Сигурност

Обменът на данни между ЕС и САЩ се урежда с ново споразумение

Computer World

Адв. Десислава Кръстеваадв. Десислава Кръстева

съдружник и ръководител на отдела по защита на личните данни в Адвокатско дружество „Димитров, Петров и Ко.”

Адв. Десислава Кръстева е съдружник в Адвокатско дружество „Димитров, Петров и Ко.” и ръководител на отдела по защита на личните данни на кантората.

Завършила е право в СУ „Св. Климент Охридски” и има богат опит в областите е–търговия и интернет право, телекомуникационно право, защита на личните данни, договорно право, дружествено и търговско право. Автор е на многобройни доклади и становища по прилагането на европейската правна рамка, свързана с ИКТ и активно участва в изготвянето на законови и подзаконови нормативни актове. Член е на Софийската адвокатска колегия и на Центъра по право на ИКТ към Фондация „Право и Интернет”.

Адвокатско дружество „Димитров, Петров и Ко.“ специализира в сферата на ИКТ право. Като една от първите кантори, занимаващи се с тази област на правото у нас, дружеството е придобило практически опит при консултирането на най-големите частни български доставчици на интернет услуги, интернет портали, софтуерни дружества, инженерингови фирми, доставчици на удостоверителни услуги и други. Понастоящем дружеството е правен съветник на Google и Youtube по повод правните аспекти на иновативните бизнес и технологични проекти за ЦИЕ.

Адв. Гергана Антоноваадв. Гергана Антонова

специалист по защита на лични данни и трудово право в Адвокатско дружество „Динова Русев и Съдружници“

Адв. Гергана Антонова е специалист по защита на лични данни и трудово право в Адвокатско дружество „Динова Русев и Съдружници“.

Практиката й включва консултации на администратори на лични данни във връзка с различни аспекти на ежедневната им дейност, включително осигуряване на законово съответствие на маркетингови кампании, договори за облачни услуги и трансфери на лични данни.

Трудовоправната й експертиза се отнася до консултиране на български и международни работодатели по различни въпроси, отнасящи се до целия процес на съществуване на трудовото правоотношение.

Адвокатско дружество „Динова Русев и Съдружници“ (DRP) предлага специализирани правни услуги на юридически и физически лица в много области на гражданското, административното и процесуалното право.

DRP има изцяло специализиран екип от експерти по трудово право, защита на лични данни и имиграционни въпроси, обслужващ едни от най-големите работодатели в България. Като признание за високото ниво на експертиза на екипа, през 2014 г. дружеството е поканено и прието за българския член на Световния алианс на трудовоправните експерти (Employment Law Alliance).

На 12 юли 2016 г., Европейската комисия прие нов действащ механизъм за трансфер на данни в САЩ - т. нар. EU-U.S. Privacy Shield. Новото споразумение цели да урегулира обмена на данни между администраторите на лични данни в Европейския съюз и в Съединените американски щати (САЩ).

За коментар относно новото споразумение се обърнахме за експертно мнение към адв. Десислава Кръстева, съдружник в Адвокатско дружество „Димитров, Петров и Ко.”, ръководител на отдела по защита на личните данни на кантората и старши правен експерт към Фондация „Право и Интернет” и към адв. Гергана Антонова, специалист по защита на лични данни и трудово право в Адвокатско дружество „Динова Русев и Съдружници“.

Какво наложи промяната и какъв ефект ще има от влизане в сила на Privacy Shield?

На 6 октомври 2015 г. Съдът на Европейския съюз (СЕС) обяви за невалидно решението на Европейската комисия за адекватност на нивото на защита на лични данни в САЩ по делото на Максимилиан Шремс срещу ирландския орган по защита на личните данни. В резултат на това трансферът на лични данни от ЕС към САЩ на основание на Safe Harbor стана невъзможен и се създаде правна несигурност за бизнеса, зависещ от възможността за обмен на данни през океана, разкри адв. Десислава Кръстева, съдружник в Адвокатско дружество „Димитров, Петров и Ко.”

„Safe Harbour бе един от механизмите, по които през последните 15 години се реализираха трансферите на лични данни от Европа към САЩ. Невалидността му постави пред сериозно изпитание над 5000 организации, които разчитаха на него като на трансферен инструмент за лични данни между ЕС и САЩ. С други думи – засегнат беше бизнес с приблизителна стойност 250 милиарда долара годишно”, посочи адв. Гергана Антонова, специалист по защита на лични данни и трудово право в Адвокатско дружество „Динова Русев и Съдружници“.

