Трансферът на лични данни в контекста на решение по дело Schrems II

02 декември 2020

Автор: Константин Балев

На 20.06.2020г. Съдът на Европейския Съюз (СЕС) постанови дългоочакваното решение по делото C-311/18 – Facebook Ireland и Schrems, известно повече като Schrems II. Пет месеца по- късно специалистите по обработка на лични данни са изправени пред преките резултати от него, Брекзит и други политически турбуленции. Решението на СЕС беше сериозен удар върху трансфера на лични данни между Европа и САЩ, като практически отмени споразумението „Privacy Shield“ между ЕС и САЩ и даде ясен сигнал, че всички останали решения за адекватност на обработването на лични данни в трети страни извън ЕС потенциално могат да бъдат атакувани.

Накратко това решение на съда е породено от валидната хипотеза в американското законодателство държавни структури на САЩ да изискват информация от компании, които са ситуирани в САЩ, като могат да изискват всички съхранявани данни на лицата, за които поискат информация. Това разбира се, включва и европейски граждани и съответните им лични данни. За пълнота на изложението ще посочим че облачните доставчици Амазон, Майкрософт, Гугъл и други са задължени да се съобразят с тези норми. Резултатът от критичния анализ на съда е, че се установи по тази причина, че споразумението не може да гарантира сигурния обмен на лични данни. От гледна точка на историческите отношения между САЩ и ЕС в тази област е резонно да се спомене, че Първото дело на Schrems (по името на Max Schrems б.а.) доведе до обезсилването на други принципи за адекватен обмен на данни известен като „US-EU Safe Harbor Principles“. Обобщеният резултат от решението, постановено през юни 2020г. обаче е, че трансфериращите данни извън ЕС следва не само да следят за спазването на механизмите в GDPR, но и да правят оценка на местното законодателство в страните на получаването им в насока дали тези данни могат да бъдат предоставяни на държавни структури.

Отзвукът от тази практика е, че Съответно тя предизвика действия на Европейския комитет по защита на личните данни (EDPB) и Европейската комисия, като двата органа целят да улеснят миграцията на данни извън ЕС в условията на поставеното решение на СЕС и практически обезсиленият „Privacy Shield“. От гледна точка на Бизнес процесите Изброените доставчици на облачни услуги просто илюстрират факта, че в контекста на времето преди фактическото начало на Техническа революция 4.0 най- големите доставчици на удобни за дигиталния бизнес услуги са извън пределите на ЕС. На 10 ноември 2020 EDPB прие „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“приложими от момента на приемането им, но с валиден механизъм за публични консултации до 30.11.2020г. Препоръките са в шест стъпки, като изключително накратко ще разгледаме всяка от тях.

1. Отбелязване (мапинг) на трансферите на данни. Износителите на данни следва да имат много ясна и точна представа за набора от данни който комуникират и партньорите, с които ги споделят за да постигнат своите цели. Резонно е да се отбележи, че това изискване може да бъде постигнато с подходящи софтуери, които превръщат мапването на данните в настояще, а не бъдещи концепции.

2. Избиране на механизъм за трансфер и проверка на мерките за намаляване на рисковете. Важно е да се вземе предвид, че САЩ не са единствената страна, за която е било взето решение за адекватност на мерките, които се предоставят за защита на данните. Досега Европейската комисия призна Андора, Аржентина, Канада (търговски организации), Фарьорските острови, Гърнзи, Израел, остров Ман, Япония, Джърси, Нова Зеландия, Швейцария и Уругвай като осигурили адекватна защита.Продължават преговорите за адекватност с Южна Корея. Тук се намесва Европейската комисия (ЕК) На 12.11.2020 г. Европейската комисия публикува проект на нови договорни клаузи за обществено обсъждане. Очаква се същите да заменят сега съществуващите стандартни клаузи. Периода на обществено обсъждане ще изтече на 10.12.2020г.

3. Преценка на адекватността на мерките на защита извън европейското икономическо пространство. EDPB препоръчва обобщава тези основни гаранции, както следва:

– Обработката трябва да се основава на ясни, точни и достъпни правила.

– Необходимостта и пропорционалността по отношение на преследваните законни цели трябва да бъдат демонстрирани.

