Privacy Shield
Privacy Shield (полное официальное название — EU–US Privacy Shield, рус. «Приватный щит») — это правовой механизм, регулировавший трансграничную передачу персональных данных граждан Европейского союза в Соединённые Штаты Америки. Действовал с 12 июля 2016 года по 16 июля 2020 года, когда был признан недействительным решением Суда Европейского союза (дело C-311/18, известное как «Schrems II»). Privacy Shield пришёл на смену соглашению Safe Harbor («Безопасная гавань»), также отменённому в 2015 году.
Предпосылки создания
После отмены Safe Harbor решением Суда ЕС от 6 октября 2015 года (дело C-362/14, «Schrems I») трансграничная передача данных между ЕС и США оказалась в правовом вакууме. Европейская комиссия и Министерство торговли США начали переговоры о новом механизме, который бы обеспечил уровень защиты персональных данных, эквивалентный стандартам Общего регламента по защите данных (GDPR). Переговоры завершились 2 февраля 2016 года, а 12 июля 2016 года Европейская комиссия приняла решение об адекватности защиты (adequacy decision), признав Privacy Shield соответствующим требованиям законодательства ЕС.
Основные принципы и механизм
Privacy Shield базировался на семи ключевых принципах, которым обязались следовать американские компании-участницы:
- Уведомление (Notice) — компания обязана информировать субъектов данных о целях сбора, обработки и передачи их данных, а также о правах субъектов.
- Выбор (Choice) — субъект данных должен иметь возможность отказаться от передачи своих данных третьим лицам или от использования их в целях, отличных от первоначально заявленных.
- Ответственность за последующую передачу (Accountability for Onward Transfer) — при передаче данных третьей стороне компания обязана обеспечить такой же уровень защиты.
- Безопасность (Security) — компании должны принимать разумные и адекватные меры для защиты данных от потери, неправомерного доступа, раскрытия, изменения или уничтожения.
- Целостность данных и ограничение цели (Data Integrity and Purpose Limitation) — данные должны обрабатываться только в соответствии с заявленными целями и быть точными, полными и актуальными.
- Доступ (Access) — субъекты данных имеют право на получение информации о своих данных, хранящихся у компании, и на их исправление или удаление.
- Средства правовой защиты, правоприменение и ответственность (Recourse, Enforcement and Liability) — компании обязаны предоставлять механизмы для рассмотрения жалоб и обеспечивать их выполнение.
Для участия в Privacy Shield американская компания должна была добровольно сертифицироваться в Министерстве торговли США, подтвердив соблюдение указанных принципов. Список сертифицированных компаний публиковался на официальном сайте Privacy Shield.
Механизмы надзора и правовой защиты
Privacy Shield предусматривал многоуровневую систему контроля:
- Самооценка компаний — ежегодное подтверждение соответствия принципам.
- Федеральная торговая комиссия США (FTC) — могла привлекать к ответственности компании за нарушения, в том числе за введение в заблуждение.
- Механизм разрешения споров — компании обязаны были предоставить бесплатный доступ к альтернативным способам урегулирования споров (например, через арбитраж).
- Омбудсмен — специальная должность в Государственном департаменте США для рассмотрения жалоб, связанных с доступом американских спецслужб к данным.
Критика и отмена
С самого начала Privacy Shield подвергался критике со стороны правозащитных организаций и европейских регуляторов. Основные претензии касались:
- Недостаточных гарантий против массовой слежки — американское законодательство (в частности, раздел 702 Закона о наблюдении за иностранными разведками, FISA) позволяло спецслужбам США получать доступ к данным граждан ЕС без индивидуального судебного ордера и без уведомления субъектов.
- Отсутствия независимого надзора — омбудсмен, хотя и был назначен, не обладал достаточной независимостью от исполнительной власти.
- Неэффективности механизмов правовой защиты — у граждан ЕС не было прямого доступа к судам США для защиты своих прав.
В 2018 году, после вступления в силу GDPR, требования к защите данных ужесточились, что усилило сомнения в адекватности Privacy Shield.
16 июля 2020 года Суд ЕС вынес решение по делу «Schrems II» (C-311/18), инициированному австрийским активистом Максом Шремсом. Суд признал решение Европейской комиссии об адекватности Privacy Shield недействительным. Основные аргументы:
- Американское законодательство не обеспечивает уровень защиты, «существенно эквивалентный» тому, который гарантирован GDPR и Хартией ЕС об основных правах.
- Ограничения прав граждан ЕС (в частности, на доступ к правосудию) не были соразмерны целям национальной безопасности США.
- Омбудсмен не является независимым органом, способным эффективно рассматривать жалобы.
Суд также уточнил, что стандартные договорные оговорки (SCC) — другой механизм передачи данных — остаются в силе, но их использование должно оцениваться в каждом конкретном случае, и при необходимости передача данных должна быть приостановлена.
Последствия отмены
Отмена Privacy Shield создала значительную правовую неопределённость для тысяч компаний, которые полагались на этот механизм для трансграничной передачи данных. Среди последствий:
- Ужесточение требований к SCC — компании стали обязаны проводить оценку влияния на защиту данных (Transfer Impact Assessment) и вводить дополнительные гарантии.
- Рост использования иных механизмов — таких как обязательные корпоративные правила (BCR) или согласие субъекта данных.
- Переговоры о новом соглашении — в марте 2022 года Европейская комиссия и США объявили о политическом соглашении, получившем название «Trans-Atlantic Data Privacy Framework» (TADPF). Оно было принято 10 июля 2023 года, но уже подверглось критике и оспариванию в судах.
Влияние на российскую практику
Для России, не входящей в ЕС, Privacy Shield не имел прямого действия. Однако косвенные последствия затронули и российские компании, работающие с европейскими партнёрами или использующие американские облачные сервисы. После отмены Privacy Shield российские компании, обрабатывающие данные граждан ЕС, были вынуждены пересматривать договорные механизмы и искать альтернативные способы легализации передачи данных, в том числе через локализацию серверов на территории ЕС.
Источники
- Решение Суда Европейского союза по делу C-311/18 (Schrems II) от 16 июля 2020 года.
- Решение Суда Европейского союза по делу C-362/14 (Schrems I) от 6 октября 2015 года.
- Решение Европейской комиссии 2016/1250 об адекватности защиты, предоставляемой EU–US Privacy Shield.
- Общий регламент по защите данных (GDPR) — Регламент (ЕС) 2016/679.
- Материалы Министерства торговли США по Privacy Shield (архив).
- Публикации Европейского совета по защите данных (EDPB) по вопросу трансграничной передачи данных.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →