Раніше Оксана Задніпровська, партнерка Axon Partners, спеціально для AIN.UA писала колонку про правила передачі персональних даних у США. Нещодавно сталися важливі зміни — ЄС визнали США адекватною юрисдикцією для передачі даних. Коли це запрацює та що це має до ІТ бізнесу — читайте далі.
Пригадаємо, що з передачею даних з ЄС до США
Коротко що було треба. Перед тим, як передавати персональні дані з ЄС до США, треба було заморочитися з договорами та перевіркою контрагентів. Перевірка могла показати, що передавати туди дані – це погана ідея, бо там довгорука розвідка. Якщо все одно передавати – в ЄС можна було отримати штраф від регулятора за порушення у сфері захисту персональних даних.
Якщо детальніше. Виходячи з GDPR, Європейського регламенту з захисту даних, всі країни у контексті передачі даних можна поділити на:
- країни Європейського Економічного Простору (ЄЕП);
- «адекватні» країни – які забезпечують захист даних «по суті еквівалентний» ЄС-івському;
- всі інші країни.
Для перших двох груп треба лише договір про обробку даних (DPA). А от щоб передавати дані у всі інші країни, треба додаткові заходи захисту. У третьому списку і Україна, а донедавна там були США.
Дуже коротка історія «адекватності» США. З 2000 і до кінця 2015 року, на думку ЄС, США надавали «по суті еквівалентний» захист даним на основі принципів Safe Harbour. Зусиллями активіста Макса Шремса, у 2015 ці принципи були скасовані, а на їх основі майже одразу прийняли EU-U.S. Privacy Shield Framework. Минуло ще 4 роки, і в 2020 році США за рішенням Суду ЄС знову забилися у куток до «всіх інших».
Що весь час не подобається Суду ЄС. Скасування статусу адекватності повʼязували із тим, що у американської розвідки забагато повноважень та що не було механізму для резидентів ЄС захищати своє право на приватність проти втручання держави і бізнесу. Як наслідок, бізнесам довелося або не передавати дані до США взагалі, або ж підписувати нові стандартні договірні положення (SCC), а перед тим проводити оцінку впливу передачі даних на права субʼєктів. І молитися 🙂 Бо регулятори Франції, Австрії та Італії навіть прямо заборонили Google Analytics і сказали, що ніякі SCC тут не зарадять.
Тож передавати дані в США останні 3 роки – це була ще та акробатика.
Що недавно сталося зі статусом США за GDPR
10 липня 2023 року Єврокомісія затвердила рішення про адекватність США. Програма називається EU-U.S. Data Privacy Framework (DPF). Вона передбачає принципи захисту персональних даних і новий механізм оскарження резидентами ЄС втручання у їхнє приватне життя. Бізнес в США, який підпадатиме під дію програми, і його партнери з ЄС, не зобовʼязані будуть проводити оцінку впливу передачі даних на права субʼєктів та підписувати SCC.
Що передбачає EU-U.S. DPF
А. Бізнесам в США, які хочуть вважатися надійними для передачі, треба пройти сертифікацію
Не будь-яким компаніям в США автоматично можна передавати дані з ЄС. Компанія має бути у спеціальному реєстрі сертифікованих бізнесів. Щоб туди потрапити, треба публічно підтвердити свою відповідність принципам EU-U.S. DPF, дотримуватися їх та опублікувати свої політики приватності.
З формальних кроків треба заповнити заявку на сайті програми. Сертифікація платна і залежить від розміру річного доходу компанії.
Б. Сертифікований бізнес в США має відповідати принципам EU-U.S. DPF
Бізнес в США має відповідати таким принципам:
- Повідомлення: бізнес має простою та зрозумілою мовою повідомити людину, зокрема, про участь в програмі, які дані він обробляє і для чого, куди звертатися із запитами та скаргами, кому передають дані, права щодо персональних даних та до якого незалежного органу з вирішення спорів можна звертатися зі скаргами.
- Вибір: бізнес має розробити простий, зрозумілий і доступний механізм, за яким людина може висловити небажання, щоб її дані передавали або використовували з іншою ціллю, ніж для якої дані збиралися. Для чутливих даних (скажімо, про здоровʼя) має бути тільки чітка однозначна згода на поширення або використання поза первинною ціллю.
- Відповідальність за подальшу передачу: організації, які отримують дані від сертифікованої організації як контролери, мають відповідати принципам щодо повідомлення та вибору. Зі своїми агентами (підрядниками/процесорами) потрібно укладати договір, який визначає правила і мету обробки даних, до їх передачі.
- Безпека: треба вживати розумних та належних заходів, щоб захистити дані від порушень безпеки, беручи до уваги ризики та природу даних.
- Цілісність даних та обмежена мета: бізнес повинен обробляти лише ті дані, які релеватні до мети, з якою вони збиралися. Організації мають переконатися, що дані надійні для відповідного використання, точні, повні та актуальні. Дані не можна зберігати, якщо вони вже не потрібні для первинної цілі.
- Доступ: людина має мати право на доступ до даних про себе, а також право вимагати виправити чи видалити неточну інформацію або інформацію, що обробляється із порушенням принципів.
- Оскарження, правозастосування та відповідальність: бізнес має надати людині можливість безкоштовно оскаржити порушення бізнесом правил обробки даних. Для цього організація має повідомити про спосіб оскарження у себе на сайті, взаємодіяти із регуляторами в США та ЄС, виконувати рішення обовʼязкового арбітражу та незалежного органу з вирішення спорів, який сама обере.
Є і додаткові принципи, правила та винятки з принципів, з якими можна ознайомитися у рішенні Єврокомісії.
В. Що буде, якщо задекларувати відповідність принципам і порушити їх
Якщо бізнес задекларує відповідність переліченим принципам, його внесуть до списку сертифікованих. Якщо бізнес потім буде ці принципи порушувати – контролюючий орган в США (Міністерство торгівлі США, Федеральна торгова комісія США чи Міністерство транспорту США, залежно від ситуації) може вважати це нечесною практикою. Незалежний орган з вирішення спорів чи арбітраж також може повідомити регуляторів в США про невиконання їх рішення. Бізнес-порушника можуть виключити зі списку сертифікованих та зобовʼязати видалити усі дані, які передавалися за цей час на підставі EU-U.S. DPF. Список виключених організацій також буде публічним.
Що робити, якщо у нас компанія в ЄС, але ми працюємо із партнерами в США
Ви не можете заставити вашого партнера із США сертифікуватися, щоб у ваших юристів було менше роботи. Але принаймні ви можете перевірити, хто сертифікувався, а хто ні, і з сертифікованими провайдерами не проводити оцінку впливу передачі даних на права субʼєктів та спростити форму договору про обробку даних.
Сертифікованих провайдерів усе одно радимо перевіряти на надійність – наприклад, чи їх політики враховують принципи та що вони пишуть на своїх вебсайтах. З несертифікованими провайдерами потрібно продовжувати працювати так само, як і раніше – перевіряти їх та підписувати SCC.
Ви також можете оновити свої політики після перевірки контрагентів і вказати, що працюєте, наприклад, тільки із сертифікованими підрядниками.
Що робити, якщо у нас компанія в США
Якщо ви в США, то ви можете сертифікуватися, а можете не сертифікуватися. Це право, а не обовʼязок.
Як показує практика, приємно писати у своїх політиках, що ваш бізнес сертифікований. Це хороший важіль впливу на вибір клієнтом свого провайдера. Тож якщо ви вирішуєте сертифікуватися – пройдіться принципами обробки даних і подумайте, де у вас є слабкі місця. Усуньте їх. Потім поправте ваші публічні і внутрішні політики обробки персональних даних, оберіть незалежний орган з вирішення спорів. А тоді подавайтеся на сертифікацію.
Нагадую, що якщо ви у списку сертифікованих, це все ще не означає, що не потрібно підписувати договір про обробку даних (DPA). Форма DPA просто буде простіша, ніж стандартні договірні положення.
Також крім того, що ви задекларуєте відповідність принципам, треба буде на практиці їм відповідати – реалізувати права людей, реагувати на запити від регулятора, вирішувати суперечки у визначеному порядку і оновлювати власні політики, а також при передачі даних вашим підрядникам переконуватися у їх надійності. Надалі треба буде щороку поновлювати сертифікацію.
Ви можете і не сертифікуватися, а працювати, як і раніше. Собака зарита в невизначеному майбутньому EU-U.S. DPF. Вже через рік Єврокомісія буде переглядати, як працює механізм. А що ризиковіше – дуже ймовірно, що EU-U.S. DPF будуть знову оскаржувати у Суді ЄС.
Невизначене майбутнє: Макс Шремс буде оскаржувати EU-U.S. DPF
Ніхто не знає, скільки часу проіснує новий механізм передачі даних. Прайвасі активісти із організації NOYB (зокрема, згаданий вище Макс Шремс) готуються до оскарження механізму в Суд ЄС. Останній механізм передачі даних між ЄС та США проіснував 4 роки. У новому випадку, NOYB прогнозує, що мине щонайменше 2 роки, доки нова справа дійде до Суду ЄС.
Якщо Суд ЄС прислухається до позиції Шремса і компанії, то EU-U.S. DPF можуть скасувати. Доведеться повертатися до старих механізмів із SCC та оцінками. Тому вже зараз деякі бізнеси вирішують навіть не пробувати подаватися на EU-U.S. DPF або ж підстраховуватися і поруч із сертифікацією і далі підписувати SCC.
Замість EU-U.S. DPF у перспективі може прийти ще одне рішення, про яке домовляться урядовці ЄС та США. Бо бізнесу потрібно передавати дані простіше. Щоправда США, ймовірно, буде і далі боротися за право на розвідку з метою захищати «національну безпеку», а правозахисники в ЄС будуть стверджувати, що США не змінюються і до еквівалентного ЄС захисту даних їм ще далеко.
Тож збираємо ставки на те, хто розірве це замкнуте коло. А тим часом на свій смак використовуємо доступні механізми виглядати надійним провайдером в очах бізнесів з ЄС.
Автор: Оксана Задніпровська, партнерка Axon Partners