USA adequacy decision draft
Загальний регламент про захист даних (GDPR) передбачає додаткові правила щодо передачі даних до країн за межами Європейського Союзу. Контролери та обробники даних можуть передавати дані за кордон до країн, які, як очікується, мають адекватний рівень захисту даних, еквівалентний рівню ЄС. В інших випадках така передача підлягає додатковим заходам безпеки, наприклад, укладанню угоди про обробку даних (DPA) з включенням у цей договір стандартних договірних положень (SCC), які були розроблені Європейською Комісією.
Що цьому передувало?
Спочатку США були однією з країн, які вважалися такими, що забезпечують належний, адекватний рівень захисту персональних даних. Однак, після рішення “Schrems II”, передача даних до США з використанням механізму Privacy Shield між ЄС та США була заборонена, і з цього моменту компанії повинні були впроваджувати додаткові заходи безпеки для такої передачі, а саме: укладати DPA з SCC та проводити оцінку впливу передачі (Transfer Impact Assessment, TIA), яка оцінює, наскільки легко американські спецслужби можуть отримати доступ до персональних даних, що передаються до США, оскільки саме до цього було найбільше питань у суду в рішенні Schrems II.
Що зараз?
Після рішення у справі “Schrems II” Європейська Комісія та уряд США розпочали переговори щодо нових механізмів безпечної співпраці, які б вирішували питання, порушені судом у своєму рішенні.
У березні 2022 року після інтенсивних переговорів між сторонами було оголошено про нову угоду. У жовтні 2022 р. президент Байден підписав Указ ‘Enhancing Safeguards for United States Signals Intelligence Activities’.
Разом ці два згадані інструменти імплементували необхідні положення та нові зобов’язання США в американське законодавство. На цій основі Європейська Комісія наразі пропонує проєкт рішення щодо затвердження Рамкової угоди між ЄС та США щодо захисту даних.
Що включає в себе проєкт закону?
Мають з’явитися додаткові зобов’язання, які американські компанії повинні будуть взяти на себе для приєднання до Рамкової угоди між ЄС та США про захист даних, а саме: дотримання основних принципів GDPR, таких як data integrity, purpose limitation, який вимагає від компаній видаляти дані, які їм більше не потрібні для цілей, для яких вони були зібрані, або забезпечення того, щоб інші обробники, яким вони передають персональні дані, також дотримувалися необхідних правил захисту даних тощо. По суті, на американські компанії, які обробляють персональні дані європейців, будуть поширюватися всі правила GDPR: принципи обробки даних, заходи безпеки, відповіді на запити суб’єктів даних, правила передачі даних, а також деякі додаткові зобов’язання.
Дійсно, оскільки основною причиною скасування Privacy Shield між ЄС та США був доступ до персональних даних органів державної влади США, на них будуть накладені додаткові обмеження, що стосуються кримінального правозастосування та національної безпеки, такі як:
- Спецслужби США зможуть отримувати доступ до даних європейців лише в межах того, що є необхідним і пропорційним для захисту національної безпеки, та відповідно до суворої процедури, описаної в проєкті на основі вичерпного переліку правових підстав для такого доступу;
- громадяни ЄС матимуть можливість отримати відшкодування щодо збору та використання їхніх даних спецслужбами США за допомогою незалежного та неупередженого механізму відшкодування, який включає в себе новостворений Суд з питань захисту даних (Data protection review court). Суд буде незалежно розслідувати та вирішувати скарги європейців.
Європейські компанії зможуть покладатися на ці гарантії при трансатлантичній передачі даних, а також використовувати інші механізми передачі, такі як стандартні договірні положення та обов’язкові корпоративні правила.
Коли цей механізм вступить в силу?
Зараз проєкт має пройти процедуру ухвалення, яка передбачає наступні етапи:
- Комісія подає свій проєкт рішення до Європейської ради з питань захисту даних (EDPB).
- Комісія звертається за схваленням до комітету, що складається з представників держав-членів ЄС. Крім того, Європейський Парламент має право контролювати прийняття рішень.
- Після завершення зазначених етапів Комісія може перейти до прийняття остаточного рішення про адекватність.
Рамкова угода між ЄС та США про захист даних буде періодично переглядатися Європейською Комісією разом з європейськими органами захисту даних та компетентними органами США. Перший перегляд відбудеться протягом одного року після набуття чинності рішенням про адекватність з метою перевірки того, чи всі відповідні елементи правової бази США були повністю імплементовані та ефективно функціонують на практиці.
Загалом, компаніям, які працюють з США та передають дані до цієї країни, варто відслідковувати оновлення та зміни, що стосуються цього законопроєкту, оскільки він може покласти на вас нові зобов’язання. З іншого боку, відкривається простір для нових можливостей для компаній, які побоювалися передавати дані до США, тому краще і їм слідкувати за цим питанням.
З повним текстом законопроєкту можна ознайомитися за посиланням (англійська версія).
01/03/2023