Споразумението EU-US Privacy Shield

От Ралица Махони

От 1ви август се прилага новото споразумение между ЕС и САЩ за защита на личните данни на европейски граждани

Статията се прочита за
думи

Презокеанското предаване на лични данни е основна част от търговските взаимоотношения между ЕС и САЩ. Ако имате договорни отношения с европейски клон на американска компания, например, събраните в Европа данни могат да бъдат предадени и използвани от дружеството-майка в Америка. Целта на Споразумението EU-US Privacy Shield е да се гарантира обработването на лични данни в Щатите при спазване на строги мерки за защитата им.

Основните принципи, залегнати в EU-US Privacy Shield:

  • строги изисквания към предприятията, които разпространяват лични данни

За да се следи спазването им от страна на американските компании, Министерството по търговията на САЩ ще поддържа списък на лицата, обработващи лични данни на европейски граждани. Ако предприятията не спазват правилата, с които са се съгласили, ще им бъдат налагани строги санкции, стигащи до изваждането им от министерския списък (така че да нямат право да получават и обработват лични данни). Наред с това, спазването на изискванията се гарантира и в случай на предаване на информацията на трети лица чрез трансфериращото данните и участващо в Privacy Shield предприятие.  

  • ясни мерки за защита на данните и задължения за прозрачност при достъп до данните на американски служби и институции

САЩ гарантират, че достъпът до данни на европейски граждани от страна на американски институции за целите на правораздаването и националната сигурност ще се извършва при спазване на ясни граници, предпазни мерки и контролни механизми. Освен това задълженията обхващат и изключване на масово събиране и наблюдение на прехвърлени в рамките на EU-US Privacy Shield данни. Външният министър на САЩ е създал и специална институция (омбудсман), към която европейските граждани да се обръщат с молба за правна помощ в областта на националната сигурност.

  • ефективна защита на правата на европейските граждани

Ако някой европейски гражданин счита, че се злоупотребява с негови обработвани в рамките на EU-US Privacy Shield данни, той разполага с няколко извънсъдебни (и безплатни) възможности за решаване на спорове. В най-добрия случай самото предприятие, участващо в EU-US Privacy Shield, ще уважи жалбата и ще предприеме съответните мерки за решаване на проблема. Алтернативно е предвидено безплатно производство за решаване на спорове. Освен това гражданите винаги могат да се обърнат и към националните си институции за защита на личните данни (в България това е Комисията за защита на личните данни), които съвместно с американската Комисия по търговия да намерят решение на проблема. Като последна мярка е предвидено арбитражно производство.

  • съвместна ежегодна проверка

Колко ефективно се прилага споразумението и се изпълняват дадените от американското правителство гаранции, ще бъде предмет на ежегоден контрол от двете страни. За целта ще се използват данни включително от вещи лица от страна на американските тайни служби и европейските институции за защита на личните данни, въз основа на които ЕК ще изготвя и представя на Европейския парламент и на Съвета публичен отчет за изпълнение на поетите с EU-US Privacy Shield ангажименти.

Как конкретно ще се прилага новото споразумение между ЕС и САЩ?

Вече беше споменато по-горе, че американските компании, обработващи лични данни на европейски граждани, ще се регистрират в Privacy-Shield-списък и ще удостоверяват, че ще изпълняват и ще се съобразяват с високите стандарти за защита на личните данни, предвидени в споразумението. Регистрацията ще подлежи на ежегодно подновяване. Тук може да бъде направена справка за комапниите, участващи в инструмента Privacy Shield.

Политиките за защита на личните данни на американските компании ще бъдат проверявани от страна на Министерството на търговията на САЩ за съответствие с разпоредбите на споразумението.

Не на последно по важност място, компаниите, които биват изключвани от списъка, ще имат задължение да се придържат към принципите му с оглед обработка на вече получени, докато са били регистрирани, данни.

