Крупная победа в обеспечении конфиденциальности и защиты данных

20 Сен 2020, 37 mins ago

16 июля 2020 года Судебная палата Европейского союза (далее – «Судебная палата») огласила долго ожидавшееся решение относительно законодательства о защите данных и конфиденциальности. Данное постановление можно считать знаковым, оно влечет существенные последствия для компаний, которые занимаются передачей данных в Соединенные Штаты.

Суд постановил, что Программа по защите конфиденциальности ЕС-США не обеспечивает надлежащего уровня защиты данных в значении статьи 45 Общего регламента ЕС по защите персональных данных (далее – «GDPR»). Действительно, Программа по защите конфиденциальности предусматривает несоразмерные исключения из правил по защите данных, когда дело касается слежки со стороны (многих) американских разведслужб, и не предусматривает эффективного средства правовой защиты для затрагиваемых лиц, в том числе, среди прочих, для обеспокоенных граждан. Следовательно, соответствующее решение о достаточности мер Еврокомиссии было признано недействительным. В результате запрещается передача данных в США, если основанием для передачи служит Программа по защите конфиденциальности.

Предыстория данного дела

Австрийский юрист и активист по защите личных данных Максимилиан Шремс обратился с жалобой на передачу его личных данных европейским подразделением Facebook структуре группы Facebook в США. После проведения своего расследования надзорный орган Ирландии обратился в Высший суд Ирландии и попросил суд проверить допустимость оснований, по которым Facebook передает данные из Ирландии в США. Высший суд Ирландии приостановил судебное производство и направил вопросы в Судебную палату для вынесения предварительного постановления. Судебной палате требовалось рассмотреть допустимость (1) решения о достаточности мер Еврокомиссии, позволяющего передачу данных в США в соответствии с Программой по защите конфиденциальности, а также (2) решение Еврокомиссии, на основании которого стандартные положения о защите данных обеспечивали достаточные гарантии для передачи данных в третью страну. Относительно второго вопроса, в Facebook Ireland Ltd сообщили, что большой объем личных данных был передан в соответствии со стандартными положениями о защите данных, указанных в приложении к Решению Комиссии 2010/87/EU, которое указано и изучено в полном судебном решении. Это решение послужило основанием и устранило препятствия для передачи определенной категории личных данных на основании стандартных положений о защите данных. Такой способ передачи данных не признан недействительным и, следовательно, может по-прежнему использоваться. Мы еще вернемся к этому вопросу.

Правовой аспект

Статья 44 GDPR устанавливает определенные требование к трансграничной передаче личных данных. В частности, такая передача данных разрешается на основании решения Еврокомиссии, если страна-получатель предлагает надлежащий уровень защиты данных (ст. 45 GDPR). Таким образом, Комиссия заключила, что США обеспечивают надлежащий уровень защиты данных, передаваемых в соответствии с Программой по защите конфиденциальности. Программа по защите конфиденциальности – это механизм само сертификации, основанный на определенных официальных обязательствах США, который позволяет американским компаниям придерживаться комплекса принципов по защите личных данных, опубликованных Министерством торговли США. Следовательно, личные данные можно передать в США, если получатель данных указан в перечне организаций, соблюдающих принципы Программы по защите конфиденциальности. При оценке уровня защиты в третьей стране Комиссия, в частности, была вынуждена принять в расчет законодательство относительно обороны и государственной безопасности, доступ госорганов к личным данным, а также наличие эффективных средств правовой защиты для обеспокоенных граждан в стране назначения (п. 2 ст. 45 GDPR). В связке со статьями 7 (уважение частной жизни), 8 (защита личных данных) и 47 (право на эффективные средства правовой защиты и доступ к беспристрастному суду) Хартии основных прав Европейского союза, данное положение, в частности, означает, что (а) отступление от принципов защиты данных (например, в целях обеспечения государственной безопасности) должно быть соразмерным, и (b) субъекты персональных данных должны иметь эффективное право на правовую защиту. С одной стороны, принцип соразмерности требует, чтобы исключения из правил по защите данных не выходили за рамки строго необходимого, а с другой стороны, чтобы они регулировались достаточными правовыми и процессуальными гарантиями. Однако американское законодательство (Закон о негласном наблюдении в целях внешней разведки) позволяет разведслужбам, таким как Агентство национальной безопасности («АНБ»), собирать большой объем данных «оптом», без целенаправленного сбора и почти без судебного надзора. На самом деле американские программы слежки основаны на ежегодном утверждении, которое не учитывает, верно ли преследуются объекты слежки. В дополнение, соответствующие американские законы не предусматривают каких-либо прав для субъектов персональных данных, которые можно применить в отношении органов, собирающих их данные. При таких обстоятельствах Комиссия пришла к неправильному выводу, что исключения из правил по защите личных данных, действующие в США, являются соразмерными. Сложно понять, как Комиссия могла прийти к этому выводу, тем не менее именно так она заключила. Для принятия решения о достаточности мер особую значимость имело наличие эффективных средств правовой защиты в стране-получателе данных. В этом отношении Программа по защите конфиденциальности предусматривает, что затрагиваемые передачей данных в США лица могут обращаться с жалобами к посреднику-примирителю. Однако последний является неотъемлемой частью Госдепартамента США, а также назначается и увольняется госсекретарем, что ставит под сомнение его независимость от исполнительной ветви власти. Более того, юрисдикция посредника-примирителя ограничена, так как несколько соответствующих правовых оснований для сбора личных данных со стороны разведслужб выходят за рамки его полномочий. Наконец, нет никакого указания на то, что посредник-примиритель может принимать решения, имеющие обязательную силу для разведслужб. Следовательно, гарантии, предусмотренные механизмом медиации Программы по защите конфиденциальности, не являются существенным эквивалентом гарантий, требуемых ст. 47 Хартии основных прав Европейского союза. В свете этого, заключив, что предусмотренные Программой по защите конфиденциальности гарантии являются достаточными, Комиссия нарушила статью 45 GDPR. Следовательно, решение о достаточности мер Еврокомиссии было признано недействительным.

Судебная палата заявила:

[184] «[Н]и раздел 702 [Закона о негласном наблюдении в целях внешней разведки], ни [Указ президента США] №123333, в связке с [Директивой политики президента №28], не соответствуют минимальным гарантиям, предусмотренным принципом соразмерности в соответствии с законодательством ЕС. Следовательно, нельзя считать, что программы слежения, основанные на этих нормах, ограничиваются строго необходимым».

Точка зрения

Вышеописанное судебное решение вынесено в след за признанием недействительным в 2015 году первого комплекса принципов передачи данных в США под названием «Безопасная гавань». То судебное решение также было вынесено по заявлению Максимилиана Шремса (CJEU, 06.10.2015, C -362/14). Основания для признания недопустимой Программы по защите конфиденциальности являются существенно схожими с основаниями для признания недопустимой «Безопасной гавани», и это решение в очередной раз показывает сложность согласования европейских требований о защите данных с американскими практиками надзора. Данное решение немедленно отменяет законность передачи всех личных данных в США, которые осуществляются исключительно на основании Программы по защите конфиденциальности. Таким образом, для передачи данных требуются иные надлежащие гарантии, например, достаточные договорные условия или строгие корпоративные правила.

Как насчет стандартных положений о защите данных? Что будет дальше?

Стандартные положения о защите данных, принятые Еврокомиссией, являются действительными, хотя они не имеют обязательной силы для госорганов страны-получателя данных. Тем не менее использование типовых положений не освобождает экспортера данных от оценки рисков в конкурентных случаях, и при необходимости принятия дополнительных гарантий. В частности, экспортер данных должен уточнить, что законы страны назначения данных позволяют получателю данных выполнять свои обязательства и не позволяют несоразмерное вмешательство со стороны госорганов, например, АНБ. Европейский совет по защите данных обнародовал свои «Часто задаваемые вопросы» в связи с признанием недопустимой Программы по защите конфиденциальности и последствиями для стандартных положений о защите данных, и это руководство все еще применимо к британским контролерам и обработчикам данных. Управление Комиссара по информации выпустило заявление относительно Великобритании. Заявление было обновлено 27 июля 2020 года. Основная суть заявления заключается в том, что данное судебное решение влечет более широкие последствия для международной передачи данных, чем признание недопустимой Программы по защите конфиденциальности ЕС-США, что Европейский совет по защите данных разрабатывает более комплексное руководство, и что компаниям рекомендуется проводить оценку рисков при передаче данных в США или любые другие страны. Получатель данных иногда может помогать корпорациям при принятии решений.

Что это означает для корпораций?

Теперь корпорации должны принимать соответствующие меры, подтверждающие соответствие передаваемых ими данных нормам GDPR и принципам недавнего решения Судебной палаты. На практике это означает отказ от передачи данных на основании Программы по защите конфиденциальности и переход к альтернативным гарантиям, таким как стандартные положения о защите данных, и уточнение уровня гарантий, применяемых к передаче данных. Корпорации могут «самостоятельно оценить» американского получателя данных надлежащим, однако в результате, скорее всего, передача данных по-прежнему будет зависеть от Закона о негласном наблюдении в целях внешней разведки. Таким образом, при передаче данных в США будут учитываться раздел 702 Закона о негласном наблюдении в целях внешней разведки и Указ президента США № 12333. Наконец, но не в последнюю очередь, компаниям крайне важно отслеживать обновления, заявления и постановления Европейского совета по защите данных и судебной палаты относительно допустимости и применения в будущем указанных стандартных положений о защите данных.

Данное решение Судебной палаты имеет существенное значение для обеспокоенных граждан и защиты конфиденциальности в целом. Законодателям необходимо контролировать ситуацию с технологическим прогрессом, чтобы они могли принимать соответствующие законы и принимать новые правовые гарантии, когда защита конфиденциальности находится под угрозой.

Информация в данном блоге предлагается только в целях общего ознакомления, она не является исчерпывающей и не содержит в себе юридической консультации. В то время как сделано все возможное, чтобы убедиться, что данные сведения и законодательство соответствуют действующим на момент публикации правовым нормам, следует помнить, что с учетом течения времени такие сведения могут перестать отражать текущие правовые положения. Фирма Gherson не несет ответственности за ущерб, в случае возникновения такового, вследствие доступа к содержащейся в этом блоге информации или ее использования. Для получения официальной консультации по действующему законодательству, пожалуйста, свяжитесь с фирмой Gherson. Юридические консультации предоставляются только на основании письменного соглашения в установленной форме, подписанного клиентом, с одной стороны, и от имени или по поручению фирмы Gherson, с другой стороны.

©Gherson 2020

Онлайн-ресурсы: