Хранение и обработка данных в США: Европейский Союз ставит новые ограничения

16 июля 2020 Европейский суд Европейского союза признал механизм Privacy Shield для передачи персональных данных с ЕС в США недействительным, а стандартные контрактные положения (SCC) поставил под вопрос.

В колонке для AIN.UA команда специалистов по защите персональных данных Privacy HUB — Денис Иванов, Влад Некрутенко, Артем Кобрин и Дмитрий Корчинский — поделились разъяснениями о том, что делать бизнесу, который передает или получает данные из ЕС в США или передает данные за пределы Украины.

Что такое трансграничные передачи данных и зачем их ограничивают?

Европа известна высоким уровнем защиты приватности своих граждан, отношением европейцев к праву на приватность и жестким регулированием в сфере обработки персональных данных под названием GDPR. И если в Европейской Экономической Зоне (ЕЭЗ) все более или менее понятно с регулированием и гарантиями реализации прав, то в иностранных юрисдикциях уровень защиты персональных данных может быть очень низким или отсутствовать вообще. Поэтому для контроля и гарантий защиты права европейцев на приватность за границей при передаче их данных за ЕЭЗ были созданы три механизма: 

• передача на основании решения об адекватности, когда определенную страну признают такой, которая имеет адекватный уровень защиты персональных данных и туда можно пересылать персональные данные без дополнительных ограничений;
• когда нет решения об адекватности страны, то экспортер и импортер данных могут использовать надлежащие гарантии, в том числе подписать стандартные контрактные положения (SCCs);
• или потребуется использовать отступления, предусмотренные ст. 49 GDPR, например, получить согласие пользователя на передачу данных в США.

Классический пример международных передач данных в США — это использование услуг облачных провайдеров из США, как AWS или Microsoft Azure. Кроме этого, под международные передачи данных подпадает любое использование облачных услуг CRM, email-рассылок или систем учета задач (task managers), когда компания зарегистрирована и находится на территории США.

Ситуация в США с уровнем защиты персональных данных

После разоблачения Сноуденом активностей разведывательных агентств США по тайному сбору данных из Евросоюза, в 2016 году Европейская Комиссия усилила требования к передаче данных в США путем утверждения сертификационной схемы Privacy Shield для компаний, которые получают данные из Европы в США. 

Недействительность Щита приватности (Privacy Shield)

В то же время, по мнению многих правозащитных организаций, механизма Privacy Shield не хватает для того, чтобы гарантировать защиту персональных данных европейцев в США. Так, одними из активных борцов за приватность европейцев выступают Макс Шремс и его общественная организация NOYB (расшифровывается как none of your business или «не ваше дело»), которые и являются виновниками пересмотра механизма Privacy Shield в Европейском суде Европейского союза. 16 июля 2020 года Европейский суд Европейского союза определил, что решение об адекватности Европейской комиссии для Privacy Shield является недействительным по двум основным причинам.

Во-первых, Суд установил, что программы слежки и наблюдения в США являются чрезмерными и не соответствуют требованиям ст. 52 Хартии Европейского союза по правам человека:

«Всякое ограничение на осуществление прав и свобод … должно быть предусмотрено законом и должно уважать сущность названых прав и свобод.

При соблюдении принципа пропорциональности ограничения могут налагаться лишь тогда, когда они являются необходимыми и действительно служат общим интересам, признанным Союзом, или потребности в защите прав и свобод других лиц».

Во-вторых, Суд установил, что субъекты данных ЕС не имеют эффективного средства правовой защиты в США, как того требует ст. 47 Хартии:

«Каждое лицо, чьи субъективные права и свободы, гарантированные правом Союза, были нарушены, управомочено на эффективное обжалование в суд при соблюдении условий, предусмотренных настоящей статьей. Каждое лицо имеет право на справедливое, публичное рассмотрение его дела в разумный срок независимым и беспристрастным судом, который предварительно учрежден законом».

Суд отметил, что омбудсмен по механизму Privacy Shield (должность, предназначенная для облегчения обработки запросов от граждан ЕС в США) не имеет гарантий независимости и влияния принимать решения, которые являются обязательными для служб разведки, слежки и наблюдения в США.

Стандартные контрактные положения (SCCs) работают дальше, но под большим «НО»…

Суд подтвердил действительность SCCs, но заявил, что компании должны в каждом конкретном случае проверять, обеспечивает ли законодательство страны-получателя адекватную защиту для персональных данных в соответствии с законодательством ЕС, передаваемых в рамках SCCs. Напомним, что Standard Contractual Clauses — это контрактные положения, разработанные Европейским Союзом для легализации передачи данных в страны без достаточной защиты данных. Такие положения должны утверждаться организацией для передачи именно в таком виде, как их приняла Европейская Комиссия. 

В связи с этим возникла неоднозначная ситуация из-за низкой оценки защиты данных в США при использовании SCCs. С одной стороны, если использовать дополнительные механизмы защиты данных (например, шифрование), то, возможно, можно использовать SCCs, но с другой — этого может быть недостаточно, и в каждом отдельном случае нужно пересмотреть, насколько защищены данные в США. 

Что делать тем, кто использует Privacy Shield или SCCs?

Теперь для специалистов в области приватности добавилось работы. Необходимо переоценить все передачи данных в США и пересмотреть SCCs в контексте принятого решения Суда. Пока Европейская Комиссия не разработает новых договорных положений для передачи, компаниям придется оценивать каждый случай хранения и передачи данных в США по отдельности, что создает целый ряд проблем для компаний, а компании, которые использовали Privacy Shield, должны принять альтернативное решение:

• использовать SCCs (не просто подписать, а оценить, насколько гарантируются механизмы защиты данных и следить за рекомендациями и решениями их национального органа по защите данных)
• получить утверждение обязательных корпоративных правил, что не так-то и просто,
• использовать отступления от правил, предусмотренные ст. 49 GDPR;
• либо радикальное решение — сменить юрисдикцию для смены пункта назначения передачи данных.

Что говорят регуляторы в сфере защиты персональных данных?

Берлинский регулятор указал, что SCCs недостаточно для передачи данных в США. Дело в том, что даже при подписании Стандартных договорных положений, компаний не могут защитить данные от требований разведывательных агентств США. Рабочих вариантов для хранения данных в США остается не так много. Их позицию поддерживает и NOYB, которые, заявили, что Facebook и подобные компании не имеют право использовать SCCs как альтернативу для Privacy Shield при передачах данных в США. 

Более того, Берлинский регулятор пошел настолько далеко, что рекомендует полностью ограничить передачу данных в США. А вот в Британии, которая больше не является частью ЕС, абсолютно противоположный подход. Information Commissioner’s Office, местный регулятор, позволил продолжать использовать Privacy Shield компаниям, которые уже его используют, до появления новых механизмов. Остальные европейские регуляторы по защите персональных данных не делали столь громких заявлений, как их берлинские коллеги, но данное решение всё-таки приветствуют, однако, призывают скорее разрабатывать новые механизмы и улучшать действующие SCC. 

Из заявлений регуляторов становиться понятно, что вопрос продолжения и остановки передачи данных в США из Европы зависит от характера бизнеса, который данные получает и от страны из которой данные поступают. 

Что это значит для украинского бизнеса?

Украина не входит в список стран, которые обеспечивают адекватный уровень защиты персональных данных. Это означает, что глобально на украинский бизнес это решение никак не повлияет. Для передачи данных из ЕС в Украину, по-прежнему нужно использовать SCCs или другие защитные механизмы. Однако, если ваша модель была построена на передаче данных из ЕС в США, а потом в Украину, то всё-таки придется заморочиться и пересмотреть не только документальную часть передачи, но и техническую. Это нужно для того, чтобы убедиться в легальности передачи и сохранности данных во время их трансграничной передачи. 

К слову, украинскому законодательству тоже не чужд механизм ограничения трансграничных передач данных. Многие компании даже не имеют представления, что они должны соблюдать правила для трансграничных передач данных с Украины. Этот вопрос регулируются ст. 28 Закона Украины “Про защиту персональных данных”. 

Суммируя вышесказанное — основным вызовом, брошенным Европейским Судом компаниям по всему миру, в т.ч. и украинским, является переоценка того, стоит ли передавать данные европейцев в США для хранения или обработки в SaaS-системах. Если да, то каким образом это сделать легально? До тех пор, пока Европейский Союз не представит новых механизмов для передачи, вопрос остается открытым.

Авторы: Денис Иванов, Влад Некрутенко, Артем Кобрин и Дмитрий Корчинский, Privacy Hub.