Privacy Shield падна, но какво представлява той и защо въпросното му падане е важно? Отговорите намерихме от гостите на онлайн дискусията на DevStyleR “Privacy Matters – Поверителност, лични данни и методи на защита по време на пандемия”.

Историята е следната: Съдът на ЕС има право да тълкува европейското право тогава, когато му е отправен въпрос от съдилище на територията на ЕС. През 2018 г. започна дело точно за тълкуване на законодателство в областта на защита на личните данни. Всичко това идва по линия на Едуард Сноудън. Става въпрос за това, че службите за сигурност в САЩ биха могли да използват лични данни за целите на националната сигурност. Всъщност така започва казусът.

“От другата му страна стои едно решение на ЕК – по реда на GDPR ЕК може да се произнесе с решение и да каже, че определена трета държава, която е извън ЕС, предоставя адекватна защита на нашите лични данни. Такова решение бе взето в полза на САЩ и то даде една голяма свобода, лични данни да могат да се трансферират от ЕС към САЩ относително свободно, защото се е констатирало, че САЩ предоставят адекватна защита. Но в светлината на факта, че те получават такава свобода, ЕК поиска тълкуване, дали наистина е достатъчно адекватно обработването на данни. Това бе по-скоро сухата част“, разясни адвокат Явор Стойчев.

“На практика, свободният трансфер на лични данни между ЕС и САЩ помага на наистина една огромна амплитуда от услуги. Като започнем от централизиран HR, доставчици на маркетингови услуги и накрая приключим с Facebook и Microsoft. Има огромни обеми от лични данни, които се трансферират. Често срещаният пример е хостинг компания със сървъри в Америка, защото по смисъла на GDPR съхраняването е вид обработване на лични данни. Дори да имаме хостинг в САЩ, може да се счита, че имаме трансфер на лични данни“, допълни той.

“Да си представим, че едно дружество в България трансферира лични данни в САЩ, което се занимава с HR услуги за целите на примера. Там има база от данни с хората, които са кандидатствали за работа. Те се изпращат към дружество от групата в САЩ и там се анализират и т.н. След отпадането на Privacy Shield, подобни трансфери не биха били законосъобразни. За да може да станат законосъобразни, ние трябва да съставим стандартни договорни клаузи, които да гарантират, че утре някой кандидат, който е дал съгласието си неговите лични данни да се използват в процеса на подбор, ще може да задължи американското дружество да изтрият неговите данни. Тези стандартни договорни клаузи ще могат да се одобрят и от стандартния орган на определената държава. В нашия случай това е Комисията за защита на личните данни. Но вие разбирате през какви тежки процедури трябва да преминем, като изготвим стандартни договорни клаузи и ако искаме да сме сигурни, че те са изготвени правилно, трябва да ги съгласуване с нашата Комисия за защита на личните данни и тогава да пристъпим към трансфер. Това е много тежка процедура и отнема много време. Понякога дни са важни“, продължи адвокат Стойчев.

На въпроса дали има срок, в който фирмите трябва да реагират, за да подготвят цялата документация и всичко, което е необходимо във връзка с решението от днес, адвокат Стойчев отговори, че ако те не са подготвени да реагират, просто трябва да спрат всякакъв трансфер. Срокът не е абсолютен, а е относителен. Или спираме трансферите, или сме готови.

“Исках да добавя може би гледната точка на системни администратори, представители на малък и среден бизнес и предприятия, които нямат собствен правен отдел и нямам достъп до широки правни услуги. Как тези всички системни администратори трябва да се ориентират в този хаос. За мен липсва пълната яснота за този инцидент и от днес трябва да бъде публикувана информация и не смятам, че имаше достатъчно материали на нормален език, ако можем така да го наречем, по които системни администратори да знаят могат ли да складират информацията в сървъри в САЩ на Google или на Azure, или каквото и да е – просто това липсва“, допълни Стефан Генчев, ентуасиаст по темата за киберсигурност и криптография.

Общо взето причината е в сложността на законодателството, твърди адвокат Стойчев. Според него наистина е сложно и това е най-лошият вид сложност. Тази, която се създава поради абстрактност и недостатъчна конкретика. Ние не просто трябва да следваме разпоредбите на GDPR на националните законодателства. Ние трябва и да разбираме духа и целта на закона, за да може да тълкуваме правилно абстрактните разпоредби. Най-клишираният пример е в нашия разговор. Ние използвахме думите “адекватно ниво на защита”. Това е абстрактна преценка и боравим с абстрактни понятия. Другата много често срещана дума е “подходящи” или “достатъчни” технологични мерки.

“Това е най-лошият тип сложност! Сложността, която ни възпира да разберем какво е нашето задължение и как трябва да го изпълним. Стефан е абсолютно прав като казва, че не всеки има достъп до юрисконсулти или до професионална правна помощ, но просто действителността е такава, че или трябва да имаме човек в рамките на нашата организация, който да отговаря и да носи отговорност за спазването на законодателството за защита на личните данни или трябва да имаме външни консултанти. Тук е моментът да вметна, че един от процъфтяващите бизнеси изцяло на база на GDPR са професионалните Data Protection Officers – лицата, които се грижат за комплайънса по отношението на личните данни. Тяхната работа е да гарантират, че всичко се развива законосъобразно и да носят отговорност, ако нещо не се развива и се наложи глоба, на практика тези бизнеси играят ролята на вид застраховка“, обясни юристът.