Павел Литвинский: Двойные стандарты мировых решений

На передачу данных из ЕС в Россию должны распространяться те же ограничения, что и на передачу в США. Но это не так.

 Павел Литвинский: Двойные стандарты глобальных решений

В глобальном мире персональные данные являются частью кровотока глобальной экономики — они циркулируют между странами и континентами 24 часа в сутки, 7 дней в неделю, 365 дней в году. Мировая экономика не может функционировать без этих потоков данных — и я не имею в виду только то, что кто-то полетит в Египет на отдых, а кто-то купит что-то в интернет-магазине Китая. Без международной передачи данных наши телефоны и компьютеры, вероятно, перестали бы работать, мы потеряли бы возможность пользоваться популярными сайтами социальных сетей, а бизнесу пришлось бы распрощаться со своими данными, хранящимися «в облаке», чаще всего в инфраструктуре. на основе передачи данных.

-XF1bJ3tyz9″>Приняв Директиву 95/46 о защите персональных данных в 1990-х годах, Европейский Союз решил ограничить их международную передачу. Предположение было простым: мы создаем в Европе общее правовое пространство для защиты этих данных, поэтому их передача из Европы (технически говоря, из Европейской экономической зоны, ЕЭЗ) в другие страны должна быть разрешена только в том случае, если эти другие страны защищают свои личные данные. данные, поскольку мы защищаем их в Союзе.

Та же модель была повторена в GDPR. Проблема, однако, заключалась в том, что с 1995 по 2016 год многое изменилось. Есть два игрока, которые никогда больше не совершали международные передачи данных. Эдвард Сноуден, разоблачивший программы массовой слежки, проводимые службами США, и Макс Шремс, сделавший своей визитной карточкой борьбу с передачей данных в США. Сноуден предоставил информацию, и Шремс привел к двум решениям CJEU (называемым Schrems I 2015 года и Schrems II 2020 года), последнее, в частности, прямо цитирует информацию, раскрытую Сноуденом.

Выберите страну

Проще говоря: чтобы вообще рассмотреть возможность передачи персональных данных из ЕЭЗ в другую страну, вы должны либо выбрать страну, которую Европейская комиссия сочла обеспечивающей гарантию адекватной защиты данных, либо оценить, соответствует ли «закон страны назначения обеспечивает надлежащую в свете законодательства ЕС защиту персональных данных» (из решения по делу Шремса II). И в такой оценке необходимо учитывать «существенные элементы […] правовой системы этой страны […] в отношении возможного доступа органов государственной власти этой третьей страны к переданным таким образом персональным данным» ( также Шремс II). А поскольку сам СЕС указал, что американские правила, регулирующие полномочия служб, связанных с доступом к данным, «не соответствуют минимальным требованиям, связанным с принципом пропорциональности в законодательстве ЕС» (Шремс II), гонка за первым запретит данные начались переводы в США. Немецкие органы по защите данных лидировали в гонке, среди которых приоритет должен быть отдан берлинскому, который всего через день после оглашения решения по делу Шремса II призвал немецких контролеров данных передавать данные от американских поставщиков. в страны ЕЭЗ.

А тут как раз случилось: рекомендация Европейского совета по защите данных (EDPB) о том, что в принципе единственным приемлемым случаем передачи данных в США является передача зашифрованных данных, решения регуляторов из других стран, запрещающие использование Google Analytics из-за того, что при этом сервис передает данные в США, и, наконец, объявление ирландского органа о принятии решения, запрещающего Facebook передавать данные в США. Нам не нравятся США с точки зрения передачи данных, но нам нравится Россия. Как иначе интерпретировать недавнюю позицию Европейского совета по защите данных в отношении передачи данных в Россию, в которой, правда, говорится, что механизм, вытекающий из решения по делу Шремса II, распространяется на Россию, но в то же время подчеркивается, что «некоторые государства-члены имеют близкие экономические связи?и исторические с Россией», и некоторые национальные регуляторы работают над поиском правовой основы для передачи данных в Россию?

В отличие от некоторых комментаторов, я не виню EDPB за официальное указание на исторические и экономические связи с Россией: EDPB не является самостоятельным образованием. Это его члены, по-видимому, так и думали на заседании Совета. В любом случае, интересно, как сообщил в Твиттере проф. Ульриха Кельбера, федерального надзорного органа Германии, ни у Польши, ни у стран Балтии не было проблем с принятием этой позиции. Так что проблема в другом: в двойных стандартах со стороны национальных регуляторов. Если мы применим механизмы, указанные Судом ЕС в решении по делу Шремса II, к передаче персональных данных в Россию сегодня, без войны на Украине, вывод будет простым: передача данных в Россию должна регулироваться теми же правами, что и передача данных в США (и, возможно, в ряд других стран мира). Обоснование очень простое — действующий российский закон (т.н. закон Яровой), предусматривающий, что весь контент, которым обмениваются с помощью электронных средств связи, должен храниться в течение шести месяцев, а метаданные в течение трех лет, и раскрываться российским сервисам без суда. заказ. Эти механизмы уже были оценены Европейским судом по правам человека в деле «Роман Захаров против России» как не обеспечивающие адекватных и эффективных гарантий против произвола и риска злоупотреблений. Итак, мы имеем очень наглядный пример существования двойных стандартов в сфере защиты персональных данных: с одной стороны, мы пытаемся блокировать передачу данных в США, с другой стороны, при оценке передачи данных в Россию прибегаем к к историческим и экономическим связям, и мы не используем механизмы, которые мы должны использовать и которые у нас есть в наличии в течение двух лет.

Влияет на отношения

Роль закона о защите персональных данных заключается не в создании экономических и социальных отношений. Это влияет на отношения и существующие отношения таким образом, чтобы обеспечить соблюдение основного права на защиту персональных данных — с одним исключением в отношении передачи данных: данные не могут быть переданы в страны, где они не защищены должным образом. Персональные данные не защищены в США в той мере, в какой этого требует законодательство ЕС, поэтому такая передача данных должна быть ограничена. Персональные данные в России не защищены в той мере, в какой этого требует законодательство ЕС, поэтому такая передача данных должна быть ограничена. Экономические и исторические связи здесь ни при чем — более того, у меня сложилось впечатление, что эти связи гораздо сильнее между ЕС и США, и пока эта ветка не фигурировала в обсуждении передачи данных в США. Так что пришло время покончить с двойными стандартами и либо применить те, которые мы применяем к США повсеместно, либо признать, что экономические и исторические связи настолько сильны, что ЕС не в состоянии ограничить международную передачу данных.

Автор — др. юридические науки, присяжный адвокат, партнер Barta Litwiński Kancelaria Radców Prawnych i & nbsp; Adwokatów sp.

Оцените статью
( Пока оценок нет )

В профессии с 2008 года. Профиль - международные отношения и политика. Почта: andreykozlov07@gmail.com

Последние новости 24 часа
Павел Литвинский: Двойные стандарты мировых решений
Анна Чесляк-Врублевская: Пик инфляции еще впереди