Великобритания и США построили мост данных для проверенных компаний

12 октября вступит в силу дополнение Великобритании к соглашению о создании «моста данных» между Великобританией и США (EU-US Data Privacy Framework, DPF, Data Bridge), что позволит сертифицированным организациям легко передавать персональные данные из Великобритании в США, пишет Securitylab.

До появления такого соглашения, передача персональных данных через Атлантику была запрещена, согласно общему регламенту по защите данных Великобритании (GDPR) без использования механизмов передачи, таких как стандартные контрактные условия (Standard Contractual Clauses, SCC) или обязательные корпоративные правила (Binding Corporate Rules, BCR).

В июле Еврокомиссия приняла решение, что DPF обеспечивает адекватный уровень защиты персональных данных при их передаче между ЕС и США. DPF был создан в качестве замены предыдущему соглашению, Privacy Shield EU-US, которое было признано недействительным в 2020 году.

Поскольку Великобритания с 2020 года больше не является членом Европейского Союза, DPF не обеспечивает автоматическую передачу личных данных из Великобритании в США. Для передачи личных данных из Великобритании был создан мост данных, который позволит упростить процесс передачи данных между двумя странами, соблюдая при этом требования по защите данных.

Чтобы экспортеры данных из Великобритании могли полагаться на Data Bridge, импортер из США должен пройти сертификацию по Data Bridge. Передаваемые персональные данные должны обрабатываться в соответствии с принципами DPF после их получения импортером данных в США.

Однако британский регулятор Information Commissioner's Office (ICO) выразил сомнения относительно Data Bridge.

1. Недостаточная защита чувствительных данных: Определение «чувствительных данных» в мосте отличается от определения в британском GDPR. В DPF не указаны все специальные категории персональных данных, определенные в GDPR, такие как биометрические, генетические данные, данные о сексуальной ориентации и данные об уголовных преступлениях. Это может привести к тому, что указанные категории данных не будут должным образом защищены при передаче в США.
2. Отсутствие адекватной защиты данных об уголовных преступлениях: В США отсутствует защита, сравнимая с защитой в Великобритании о реабилитации правонарушителей 1974 года, который ограничивает использование данных об уголовных судимостях после погашения этих судимостей. Непонятно, как эти защиты будут применяться к информации, переданной в США.
3. Уменьшение прав на конфиденциальность: В мосте отсутствует существенно схожее с британским GDPR право на защиту от принятия решений на основе исключительно автоматизированной обработки, которые могут иметь юридические или аналогичные последствия для субъекта данных. Также отсутствует аналогичное «право быть забытым» или возможность отозвать согласие, что ограничивает контроль субъектов данных над их персональной информацией.
4. Недостаточные гарантии для защиты прав субъектов данных в случае принятия решений на основе автоматизированной обработки: В Data Bridge не предусмотрено право на пересмотр автоматизированного решения человеком, что может привести к нарушению прав субъектов данных в случае принятия решений, основанных исключительно на автоматизированной обработке.
5. Недостаточный контроль над персональными данными: Права, предоставляемые мостом, не такие обширные, как права, предоставляемые британским GDPR, что может уменьшить контроль субъектов данных над их личной информацией, особенно в отношении отзыва согласия и права быть забытым.
6. Специфические требования для передач данных из Великобритании: Компании, которые не могут использовать мост данных, могут столкнуться с необходимостью полагаться на другие механизмы, такие как SCCs или BCRs. Это может потребовать дополнительных усилий и ресурсов для обеспечения соблюдения требований британского GDPR.
7. Изменения в использовании Стандартных контрактных условий (SCC): Экспортеры данных из Великобритании должны быть осведомлены о том, что SCC ЕС больше не могут использоваться для новых соглашений о передаче данных из Великобритании. Требуется либо дополнение к SCC ЕС, либо использование Международного соглашения о передаче данных (International Data Transfer Agreement, IDTA), что может создать дополнительные проблемы и требовать дополнительных ресурсов.

Остаётся только наблюдать, как Data Bridge будет функционировать на практике, особенно с учетом высказанных ICO опасений. Такое нововведение, вероятно, привлечет внимание многих компаний и экспертов в области защиты данных, стремящихся к более гладкому и законному потоку данных между Великобританией и США.