Рамката за защита на личните данни между ЕС и САЩ: как се стигна до нейното приемане и защо е от значение?
На 10 юли беше приета от Европейската комисия Рамката за защита на личните данни между ЕС и САЩ, която гарантира адекватно ниво на защита при трансфер на лични данни от Европейския съюз към Съединените американски щати. Това решение беше взето, след като от САЩ издадоха през октомври Изпълнителна заповед на президента Байдън, с която се въведоха допълнителни гаранции за правата на субектите в отговор на критиките отправени от СЕС в известното решение Schrems II. Заповедта има за цел да гарантира, че данните, до които имат достъп разузнавателните агенции на САЩ, се използват по начин, който е необходим и пропорционален, както и че действията, свързани със събирането на данни за целите на националната сигурност, могат да бъдат обжалвани пред независим орган.
Рамковото решение засяга всякa публична или частна организация в рамките на Европейското икономическо пространство (ЕИП), която извършва трансфери на данни към САЩ.
Какви са условията за прилагането на Рамката за защита на личните данни между ЕС-САЩ?
За прилагането на Рамката за защита на личните данни между ЕС и САЩ американските компании (“вносители”)трябва да се сертифицират, като се съгласят да спазват набор от задължения за защита на личните данни, известни като “Принципи на рамката между ЕС и САЩ”. Тези принципи обхващат изисквания като изтриване на лични данни, когато те вече не са необходими за първоначалната им цел, специфични условия относно обмена на данни с трети страни и други. Министерството на търговията на САЩ ще администрира процеса на сертификация, като обработва заявленията и следи за спазването на изискванията.
Какво се променя след приемането на Рамковото решение ЕС-САЩ?
Вече е налице механизъм, който позволява свободното и безопасно трансфериране на лични данни от ЕС към американски организации, които са сертифицирани от Министерството на търговията на САЩ. Тази рамка замества предишни механизми като “Safe Harbour” и “Privacy Shield”, които бяха обявени за неотговарящи на изискванията от Съда на Европейския съюз (“СЕС”).
- Установява се двустепенна система за правна защита, включително Data Protection Review Court (Съд за защита на данните), за разследване и решаване на жалби от европейски граждани относно достъпа до техните данни от разузнавателните служби на САЩ. Този съд има правомощията да приема задължителни мерки и ако установи, че данните са събрани в нарушение на мерките, може да нареди заличаването на тези данни.
- От гледна точка на физическите лица от ЕС рамката предоставя нови права, като например възможността за достъп до техните данни, коригиране или заличаване на неверни или незаконно обработени данни, и предлага механизъм за правна защита, в случай че техните данни са неправилно обработени.
Какво трябва да направят износителите и вносителите на данни след приемането на Рамковото решение ЕС-САЩ?
- Както споменахме по-горе – лицата, които внасят лични данни в САЩ или тези, на които те се предават в последствие трябва да се впишат по новия механизъм. Това задължение се отнася и за дружествата, които преди това са били сертифицирани по вече неактуалната рамка “Privacy Shield”.
- Всички участващи компании трябва да отразят в своите политики за защита на личните данни, че са част от Рамката за защита на личните данни между ЕС и САЩ и спазват задълженията за защита на личните данни, предвидени в нея.
- Съответно, износителите на данни в ЕС трябва да проверяват преди всяко трансфериране на данни дали получателят им в САЩ е сертифициран по Рамката. Въпреки че някои износители на данни от ЕС може да продължат да използват други инструменти за трансфер на данни като стандартните договорни клаузи, те трябва да имат предвид и действието на Рамката.
Трансферирането на данни към организации, които са сертифицирани по Рамката, ще се приема като трансфер извършен при условията на чл.46, пар.1 вр. чл.45, пар.1 и 3 GDPR. В такъв случай не се изисква прилагането на подходящи гаранции, включително Стандартни договорни клаузи, както и извършването на Оценка на въздействието при трансфер (TIA). Ако, все пак, са извършени такива оценки и/или се използват гаранции, то тяхното значение за европейските износители не отпада изцяло и те могат да послужат, ако:
- Разбира се, третата страна не е САЩ, или
- Вносителят в САЩ не е сертифициран по Рамката
Извършените TIA трябва да бъдат ревизирани, с оглед новата обстановка в САЩ след приемането на Изпълнителната заповед и Рамковото решение.
Критика
Не липсва и критика към Рамковото решение. Тя е отправена от “noyb” (None of Your Business), европейска организация с нестопанска цел, която се занимава с въпросите за защита на личните данни. Председател на “noyb” е Макс Шремс, известен активист за защита на личните данни, който и преди е оспорвал механизмите за предаване на данни между ЕС и САЩ, което е довело до важни правни решения, като обезсилването на споразуменията “Privacy Shield” и “Safe Harbor”.
В статията на “noyb”, критикуваща рамковото решение, се твърди, че новата рамка до голяма степен представлява повторение на неуспешните споразумения “Safe Harbour” и “Privacy Shield”, без съществени промени в американските закони. Основният проблем с FISA 702, който позволява масово наблюдение без необходимост от вероятна причина или съдебно одобрение, остава неразрешен. САЩ продължават да твърдят, че лицата, които не са граждани на САЩ, нямат същите конституционни права като гражданите на САЩ, което води до потенциални нарушения на правото на неприкосновеност на личния живот. В статията се изтъква, че новите механизми за правна защита се считат за недостатъчни и не отговарят на изискванията на Хартата на основните права на ЕС.
За повече информация относно промените след Рамката за защита на личните данни между ЕС и САЩ, не се колебайте да се свържете с нас!
