СЕС получи единадесет въпроса, внесени от ирландския Върховен съд. СЕС беше свободен да преформулира въпросите и да отговори само на някои от тях. Този Често задаван въпрос дава прост преглед на решението и отговорите на въпросите. Той разглежда най-подходящите въпроси, които хората и компаниите могат да имат относно решението на СЕС.
(I) Обхват на делото
Кои трансфери на данни между ЕС и САЩ не са засегнати от този случай?
С прости думи: „Необходимите“ трансфери на лични данни не се засягат.
Този случай се отнася главно до доброволното „възлагане на външни изпълнители” на обработка на лични данни за Съединените щати.
Случаят не касае: (1) данни, които не са „лични данни“; и (2) „необходими“ трансфери на данни към Съединените щати (напр. имейли до САЩ, резервации в САЩ и т.н.) - в повечето случаи тези трансфери се възползват от „отказ“, предвиден в член 49 от ОРЗД.
Следователно този случай не означава, че човек не може да изпраща имейли или съобщения от ЕС до САЩ. Всяко твърдение, което предполага това е просто неправилно.
Въпреки това много компании в ЕС все още ще трябва да преразгледат своите практики за възлагане на външни изпълнители, ако имат лични данни, обработвани от доставчици от САЩ. Получателите на тези данни в САЩ също ще трябва да извършат подобен преглед, ако са обект на задължения съгласно съответните американски закони за надзор като FISA 702.
Каква е разликата между „аутсорсинга“ на обработката и абсолютно „необходимия“ трансфер на данни в САЩ, включително изпращане на имейли, хотелски резервации или бизнес транзакции?
„ Необходими “ трансфери на данни : В повечето случаи, когато данните трябва да бъдат прехвърлени в САЩ (напр. Резервиране на хотел, изпращане на имейл до някой в САЩ, стандартни бизнес транзакции между ЕС и САЩ и т.н.), освобождаванията („дерогации“) в член 49 от ще се прилага GDPR. Този вид прехвърляне на данни е разрешен, независимо от валидността на други правни инструменти, използвани за прехвърляне на данни, като Стандартни договорни клаузи (SCC), Щит за поверителност или Обвързващи корпоративни правила (BCR).
Аутсорсинг : Аутсорсинг означава, че личните данни се съхраняват само в САЩ, защото е по-лесно, по-евтино или по-практично да се съхраняват при доставчик на услуги в САЩ, отколкото в Европа, въпреки че технически данните могат да се съхраняват в рамките на ЕС / ЕИП. Тук обикновено няма общ отказ („дерогация“) съгласно член 49 от ОРЗД за прехвърляне на данни към САЩ. Вместо това трябва да се използва правен инструмент като SCC, Щит за поверителност или BCR, но тези инструменти могат да бъдат обявени за невалидни или неизползваеми в определени ситуации от Съда на ЕС. Днес Щитът за поверителност беше обявен за невалиден. Освен това SCC не могат да бъдат използвани от Facebook и други американски компании, които попадат под американско наблюдение.
Този случай касае ли прехвърляне на данни в страни, различни от САЩ?
Случаят не касае пряко такива прехвърляния.
Случаят обаче има косвени последици. Компаниите ще трябва да преразгледат действителното ниво на защита, предоставена в страни извън ЕС, много по-отблизо, отколкото преди. По отношение на ВКС, например, конфликтът със законите за надзор е от еднакво значение по отношение на законите в страни като Китай или Русия.
(II) Последици за потребителите
Могат ли потребителите от ЕС / ЕИП все още да използват директно услуги от САЩ (или други трети държави)?
В най-практичния смисъл потребителите могат свободно да изпращат свои лични данни директно до трета държава, например когато използват китайски уебсайт.
Не е възможно обаче пряко да споделяте данни на други хора (напр. Приятели, колеги) с доставчик от САЩ, освен ако не сте получили тяхното свободно дадено, конкретно, информирано и недвусмислено съгласие за това.
Могат ли потребителите от ЕС / ЕИП все още да използват непряко услуги от САЩ (или друга трета държава) (чрез дъщерно дружество на ЕС)?
В много случаи потребителите от ЕС / ЕИП имат договор с дъщерно дружество на ЕС на американска компания. Примери за това са Google Ireland, Facebook Ireland, Microsoft Luxembourg или Amazon Luxembourg.
В тези случаи компаниите от ЕС са отговорни за гарантирането, че „вътрешните за компанията“ потоци от лични данни към САЩ са в съответствие с GDPR. Сега компаниите ще трябва да разгледат отблизо всички подобни потоци от данни и дали трябва да хостват данни в Европа или в която и да е друга държава, която осигурява по-добра защита на поверителността, вместо да бъдат прехвърлени в САЩ на компания, която следва под наблюдение на САЩ.
(III) Последици за компаниите
Могат ли компаниите от ЕС / ЕИП все още да извършват „необходимите“ трансфери на лични данни към САЩ?
В повечето случаи: Да.
Член 49 от ОРЗД съдържа списък с „дерогации“, позволяващи такъв трансфер на данни. Това обикновено включва подаване на поръчки от фирми в САЩ, извършване на резервации в хотели в САЩ, изпращане на имейли до САЩ и като цяло всяко предоставяне на услуга, която логично се нуждае от трансфер на данни между ЕС и САЩ. Такива прехвърляния не са част от делото и не са засегнати от решението.
Могат ли компаниите от ЕС / ЕИП да продължат да „възлагат” обработката на лични данни на САЩ?
В повечето случаи: Вероятно не.
Най-често използваните обработващи данни в САЩ също попадат в обхвата на американските закони за наблюдение като FISA 702, които изискват от тях да разкриват лични данни на правителството на САЩ без адекватна защита. Прехвърлянето на данни на обработващи лица при такива задължения нарушава GDPR, както е определено от СЕС.
Могат ли компаниите от ЕС / ЕИП да продължат да възлагат на външни изпълнители обработката на лични данни в страни, различни от САЩ?
Да, ако в тази държава няма противоречиви закони.
Случаят не променя правилата на GDPR за прехвърляне на данни. Както и преди, всяка компания от ЕС трябва да провери дали в трета държава има закони, които могат да отменят законите на ЕС за поверителност. В такива случаи личните данни не могат да бъдат предадени на външни изпълнители за тази трета държава.
Например, ако обработването на лични данни е възложено на държава А, администраторът на ЕС трябва да гарантира, че получателят има необходимите договорености, но също така, че няма противоречиви закони, които да се прилагат в държава А и да отменят тези договорености.
Забранени ли са вече всички трансфери на данни от ЕС / ЕИП към САЩ?
Не, съвсем не - по две причини:
- Повечето трансфери на данни не съдържат „лични данни“, а някаква друга форма на данни. Такива трансфери на данни дори не се регулират от GDPR.
- Повечето „необходими“ прехвърляния на лични данни (напр. При изпращане на имейл, съобщение или резервация за хотел) все още попадат под отказ в член 49. Тези прехвърляния могат да продължат след решението и не се засягат от него.
Случаят засяга ли всички получатели на данни от ЕС в САЩ?
Не. Той е важен само за компании, които са обект на американските закони за надзор, или за компании, които използват доставчици, които попадат в обхвата на тези американски закони за надзор.
Например FISA 702 се прилага само за „доставчици на електронни съобщителни услуги“. Индустрии като банки, авиокомпании, хотели, корабоплавателни компании, продажби на стоки и други подобни обикновено не се разбира, че са обхванати от тези закони. Има обаче някои неясноти относно тези условия и американското законодателство. Необходимо е разяснение от правителството на САЩ.
На практика обаче банка (която не е обект на FISA) може сама да използва „доставчик на електронни съобщителни услуги“ (който е обхванат от FISA). Това означава, че данните на банката могат да бъдат достъпни чрез „доставчика на електронни съобщителни услуги“. Или може да прехвърля данни, които са неправилно кодирани, което например би позволило данните да бъдат „подслушвани“, докато се изпращат през подводни кабели (както е разрешено в EO 12.333). Като такъв, целият поток от данни трябва да бъде оценен.
Как може на практика да се изпълни решение на СЕС?
След решението компаниите трябва да преразгледат индивидуално дали трябва да променят практиките си. Те са длъжни да спрат незаконните трансфери на данни. Това не е нищо ново. След решението "Safe Harbor" много компании от ЕС се отказаха от доставчиците в САЩ.
Компаниите, които сега прехвърлят данни на получатели в САЩ незаконно, ще трябва да спрат всички такива преводи възможно най-бързо, за да избегнат глоби до 20 милиона евро или 4% от глобалния си оборот съгласно GDPR. Националните органи за защита на данните (DPA) са отговорни да налагат тези санкции.
Потребителите на компании от ЕС могат да поискат тези компании да спрат да прехвърлят личните си данни в САЩ. Ако компаниите не изпълнят тези искания, потребителите могат да подадат жалби до DPA или да заведат дело пред местния съд. Това може да доведе до предварителни заповеди и / или емоционални щети. В много страни от ЕС потребителските групи, съветите на работниците и други органи също могат да подават колективни или колективни искове, ако дадена компания продължава да предава лични данни без правно основание.
Какво могат да направят компаниите от ЕС / ЕИП?
Компаниите трябва да преценят дали тяхната обработка на лични данни трябва да бъде възложена на възложители на обработващи данни в САЩ. В противен случай те трябва да идентифицират правното основание за прехвърляне на данни (например дерогации в член 49 от ОРЗД, SCC, Щит за поверителност или BCR).
Повечето американски доставчици на облачни услуги се квалифицират като „доставчици на електронни комуникационни услуги“ и следователно попадат в обхвата на съответните американски закони за наблюдение като FISA 702.
Въпреки че повечето други индустриални сектори не попадат в обхвата на тези закони, те могат да използват „доставчици на електронни съобщителни услуги“, които го правят, което всъщност дава непряк достъп до данните. Други инструменти за наблюдение като EO 12.333 също трябва да бъдат взети под внимание. EO 12.333 разрешава „наблюдение при транзит“, като например достъп до данни, които не са правилно кодирани, докато преминават през трансатлантически кабели.
