Европейская комиссия приняла свое решение об адекватности для Системы конфиденциальности данных ЕС-США. В решении делается вывод о том, что Соединенные Штаты обеспечивают надлежащий уровень защиты – сопоставимый с Европейским союзом – персональных данных, передаваемых из ЕС американским компаниям в соответствии с новой структурой. На основе нового решения об адекватности персональные данные могут безопасно передаваться из ЕС в американские компании, участвующие в Рамочной программе, без необходимости принятия дополнительных мер по защите данных.
Система конфиденциальности данных ЕС-США вводит новые обязательные гарантии для решения всех проблем, поднятых Европейским судом, включая ограничение доступа разведывательных служб США к данным ЕС тем, что необходимо и соразмерно, и создание Суда по пересмотру защиты данных (DPRC), к которому будут иметь доступ лица из ЕС. Новая структура вносит значительные улучшения по сравнению с механизмом, который существовал в рамках Privacy Shield. Например, если DPRC обнаружит, что данные были собраны с нарушением новых мер предосторожности, он сможет распорядиться об удалении данных. Новые гарантии в области доступа правительства к данным дополнят обязательства, на которые должны будут подписаться американские компании, импортирующие данные из ЕС.
Президент Урсула фон дер Ляйен сказала: “Новая система конфиденциальности данных ЕС-США обеспечит безопасные потоки данных для европейцев и принесет правовую определенность компаниям по обе стороны Атлантики. Следуя принципиальному соглашению, которого я достиг с президентом Байденом в прошлом году, США выполнили беспрецедентные обязательства по созданию новой структуры. Сегодня мы делаем важный шаг, чтобы обеспечить доверие граждан к тому, что их данные в безопасности, углубить наши экономические связи между ЕС и США и в то же время подтвердить наши общие ценности. Это показывает, что, работая вместе, мы можем решать самые сложные проблемы ”.
Американские компании смогут присоединиться к Системе конфиденциальности данных между ЕС и США, взяв на себя обязательство соблюдать подробный набор обязательств по обеспечению конфиденциальности, например, требование удалять персональные данные, когда в них больше нет необходимости для цели, для которой они были собраны, и обеспечивать непрерывность защиты при передаче персональных данных третьим лицам.
Граждане ЕС получат несколько возможностей для возмещения ущерба в случае, если их данные неправильно обрабатываются американскими компаниями. Это включает бесплатные независимые механизмы разрешения споров и арбитражную комиссию.
Кроме того, правовая база США предусматривает ряд гарантий в отношении доступа к данным, передаваемым в рамках этой системы государственными органами США, в частности, для обеспечения соблюдения уголовного законодательства и национальной безопасности. Доступ к данным ограничен тем, что необходимо и соразмерно для защиты национальной безопасности.
Граждане ЕС будут иметь доступ к независимому и беспристрастному механизму возмещения ущерба в отношении сбора и использования их данных спецслужбами США, который включает недавно созданный суд по пересмотру защиты данных (DPRC). Суд будет независимо расследовать и разрешать жалобы, в том числе путем принятия обязательных мер по исправлению положения.
Меры предосторожности, введенные США, также будут способствовать трансатлантическим потокам данных в более общем плане, поскольку они также применяются, когда данные передаются с использованием других инструментов, таких как стандартные договорные положения и обязательные корпоративные правила.
Следующие шаги
Функционирование Системы конфиденциальности данных ЕС-США будет подвергаться периодическим проверкам, которые будут проводиться Европейской комиссией совместно с представителями европейских органов по защите данных и компетентных органов США.
Первый пересмотр состоится в течение года после вступления в силу решения об адекватности, чтобы убедиться, что все соответствующие элементы были полностью внедрены в правовую базу США и эффективно функционируют на практике.
Справочная информация
Статья 45 (3) Общего регламента по защите данных (GDPR) предоставляет Комиссии полномочия принимать решения посредством имплементационного акта о том, что страна, не входящая в ЕС, обеспечивает ‘адекватный уровень защиты” – уровень защиты персональных данных, который по существу эквивалентен уровню защиты в ЕС. Результатом принятия решений об адекватности является то, что персональные данные могут свободно перемещаться из ЕС (а также Норвегии, Лихтенштейна и Исландии) в третью страну без дальнейших препятствий.
После признания Судом ЕС недействительным предыдущего решения об адекватности в отношении Защиты конфиденциальности ЕС-США Европейская комиссия и правительство США вступили в обсуждение новой структуры, которая рассматривала вопросы, поднятые Судом.
В марте 2022 года президент фон дер Ляйен и президент Байден объявили, что достигли принципиального соглашения о новой структуре трансатлантических потоков данных после переговоров между комиссаром Рейндерсом и госсекретарем США Раймондо. В октябре 2022 года президент Байден подписал исполнительный указ ‘Об усилении мер предосторожности для деятельности Соединенных Штатов в области радиотехнической разведки”, который был дополнен правилами, изданными генеральным прокурором США Гарландом. Вместе эти два документа внедрили в законодательство США обязательства США, достигнутые в рамках соглашения в принципе, и дополнили обязательства американских компаний в рамках Соглашения о конфиденциальности данных между ЕС и США.
Важным элементом правовой базы США, закрепляющей эти гарантии, является Исполнительный приказ США “Об усилении гарантий для деятельности Соединенных Штатов в области радиотехнической разведки”, в котором рассматриваются озабоченности, поднятые Судом Европейского союза в его решении Schrems II от июля 2020 года.
Система управляется и контролируется Министерством торговли США. Федеральная торговая комиссия США будет обеспечивать соблюдение требований американских компаний.
Для получения дополнительной информации
Решение об адекватности рамок конфиденциальности данных ЕС-США
Вопросы и ответы: Система конфиденциальности данных ЕС–США
Информационный бюллетень – Трансатлантическая система защиты данных
Передача данных ЕС-США (europa.eu)
Международный аспект защиты данных (europa.eu)
Решения об адекватности (europa.eu)
Совместное заявление о трансатлантической системе конфиденциальности данных (europa.eu)