Артем Дмитриев и Мария Пономарева

Schrems II: как российской компании наладить передачу данных в ЕС

Право Инструкции PwC

Если ваша штаб-квартира или дочерние структуры находятся в ЕС, то вы уже наверняка слышали, что возможность получения данных из ЕС под угрозой — разбираемся, так ли это и как быть? Что произошло, и причем тут компании в РФ?

В июле суд ЕС отменил действие Privacy Shield — ключевого механизма передачи данных между ЕС и США. Это произошло при рассмотрении иска известного privacy-активиста Макса Шремса (основателя австрийской некоммерческой организации None of Your Business (NOYB) ) к соцсети Facebook. На первый взгляд, это мало тревожит российские компании. Но это не так.

Дело в том, что Общий регламент по защите данных (GDPR) устанавливает ряд условий для передачи данных за пределы ЕС. Передача данных из ЕС в любую страну, которая не обеспечивает адекватную защиту прав субъектов данных (неадекватные страны), возможна только в рамках одного из механизмов, установленных GDPR. К таким «неадекватным» странам относятся, например, США, Индия, Китай и РФ.

В большинстве случаев компании выбирают Стандартные договорные условия (SCC), утвержденные Еврокомиссией. Их проще реализовать на практике. Кроме того, зачастую они позволяют весьма ограниченно возлагать на неевропейские компании обязанности из GDPR. Теперь же использовать только лишь SCC для передачи данных будет недостаточно.