Ако не могат да използват някой от правните инструменти, разрешаващи прехвърляне, както е предвидено в членове 44-50 от ОРЗД, компаниите ще трябва да прехвърлят всички съответни лични данни обратно в ЕС / ЕИП и да намерят обработващ лични данни в ЕС / ЕИП или в който и да е друг друга държава, в която е осигурена адекватна защита на личните данни.
Какво могат да направят американските компании?
Американските компании трябва да проверят дали те или техните подизпълнители са обект на съответните закони за надзор на САЩ и дали техните трансфери на данни са криптирани до ниво, което гарантира, че „подслушването“ по време на прехвърлянето не е възможно. След такова преразглеждане те ще трябва да комуникират със своите клиенти от ЕС / ЕИП, ако обработването на лични данни е засегнато от решението.
В дългосрочен план може да е препоръчително да се премести определена обработка извън САЩ или да се говори с избрани представители за последиците, които американските закони за наблюдение имат върху способността на американските компании да извършват бизнес с чуждестранни клиенти. Надяваме се също, че американският бизнес ще разговаря с американския законодател относно липсата на защита, предоставена на техните международни клиенти.
(IV) ПОЛИТИЧЕСКИ ПОСЛЕДСТВИЯ
Как може в дългосрочен план да бъде разрешен конфликтът между американските закони за наблюдение и законите за поверителност на ЕС?
Ако САЩ искат да запазят позицията си на основен доставчик на ИТ услуги в света, американските закони за наблюдение ще трябва спешно да бъдат реформирани. САЩ ще трябва да въведат основни защити на поверителността, които са най-малко еквивалентни на вече предоставените на американските граждани. В противен случай е много малко вероятно чуждестранните клиенти да продължат да използват доставчици на услуги в САЩ.
Веднага след като законите за наблюдение на САЩ бъдат реформирани по този начин, компаниите от ЕС ще могат да възобновят прехвърлянето на данни между ЕС и САЩ и Европейската комисия ще може да издаде нови стабилни инструменти, които да позволят това.
Как биха могли да продължат трансферите на данни между ЕС и САЩ в бъдеще?
В основата си сме изправени пред конфликт между законите за неприкосновеност на личния живот на ЕС и американските закони за наблюдение: законите на ЕС изискват защита на личните данни, докато американските закони изискват наблюдение.
Правото на неприкосновеност на личния живот и защита на данните са основни права в Европа, както е заложено в членове 7 и 8 от Хартата на основните права на ЕС. Всички 27 държави-членки ще трябва да се споразумеят единодушно за всяка промяна на тези основни права. Европейската комисия се опита да приеме изключения като "Safe Harbor" и "Shield Privacy", но без необходимата реформа на американското законодателство за наблюдение, те непрекъснато не успяват да задоволят основните права на ЕС. Резултатът са решения като това, което прави изключенията невалидни.
САЩ въведоха широкообхватни закони за наблюдение на лица извън САЩ през 2008 г. Ако САЩ трябваше да отменят тези закони за наблюдение или да гарантират същата защита за лица извън САЩ като тези, които се прилагат за лица от САЩ, тогава би било много вероятно САЩ ще се разглеждат като държава, която осигурява „адекватна защита“ на личните данни съгласно законодателството на ЕС, ако има адекватно обезщетение.
Може ли ЕС просто да приеме друго решение, ако Щитът за поверителност бъде обезсилен?
На теория Европейската комисия може (съзнателно) да издаде друго невалидно решение, ако Съдът обезсили „Щит за поверителност“. Като се има предвид, че проблемът се крие в американското законодателство, това най-вероятно би довело до правно оспорване, което би довело до обезсилване на новото решение от СЕС. Много е малко вероятно това да е политически приемливо. Бизнесът също се нуждае от правно стабилна резолюция.
Това решение и предишното по отношение на „Безопасно пристанище“ се основават на Хартата на основните права. Ще се изисква единодушно споразумение между всички 27 държави-членки на ЕС, за да се променят договорите на ЕС, за да се позволи на Европейската комисия да издаде законно обосновано решение за трансфер на данни за трансфери между ЕС и САЩ.
Следователно решението е в ръцете на американския законодател, който трябва да адаптира или отмени действащите американски закони за наблюдение.
Това не е ли просто протекционизъм от страна на ЕС?
Не . Това дело всъщност е заведено срещу Европейската комисия. Законодателството на ЕС дава възможност за много възможности за международен трансфер на данни - стига да се спазват основните защити на поверителността.
В действителност политическото звено на ЕС (Европейската комисия и държавите-членки) подкрепя трансферите на данни между ЕС и САЩ, но Съдът на ЕС преди поражда съмнения относно законността на тези сделки със САЩ предвид потенциалното нарушение на основните права на ЕС. По същия начин Европейският парламент също повдигна съмнения относно тези сделки.
Сравнявайки "Щит за поверителност", както се отнася за американски компании с вътрешния GDPR на ЕС, е ясно, че американските компании могат да получат достъп до големия пазар на ЕС, като следват много по-слаби правила, отколкото компаниите от ЕС трябва да следват. Това дава на американските компании конкурентно предимство.
