Новата рамка за трансфер на лични данни между ЕС и САЩ – какво означава за бизнеса
Европейската комисия (ЕК) прие на 10 юли 2023 г. решение, съгласно което призна, че Съединените американски щати (САЩ), гарантират адекватно ниво на защита на личните данни, прехвърлени от ЕС към организации в САЩ, които са включени в „Списъка на рамката за поверителност на данните“, поддържан и публично достъпен от Министерството на търговията на САЩ, в съответствие с Приложение I от решението за адекватност[1].
Новата Рамка за поверителност на данните (Рамката / РПД)[2] е предназначена да замени предишната такава – „Щит за защита на личните данни” (Privacy Shield), която беше отменена (суспендирана) от Съда на Европейския съюз (ЕС) през лятото на 2020 г.
Как работи Рамката за поверителност на данните?
Предаването на лични данни от ЕС към организации в САЩ, които са включени в „Списъка на рамката за поверителност на данните“, могат да се основават на Решението за адекватност, без да е необходимо да се прилагат каквито и да е допълнителни инструменти за предаване на данни.[3]
Рамката се базира на принципа за „адекватно ниво на защита“, което означава, че присъединилите се към Рамката участници от САЩ (вж. списъка на посочения линк) трябва да предоставят гаранции, че личните данни на европейските граждани, които се прехвърлят от ЕС към САЩ, ще бъдат защитени по начин, който е съпоставим със защитата, която се предоставя в ЕС.
Предаването на данни, т.нар. трансфер на данни към субекти в САЩ, които не са включени в списъка с присъединилите се към Рамката за поверителност на данните, не могат да се основават на решението за адекватност и ще изискват подходящи гаранции за защита на данните, приложими права и ефективни правни средства за защита на субектите на данни (напр. чрез стандартни клаузи за защита на данните, обвързващи корпоративни правила).
Какъв е правният режим за международен трансфер на данни от ЕС към трети държави, вкл. САЩ?
Съгласно Общия регламент за защита на правата на физическите лица при обработване на личните им данни (ОРЗД) в случай на международен трансфер на данни извън границите на ЕС следва да е налице поне един от предвидените в регламента „инструменти“ за сигурно предаване, а именно:
- Наличие на изрично решение за признато адекватно ниво на защита в получаващата държава (каквото е приетото през юли решение за нивото на защита в САЩ);
- Приети вътрешни корпоративни правила – приложими в рамките на корпоративни структури при предаване на данни единствено вътре в групата дружества;
- Подписани договорни клаузи, които са отнапред одобрени от Европейската комисия – този подход създава несигурност за бизнеса и не гарантира ефективна защита за гражданските права. Освен това следва във всеки отделен случай да се подписват допълнителни приложения между бизнес партньорите, което допълнително препятства създаване на успешни сътрудничества и препятства икономическия подем на взаимоотношенията между ЕС и САЩ.
Какви са ползите от Рамката за гражданите?
РПД има редица потенциални ползи за гражданите на ЕС и САЩ, чиито данни компаниите и държавните органи си предават през Океана, включително:
- По-голяма сигурност за личните данни на гражданите, чиито лични данни се прехвърлят от ЕС към САЩ.
- По-голямо доверие между гражданите в ЕС и компаниите, които прехвърлят лични данни от ЕС към САЩ.
- По-широк набор от права за гражданите на САЩ от някои щати, в които нивото на защита на личните им данни е под това на регулацията в ЕС.
- По-лесен трансатлантически обмен на данни, което ще стимулира икономическия растеж.
Рамката ще създаде по-голяма сигурност за гражданите, когато се прехвърлят техните лични данни към САЩ. Потребителите ще имат право да получат достъп до личните си данни, да ги коригират, да ги изтрият и да възразят срещу обработването им не само от компании и други администратори на лични данни в ЕС, но и от получилите ги в САЩ. Потребителите също така ще имат право да подадат жалба, ако не са доволни от начина, по който се обработват личните им данни и в САЩ.
Следователно потребителите на услуги от ЕС ще бъдат по-склонни да разрешат предаването на личните си данни в САЩ и да използват услуги, които включват международно предаване (трансфер) на данни между двете юрисдикции.
Какво означава Рамката за бизнеса?
