00359877772602 office@dpa.bg

Международен правен център – ILAC Ви информира, че Основното споразумение, регулиращо прехвърлянето на данни на гражданите на Европейския съюз в Съединените американски щати, вече е неприложимо. На 16 юли 2020 г. Съдът на Европейския съюз издаде решение, с което обяви за „невалидно“ Решение (ЕС) 2016/1250 на Европейската комисия от 12 юли 2016 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ. В резултат на това, т. нар. „Privacy Shield” към днешна дата не се признава за валиден механизъм за спазване изискванията на ЕС.

СЕС стигна до заключението, че Щитът за защита на личните данни не осигурява необходимото ниво на защита, тъй като не е еквивалентно на законоустановените изисквания съгласно GDPR и правото на Съюза. Основните доводи в тази насока са свързани с използваните програми за наблюдение от правителството на САЩ и разузнавателните агенции, които не се ограничават до информация, която е „строго необходима и сведена до минимум“, поради което се разглеждат като непропорционални.

Въпреки това, Решението на Европейската комисия не освобождава от отговорност участниците в Privacy Shield относно защита на личните данни в рамките на прехвърлянето на данни между страните от Европейското икономическо пространство и САЩ. Съединените щати остават ангажирани да работят с ЕС, за да гарантират приемственост в трансатлантическите потоци от данни и защита на личния живот. На 10 август 2020 г. американският търговски секретар Уилбър Рос и европейският комисар по правосъдие Дидие Рейндерс издадоха съвместно изявление, като отбелязаха, че „Министерството на търговията на САЩ и Европейската комисия са започнали дискусии за оценка на потенциала за подобряване на ЕС. Рамката за защита на личните данни следва да се съобрази с решението на Съда на Европейския съюз от 16 юли по делото Schrems II.  Ще продължи й администрирането на Щитът за поверителност, докато тези дискусии продължават, включително обработване на заявления за оттегляне на участие от Щита за поверителност, поддържане на актуален списъка на участниците в него, така и данни за организациите, които са били извадени от този списък.

Също така, по отношение на американските дружества остават валидни други законоустановени основания във връзка със защитата на лични данни. Сега, след като Щитът за поверителност се счита за невалиден, компаниите, които искат да прехвърлят лични данни от Европейското икономическо пространство в САЩ, могат да използват други механизми, съвместими с GDPR, за да защитят своите лични данни, като например стандартните договорни клаузи и обвързващите корпоративни правила.

Стандартните договорни клаузи остават в сила, но правомерността им ще зависи от това дали на практика е възможно администраторът на данни да гарантира спазването на нивото на защита, установено в законодателството на ЕС. Това означава, че правата за защита на данните следва да бъдат защитени съгласно приложимия стандарт в ЕС, дори и да бъдат прехвърляни в трета страна.  Освен това, законосъобразно остава и даването на свободно информирано съгласие от субекта на данни, в случаите, когато лицето иска данните му да се прехвърлят в държава, която не е членка на ЕС. Друг вариант за правомерен износ на данни в САЩ остава и наличието на валидно договорно основание.

Вторият механизъм е предоставянето на обвързващи корпоративни правила.  Те представляват политики за защита на данните, спазвани от дружества, установени в ЕС, за прехвърляне на лични данни извън ЕС в рамките на група предприятия или предприятия. Такива правила трябва да включват всички общи принципи за защита на данните и приложими права, за да се гарантират подходящи защитни мерки за трансфер на данни. Те трябва да бъдат правно обвързващи и прилагани от всеки един член.

При възникнали въпроси, екипът на DPA.BG е готов да Ви предостави допълнителна информация относно поверителността на обработваните от Вас данни, както и да Ви консултира във връзка с предприемането на правни и фактически действия по отношение на Вашите контрагенти.

X