Мерките за защита на правата на европейските граждани спрямо американски компании

Закрилата на личните данни се осъществява на две нива. От една страна, на правата на европейските граждани личните им данни да бъдат пазени съответстват задължения на американските компанни за съответно третиране на поверителната лична информация. От друга страна, при нарушаване на принципите на споразумението (“Privacy Principles”), лицата, чиито права са били накърнени, имат на разположение няколко правни способа за подаване на жалба и получаване на правна закрила.

  1. Европейските граждани имат право да бъдат информирани за:

    1. вида, причините и основанията за събиране и обработване на лични данни;
    2. възможността за препредаване на лични данни на трети лица или използване за различни цели от тези, за които са били събрани;
    3. начините за контакт с американската компания и възможностите за оспорване на неправомерни действия относно личните данни.

    2. Задълженията за информиране на компаниите от Privacy Shield включва и необходимостта от предоставяне на линк към тяхната Политика за поверителност. За необходимостта от такава и насоките за съставянето й съгласно европейското законодателство може да се информирате тук.

  2. Ограничава се използването на личните данни за различни цели - европейските граждани трябва да имат възможност да ограничат обработването на техните данни за цели, които се различават от първоначалната, за която са събрани, а ако се съгласят с това - да им бъде гарантирано същото ниво на защита;

  3. Събирането на лични данни е допустимо само в необходимия за целта обем и за ограничен период от време;

  4. Американските компании са длъжни да предприемат подходящи мерки за защита на личните данни от разкриване и непозволен достъп на трети лица чрез предприемане на съответни защитни мерки (ключове, пароли и пр.)

  5. Защитата на личните данни се простира и при прехвърляне на данните на лица извън САЩ - необходимо е гарантиране на същото ниво на защита, което предполага сключване на договор с получателя на данните, който да урежда условията за обработването им и мерките за защита, които получателят предприема за предпазване на данните;

  6. Европейските граждани имат право на достъп и актуализиране на данните си - това означава, че всяко лице, чийто данни са били трансферирани до компания от списъка Privacy Shield, може да изиска информация за съхраняваните данни, както и промяната им, без да е необходимо да мотивира исканията си. които тя съхранява, целите на съхранението им и при необходимост да изиска промяна в събраните данни;

  7. Право на жалба и правна закрила - Европейските граждани ще имат възможност да избират между няколко бързи и безплатни правни способа:

    1. чрез компанията, включена в списъка Privacy Shield - команиите, включени в списъка, имат задължение да отговорят на отправена до тях жалба в 45-дневен срок;

    2. чрез независим орган за решаване на спорове по избор на компанията - това може да бъде алтернативен орган за решаване на спорове в САЩ или съответният орган за защита на личните данни в ЕС, който е отговорен за контролиране на защитата на лични данни на национално ниво - конкретната процедура за решаване на спора зависи от избрания орган и неговите правила;

    3. чрез американското Министерство на търговията (с посредничеството на национален орган за защита на личните данни) или Федералната комисия по търговия, респективно американското Министерство на транспорта, ако жалбата е свързана с авиооператор или туристическа агенция - препоръчва се подаване на жалбата чрез националния орган за защита на личните данни, която да я предаде на съответната институция в САЩ;

    4. чрез Комисия Privacy Shield, която се състои от трима независими арбитри - това е арбитражен механизъм, който е приложим само в случай на неуспех на изброените по-горе методи. За целта европейските граждани ще могат да сезират Privacy-Shield-комисия, която е компетентна да постановява обвързащи за регистрираните в списъка американски компании решения. За да се гарантира възможността на потребителите да се възползват от така създадената комисия, на тяхно разположение са няколко допълнителни облекчения:

      1. не се дължи такса;
      2. възможност за участие в производството чрез видео-конферентна връзка;
      3. безплатен превод и др.

Тук може да намерите ръководството на ЕК за правaта на гражданите при трансатлантическо предоставяне на лични данни и процедурите за защитата им на англисйки език.

Тази публикация беше изпратена първо на нашите абонати!

Ако желаете и Вие да сте сред първите читатели на нашия бюлетин: