В соответствии с проектом решения об «адекватности», обнародованным сегодня Европейской комиссией, обязательства Соединенных Штатов в отношении конфиденциальности данных и безопасности, принятые в октябрьском указе, подписанном президентом Джо Байденом, были признаны соответствующими Общему регламенту ЕС по защите данных (GDPR). В случае принятия это решение обеспечит правовую основу для потоков персональных данных между ЕС и США.

Это долгожданное событие, поскольку некоторые национальные органы по защите данных в ЕС начали выдвигать серьезные угрозы, чтобы помешать американским поставщикам услуг, связанных с данными, предлагать услуги европейцам. В ожидании более подробного анализа я предлагаю здесь некоторые предварительные соображения.

Решение соответствует новой структуре конфиденциальности данных США

Решение комиссии последовало за изменениями в политике США, внесенными указом Байдена от 7 октября. В июле 2020 г. Шремс II Суд ЕС (CJEU) отменил предыдущее решение об адекватности на том основании, что граждане ЕС не получили достаточного возмещения в соответствии с законодательством США и что законодательство США не эквивалентно «минимальным гарантиям» защиты персональных данных в соответствии с законодательством ЕС. В новом указе введены механизмы возмещения ущерба, в том числе создание должности сотрудника по защите гражданских свобод в Управлении директора национальной разведки (DNI), а также нового Суда по рассмотрению вопросов защиты данных (DPRC). DPRC предлагается в качестве независимого контрольного органа, который будет принимать решения, обязательные для исполнения спецслужбами США.

Старая структура вызвала опасения по поводу независимости омбудсмена DNI и того, что считалось недостаточными гарантиями от внешнего давления, с которым может столкнуться человек, включая угрозу смещения. В соответствии с новой структурой независимость и обязательные полномочия DPRC основаны на правилах, изданных Генеральным прокурором США.

Чтобы снять озабоченность по поводу необходимости и соразмерности разведывательно-сигнальной деятельности США, указ также определяет «законные цели», для достижения которых может осуществляться такая деятельность. Эти действия, согласно приказу, будут проводиться с целью «достижения надлежащего баланса между важностью выдвигаемого приоритета проверенных разведывательных данных и влиянием на частную жизнь и гражданские свободы всех людей, независимо от их национальности или где бы они ни находились». может проживать».

Удовлетворит ли проект решения СЕС?

Этим проектом решения Европейская комиссия объявила, что положительно оценила изменения исполнительного указа в структуре защиты данных США, которые применяются к иностранцам из дружественных юрисдикций (предположительно, включая ЕС). Однако, если Комиссия официально примет решение об адекватности, это решение наверняка будет оспорено в СЕС защитниками конфиденциальности. В моем предварительном анализе после того, как Байден подписал указ, я резюмировал некоторые опасения, высказанные в отношении двух аспектов, имеющих отношение к установлению адекватности: пропорциональность сбора данных и доступность эффективного возмещения.

Противники вынесения решения об адекватности, как правило, полагаются на предположение, что определение адекватности требует практически идентичных материальных и процессуальных гарантий конфиденциальности, которые требуются в ЕС. Как отмечается Европейской комиссией в проекте решения, эта позиция не очень хорошо поддерживается прецедентным правом СЕС, в котором четко признается, что от третьих стран требуется только «адекватный уровень» и «существенная эквивалентность» защиты в соответствии с GDPR.

До настоящего времени СЕС не приходилось более подробно уточнять, что именно, по его мнению, означают эти положения. Вместо этого Суд смог просто указать на определенные особенности законодательства и практики США, которые значительно уступали стандарту GDPR (например , что должностному лицу, ответственному за предоставление индивидуальной компенсации, не гарантируется независимость от политического давления). Будущие юридические оспаривания нового решения Комиссии об адекватности, скорее всего, потребуют от СЕС предоставления дополнительных указаний относительно того, что означают «адекватный» и «по существу эквивалентный».

В проекте решения Комиссия тщательно рассмотрела особенности законодательства и практики США, которые Суд ранее счел неадекватными в соответствии с GDPR. Почти половина пояснительной части решения посвящена «доступу и использованию персональных данных, переданных с [EU] органами государственной власти в «Соединенных Штатах» с анализом, основанным на Шремс II решение. Комиссия приходит к выводу, что в совокупности все механизмы возмещения ущерба в США, доступные лицам из ЕС:

…предоставлять физическим лицам доступ к своим личным данным, проверять законность доступа правительства к их данным и, в случае обнаружения нарушения, исправлять такое нарушение, в том числе путем исправления или удаления их личных данных.

Комиссия признает, что физические лица имеют доступ к своим личным данным, обрабатываемым государственными органами США, но уточняет, что этот доступ может быть законно ограничен—например , по соображениям национальной безопасности. В отличие от некоторых критиков нового исполнительного указа, Комиссия не придерживается упрощенческого мнения о том, что доступ к персональным данным должен быть гарантирован той же процедурой, которая обеспечивает обязательное возмещение, включая Суд по пересмотру защиты данных. Вместо этого Комиссия признает, что эту функцию могут выполнять и другие способы, такие как запросы в соответствии с Законом о свободе информации.

В целом, Комиссия представляет сложную, но нециничную картину американского законодательства и практики. Отсутствие цинизма, например о независимости судебного процесса КНДР, несомненно, кому-то покажется наивным и нереалистичным, даже если «реализм» в данном случае основан на предположениях о том, что может произойти (например , секретные изменения в политике США), а не доказательства. Учитывая изменения, принятые правительством США, ключевым вопросом для СЕС будет вопрос о том, следовать ли подходу Комиссии или активистам.

Что будет дальше?

Проект решения об адекватности теперь будет тщательно изучен ЕС и национальными официальными лицами. Еще неизвестно, какими будут коллективные рекомендации Европейского совета по защите данных и представителей национальных правительств ЕС, но есть признаки того, что некоторые национальные органы по защите данных признают, что вывод об адекватности может быть уместным (см. например заключение администрации Гамбурга).

Также вероятно, что значительная часть Европарламента будет резко критиковать это решение, вплоть до рекомендации не принимать его. Однако важно отметить, что ни один из органов, с которыми проводятся консультации, не имеет официальных полномочий связывать Европейскую комиссию по этому вопросу. Ожидается, что весь процесс займет не менее нескольких месяцев.