Рішення про адекватність використання EU-US Data Privacy Framework: mission impossible?

У червні 2023, Єврокомісія прийняла рішення про адекватність у разі використання фреймворку про захист даних (EU-US Data Privacy Framework – DPF), механізму для безпечного обміну персональними даними між ЄС та США. Організації, що беруть участь у DPF, можуть опрацьовувати персональні дані без необхідності надавати додаткові гарантії захисту або створювати механізми передачі даних (наприклад, через стандартні договірні умови). Legal IT Group вже проводила вебінар про основні аспекти DPF.

Чи є рішення про адекватність остаточним?

На жаль, ні. Воно може бути оскаржено до Суду ЄС за заявами держав-членів, органів ЄС, компаній або приватних осіб, або ж судами держав-членів як запит на отримання попередньої консультації щодо тлумачення права ЄС.

Спроби встановити режим передачі персональних даних ЄС/США мають довгу історію спротиву та оскаржень: обидві попередні frameworks були анульовані у 2015 та 2020.

Чи вже було оскарження DPF?

Ця третя спроба не стала виключенням. 7 вересня Філіп Латомб (Philippe Latombe), депутат парламенту Франції та член комісії французького органу з питань захисту даних (CNIL) у своєму прес-релізі заявив, що подав заяву про анулювання DPF до Суду ЄС як приватна особа. У своїх коментарях пресі, політик повідомив, що подав позови про негайне призупинення дії DPF та щодо змісту документу.

Які наслідки?

Наразі важко говорити навіть про потенційні результати такої заяви, оскільки її текст ще не опубліковано Судом. Крім того, (такі заяви) direct action розглядаються Загальним Судом ЄС трохи більше року, а апеляція орієнтовно може займати рік. Також невідомо, чи будуть подані інші позови щодо DPF від інших осіб та організацій. Проте наразі компанії із США, що бажають обробляти персональні дані користувачів з ЄС, можуть керуватись EU-U.S. Data Privacy Framework.

Раніше ми вже писали про вимоги до участі у DPF для резидентів США.