Назад

СЕС обяви за невалидно Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12.07.2016 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ

Общият регламент за защита на данните (ОРЗД или GDPR) предвижда, че предаването (трансферът) на лични данни към трета държава може да се осъществява само ако тази трета държава осигурява адекватно ниво на защита на личните данни.  С Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12.07.2016 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ („Решение за изпълнение (ЕС) 2016/1250“), Европейската комисия прие, че САЩ гарантират адекватна степен на защита за личните данни, които се предават от Съюза към организации в Съединените щати съгласно Щита за личните данни в отношенията между ЕС и САЩ.

С Решение по дело C-311/18 от 16 юли 2020, Съдът на Европейския съюз (СЕС) обяви Решение за изпълнение (ЕС) 2016/1250 за невалидно. Така, на практика СЕС постанови, че Щитът не е годен инструмент за предаване на лични данни от  ЕС към САЩ.

СЕС намира, че:

– законодателството на САЩ не съдържа ограничения относно прилагането на определени програми за наблюдение за целите на външното разузнаване, нито пък гаранции за потенциално обхванатите от тези програми лица, които не са американски граждани.

– програмите за наблюдение, основани на разпоредби от законодателството на САЩ, не са ограничени до строго необходимото, каквото изискване се съдържа в законодателството на ЕС.

– ограниченията на защитата на личните данни, които произтичат от вътрешноправната уредба на САЩ относно достъпа и използването от американските публични органи на такива данни, предадени от ЕС  на САЩ, не са определени по начин, който съответства на Хартата на основните права на ЕС.

Въпреки това, Съдът потвърждава валидността на Решение 2010/87/ЕС на относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни.

Решението по дело C-311/18 означава, че трансферът на лични данни между САЩ и ЕС не може да бъде извършван въз основа на Щита за личните данни. Предаването обаче може да се осъществява на базата на други предвидени в GDPR способи, като обвързващи фирмени правила, кодекси за поведение или стандартни договорни клаузи.

Следва да се посочи обаче, че СЕС изрично постановява, че дори когато предаването се основава на стандартни договорни клаузи, но с оглед на всички обстоятелства във връзка с това предаване стандартните договорни клаузи не са или не могат да бъдат спазени в съответната трета държава и изискваната от правото на ЕС защитата на предаваните данни не може да бъде осигурена с други средства, администраторът (а ако той не го стори – надзорният орган) трябва да спре или да прекрати предаването на лични данни.