Єврокомісія прийняла рішення про відповідність Рамкової угоди між ЄС та США про захист персональних даних

17/ 07/ 2023

Авторка: Софія Драч, юрист практики Технології та Інвестицій Juscutum 10 липня 2023 року Єврокомісія опублікувала рішення про відповідність Рамкової угоди між ЄС та США про захист персональних даних (Adequacy decision for the EU-US Data Privacy Framework), започаткувавши нову еру правовідносин у сфері обміну даними між країнами ЄЕЗ та США. Рішення регламентує, що США забезпечує належний рівень захисту персональних даних, які передаються з ЄС до американських компаній. Такий рівень захисту можна порівняти з рівнем захисту ЄС. Що являє собою Рамкова угода між ЄС і США про захист даних? Угода запроваджує нові обовязкові до виконання гарантії, зокрема обмеження доступу американських спецслужб до даних ЄС до пропорційного рівня, а також передбачає створення Суду з питань захисту даних (DPRC) для захисту прав громадян ЄС. Відтак, якщо DPRC виявить, що дані були зібрані з порушенням нових гарантій, він зможе видати наказ про видалення цих даних. Крім того, нові гарантії доповнять зобовязаннями, які американські компанії, що отримують дані з ЄС, повинні будуть дотримуватися. Що являє собою Рішення про відповідність? Рішення про відповідність є одним з інструментів, передбачених Загальним регламентом про захист даних (GDPR) для передачі персональних даних з ЄС до третіх країн, які, за оцінкою Комісії мають забезпечувати рівень захисту персональних даних, який можна порівняти з рівнем захисту персональних даних в ЄС. Які наслідки тягне за собою прийняття такого рішення? Відтепер персональні дані можуть вільно, безперешкодно та безпечно передаватися з ЄЕЗ, що включає 27 держав-членів ЄС, а також Норвегію, Ісландію та Ліхтенштейн, до США. Тобто, передача даних до США може здійснюватися так само, як і передача даних всередині ЄС. Що означає таке рішення для суб’єктів, що переміщують персональні дані з ЄС до США? Рамкова угода гарантує громадянам ЄС, чиї дані будуть передані компаніям у США, додаткові права (наприклад, отримання доступу до своїх даних, виправлення або видалення неправильних або незаконно оброблених даних). Крім того, передбачено нові способи відшкодування збитків у разі неправомірної обробки даних та безкоштовні незалежні механізми вирішення спорів. Так, американські компанії можуть підтвердити свою участь у Рамковій угоді про захист даних між ЄС та США, взявши на себе зобовязання дотримуватися усіх зобовязань щодо захисту даних (наприклад, такі принципи конфіденційності, як обмеження цілей, мінімізація та збереження даних, а також конкретні зобовязання щодо безпеки даних та обміну даними з третіми сторонами). Тож відтепер європейські організації зможуть передавати персональні дані американським компаніям-учасникам Рамкової угоди без необхідності вживати додаткових заходів для захисту даних. Яка дата набуття чинності рішенням? Рішення Єврокомісії набуло чинності з моменту його прийняття – 10 липня 2023 року. Комісія буде постійно відслідковувати дотримання норм захисту даних в США і регулярно переглядати рішення про відповідність. Перший перегляд відбудеться протягом року після набуття чинності рішенням про відповідність. Згодом, залежно від результатів першого перегляду, Комісія прийме рішення про періодичність майбутніх строків перегляду, які відбуватимуться щонайменше кожні 4 роки. Рішення про відповідність може бути змінене або відкликане у разі виникнення обставин, що впливають на рівень захисту в третій країні. Таким чином, обмінюватись персональними даними між компаніями-резидентами ЄЕЗ та компаніями з США стане безпечніше. Оскільки відтепер доступ американських спецслужб до даних ЄС обмежено, а громадяни ЄС зможуть захисти свої права у новоствореному Суді з питань захисту даних. Крім того посилено гарантії захисту персональних даних і передбачено додаткові способи захисту та відшкодування збитків громадянам ЄС. Єврокомісія на своєму сайті опублікувала FAQ, де можна ознайомитися із детальним аналізом Рішення про відповідність Рамкової угоди між ЄС та США про захист персональних даних: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752.

Авторка: Софія Драч, юрист практики Технології та Інвестицій Juscutum

10 липня 2023 року Єврокомісія опублікувала рішення про відповідність Рамкової угоди між ЄС та США про захист персональних даних (Adequacy decision for the EU-US Data Privacy Framework), започаткувавши нову еру правовідносин у сфері обміну даними між країнами ЄЕЗ та США.

Рішення регламентує, що США забезпечує належний рівень захисту персональних даних, які передаються з ЄС до американських компаній. Такий рівень захисту можна порівняти з рівнем захисту ЄС.

Що являє собою Рамкова угода між ЄС і США про захист даних? Угода запроваджує нові обов’язкові до виконання гарантії, зокрема обмеження доступу американських спецслужб до даних ЄС до пропорційного рівня, а також передбачає створення Суду з питань захисту даних (DPRC) для захисту прав громадян ЄС. Відтак, якщо DPRC виявить, що дані були зібрані з порушенням нових гарантій, він зможе видати наказ про видалення цих даних. Крім того, нові гарантії доповнять зобов’язаннями, які американські компанії, що отримують дані з ЄС, повинні будуть дотримуватися.

Що являє собою Рішення про відповідність? Рішення про відповідність є одним з інструментів, передбачених Загальним регламентом про захист даних (GDPR) для передачі персональних даних з ЄС до третіх країн, які, за оцінкою Комісії мають забезпечувати рівень захисту персональних даних, який можна порівняти з рівнем захисту персональних даних в ЄС.

Які наслідки тягне за собою прийняття такого рішення? Відтепер персональні дані можуть вільно, безперешкодно та безпечно передаватися з ЄЕЗ, що включає 27 держав-членів ЄС, а також Норвегію, Ісландію та Ліхтенштейн, до США. Тобто, передача даних до США може здійснюватися так само, як і передача даних всередині ЄС.

Що означає таке рішення для суб’єктів, що переміщують персональні дані з ЄС до США? Рамкова угода гарантує громадянам ЄС, чиї дані будуть передані компаніям у США, додаткові права (наприклад, отримання доступу до своїх даних, виправлення або видалення неправильних або незаконно оброблених даних). Крім того, передбачено нові способи відшкодування збитків у разі неправомірної обробки даних та безкоштовні незалежні механізми вирішення спорів.

Так, американські компанії можуть підтвердити свою участь у Рамковій угоді про захист даних між ЄС та США, взявши на себе зобов’язання дотримуватися усіх зобов’язань щодо захисту даних (наприклад, такі принципи конфіденційності, як обмеження цілей, мінімізація та збереження даних, а також конкретні зобов’язання щодо безпеки даних та обміну даними з третіми сторонами).

Тож відтепер європейські організації зможуть передавати персональні дані американським компаніям-учасникам Рамкової угоди без необхідності вживати додаткових заходів для захисту даних.

Яка дата набуття чинності рішенням? Рішення Єврокомісії набуло чинності з моменту його прийняття – 10 липня 2023 року. Комісія буде постійно відслідковувати дотримання норм захисту даних в США і регулярно переглядати рішення про відповідність. Перший перегляд відбудеться протягом року після набуття чинності рішенням про відповідність. Згодом, залежно від результатів першого перегляду, Комісія прийме рішення про періодичність майбутніх строків перегляду, які відбуватимуться щонайменше кожні 4 роки. Рішення про відповідність може бути змінене або відкликане у разі виникнення обставин, що впливають на рівень захисту в третій країні.

Таким чином, обмінюватись персональними даними між компаніями-резидентами ЄЕЗ та компаніями з США стане безпечніше. Оскільки відтепер доступ американських спецслужб до даних ЄС обмежено, а громадяни ЄС зможуть захисти свої права у новоствореному Суді з питань захисту даних. Крім того посилено гарантії захисту персональних даних і передбачено додаткові способи захисту та відшкодування збитків громадянам ЄС.

Єврокомісія на своєму сайті опублікувала FAQ, де можна ознайомитися із детальним аналізом Рішення про відповідність Рамкової угоди між ЄС та США про захист персональних даних: https://ec.europa.eu/commission/presscorner/detail/en/qanda_23_3752.