Джон К. Хиггинс
11 сентября 2020 г., 4:47 утра по тихоокеанскому времени
Министерство торговли США попытка заключения соглашения, которое поможет тысячам американских компаний соблюдать политику, направленную на защиту частной жизни европейских граждан. Согласно совместному заявлению от 10 августа, министерство и Европейская комиссия, входящая в состав Европейского союза (ЕС), инициировали обсуждения для решения вопросов конфиденциальности, поднятых ЕС.
Причина переговоров в том, что «Privacy Shield», программа Министерства торговли, разработанная для защиты частной жизни европейцев, развалилась. В результате судебного иска, поданного австрийским защитником конфиденциальности Максимилианом Шремсом, суд ЕС 16 июля 2020 г. постановил, что программа США Privacy Shield «недействительна», поскольку она не обеспечивала необходимой защиты граждан Европы.
Пока проблемы не будут решены, американские компании будут работать в сумеречной зоне над тем, как обеспечить конфиденциальность личных данных, которые они собирают и обрабатывают в электронном виде из европейских источников. В Privacy Shield участвуют более 5000 компаний, и большинство из них — малые или средние предприятия.
Коммерческое влияние решения ЕС является значительным.
«Трансграничные потоки данных между США и Европой являются крупнейшими в мире и имеют фундаментальное значение для крупнейших торговых отношений в мире, оцениваемых примерно в 1,3 триллиона долларов США в год», — говорится в совместном заявлении, опубликованном Торговая палата США и несколько ассоциаций электронной коммерции. Прекращение действия Privacy Shield «нарушило эти трансатлантические потоки данных» и создало «правовую неопределенность» для участников Privacy Shield, заявили группы
.
«Потоки данных важны не только для технологических компаний, но и для предприятий любого размера в каждом секторе», — сказал министр торговли США Уилбур Росс.
Содержание статьи
Почему американские компании находятся в затруднительном положении?
На первый взгляд Privacy Shield кажется существенной правовой базой. На самом деле отношения между США и странами Европейской экономической зоны (ЕЭЗ) в отношении конфиденциальности в течение многих лет находились в неустойчивом состоянии. Решение суда ЕС ознаменовало второй раз за пять лет, что система конфиденциальности США и Европы рушится. Предыдущее соглашение, названное Законом о безопасной гавани, не удалось в 2015 году.
В целом страны ЕЭЗ, подписавшие Общий регламент ЕС по защите данных (GDPR), настаивают на том, чтобы страны за пределами ЕС обеспечивали такой же уровень защиты личных данных, как и в ЕС.
Согласно протоколу GDPR, для передачи данных ЕС за пределы ЕС разрешено несколько типов соответствия, согласно анализу, предоставленному E-Commerce Times из офиса национальных программ Better Business Bureau. Privacy Shield позволил компаниям США выполнить одно из этих требований, основанное на так называемом «определении адекватности», которое представляет собой решение регулирующего органа ЕС о том, что законы о конфиденциальности страны, не входящей в ЕС, являются достаточно строгими, чтобы соответствовать стандартам ЕС.
Зарегистрировавшись в рамках этого единого механизма и внедрив необходимые методы обеспечения конфиденциальности, американские компании получили возможность обрабатывать данные потребителей из ЕС в Соединенных Штатах. Кроме того, Privacy Shield отличается от альтернативного механизма, известного как Стандартные договорные положения (или SCC), тем, что Privacy Shield обеспечивает дополнительные требования к прозрачности и подотчетности. В анализе отмечается, что Privacy Shield также является более широким механизмом соблюдения требований, чем договор между двумя компаниями.
Камень преткновения между Европой и США был обозначен Судом ЕС. Европейцы утверждают, что законодательство США не обеспечивает европейским гражданам такой же уровень надлежащей правовой защиты, как и гражданам США, в отношении личных данных, которые могут быть получены органами национальной безопасности и правоохранительными органами США.
В результате американские компании попадают под перекрестный огонь между государственными учреждениями. Решение Европы об аннулировании Privacy Shield «направлено не на коммерческое использование данных, а на озабоченность по поводу потенциального доступа правительств», — сказал исполнительный вице-президент Торговой палаты США Майрон Бриллиант.
Поиск решения создает проблемы
Пока государственные учреждения пытаются найти решение, американским компаниям придется как можно лучше соблюдать стандарты GDPR. Это будет непросто.
Один из вариантов для американских компаний — использовать меры «локализации» данных. Согласно Albright Stonebridge Group, это «правила, требующие от компаний хранить и обрабатывать данные на серверах, физически расположенных в пределах национальных границ».
Второй вариант для американских компаний — вернуться к соглашениям SCC. Но решение ЕС затруднило создание соответствующих СУК. Вместо того, чтобы использовать несколько общих юридических шаблонов, такие соглашения теперь должны быть гораздо более конкретными в зависимости от требований отдельной страны, а также характера и использования собранных данных.
По словам Лизы Сото, партнера Hunton Andrews Kurth, решение ЕС содержало «значительное дополнительное бремя» для американских компаний в отношении обоих вариантов.
«Единственная беспроигрышная ставка — это полная локализация данных в ЕЭЗ. Это экономически невыполнимо для большинства компаний, поэтому сейчас они изо всех сил пытаются внедрить альтернативные решения для передачи данных, если бы они полагались на сертификаты Privacy Shield для легализации переводов. , — сказал Сото газете E-Commerce Times.
«Если бы компании полагались на SCC, теперь им нужно было бы провести оценку риска передачи и, возможно, ввести дополнительные меры безопасности. Сказать, что это беспорядок, — значит ничего не сказать», — добавила она.
Некоторые эксперты-юристы утверждают, что более эффективное шифрование поможет компаниям США и что озабоченность по поводу доступа органов национальной безопасности к данным в некоторой степени ограничивается законодательством США. Решение суда ЕС было тщательно изучено юридическими экспертами с тщательным анализом и толкованием постановления. Но это подчеркивает представление о том, что разработка СУК возлагает на компании значительное юридическое бремя и бремя соблюдения.
Еще более рискованным для американских компаний является утверждение о том, что суд ЕС «поставил под сомнение» использование SCC, согласно анализу национальных программ BBB. Фактически, несколько европейских регулирующих органов, известных как органы по защите данных (DPA), уже выразили озабоченность по поводу жизнеспособности SCC.
«Неопределенность будет нормой для передачи данных между ЕС и США, пока европейские регулирующие органы не уточнят стандарты, введенные Судом ЕС. Существует также дополнительная неопределенность в отношении передачи данных из Великобритании в США, поскольку Brexit вступает в силу в полной мере. в конце года ", — сказал Кобун Цвайфель-Киган, заместитель директора по вопросам конфиденциальности национальных программ BBB.
«Состояние игры после решения Шремса таково, что все механизмы передачи, признанные в соответствии с законодательством ЕС, теперь требуют дополнительных юридических, операционных и технических мер, чтобы даже иметь шанс быть достаточными в соответствии с новыми стандартами», — сказал он E-Commerce Times. «До тех пор, пока не появится дальнейшая ясность, компании будут продолжать работать, чтобы продемонстрировать свое соответствие в меру своих возможностей, в том числе путем внедрения тех методов, которые требуются Privacy Shield», — добавил он.
Текущие переговоры
Пока продолжаются переговоры между США и Европой, DoC продолжит работу Privacy Shield в надежде, что обсуждения приведут к внесению реальных изменений в программу. Любая из компаний, участвующих в программе, может выйти из программы, но, по словам Сото из Hunton Andrews Kurth, это не рекомендуется.
«Принципы Privacy Shield продолжают служить прочной основой для защиты личных данных. Кроме того, Швейцария продолжает соблюдать структуру Shield. Таким образом, для компаний имеет смысл оставаться сертифицированными для Shield.
«Конечно, есть надежда на то, что дипломатические переговоры будут успешными, и компании, сертифицированные Shield, в конечном итоге смогут снова использовать Shield в качестве механизма для юридической передачи личных данных из ЕЭЗ в США», Сото отметил. 
