GDPR  - Значителни промени при трансферите на лични данни извън ЕС - неочаквано решение на съда на Европейския Съюз по делото Schrems II 

 

Безпрецедентната икономическа и здравна криза породена от COVID-19 пренареди приоритетите на всички нас - както в бизнес, така и в личен план. Това обаче далеч не означава, че законовите промени са поставени на пауза. 

 

Преди броени дни, съдът на Европейския Съюз (СЕС) публикува решението си по делото Schrems II, което ще има трайни последствия за бизнесите, които осъществяват трансфери на лични данни извън ЕС. Броят на засегнатите компании е огромен и включва: 

  • Компании, които използвайки различни видове софтуер системи за управление на бизнес процесите и човешките ресурси, изпращат лични данни на доставчици, клиенти и персонал до сървъри в САЩ и други трети страни;

  • Компаниите, част от международна група предприятия; или 

  • Компаниите предлагащи различни видове услуги на клиенти в трети страни, като за целта е необходимо да изпращат лични данни извън рамките на ЕС.

 

Schrems II е част от дългата съдебна битка на Макс Шремс - Австрийски адвокат и защитник на поверителността на данните - срещу Facebook относно трансфера на личните му данни като потребител на платформата към САЩ. Европейската централа на компанията се намира в Ирландия и поради тази причини г-н Шремс адресира жалбите си до Ирландската Комисия за Защита на Личните Данни. 

 

С жалбите си г-н Шремс цели да преустанови трансфера и обработката на личните му данни в САЩ. За никого не е тайна, че правната система на САЩ не поставя защитата на личните данни като толкова висока ценност и човешко право както ЕС. Това несъответствие в идеологии, в комбинация с дигиталната революция, която налага ежедневно обмените на огромни масиви от данни между ЕС и САЩ повиши интереса на физическите лица за това какво става с данните им, когато прекосяват национални граници и даде поле за изява на активисти като Шремс. 

 

През октомври 2015 г., отново по жалба на Шремс (делото Schrems I), СЕС отмени решението на Европейската Комисия (ЕК) от 2000 г., съгласно което САЩ се считаше за държава, осигуряваща адекватно ниво на защита на личните данни спрямо Европейските стандарти, и трансферите на лични данни се осъществяваха свободни - т. нар. Safe Harbour.

 

В следствие на решението Schrems I, ЕС и САЩ договориха нова рамка за трансфери на лични данни за търговски цели  т. нар. EU-US Privacy Shield. Режимът позволяваше свободния трансфер на лични данни до определени компании, сертифицирани в САЩ като осигуряващи адекватно ниво на защита на личните данни. Над 5300 компании са част от списъка на EU-US Privacy Shield в момента - като част от списъка са и всички технологични гиганти - вкл. Facebook, Microsoft и Google. 

 

След всички тези развития, ирландският регулатор се обърна към Шремс с молба да преформулира жалбата си. В обновената си жалба, Шремс изискваше временното преустановяване или забрана за трансфер на неговите лични данни от Facebook Ирландия до САЩ на основание, че САЩ не осигурява достатъчно ниво на защита на личните данни. 

 

В решението си от 16 юли 2020г, СЕС отмени валидността на EU-US Privacy Shield като основният мотив на съда е, че програмите за наблюдение на населението, използвани от правителството на САЩ нямат адекватни ограничения, а регулаторните органи в ЕС не предлагат достатъчни средства за правна защита на засегнатите лица. 

 

Въпреки че обяви EU-US Privacy Shield за невалиден, СЕС валидира друг механизъм за прехвърляне на данни от ЕС към САЩ и други трети страни, а именно стандартните договорни клаузи (СДК). СДК са утвърдени клаузи от ЕК и когато са включени в търговските договори позволяват свободен трансфер на данни между ЕС и трета страна. СДК съдържат договорни задължения както за износителя, така и за получателя на данните и дават права на физическите лица, чиито лични данни се прехвърлят. Лицата могат пряко да упражнят тези права срещу получателя и/или износителя на данни.

 

С решението си в Schrems II, СЕС потвърждава валидността на СДК като механизъм за трансфер на данни, но поставя и не малко изисквания към страните, които изберат да използват СДК. Износители и получатели на лични данни са „длъжни да проверят преди всяко прехвърляне на данни дали нивото на защита изисквано от законодателството на ЕС се спазва в съответната трета страна.“ Съдът добави, че: „получателят, когато е подходящо, има задължение… да информира износителя на данните за невъзможност да спазва тези клаузи, като последният от своя страна е длъжен да спре прехвърлянето на данни и / или да прекрати договора."


 

Най-важното, което бизнеса трябва да разбере от решението по делото Schrems II:

 

  1. Компании, които досега разчитаха на EU-US Privacy Shield, ще трябва да прилагат алтернативни защитни мерки (например СДК или  Обвързващи корпоративни правила приложими в тяхната група предприятия). Важно е да се отбележи, че СЕС не предостави гратисен превод на компаниите, разчитащи на EU-US Privacy Shield и те трябва много бързо да реагират и да изберат подходяща алтернатива. По-голяма част от регулаторните органи, включително и българската КЗЛД все още не са обявили какъв ще е техният подход при контрола и дали

  2. Въпреки че компаниите могат да продължат да използват СДК като предпазна мярка за прехвърляне на лични данни към обработващи данни извън ЕС, те ще трябва да проверят нивото на защита на данните, предоставяно в третата държава и, когато то е в противоречие със СДК, да спрат износа на данни. Следователно мониторингът на съответните аспекти на правната система на съответните трети страни следва да бъде интегриран в програмите за корпоративно съответствие.

  3. Междувременно ЕК потвърди, че работи върху алтернативни инструменти за международен трансфер на лични данни, включително чрез преглед на съществуващите СДК.