Data Privacy Framework
Data Privacy Framework — это правовой механизм, регулирующий трансграничную передачу персональных данных из Европейской экономической зоны (ЕЭЗ) в Соединённые Штаты Америки, разработанный для замены предыдущего соглашения Privacy Shield. Он был утверждён Европейской комиссией 10 июля 2023 года после многолетних переговоров и юридических споров, вызванных решением Суда Европейского союза по делу Schrems II, которое признало недействительным предыдущий механизм.
История создания
Предшествующие соглашения
Первым крупным соглашением, регулирующим передачу данных между ЕС и США, стал Safe Harbor (1998–2000), который позволял американским компаниям самостоятельно сертифицировать соответствие стандартам защиты данных. В 2015 году он был признан недействительным решением Суда ЕС по делу Maximillian Schrems v. Data Protection Commissioner (дело C-362/14) из-за недостаточной защиты европейских граждан от массовой слежки со стороны американских спецслужб.
На смену Safe Harbor пришёл Privacy Shield (2016–2020), который ввёл более строгие обязательства для компаний и механизмы надзора. Однако 16 июля 2020 года Суд ЕС в решении по делу Schrems II (дело C-311/18) признал его недействительным по тем же основаниям — несоответствие американского законодательства (в частности, закона FISA 702) требованиям GDPR в части соразмерности и необходимости вмешательства в частную жизнь.
Переговоры и принятие
После решения Schrems II Европейская комиссия и правительство США начали переговоры о новом механизме. В марте 2022 года президент США Джо Байден подписал Указ № 14086 «Об усилении гарантий для разведывательной деятельности Соединённых Штатов», который вводил новые ограничения на сбор разведывательной информации и создавал механизм судебной защиты для граждан стран, не входящих в США. На основе этого указа Европейская комиссия 13 декабря 2022 года опубликовала проект решения об адекватности, а 10 июля 2023 года окончательно утвердила Data Privacy Framework.
Основные принципы и механизмы
Требования к компаниям
Data Privacy Framework основан на добровольной сертификации американских компаний, которые обязуются соблюдать следующие принципы:
- Уведомление — информирование субъектов данных о целях сбора и обработки.
- Выбор — предоставление возможности отказаться от передачи данных третьим лицам или использования в иных целях.
- Ответственность за последующую передачу — контроль за обработкой данных третьими сторонами.
- Безопасность — принятие разумных мер для защиты данных от потери, неправомерного доступа и раскрытия.
- Целостность данных — обеспечение точности и актуальности данных.
- Доступ — предоставление субъектам данных возможности ознакомиться со своими данными и исправить неточности.
- Средства правовой защиты — обеспечение механизмов для рассмотрения жалоб.
Компании, участвующие в Data Privacy Framework, должны публично заявлять о своей сертификации, ежегодно подтверждать её и подчиняться надзору Федеральной торговой комиссии США (FTC), которая может налагать санкции за нарушения.
Механизмы защиты прав граждан ЕС
Ключевым нововведением Data Privacy Framework стало создание двухуровневой системы судебной защиты для граждан ЕС, чьи данные могут быть запрошены американскими разведывательными органами:
- Механизм рассмотрения жалоб — граждане ЕС могут подавать жалобы в национальные органы по защите данных, которые затем передают их в Управление директора национальной разведки США (ODNI). ODNI обязано рассмотреть жалобу и принять решение.
- Суд по контролю за разведывательной деятельностью (Data Protection Review Court, DPRC) — новый независимый судебный орган, созданный указом президента США. Он рассматривает апелляции на решения ODNI и может предписывать исправительные меры, включая удаление незаконно собранных данных.
Ограничения для разведывательных органов
Указ № 14086 ввёл принципы соразмерности и необходимости для американских разведывательных служб при сборе данных граждан стран, не входящих в США. Сбор данных должен быть:
- направлен на конкретные цели национальной безопасности;
- ограничен по объёму и времени;
- осуществляться с минимальным вторжением в частную жизнь.
Кроме того, создан пост Гражданского наблюдателя за разведкой (Civil Liberties Protection Officer) в ODNI, который контролирует соблюдение этих принципов.
