META оштрафована за нарушение норм GDPR на рекордные 1,2 млрд. евро: почему это произошло и чего ждать контролерам?

Сегодня практически невозможно вести бизнес без обработки персональных данных и обмена ими с другими компаниями. Передача данных поставщику программного обеспечения для веб-аналитики, загрузка информации в облачное хранилище, CRM – всё это обработка персональных данных третьим лицом. И вне зависимости от того, являетесь ли вы контролёром, процессором, субпроцессором или совместным контролёром, вы должны заключить соглашение об обработке данных со стороной, которая участвует в обработке персональных данных. Эта задача значительно усложняется в случае, если персональные данные передаются с территории Европейского союза (ЕС) за его пределы, а в частности Соединенные Штаты Америки (США).  

Ниже юристы REVERA опишут, почему эта проблема возникла сейчас, какие правила в отношении трансграничной передачи устанавливает Общий регламент ЕС по защите персональных данных (GDPR), и чего ждать в регулировании в ближайшее время.

Рекордный штраф за нарушение норм GDPR: кто и почему стал рекордсменом?

Накануне пятилетней годовщины вступления в силу GDPR был наложен самый высокий в истории штраф в размере 1,2 млрд евро в отношении одного из крупных контролёров персональных данных – Meta. Штраф был наложен за нарушение правил осуществления трансграничной передачи персональных данных на территорию США. Более того, контролирующий орган потребовал от Meta приостановить будущую передачу персональных данных в США в течение пяти месяцев и привести свои операции по обработке, в частности операции по передаче персональных данных, в соответствие с требованиями GDPR. 

Какие правила устанавливает GDPR в отношении трансграничной передачи?

Передача персональных данных за пределы ЕС может беспрепятственно осуществляться лишь в случае, если Европейская комиссия установила, что в таком государстве обеспечивается адекватный уровень защиты персональных данных. В список таких государств включены, например, Швейцария, Израиль, Корея, Япония и др.

В случае, если контролёр намерен передавать персональные данные на территорию иностранного государства, которое не включено в указанный список, GDPR (статья 46) предусматривает следующее правило:

При отсутствии решения об адекватности контролёр или процессор может передавать персональные данные в третью страну, только если контролёр или процессор обеспечивает соответствующие гарантии и при условии, что субъектам данных доступны обладающие силой принудительного исполнения права и эффективные средства правовой защиты.

В качестве таких гарантий традиционно использовались Standard Contractual Clauses (SCC), разработанные и адаптированные Европейской комиссией.

Важная предыстория

Ранее, между ЕС и США действовало соглашение о передаче персональных данных, известное как Privacy Shield. Данное соглашение использовалось как основание для трансграничной передачи, а США в соответствии с данным соглашением считалось государством, на территории которого обеспечивается адекватный уровень зашиты персональных данных.

Однако после решения Европейского суда в 2020 году Privacy Shield было отменено из-за опасений по поводу практики доступа американских спецслужб к персональным данным граждан ЕС. После отмены Privacy Shield все субъекты, участвующие в обработке персональных данных и передающие персональные данные на территорию США, начали использовать SCC в качестве основания для трансграничной передачи.

Однако стоит отметить, что в том же решении Европейский суд ужесточил требования к использованию и SCC. В отношении оценки обеспечения гарантий для субъектов персональных данных в рамках статьи 46 GDPR Европейский суд указал:

To that end, the assessment of the level of protection afforded in the context of such a transfer must, in particular, take into consideration both the contractual clauses agreed between the controller or processor established in the European Union and the recipient of the transfer established in the third country concerned and, as regards any access by the public authorities of that third country to the personal data transferred, the relevant aspects of the legal system of that third country, in particular those set out, in a non-exhaustive manner, in Article 45(2) of that regulation.

Таким образом, после решения Европейского суда 2020 года при использовании SCC в качестве основания для трансграничной передачи необходимо было учитывать не только положения самих договоров (SCC), но также проводить оценку уровня защиты персональных данных на территории государства, куда данные передаются. Эта оценка известна как Data Transfer Impact Assessment, а ее правила были установлены в рекомендациях главного контролирующего органа ЕС по защите персональных данных – EDPB. В этих же рекомендациях были установлены дополнительные меры, используя которые компании могли компенсировать недостаточный уровень защиты персональных данных. 

Какое обязательство по GDPR нарушила Meta?

Meta в качестве основания для трансграничной передачи ссылались на SCC совместно с дополнительными мерами. Однако внутреннее регулирование США по вопросу защиты персональных данных субъектов на тот момент позволяло сделать вывод, что данный подход не в полной мере соответствовал уровню защиты, который обеспечивается на территории ЕС и компенсировать такое несоответствие дополнительными мерами не представлялось возможным. 

И фактически, после решения Европейского суда единственной возможностью с текущим регулированием оставаться «data protection compliant» было перенести серверы хранения персональных данных пользователей из ЕС непосредственно на территорию ЕС, чтобы исключить осуществление трансграничной передачи. Однако Meta этого не сделала и в период с 2020 года Meta продолжала передавать персональные данные на территорию США, полагаясь на SCC и дополнительные меры защиты.

В результате чего, в мае 2023 года ирландский контролирующий орган (DPC) пришел к выводу, что Meta нарушает статью 46 GDPR и неправомерно осуществляет трансграничную передачу персональных данных с 2020 года.

Какие еще выводы сделал DPC и как они повлияют на бизнес?

Помимо решения о том, что Meta нарушает требования осуществления трансграничной передачи данных, контролирующий орган сделал следующие выводы:

  1. законодательство США не обеспечивает уровень защиты, эквивалентный тому, который обеспечивается законодательством ЕС,
  2. SCC не можеткомпенсировать недостаточную защиту, предоставляемую законодательством США,
  3. Meta не имеет дополнительных мер, которые компенсируют недостаточную защиту, предоставляемую законодательством США,
  4. Meta не может полагаться на отступления, предусмотренные cтатьёй 49(1) GDPR, или на любое из них, при осуществлении трансграничной передачи персональных данных.

Пункты два и четыре заслуживают особого внимания и менее ожидаемы, чем остальные, поскольку при их толковании можно сделать вывод, что SCC в сочетании с дополнительными мерами защиты, принятыми Meta после решения Европейского суда 2020 года, не соответствуют стандарту GDPR о существенной эквивалентности.

Такой вывод для компаний может означать то, что какие бы дополнительные меры защиты персональных данных компания ни предприняла, осуществлять трансграничную передачу на территорию США невозможно.

Как решение по Meta коснётся остального бизнеса и чего ожидать в регулировании?

Сразу же после принятого Европейским судом решения было неясно, как оно коснётся остального бизнеса. Однако сейчас ситуация прояснилась: в начале июля 2023 года Шведский надзорный орган по защите персональных данных (IMY) наложил штрафы на две компании, использовавшие Google Analytics и передававшие персональные данные из ЕС в США. В своих решениях IMY также подчеркивал, что вышеупомянутых «дополнительных мер», которые использует Google, недостаточно для обеспечения надлежащего уровня защиты персональных данных.

Сейчас же всем компаниям, попадающим под действие GDPR, которые передают персональные данные в США, остается лишь ждать решения сложившейся ситуации со стороны ЕС и США. Так, на протяжении нескольких лет ЕС и США ведут работу над новым соглашением о передаче персональных данных на территорию США, которое фактически должно будет заменить Privacy Shield и использоваться в качестве основания для осуществления трансграничной передачи.

Ожидается, что оно будет заключено в период с июля по октябрь 2023 года и должно решить сложившиеся проблемы в регулировании трансграничной передачи данных из ЕС в США.

 

Читайте нас на vc.ru


Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera