EU-US Data Privacy Framework: передаче данных из ЕЭЗ в США быть
- Что из себя представляет EU-US Data Privacy Framework?
- На все ли компании распространяется действие EU-US Data Privacy Framework?
- Что означает EU-US Data Privacy Framework для бизнеса?
В мае 2023 года Ирландский контролирующий орган по защите персональных данных (DPC) принял резонансное решение в отношении Meta. Это решение ставило под сомнение законность практически любой передачи данных из ЕЭЗ в США. Подробнее об обстоятельствах дела можно почитать в нашем материале по ссылке.
С момента принятия этого решения европейские компании, сотрудничающие с американскими партнерами, оказались в затруднении по поводу того, как организовать передачу данных этим партнерам. Однако 10 июля 2023 года ситуация прояснилась: Европейская комиссия приняла решение об адекватности в отношении EU-US Data Privacy Framework.
Ниже юристы субпрактики защиты данных REVERA law group Алёна Поторская и Екатерина Яколцевич объяснили, как это повлияет на работу международного бизнеса.
Что из себя представляет EU-US Data Privacy Framework?
EU-US Data Privacy Framework представляет собой документ, где изложены обязательства по защите данных, при их передаче из ЕЭЗ в США. Этот документ был разработан совместно с европейскими регулирующими органами после отмены в 2021 году всем известного Privacy Shield. При этом EU-US Data Privacy Framework предоставляет большее количество гарантий защиты данных, чем в свое время Privacy Shield.
Американские компании, которые захотят присоединиться к EU-US Data Privacy Framework, должны будут обеспечивать соблюдение определенных гарантий для защиты данных. В частности, такие компании должны будут соблюдать требование об удалении данных после достижения цели их обработки (аналогичное правило содержится в GDPR).
На все ли компании распространяется действие EU-US Data Privacy Framework?
EU-US Data Privacy Framework применяется только к тем компаниям, которые добровольно приняли на себя обязательство соблюдать зафиксированные в документе стандарты. Эти компании должны проходить ежегодную сертификацию. Сертификация, а также контроль за соблюдением компаниями EU-US Data Privacy Framework, будет осуществляться Министерством торговли США.
Подтверждая своё участие в EU-US Data Privacy Framework, американская компания должна соблюдать не только стандартны EU-US Data Privacy Framework, но и нормы GDPR, а также нормы применимого законодательства о защите персональных данных США.
Для облегчения механизма прохождения сертификации Министерство торговли США запустило веб-сайт программы EU-US Data Privacy Framework. На этом сайте также можно проверить, присоединилась ли та или иная американская компания к EU-US Data Privacy Framework.
Что означает EU-US Data Privacy Framework для бизнеса?
В соответствии с нормами GDPR, передача персональных данных за пределы ЕЭЗ может беспрепятственно осуществляться лишь в случае, если в таком государстве обеспечивается адекватный уровень защиты персональных данных.
10 июля 2023 года Европейская комиссия приняла решение об адекватности в отношении EU-US Data Privacy Framework. Это значит, что компании, которые присоединились к EU-US Data Privacy Framework, считаются обеспечивающими надлежащий уровень защиты персональных данных. Иными словами, требования к передаче персональных данных американским компаниям, присоединившимся к EU-US Data Privacy Framework, будут такими же, как и требования к передаче данных в пределах ЕЭЗ – достаточно простыми.
Но в случае, если американская компания не является участником EU-US Data Privacy Framework, то передача персональных данных таким компаниям будет регулироваться ст. 46 GDPR. Эта статья устанавливает правила передачи персональных данных в государства, где не обеспечивается надлежащий уровень защиты персональных данных. А учитывая недавнее решение в отношении Meta, обеспечить их соблюдение будет очень трудно.
Читайте нас на vc.ru
Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera
