Deloitte Ефектът от падането на механизма за защита на личния живот между ЕС и САЩ - кой е засегнат и какви алтернативи имат

Становище от Iulia Antonie, Deloitte Central Europe Лидер на поверителността, и Силвия Аксинеску, старши Управляващ сътрудник в Reff & Associations|Deloitte Legal

механизма

Решението на Съда на Европейския съюз (СЕС), който обяви споразумението, позволяващо трансфер на лични данни между Европейския съюз (ЕС) и Съединените американски щати (САЩ), наречено Щит за поверителност между ЕС и САЩ, както сред специалистите по въпросите на защитата на личните данни, но особено сред мултинационалните компании. Това са предимно компании, които прехвърлят данни на компании майки, или такива, които използват услугите на американски компании, като доставчици на облачни услуги.

Преди да се направи оценка на въздействието, което това събитие има върху дейността на засегнатите компании, трябва да се посочат няколко аспекта.

Какъв беше механизмът за защита на поверителността между ЕС и САЩ?

Програмата позволява на американски компании да се регистрират на уебсайта на Министерството на търговията на САЩ и да самоудостоверяват спазването на Щита за поверителност и да отговарят на подходящите изисквания за защита на личните данни. Придържането към тази програма улеснява прехвърлянето на данни на гражданите на ЕС към американски компании и дава увереност на партньорите и органите на ЕС, отговорни за защитата на личните данни, че данните на европейците се обработват в съответствие с изискванията на GDPR.

Алтернативи на програмата за защита на личния живот между ЕС и САЩ

Важно е да се отбележи, че не всички прехвърляния на лични данни в САЩ са били извършени в рамките на програмата EU-US Privacy Shield. Има компании, които или не са се придържали към тази рамка, или са сметнали другите варианти, предлагани от GDPR, за по-подходящи.

  • Една от алтернативите на механизма, предлаган от Щит за поверителност се състои в употреба Обвързващи корпоративни правила, кодекс от правила, разработен от компанията и утвърден от органите, отговорни за защитата на личните данни. Съгласно тези правила личните данни могат да се прехвърлят в страни извън ЕС. Основният недостатък на използването на задължителни корпоративни правила е, че те се прилагат само за преводи, извършвани в рамките на една и съща група компании, и не могат да бъдат използвани в отношенията клиент-доставчик.
  • Използвайте стандартни договорни условия, приети от Европейската комисия това е може би най-широко използваният вариант за демонстриране на адекватността на мерките за защита на личните данни, състоящ се от набор от разпоредби, който завършва като отделно приложение в търговските отношения с американски компании. Те са достъпни за компаниите на уебсайта на Европейската комисия. Решението, взето в четвъртък, 16 юли, поддържа тази възможност за трансфер на данни към САЩ.

В допълнение към двете алтернативи, описани по-горе, GDPR предоставя и други подходящи начини за постигане на трансфери на данни, които са по-трудни за изпълнение в момента, но чиято експлоатация се очаква да се увеличи в близко бъдеще.

Те включват:

  • използването на договорни условия между страните, които не изискват одобрението на Комисията, но трябва да бъдат разрешени от компетентния орган за защита на данните;
  • използването на стандартни клаузи, издадени от компетентния надзорен орган и одобрени от Европейската комисия;
  • използване на кодекс за поведение, одобрен от компетентния надзорен орган;
  • сертифициране на американската компания в съответствие с одобрените механизми, съществуващи на ниво държава-членка на ЕС.

Въздействието на решението на СЕС върху компаниите

Единствените компании, засегнати от решението на Съда на Европейските общности, са тези, които са прехвърлили лични данни съгласно Щита за поверителност между ЕС и САЩ. В такива случаи, след решението на съда, е необходимо да се направи оценка на извършените трансфери и да се приложи спешно една от споменатите алтернативи.

Решението на СЕС вероятно е било от особено значение за потребителите на облачни услуги. Що се отнася до доставчиците в тази категория, от 2018 г. (годината на влизане в сила на GDPR) те са предприели мерки за справяне с проблема с прехвърлянето на лични данни. Наред с други неща, договорите, сключени с доставчиците на облачни услуги, включват гаранция относно съхраняването на данните на гражданите на територията на ЕС.

В заключение, въпреки че решението на Съда на ЕС има въздействие в областта на трансфера на лични данни, засегнатите компании разполагат с жизнеспособни алтернативи да продължат своя бизнес в областта на сигурността на данните и в съответствие с приложимите разпоредби.