Решението на Съда на ЕС по казуса Facebook: Правилата на играта за преноса на лични данни от ЕС в трети страни се променят


На 6 октомври 2015 г. излезе така очакваното решение на Съда на Европейския съюз (СЕС) по казуса Facebook. Решението на СЕС е по повод жалба на австрийски студент, подадена в местния регулатор за защита на лични данни. Студентът се противопоставя на трансферирането на негови лични данни от Европейския съюз (ЕС) в САЩ на сървъри, намиращи се в САЩ. Жалбата е отхвърлена с мотива, че има решение на Европейската комисия (1)(ЕК) (т.нар. Сейф Харбър споразумение) за наличието на режим на адекватна защита на личните данни в САЩ. Местният съд, пред който студентът обжалва отказа на регулатора да разследва, подава искане за преюдициално тълкуване от СЕС по въпроса дали решение/то на ЕК за адекватно ниво на защита препятства националните регулаторни органи, при подадена жалба, да разследват дали трета страна (извън ЕС и Европейското икономическо пространство) осигурява адекватно ниво на защита на личните данни и ако е приложимо, да спре трансфера на личните данни.

В крайна сметка изводите на Съда на ЕС са следните:

- Решение на ЕК не препятства националните регулаторни органи да разследват адекватността на нивото за защита на лични данни в трети страни при подадена жалба;
- СЕС прогласява решението на ЕК за трансфера на лични данни в САЩ за недействително.

Значението на решението на Съда на ЕС:

Макар СЕС да се произнася по конкретния казус за трансфер на лични данни от ЕС към САЩ, това решение е емблематично за генералното разбиране и тълкуване на Съда на ЕС по въпросите за трансфера на лични данни в трета страна, а именно:

- Наличието на решение на ЕК за адекватна защита на лични данни в трети страни (2) не препятства и не намалява правомощията на националните регулаторни органи по Хартата на основните права на ЕС и Директивата за личните данни(3) (Директивата);
- СЕС обръща внимание, че Директивата не съдържа разпоредби, които да забраняват на националните регулаторни органи при подадена жалба да разследват дали трансфера на лични данни от ЕС към трета страна е в съответствие с изискванията на Директивата, дори и да има решение на ЕК;
- Следователно националният регулаторен орган следва да положи цялата дължима грижа и да изследва нивото на адекватна защита в третата държава във връзка с подадената жалба;
- Ако националният регулаторен орган прецени, че нивото на адекватна защита в третата страна е под съмнение, той или засегнатото лице имат правото да се обърнат към националния съд за защита, а последният от своя страна може да сезира СЕС с преюдициално запитване, ако смята, че има основания за прогласяването на съответно решение на ЕК за недействително.

Практически последици:

- Практиката на българската Комисия за защита на личните данни (КЗЛД) показва, че преди трансфер на лични данни от България към САЩ компаниите следва да получат предварително нарочно разрешение от КЗЛД, независимо от т.нар. Сейф Харбър споразумение;
- Въпреки това решението на СЕС е повод за компаниите, които трансферират лични данни от България към САЩ (напр. американски компании с дъщерни дружества и/или клонове в България по отношение на лични данни на служители, клиенти, др.; компании, предоставящи аутсорсинг услуги с трансфер на лични данни в САЩ; базирани в САЩ дружества, които предоставят съхранение и облачни услуги на компании от ЕС; международни компании за набиране на персонал, които трансферират лични данни в САЩ; международни компании за бази данни; социални мрежи; др.), да прегледат договорите с контрагентите, служителите, подизпълнителите си за съответствие с режима за трансфер на лични данни, както и инструкциите си за работа с лични данни. Където е възможно, като алтернативен вариант биха могли да се ползват и останалите опции по Закона за защита на лични данни за трансфер на лични данни в трети страни – включване на стандартни договорни клаузи, одобрени от ЕК, изрично съгласие на лицето, приети oбвързващи корпоративни правила за вътрешногрупови трансфери на лични данни, др.;
- Независимо че в практиката на КЗЛД Сейф Харбър споразумението досега не е водело до отпадане на нарочната разрешителна процедура при трансфер на данни от България към САЩ, се предполага, че КЗЛД е вземала предвид вече направената оценка за адекватност на защита от страна на ЕК спрямо американските компании по споразумението Сейф Харбър. По тази причина е вероятно КЗЛД да изследва по-обстойно и детайлно всеки следващ поискан трансфер на лични данни към САЩ след решението на СЕС по казуса "Фейсбук".

----
(1) Решение 2000/520/ЕО
(2) Към момента такива решения на ЕК има за страните: Нова Зеландия, Източна република Уругвай, Израел, Андора, Фарьорските острови, Джърси, Остров Ман, Гърнси, Аржентина, Канада, Швейцария
(3) ДИРЕКТИВА 95/46/ЕО НА ЕП И НА СЪВЕТА от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни

-----
Статията не представлява правно становище или съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се обърнете към автора на e-mail: bliznakova@tmlawoffice.bg или на www.tmlawoffice.bg

100 лева глоба за "майна" на ченге

Предишна новина

Застъпник се сби с избиратели в шуменското село

Следваща новина

Коментари

0 Коментара

Твоят коментар

Сайтът е защитен с reCaptcha. Политика за лични данни.