На 10 юли 2023 г. Европейската комисия („ЕК“) прие решение, с което признава, че новосъздадената Рамка за защита на личните данни между ЕС и САЩ („Рамката“) в достатъчна степен гарантира сигурността на данните при тяхното предаване. С това ЕК прие решителен ход в посока облекчаване на режима за трансфер на лични данни между ЕС и САЩ и създаде условия за задълбочаване на партньорството и подобряване на бизнес отношенията.
Какво ново?
На първо място, за да се приложи Рамката за защита на личните данни, трябва американските дружества да фигурират в „Списъка на рамката за поверителност на данните“, поддържан и публично достъпен от Министерството на търговията на САЩ. За да се включат дружествата в този списък, те трябва да поемат редица задължения, насочени към запазването на предаваните лични данни на субекти от ЕС. Задълженията, които следва да се спазват дружествата фигуриращи в списъка, са насочени към неприкосновеността на личния живот – например изискването за заличаване на лични данни, когато те вече не са необходими за целта, за която са били събрани, както и за осигуряване на непрекъснатост на защитата, когато личните данни се споделят с трети страни. В Рамката са включени и доста принципи от Общия регламент за защита на данните („ОРЗД“), по-познат като GDPR. Сред тях са ограничаване на целите на обработка, точност, прозрачност и др. Предоставената по този ред защита трябва приблизително да съответства на осигурената от ОРЗД.
Тъй като е издадено решение за адекватност, съгласно чл. 45, пара. 1 от GDPR, предаването на данни на граждани на ЕС към дружества в САЩ става въз основа на така издаденото решение, без да се прилагат допълнителни инструменти за предаването на данните.
Следователно, по аргумент за противното, предаването на данни между ЕС и САЩ, когато американското дружество получател на данните не фигурира в „Списъка на рамката за поверителност на данните“, се осъществява по познатия досега ред- чрез стандартни договорни клаузи, задължителни фирмени правила и др.
Сред гаранциите за сигурността, предоставени от САЩ по отношение на личните данни на европейските субекти, са:
А) ограничаване на достъпа на разузнавателните служби на САЩ до необходимото за защита на националната им сигурност;
Б) гарантиране на повече права на субектите на данни и реална възможност за тяхното упражняване;
В) създава се специален орган- Съд за контрол на защитата на данните.
Така субектите на данни ще имат достъп до безпристрастен и независим компетентен орган и реално работещ механизъм за обжалване срещу незаконосъобразно обработване на лични данни.
С предвидените гаранции в Рамката за защита на личните данни, субектите на данни ще могат да получат достъп, да коригират, да изтрият или да възразят срещу обработката на личните си данни. Това разрешение до голяма степен съответства на предвидените права на субектите на данни в ОРЗД. Важно е да се отбележи, че субектите на данни ще могат да упражняват тези права не само към администраторите, намиращи се в ЕС, но и директно към получателите в САЩ. Новият Съд за контрол по защитата на данните може да бъде сезиран с надлежно подадена жалба и има правомощието, когато установи, че личните данни са събрани в нарушение на новите гаранции, да постанови заличаването им или да наложи други коригиращи мерки.
Контекст
Посоченото решение от 10 юли идва като последица от решение на Съдът на Европейския съюз („СЕС“) от 2020 г., с което се призна Щита за личните данни за способ, който не осигурява необходимата защита. В резултат от това, предаването на данни между ЕС и САЩ се усложни и трябваше да се прибягва до другите инструменти за предаване на данни, уредени в ОРЗД. Така се затрудни гражданския оборот и бизнеса. Ето защо, САЩ пое и спази ангажимент да създаде условия за безопасно предаване на данни.
Какво следва?
Съгласно чл. 45, параграф 4 от ОРЗД, Комисията осъществява постоянно наблюдение на развитието в трети държави и международни организации, което би могло да повлияе на действието на решенията за адекватно ниво на защита. Поради това Комисията ще следва непрекъснато да наблюдава ситуацията в Съединените щати по отношение на правната рамка и действителната практика за обработка на лични данни, както е оценено в настоящото решение.
В допълнение към горното, Европейската комисия и компетентните органи в САЩ ще извършват и периодични прегледи на Рамката за защита на личните данни, за да гарантират нейното функциониране. Първият такъв преглед ще бъде осъществен година след приемането ѝ.
