Предистория:
През 2020 г. Съдът на ЕС постанови знаково решение по делото Schrems II. С него отмени т. нар. Щит за неприкосновеност (Privacy Shield) – приетото от Европейската комисия решение, съгласно което се считаше, че САЩ предоставят адекватно ниво на защита на личните данни. Наличието на Щита за неприкосновеност беше от съществено значение, защото той позволяваше сигурен трансфер на лични данни между ЕС и САЩ. Две години след произнасянето на Съда на ЕС относно отмяната му в материята продължава да има несигурност, а облекченият трансфер на лични данни към САЩ е все така възпрепятстван. По официална информация, непрекъснатият поток от данни между ЕС и САЩ е в основата на трансграничната търговия за около един трилион долара всяка година. Ето защо е от решаващо значение ЕС и САЩ да гарантират законността на тези потоци между дружествата от двете държави.
Какво представлява новата Tрансатлантическа рамка за защита на личните данни?
В края на март 2022 г. ЕС и САЩ постигнаха политическо споразумение по т.нар. Tрансатлантическа рамка за защита на личните данни (Trans-Atlantic Data Privacy Framework, наричана по-долу „Рамката„), която ще даде възможност за свободно движение на данни между ЕС и САЩ.
Според Европейската комисия ползите от Рамката включват адекватна защита на данните на европейците, предавани към САЩ, безопасни и сигурни потоци от данни, надежднo правно основание за трансферите, осигуряване на конкурентоспособна цифрова икономика и икономическо сътрудничество, продължаване на свободното движение на данни. Всичко това е от огромно значение за субектите на данни в ЕС, тъй като понастоящем след като данните им бъдат прехвърлени в САЩ, нивото на защита, което предоставя действащата правна рамка, не отговаря на високите стандарти, определени от Общия регламент относно защитата на данните (известен като GDPR).
Поради това и в изпълнение на постигнатите договорености в Рамката, САЩ се ангажираха да засилят гаранциите за неприкосновеност на личния живот и гражданските свободи при осъществяването на дейностите за целите на разузнаването, да създадат нов механизъм за правна защита с независим орган, оправомощен да издава задължителни обвързващи актове, както и да засилят съществуващия строг и многопластов надзор на дейностите в областта на сигналното разузнаване (наричано още електронно/радиоелектронно разузнаване, форма на разузнаване, включваща прихващането, събирането и анализа на радиосигнали). По този начин всъщност САЩ дават отговор на важните проблемни моменти, идентифицирани в решението Schrems II. Съдът на ЕС разгледа подробно недостатъците на действащата рамка във всички тези аспекти и САЩ се ангажираха да ги отстранят през следващите месеци.
Какво следва?
Рамката не е обвързващ правен акт, което означава, че лицата, предаващи данни към САЩ, не могат да го използват като правно основание за трансфера. Това е и официалната позиция на Европейския комитет по защита на данните. Следващата стъпка е САЩ да приемат нарочен обвързващ акт, въз основа на който Европейската комисия ще приеме ново решение за осигурено адекватно ниво на защита.
Какво знаем за новия механизъм за правна защита?
Ще бъде въведен и нов механизъм за правна защита. Физическите лица от ЕС ще могат да получат обезщетение, след като потърсят защита от новосъздаден Съд за защита на личните данни, ако смятат, че разузнавателните служби на САЩ са ги проучвали и следили незаконно. Всъщност и Щитът за неприкосновеност съдържаше механизъм за правна защита, който бе въведен посредством фигурата на „омбудсмана„. Съдът на ЕС обаче го определи като неефективен, тъй като омбудсманът нямаше право да постановява решения, които са задължителни за разузнавателните служби. Остава да видим как новият Съд за защита на личните данни ще бъде различен. Начинът, по който такъв съд ще функционира в съдебната система на САЩ, също не е все още ясен.
Какво въздействие ще окаже това върху бизнесите?
Още преди да станат ясни подробностите за новоприетата Рамка, вече беше изразен скептицизъм по отношение на нейния успех, тъй като това ще бъде третият опит за създаване на надежден механизъм за сигурен трансфер на лични данни от ЕС към САЩ. До получаването на повече информация дружествата, които предават лични данни към САЩ, трябва да разчитат на други, разрешени от GDPR механизми, за трансфери на данни, каквито са например „стандартните договорни клаузи“ и „задължителните фирмени правила„.
За повече информация можете да се обърнете към:
Милеслава Богданова – Мишева, Старши правен консултант
mileslava.bogdanova@kdp-law.com
Симона Мокрева, Правен консултант
simona.mokreva@kdp-law.com