-Трябва да съществува независим механизъм за надзор.

-Ефективните средства за защита трябва да бъдат на разположение на индивида.

Реално амалгамата от финалните стандартни договорни клаузи и изпълнението на стъпите кулминират в третата стъпка, където следва да се оценят основните механизми за съответствие, базирани на особеностите на националните законодателства. По тази причина наличието на стандартни договорни клаузи е важният елемент за канализиране на процесите.

4. Проверка на допълнителните мерки. Допълнителните мерки са договорни, технически и организационни. При определянето им следа да имаме много точна визия с какви мерки разполагаме в настоящия момент и как те могат да бъдат изменени и допълнени в контекста на намаляване на рисковете от транс гранична обработка. За важността на допълнителните мерки можем да заключим от факта, че препоръките на борда са, при липса на такива или при наличие на неадекватни мерки трансферите трябва да спрат. За илюстрация ще отбележим, че най- разпространената мярка за техническа защита е криптирането на данните.

5. В случаите, в които се идентифицира несъответствие между допълнителните мерки и приети стандартни договорни клаузи е възможно да се иска разрешение за трансфер от местния регулатор, ако се налага замяна на стандартна договорна клауза, което прави използването им като механизъм опорочено.

6. Регулярно преглеждане на процесите. Това задължение е част от принципа за отчетност, залегнал в Общия регламент за защита на данните и в контекста на трансферите означава проверка на извършваните трансфери и приемане на механизми за незабавно прекратяване в случай, че:

– вносителят е нарушил или не е в състояние да спази ангажиментите, които е поел в член 46 GDPR инструмент за трансфер;

– допълнителните мерки вече не са ефективни в тази трета държава.

По този начин Основните органи на ЕС, които имат пряко участие в регламентирането на трансфера на данни се опитват да създадат възможни условия за трансфер на данни до третите страни, като тепърва ще се формира практика базирана на трансферите на данни, а в контекста на все по-дигитализиращата се икономика това неминуемо ще доведе до големи интернационални нарушения на данни и допълнително развитие на презокеанските контакти с големите облачни доставчици, резултата от които вероятно ще доведе до надграждане на общия регламент относно защитата на данните и допълнително ще гарантира правата на европейските граждани в глобалните дигитални среди.

Препоръчително за специалистите, които се занимават със защита на данните, е да обърнат внимание на шестата стъпка и да ревизират процесите в организациите, които са свързани с разполагане на данни извън европейското икономическо пространство. За вече съществуващи процеси, стъпка шеста е важна от гледна точка на спазването на принципа на отчетност, в контекста на новите условия при трансфера на данни. Реално измененията, които тепърва ще добиват популярност, поставят съответствието на досегашните трансфери под въпрос. Допълнително е важно да се вземе под внимание информацията в стъпка 4 и тя да се анализира много внимателно, защото се цели синергия между всички допълнителни мерки. Реално договорните мерки не променят задължението на страните по трансфера да осигурят и действащи технически и организационни мерки. Анализът на мерките е важен, за да може да се докаже действително, че са оценени точно рисковете и механизмите за смекчаването им. Длъжностните лица по защита на данните не трябва да забравят, че липсата на мерки или тяхната неадекватност са абсолютни основания за прекратяване на трансфера. В рамките на настоящата статия се запознахме с първи данни за делото на Шремс срещу Епъл, с което можем да приемем, че Schrems III е на хоризонта.

***********

Константин Балев е специалист по защита на личните данни в Management financial group“ JSC, където се занимава с внедряване на политики и вземане на решения свързани със съответствието с Общ регламент за защита на данните, даване на становища по бизнес процеси, свързани с обработка на данните, създаване и поддържане на регистри за пробив и обработка на данните, координирането на международно сътрудничество между ДПО екипи на дружества в група. Бил е юрисконсулт в Кредитреформ България и старши юроисконсулт в Комисията за защита на личните данни. Има опит и в универсалното изпълнение като помощник-частен съдебен изпълнител и като част от юридическия екип по процесуално представителство на Търговска банка Д АД.



Leave a Reply

Your email address will not be published. Required fields are marked *