Адв. Антонова припомни, че обявяването на невалидността на решението за Safe Harbour поради негодността му да осигури адекватно ниво на защита на данните се случи в резултат на действията на австрийския студент и активист Максимилиан Шремс.

Накратко, те бяха провокирани от виждането на Шремс, че действащите право и практики в САЩ не гарантират достатъчна защита на съхраняваните на територията й лични данни срещу извършваните в страната дейности по наблюдение от публичните органи. В това отношение Шремс се позова на направените от Едуард Сноудън разкрития относно дейността на разузнавателните служби на САЩ.

Осъзнаването на недостатъчните гаранции, предоставяни от механизма на Safe Harbour, датира преди решението на Съда на ЕС. Още през 2013 г. Европейската комисия даде редица препоръки за подобряване на Safe Harbour. Българската Комисия за защита на личните данни също оцени наличието на рискове, свързани с прилагането на Safe Harbour, преди издаването на решението на Съда на ЕС, посочи адв. Антонова.

„Обявяването на решението за Safe Harbour за невалидно доведе до сериозни последици за бизнеса и от двете страни на океана. При липса на регулация между ЕС и САЩ относно трансферите на лични данни, организациите бяха поставени в ситуация, изискваща от тях да адаптират светкавично политиките и практиките си за защита на личните данни, без да имат напълно ясна индикация за това какво може да последва”, коментира адв. Антонова.

„След отмяната на Safe Harbor бизнесът е принуден или да спре дейността си, или да продължи трансфера на лични данни в противоречие на националното и европейско законодателство, или да реорганизира изцяло дейността си така, че да започне да прилага други инструменти за трансфер на данни към САЩ, което обаче е времеемко и е свързано със съществени разходи.”, обясни адв. Десислава Кръстева.

„Целта на Privacy Shield е да сложи края на този период на несигурност и да намери баланс между нуждите на бизнеса, защитавайки правата на лицата в ЕС. Макар съдържанието му да е обект на критика, няма да бъде пресилено да кажем, че то е част от преминаването към качествено нов етап на защита на личните данни”, добави адв. Гергана Антонова.

„Действащото европейско законодателство забранява трансфера на лични данни към трети държави извън ЕС и ЕИП, които не осигуряват адекватно ниво на защита. Една от тези държави е САЩ. Същевременно интензивните икономически отношения между САЩ и държавите членки пряко зависят от възможностите за движение/обмен на данни. Поради тази необходимост, наред с другите правни инструменти, съществуваше т. нар. Safe Harbor, който се прилагаше само за САЩ и целеше да осигури на бизнеса един по-бърз, опростен и ефективен инструмент за обмен на данни като едновременно с това се гарантира адекватно ниво на защита на правата на физическите лица, чиито данни се трансферират и обработват. Основната причина за отмяната на Safe Harbor бе не толкова начинът, по който компаниите в САЩ обработват получените данни, а разкритията за масови наблюдения от страна американските служби за сигурност и невъзможността да се гарантира защитата на трансферираните към американските компании данни от подобна интервенция. В допълнение, липсваха ефективни механизми за контрол върху спазването на принципите на Safe Harbor от страна на американските компании”, обясни адв. Десислава Кръстева.

“Традиционните културни различия между ЕС и САЩ във връзка с неприкосновеността на личната сфера в най-широк смисъл създават база за коренно различно третиране на тези аспекти на Стария и на Новия континент. Затова и новата рамка на въпроса се съсредоточава върху ограничаването на произтичащите от това конфликти”, обясни адв. Антонова.


По-строг режим на надзор

Новото споразумение съдържа някои новости в сравнение със Safe Harbor, като например нов по-строг режим за надзор над компаниите, регистрирани в Privacy Shield и нови механизми за правна защита на европейските граждани, разкри адв. Десислава Кръстева.

„Въпреки нововъведените механизми за правна защита на гражданите, новото споразумение не забранява изцяло на службите за сигурност в САЩ да извършват масово наблюдение на лични данни за определени със закон цели. Следващите месеци ще покажат дали тези механизми за защита ще проработят на практика. Личното ми мнение е, че съществува риск Privacy Shield да последва съдбата на Safe Harbor. Основният проблем при всеки един от инструментите за трансфери на лични данни (стандартни договорни клаузи, Biding Corporate Rules, и дори изрично разрешение от национален орган по защита на личните данни) към трети държави е, че нито един от тях не е годен практически да гарантира, че данните и правата на лицата, за които се отнасят тези данни, ще бъдат защитени в същата степен, в която са защитени в ЕС. От момента, в който данните напуснат територията на ЕС, държавите членки губят възможността да осъществяват ефективен контрол и защита на данните, особено срещу действията на службите за сигурност в третите държави. С реформата в сферата на личните данни се цели да се разпростре действието на европейските правила извън ЕС, към лица, които са установени на територията на трети държави. Това, което европейските институции избягват да коментират, обаче, е фактът, че европейските правила не могат да се прилагат спрямо чужди публични органи и не могат да осигурят защита срещу задължителните законови правила, които действат в третите държави. Без значение какви задължения са предвидени за компаниите, те не могат да осигурят защита срещу действията на службите за сигурност в третите държави, нито да осигурят по-висока степен на защита на фундаменталните права на гражданите, чиито данни обработват, от тази, която реално е осигурена в третата държава. Позитивната стъпка при Privacy Shield е в това, че за първи път изрично и ясно се прави разграничение между отговорността на компаниите и тази на държавните органи в САЩ. За първи път се предвиждат ограничения приложими към дейността на самите публични органи в САЩ. От компаниите се очаква да спазват правила и принципи, които са изпълними, докато защитата на данните срещу неприемливи действия на службите за сигурност и на други публични органи се осигурява чрез ангажименти поети на публично-правно ниво между САЩ и ЕС. Доколко, обаче, тези ангажименти ще бъдат спазени от САЩ и държавите членки е въпрос на политическа воля”, коментира адв. Десислава Кръстева.

Адв. Гергана Антонова потвърди, че сред основните нови моменти в Privacy Shield са като цяло по-строгите задължения на организациите в САЩ и на публичните органи на американската държава по отношение личните данни, трансферирани от ЕС. След като една организация доброволно е решила да се самосертифицира по Privacy Shield, нейното ефективно и ежедневно придържане към принципите му е задължително. За да продължи да разчита на Privacy Shield като средство за законосъобразен трансфер на данни от ЕС, тази организация трябва да изпълнява редица задължения в тази връзка”, коментира адв. Антонова.

Достъп до личните данни от страна на държавни институции

Значителна част от Privacy Shield е посветена на достъпа на американски държавни институции до трансферирани от ЕС лични данни, което беше и един от основните въпроси, повдигнати във връзка с решението за Safe Harbour, уточни адв. Гергана Антонова. Целта е да бъдат въведени гаранции и задължения за прозрачност в тази връзка и ограничаване на възможността зад пелерината на държавната власт да се допуска навлизане в личния живот на гражданите по неконтролируем начин, каза адв. Антонова.

Privacy Shield въвежда по-осезаем баланс между практическите нужди на органите, отговорни за националната сигурност, и възможността на гражданите да реализират своите лични и граждански свободи.

„Един от ангажиментите на САЩ е да установи правна възможност за защита на лицата на Стария континент, когато се касае за национална сигурност. Тази възможност ще бъде открита в новата фигура на омбудсман към Държавния департамент, който ще бъде независим от националните служби за сигурност. Омбудсманът ще се занимава с жалби и запитвания във връзка с достъпа до лични данни от страна на органите на националната сигурност”, коментира адв. Антонова.

Адв. Гергана Антонова обобщи и основната критика към Privacy Shield.

„Въпреки подробното разгръщане на горните въпроси в Privacy Shield, никак не е слабо недоволството срещу него. Както се очакваше, Максимилиан Шремс е един от основните критици на решението. Според него валидното съществуване на Privacy Shield няма да бъде дълго.

Становището на Максимилиан Шремс се подкрепя и от значителна част от експертите в областта на защитата на личните данни. Не са неоснователни опасенията, че правната атака срещу новото споразумение е въпрос на време. А това от своя страна създава правна несигурност, която не е изключено да повлияе и на решението на организациите отвъд океана да използват Privacy Shield като инструмент за трансфер на лични данни. Все пак, технологични гиганти като Apple, Microsoft и Google приветстваха новата регулация и заявиха интереса си към използването й, уточни адв. Антонова.

