Какво следва след отмяната на Privacy Shield?

На 16 юли 2020г. дългоочакваното решение по делото C-311/18 Facebook Ireland and Schrems, по известно като Schrems II, разтресе privacy средите.В синхрон с предишната си практика по Schrems I, Съдът на Европейския съюз (СЕС) обяви Щита за лични данни (Privacy Shield) за невалиден, но едновременно с това потвърди, че стандартните договорни клаузи (СДК) все още са валиден механизъм за предаване на данни в трети страни.

Какво постановява решението по Schrems II? 

По делото се поставя под въпрос валидността на два от механизмите, предвидени в GDPR за предаване на данни от ЕС към трети страни и по-конкретно към САЩ: 

Щит за лични данни – СЕС намира, че САЩ не гарантират адекватна степен на защита на личните данни и съответно обявява Privacy Shield за невалиден. Основната причина е вътрешноправната уредба в Щатите относно достъпа и използването на лични данни от американските публични органи и в частност от разузнавателните служби (NSA, FBI, CIA и др.).  

Стандартни договорни клаузи – Според съда СДК остават валиден механизъм за трансфер на данни, независимо че не обвързват публичните органи в третите страни. Съдът пояснява, че нивото на защита, което СДК предоставят, трябва да е равностойно на гарантираното от GDPR и Хартата на основните права на ЕС. Разясняват се и задълженията на администраторите, получателите на данни и европейските надзорни органи: 

1. Европейският администраторна данни и получателят са длъжни да се уверят преди предаването на данните, че законодателството на третата държава позволява получателят на практика да се съобрази със СДК.  
2. Получателят е длъжен да информира администратора за евентуалната си невъзможност да осигури съответствие със СДК. 
3. Ако получателят не може да изпълни задълженията си, администраторът е длъжен да спре предаването или да прекрати договора. 
4. Ако администраторът не направи това, съответният надзорният орган е длъжен да спреили забрани предаването на данни. 

Какво е значението на решението? 

Решението потвърждава колко важно е ефективното осигуряване на високо ниво на защита при трансфер на лични данни извън Европа. Съдът едновереммно потвърждава валиднсотта на СДК, но и я прави зависима от това дали на практика чрез калузите може да се постигне съответствие с европейските изисквания за защитна на данните. Т.е. не достатъчно СДК само да се подпишат, но и ефективно да се прилагат. В противен случай те не са достатъчни да узаконят трансфера.  

От голямо значение е и разясняването на задълженията на администраторите при предаване на данни. Те ще трябва вече да проучват предварително законодателствата на третите страни и да преценяват дали осигуряват подходяща защита на личните данни. Подобна специализация в чуждестранни правни уредби обаче не е постижима за всички администратори и поставя въпроси за законосъобразността на трансфера на данни в недемократични държави като Китай например.  

В синхрон с предишната си практика, СЕС засилва ролята на европейските надзорни органи, които не само могат, но са задължени да спрат или забранят предаване на данни към получател, който не може да изпълни задълженията според СДК.  

Какво да очакваме? 

1. Допълнителни задължения към СДК– стандартните клаузи остават валиден механизъм, но трябва да са съобразени с уредбата в страната на получателя. Това може да стане като се въведат съответни допълнителни задължения, които гарантират ефективно високо ниво на защита. Специално внимание ще трябва да се обръща на условията, при които публичните органи имат достъп до лични данни.  
2. Обвързващи корпоративни правила – с оглед новите условия за валидност на СДК, все повече компании ще започнат да използват ОКПкато най-сигурен механизъм за предаване на данни извън ЕС в дългосрочен план. 
3. Становища на надзорни органи– добре е да следим официалните уебсайтове на европейските надзорни органи и EDPB, тъй като се очаква да публикуват становища относно законосъобразността на трансфери на база СДК до определени трети страни и особено до САЩ.  Повече за тяхната реакция по повод Shrems II може да прочетете тук.
4. Обновени СДК– възможно е Европейската комисия да публикува нови СДК, които съобразяват рисковете, идентифицирани в Schrems II, вкл. и практиките на органите по правоприлагане и разузнавателните агенции в САЩ.