Щитът за личните данни между ЕС и САЩ вече е приет

/КРОСС/ Предвидени са няколко механизма за решаване на спорове, които в повечето случаи не са свързани с разходи за засегнатите лица

След продължителни преговори между ЕС и САЩ и задълбочени вътрешни анализи на 12 юли 2016 г. Европейската комисия (ЕК) прие дългоочаквания щит за личните данни в отношенията между САЩ и ЕС. Най-общо казано, щитът е нова система за по-добра защита на личните данни на европейските граждани и за осигуряване на правна сигурност за бизнеса при предаването на данни отвъд Атлантическия океан.

Целта на промяната

Щитът е един от инструментите за трансфер на лични данни от ЕС към САЩ и следва да замени отмененото от Съда на ЕС решение на ЕК относно "сферата на неприкосновеност на личния живот" (т.нар. Safe Harbor). Въпреки че щитът вече е факт, все още се водят спорове дали той осигурява необходимото "адекватно ниво на защита", каквото е гарантирано от европейското законодателство.

При всички случаи можем да кажем, че щитът осигурява по-добро ниво на защита на личните данни от отменения Safe Harbor, като адресира коментарите както на националните органи за защита на личните данни, така и на Европейския надзорен орган за защита на личните данните. В допълнение той отразява изискванията, установени с решението на ЕС за отмяната на решението на ЕК относно "сферата на неприкосновеност на личния живот".

Според скептиците компаниите ще предпочетат да използват алтернативните инструменти за трансфер на данни, като например договорите със стандартни клаузи, одобрени от ЕК. Въпреки това мнение има доста компании, които вече са заявили, че ще използват щита за бизнеса си при предаване на данни. За голяма част от европейските малки и средни предприятия това ще бъде предпочитаният инструмент, тъй като за неговото имплементиране в повечето случаи са необходими по-малко средства, отколкото ако трябва да се договарят отделни договори с всяка компания, към която данните ще бъдат предавани.

Считано от 1 август 2016 г., компаниите в САЩ, които желаят да се ползват от привилегиите на щита, могат да се сертифицират. За тази цел е необходимо да подпишат щита при Министерството на търговията на САЩ и да изработят политика за обработването на личните данни в съответствие с правилата на щита. За компаниите, които успеят да се сертифицират до 30 септември 2016 г., е предвиден гратисен период от 9 месеца. В рамките на този период те ще трябва да приведат дейността и политиките си за обработване на лични данни в съответствие с принципите на щита.

Основните принципи, на които се основава щитът, са:

- Прозрачност и ограничения за ползването на личните данни

Сертифицираните компании трябва да информират лицата за видовете лични данни, които обработват; за причините, които налагат обработването; за правото на лицата на достъп до личните им данни; дали личните данни се предават на трети лица и по какви причини. Компаниите са ограничени да използват личните данни само за целта, за която те са били първоначално събрани. В случай че компанията иска да използва личните данни за цел, която е несъвместима с първоначалната, такова използване не се допуска изобщо.

Ако пък целта е съвместима, но съществено се различава от първоначалната, личните данни биха могли да се ползват само и единствено ако лицето не възразява. По този начин лицата получават по-голям контрол върху т.нар. вторично обработване на лични данни. Лицата имат право да подадат молба до съответния администратор и да поискат данните им да бъдат коригирани или дори изтрити, когато са неточни, неактуални или са обработвани в нарушение на правилата на щита.

- Ефективна защита за личните права

Предвидени са няколко механизма за решаване на спорове, които в повечето случаи не са свързани с разходи за засегнатите лица. На първо място, те могат да отправят жалба до самата сертифицирана компания, която е длъжна да им отговори в срок от 45 дни от получаването на жалбата. Лицата могат да се обърнат и към независим орган за разрешаване на спорове или дори към националния орган за защита на личните данни (т.е. Комисията за защита на личните данни) в зависимост от конкретния случай.

Други компетентни да разгледат жалбата органи са Министерството на търговията и Федералната комисия за търговия на САЩ. Като крайна мярка и след като са използвани другите механизми за защита, но въпреки това резултатът от тях е незадоволителен или жалбата е била изцяло или частично неуважена, съответният гражданин би могъл да се обърне и към арбитражен състав по щита за лични данни. Арбитражната процедура следва да бъде завършена в рамките на 90 дни.

Като още един допълнителен механизъм се въвежда и фигурата на омбудсмана, чрез който европейските граждани за първи път ще могат да внасят молби до органи на САЩ в областта на националната сигурност. Омбудсманът е висш държавен служител на Държавния департамент на САЩ и е независим от службите за национална сигурност. Омбудсманът, подпомаган от собствена администрация, ще отговаря за надлежното разследване на жалбите от европейски граждани. Съответно ако в рамките на разследването се установи нарушение, той трябва да гарантира, че нарушението е отстранено. Жалбите се отправят в писмен вид чрез националните надзорни органи. Жалбата се предава на омбудсмана чрез централизиран орган на ЕС след проверка на самоличността и добросъвестността на жалбоподателя, за да се избегнат спекулации.

- Ограничения в срока за съхранение на лични данни

Сертифицирана компания може да държи личните данни само за такъв период, колкото й е необходим за постигане на целите, за които те се събират. По изключение данните могат да се съхраняват и за по-дълъг период за целите на архивиране в публичен интерес, журналистиката, литературата и изкуството, научни или исторически изследвания, осъществяване на одити или статистически анализи.

- Задължения за защита на личните данни при последващ трансфер
В определени случаи личните данни могат да се предават от сертифицирана компания на трети лица – администратори или обработващи данните. За тази цел е необходимо да бъдат спазени редица условия, за да се гарантира, че тези трети лица ще обезпечат същото ниво на защита на личните данни като това на щита. Тези условия се уреждат с договор между сертифицираната компания и третото лице и включват задължения за третата страна да обработва данните само за целите, за които лицето е дало съгласието си; да информира сертифицираната компания за случаите, в които не може да спазва задълженията си и съответно ще трябва да преустанови използването на личните данни и да ги заличи.

- Механизъм за извършване на годишен съвместен преглед

ЕК и Министерството на търговията на САЩ всяка година ще извършват мониторинг върху функционирането на щита и неговата ефикасност. В него ще влиза и оценка доколко поетите ангажименти и принципи се прилагат и спазват на практика. Досега подобна оценка се извършваше на всеки три години.

През август ЕК издаде и ръководство за граждани относно прилагането на "Щит за лични данни в отношенията ЕС - САЩ", с което цели да разясни същността на правилата за трансфер и предвидените средства за защита в случаите на нарушение. Ръководството е достъпно както на уеб страницата на ЕК, така и на уеб страницата на Комисията за защита личните данни. Чрез ръководството гражданите могат да се запознаят по-подробно с правата си във връзка с прехвърлянето на лични данни към САЩ и процедурите по тяхната защита.

*Статията е препечатана от "Капитал"