Правилата на играта за преноса на лични данни от ЕС в трети страни се променят

Значението на решението на Съда на ЕС:

Макар СЕС да се произнася по конкретния казус за трансфер на лични данни от ЕС към САЩ, това решение е емблематично за генералното разбиране и тълкуване на Съда на ЕС по въпросите за трансфера на лични данни в трета страна, а именно:

- Наличието на решение на ЕК за адекватна защита на лични данни в трети страни (2) не препятства и не намалява правомощията на националните регулаторни органи по Хартата на основните права на ЕС и Директивата за личните данни(3) (Директивата);

- СЕС обръща внимание, че Директивата не съдържа разпоредби, които да забраняват на националните регулаторни органи при подадена жалба да разследват дали трансфера на лични данни от ЕС към трета страна е в съответствие с изискванията на Директивата, дори и да има решение на ЕК; - Следователно националният регулаторен орган следва да положи цялата дължима грижа и да изследва нивото на адекватна защита в третата държава във връзка с подадената жалба;

- Ако националният регулаторен орган прецени, че нивото на адекватна защита в третата страна е под съмнение, той или засегнатото лице имат правото да се обърнат към националния съд за защита, а последният от своя страна може да сезира СЕС с преюдициално запитване, ако смята, че има основания за прогласяването на съответно решение на ЕК за недействително.

Практически последици:

- Практиката на българската Комисия за защита на личните данни (КЗЛД) показва, че преди трансфер на лични данни от България към САЩ компаниите следва да получат предварително нарочно разрешение от КЗЛД, независимо от т.нар. Сейф Харбър споразумение;

- Въпреки това решението на СЕС е повод за компаниите, които трансферират лични данни от България към САЩ (напр. американски компании с дъщерни дружества и/или клонове в България по отношение на лични данни на служители, клиенти, др.; компании, предоставящи аутсорсинг услуги с трансфер на лични данни в САЩ; базирани в САЩ дружества, които предоставят съхранение и облачни услуги на компании от ЕС; международни компании за набиране на персонал, които трансферират лични данни в САЩ; международни компании за бази данни; социални мрежи; др.), да прегледат договорите с контрагентите, служителите, подизпълнителите си за съответствие с режима за трансфер на лични данни, както и инструкциите си за работа с лични данни. Където е възможно, като алтернативен вариант биха могли да се ползват и останалите опции по Закона за защита на лични данни за трансфер на лични данни в трети страни – включване на стандартни договорни клаузи, одобрени от ЕК, изрично съгласие на лицето, приети oбвързващи корпоративни правила за вътрешногрупови трансфери на лични данни, др.;

- Независимо че в практиката на КЗЛД Сейф Харбър споразумението досега не е водело до отпадане на нарочната разрешителна процедура при трансфер на данни от България към САЩ, се предполага, че КЗЛД е вземала предвид вече направената оценка за адекватност на защита от страна на ЕК спрямо американските компании по споразумението Сейф Харбър. По тази причина е вероятно КЗЛД да изследва по-обстойно и детайлно всеки следващ поискан трансфер на лични данни към САЩ след решението на СЕС по казуса "Фейсбук".

----

(1) Решение 2000/520/ЕО (2) Към момента такива решения на ЕК има за страните: Нова Зеландия, Източна република Уругвай, Израел, Андора, Фарьорските острови, Джърси, Остров Ман, Гърнси, Аржентина, Канада, Швейцария (3) ДИРЕКТИВА 95/46/ЕО НА ЕП И НА СЪВЕТА от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни

----- Статията не представлява правно становище или съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се обърнете към автора на e-mail: [email protected] или на www.tmlawoffice.bg

адв. Ивана Близнакова, Адвокатско дружество Точева и Мандажиева Фотограф : Капитал