„Друг е въпросът, че правната несигурност далеч не се ограничава до Privacy Shield като механизъм за трансфер на лични данни. Ирландският орган за защита на личните данни неотдавна официално заяви намерението си да се обърне към Върховния съд на Ирландия, съответно към СЕС, във връзка с правния статус на трансферите на лични данни при използване на стандартни договорни клаузи. Именно тези клаузи служеха като основна алтернатива за законосъобразни трансфери през периода, следващ инвалидирането на Safe Harbour. Ако и те бъдат обявени за невалидни от Съда на ЕС, нуждата от алтернативен трансферен механизъм ще стане все по-настойчива.

У нас опасения по отношение на новоутвърдения Privacy Shield също не липсват. Факт е, че България е една от четирите държави, които се въздържаха при гласуването за одобрението му. Останалите са родината на Максимилиан Шремс – Австрия, Хърватска и Словения.

Все пак, Privacy Shield представлява значителен напредък по отношение сигурността на личните данни, трансферирани от ЕС към САЩ. Вследствие предвидения в него механизъм за извършване на годишен преглед на прилагането му, вероятно е новата регулация да претърпи някои изменения. Това, разбира се, има както своите предимства, така и недостатъци. От една страна, не достатъчно адекватните моменти в Privacy Shield могат да бъдат прецизирани своевременно. От друга страна обаче, потенциалът за регулярни промени ще създаде по-трудна предвидимост и по-голяма несигурност пред бизнеса”, коментира адв. Гергана Антонова.

Присъединяване към Privacy Shield и контрол

„Присъединяването към Privacy Shield не е задължително. То е въпрос на избор от страна на организациите, осъществяващи дейност в САЩ”, обясни адв. Гергана Антонова от Адвокатско дружество „Динова Русев и Съдружници“.

Privacy Shield се базира на споразумение между ЕС и САЩ, при което всяка от страните е поела определени ангажименти, за да се постигне ефективното функциониране на този инструмент и да се осигури възможност за трансфер на данни към САЩ, обясни адв. Десислава Кръстева от Адвокатско дружество „Димитров, Петров и Ко.” „Поради това, институциите в ЕС, в държавите членки и в САЩ ще следва да спазват поетите ангажименти. Що се отнася до компаниите, възнамеряващи да осъществят трансфер на лични данни от ЕС към САЩ, то те имат правото свободно да решат дали да използват този или да изберат друг правен инструмент, осигуряващ адекватно ниво на защита на данните. Правилата на Privacy Shield ще са задължителни за тези американски компании, които доброволно решат да се самосертифицират, за да бъдат включени в Списъка на Privacy Shield и да се ползват от възможностите, които този инструмент предлага.

От страна на ЕС преди всичко Европейската комисия и националните органи за защита на лични данни ще следят за спазването на споразумението. От страна на САЩ контролът ще се извършва от Департаментът по търговия на САЩ (United States Department of Commerce)”, посочи адв. Десислава Кръстева.

Според адв. Кръстева, съществен въпрос от гледна точка на българските администратори на лични данни е как българската Комисия за защита на личните данни (КЗЛД) ще третира Privacy Shield. Тя обясни, че логиката на създаваните на европейско ниво инструменти за трансфер на данни като Privacy Shield, стандартни договорни клаузи и други подобни, е същите да се използват свободно от администраторите, без необходимост от преценка на адекватността на защита на данните от страна на местните органи като КЗЛД при всеки един трансфер на данни. „В практиката си, обаче, преди отмяната на Safe Harbor, КЗЛД застъпваше позиция, че е необходима предварителна преценка и разрешение преди всеки един трансфер към организация от Safe Harbor. Това е тенденция, която се забелязва и на европейско ниво – например в аргументите на СЕС за невалидността на решението за Safe Harbor, с които се обосновават по-силни правомощия на националните органи по защита на личните данни и възможността да преразглеждат установените от ЕК на европейско ниво инструменти за трансфер. Ако същата практика се пренесе и по отношение на трансферите към организации, включени в списъка на Privacy Shield, то за компаниите използването на този инструмент в голяма степен се обезмисля”, заяви адв. Десислава Кръстева.

