Соотношение EU-US Privacy Shield и GDPR
Как известно, с 25 мая 2018 вступил в действие новый Регламент по защите персональных данных, который является довольно специфическим документом. Так, например, его положения стали катализатором для многих компаний в пересмотре своей деятельности в контексте защиты персональных данных.
Вместе со всеми субъектами, которые должны руководствоваться нормами GDPR, мы можем выделить компании, зарегистрированные в странах, которые имеют надлежащий уровень защиты данных, согласно списка, утвержденного Европейской Комиссией. Среди таких компаний большинство тех, которые зарегистрированы в США и деятельность которых ориентирована на европейский рынок.
Соотношение EU-US Privacy Shield и GDPR
Деятельность компаний, зарегистрированных в США и которые стремятся осуществлять свою деятельность в пределах Европейского Союза, кроме требований GDPR также регулируется и таким документом как EU-US Privacy Shield, который был подписан между США и Европейским Союзом. Данный документ устанавливает определенные рамки для американских компаний, желающих работать на Европейский рынок, в частности, в контексте обработки персональных данных.
EU-US Privacy Shield в 2016 году пришел на смену Safe Harbor framework, который решением Европейского Суда Справедливости (European Court of Justice) был признан утратившим силу и не обеспечивает должного уровня защиты персональных данных субъектов персональных данных с территории ЕС. Решение было вынесено в рамках дела Maximillian Schrems против Органа по защите данных Ирландии (Data Protection Commissioner of Ireland).
EU-US Privacy Shield является документом, с помощью которого в значительной степени было детализированы и очерчены границы защиты персональных данных субъектов персональных данных ЕС, которые обрабатываются в Соединенных Штатах Америки. В результате принятия EU-US Privacy Shield, было ограничено право доступа государственных органов США, в том числе федеральных служб разведки, к персональным данным, которые обрабатываются и хранятся компаниями из США.
В рамках EU-US Privacy Shield заложено 16 основных принципов, на основании которых осуществляется регулирование защиты персональных данных европейских субъектов персональных данных, обрабатываемых компаниями из США. Некоторые принципы из списка, определяемого EU-US Privacy Shield, довольно специфические и касаются многих сфер общественно-экономической жизни. В частности, есть принципы, касающиеся обработки персональных данных в туристической, медицинской, транспортной сфере и тому подобное.
Как присоединиться к EU-US Privacy Shield
Каждая компания в США, которая действует в пределах юрисдикции Федеральной торговой комиссии (FTC) или Департамента транспорта (DOT), с целью обеспечения своего соответствия требованиям EU-US Privacy Shield, а также с целью демонстрации принятия надлежащего уровня защиты по персональных данных, имеет возможность самостоятельно сертифицироваться, используя соответствующие инструменты сертификации, предоставляемых на веб-сайте Управления международной торговле при Министерстве торговли США (US Department of Commerce’s International Trade Administration (ITA)) privacyshield.gov. В данном случае можно сделать вывод, что сертификация является делом добровольным, а потому, компания, желающая осуществлять обработку персональных данных надлежащим образом, по своему усмотрению, может присоединяться или не присоединяться к EU-US Privacy Shield.
Наряду с добровольной регистрацией существует еще и принудительная. Такая регистрация предусматривается тогда, когда компания публично заявляет, что она соблюдает или будет придерживаться принципов защиты конфиденциальности в соответствии с EU-US Privacy Shield. В таком случае, регистрация может быть проведена принудительно по распоряжению соответствующих органов исполнительной власти, Федеральной торговой комиссии США (FTC) или Министерства транспорта США (DOT).
Компании, которые осуществили процедуру сертификации и действуют в соответствии с EU-US Privacy Shield, обязаны обновлять такую сертификацию ежегодно. Осуществляя каждую повторную сертификацию, компании должны осуществлять процедуру, которая предусматривается при первичной сертификации, а также предоставлять всю информацию и документы, которые требуются соответствующими органами при первичной регистрации.
EU-US Privacy Shield и GDPR
Некоторые аналитики считают, что если компания сертифицирована в соответствии с EU-US Privacy Shield, то нет никакой необходимости беспокоиться о том, чтобы адаптировать свою деятельность в соответствии с требованиями GDPR. Такая позиция является ошибочной, ведь указанные выше документы имеют различную классификацию с правовой точки зрения.
Так, например, GDPR является нормативным актом, принятым в странах ЕС и своим содержанием определяет круг субъектов, которые должны выполнять требования по защите персональных данных европейских субъектов персональных данных по всему миру.
В то же время, EU-US Privacy Shield можно классифицировать как официальное соглашение между двумя субъектами международного публичного права, которая определяет рамки принятия организационных и технических мероприятий по безопасности обработки персональных их данных и пределы доступа к таким данным государственных органов, в процессе сотрудничества между такими субьектами.
Также, GDPR имеет ряд дополнительных требований, которые не предусмотрены EU-US Privacy Shield. Например, компании из США, осуществляющих обработку персональных данных субъектов персональных данных с ЕС, должны рассмотреть необходимость: назначение инспектора по защите данных, назначение представителя в ЕС, проведение Data Protection Impact Assessment.
Вывод
Подводя итог под вышеуказанным, отметим, что американские компании, которые стремятся или осуществляют свою деятельность, направленную на реализацию товаров или услуг на территории Европейского Союза или осуществляют мониторинг поведения субъектов персональных данных на территории Европейского Союза, обязаны действовать в соответствии с требованиями GDPR.
Если же соответствующая компания из США еще и осуществила сертификацию в соответствии с EU-US Privacy Shield, то тем самым значительно облегчает свой путь адаптации требованиям нового европейского регулирования по защите персональных данных.
Поэтому, если ваша компания зарегистрирована в США и планирует работать с европейским рынком, следует осуществить процедуру сертификации в соответствии с EU-US Privacy Shield. Это будет одним из первых шагов для возможности минимизировать риски привлечения к ответственности за ненадлежащую организацию обработки персональных данных.