Евросоюз принял третье соглашение с США о безопасном экспорте личных данных, но и его, возможно, придётся переделывать

Персональные данные европейцев теперь могут свободно и безопасно передаваться из ЕС в США без дополнительных условий или разрешений на основе механизма, который защищает людей и обеспечивает юридическую определённость компаниям. Платформа конфиденциальности данных (DPF) была анонсирована ещё в марте 2022 года, но потребовалось больше года, чтобы доработать её. Прежний механизм экспорта данных был признан судьями ЕС недействительным ещё три года назад.

Источник изображения: Pixabay

Нынешнее решение — уже третье по счёту и пока неясно насколько прочным оно будет. Еврокомиссар Дидье Рейндерс (Didier Reynders) настроен оптимистично, утверждая, что структура — не просто копия более ранних механизмов передачи, а «совершенно другая система и очень надёжное решение». Обе предшествующие договорённости (известные как Safe Harbor и Privacy Shield) были отклонены высшим судом ЕС, когда выяснилось, что экспортируемые в США личные данные не были защищены в соответствии с требуемыми правовыми стандартами.

Участники кампании по защите конфиденциальности предупреждают, что новое соглашение также может оказаться несовершенным. Критики соглашения утверждают, что США не предприняли никаких шагов, чтобы обеспечить защиту информации иностранцев. По их мнению, DPF все ещё содержит тот же фундаментальный юридический конфликт между правами на неприкосновенность частной жизни в ЕС и полномочиями США по наблюдению, описанными в 702 статье Акта о негласном наблюдении в целях внешней разведки (FISA). Статья посвящена сбору персональной информации лиц, находящихся за пределами США.

Источник изображения: pexels.com

Рейндерс признал, что сегодняшний «зелёный свет» — это, по сути, одностороннее решение исполнительной власти ЕС, а впереди месяцы (или даже годы) обсуждения в суде ЕС и окончательный вердикт по DPF может быть вынесен лишь через несколько лет. Для справки: юридические вопросы по Privacy Shield были переданы в суд в мае 2018 года, а решение об отмене этого механизма появилось только в июле 2020 года.

«Говорят, определение безумия — это делать одно и то же снова и снова и ожидать другого результата. Как и в случае с Privacy Shield, последнее соглашение основано не на материальных изменениях, а на политических интересах, — заявил председатель группы по защите конфиденциальности Макс Шремс (Max Schrems). — FISA 702 должна быть продлена США в этом году, но, с объявлением о новом соглашении DPF, ЕС потерял всякую возможность повлиять на реформу FISA 702».

«Мы добились значительных изменений в правовой базе США, — возражает Рейндерс. — Требования необходимости и пропорциональности теперь обеспечиваются гарантиями США. При оценке возможности доступа к данным американских спецслужб будут учитываться те же факторы, что и требования прецедентного права ЕС. Они включают характер данных, серьёзность угрозы и вероятное воздействие на права человека. Каждое разведывательное агентство США пересмотрело свои внутренние правила и процедуры для реализации новых требований на оперативном уровне».

Что касается переработанного механизма возмещения ущерба, Рейндерс описал его как «независимый и беспристрастный трибунал, который уполномочен расследовать жалобы, поданные европейцами, и выносить обязательные решения по исправлению положения», также отметив, что этот орган имеет право потребовать удаления данных, собранных с нарушениями.

Он подчеркнул, что механизм «удобен для пользователя» — граждане ЕС могут подать жалобу бесплатно и на своём родном языке, через местный орган по защите данных. Заявителю не нужно будет доказывать, что к его данным обращались спецслужбы США. Интересы истца бесплатно представит специальный адвокат с допуском службы безопасности. Возмещение ущерба контролируется независимым органом — Советом по надзору за конфиденциальностью и гражданскими свободами.

Критики нового соглашения полагают, что весь этот многолетний процесс — просто способ для законодателей по обе стороны океана выиграть ещё несколько лет отсрочки. Хорошим примером может служить ситуация с компанией Meta✴, которая уже около десяти лет подвергается преследованию за передачу данных из ЕС в США. В мае от компании потребовали в течении шести месяцев приостановить передачу персональных данных. Но после принятия DPF она может просто игнорировать приказ о приостановке. Правда, $1,3 млрд ей выплатить всё же придётся.

Этот процесс, который правозащитники назвали «разочаровывающим юридическим пинг-понгом», показывает, насколько сложно гражданам ЕС осуществлять право на неприкосновенность частной жизни. Технологические гиганты могут попирать права людей, пока получают достаточно прибыли, чтобы списывать любые штрафы на расходы по ведению бизнеса.

Конечно, в соответствии с принятыми законами, компании должны будут продемонстрировать, что они полностью соблюдают GDPR (Общее положение о защите данных). И тут Meta✴ придётся нелегко, поскольку регулирующие органы ЕС поставили под сомнение правовую основу, на которую Meta✴ ссылается при обработке данных для таргетинга рекламы. Даже если гиганту рекламных технологий теперь не придётся отрезать все потоки данных между ЕС и США, некоторые жёсткие реформы в рекламном бизнесе в ЕС теперь выглядят для компании неизбежными.