Deloitte Ефект падіння механізму захисту конфіденційності між ЄС та США - на кого це впливає та які альтернативи вони мають

Матеріал думки Юлії Антоні, "Делойт", Центральна Європа Лідер конфіденційності, та Сільвія Аксінеску, старша Керуючий юрист в Reff & Associations|Deloitte Legal

падіння

Рішення Суду Європейського Союзу (CJEU) про визнання угоди, що дозволяє передачу персональних даних між Європейським Союзом (ЄС) та Сполученими Штатами Америки (США), що називається Щит конфіденційності ЄС та США, недійсним як серед фахівців з питань захисту персональних даних, але особливо серед транснаціональних компаній. В основному це компанії, які передають дані материнським компаніям, або ті, що користуються послугами американських компаній, таких як постачальники хмарних послуг.

Однак, перш ніж оцінювати вплив цієї події на діяльність відповідних компаній, слід вказати на кілька аспектів.

Яким був механізм Щита конфіденційності між ЄС та США?

Програма дозволила американським компаніям зареєструватися на веб-сайті Міністерства торгівлі США та самостійно засвідчити дотримання Щита конфіденційності та відповідати вимогам щодо захисту персональних даних. Дотримання цієї програми сприяє передачі даних громадян ЄС компаніям США та надає впевненість партнерам та органам влади ЄС, відповідальним за захист персональних даних, що дані європейців обробляються відповідно до вимог GDPR.

Альтернативи програмі Щит конфіденційності між ЄС та США

Важливо зазначити, що не всі передачі персональних даних до США здійснювались за програмою Privacy Shield між ЄС та США. Є компанії, які або не дотримувались цієї основи, або вважали інші варіанти, запропоновані GDPR, більш доречними.

  • Одна з альтернатив механізму, запропонованому Щит конфіденційності полягає у використанні Обов'язкові корпоративні правила, кодекс правил, розроблений компанією та затверджений органами, відповідальними за захист персональних даних. Згідно з цими правилами, особисті дані можуть передаватися до країн, що не входять до ЄС. Основним недоліком використання обов’язкових корпоративних правил є те, що вони застосовуються лише до переказів, що здійснюються в межах однієї групи компаній, і не можуть використовуватися у відносинах замовник-постачальник.
  • Використовуйте стандартні умови договору, прийняті Європейською комісією це, мабуть, найбільш широко використовуваний варіант демонстрації адекватності заходів захисту персональних даних, що складається з набору положень, який закінчується окремим додатком у торгових відносинах з американськими компаніями. Вони доступні компаніям на веб-сайті Європейської комісії. Рішення, прийняте в четвер, 16 липня, зберігає цей варіант передачі даних до США.

На додаток до двох альтернатив, описаних вище, GDPR забезпечує інші відповідні способи досягнення передачі даних, які в даний час важче здійснити, але експлуатація яких, як очікується, зросте найближчим часом.

До них належать:

  • використання договірних умов між сторонами, які не потребують схвалення Комісії, але повинні бути дозволені компетентним органом із захисту даних;
  • використання стандартних положень, виданих компетентним наглядовим органом та схвалених Європейською комісією;
  • використання кодексу поведінки, затвердженого компетентним наглядовим органом;
  • сертифікація американської компанії відповідно до затверджених механізмів, що існують на рівні держави-члена ЄС.

Вплив рішення СЄС на компанії

Єдиними компаніями, на яких впливає рішення Європейського суду, є компанії, які передали персональні дані в рамках Щита конфіденційності ЄС та США. У цих випадках, після рішення суду, необхідно оцінити здійснені передачі та терміново реалізувати одну із згаданих альтернатив.

Рішення СЄУ, мабуть, особливо хвилювало користувачів хмарних сервісів. Щодо постачальників цієї категорії, з 2018 року (рік набрання чинності GDPR) вони вживали заходів щодо вирішення питання передачі персональних даних. Серед іншого, контракти, укладені з постачальниками хмарних послуг, включали гарантію щодо зберігання даних громадян на території ЄС.

На закінчення, хоча рішення Суду ЄС впливає на сферу передачі персональних даних, постраждалі компанії мають життєздатні альтернативи продовжувати свою безпеку даних та відповідати чинним нормам.