Співвідношення EU-US Privacy Shield та GDPR
Як відомо, з 25 травня 2018 року вступив в дію новий Регламент щодо захисту персональних даних, який є доволі специфічним документом. Так, наприклад, його положення стали каталізатором для багатьох компаній для перегляду своєї діяльності в контексті захисту персональних даних.
Разом зі всіма суб’єктами, які повинні керуватися нормами GDPR, ми можемо виділити компанії, що зареєстровані в країнах, які мають належний рівень захисту даних, згідно списку, затвердженого Європейської Комісією. Зокрема, серед таких компаній є ті, які зареєстровані в Сполучених Штатах Америки і діяльність яких орієнтована на європейський ринок.
EU-US Privacy Shield
Діяльність компаній, які зареєстровані в США і які прагнуть здійснювати свою діяльність в межах Європейського Союзу, окрім вимог GDPR також регулюється і таким документом як EU-US Privacy Shield, який був підписаний між США та Європейським Союзом. Даний документ встановлює певні рамки для американських компаній, які бажають працювати на Європейський ринок, зокрема, в контексті обробки персональних даних.
EU-US Privacy Shield в 2016 році прийшов на зміну Safe Harbor framework, який рішенням Європейського Суду Справедливості (European Court of Justice) був визнаний таким, що втратив чинність та не забезпечує належного рівня захисту персональних даних суб’єктів персональних даних з території ЄС. Рішення було винесено в межах справи Maximillian Schrems проти Органу із захисту даних Ірландії (Data Protection Commissioner of Ireland).
EU-US Privacy Shield є документом, за допомогою якого, значною мірою, було деталізовано та окреслено межі захисту персональних даних суб’єктів персональних даних ЄС, що обробляються в Сполучених Штатах Америки. В результаті прийняття EU-US Privacy Shield, було обмежено право доступу державних органів США, в тому числі федеральних служб розвідки, до персональних даних, які оброблюються та зберігаються компаніями зі Сполучених Штатів Америки.
В рамках EU-US Privacy Shield закладено 16 основних принципів, на підставі яких здійснюється регулювання захисту персональних даних європейських суб’єктів персональних даних, які обробляються компаніями із США. Деякі принципи зі списку, що визначається EU-US Privacy Shield, є доволі специфічними та стосуються багатьох сфер суспільно-економічного життя. Зокрема, є принципи, які стосуються обробки персональних даних в туристичній, медичній, транспортній сфері тощо.
Як приєднатися до EU-US Privacy Shield
Кожна компанія в США, яка діє в межах юрисдикцій Федеральної торгової комісії (FTC) або Департаменту транспорту (DOT), з метою гарантування своєї відповідності вимогам EU-US Privacy Shield, а також з метою демонстрації вжиття належного рівня захисту щодо персональних даних, має можливість самостійно сертифікуватися, використовуючи відповідні інструменти сертифікації, які надаються на веб-сайті Управління міжнародної торгівлі при Міністерстві Торгівлі США (U.S. Department of Commerce’s International Trade Administration (ITA)) privacyshield.gov. В даному випадку можливо зробити висновок, що сертифікація є справою добровільною, а тому, компанія, що бажає здійснювати обробку персональних даних належним чином, на власний розсуд, може приєднуватися, або не приєднуватися до EU-US Privacy Shield.
Поряд з добровільною реєстрацією існує ще й примусова. Така реєстрація передбачається тоді, коли компанія публічно заявляє, що вона дотримується або ж буде дотримуватися принципів захисту конфіденційності у відповідності з EU-US Privacy Shield. В такому випадку, реєстрація може бути проведена примусово за розпорядженням відповідних органів виконавчої влади, Федеральної торгової комісії США (FTC) або Міністерства транспорту США (DOT).
Компанії, які здійснили процедуру сертифікації та діють у відповідності з EU-US Privacy Shield, зобов’язані оновлювати таку сертифікацію щорічно. Здійснюючи кожну повторну сертифікацію, компанії повинні здійснювати процедуру, яка передбачається при первинній сертифікації, а також надавати всю інформацію та документи, які вимагаються відповідними органами при первинній реєстрації.
EU-US Privacy Shield та GDPR
Деякі аналітики вважають, що якщо компанія сертифікована у відповідності з EU-US Privacy Shield, то немає жодної необхідності турбуватися про те, щоб адаптувати свою діяльність згідно вимог GDPR. Така позиція є хибною, адже зазначені вище документи мають різну класифікацію з правової точки зору.
Так, наприклад, GDPR є нормативним актом, прийнятим в межах Європейського Союзу і своїм змістом визначає коло суб’єктів, які повинні виконувати вимоги щодо захисту персональних даних європейських суб’єктів персональних даних по всьому світу.
В той самий час, EU-US Privacy Shield можна класифікувати як офіційну угоду між двома суб’єктами міжнародного публічного права, яка визначає рамки вжиття організаційних та технічних заходів щодо безпеки обробки персональних даних та межі доступу до таких даних державних органів, в процесі співпраці між такими суб’єктами.
Також, GDPR має ряд додаткових вимог, які не передбачаються EU-US Privacy Shield. Наприклад, компанії із США, які здійснюють обробку персональних даних суб’єктів персональних даних з ЄС, повинні розглянути необхідність:
- призначення інспектора із захисту даних;
- призначення представника в ЄС;
- проведення Data Protection Impact Assessment.
Висновок
Підводячи підсумок під вищевказаним, потрібно зазначити, що американські компанії, які прагнуть або здійснюють свою діяльність, яка направлена на реалізацію товарів або послуг на території Європейського Союзу або здійснюють моніторинг поведінки суб’єктів персональних даних на території Європейського Союзу, зобов’язані діяти у відповідності до вимог GDPR. Якщо ж відповідна компанія із США ще й здійснила сертифікацію у відповідності до EU-US Privacy Shield, то цим самим значно полегшує свій шлях адаптації вимогам нового європейського регулювання щодо захисту персональних даних.
Отже, якщо ваша компанія зареєстрована в Сполучених Штатах Америки та планує працювати з Європейським ринком, варто здійснити процедуру сертифікації у відповідності з EU-US Privacy Shield. Це буде одним із перших кроків для можливості мінімізувати ризики притягнення до відповідальності за неналежну організацію обробки персональних даних.
