Опасен пристан за личните данни

Брюксел признава необходимостта от ново принципно разрешение за трансферите на лични данни до САЩ, което да гарантира основните права на гражданите на ЕС.

На 6 ноември 2015 г. Европейската комисия издаде указания относно предаването на лични данни от ЕС към САЩ и призова за установяването на нова рамка за трансатлантическите трансфери на лични данни. Тези действия на комисията са в отговор на въпросите, повдигнати в Решението на Съда на Европейския съюз (СЕС) от 6 октомври 2015 г. по т.нар. дело "Шремс" (C‑362/14). Решението на СЕС е фундаментално за тълкуването на европейското законодателство относно трансфера на лични данни до трети страни. С него СЕС обяви договореността относно "сферата на неприкосновеност на личния живот" (Safe Harbor) за невалидна и постави началото на нови преговори между ЕС и САЩ.

Въпросът за масовото и безразборно наблюдение в САЩ е в основата на решението срещу Facebook

Всеобхватният държавен надзор хвърля съмнение не само върху ефективността на досега използваните принципи Safe Harbor, но и на другите съществуващи механизми за защита на личните данни. В светлината на правната несигурност Европейската комисия признава необходимостта от ново принципно разрешение относно трансферите на лични данни до САЩ, което да гарантира основните права на гражданите на ЕС. Доколкото потоците от данни между двата континента са от основно значение за хората и бизнеса, т.нар. Работна група по чл. 29 в качеството си на колективен орган за тълкуване на европейското законодателство за защита на личните данни предлага установяването на преходен период, в който да бъде намерено трайно решение. В случай че до края на януари 2016 г. не бъде постигнато разбирателство между ЕС и САЩ, органите за защита на личните данни на отделните държави членки следва да предприемат мерки за гарантиране на личната неприкосновеност на лицата, включително чрез издаване на задължителни предписания, спиране на трансфера и налагане на санкции.

През преходния период могат да бъдат прилагани алтернативни основания за трансфер на лични данни до САЩ

Абонирайте се за Капитал

Четете неограничено и подкрепяте усилията ни да пишем по важните теми

Договореността относно "сферата на неприкосновеност на личния живот" (Safe Harbor), стояща в основата на вече установените трансфери на лични данни от България към САЩ, не е достатъчна за гарантиране на адекватно ниво на защита. В случай че администраторите на лични данни не предприемат допълнителни или алтернативни мерки за защита през тримесечния преходен период, те са изправени пред опасността да бъдат санкционирани от българската Комисия за защита на личните данни (КЗЛД) за осъществяване на трансфер на лични данни без законово основание. След изтичането му КЗЛД следва да приеме принципно становище относно допустимостта на такова движение на данни независимо от наличието на алтернативни механизми за защита.

Договорни решения – стандартни клаузи

Европейската комисия е одобрила стандартни образци на клаузи, които да се използват в непроменен вид при сключване на договори за трансфер на лични данни между износител и вносител на данни. Стандартните правила включват поемането на задължения от участниците в трансфера, като например въвеждане на мерки за сигурност, предоставяне на информация на субекта на данните, гаранции в случай на предаване на чувствителните данни и др.

Българското законодателство предвижда улеснен режим на движение на лични данни, което се основава на договори, съдържащи стандартните клаузи. В тези случаи КЗЛД не извършва преценка относно адекватността на защитата на лични данни в третата държава и е достатъчно само уведомяване чрез актуализацията на регистрацията на износителя на данни като администратор. Макар да не се изисква изрично от закона, писменото уведомяване на КЗЛД за планираното движение с предоставяне на копие от договора за трансфер на лични данни е препоръчително. Поради лаконичното съдържание на електронния регистър, в който се споменава единствено дестинацията за трансфер, но не и основанието, прозрачността по отношение на държавния регулатор ще елиминира риска от извършване на допълнителна проверка на законността на трансфери, базирани на стандартни клаузи. Леката процедура прави одобрените от Европейската комисия клаузи предпочитано основание за трансфер на лични данни от България към САЩ.



Обвързващи корпоративни правила – движение на данни в рамките на група

Стандартните клаузи не са подходящо средство за уреждане на движението на данни в рамките на интернационални корпорации с десетки клонове, установени в различни юрисдикции по цял свят. В тези случаи уместно е приемането на вътрешногрупови правила, които да се прилагат по отношение на всяко дружество в групата. Тези правила трябва да бъдат одобрени от органите за защита на личните данни на държавите членки, от които ще се прехвърлят данни. За целта работната група по чл. 29 е приела стандартизирана процедура, в която се определя водещ регулатор, който дава първоначално разрешение след консултация с останалите регулатори.

Обвързващите корпоративни правила не са закрепени изрично в българския закон. За тяхното прилагане при трансфер е необходимо КЗЛД да се произнесе относно адекватността на защитата на личните данни, при което КЗЛД ще вземе предвид съществуващото разрешение, издадено от водещия регулатор, и, ако няма други основания за отказ, ще одобри трансфера по силата на взаимното признаване на процедурата в рамките на ЕС.

Дерогации

Българското законодателство предвижда хипотези, в които трансферът на лични данни до САЩ е допустим, дори и при липса на договор при стандартни клаузи или обвързващи корпоративни правила. Тези дерогации от общия принцип за ограничаване на движението на лични данни към трети държави се отнасят до специфични хипотези - сключването или изпълнението на договор, установяването, упражняването или защитата на право на иск, изрично даденото съгласие на лицето, чиито данни се обработват, и др.

Подобно на процедурата по въвеждане на обвързващи правила КЗЛД прави преценка за адекватността на защитата на личните данни. В тези случаи е необходимо да се извърши пълно доказване на тази адекватност и процедурата пред местния регулатор е значително по-тежка.

За да се избегне необходимостта от получаване на разрешение за всеки конкретен случай, когато има повторяеми, масови или структурирани трансфери на данни, е необходимо да бъдат установени механизми за защита и - когато това е възможно - да се въведат стандартни клаузи или обвързващи правила.

*Статията отразява становището на автора по въпросите по принцип и не представлява правен съвет по конкретен случай