Schrems 2.0: Генеральный адвокат Европейского суда вынес заключение

On December 19, 2019, the European Court of Justice (ECJ) Advocate General, Henrik Saugmandsgaard ØE, provided his opinion on the validity of Standard Contractual Clauses (SCCs) adopted by the European Commission for the transfer of personal data from controllers to processors. The rendered opinion confirms that companies relying upon SCCs do not need to consider changing their approach at this time.

en flag
nl flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Примечание редактора: 19 декабря 2019 года Генеральный адвокат Европейского суда (ЕСЮ) Хенрик Саугмандсгор О.Е. (Henrik Saugmandsgaard ØE) представил свое мнение о действительности Стандартных договорных условий (SCCs), принятых Европейской комиссией для передачи персональных данных от контроллеров обработчикам. Представляемое заключение подтверждает, что компаниям, полагающимся на КЦУ, не нужно в настоящее время рассматривать вопрос об изменении своего подхода. В этой статье содержится подборка информационных выдержек, которые могут быть полезны для тех, кто стремится понять содержание и контекст этого недавнего мнения о практике передачи данных.

Выдержка из статьи Лоры Сон Алстон и Птица

Schrems 2.0: Генеральный адвокат ЕС объявляет действительные стандартные договорные положения

Справочная информация о мнении: Макс Шремс впервые подал жалобу на практику передачи данных Facebook в Ирландский орган по защите данных (Комиссия по защите данных или DPC) в 2013 году, что привело к признанию Европейским судом (ЕСЮ) недействительным рамочного документа «Безопасная гавань» США и ЕС Европейским судом (ЕСЮ), высшим судом ЕС, в октябре 2015 года. В результате многие компании, которые ранее полагались на Safe Harbor для передачи данных, приняли SCC для передачи данных процессорам за пределами ЕС, поскольку замена Safe Harbor, Privacy Shield, не была введена в действие до августа 2016 года.

В связи с решением суда г-н Шремс подал новую жалобу в DPC, посвященную передаче Facebook персональных данных из ЕС в США на основе SCC. В ответ на это DPC стремился прояснить через суды не только вопрос о действительности SCC, но и вопрос о конфиденциальности Shield. ДПК подал иск в Высокий суд Ирландии, который впоследствии передал это дело в Европейский суд вместе с 11 вопросами. 9 июля 2019 года Европейский суд заслушал устные аргументы по делу (Schrems 2.0).

19 декабря 2019 года генеральный адвокат суда Хенрик Саугмандсгор Оэ представил свое мнение по Schrems 2.0.

Читайте полную статью на Schrems 2.0: Стандартные договорные положения, объявленный Генеральным адвокатом ЕС

Введение и заключение Европейского суда

Мнение Генерального адвоката Saugmandsgaard ØE вынесено 19 декабря 2019 года (дело C-311/18)

Уполномоченный по защите данных против Facebook Ireland Limited, Maximillian Schrems, посредники: Соединенные Штаты Америки, Центр электронной информации о конфиденциальности, BSA Business Software Alliance, Inc., Digitaleurope (просьба о вынесении предварительного решения Высокого суда, Ирландия).

Введение

В отсутствие общих гарантий защиты персональных данных на глобальном уровне трансграничные потоки таких данных влекут за собой риск нарушения непрерывности уровня защиты, гарантированного в Европейском союзе. Стремясь облегчить эти потоки, ограничив при этом этот риск, законодательный орган ЕС создал три механизма, с помощью которых персональные данные могут передаваться из Европейского союза третьему государству.

Во-первых, такая передача может осуществляться на основании решения, в соответствии с которым Европейская комиссия считает, что третье государство обеспечивает «надлежащий уровень защиты» передаваемых ему данных. Во-вторых, в отсутствие такого решения передача разрешается, когда она сопровождается «надлежащими гарантиями». Эти гарантии могут принимать форму контракта между экспортером и импортером данных, содержащих стандартные положения о защите, принятые Комиссией. GDPR предусматривает, в-третьих, определенные отступления, основанные, в частности, на согласии субъекта данных, которые позволяют передавать данные в третью страну даже при отсутствии решения об адекватности или соответствующих гарантий.

Просьба о вынесении предварительного решения, представленная Высоким судом Ирландии («Высокий суд»), касается второго из этих механизмов. Речь идет, в частности, о действительности решения 2010/87/EU, в соответствии с которым Комиссия установила стандартные договорные положения для определенных категорий передач в свете статей 7, 8 и 47 Хартии основных прав Европейского союза («Хартия»).

Запрос был подан в ходе разбирательства, возбужденного Уполномоченным по защите данных Ирландии («DPC») против Facebook Ireland Ltd и Максимилиана Шремса в связи с жалобой, поданной г-ном Шремсом в DPC относительно передачи связанных с ним персональных данных Facebook Ireland в Facebook, Inc., ее материнская компания, основанная в Соединенных Штатах Америки («Соединенные Штаты»). ЦУН считает, что оценка этой жалобы зависит от действительности решения 2010/87. В этой связи он просил передающий суд запросить у Суда разъяснения по этому вопросу.

Прежде всего позвольте мне заявить о том, что рассмотрение вопросов для вынесения предварительного постановления, на мой взгляд, не выявило ничего, что могло бы повлиять на действительность решения 2010/87.

Кроме того, передающий суд указал на некоторые сомнения, касающиеся, по существу, адекватности уровня защиты, гарантированного Соединенными Штатами в связи с вмешательством разведывательных органов Соединенных Штатов в осуществление основных прав лиц, чьи данные передаются в США. Эти сомнения косвенно ставят под сомнение оценки, сделанные Комиссией в этом отношении в имплементационной резолюции 2016/1250. (Хотя разрешение спора в ходе основного разбирательства не требует от Суда урегулирования этого вопроса, и хотя я предлагаю ему воздержаться от этого, в качестве альтернативы я изложу причины, которые заставляют меня сомневаться в обоснованности этого решения.

Мой анализ в целом будет основываться на желании установить баланс между, с одной стороны, необходимостью показать «разумную степень прагматизма, чтобы позволить взаимодействие с другими частями мира», и, с другой стороны, необходимостью утверждения основополагающих ценностей, признанных в правовых порядках Союза и его государств-членов, и в частности в Уставе.

Заключение

Предлагаю, чтобы Суд ответил на вопросы относительно предварительного решения, переданные Высоким судом Ирландии, следующим образом:

Анализ вопросов для предварительного постановления не выявил ничего, что может повлиять на действительность решения Комиссии 2010/87/EU от 5 февраля 2010 года о стандартных договорных положениях по передаче персональных данных обработчикам, установленных в третьих странах в соответствии с Директивой 95/46/EC Европейского парламента и Совета с изменениями, внесенными Решением Комиссии (ЕС) 2016/2297 от 16 декабря 2016 года.

Ознакомьтесь с полным мнением Генерального адвоката Saugmandsgaard ØE, выданным 19 декабря 2019 года (дело C-311/18)

Комментарий Комиссии по защите данных (DPC) Ирландии

Заявление ДПК по заключению AG по делу #C -311/18 CJEU

ДПК приветствует публикацию заключения АГ по делу #C -311/18 CJEU. Мнение иллюстрирует уровни сложности, связанные с видами вопросов, которые возникают, когда законы ЕС о защите данных взаимодействуют с законами третьих стран, включая законы Соединенных Штатов. Равным образом, во вступительной части заключения признается значительная напряженность, возникающая между, с одной стороны, необходимостью проявлять прагматизм, а с другой — «необходимостью отстаивать основополагающие ценности, признанные в правовом порядке Союза и его государств-членов, и в частности в Уставе».

Некоторые из сложностей, затронутых здесь, касаются вопросов существа. Возьмем только три примера: применяется ли законодательство ЕС вообще, когда персональные данные субъекта данных обрабатываются государственными органами в третьей стране (по мнению AG, это так); способствуют ли законы и практика США вмешательству в права на защиту данных физических лиц, которые несовместимы с законодательством ЕС (они делают, в мнение AG); и являются ли эти проблемы вылечены с помощью Privacy Shield (нет, по мнению AG).

Кроме того, в заключении также отмечается, что в отдельных случаях стандартные договорные положения также могут не дать ответа на проблемы, возникающие при передаче данных, которые передаются гражданам ЕС в сферу компетенции государственных органов США. На данном этапе возникают также процедурные сложности. В частности, кто должен вмешиваться в тех случаях, когда в контексте индивидуальной передачи невозможно поддерживать уровень защиты, требуемый законодательством ЕС? В данном случае, признавая свои недостатки и связанные с этим практические трудности, и несмотря на риск фрагментации надзорных органов в государствах-членах, АГ приходит к выводу о том, что подход, согласованный ЕС в контексте КСК, обеспечивает надлежащий баланс между прагматизмом и принципом. В соответствии с этим подходом ответственность за обеспечение защиты прав граждан ЕС на защиту данных возлагается на контролеров в первую очередь и, по мнению АГ, на национальные надзорные органы в тех случаях, когда контролер не выполняет своих обязательств.

Отмечая, что эти вопросы еще не определены Судом, ДЦН приветствует ясность анализа, содержащегося в заключении АГ.

Ознакомьтесь с оригинальным новостным сообщением на заявлении DPC о заключении AG по делу № C-311/18 CJEU

Дополнительное чтение

Суд Европейского Союза (CJEU)

Комиссия по защите данных (DPC) Ирландия

Источник: КомплексОбнаружение

Обмен - это Забота? ayfie Group списки на рынке Меркур фондовой биржи Осло

According to Johannes Stiehler, CEO of ayfie Group, in a July...

XDD приобрела Anexsys

According to David Moran, XDD President and COO, “Complementing our recent...

Что-то не хватает? Моделирование тем в раскрытии электронных данных

The basic idea behind topic modeling, according to eDiscovery expert and...

Глобальное слияние HaystackID и NightOwl

According to today's announcement, the NightOwl merger is HaystackID's fourth major...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Руководство по покупателям систем электронного раскрытия информации — издание 2020 года (Эндрю Хаслам)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

Гонка на стартовой линии? Недавние объявления о безопасному удаленному обзору

Not all secure remote review offerings are equal as the apparent...

Включение удаленного обнаружения электронных данных? Снимок DaaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Домой или уходом? Соображения по вопросам размера и ценообразования на рынке коллекции электронных данных Discovery

One of the key home (onsite) or away (remote) decisions that...

Изменения и решения? Новые соображения по безопасному удаленному проверку обнаружения электронных данных

One of the key revision and decision areas that business, legal,...

A Macro Look at Past and Projected eDiscovery Market Size from 2012 to 2024

From a macro look at past estimations of eDiscovery market size...

An eDiscovery Market Size Mashup: 2019-2024 Worldwide Software and Services Overview

While the Compound Annual Growth Rate (CAGR) for worldwide eDiscovery software...

Необычное дело? Восемнадцать наблюдений за доверием бизнеса к раскрытию электронных данных летом 2020 года

Based on the aggregate results of nineteen past eDiscovery Business Confidence...

Растущая озабоченность? Бюджетные ограничения и бизнес раскрытия электронных данных

In the summer of 2020, 56% of respondents viewed budgetary constraints...

Перемены в темпо? Операционные метрики раскрытия электронных данных летом 2020 года

In the summer of 2020, 91 eDiscovery Business Confidence Survey participants...

Результаты опроса доверия бизнеса к раскрытию электронных данных — лето 2020

This is the nineteenth quarterly eDiscovery Business Confidence Survey conducted by...

Обмен - это Забота? ayfie Group списки на рынке Меркур фондовой биржи Осло

According to Johannes Stiehler, CEO of ayfie Group, in a July...

XDD приобрела Anexsys

According to David Moran, XDD President and COO, “Complementing our recent...

Глобальное слияние HaystackID и NightOwl

According to today's announcement, the NightOwl merger is HaystackID's fourth major...

Компания Mitratech приобрела Tracker Corp

The acquisition supports Mitratech’s mission to provide legal and compliance solutions...

Пять отличных данных по раскрытию электронных данных за июль 2020 года

From business confidence and operational metrics to data protection and privacy...

Пять отличных данных по раскрытию электронных данных за июнь 2020 года

From collection market size updates to cloud outsourcing guidelines, the June...

Пять отличных данных по раскрытию электронных данных за май 2020 года

From review market sizing revisions to pandemeconomic pricing, the May 2020...

Пять великих читов по раскрытию электронных данных за апрель 2020 года

From business confidence to the boom of Zoom, the April 2020...