Публикации


Защита на личните данни: „Safe Harbor“ – Не толкова сигурен, колкото беше

На 6 октомври 2015 г. Съдът на Европейския Съюз (СЕС) се произнесе с решение по дело C-362/14 (Maximilian Schrems срещу Data Protection Commissioner), обявявайки решението на Европейската комисия за „US Safe Harbour“ за невалидно.

Концепцията за “Safe Harbour“ се появява в Европейския съюз след решението на Европейската Комисия от 2000 г. (Решение 2000/520/EC), което приема, че дружества, базирани в САЩ и преминали успешно през сертифициране за “Safe Harbour“ отговарят на европейските изисквания за защита на личните данни. В резултата от наличието на такова сертифициране, съответните американски дружества имаха право да получават лични данни от юридически и физически лица на територията на Европейския съюз без допълнителни ограничения, в това число и без получаване на одобрение от страна на съответните европейски регулаторни органи.

След решението на СЕС, комисиите за защита на личните данни на държавите членки следва да преценяват дали нивото на защита на личните данни в трети страни (извън Европейски съюз) съответства на европейските стандарти, независимо от решението на Европейската комисия за “Safe Harbour”.

И преди решението на Съда на Европейския съюз Стандартните клаузи за трансфер на лични данни към администратори, установени в трети държави, одобрени от Европейската комисия („Стандартни клаузи“), бяха разглеждани като по-добрата алтернатива на подхода “Safe Harbour”. По силата на решение на Европейската Комисия от 5 февруари 2010, Стандартните клаузи бяха признати като предлагащи адекватно ниво на защита в съответствие с чл. 26, ал. 2 от Директива 95/46/EO на Парламента и Съвета.

В тази посока е и по-новата практика на българската Комисия за защита на личните данни. Българският регулатор изисква използването на Стандартни клаузи и в случаите на предоставяне на лични данни към дружества от САЩ, сертифицирани в съответствие с “Safe Harbour”.