Открыть сервис

Privacy Shield

Privacy Shield (полное официальное название — EU–US Privacy Shield, рус. «Приватный щит») — это правовой механизм, регулировавший трансграничную передачу персональных данных граждан Европейского союза в Соединённые Штаты Америки. Действовал с 12 июля 2016 года по 16 июля 2020 года, когда был признан недействительным решением Суда Европейского союза (дело C-311/18, известное как «Schrems II»). Privacy Shield пришёл на смену соглашению Safe Harbor («Безопасная гавань»), также отменённому в 2015 году.

Предпосылки создания

После отмены Safe Harbor решением Суда ЕС от 6 октября 2015 года (дело C-362/14, «Schrems I») трансграничная передача данных между ЕС и США оказалась в правовом вакууме. Европейская комиссия и Министерство торговли США начали переговоры о новом механизме, который бы обеспечил уровень защиты персональных данных, эквивалентный стандартам Общего регламента по защите данных (GDPR). Переговоры завершились 2 февраля 2016 года, а 12 июля 2016 года Европейская комиссия приняла решение об адекватности защиты (adequacy decision), признав Privacy Shield соответствующим требованиям законодательства ЕС.

Основные принципы и механизм

Privacy Shield базировался на семи ключевых принципах, которым обязались следовать американские компании-участницы:

  1. Уведомление (Notice) — компания обязана информировать субъектов данных о целях сбора, обработки и передачи их данных, а также о правах субъектов.
  2. Выбор (Choice) — субъект данных должен иметь возможность отказаться от передачи своих данных третьим лицам или от использования их в целях, отличных от первоначально заявленных.
  3. Ответственность за последующую передачу (Accountability for Onward Transfer) — при передаче данных третьей стороне компания обязана обеспечить такой же уровень защиты.
  4. Безопасность (Security) — компании должны принимать разумные и адекватные меры для защиты данных от потери, неправомерного доступа, раскрытия, изменения или уничтожения.
  5. Целостность данных и ограничение цели (Data Integrity and Purpose Limitation) — данные должны обрабатываться только в соответствии с заявленными целями и быть точными, полными и актуальными.
  6. Доступ (Access) — субъекты данных имеют право на получение информации о своих данных, хранящихся у компании, и на их исправление или удаление.
  7. Средства правовой защиты, правоприменение и ответственность (Recourse, Enforcement and Liability) — компании обязаны предоставлять механизмы для рассмотрения жалоб и обеспечивать их выполнение.

Для участия в Privacy Shield американская компания должна была добровольно сертифицироваться в Министерстве торговли США, подтвердив соблюдение указанных принципов. Список сертифицированных компаний публиковался на официальном сайте Privacy Shield.

Механизмы надзора и правовой защиты

Privacy Shield предусматривал многоуровневую систему контроля:

  • Самооценка компаний — ежегодное подтверждение соответствия принципам.
  • Федеральная торговая комиссия США (FTC) — могла привлекать к ответственности компании за нарушения, в том числе за введение в заблуждение.
  • Механизм разрешения споров — компании обязаны были предоставить бесплатный доступ к альтернативным способам урегулирования споров (например, через арбитраж).
  • Омбудсмен — специальная должность в Государственном департаменте США для рассмотрения жалоб, связанных с доступом американских спецслужб к данным.

Критика и отмена

С самого начала Privacy Shield подвергался критике со стороны правозащитных организаций и европейских регуляторов. Основные претензии касались:

  • Недостаточных гарантий против массовой слежки — американское законодательство (в частности, раздел 702 Закона о наблюдении за иностранными разведками, FISA) позволяло спецслужбам США получать доступ к данным граждан ЕС без индивидуального судебного ордера и без уведомления субъектов.
  • Отсутствия независимого надзора — омбудсмен, хотя и был назначен, не обладал достаточной независимостью от исполнительной власти.
  • Неэффективности механизмов правовой защиты — у граждан ЕС не было прямого доступа к судам США для защиты своих прав.

В 2018 году, после вступления в силу GDPR, требования к защите данных ужесточились, что усилило сомнения в адекватности Privacy Shield.

16 июля 2020 года Суд ЕС вынес решение по делу «Schrems II» (C-311/18), инициированному австрийским активистом Максом Шремсом. Суд признал решение Европейской комиссии об адекватности Privacy Shield недействительным. Основные аргументы:

  • Американское законодательство не обеспечивает уровень защиты, «существенно эквивалентный» тому, который гарантирован GDPR и Хартией ЕС об основных правах.
  • Ограничения прав граждан ЕС (в частности, на доступ к правосудию) не были соразмерны целям национальной безопасности США.
  • Омбудсмен не является независимым органом, способным эффективно рассматривать жалобы.

Суд также уточнил, что стандартные договорные оговорки (SCC) — другой механизм передачи данных — остаются в силе, но их использование должно оцениваться в каждом конкретном случае, и при необходимости передача данных должна быть приостановлена.

Последствия отмены

Отмена Privacy Shield создала значительную правовую неопределённость для тысяч компаний, которые полагались на этот механизм для трансграничной передачи данных. Среди последствий:

  • Ужесточение требований к SCC — компании стали обязаны проводить оценку влияния на защиту данных (Transfer Impact Assessment) и вводить дополнительные гарантии.
  • Рост использования иных механизмов — таких как обязательные корпоративные правила (BCR) или согласие субъекта данных.
  • Переговоры о новом соглашении — в марте 2022 года Европейская комиссия и США объявили о политическом соглашении, получившем название «Trans-Atlantic Data Privacy Framework» (TADPF). Оно было принято 10 июля 2023 года, но уже подверглось критике и оспариванию в судах.

Влияние на российскую практику

Для России, не входящей в ЕС, Privacy Shield не имел прямого действия. Однако косвенные последствия затронули и российские компании, работающие с европейскими партнёрами или использующие американские облачные сервисы. После отмены Privacy Shield российские компании, обрабатывающие данные граждан ЕС, были вынуждены пересматривать договорные механизмы и искать альтернативные способы легализации передачи данных, в том числе через локализацию серверов на территории ЕС.

Источники

  • Решение Суда Европейского союза по делу C-311/18 (Schrems II) от 16 июля 2020 года.
  • Решение Суда Европейского союза по делу C-362/14 (Schrems I) от 6 октября 2015 года.
  • Решение Европейской комиссии 2016/1250 об адекватности защиты, предоставляемой EU–US Privacy Shield.
  • Общий регламент по защите данных (GDPR) — Регламент (ЕС) 2016/679.
  • Материалы Министерства торговли США по Privacy Shield (архив).
  • Публикации Европейского совета по защите данных (EDPB) по вопросу трансграничной передачи данных.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →