Максим Раков об особом положении
В среду, 25 сентября, Максим Раков, партнер нашей фирмы и лидер практики международного бизнеса, а ранее юридический советник…
Новость добавлена: 24.07.2020
В решении от 16 июля 2020 года Суд ЕС постановил, что соглашение Privacy Shield, используемое высокотехнологичными компаниями, банками и другими для передачи персональных данных из ЕС в США, не защищает конфиденциальность граждан ЕС. Суд признал недействительным Решение 2016/1250 Комиссии ЕС об адекватности защиты, обеспечиваемой соглашением Privacy Shield, но подтвердил действительность Решения 2010/87 по Стандартным Договорным Положениям.
Суд постановил, что законы ЕС, а именно Регламент о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и Общий регламент о защите данных, должны толковаться как применимые к передаче персональных данных в коммерческих целях экономическим оператором государства-члена оператору в третьей стране.
Если такие данные подлежат доступу со стороны властей третьей страны по соображениям общественной безопасности, обороны и государственной безопасности, такой доступ также подпадает под регулирование Общего регламента о защите данных.
Стандартные Договорные Положения
Суд постановил, что субъектам данных, персональные данные которых передаются в третью страну в соответствии со стандартными положениями о защите данных, должен быть предоставлен уровень защиты, по существу эквивалентный уровню, гарантированному в рамках Общего регламента о защите данных. Кроме того, суд указал, что оценка этого уровня защиты должна включать как договорные положения, согласованные сторонами, так и закон третьей страны о доступе государственных органов.
Что касается обязательств европейских надзорных органов, Суд постановил, что, если не существует действующего решения Комиссии об адекватности защиты персональных данных в отношении конкретной страны, эти органы обязаны приостановить или запретить передачу персональных данных в третью страну, где они видят несоблюдение законодательства ЕС, когда экспортер данных в ЕС сам не приостановил или не положил конец такой передаче.
Суд подтвердил обоснованность Решения 2010/87 как устанавливающего эффективные механизмы, которые позволяют на практике обеспечить соблюдение уровня защиты, требуемого законодательством ЕС. В частности, Суд указал на двустороннее обязательство проверять перед любой передачей таких данных, соблюдается ли этот уровень защиты в соответствующей третьей стране с учетом обязательства получателя информировать экспортера данных о любой неспособности соблюдать стандартные положения о защите данных; последний в свою очередь обязан приостановить передачу данных и / или расторгнуть договор с первым.
Соглашение Privacy Shield
Суд признал недействительным Решение Комиссии ЕС 2016/1250 об утверждении адекватности защиты в соглашении Privacy Shield. Он отметил, что требования национальной безопасности США, общественных интересов и правоприменения нарушают основные права лиц, чьи данные передаются в США. Суд усмотрел ограничения в защите персональных данных, вытекающие из внутреннего законодательства США. Комиссия оценила в Решении 2016/1250 наличие данных ограничений как несоответствие требованиям, по существу эквивалентным требованиям законодательства ЕС. Суд установил, что положения некоторых государственных программ наблюдения США не накладывают каких-либо ограничений на полномочия, которые они предоставляют для реализации этих программ, или на наличие правовых гарантий для лиц, не являющихся гражданами США. Хотя эти положения устанавливают требования, которые власти США должны соблюдать при реализации таких программ наблюдения, эти положения не предоставляют субъектам передачи данных права на судебное разбирательство против государственных органов США.
Суд также постановил, что, вопреки мнению Комиссии в решении 2016/1250, механизм омбудсмена, упомянутый в этом решении, не предоставляет субъектам передачи данных каких-либо оснований для действий и не предлагает гарантии, по существу эквивалентные законам ЕС. Среди таких гарантий, например, независимость омбудсмена и наличие у него полномочий принимать решения, налагающие обязательства на государственные органы. По всем этим основаниям Суд признал Решение 2016/1250 недействительным.
Теперь компании, работающие с хранением и передачей персональных данных, должны будут оценить, обеспечивают ли их Стандартные Договорные Положения защиту данных, перемещаемых в США в соответствии с требованиям Общего регламента о защите данных ЕС.
Настоящее решение было принято в связи с жалобой Макса Шремса к Facebook. Макс Шремс, австрийский активист кампании по защите конфиденциальности, утверждает, что его конфиденциальность была нарушена Facebook, когда его данные были переданы в США и стали доступны государственным органам. По его же жалобе соглашение Safe Harbour, предшественник Privacy Shield, было признано недействительным в 2015 году.