28 червня Європейська комісія ухвалила так зване «рішення про адекватність» щодо законів Великобританії щодо даних.

Компанії у Великобританії та ЄС зітхнули з величезним полегшенням, оскільки ці рішення нарешті поклали край тривалому періоду невизначеності щодо міжнародної передачі даних. Але хоча це, безперечно, дуже хороші новини, вже є ознаки того, що попереду на нас чекають нові неприємності.

Ця сага розпочалася ще у червні 2016 року, коли Великобританія проголосувала за вихід із Євросоюзу. Закони ЄС про захист даних допускають необмежене переміщення даних у межах ЄС та ширшої Європейської економічної зони, але містять обмеження на передачу за межі блоку. Як держава-член Великобританія мала переваги вільного потоку даних. Збереження цього привілейованого становища було однією з цілей уряду Великобританії в тривалих переговорах щодо Brexit.

Все це може здатися дуже технічним і стосуватися тільки транснаціональних корпорацій, але міжнародна передача даних насправді досить поширена для компаній будь-якого розміру. Наприклад, невелика виробнича компанія, яка передає розрахунок заробітної плати компанії в Німеччині, або роздрібний торговець, який використовує ІТ-систему, розміщену в ірландській компанії, обидва братимуть участь у міжнародній передачі даних.

Обмеження означають, що надсилання особистих даних до країн за межами ЄС значно складніше, ніж надсилання даних між країнами ЄС. Передача може здійснюватися лише з використанням затвердженого методу, як зазначено у розділі V Загального регламенту захисту даних. Безумовно, найпростіший із цих методів — коли Європейська комісія провела оцінку законів країни про захист даних і визначила, що вони забезпечують адекватний рівень захисту персональних даних. Це відоме як «рішення про адекватність». Переклади до країн із рішенням про адекватність можуть здійснюватися без будь-яких подальших дій.

Після офіційного виходу Великобританії з ЄС у січні 2020 року перехідний період зберігав статус-кво до кінця грудня 2020 року. А потім, коли цей крайній термін наблизився, було спішно вжито проміжних заходів для продовження вільного потоку даних, тоді як ЄС розглядав можливість ухвалення рішення щодо адекватності щодо Великобританії. Враховуючи, що закон Великобританії про захист даних випливає із законодавства ЄС, ви могли подумати, що таке рішення було простою формальністю. Але це точно було не так. Комісія докладно вивчила всі аспекти британського законодавства, включаючи повноваження служб безпеки перехоплення, перш ніж ухвалити рішення.

Коли воно було нарешті прийнято, лише за два дні до закінчення проміжних домовленостей рішення займало 93 сторінки. Він містить докладний огляд британських законів про дані та містить вбудоване застереження про закінчення терміну дії, що означає, що рішення втрачає чинність через чотири роки, якщо Комісія не вирішить його продовжити. Також є попередження про те, що рішення переглядатиметься, якщо Великобританія вирішить змінити власні закони про захист даних. Звідси, найімовірніше, і настане наступний етап невизначеності.

Лише минулого місяця власна Цільова група уряду Великобританії з інновацій, зростання та реформи регулювання опублікувала свій остаточний звіт, в якому рекомендувалося замінити чинні закони Великобританії щодо захисту даних новою структурою. У звіті дуже мало подробиць про те, як може виглядати ця нова структура, але якщо рекомендація буде прийнята, то будь-які суттєві зміни до закону про захист даних, ймовірно, поставлять під загрозу нещодавно прийняте Великобританією рішення про адекватність.

Невизначеність щодо міжнародної передачі даних навряд чи зникне, оскільки наслідки голосування щодо Brexit продовжують виявлятися. Невизначеність, мабуть, залишається єдиною впевненістю.


Джон Белчер

Джон Белчер – фахівець із захисту даних та управління інформацією в Excello Legislation.