Правилата на играта за преноса на лични данни от ЕС в трети страни се променят
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Правилата на играта за преноса на лични данни от ЕС в трети страни се променят

Практиката на Комисията за защита на личните данни показва, че преди трансфер на лични данни от България към САЩ компаниите следва да получат предварително нарочно разрешение от нея, независимо от т.нар. Сейф Харбър споразумение

Правилата на играта за преноса на лични данни от ЕС в трети страни се променят

Националните регулаторни органи следва да преценяват адекватността на нивото за защита на лични данни в трети страни при подадена жалба независимо от решение на ЕК

Практиката на Комисията за защита на личните данни показва, че преди трансфер на лични данни от България към САЩ компаниите следва да получат предварително нарочно разрешение от нея, независимо от т.нар. Сейф Харбър споразумение

© ЦВЕТЕЛИНА БЕЛУТОВА


Решението е повод за компаниите, които трансферират лични данни от България към САЩ да прегледат договорите си за съответствие с режима за трансфер на лични данни.

На 6 октомври 2015 г. излезе така очакваното решение на Съда на Европейския съюз (СЕС) по казуса Facebook. Решението на СЕС е по повод жалба на австрийски студент, подадена в местния регулатор за защита на лични данни. Студентът се противопоставя на трансферирането на негови лични данни от Европейския съюз (ЕС) в САЩ на сървъри, намиращи се в САЩ. Жалбата е отхвърлена с мотива, че има решение на Европейската комисия (1)(ЕК) (т.нар. Сейф Харбър споразумение) за наличието на режим на адекватна защита на личните данни в САЩ. Местният съд, пред който студентът обжалва отказа на регулатора да разследва, подава искане за преюдициално тълкуване от СЕС по въпроса дали решение/то на ЕК за адекватно ниво на защита препятства националните регулаторни органи, при подадена жалба, да разследват дали трета страна (извън ЕС и Европейското икономическо пространство) осигурява адекватно ниво на защита на личните данни и ако е приложимо, да спре трансфера на личните данни.

В крайна сметка изводите на Съда на ЕС са следните:

- Решение на ЕК не препятства националните регулаторни органи да разследват адекватността на нивото за защита на лични данни в трети страни при подадена жалба;

- СЕС прогласява решението на ЕК за трансфера на лични данни в САЩ за недействително.

Значението на решението на Съда на ЕС:

Макар СЕС да се произнася по конкретния казус за трансфер на лични данни от ЕС към САЩ, това решение е емблематично за генералното разбиране и тълкуване на Съда на ЕС по въпросите за трансфера на лични данни в трета страна, а именно:

- Наличието на решение на ЕК за адекватна защита на лични данни в трети страни (2) не препятства и не намалява правомощията на националните регулаторни органи по Хартата на основните права на ЕС и Директивата за личните данни(3) (Директивата);

- СЕС обръща внимание, че Директивата не съдържа разпоредби, които да забраняват на националните регулаторни органи при подадена жалба да разследват дали трансфера на лични данни от ЕС към трета страна е в съответствие с изискванията на Директивата, дори и да има решение на ЕК; - Следователно националният регулаторен орган следва да положи цялата дължима грижа и да изследва нивото на адекватна защита в третата държава във връзка с подадената жалба;

- Ако националният регулаторен орган прецени, че нивото на адекватна защита в третата страна е под съмнение, той или засегнатото лице имат правото да се обърнат към националния съд за защита, а последният от своя страна може да сезира СЕС с преюдициално запитване, ако смята, че има основания за прогласяването на съответно решение на ЕК за недействително.

Практически последици:

- Практиката на българската Комисия за защита на личните данни (КЗЛД) показва, че преди трансфер на лични данни от България към САЩ компаниите следва да получат предварително нарочно разрешение от КЗЛД, независимо от т.нар. Сейф Харбър споразумение;

- Въпреки това решението на СЕС е повод за компаниите, които трансферират лични данни от България към САЩ (напр. американски компании с дъщерни дружества и/или клонове в България по отношение на лични данни на служители, клиенти, др.; компании, предоставящи аутсорсинг услуги с трансфер на лични данни в САЩ; базирани в САЩ дружества, които предоставят съхранение и облачни услуги на компании от ЕС; международни компании за набиране на персонал, които трансферират лични данни в САЩ; международни компании за бази данни; социални мрежи; др.), да прегледат договорите с контрагентите, служителите, подизпълнителите си за съответствие с режима за трансфер на лични данни, както и инструкциите си за работа с лични данни. Където е възможно, като алтернативен вариант биха могли да се ползват и останалите опции по Закона за защита на лични данни за трансфер на лични данни в трети страни – включване на стандартни договорни клаузи, одобрени от ЕК, изрично съгласие на лицето, приети oбвързващи корпоративни правила за вътрешногрупови трансфери на лични данни, др.;

- Независимо че в практиката на КЗЛД Сейф Харбър споразумението досега не е водело до отпадане на нарочната разрешителна процедура при трансфер на данни от България към САЩ, се предполага, че КЗЛД е вземала предвид вече направената оценка за адекватност на защита от страна на ЕК спрямо американските компании по споразумението Сейф Харбър. По тази причина е вероятно КЗЛД да изследва по-обстойно и детайлно всеки следващ поискан трансфер на лични данни към САЩ след решението на СЕС по казуса "Фейсбук".

----

(1) Решение 2000/520/ЕО (2) Към момента такива решения на ЕК има за страните: Нова Зеландия, Източна република Уругвай, Израел, Андора, Фарьорските острови, Джърси, Остров Ман, Гърнси, Аржентина, Канада, Швейцария
(3) ДИРЕКТИВА 95/46/ЕО НА ЕП И НА СЪВЕТА от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни ----- Статията не представлява правно становище или съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се обърнете към автора на e-mail: [email protected] или на www.tmlawoffice.bg

адв. Ивана Близнакова, Адвокатско дружество Точева и Мандажиева
Фотограф: Капитал
Решението е повод за компаниите, които трансферират лични данни от България към САЩ да прегледат договорите си за съответствие с режима за трансфер на лични данни.

На 6 октомври 2015 г. излезе така очакваното решение на Съда на Европейския съюз (СЕС) по казуса Facebook. Решението на СЕС е по повод жалба на австрийски студент, подадена в местния регулатор за защита на лични данни. Студентът се противопоставя на трансферирането на негови лични данни от Европейския съюз (ЕС) в САЩ на сървъри, намиращи се в САЩ. Жалбата е отхвърлена с мотива, че има решение на Европейската комисия (1)(ЕК) (т.нар. Сейф Харбър споразумение) за наличието на режим на адекватна защита на личните данни в САЩ. Местният съд, пред който студентът обжалва отказа на регулатора да разследва, подава искане за преюдициално тълкуване от СЕС по въпроса дали решение/то на ЕК за адекватно ниво на защита препятства националните регулаторни органи, при подадена жалба, да разследват дали трета страна (извън ЕС и Европейското икономическо пространство) осигурява адекватно ниво на защита на личните данни и ако е приложимо, да спре трансфера на личните данни.


Благодарим ви, че четете Капитал!

Вие използвате поверителен режим на интернет браузъра си. За да прочетете статията, трябва да влезете в профила си.
Влезте в профила си
Всеки потребител може да чете до 10 статии месечно без да има абонамент за Капитал.
Вижте абонаментните планове

0 коментара

Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

Още от Капитал

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK