Новият механизъм за пренос на лични данни между ЕС и САЩ
На 10 юли 2023 Европейската комисия прие дългоочакваното решение за адекватност съгласно механизма за пренос на лични данни между ЕС и САЩ (“Механизма”), след като прецени, че САЩ осигурява адекватно ниво на защита на данните, сравнимо с това на ЕС. Механизмът създава легална основа за свободен пренос на лични данни от ЕС към американски компании сертифицирани по Механизма. Съгласно чл. 45 от Общия регламент за защита на личните данни (“GDPR”), пренос на данни в обхвата на такова решение за адекватност са позволени без необходимост от допълнителни правни гаранции (напр. Стандартни договорни клаузи на Европейската комисия, задължителни фирмени правила, кодекси за поведение), осигуряващи защита на личните данни съгласно GDPR.
Решението за адекватност е резултат от сътрудничеството между правителството на САЩ и Европейската комисия, последвало решенията на Съда на ЕС (“СЕС”) Шремс I (Schrems I) и Шремс II (Schrems II), които отмениха предходните решения за адекватност относно механизмите Рамка за лична неприкосновеност (Save Harbor) и Щита за лични данни (Privacy Shield). В частност, в решението Шремс II СЕС изрази загриженост относно обхвата и пропорционалността на действията по наблюдение на лични данни, осъществявани от американското правителство, както и за нивото на защита, с които разполагат гражданите на ЕС да оспорват тези действия.
Реформи в американското право
Новото решение за адекватност относно Механизма стана възможно след като, в отговор на горепосочената загриженост на СЕС, през октомври 2022 г. президентът Байдън издаде заповед за увеличаване на гаранциите относно разузнавателните дейности на САЩ (“Заповедта”), както и свързани със Заповедта регулации. Някои от най-съществените мерки, въведени с тези актове, включват: (a) създаването на нов механизъм за обжалване (вижте следващия параграф); (б) ограничаването на достъпа на американските власти до лични данни само до това, което е необходимо и пропорционално за защита на националната сигурност; и (в) засилен надзор върху действията на американските разузнавателни служби с цел спазване на ограниченията върху извършваното от тези служби наблюдение и на възможността за събиране на големи обеми от данни.
Заповедта предвижда създаването на независим и безпристрастен механизъм за обжалване, по който да са разглеждат и взимат решения по жалби на субекти на лични данни от ЕС относно събирането на техни данни за целите на националната сигурност на САЩ. Жалбите ще се подават в държавата, където живее лицето и след това ще се изпращат в САЩ от Европейския борд за защита на личните данни. В САЩ жалбите първо ще се разследват от служител по защита на гражданските свободи, след което ще е възможно обжалване пред новосъздаден специализиран съд (Data Protection Review Court).
Важно е, че гаранциите, създадени със Заповедта и придружаващите я регулации, се прилагат за всички трансфери по GDPR към вносители на данни от САЩ, т.е. гаранциите се прилагат и при трансфери, извършване въз основа на стандартни договорни клаузи и задължителни фирмени правила.
Принципи
Механизмът включва разпоредби, подобни на тези в неговите предшественици, като принципа относно ограничаване на целите при обработка на лични данни, изисквания относно съхранение на данните, свеждане обработването на лични данни до минимум, коректност на данните, задължения за поддържане сигурността на данните и споделянето им с трети страни (“Принципи”). Механизмът предоставя на гражданите на ЕС, чийто лични данни са трансферирани към американски компании, участващи в Механизма, права за достъп до техните данни и право да искат коригиране и заличаване на некоректни и незаконно обработвани данни.
Кой може да участва в Механизма
Американски организации, които имат право да участват в Механизма са само тези, които са обект на надзорните и санкционни правомощия на Департамента по търговия на САЩ (Department of Commerce) и Федералната комисия по търговия на САЩ (Federal Trade Commission). С други думи, само организации, извършващи търговски дейности, могат да се сертифицират по Механизма, но без банки, авиокомпании, застрахователни дружества и в определени случаи – телекомуникационни оператори.
Присъединяване към Механизма
За американските организации участието в Механизма е доброволно. Компании, които са поддържали членството си в Щита за лични данни, автоматично и незабавно стават част от Механизма и следва да спазват неговите изисквания, включително да си актуализират политиките за лични данни до 10 октомври 2023 г. Тези компании не се налага да подават ново заявление за сертифициране. Компания, която е сертифицирана по Щита за лични данни, но която не желае да участва в Механизма, следва да се оттегли следвайки формална процедура.
Компании, които не са членували в Щита за лични данни, могат да се присъединят към Механизма като приемат подходяща политика за защита на лични данни, определят независим механизъм относно обжалване на техните действия и се сертифицират посредством интернет страницата на Департамента по търговия https://www.dataprivacyframework.gov/s/. Ангажиментът за спазване на Принципите следва да се отрази в уведомленията за поверителност на участващите в Механизма вносители на данни в САЩ.
Американските организации трябва годишно да актуализират сертифицирането си, за да могат да продължат да разчитат на Механизма.
Списък на сертифицираните организации ще се съдържа на горепосочената интернет страница на Департамента по търговия.
Администриране и принудително изпълнение
Механизмът ще бъде администриран от Департамента по търговия на САЩ, който ще отговаря за сертифицирането и ще следи дали участващите в Механизма организации продължават да отговарят на изискванията за сертифициране. За принудителното изпълнение на задълженията, следващи от Механизма, ще отговаря Федералната комисия по търговия на САЩ.
Оценка
Организациите в ЕС, които ще разчитат на Механизма като правна основа за предаване на лични данни към вносители на данни в САЩ, няма да се налага да изготвят оценка на въздействието на трансфера на данни, съдържаща анализ на нивото на защита на личните данни в САЩ (Transfer Impact Assessment) (“Оценка”), тъй като решението за адекватност относно Механизма отменя тази необходимост.
Изводи
Въпреки че Механизмът предлага определени предимства спрямо Стандартните договорни клаузи като по-лесен трансфер на данни (например избягвайки необходимостта за попълване и подписване на Стандартните договорни клаузи със всеки отделен вносител на данни в САЩ), Механизмът също така налага сериозни задължения на участващите американски компании. Следователно, последните следва да преценят дали да се присъединят към Механизма или не. Преносът на данни към американски организации, които не могат или не искат да се сертифицират по Механизма, ще продължава да се основава на подходящи гаранции като Стандартните договорни клаузи, за които е необходима Оценка. Все пак съществуващите Оценки (например такива, изготвени съгласно Клауза 14 от Стандартните договорни клаузи) следва да бъдат актуализирани с оглед посочените по-горе промени в американското законодателство.
Износителите на лични данни от ЕС, които желаят да трансферират лични данни на основата на решението за адекватност касаещо Механизма, ще следва предварително да проверят на интернет страницата на Департамента по търговия дали получателят на данните е сертифициран по Механизма и дали съответните данни са в обхвата на сертифицирането. Доколкото износителите на данни разчитат на Механизма като правна основа за трансфер на данни към САЩ, те следва да отразят това в тяхното уведомление за поверителност по чл. 13 и 14 от GDPR.
Очаквано съдебно оспорване на Механизма
Очаква се съдебно оспорване на Механизма, подобно на това спрямо Щита за лични данни, така че бъдещето на Механизма остава несигурно. Все пак, както Европейската комисия, така и американското правителство вярват, че Механизмът има шансове да устои на очакваното съдебно оспорване. Във всеки случай, преобладаващото становище е, че поне в краткосрочен до средносрочен план Механизмът може да редуцира тежестта по прилагане на другите механизми за предаване на лични данни от ЕС към САЩ.