Schrems II: как российской компании наладить передачу данных в ЕС
В июле суд ЕС отменил действие Privacy Shield — ключевого механизма передачи данных между ЕС и США. Это произошло при рассмотрении иска известного privacy-активиста Макса Шремса (основателя австрийской некоммерческой организации None of Your Business (NOYB) ) к соцсети Facebook (организация признана экстремистской и запрещена на территории РФ). На первый взгляд, это мало тревожит российские компании. Но это не так.
Дело в том, что Общий регламент по защите данных (GDPR) устанавливает ряд условий для передачи данных за пределы ЕС. Передача данных из ЕС в любую страну, которая не обеспечивает адекватную защиту прав субъектов данных (неадекватные страны), возможна только в рамках одного из механизмов, установленных GDPR. К таким «неадекватным» странам относятся, например, США, Индия, Китай и РФ.
В большинстве случаев компании выбирают Стандартные договорные условия (SCC), утвержденные Еврокомиссией. Их проще реализовать на практике. Кроме того, зачастую они позволяют весьма ограниченно возлагать на неевропейские компании обязанности из GDPR. Теперь же использовать только лишь SCC для передачи данных будет недостаточно.