Рамката ще има значителен ефект върху всеки бизнес, който предава (прехвърля) лични данни между ЕС и САЩ. При наличието на решение за адекватно ниво на защита в САЩ, прието от Европейската комисия, за всеки бизнес се отварят широко вратите за създаване на потенциални сътрудничества с дружества и други участници в стопанския живот от другата страна на Атлантическия океан. Бизнес комуникацията и реалното създаване на партньорства изискват обмен и предаване на лични данни. В противен случай как бихте могли да направите ефективна проверка, дали дружеството или друго правно образувание (НПО, холдингова структура или др.) са действителни или по какъв начин без обмен на лични данни бихте могли да представите правни, счетоводни, HR услуги?
Почти няма бизнес операция, която да не изисква в даден момент от изпълнението си обмен на лични данни. Единствената разлика е в обема и вида от лични данни, които се предават, но при всяко положение в 99,9% от случаите предаването на лични данни е необходимо за създаване, изпълнение и погасяване на права и задължения.
Бизнесът все пак трябва да се увери, че отговаря на изискванията на Рамката, за да може да продължи да предава лични данни между двете юрисдикции, респ. ЕС и САЩ.
Следните контролни въпроси могат да дадат ориентир на бизнеса, дали отговаря на изискванията на Рамката:
- Прилага ли подходящи технически и организационни мерки за защита на личните данни?
- Предоставя на потребителите информация за това как използват личните данни и как могат да упражнят правата си по отношение на личните данни?
- Разрешава на потребителите да подават жалби, ако не са доволни от начина, по който се обработват личните им данни?
Какво означава Рамката за бъдещето на трансатлантическия обмен на данни?
Рамката е важна стъпка, демонстрираща сериозен напредък в осигуряване на по-високо ниво на защита на личните данни отвъд Атлантическия океан – на територията на САЩ.
По всяка вероятност очакванията са Рамката да има положително въздействие върху трансатлантическия обмен на данни. Наличието на изрична правна рамка като механизъм, на базата на който може да се предава свободно информация, включително лични данни, ще насърчи бизнеса да продължи да инвестира в трансатлантическия обмен на данни, което ще бъде от полза и за двете икономики.
Кои са предизвикателствата пред Рамката?
Рамката все още е критикувана от някои за това, че не е достатъчно стриктна и че не предоставя достатъчно гаранции за защитата на личните данни.
Едно от основните предизвикателства пред Рамката е, че САЩ имат широк набор от закони, които позволяват на правителството да събира и използва лични данни за различни цели, включително национална сигурност, правоприлагане и данъчно облагане. Някои експерти се опасяват, че тези закони могат да окажат негативно въздействие върху защитата на личните данни на гражданите от ЕС, които се прехвърлят към САЩ.
Друго предизвикателство пред Рамката е, че е трудно да се гарантира, че всички компании, които предават лични данни към САЩ, ще спазват изискванията.
[1] https://www.dataprivacyframework.gov/s/participant-search
[2] EU-US Data Privacy Framework (DPF)
[3] Информационна бележка относно прехвърлянето на данни съгласно GDPR към Съединените щати след приемането на решението за адекватност на 10 юли 2023 г.
16
Коментирайте
Това не пречи да има пробив в данните.
Винаги съществува риск.
Добри „инструменти“ за сигурно предаване,
Полезна и подробна информация.
I read this article. I think You put a great deal of exertion to make this article.Renown Mychart login
Полезно
Добра новина за тия дето правят трансфери
„отвъд Атлантическия океан – на територията на САЩ.“ а тук, в Европа?
Ужас. Добре е да има регулация
Абе вече не знаеш кое ти следят и кое не. Като цяло май ти имат цялата информация ако я искат. Кога сърфираш, къде, какви са ти интересите и какво ли още не. Примерно Виваком ги знае тия неща, но се правят на ударени, като им се обадиш и те питат въпроси уж за да установят кой се обажда. Те знаят кой се обажда още с позвъняването
Естествено. Дори следят социалните мрежи.
Европа издиша в опазването на лични данни. Дано поне САЩ се справят.
Ами да се надяваме, че все пак наистина ще се пазят личните данни
Сигурност, докато не хакне някой руснак нещо
Те САЩ си признаха, че имат извънземни…ние за трансфер на данни ще си говорим.
САЩ е държава, която има широк набор от закони.