Спецпроекты

Европа запрещает хранить в США данные своих граждан

2903
Безопасность Стратегия безопасности Бизнес Законодательство Интернет ИТ в госсекторе Маркет
Европейский суд существенно усложнил жизнь международным компаниям, запретив трансфер персональных данных из ЕС в США в рамках соглашения, известного как Privacy Shield. Служители Фемиды сочли, что передача данных американцам подвергает граждан ЕС риску слежки со стороны властей США.

Конец «Щита конфиденциальности»

Европейский суд в Люксембурге отменил соглашение о трансфере данных между Евросоюзом и США, известное как Privacy Shield (в переводе с англ. – «Щит конфиденциальности»), из-за опасений по поводу возможной слежки со стороны американских властей.

Как отмечает Bloomberg, судебное решение может значительно усложнить деятельность более чем 5,3 тыс. компаний, которые одновременно работают по обе стороны Атлантики, хотя и не сделает передачу данных из ЕС в США полностью незаконной.

Противоречия между ЕС и США касательно конфиденциальности передаваемых данных своими корнями уходят в 2013 г., когда бывший подрядчик Агентства национальной безопасности (АНБ) США Эдвард Сноуден (Edward Snowden) пролил свет на масштабы слежки, осуществляемой американскими спецслужбами.

Напомним, Сноуден передал газетам Washington Post и Guardian секретные материалы о работе американской программы PRISM. Сообщалось, что с помощью PRISM АНБ способно просматривать электронную почту, голосовые и видеочаты, пересылаемые фото, видео, файлы и читать скрытые записи в соцсетях.

Раскрытая Сноуденом информация сподвигла другого известного борца за приватность – австрийского юриста Макса Шремса (Max Schrems), ввязаться в тяжбу с Facebook в судах Ирландии – именно там зарегистрировано европейское юридическое лицо транснациональной корпорации – из-за сотрудничества соцсети с американскими спецслужбами.

Суд ЕС отметил соглашение с США об обмене ПД через интернет из-за страха слежки за европейцами со стороны властей США

Комментируя решение суда об отмене Privacy Shield, Шремс отметил, что «США придется существенно пересмотреть законодательство в сфере слежки, если американские компании по-прежнему хотят играть важную роль на рынке ЕС».

Кто пострадает сильнее всего

По оценке Bloomberg, отмена действия соглашения не означает полного запрета экспорт данных из ЕС в США, однако несет бизнесу, в первую очередь американскому, серьезные правовые риски.

В Европе по-прежнему действует механизм так называемых стандартных договорных условий (Stadard Contractual Clauses), который позволит осуществлять трансатлантический трансфер данных при соблюдении ряда жестких правил. Кроме того, Privacy Shield существует альтернатива в виде механизма обязывающих корпоративных правил (Binding Corporate Rules). С его помощью и с одобрения европейских регуляторов компания может получить разрешение на обмен данными между своими подразделениями, находящимися на территориях США и ЕС.

Большинство опрошенных изданием экспертов сходятся во мнении, что гигантам вроде Facebook, Google или Microsoft адаптироваться к новым условиям будет значительно проще, чем представителям малого бизнеса или стартапам.

Хуже всех придется полностью цифровым компаниям. Например, американской компании, которая оказывает цифровые услуги жителям ЕС, но при этом не имеет филиала на его территории, придется просто уйти с этого рынка, поскольку она не сможет опираться ни на один из альтернативных правовых механизмов организации обмена данными. В не менее сложной ситуации могут оказаться и европейские стартапы, к примеру, отдающие анализ пользовательских данных на аутсорс или имеющие персонал на территории США.

История соглашений об обмене данными между ЕС и США

Соглашение Privacy Shield было одобрено Еврокомиссией в июле 2016 г. и в тот же день вступило в законную силу. Оно регулировало обмен персональными данными для коммерческих целей между ЕС и США.

Принятие соглашения упростило американским компаниям доступ к данным граждан ЕС при соблюдении европейского законодательства в области защиты конфиденциальности. В частности, США дали гарантии ЕС, что доступ американских госструктур к таким данным в интересах обеспечения правопорядка и национальной безопасности, будет осуществляться в соответствии с конкретными ограничениями при наличии надежного механизма надзора.

Однако, отмечает Bloomberg, практически с момента вступления в силу Privacy Shield вызывал сомнения в том, что американская сторона будет добросовестно выполнять свои обязательства.

Введению Privacy Shield предшествовала отмена в 2015 г. другого соглашения схожего характера, но на менее строгих условиях – Safe Harbour Privacy Principles. Оно позволяло американским компаниям хранить данные европейских граждан при условии соблюдения семи основных принципов, прописанных в Директиве о защите данных (DPD, Data Protection Directive), принятой в 1995 г. и впоследствии вытесненной более строгим Общим регламентом по защите данных (GDPR, General Data Protection Regulation).

Защита персональных данных в России, ЕС и США

Закон о локализации персональных данных россиян в пределах границ России (242-ФЗ) был подписан Президентом России Владимиром Путиным 31 декабря 2014 г. В силу документ вступил 1 сентября 2015 г.

В первую очередь закон направлен против крупных иностранных корпораций – некоторые из них за первые четыре года действия закона были оштрафованы на 3 тыс. руб. К их числу относятся Facebook и Twitter, которым Роскомнадзор в декабре 2018 г. направлял требования о предоставлении сведений по локализации данных российских пользователей на территории России. В январе 2019 г. он завел на них дело, а в апреле 2019 г. обе компании получили штраф на указанную сумму. В обоих случаях постановление вынес Мировой суд Таганского района Москвы, хотя Twitter еще в апреле 2017 г. заявлял о готовности перенести персональные данные россиян в Россию.

В ряде случаев компаниям могут грозить не только крупные штрафы, но и блокировки их веб-ресурсов в российском сегменте интернета. Так произошло с крупной социальной сетью LinkedIn – постановление о блокировке выдал тот же Таганский суд Москвы, а соответствующий иск за несоблюдение требований по локализации персональных данных российских граждан подал Роскомнадзор.

В странах ЕС 25 мая 2018 г. вступил в силу GDPR – новый регламент защиты персональных данных, который ужесточил требования к получению согласия на обработку данных и наделил субъектов данных новыми правами. GDPR распространяется как на европейские организации, так и на филиалы зарубежных компаний, работающих в Европе. Непосредственно новые правила касаются тех, кто работает с персональными данными клиентов.

В конце сентября 2018 г. Администрация президента США Дональда Трампа объявила о начале разработки федеральных стандартов конфиденциальности на фоне громких скандалов, имеющих отношение к утечкам персональных данных, в частности резонансная история Cambridge Analytica, которой удалось получить и использовать в политических целях данные 87 млн пользователей Facebook.