Делоит Ефектот од падот на механизмот за штит на приватност ЕУ-САД - кој е засегнат и какви алтернативи имаат

Материјал за мислење од Јулија Антоние, Делоит Централна Европа Лидер за приватност, и Силвија Аксинеску, сениор Управувачки соработник во „Реф и асоцијации“|Deloitte Legal

механизмот

Пресудата на Судот на правдата на Европската унија (СПЕУ) со кој се прогласува договорот за дозволување пренос на лични податоци помеѓу Европската унија (ЕУ) и Соединетите Американски Држави (ЕУ), наречен Штит за приватност ЕУ-САД, е неважечка и кај специјалистите за прашања за заштита на личните податоци, но особено кај мултинационалните компании. Тоа се главно компании кои пренесуваат податоци на матични компании или оние кои користат услуги на американски компании, како што се даватели на услуги во облак.

Сепак, пред да се процени влијанието што овој настан го има врз активноста на засегнатите компании, мора да се посочат неколку аспекти.

Кој беше механизмот Штит на приватност ЕУ-САД?

Програмата им дозволуваше на американските компании да се регистрираат на веб-страницата на Министерството за трговија на САД и да го самоовластат почитувањето на „Штитот на приватноста“ и да ги исполнуваат соодветните услови за заштита на личните податоци Придржувањето кон оваа програма го олеснува трансферот на податоците на граѓаните на ЕУ до американските компании и им дава доверба на партнерите и органите на ЕУ одговорни за заштита на личните податоци дека податоците на Европејците се обработуваат во согласност со барањата на GDPR.

Алтернативи на програмата Шилд на приватност ЕУ-САД

Важно е да се напомене дека не сите трансфери на лични податоци во САД се извршени во рамките на програмата Штит на приватност ЕУ-САД. Постојат компании кои или не се придржуваа до оваа рамка или ги сметаа за посоодветни другите опции што ги дава ГДПР.

  • Една од алтернативите на механизмот понуден од Штит за приватност се состои во употреба Врзувачки правила на компанијата, кодекс на правила развиен од компанијата и потврден од органите одговорни за заштита на личните податоци. Според овие правила, личните податоци можат да бидат пренесени во земји што не се членки на ЕУ. Главниот недостаток на користење задолжителни корпоративни правила е тоа што тие се однесуваат само на трансфери што се извршуваат во иста група компании и не можат да се користат во односот клиент-добавувач.
  • Употребата стандардни договорни услови усвоени од Европската комисија тоа е веројатно најшироко користената опција за демонстрација на соодветноста на мерките за заштита на личните податоци, која се состои од збир на одредби што завршува како посебен анекс во трговските односи со американските компании. Овие се достапни за компаниите на веб-страницата на Европската комисија. Одлуката донесена во четврток, 16 јули, ја задржува оваа опција за пренос на податоци во САД.

Покрај двете погоре опишани алтернативи, GDPR обезбедува и други соодветни начини за постигнување трансфер на податоци, кои во моментот се потешки за спроведување, но чијашто експлоатација се очекува да се зголеми во блиска иднина.

Овие вклучуваат:

  • употреба на договорни услови меѓу страните, за кои не е потребно одобрување од Комисијата, но мора да бидат овластени од надлежниот орган за заштита на податоците;
  • употреба на стандардни клаузули издадени од надлежен надзорен орган и одобрени од Европската комисија;
  • употреба на кодекс на однесување одобрен од надлежниот надзорен орган;
  • сертифицирање на американската компанија во согласност со одобрените механизми, постоечки на ниво на земја-членка на ЕУ.

Влијанието на одлуката на СПЕУ врз компаниите

Единствените компании погодени од одлуката на Европскиот суд на правдата се оние кои пренесувале лични податоци под штитот на приватност ЕУ-САД. Во такви случаи, по одлука на судот, потребно е да се оценат извршените трансфери и итно да се спроведе една од споменатите алтернативи.

Одлуката на СПЕУ веројатно особено ги загрижи корисниците на услугите во облак. Што се однесува до давателите на услуги во оваа категорија, од 2018 година (година на влегување во сила на GDPR), тие презедоа мерки за решавање на прашањето за трансфер на лични податоци. Меѓу другото, договорите склучени со давателите на услуги на облак вклучуваа гаранција во врска со зачувување на податоците на граѓаните на територијата на ЕУ.

Како заклучок, иако одлуката на СПЕУ има влијание во областа на преносот на лични податоци, засегнатите компании имаат на располагање одржливи алтернативи за да го продолжат својот бизнис во безбедноста на податоците и во согласност со важечките прописи.