Брюксел, 11 ноември — По време на 41-вото си пленарно заседание ЕКЗД прие препоръки относно мерки, които ще допълват инструментите за предаване, за да се гарантира спазване на европейските изисквания за защита на личните данни, както и препоръки относно основните европейски гаранции за мерките за наблюдение.
И двата документа бяха приети в следствие на решението на Съда на ЕС по дело Schrems II. В резултат на решението от 16 юли, администраторите, които се позовават на стандартните договорни клаузи (СДК), са длъжни да проверяват за всеки отделен случай и, когато е уместно, в сътрудничество с получателя на данните в третата държава, дали правото на третата държава гарантира ниво на защита на предаваните лични данни, което по същество е равностойно на гарантираното ниво на защита в Европейското икономическо пространство (ЕИП). Съдът на ЕС позволи на износителите да добавят допълнителни мерки към СДК, за да се гарантира ефективно спазване на това ниво на защита, когато съдържащите се в СДК гаранции не са достатъчни.
Препоръките имат за цел да помогнат на администраторите и обработващите лични данни, действащи като износители на данни, да определят и прилагат подходящи допълнителни мерки, когато са необходими, за да се гарантира по същество равностойно ниво на защита на данните, които предават на трети държави. По този начин, ЕКЗД се стреми към последователно прилагане на ОРЗД и на решението на Съда в цялото ЕИП.
Председателят на ЕКЗД Andrea Jelinek посочи: „ЕКЗД е напълно наясно с въздействието на решението по делото Schrems II върху хиляди предприятия от ЕС и важната отговорност, която то създава за износителите на данни. ЕКЗД се надява, че тези препоръки могат да помогнат на износителите на данни да идентифицират и прилагат ефективни допълнителни мерки, когато са необходими. Нашата цел е да се даде възможност за законно предаване на лични данни на трети държави, като същевременно се гарантира, че на предадените данни се предоставя ниво на защита, което по същество е равностойно на гарантираното в рамките на ЕИП.“
Препоръките съдържат пътна карта на стъпките, които износителите на данни трябва да предприемат, за да установят дали е необходимо да въведат допълнителни мерки, за да могат да предават данни извън ЕИП в съответствие с правото на ЕС, и да им помогнат да идентифицират онези от тях, които биха могли да бъдат ефективни. За да се подпомогнат износителите на данни, препоръките съдържат и неизчерпателен списък с примери за допълнителни мерки, и някои от условията, които те ще изискват, за да бъдат ефективни.
В крайна сметка, обаче, износителите на данни са отговорни за извършването на конкретната оценка на предаването, правото на третата държава и инструмента за предаване, на който разчитат. Износителите на данни трябва да проявят добросъвестност и да документират подробно действията си, тъй като носят отговорност за решенията, които ще вземат на тази основа, в съответствие с принципа на отчетност в ОРЗД. Освен това, износителите на данни следва да знаят, че не във всеки случай може да е възможно да се приложат достатъчно допълнителни мерки.
Препоръките относно допълнителните мерки ще бъдат представени за обществена консултация. Те ще се прилагат незабавно след публикуването им.
Освен това, ЕКЗД прие препоръки относно основните европейски гаранции за мерките за наблюдение. Препоръките относно основните европейски гаранции допълват препоръките за допълнителните мерки. Препоръките относно основните европейски гаранции предоставят на износителите на данни елементи, чрез които да определят дали правната рамка, уреждаща достъпа на публичните органи до данни за целите на наблюдението в трети държави, може да се разглежда като оправдана намеса в правото на неприкосновеност на личния живот и защитата на личните данни, и следователно не нарушава ангажиментите, свързани с инструмента за предаване на данни по член 46 от ОРЗД, на който разчитат износителят и вносителят на данни.
Председателят допълни: „Последиците от решението по делото Schrems II обхващат всяко предаване на данни на трети държави. Поради това няма бързи решения, нито универсално решение за всяко предаване на данни, тъй като това би означавало да се пренебрегне голямото разнообразие от ситуации, пред които са изправени износителите на данни. Износителите на данни ще трябва да оценят своите операции по обработване и предаване на данни, и да предприемат ефективни мерки, като вземат предвид правния ред на третите държави, на които предават или възнамеряват да предават данни.“
Надзорните органи за защита на данните на ЕИП ще продължат да координират действията си в рамките на ЕКЗД, за да се гарантира последователност в прилагането на законодателството на ЕС за защита на данните.
Бележка за редакторите:
Следва да се има предвид, че всички документи, приети по време на пленарното заседание на ЕКЗД, са предмет на необходимите правни и езикови проверки, както и на проверки на оформлението, и ще бъдат публикувани на уебсайта на ЕКЗД веднага щом тези проверки бъдат извършени.
EDPB_Press Release_2020_18