Басня про персональные данные, Facebook, безопасную гавань, щит и одного студента

Instagram: baranovalawgroup

Сайт :

Басня - короткий, чаще стихотворный нравоучительный рассказ. И ведь действительно получилось очень нравоучительно, о чем это мы?!

В последнее время довольно сильно ужесточились правила передачи персональных данных (о новых рекомендациях относительно трансграничной передачи данных Вы можете прочитать в моей статье, дам ссылку ниже). Тригерром таких изменений в том числе стали и постоянные «противоречия» между США и ЕС по вопросу конфиденциальности передаваемых через Атлантику данных, а все потому что у американских survellience authorities есть право без разрешения со стороны "обладателя личной информации" получить доступ к ней. Вот австрийскому студенту (на то время), посетившему Силиконовую долину, это и не понравилось. Да, безусловно, мы намекаем на Макса Шремса, который так радостно улыбается на фото выше.

До обращения Макса Шремся в Европейский суд трансфер данных осуществлялся путем использования такой схемы, как "Безопасная Гавань". Остановимся на ней.

Как известно, в 1995 г. была принята Директива ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных»[1](данная Директива является предшественником GDPR). Одним из главных положений, заслуживающих нашего внимания, является статья 25 Директивы, в которой указано, что должна быть прекращена передача персональных данных в страну не член ЕС (to a third country), если данная страна не обеспечивает достаточный уровень защиты данных (adequate level of protection). Тем не менее, как некоторое отступление рассматриваются случаи, перечисленные в ст. 26 этой же Директивы. К примеру, передача персональных данных в третью страну, которая не обеспечивает достаточный уровень защиты, может быть произведена в том случае, когда субъект персональных данных непосредственно дал свое согласие на такую передачу, или в том случае, когда передача необходима в целях защиты жизненно важных интересов субъекта данных. По своему содержанию данная норма тождественна действующей в настоящий момент ст. 49 GDPR и относится к категории “derogation”.

Однако, несмотря на перечень исключений, которые могли быть использованы компаниями из Европы и США, отдельная система трансфера все же была создана для передачи данных между ними. Для предотвращения случайного раскрытия и потери (accidentally disclosing and losing) персональных данных компаний ЕС и США были разработаны Принципы Конфиденциальности, в основу которых была положена схема «Безопасная Гавань» (Safe Harbor Scheme). Для осуществления трансграничной передачи американские компании должны были пройти сертификацию и регулярно подтверждать свое намерение придерживаться определенных принципов трансграничной передачи данных. Компаниям, соответствующим вышеуказанным критериям, в 2000 г. решением Европейской комиссии[2]было позволено осуществлять трансграничную передачу персональных данных из ЕС в США.

Подобная система трансграничной передачи данных могла быть актуальной и до 2020 г., если бы не дело Максимилиана Шремса, студента юридического факультета Венского Университета, который решил начать активную борьбу против политики Facebook в отношении доступа к персональным данным. В 2013 г. Шремс, являясь пользователем социальной сети Facebook, подает жалобу в Ирландский орган по защите данных[3] против Facebook IrelandLtd. Его требование было основано на том, что поступающие из Европы в Америку данные в том числе используются для программы PRISM[4]. Стоит также отметить, что власти Евросоюза прежде уже выражали обеспокоенность действием PRISMна том основании, что данная программа оставляет «лазейку» в системе «Безопасная гавань» для американских структур в области национальной безопасности и позволяет им осуществлять негласный сбор информации в обход Принципов Конфиденциальности.[5] Тем не менее даже этот факт не склонил Ирландский орган по защите данных на сторону М. Шремса: его жалоба была отклонена. В обосновании отказа ирландский орган указал, что данные передаются в соответствии с системой «Безопасная гавань», которая ранее была признана Европейской комиссией легальной.

Соответствующий спор был повторно рассмотрен Верховным судом Ирландии. На этот раз Суд действительно усомнился в легальности функционирования схемы «Безопасная гавань», однако окончательное решение не было принято. Высшая судебная инстанция поставила под сомнение сам факт наличия у нее полномочий на рассмотрение жалобы, в которой ставится вопрос об оценке уровня адекватности способа защиты данных третьим государством. В связи с этим, дело было направлено в Суд Европейского союза. Европейский суд указал, что американское законодательство в области сбора и использования данных превалирует над Принципами конфиденциальности, положенными в основу схемы «Безопасная гавань». Таким образом, суд пришел к выводу, что основополагающие принципы защиты персональных данных были поставлены под угрозу из-за приоритета национального законодательства США,[6] а, следовательно, недопустимо более применять схему «Безопасная гавань».

Одновременно с инвалидацией схемы «Безопасная гавань» новой системы предложено не было. Однако очевидно, что необходимость продолжения легальной передачи персональных данных между европейскими и американскими компаниями наличествовала. Это способствовало возобновлению переговоров между Еврокомиссией и Правительством США. Так, согласно официальному пресс-релизу от 2 февраля 2016 года, размещенного на сайте Европейского Союза, сторонам удалось достичь согласия по вопросу урегулирования новых положений в области трансатлантической передачи данных.[7]Новое соглашение о правилах обмена конфиденциальной информацией между ЕС и США получило название «Щит конфиденциальности» (EU– US Privacy Shield ). Следует отметить, что изначально соглашение вызвало неоднозначные оценки[8]. Как пример приведем мнение Джованни Буттарелли (возглавляющего аппарат Европейской инспекции по защите данных), который новый способ передачи данных оценил как недостаточно надежный.[9]Тем не менее, к основным особенностям системы «Щит конфиденциальности» относят ужесточение контроля за способами защиты персональных данных[10], что нацелено на обеспечение надежности при их передаче. Ужесточение выразилось в первую очередь в закреплении принципа целевого ограничения (п. 5 Решения)[11]: передача данных допускается только в строго установленных целях. Это положение направлено на минимизацию случаев «интрузивного» вмешательства в процесс обработки информации, которое уже было выявлено при функционировании схемы «Безопасная гавань».

Ужесточение требований к компаниям, собирающим персональные данные, проявляется и в том, что Министерство Торговли США может проводить exofficio периодические проверки сертифицированных организаций. В частности, были наделены контролирующими полномочиями и Федеральная торговая комиссия, и Министерство транспорта США, которые в пределах своих полномочий обеспечивали соблюдение требований «Щита конфиденциальности».

Как и ранее, в соответствии с правилами «Безопасной гавани», компании, обрабатывающие персональные данные граждан Евросоюза, подлежат обязательной сертификации. При сертификации компании подтверждают свое намерение добровольно соблюдать систему Принципов конфиденциальности ( принципов Европейской Директивы по защите данных), а также систему принципов, которая была дополнительно установлена Министерством Торговли США.[12]

Несмотря на ужесточение требований к субъектам передачи данных и самому процессу трансфера в целом, данная система также прекратила свое действие вследствие акта Европейского Суда. В очередной раз дело не обошлось без Максимилиана Шремса. Спор, который получил название SchremsII, все также начался с подачи заявления в Ирландский орган по защите данных. Шремс апеллировал к недопустимости действующих способов защиты данных, использованных Facebook. И действительно, защита данных стала выглядеть сомнительно в связи с опубликованными Эдвардом Сноуденом разоблачениями систем наблюдения, используемыми Агентством национальной безопасности США. Как и в деле SchremsI, вновь встает вопрос о приоритете национального законодательства США в области вмешательства в процесс передачи данных. Правовое регулирование США позволяет обходить положения «Щита конфиденциальности». Так, к примеру, законодательство США допускает «интрузивное» наблюдение со стороны государства, в частности, такое положение закреплено в разделе 702 Акта «О негласном наблюдении в целях внешней разведки» (FISA)[13], а также в Приказе № 12333 «О разведывательной деятельности в США»[14]. Под действие соответствующих актов подпадает любая информация о персональных данных, передающаяся в электронном виде. Вследствие невозможности обеспечить адекватную правовую защиту данных Европейский суд инвалидировал систему «Щит конфиденциальности».

А дальше - очень активно подключился к урегулированию вопросов передачи данных EDPB - European Data Protection Board, который в конце прошлого года выпустил «Рекомендации относительно применения дополнительных мер при трансграничной передаче данных, которые бы обеспечивали уровень их защиты, эквивалентный уровню, гарантируемому европейским законодательством» [15] и «Рекомендации относительно основных Европейских гарантий в области мер наблюдения». Подробнее о практических аспектах применения Рекомендаций Вы можете узнать из моей статьи для "Адвокатской Газеты". Ее анонс будет размещен на странице @baranovalawgroup в Инстаграм.

[1]Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Adopted on 10 November 2020// URL:https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf

[2]Recommendations 02/2020 on the European Essential Guarantees for surveillance measures, Adopted on 10 November 2020 // URL : https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_en.pdf

[1]EC Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281, 23.11.1995, p. 31

[2]2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441) (Text with EEA relevance.) Official Journal L 215 , 25/08/2000 P. 0007 - 0047

[3]Именно в Ирландии находилась штаб-квартира Facebook, что определило юрисдикцию спора. Говоря о национальном органе по защите данных в Ирландии, как нам кажется, необходимо и дать общее представление о системе действующих в ЕС органов по защите данных. Сразу стоит упомянуть Европейский совет по защите данных – EuropeanDataProtectionBoard(сокр. EDPB), созданный в соответствии с положениями Европейского регламента по защите данных ( GDPR). Европейский совет по защите данных заменил Рабочую группу (Workingparty), созданную в соответствии с положениями ст. 29 Европейской Директивы о защите персональных данных 1995 г., которая также была нами рассмотрена в данной статье. Основная задача EDPB, во-первых, – способствовать последовательному применению правил защиты данных на территории ЕС и, во-вторых, – содействовать сотрудничеству между другими надзорными органами[3]. В Европейских совет по защите данных входит Европейский инспектор по защите данных (или его представители) (EuropeanDataProtectionSupervisor) и представители национальных органов по защите данных ЕС (nationalprotectionauthorities). Одним из таких органов является Орган по защите данных в Ирландии, его второе название - An Coimisinéir Cosanta Sonraí. Регламентация полномочий данного органа содержится в ст. 9 Акта о защите данных, 1988 (DataProtectionAct, 1988 // URL: http://www.irishstatutebook.ie/eli/1988/act/25/enacted/en/html) и ст. 10 Акта о защите информации, 2003 (DataProtection(Amendment) Act2003, Order2003 ( S.I.No. 207 of2003) URL: http://www.irishstatutebook.ie/eli/2003/act/6/section/10/enacted/en/html#sec10).

[4]Статья«High Court refers Facebook privacy case to Europe» от18.06.2014 вИздании«The Irish Times»// URL: https://www.irishtimes.com/business/technology/high-court-refers-facebook-privacy-case-to-europe-1.1836657.Дата обращения к ресурсу :15.12.20.

[5]Тамже.

[6]Edward T. Hayes, Chair, LSBA International Law Section, Leake & Andersson, L.L.P., Ste. 1700, 1100 Poydras St., New Orleans, LA 70163.

[7]С пресс-релизом можно ознакомиться на официальном сайте ЕС // URL:https://ec.europa.eu/commission/presscorner/detail/en/IP_16_216. Дата обращения к ресурсу :15.12.20.

[8]Stephen Gardner, “EU Privacy Regulators Set Moratorium on Challenges to Data Transfer Pact,” Bloomberg BNA (July 26, 2016),https://bol.bna.com/eu-privacy-regulators-set-moratorium-onchallenges-to-data-transfer-pact/.

[9] С мнением Джованни Бутарелли можно ознакомиться в текста официального пресс-релиза Европейской инспекции по защите данных, посвященного оценке названым органом новой схемы трансатлантической передачи данных // URL: https://edps.europa.eu/sites/edp/files/edpsweb_press_releases/edps-2016-11-privacyshield_en.pdf.

[10]Doron S. Goldstein, Megan Hardiman, Matthew R. Baker, Joshua A. Druckermana1. Understanding the EU-US “ Privacy Shield” data transfer framework. Journal of Internet Law, November, 2016.

[11]Privacy Shield Adequacy Decision, 27-29; see also id., Annex II §§ III.3, 7(d). URL: https://iapp.org/media/pdf/resource_center/eu_us_privacy_shield_full_text.pdf.pdf

[12]Id., Annex II §§ III.1-16.

[13]The Foreign Intelligence Surveillance Act of 1978 ("FISA") Pub.L. 95–511, 92 Stat. 1783, 50 U.S.C. ch. 36

[14]The executive order of the US president No.12333 from December, 4th, 1981 "Prospecting activity of the United States". Executive Order 12333. United States Intelligence Activities // URL : https://www.cia.gov/about-cia/eo12333.html. Дата обращения: 14.12.20.