Присъединяването към Privacy Shield почива върху механизъм на т.нар. самосертифициране, уточни адв. Гергана Антонова. „Най-общо, чрез този механизъм желаещите да се ползват от възможностите за трансфер на лични данни, предоставяни от Privacy Shield, заявяват пред Департамента по търговия на САЩ, че ще спазват заложените в него принципи. За да се самосертифицира съгласно Privacy Shield, организацията трябва да отговаря на редица изисквания в тази връзка. Публичен списък на самосертифициралите се организации ще бъде поддържан от Департамента по търговия на САЩ”, коментира адв. Антонова.

Последици от неспазване на договорките в Privacy Shield

„Интересен и нов аспект в решението на ЕК за адекватността на защитата, предоставяна от Privacy Shield е изричното предвиждане на възможността при неспазване на поетите ангажименти от страна американските институции, действието на същото да бъде спряно, изменено, ограничено или дори отменено. Това е породено от съмненията, че ангажиментите, поети от САЩ ще се окажат само обещания и Privacy Shield ще се окаже неспособен да осигури адекватна защита за правата на европейците и техните лични данни. Възможността, обаче, действието на Privacy Shield да бъде отменено или ограничено скоро след влизането му в сила запазва несигурността за бизнеса. Бизнесът не може да започне да използва този инструмент за трансфер от ден първи; компаниите имат нужда от време, за да приведат дейността си в съответствие с новите изискванията, да изпълнят приложимите административни процедури в различните държави членки и др. под. Същевременно съществува не малък риск всички тези усилия да се окажат напразни, при една евентуална отмяна или съществено ограничаване на действието на Privacy Shield в бъдеще, акцентира адв. Десислава Кръстева от Адвокатско дружество „Димитров, Петров и Ко.”.

Предвиден е ежегоден контрол за действителната адекватност на защитата, която се осигурява на личните данни чрез Privacy Shield, допълни адв. Кръстева.

„Ще се осъществява мониторинг върху функционирането Privacy Shield, включително и върху съблюдаването на ангажиментите и уверенията на САЩ относно достъпа до данните за целите на правоприлагането и националната сигурност. ЕК и Департаментът по търговия на САЩ ще извършват този преглед и ще привличат за участие в него национални експерти в областта на разузнаването от САЩ и от европейските органи за защита на данните. Също така ще се провежда и ежегодна среща на върха по въпросите на личните данни, в която ще вземат участие неправителствени организации и други заинтересовани участници, като ще бъде обсъждано общото развитие на законодателството на САЩ в областта на личните данни и влиянието му върху европейците. Въз основа на годишния преглед ЕК ще изготвя публичен доклад до Европейския парламент и Съвета”, обясни адв. Кръстева.

Адв. Десислава Кръстева уточни, че за защитата правата на физическите лица са предвидени различни механизми – от възможността да адресират жалби директно към компаниите обработващи техните данни в САЩ; през контролни механизми, при които ще се ползва съдействието на националните органи по защита на личните данни; до алтернативни арбитражни процедури. Интересна е фигурата и на специалния Омбудсман (Ombudsperson) в САЩ, чиито компетенции ще са свързани със случаите, при които личните данни се обработват от американските служби и институции за целите на националната сигурност и има съмнения за нарушаване правата на лицата, за които се отнасят тези данни.

Обхватът на механизмите за реализиране на правата на лицата, чиито лични данни са обработвани вследствие трансфер съгласно Privacy Shield, е по-широк в сравнение с предшественика му Safe Harbour, изтъква адв. Гергана Антонова от Адвокатско дружество „Динова Русев и Съдружници“. Според нея, по-голямата част от предоставените възможности на лицата могат да се използват алтернативно по техен избор. Все пак е препоръчителен определен логически ред, който да бъде следван. Не на последно място, принципите на Privacy Shield се прилагат към организациите в САЩ, доколкото обработването на лични данни от страна на тези организации не попада в обхвата на законодателството на ЕС, подчерта адв. Антонова. От друга страна, от 25 май 2018 г. започва да се прилага Общият Регламент относно защитата на данните, който отменя сега действащата Директива 95/46/EC. Той може да разпростре обхвата си и върху организации, установени извън ЕС – включително в САЩ. Ето защо, препоръчително е самосертифициралите се организации да бъдат бдителни за бъдещите изменения в правната рамка и да не разчитат, че съответствието на дейността им с Privacy Shield е достатъчно и за съответствие с изискванията на Общия Регламент относно защитата на данните”, съветва адв. Гергана Антонова.





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X