ЄС підтвердив проект рішення про заміну пакту США про передачу даних • TechCrunch

Європейська комісія оголосила про проект рішення щодо адекватності США, що відкриває шлях для заміни угоди про передачу даних між ЄС та США, яка буде ухвалена наступного року.

Проект рішення щодо адекватності для Рамкової угоди про конфіденційність даних між ЄС і США (DPF), як вона називається, можна завантажити тут.

Проект Комісії є ключовим кроком у багаторічному звивистому двосторонньому процесі, який, як сподіваються виконавчий орган ЄС та його колеги зі США, нарешті принесе юридичну визначеність трансатлантичному експорту особистих даних ЄС, які були оповиті ризиком після того, як попередні угоди були визнані недійсними верхівкою блоку. суд ще в липні 2020 року та жовтні 2015 року через юридичний розрив між європейськими правами на конфіденційність і повноваженнями США зі спостереження.

Вирішення цього розколу було — і залишається — ключовим моментом перешкоди для передачі даних між ЄС і США. Це означає, що будь-яка нова угода щодо трансатлантичної передачі даних, безсумнівно, зіткнеться з юридичними проблемами, щоб перевірити, чи справді це фундаментальне зіткнення вирішено.

Але навіть просте отримання заміни, узгодженої на папері, після того, як дві останні угоди були розірвані Судом ЄС (CJEU), було серйозним зусиллям і викликом.

Вчора комісар ЄС з питань юстиції Дідьє Рейндерс заявив на заході Politico, що він сподівається, що новий пакт буде завершено до липня наступного року — і він дав йому «7 або 8 із 10» шансів витримати судовий виклик. Тож навіть Комісія не впевнена на 100% щодо цього виживання.

У заяві, що супроводжує оголошення про проект рішення сьогодні, Рейндерс сказав:

Сьогоднішній проект рішення є результатом більш ніж одного року інтенсивних переговорів зі США, які я вів разом зі своїм колегою, міністром торгівлі США Раймондо. Протягом останніх місяців ми оцінювали законодавчу базу США, передбачену Указом щодо захисту персональних даних. Тепер ми з упевненістю переходимо до наступного етапу процедури усиновлення. Наш аналіз показав, що зараз у США діють сильні гарантії, які дозволяють безпечну передачу персональних даних між двома сторонами Атлантики. Майбутня Рамкова програма допоможе захистити конфіденційність громадян, одночасно забезпечуючи правову визначеність для бізнесу. Тепер ми очікуємо на відгук від Європейської ради із захисту даних, експертів держав-членів і Європейського парламенту.

В іншій підтверджувальній заяві Вера Йоурова, віце-президент Комісії з цінностей і прозорості, додала:

Наші переговори зі США завершилися пропозицією Рамкової програми, яка покращить безпеку персональних даних європейців, які передаються до США. Це ґрунтується на нашій тісній співпраці та прогресі, якого ми досягли протягом багатьох років. Майбутня Рамкова угода також корисна для бізнесу та зміцнить трансатлантичне співробітництво. Як демократичні країни, ми повинні відстоювати фундаментальні права, зокрема захист даних. Це необхідність, а не розкіш у все більш оцифрованій і орієнтованій на дані економіці.

Уважно спостерігатимуть за розвитком подій низка технічних гігантів, зокрема Meta, яка ризикує отримати наказ про призупинення передачі даних між ЄС і США після тривалої скарги, яка все ще розглядається через Загальний регламент захисту даних ЄС (GDPR). процедури примусового виконання (тому це гонка з часом, щоб побачити, що прибуде першим); Google, чий аналітичний продукт отримав попередження від DPA з усього блоку щодо незаконної передачі персональних даних; і Microsoft, чий хмарний пакет продуктивності 365 перебуває на розгляді GDPR німецькими DPA, що ще більше ускладнюється проблемою передачі даних, щоб назвати три гучних приклади. Але питання передачі, звичайно, торкається тисяч компаній, які покладаються на експорт особистих даних з ЄС до США і перебувають у юридичному безвиході після припинення Privacy Shield.

Переговори між ЄС і США щодо заміни останньої недіючої угоди Privacy Shield тривали до березня цього року, щоб досягти політичної угоди, і до жовтня, перш ніж президент США Джо Байден підписав виконавчий наказ (EO) про реалізацію заміни угоди про передачу даних.

Підписання EO повернуло естафету до Комісії — і тепер вона підготувала проект угоди про достатність, як блок називає такі угоди, на основі тексту, підписаного адміністрацією США (і супровідних постанов, виданих генеральним прокурором США Мерріком Гарлендом ), яка імплементувала в законодавство США принципову угоду, підписану ЄС і США в березні.

Наступним етапом процесу є розгляд проекту рішення іншими інституціями ЄС, зокрема Європейською радою із захисту даних (EDPB), державами-членами ЄС та членами Європейського парламенту. Однак остаточне рішення щодо прийняття відповідності залежить лише від Комісії — тому сьогоднішній проект рішення знаменує собою значний крок на шляху до укладення нової угоди.

«Американські компанії зможуть приєднатися до рамок конфіденційності даних між ЄС і США, зобов’язавшись дотримуватися детального набору зобов’язань щодо конфіденційності, наприклад, вимоги видаляти особисті дані, коли вони більше не потрібні для мети, для якої вони були зібрані. , а також забезпечити безперервність захисту, коли персональні дані передаються третім особам», – пише Комісія. «Громадяни ЄС отримають вигоду від кількох шляхів відшкодування, якщо їхні персональні дані обробляються з порушенням Рамкової угоди, у тому числі безкоштовно в незалежних механізмах вирішення спорів і арбітражній групі.

«Крім того, законодавча база США передбачає низку обмежень і гарантій щодо доступу державних органів США до даних, зокрема для забезпечення виконання кримінального законодавства та з метою національної безпеки. Це включає нові правила, запроваджені виконавчим наказом США, який розглядає питання, порушені Судом ЄС у рішенні у справі Шремса II: доступ до європейських даних для розвідувальних органів США буде обмежено необхідним і пропорційним для захисту національна безпека; Особи з ЄС матимуть можливість отримати відшкодування щодо збору та використання їхніх даних розвідувальними службами США перед незалежним і неупередженим механізмом відшкодування, який включає нещодавно створений суд із захисту даних. Суд буде незалежно розслідувати та вирішувати скарги від європейців, у тому числі шляхом ухвалення обов’язкових заходів правового захисту».

«Європейські компанії зможуть покладатися на ці гарантії для трансатлантичної передачі даних, а також при використанні інших механізмів передачі, таких як стандартні договірні положення та обов’язкові корпоративні правила», – додала Комісія.

З усього сказаного, як довго триватиме відновлена ​​угода, ще невідомо.

Угода Privacy Shield між ЄС і США проіснувала менше чотирьох років, перш ніж Суд ЄС її скасував. І третє оскарження з того самого питання може не зайняти багато часу, щоб досягти юридичного розгляду на високому рівні.

У заяві щодо оголошення про проект рішення Комісії noyb, некомерційна група захисту конфіденційності та цифрових прав, заснована Максом Шремсом, чиє прізвище стало синонімом успішного оскарження угод щодо передачі даних між ЄС і США, прогнозує, що DPF провалиться. перед CJEU.

«СЄС вимагав (1), щоб стеження США було пропорційний у значенні статті 52 Хартії основних прав (CFR) і (2), що є доступ до судовий захиствідповідно до вимог статті 47 CFR. Оновлений закон США (виконавчий наказ 14086), здається, не відповідає обом вимогам, оскільки він суттєво не змінює ситуацію порівняно з раніше застосовуваним PPD-28. Існує постійне «масове стеження» та «суд», який не є справжнім судом. Таким чином, будь-яке «рішення щодо адекватності» ЄС, засноване на виконавчому наказі 14086, швидше за все, не задовольнить CJEU», – сказав Нойб у прес-релізі.

Його аналіз політичної угоди між двома сторонами та тексту EO США полягає в тому, що зміни «здаються досить мінімальними», а угода «недостатньо ефективна, коли йдеться про захист осіб, які не є громадянами США», як вона висловлюється — тому він передбачає, що третя угода також не пройде перевірку в CJEU.

Коментуючи заяву, Шремс додав: «Наступними днями ми детально проаналізуємо проект рішення. Оскільки проект рішення базується на відомому виконавчому наказі, я не розумію, як це витримає оскарження в Суді. Схоже, що Європейська комісія просто виносить подібні рішення знову і знову — грубо порушуючи наші фундаментальні права».

Тим не менш, не всі, хто серйозно займається захистом даних, так не сприймають цю «втретє менш невдалу» спробу укласти угоду про передачу даних між ЄС і США.

Уповноважений із захисту даних Гамбурга опублікував дещо позитивну заяву щодо змісту EO минулого місяця — вітаючи те, що вперше діяльність секретних служб США підпадає під «застереження про пропорційність», — а також вітаючи США уявну готовність (принаймні) обмежити обсяг збору урядових даних, а також наразити на те, що він назвав «поколінною» критикою угоди.

У той же час, однак, було підкреслено, що ретельна перевірка угоди буде потрібно, щоб визначити, чи ключові елементи — наприклад, як спецслужби США будуть інтерпретувати «пропорційність»; і функціонування суду із захисту даних — відповідатиме дійсно вимогам СЄС чи ні. Примітно, що він також назвав «проблематичним» той факт, що масовий збір США (він же «інструмент масового спостереження») чітко зберігається.

Звичайно, буде цікаво подивитися, що EDPB робить про DPF.

Позиція Ради, яка підтвердила, що Комісія отримала свій проект рішення, щоб вона могла почати працювати над своїм висновком, буде вказівкою на майбутні юридичні проблеми. Але більш позитивний вердикт ЄДПБ був би, звичайно, зовсім іншою історією.

Прес-секретар Правління повідомила нам, що на цьому етапі процесу воно не публікуватиме заяву.

Вона також повідомила, що невідомі терміни прийняття ЄДПГ висновку щодо проекту рішення. «На даний момент ми не можемо сказати, коли це буде. У GDPR не передбачено крайнього терміну, але Європейська комісія може прийняти рішення про встановлення кінцевого терміну», – додала вона.

noyb заявив, що не очікує, що новий пакт буде завершено до весни 2023 року. Як тільки це станеться, він зазначає, що користувачі зможуть оскаржити DPF через національні та європейські суди, таким чином встановлюючи новий цокаючий годинник щодо нового регуляторного ризику.

Комісія також контролюватиме функціонування Рамкової системи конфіденційності даних між ЄС і США — за допомогою процесу «періодичних перевірок», — які вона проводитиме самостійно, за допомогою європейських органів із захисту даних і разом з компетентними органами США.

«Перший перегляд відбудеться протягом одного року після набрання чинності рішення про достатність, щоб перевірити, чи всі відповідні елементи правової бази США були повністю імплементовані та чи вони ефективно функціонують на практиці», — зазначається в ньому.

Комісія також опублікувала короткі запитання та відповіді, в яких міститься більш детальна інформація про проект рішення.

Leave a Comment