Делото "Шремс": Ще бъдат ли забранени трансферите на данни от ЕС?
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Делото "Шремс": Ще бъдат ли забранени трансферите на данни от ЕС?

Очаква се Съдът на ЕС да се произнесе с решение в началото на 2019 г., като то ще окаже значително въздействие върху стратегиите за пренос на данни на милиони компании, които разчитат на този механизъм.

Делото "Шремс": Ще бъдат ли забранени трансферите на данни от ЕС?

Стандартните договорни клаузи на ЕС за трансфер на данни – под сянката на съмнението

Очаква се Съдът на ЕС да се произнесе с решение в началото на 2019 г., като то ще окаже значително въздействие върху стратегиите за пренос на данни на милиони компании, които разчитат на този механизъм.

© Европейски съд


В началото на октомври 2017 г. Ирландия отново се озова в епицентъра на събитията в областта на защитата на личните данни в Европа, като постави чрез националните си юрисдикции въпроса за валидността на стандартните договорни клаузи на Европейския съюз за трансфер на данни към трети страни. Днес темата е по-актуална от всякога в контекста на наситения от събития процес по реформиране на европейското законодателство за защита на личните данни и на нарастващата глобализация на този така съществен за бизнеса ресурс.

Досега горещата тема бе заобикаляна от активно ангажираните в реформата политически фигури и институции. Днес обаче този неудобен, но жизненоважен въпрос за международните търговски отношения между ЕС и държавите извън ЕС влиза в светлината на прожекторите. Все по-реална става опасността да бъде отменен един от основните инструменти за трансфер на лични данни, предвидени и в новия Общ регламент относно защитата на данните (GDPR), още преди да започне да се прилага.

Ще се окаже ли в близко време незаконосъобразно

използването на така широко разпространените централизирани международни бази данни и системи за управление на човешки ресурси или за управление и обслужване на клиенти, които масово са внедрени в международните корпорации? По какъв начин ще могат европейските компании да използват cloud, hosting или други технологични услуги, предоставяни от компании извън ЕС, или това ще се окаже табу? И ще се окаже ли препятствано предоставянето на европейския пазар на едни от най-популярните сред европейците онлайн услуги и платформи като Facebook, Amazon, LinkedIn и др.? Тези и безброй други въпроси в момента очакват своя отговор.

Това е вторият случай в рамките на две години, в който на европейско ниво се повдига дебат, свързан със сигурността на данните при предаването им към трети страни. През октомври 2015 г. пейзажът в областта на защитата на личните данни в отношенията САЩ - Европа беше силно променен в резултат на тълкуването на Съда на Европейския съюз (СЕС), сезиран от Върховния съд на Ирландия с преюдициално запитване. Постановеното от СЕС решение по делото Maximillian Schrems срещу Data Protection Commissioner1 отмени рамката Safe Harbour за трансфер на данни от страни в ЕС към САЩ, като обяви за невалидно решението2 на Европейската комисия, констатиращо достатъчна степен на защита на личните данни, предавани чрез тази рамка.

Тогава съдът установи, че американското законодателство прави възможна намесата на местните публични органи в упражняването на основни права и свободи на лицата и по-конкретно правото на зачитане на неприкосновеността на личния живот (напр. чрез разкритите случаи на масово следене на гражданите в социални мрежи като Facebook от страна на NSA (Националната служба за сигурност на САЩ). Съдът заключи, че в САЩ не са установени адекватни правила за ограничаване на намесата в личния живот на гражданите, нито са гарантирани задължителните за една правова държава ефективни механизми за защита правата и свободите на гражданите при такава намеса.

Повод за настоящата турбуленция в областта на защитата на личните данни при трансфери на данни отново са действията на австрийския активист в областта на личните данни Макс Шремс, който за втори път се обръща към ирландския комисар по защита на данните с молба за спиране на трансферите на данни между ЕС и САЩ, понастоящем осъществявани главно въз основа на стандартни договорни клаузи (СДК). Той твърди, че както обявената за невалидна рамка Safe Harbor, така и СДК не предоставят достатъчна степен на защита на личните данни, трансферирани от ЕС в САЩ, тъй като нормативната уредба в страната създава условия за незачитане договорните задължения на юридическите лица (в конкретния случай Facebook) във връзка със сключените от тях СДК. Въпросът е отнесен до Върховния съд на Ирландия, който с решение от 3 октомври 2017 г. прие за необходимо да се обърне към СЕС с преюдициално запитване за действителността на СДК.

Към момента използването на СДК е механизъм, на който разчитат огромен брой дружества при предаването (трансфера) на лични данни извън Европейския съюз. Той е заложен и в новата правна рамка на ЕС в областта на защитата на личните данни, чието прилагане с пълна сила предстои да започне, считано от 25.05.2018 г., с Общия регламент относно защитата на данните3. Както и досега, предаване на лични данни извън ЕС ще може да се допуска единствено въз основа на решение на комисията, с което се установява адекватно ниво на защита в държавата на предаването, или въз основа на подходящи гаранции, предвидени от предаващия данните, и включващи правни механизми за защита, като например СДК, задължителните фирмени правила или сертифициране.

Безспорно днес СДК са най-широко използваният от компаниите похват и действителността на този инструмент е от съществено значение не само по отношение на установените повсеместно в Европа, включително и в България, бизнес процеси, но касае пряко валидността на съществени части от новия регламент.

Понастоящем топката е в полето на съда. Очаква се СЕС да се произнесе с решение в началото на 2019 г., като то ще окаже значително въздействие върху стратегиите за пренос на данни на милиони компании, които разчитат на този механизъм. В случай че европейските съдии обявят за недействителни СДК, огромен брой дружества на практика могат да загубят правното основание за предаване на лични данни в трети страни, въз основа на което се осъществява търговската им дейност, и ще следва да предприемат действия по обезпечаване на трансферите на данни посредством друг правен механизъм.

Нещо повече, ако съдът възприеме аргументите за отмяна на СДК, това може да доведе до отмяна и на други инструменти за трансфер на данни извън ЕС и до необходимост от спешна промяна в уредбата, за да не се окаже целият външнотърговски обмен на ЕС блокиран чрез забрана за обмен на данни.

Дали съдът ще обяви за невалидни стандартните договорни клаузи и как това ще се отрази на бизнес процесите и на прилагането на Общия регламент относно защитата на данните предстои да разберем. Сянката на несигурност безспорно е хвърлена.

-----1 СЕС, Решение от 6 октомври 2015 г. по дело C-362/14, Maximillian Schrems срещу Data Protection Commissioner, ОВ C 351, 6.10.2014 г.2 Решение 2000/520/ЕО на Комисията от 26 юли 2000 година съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, гарантирана от принципите за "сфера на неприкосновеност на личния живот" и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ, ОВ L 215, стр. 7.3 Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)

Адв. Десислава Кръстева, съдружник

Свилена Ракшиева, експерт

Адвокатско дружество "Димитров, Петров и Ко."

В началото на октомври 2017 г. Ирландия отново се озова в епицентъра на събитията в областта на защитата на личните данни в Европа, като постави чрез националните си юрисдикции въпроса за валидността на стандартните договорни клаузи на Европейския съюз за трансфер на данни към трети страни. Днес темата е по-актуална от всякога в контекста на наситения от събития процес по реформиране на европейското законодателство за защита на личните данни и на нарастващата глобализация на този така съществен за бизнеса ресурс.

Досега горещата тема бе заобикаляна от активно ангажираните в реформата политически фигури и институции. Днес обаче този неудобен, но жизненоважен въпрос за международните търговски отношения между ЕС и държавите извън ЕС влиза в светлината на прожекторите. Все по-реална става опасността да бъде отменен един от основните инструменти за трансфер на лични данни, предвидени и в новия Общ регламент относно защитата на данните (GDPR), още преди да започне да се прилага.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

3 коментара
  • 1
    fio41315648 avatar :-|
    fio41315648

    Интересно, какво е общото м/у австриец и ирландски върховен съд?

  • 2
    es_dee avatar :-P
    es_dee

    До коментар [#1] от "fio41315648":

    Максимилиян Шремс е австрийски адвокат и активист, който се обръща към ирландската комисия за защита на личните данни, тъй като централното управление на Фейсбук за Европа се намира в Ирландия. В крайна сметка делото стига до ирландските съдилища, а оттам - в Съда на ЕС.

  • 3
    bin1446567574478829 avatar :-|
    Hristiyan Dimov

    Дори в най-лошия случай Съдът да инвалидира СДК и с това да паднат и другите договорни инструменти (фирмените правила и ад хок договорните клаузи), на разположение на бизнеса остават решенията на комисията за адекватност (спрямо Щатите засега Щитът показва добри резултати), сертификационните механизми, кодексите за поведение, както и всички дерогации по чл. 49, пар. 1 от Общия регламент, сред които е и изричното съгласие на субекта на данни. Така че използването на технологични услуги, базирани извън ЕС, все още е далеч от табу. Няма място за паника.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK