Передача персональных данных из Европы в США больше не разрешается?
Решение Суда Европейского Союза по иску против Facebook
Суд Европейского Союза принял решение [1], которое может привести к тому, что передача персональных данных из Европы в США будет признана противоречащей требованиям законодательства ЕС о защите персональных данных [2]. Это решение было принято 6 октября 2015 года на основании обращения австрийского юриста Maximilian Schrems, аспиранта Венского Университета, в Ирландский суд с жалобой против Facebook. Он жаловался, что Facebook хранит его персональные данные в США, включая те, которые он удалил со своей страницы, и тем самым нарушает его права на охрану персональных данных. В качестве аргумента о существовании угрозы Максимилиан Шремс ссылался на признание Эдварда Сноудена о том, что американские спецслужбы получали информацию о гражданах от Google, Apple и Facebook.
Ирландский суд передал на рассмотрение Суду Европейского Союза вопрос о том, нарушаются ли права пользователей при передаче их персональных данных в США.
В Еропейском Союзе действует директива о защите персональных данных [3], которая предусматривает, что персональные данные могут передаваться в другие страны, если при этом в стране, куда они передаются, обеспечивается определенный уровень их защиты. Вопрос о том, обеспечивается ли защита персональных данных в конкретной стране, может решаться Комиссией ЕС. Но следить за соблюдением требований директивы должны специально уполномоченные органы каждого государства – члена ЕС.
В июле 2000 года Комиссия ЕС приняла решение, что в США обеспечивается требуемый уровень защиты персональных данных – так называемое Safe Harbour Decision [4]. Причем в этом решении Комиссии говорится, что американские компании, которые сами себя сертифицируют на основании safe harbor program, обеспечивают необходимую защиту персональных данных.
В своем решении Суд ЕС указал, что указанные выводы Комиссии никак не влияют на обязанности специально уполномоченных органов в государствах-членах ЕС следить за охраной персональных данных. И более того, решение Комиссии не является обязательным для этих органов. Но при этом Суд также рассмотрел и само решение Комиссии и признал его недействительным. Выводы Суда базируются на том факте, что на самом деле Комиссия, принимая решение Safe Harbour Decision, не изучала положения законодательства США на предмет охраны персональных данных. Кроме того, safe harbor program, которую обязывались соблюдать компании, никак не влияет на действия государственных органов США. На самом деле власти США имеют возможность почти неограниченного доступа к персональным данным. Вторым аргументом Суда стал тот факт, что законодательством США не предусматривает возможность обращений пользователей с просьбой изменить их данные или удалить их, если они являются не точными или недостоверными. Все это идет в разрез с двумя требованиями законодательства Европейского Союза: об охране персональных данных и об обеспечении доступа к правосудию.
Европейское ИТ сообщество очень встревожено этим решением. Некоторые комментаторы даже заявили, что около 4.400 европейских компаний, хранящих данные европейских пользователей на американских серверах, должны срочно решить как переместить все эти данные на другую территорию. Также указываются большие суммы потерь в связи с этим: 1,3% ВВП Европейского Союза [5]. Но на самом деле это не совсем так.
Пока что единственное, что последует за решением Суда ЕС, это то что вопрос о том, может ли Facebook передавать персональные данные европейских пользователей в США, будет рассмотрен специально уполномоченным органом в Ирландии. И уже на основании этого административного решения компании, передающие персональные данные в США, могут начать беспокоиться о передаче данных. Но формально, решение ирландских властей не будет угрожать компаниям из других стран ЕС. Хотя в долгосрочной перспективе можно представить себе постепенное признание Европейским Союзом ненадежности США для хранения персональных данных пользователей. Но что последует после этого спрогнозировать практически не возможно: в борьбе интересов спец служб и крупнейших ИТ компаний, как Facebook, исход не ясен.
В общем, вопрос о хранении и локализации персональных данных в последнее время становится все более актуальным во многих странах. В России с 1 сентября 2015 года действует требование о хранении персональных данных на серверах, расположенных на территории России. Хотя, как всегда, вопросов больше, чем ответов. Например, как доказать трансграничную передачу данных в нарушение требования о локализации? Очевидно, что в ближайшие годы вопросы, связанные с персональными данными, будут крайне актуальными. Не спроста же говорят, что “personal data is the new oil of XXI century”.
[1] Judgment in Case C-362/14 Maximillian Schrems v Data Protection Commissioner.
[2] Charter of fundamental rights of the European Union (2000/C 364/01), article 8.
[3] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
[4] Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce.
[5] The Guardian: www.theguardian.com/world/2015/oct/06/us-digital-data-storage-systems-enable-state-interference-eu-court-rules
Суд Европейского Союза принял решение [1], которое может привести к тому, что передача персональных данных из Европы в США будет признана противоречащей требованиям законодательства ЕС о защите персональных данных [2]. Это решение было принято 6 октября 2015 года на основании обращения австрийского юриста Maximilian Schrems, аспиранта Венского Университета, в Ирландский суд с жалобой против Facebook. Он жаловался, что Facebook хранит его персональные данные в США, включая те, которые он удалил со своей страницы, и тем самым нарушает его права на охрану персональных данных. В качестве аргумента о существовании угрозы Максимилиан Шремс ссылался на признание Эдварда Сноудена о том, что американские спецслужбы получали информацию о гражданах от Google, Apple и Facebook.
Ирландский суд передал на рассмотрение Суду Европейского Союза вопрос о том, нарушаются ли права пользователей при передаче их персональных данных в США.
В Еропейском Союзе действует директива о защите персональных данных [3], которая предусматривает, что персональные данные могут передаваться в другие страны, если при этом в стране, куда они передаются, обеспечивается определенный уровень их защиты. Вопрос о том, обеспечивается ли защита персональных данных в конкретной стране, может решаться Комиссией ЕС. Но следить за соблюдением требований директивы должны специально уполномоченные органы каждого государства – члена ЕС.
В июле 2000 года Комиссия ЕС приняла решение, что в США обеспечивается требуемый уровень защиты персональных данных – так называемое Safe Harbour Decision [4]. Причем в этом решении Комиссии говорится, что американские компании, которые сами себя сертифицируют на основании safe harbor program, обеспечивают необходимую защиту персональных данных.
В своем решении Суд ЕС указал, что указанные выводы Комиссии никак не влияют на обязанности специально уполномоченных органов в государствах-членах ЕС следить за охраной персональных данных. И более того, решение Комиссии не является обязательным для этих органов. Но при этом Суд также рассмотрел и само решение Комиссии и признал его недействительным. Выводы Суда базируются на том факте, что на самом деле Комиссия, принимая решение Safe Harbour Decision, не изучала положения законодательства США на предмет охраны персональных данных. Кроме того, safe harbor program, которую обязывались соблюдать компании, никак не влияет на действия государственных органов США. На самом деле власти США имеют возможность почти неограниченного доступа к персональным данным. Вторым аргументом Суда стал тот факт, что законодательством США не предусматривает возможность обращений пользователей с просьбой изменить их данные или удалить их, если они являются не точными или недостоверными. Все это идет в разрез с двумя требованиями законодательства Европейского Союза: об охране персональных данных и об обеспечении доступа к правосудию.
Европейское ИТ сообщество очень встревожено этим решением. Некоторые комментаторы даже заявили, что около 4.400 европейских компаний, хранящих данные европейских пользователей на американских серверах, должны срочно решить как переместить все эти данные на другую территорию. Также указываются большие суммы потерь в связи с этим: 1,3% ВВП Европейского Союза [5]. Но на самом деле это не совсем так.
Пока что единственное, что последует за решением Суда ЕС, это то что вопрос о том, может ли Facebook передавать персональные данные европейских пользователей в США, будет рассмотрен специально уполномоченным органом в Ирландии. И уже на основании этого административного решения компании, передающие персональные данные в США, могут начать беспокоиться о передаче данных. Но формально, решение ирландских властей не будет угрожать компаниям из других стран ЕС. Хотя в долгосрочной перспективе можно представить себе постепенное признание Европейским Союзом ненадежности США для хранения персональных данных пользователей. Но что последует после этого спрогнозировать практически не возможно: в борьбе интересов спец служб и крупнейших ИТ компаний, как Facebook, исход не ясен.
В общем, вопрос о хранении и локализации персональных данных в последнее время становится все более актуальным во многих странах. В России с 1 сентября 2015 года действует требование о хранении персональных данных на серверах, расположенных на территории России. Хотя, как всегда, вопросов больше, чем ответов. Например, как доказать трансграничную передачу данных в нарушение требования о локализации? Очевидно, что в ближайшие годы вопросы, связанные с персональными данными, будут крайне актуальными. Не спроста же говорят, что “personal data is the new oil of XXI century”.
[1] Judgment in Case C-362/14 Maximillian Schrems v Data Protection Commissioner.
[2] Charter of fundamental rights of the European Union (2000/C 364/01), article 8.
[3] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
[4] Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce.
[5] The Guardian: www.theguardian.com/world/2015/oct/06/us-digital-data-storage-systems-enable-state-interference-eu-court-rules