Щитът за личните данни в отношенията между Европейския съюз и Съединените щати е невалиден – а сега накъде с трансферите на лични данни към САЩ?

27.07.2020

Далеч от проблемите, свързани с разпространението на COVID-19, в разгара на лятото, Съдът на Европейския съюз постанови ново решение, с което за втори път в рамките на последните няколко години постави на изпитание трансферите на лични данни през Океана.

След отмяната на „Сигурното пристанище“ (Safe Harbor) през 2015 г., Европейският съюз и Съединените щати положиха усилия за създаване на нов правен механизъм, който да позволява предоставяне на лични данни на граждани на Съюза към САЩ. Така бе прието решението Щит за личните данни (Privacy Shield), чрез което бизнесът да прехвърля данни отвъд Океана.

С ново решение на Съда на Европейския съюз преди дни обаче и този механизъм беше отменен като невалиден.

Съдът излага подробни мотиви, в които се посочва, че Щитът за личните данни не осигурява достатъчна защита на личните данни на гражданите на Европейския съюз, след като бъдат трансферирани към Съединените щати. Веднъж стигнали там, данните се оказват достъпни за публичните органи посредством различни програми за наблюдение. По този начин реално данните, стигнали в САЩ, се ползват с по-ниска защита от тази, която осигурява правото на Европейския съюз.  

Обявеният за невалиден Щит за личните данни вече не може да се използва от европейските дружества, които изпращат данни към САЩ. Това съответно налага своевременно преразглеждане на вътрешните процедури във всяко дружество, което до момента е разчитало на Щита за личните данни.

Занапред, поне докато се появи следващото решение, улесняващо трансфери на данни между Европейския съюз и Съединените щати, бизнесът може да разчита на стандартните клаузи.

И тук обаче Съдът поставя нови въпроси – винаги ли и без ограничения могат да се предоставят данни към трети държави, ако страните включат в договорките си стандартните клаузи?

Доскорошният положителен отговор вече не е така категорично ясен. Според Съда във всеки отделен случаи, когато се използват стандартните клаузи, износителят на данните, намиращ се на територията на Европейския съюз, трябва да направи преценка дали приемащата държава осигурява адекватно ниво на защита на личните данни. Критерият за адекватност е дали правото на приемащата държава предоставя поне същите гаранции, както правото на Европейския съюз (включително Общия регламент относно защитата на данните).

Така всяко дружество, което трансферира данни извън територията на Съюза, ще носи отговорност да преустанови предаването на данни към трети държави, ако нивото на защита там не е адекватно. Това тълкуване допълнително засилва задължението на дружествата да познават своите бизнес партньори, включително относно това къде и как съхраняват предоставени им лични данни и на какви трети лица, в това число и публични органи, предоставят достъп до тях. 

За повече информация можете да се обърнете към:

адв. Иля Комаревски, Съдружник
ilya.komarevski@tbk.bg

адв. Милеслава Богданова-Мишева, Старши правен консултант
mileslava.bogdanova@tbk.bg