«Мы закроем Facebook и Instagram в Европе» или почему выгодней соблюдать GDPR

По данным портала News.com.au, компания Meta отметила, что развивающиеся законы и нормативные акты европейских регулирующих органов, судов и законодательных органов, которые все более жестко регламентируют социальные сети, что, в том числе, влияет на “принципиально важные операции” компании. В частности, компанией Meta было раскритиковано решение Суда Европейского союза от 2020 года относительно так называемого “Щита конфиденциальности". Также компания заявила о невозможности дальнейшего использования стандартных договорных условий (SCCs) для передачи данных на американские сервера, так как получила предварительный проект решения Ирландской комиссии по защите данных о том, что зависимость Meta от SCCs для передачи европейских данных не соответствует Общим правилам ЕС о защите данных.

В свете таких заявлений интерес для нас представляют следующие вопросы: как GDPR регулирует вопрос трансграничных передач данных; а также что такое стандартные договорные условия и почему «зависимость» от них – это опасный путь.

Трансграничной является передача данных за пределы Европейской экономической зоны, то есть в третью страну или международную организацию. При этом, согласно Руководству 05/2021, организации, входящие в одну и ту же корпоративную группу, могут квалифицироваться как отдельные контроллеры или процессоры, поэтому передачи данных между такими субъектами могут являться трансграничными. Особое внимание GDPR к такого рода передачам обусловлено необходимостью защиты прав субъектов данных там, где GDPR фактически не применяется. Так, согласно общему принципу передачи данных, закрепленному в ст. 44 GDPR, цель применения релевантных положений Регламента – обеспечить, чтобы уровень защиты физических лиц, гарантированный настоящим Регламентом, не подрывался.

Существуют различные механизмы достижения упомянутой цели, например, передача на основании решения об адекватности, согласно ст. 45 GDPR, однако на сегодняшний день такие решения приняты в отношении относительно небольшого количества стран. В этой связи при необходимости осуществления трансграничной передачи данных, компании чаще всего обращаются к механизмам, предлагаемым п.2 ст.46 GDPR, при условии, что: 1) контролёр или процессор обеспечивает соответствующие гарантии и при условии; а также, что 2) субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты (п.1 ст.46 GDPR). В качестве одного из таких механизмов предлагаются и стандартные договорные условия (SCC).

Стандартные договорные положения (SCCs) представляют собой стандартные наборы договорных положений и условий, на которые подписываются отправитель и получатель персональных данных, направленные на защиту персональных данных, покидающих Европейскую экономическую зону (ЕЭЗ), посредством договорных обязательств в соответствии с требованиями GDPR на территориях, которые, как считается, не обеспечивают адекватную защиту прав и свобод субъектов данных. 4 июня 2021 года Комиссия опубликовала обновленные стандартные договорные положения в соответствии с GDPR для передачи данных от контроллеров или процессоров в ЕС/ЕЭЗ (или иным образом подпадающих под действие GDPR) контроллерам или процессорам за пределами ЕС/ЕЭЗ (и не подпадающим под действие GDPR). Итак, если стандартные договорные условия действительно являются признанным механизмом защиты прав субъектов данных, в чем же тогда проблема с их использованием компанией Meta?

Для ответа на этот вопрос обратимся к решению Суда ЕС по делу Data Protection Commissioner/Facebook Ireland Ltd and Schrems, C-311/18 (2020). В данном деле, как раз напрямую касающемся Meta, направляющий суд пытался установить, какие элементы следует принимать во внимание для целей определения достаточности уровня защиты в контексте передачи персональных данных в третью страну на основе принятых стандартных положений о защите данных. В соответствии со статьей 46(2)(c) GDPR. Под достаточностью защиты подразумевается возможность заинтересованных лиц пользоваться соответствующими гарантиями и иметь обеспеченные правовой санкцией права и эффективные средства правовой защиты (п.1 ст.46). Согласно решению Суда, требуемая для этой цели оценка должна, в частности, учитывать, смогут ли договорные положения, согласованные между контролером или его процессором, зарегистрированным в Европейском Союзе, так и получателем данных, зарегистрированным в третьей стране, обеспечить надлежащую защиту, при условии возможного доступа государственных органов этой третьей страны к переданным персональным данным, в условиях правовой системы этой третьей страны (п.104). Также, как справедливо отметил Суд, госорганы третьих стран не связаны условиями стандартных договорных положений, соответственно не обязаны их исполнять, более того, не во всякой стране стандартные договорные условия могут действительно соблюдаться, что также следует принимать во внимание (п.106-126).

Что же из всего этого следует? Первое и главное! Стандартные договорные положения (SCCs) – это не панацея, которую можно использовать абсолютно в любом случае, любое количество раз, и, соответственно, избежать внимания надзорных органов. Использование SCC – это скорее исключение, нежели правило, к которому можно прибегнуть, когда требования Регламента, направленные на защиту субъектов данных, в большинстве своем выполняются, за исключением нескольких, выпадающих обработок, сопряженных с трансграничной передачей данных. Во-вторых, сам факт принятия SCC не может быть приравнен к выполнению требований GDPR, положения SCC должны быть выполнимы в той стране, в которую осуществляется передача данных, и, по итогу, выполнены. Отсюда основной вывод: все процессы компании, которая хочет работать в пределах ЕЭЗ, не могут строится исключительно на трансграничных передачах данных и, соответственно, зависеть от SCC.

В контексте ведения бизнеса, намного дешевле и быстрее будет перенести часть серверов, на которых осуществляется обработка данных европейцев на территорию ЕЭЗ, нежели тратить время и деньги, а также пятнать свою репутацию, бессмысленно воюя с надзорным органом. Угрозы и иные подобные заявления Meta скорее походят на борьбу Дон Кихота с ветряными мельницами: время утекает, стоимость акций падает, акционеры волнуются; а персональные данные в ЕС как защищались, так и будут защищаться.