Критика и юридические вызовы
Позиция защитников приватности
Data Privacy Framework с момента анонса подвергся критике со стороны правозащитных организаций, в частности австрийского активиста Максимилиана Шремса, который инициировал оба предыдущих дела в Суде ЕС. Основные претензии:
- Недостаточные гарантии — критики утверждают, что указ президента США может быть отменён следующим президентом, а закон FISA 702 остаётся в силе, что позволяет массовый сбор данных без индивидуального подозрения.
- Ограниченность судебной защиты — DPRC не является судом в традиционном понимании: его решения не публикуются, стороны не имеют доступа к материалам дела, а сам суд действует в закрытом режиме.
- Отсутствие независимости — судьи DPRC назначаются генеральным прокурором США и не обладают гарантией несменяемости.
Текущие судебные разбирательства
В сентябре 2023 года Максимилиан Шремс объявил о намерении оспорить Data Privacy Framework в Суде ЕС (дело получило неофициальное название Schrems III). По состоянию на начало 2025 года иск находится на стадии рассмотрения в Высоком суде Ирландии, который должен направить преюдициальный запрос в Суд ЕС. Ожидается, что окончательное решение может быть принято не ранее 2026–2027 годов.
Позиция Европейского комитета по защите данных (EDPB)
EDPB в своём заключении от 28 февраля 2023 года отметил ряд недостатков Data Privacy Framework, в том числе:
- неопределённость в определении «соразмерности» сбора данных;
- отсутствие гарантий, что DPRC будет действительно независимым;
- риск того, что компании могут быть вынуждены передавать данные американским властям вопреки обязательствам по GDPR.
Тем не менее, EDPB не выступил категорически против, а рекомендовал Европейской комиссии усилить мониторинг за исполнением соглашения.
Применение и значение
Для бизнеса
Data Privacy Framework является одним из трёх основных механизмов для легальной передачи данных из ЕС в США наряду со стандартными договорными оговорками (SCC) и исключениями для конкретных ситуаций. Для многих американских компаний, особенно технологических гигантов (Google, Meta, Amazon), сертификация по Data Privacy Framework стала критически важной, поскольку без неё они рисковали нарушить GDPR. По данным на конец 2024 года, сертификацию прошли более 5 000 организаций.
Для российских компаний
Для российских организаций, работающих с данными граждан ЕС, Data Privacy Framework напрямую не применим, поскольку Россия не входит в ЕЭЗ. Однако если российская компания передаёт данные в США через американского партнёра, сертифицированного по Data Privacy Framework, это может считаться законным основанием для трансграничной передачи при условии соблюдения требований российского законодательства о персональных данных (ФЗ-152). При этом российские компании обязаны уведомлять Роскомнадзор о трансграничной передаче данных, а в случае если страна назначения не включена в перечень государств, обеспечивающих адекватную защиту, — получать отдельное разрешение.
Геополитический контекст
Data Privacy Framework рассматривается как компромисс между европейскими стандартами защиты данных и американскими интересами национальной безопасности. Его принятие позволило избежать коллапса трансграничного потока данных, который мог бы нанести ущерб экономике обеих сторон (объём цифровой торговли между ЕС и США оценивается в более чем 7 трлн долларов в год). В то же время соглашение остаётся уязвимым для юридических вызовов и может быть отменено, если Суд ЕС признает его недействительным.
Источники
- Решение Европейской комиссии 2023/1795 от 10 июля 2023 года об адекватности защиты персональных данных в рамках Data Privacy Framework.
- Указ президента США № 14086 от 7 октября 2022 года «Об усилении гарантий для разведывательной деятельности Соединённых Штатов».
- Заключение Европейского комитета по защите данных № 5/2023 от 28 февраля 2023 года.
- Решение Суда Европейского союза по делу C-311/18 (Schrems II) от 16 июля 2020 года.
- Решение Суда Европейского союза по делу C-362/14 (Schrems I) от 6 октября 2015 года.
- Федеральный закон РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года (с изменениями).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →