Loading…
Решение CJEU от 16 июля 2020 года по делу Schrems II признало недействительным EU-US Privacy Shield и чётко указало, что Стандартные договорные положения, хотя и остаются действительными в принципе, не могут использоваться, если право страны назначения подрывает обеспечиваемую ими защиту. Контролёры и обработчики должны проводить Оценку воздействия передачи (TIA) для каждой передачи.
Рекомендации EDPB 01/2020 излагают шестишаговую методологию. При качественном выполнении TIA документирует передачу, правовой режим в стране назначения, применённые дополнительные меры и ваше заключение — защищаемое при аудите. При плохом выполнении это формальное упражнение для галочки, которое рассыпается под давлением правоприменения.
EU-US Data Privacy Framework (DPF) 2023 года восстановила адекватность для передач сертифицированным импортёрам в США. Но она не охватывает все передачи, может быть повторно оспорена (Schrems III подан), и большинство передач за пределы США по-прежнему опираются на SCC, требующие TIA.
Дело (C-311/18) отменило Privacy Shield и предупредило пользователей SCC. CJEU постановил, что:
На практике: одних SCC недостаточно. TIA является документальным подтверждением того, что вы проделали эту работу.
Вы не можете провести TIA для того, о чём не знаете. Инвентаризируйте:
Используйте свой ROPA по Статье 30 в качестве отправной точки, но проверяйте по фактической инфраструктуре. Облачные провайдеры часто по умолчанию реплицируют или переключаются на регионы за пределами EEA — это считается передачей.
Сердцевина TIA. Для каждой страны назначения оцените:
Рекомендация EDPB 02/2020 излагает рамки «основных гарантий». Для передач в США ключевым предметом озабоченности являются FISA Section 702 и Executive Order 12333. Для не-США: оценивайте законы страны конкретно — многие TIA по умолчанию ставят универсальное «адекватно» для низкорисковых стран без анализа, что именно регуляторы и помечают.
Три категории. Применяйте каждую в сочетании:
Триггеры для переоценки:
10 июля 2023 года Европейская комиссия приняла решение об адекватности для EU-US Data Privacy Framework (DPF). Для передач компаниям, базирующимся в США, которые сертифицированы по DPF, правовой эффект отражает полное решение об адекватности — никаких SCC, никакой TIA не требуется для передачи, сертифицированной по DPF.
Практический совет: где ваш импортёр в США сертифицирован по DPF, опирайтесь на адекватность DPF для этой передачи, но держите SCC исполненными в фоновом режиме и проводите TIA в любом случае в качестве защиты на будущее.
Для каждого «сценария передачи» — как правило, для каждой страны назначения и для каждого импортёра. Можно объединить в одну TIA передачи одному и тому же импортёру, затрагивающие схожие данные. Анализ законодательства страны может повторно использоваться для всех передач в одну и ту же страну.
Нет — EDPB разъяснил (Руководство 05/2021), что передачи в рамках экстерриториальной сферы действия Статьи 3(2) по-прежнему требуют соблюдения механизма передачи по Главе V. Не используйте Статью 3 как лазейку.
Юридически да, но передача надёжно зашифрованных данных, к которым у импортёра нет доступа в расшифрованном виде, является хрестоматийной дополнительной мерой. Многие TIA приходят к выводу, что передача может осуществляться именно на этом основании.
Важный факт, но не решающий. EDPB ясно дал понять: субъективная практика не может заменить эквивалентность правового режима. Документируйте исторический нулевой показатель запросов как подтверждающее доказательство, но не основывайте на нём TIA.
Да — таков прямой вывод EDPB по Шагу 6. На практике многие контролёры также (или вместо этого) уведомляют свой надзорный орган, как того требует пункт 14(f) SCC. Тщательно документируйте это решение.
Мы подготовим TIA для ваших сценариев передачи — с заключёнными модулями SCC, указанными дополнительными мерами и ссылками на анализ законодательства страны. Готово к аудиту за 2–4 недели на каждый сценарий.