены ЕС, в 2000 году, когда были разработаны Принципы безопасности Safe Harbour.
  • В 2015 году, после того как было раскрыто, как правительство США получает доступ к данным, хранимым крупными американскими технологическими компаниями, Европейский суд вынес решение по делу Schrems [1], аннулировав соглашение Safe Harbour. Это решение лишило США их привилегированного статуса.
  • В 2016 году вступила в силу новая программа, называемая EU-U.S. Privacy Shield, которая снова упростила передачу данных в США.
  • В 2020 году американские компании столкнулись с дежавю, когда Европейский суд вынес решение по делу Schrems [2], аннулировав EU-U.S. Privacy Shield и ужесточив правила международных передач данных.
  • В 2023 году мы стали свидетелями нового сотрудничества в области защиты данных между ЕС и США. Время покажет, повторится ли история или третий раз окажется удачным.

 

Основные изменения, введенные Рамочной программой защиты данных ЕС-США

 

Рамочная программа защиты данных ЕС-США может стать важным изменением в регулировании передачи данных. Это обновление законодательства революционизирует способы обработки персональных данных между Европейским Союзом и США. В следующих абзацах мы рассмотрим ключевые преимущества, которые эта программа предоставляет для передачи данных, включая упрощенные процессы, усиленные меры защиты данных и улучшенные механизмы защиты прав.

 

a. Упрощение передачи данных

Компании стимулируются внедрять политику конфиденциальности, соответствующую соответствующим принципам защиты данных, чтобы облегчить участие в передаче данных и избежать необходимости применения стандартных договорных положений и оценки воздействия на передачу данных. Это можно сделать, получив сертификацию от Министерства торговли США, американского органа, который будет оценивать заявки на сертификацию и контролировать соблюдение требований.

 

б. Дополнительные защитные меры

Рамочная программа защиты данных ЕС-США вводит дополнительные защитные меры для персональных данных граждан ЕС, ограничивая доступ к этим данным со стороны американских государственных органов. Доступ к данным теперь ограничен до необходимого уровня для обеспечения национальной безопасности. Также, если персональные данные были собраны с нарушением новых защитных мер или больше не используются для первоначальной цели, эта программа предусматривает удаление таких данных.

 

в. Независимый и беспристрастный механизм защиты прав

Граждане ЕС получат возможность оспаривать сбор данных и подавать жалобы независимым и беспристрастным органам по поводу сбора и обработки их персональных данных. Механизм защиты прав работает следующим образом: граждане могут подавать жалобы напрямую в национальные органы защиты данных. Затем жалобы отправляются в США через Европейский комитет по защите данных и оцениваются Офисом защиты гражданских свобод США. В случае отрицательного решения граждане могут подать апелляцию в Суд по защите данных (DPRC).

Европейская комиссия будет продолжать следить за развитием ситуации в области защиты данных в США и регулярно пересматривать решение об эквивалентности.

Наконец, эти защитные меры не ограничиваются только передачей данных в сертифицированные компании, но также способствуют упрощению и повышению безопасности всех таких передач, даже если необходимо использовать стандартные договорные положения.

 

Что, если вы являетесь компанией, зарегистрированной в США?

 

Если компании США хотят воспользоваться положениями Рамочной программы защиты данных ЕС-США, им необходимо сначала принять политику конфиденциальности, соответствующую этому регламенту, и пройти самосертификацию на сайте Министерства торговли США, которая начала действовать с 17 июля 2023 года. Министерство торговли США будет постоянно контролировать самосертифицированные компании США, чтобы обеспечить их соблюдение Рамочной программы защиты данных ЕС-США, включая случайные проверки.

Аналогичным образом американские компании могут получать персональные данные от Великобритании и Швейцарии, используя аналогичные механизмы. С 12 октября 2023 года организации в Великобритании могут получать персональные данные из Великобритании и Гибралтара в соответствии с новыми нормативными актами о достаточности. Эти правила формируют «мост данных» между Великобританией и Рамочной программой защиты данных ЕС-США, обеспечивая соблюдение законодательства Великобритании в отношении передачи данных.

Аналогично, Рамочная программа защиты данных Швейцария-США позволяет передавать данные из Швейцарии в организации США с 15 сентября 2024 года, когда Швейцария присвоила статус достаточности Рамочной программе защиты данных Швейцария-США. Хотя Принципы Рамочной программы защиты данных для передачи данных из Швейцарии вступили в силу с 17 июля 2023 года, передача данных в рамках этой программы требовала официального признания достаточности, что теперь согласуется с швейцарским законодательством.

 

Что, если вы являетесь компанией, зарегистрированной в ЕС?

 

Европейские компании должны внимательно подходить к выбору получателей персональных данных и быть осведомлены о необходимости обеспечить одинаковый уровень защиты и безопасности данных, даже если они больше не находятся под их исключительным контролем. Если они передают персональные данные компаниям, участвующим в Рамочной программе защиты данных ЕС-США, передача данных может быть осуществлена без препятствий или дополнительных усилий.

С другой стороны, если получатель данных не сертифицирован Министерством торговли США, международная передача данных будет подчиняться существующим правилам, которые включают обязательство внедрить стандартные договорные положения, оценку воздействия передачи данных и принятие всех необходимых мер для обеспечения эквивалентного уровня защиты данных, предусмотренного GDPR.

Список сертифицированных компаний, соответствующих требованиям для участия в Рамочной программе защиты данных ЕС-США, ведется Министерством торговли США и доступен на его сайте.

 

Что, если вы являетесь сербской компанией?

 

Комиссар по информации и защите личных данных Республики Сербия еще не занял официальную позицию относительно передачи персональных данных в США на основе Рамочной программы защиты данных ЕС-США. Поскольку ранее свободная передача данных основывалась исключительно на Privacy Shield (который больше не действителен), этот вопрос еще предстоит решить. Однако учитывая, что законодательство о защите данных в Республике Сербия стремится closely согласовываться с законодательством ЕС, можно ожидать, что это решение также повлияет на передачи данных из Сербии в США.

 

Рамочная программа уже оспаривается

 

Председатель некоммерческой организации NOYB Макс Шремс заявил, что считает решение Европейской комиссии продуктом политических интересов, а не искренней заботой о конфиденциальности людей, как это утверждается. Он также сказал, что Рамочная программа защиты данных ЕС-США, по сути, является просто копией предыдущих соглашений ЕС и США о защите данных, без каких-либо значительных отличий.

Кроме того, NOYB объявила, что они будут оспаривать новое трансатлантическое соглашение, как только для этого будут выполнены условия.

Похоже, что решение об эквивалентности стало компромиссом, устанавливающим баланс между достижением двух важных целей.

Одна из них — обеспечить, чтобы передача персональных данных всегда сопровождалась одинаковой защитой, даже если это включает передачи на другие континенты.

Другая цель — минимизировать барьеры для экономического роста, облегчая сотрудничество между европейскими и американскими компаниями.

В любом случае, пока Рамочная программа защиты данных ЕС-США остается в силе, компании будут иметь возможность самостоятельно оценить, хотят ли они воспользоваться ее преимуществами и как они хотят защищать персональные данные, которые они собирают и передают.

 

[1] Документ 62014CJ0362, Постановление Суда (Большая палата) от 6 октября 2015 года. Максимиллиан Шремс против Комиссара по защите данных. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62014CJ0362
[2] Документ 62018CJ0311, Постановление Суда (Большая палата) от 16 июля 2020 года. Комиссар по защите данных против Facebook Ireland Limited и Максимиллиан Шремс. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62018CJ0311

Похожие статьи

Последние статьи

Вы не уверены, с чего начать?

Если вы не уверены, с чего начать, запишитесь на консультацию с одним из наших специал

techlawafficiendo

privacywhisperer

cryptobuddy

evegreen

Не просто еще одна рассылка

Забудьте скучный юридический анализ. Получайте своевременные обновления,
новости и напоминания, которые действительно могут помочь вашему бизнесу.