Съмнения, объркване и нуждата от единен подход
На 16.07.2020 г. Съда на ЕС (СЕС) прие решение по дело C‑311/18, известно като Schrems II. С него на практика се обезсили механизма за адекватност при трансфер на данни между Европа и САЩ – “Privacy Shield”. Освен този непосредствен резултат, в решението се постави под въпрос приложението на стандартните договорни клаузи като средство за гарантиране на правата на субектите на данни при трансферът им в трети страни.
Това решение на СЕС беше очаквано и от двете страни на Атлантика. Интересен казус, но и политически въпрос, Schrems II показва тенденцията за деглобализация в областта на данните. Израз на европейски регионализъм, решението изпраща ясно послание към големите американски технологични компании: “Това са нашите данни и те трябва да стоят в Европа”. Схващането, че данните са новият петрол не е случайно. Съхранението на данните вече е част от геополитическата стратегия на големите държави. Ясно доказателство за това е скорошното развитие на събитията около китайския TikTok в Щатите.
Schrems II не е решение в интерес на бизнеса. Очакването е да създаде много нови допълнителни разходи за компаниите. По-големите от тях по всяка вероятност ще изберат да продължат трансфера на данни със скъпи “case–by–case“ оценки. За по-малките обаче новата правна реалност може да се окаже непосилна за преодоляване бариера.
Сега накъде? Безспорно регулаторите трябва да поемат на своите рамене последиците от това решение. От тях зависи да дадат ясни инструкции за бъдещето на експорта на лични данни от ЕС. Как реагираха регулаторите в месеците от Решението на СЕС до сега?
Кога са достатъчни стандартните договорни клаузи?
Преди всичко, да отбележим, че е единодушно мнението, че практически най-удобното решение след Privacy Shield са стандартните договорни клаузи (standard contractual clauses – SCC). Т.нар. “обвързващи корпоративни правила” (binding corporate rules – BCR) са непрактични в повечето случаи, тъй като отнемат много време и средства и изискват одобрение от страна на регулатора.
Така компании като Амазон и Майкрософт вече заявиха, че в случаи на трансфер ще разчитат на SCC, независимо че в решението на Съда има предостатъчно улики, че и стандартните клаузи не би следвало да са достатъчни за САЩ.
Решението на Съда на ЕС изисква при прилагане на SCC да бъде извършена оценка дали са налице пречки за реалното им приложение и спазване, било то от външен или от вътрешен характер. След тази оценка трябва да се прецени дали са необходими допълнителни гаранции освен клаузите. Съдът обаче мълчи по въпроса какви биха могли да бъдат те. При положение че стандартните клаузи не подлежат на изменение, логично е компаниите да прибегнат до някои от другите мерки.
При това положение, съществува реална опасност да бъде подкопан Единният пазар, ако всеки национален регулатор предприеме собствен подход по въпроса за кои трети страни са достатъчни стандартните клаузи. Ето защо държаните-членки би трябвало да поискат от европейския регулатор (ЕКЗД) становище по реда на чл. 64, пар. 2 GDPR. Очаква се ЕКЗД да уеднакви правилата и процедурите, като вероятно ще има и допълнителни регулации. От изключителна важност е европейският регулатор да предприеме мерки, за да се избегне опасността държавите да се впрегнат в “race to the bottom” коя ще предложи по-либерални условия на американските технологични компании.
Реакции на ЕК, ЕКЗД и САЩ
Европейската комисия и Търговското министерство на САЩ изразиха своята съвместна готовност за нова, подобрена версия на споразумение, подобно на Privacy Shield. Комисарят по правосъдието в ЕК Дидие Рейндерс обяви, че се подготвят “Шремсоустойчиви“ (Schrems Proof) SCC до края на годината. Те ще включват и версии за уреждане на отношенията обработващ-обработващ. От американската страна пък бе издаден White Paper с информацията, необходима при оценка на вноса на данни в САЩ.
Европейският комитет по защита на данните (ЕКЗД или EDPB на английски) издаде документ, даващ отговори на често задавани въпроси (FAQ), като поясни, че Privacy Shield се суспендира незабавно. Регулаторът препоръча използването на SCC и BCR. По въпроса за достатъчността на SCC като гаранция при трансфер бе обяснено, че е нужна оценка и от двете страни, като вносителят трябва да уведоми износителя, ако има обстоятелства, които ще му попречат да изпълни задълженията си. Оценката е както на външните фактори – законодателство в страната, така и на вътрешни – технически и организационни мерки, които се вземат. Възможно е прилагането на дерогациите по чл. 49 GDPR, но при условия на необходимост или изрично съгласие и строго спазване на изискванията за допустимост.
По отношение на заварени договори с обработващ не се дава конкретен отговор какво следва да се направи, ако не може да бъде осигурено необходимото ниво на защита. ЕКЗД препоръчва да се предоговорят условията. И накрая – ЕКЗД обещава, че предстоят нови указания по темата, с които ще се засегнат въпросите за методите на оценка, дали SCC са достатъчни, както и за технически и организационни мерки, които трябва да се вземат, за да направят SCC или BCR допустими.
Становищата на националните регулатори
Националните регулатори като цяло се придържат към FAQs на ЕКЗД. Повечето приветстват решението на съда и отчитат приносът му за изясняването на ролята на SCC и BCR механизмите. Сега ще разгледаме реакциите на най-големите и структуроопределящи регулатори.
Британският “Information Commissioner’s Office” (ICO) първоначално предостави гратисен период, като съветва компаниите, които към момента използват Privacy Shield, да продължат да го ползват до издаването на допълнителни насоки. Регулаторът също така посъветва компаниите да не започват да използват механизма, ако до момента не са. Впоследствие изглежда, че промени становището си, като каза, че FAQs на ЕКЗД се прилагат към британските администратори и обработващите лични данни и потвърди, че Обединеното кралство подкрепя британските организации и ще работи с правителството и чуждестранните органи, за да осигури продължаването на международния трансфер на лични данни.
Френският CNIL все още анализира последиците от решението и призовава за общ подход под егидата на ЕКЗД и ЕК.
Подобно на Франция, Германия на федерално ниво също призова ЕКЗД да достигне до хармонизиран отговор на предизвикателствата, следващи от Schrems II. Хамбург изрази съображението си, че предстоят тежки времена на трансфера на лични данни. Други федерални провинции стигнаха по-далеч в заключенията си. Берлин призова да се избягва трансферът на данни към САЩ и вместо това те да бъдат пренасяни към центрове за обработка на данни (“data centers”) в рамките на ЕС. Баден-Вюртемберг изтъкна нуждата да се преценява дали е необходимо да се трансферират данни извън ЕС и само когато такава е налице, да се извършва преносът.
Холандия констатира, че САЩ не предоставят достатъчно адекватни гаранции за защита на личните данни, съответно трябва да се избягват трансфери там. Швейцария ограничи съображенията си до Privacy Shield, като изтъкна, че механизмът не предоставя необходимото ниво на защита по отношение на преноса на лични данни към САЩ.
Какво следва оттук нататък?
В заключение изглежда, че към момента логичният избор за компаниите е да разчитат на SCC. Макар да идват с известен набор от изисквания и предизвикателства, те представляват надежден начин за компаниите да приведат дейността си в съответствие с новата правна реалност. Практиката вече излезе с решение на въпроса дали SCC са достатъчни и какви мерки биха ги укрепили като средство за гарантиране на правата на субектите при трансфер на данните. Това са т.нар. “Transfer impact assessments” (TIA) и препоръчваме да извършвате такива, ако имате съмнения.
Предстои обаче да видим дали европейските органи ще предприемат единен подход по повдигнатите въпроси и какъв ще бъде той, или отделните държави-членки ще изпаднат в опасна за Единния пазар надпревара коя да предложи по-изгодни условия на американските технологични компании. Несъмнено тепърва ще разберем истинските последици от Schrems II и дали ще бъде възможно установяването на “Шремсоустойчив” механизъм за трансфер на данни между ЕС и САЩ.
