Суд ЄС скасував договір Privacy Shield про обмін даними між ЄС та США
Суд ЄС скасував договір про обмін даними між ЄС та США, відомий як Privacy Shield у зв’язку із зауваженнями до гарантій захисту приватності даних користувачів, які передаються у США.
Про це йдеться у рішенні Суду від 16 липня, з яким ознайомилася "Європейська правда".
Рішення пов’язане з позовом активіста з питань захисту даних Макса Шремса із Австрії (C-311/18, Facebook Ireland and Schrems), на думку якого стандартні положення контракту щодо трансферу даних (standard contractual clauses - SCC) не гарантували захисту приватності даних користувачів у разі передачі на сервери за межі ЄС, зокрема у роботі таких компаній як Facebook.
За результатами розгляду справи, Суд скасував рішення 2016/1250 щодо адекватності захисту, який забезпечувався у рамках Data Protection Shield між ЄС та США.
Водночас, рішення Єврокомісії 2010/87 щодо стандартних положень контракту щодо передачі особистих даних користувачів обробникам, розміщеним у третіх країнах, залишається чинним.
Ймовірність скасування механізму Privacy Shield допускали заздалегідь, так само була відома дата оголошення рішення. 30 червня єврокомісар з питань юстиції та захисту споживачів Дідьє Рейндерс зазначав, що Єврокомісія готується до різних варіантів у контексті з можливим рішенням Суду.
"У нас немає чіткого плану, але є певні ідеї щодо різних шляхів реагування, залежно від того, яким буде рішення Суду", - цитує Рейндерса видання Euractiv.
Раніше у 2015 році Суд ЄС відкинув попередній договір щодо трансферу даних між ЄС та США під назвою Safe Harbor - також після позовів Шремса.
Замість нього у лютому був ухвалений Privacy Shield. У ньому висунули жорсткіші зобов’язання до компаній щодо захисту приватності даних користувачів з ЄС, та жорсткіший моніторинг щодо дотримання цих вимог.
Зокрема, США дали гарантії ЄС, що доступ органів державної влади США до даних для забезпечення правопорядку та національної безпеки здійснюватиметься згідно з чіткими обмеженнями, гарантіями та механізмами нагляду.
Згідно із Загальним регламентом захисту даних (GDPR), передача даних користувачів з ЄС у третю країну можлива лише за умови, що в даній країні забезпечується належний захист цих даних.