Skip to main content

Шремс II

TL;DR

Schrems II - это название дела, возбужденного Европейским судом справедливости (ECJ), которое было основано на том, что американские компании не могут обеспечить адекватные стандарты защиты персональных данных. Как следствие, передача персональных данных между ЕС и США стала незаконной, а соглашение Privacy Shield между ними потеряло свою актуальность.

Что означает Schrems II?

Schrems II - это общее название дела в Европейском суде, который 16 июля 2020 года вынес решение в пользу Макса Шремса и привел к признанию недействительным Соглашения о щите конфиденциальности между ЕС и США. Это привело к тому, что для любого типа обработчиков данных стало незаконным использовать услуги из США, которые давали бы этим услугам доступ к личным данным граждан ЕС, без полного объяснения рисков. Последствия были очень серьезными, настолько, что некоторые крупные американские компании (например, Facebook) рассматривали возможность полного прекращения своей деятельности в ЕС.

Предыдущее дело, известное как Schrems I, начатое тем же лицом, стояло у истоков аналогичного исхода в 2015 году. Решение Европейского суда по делу Schrems II было основано на аргументе, что, особенно в связи с законодательством США, таким какCLOUD Act, нет возможности гарантировать конфиденциальность персональных данных, если они обрабатываются американскими компаниями. Федеральные агентства, используя ордер, всегда могут заставить обработчиков данных, таких как Google или Facebook, раскрыть личную информацию о пользователях, без какого-либо согласия с их стороны. При этом не имеет значения, где физически расположены серверы, содержащие эти данные. Поэтому любой гражданин ЕС, заходящий на сайт, размещенный в США, или любой сайт, использующий сторонние приложения, управляемые американскими компаниями (например, Google Analytics), должен быть надлежащим образом проинформирован обо всех юридических последствиях передачи данных, а также обо всех рисках.

Более подробно о последствиях Schrems II вы можете прочитать в этом обзоре. Вкратце они таковы:

  • владельцы сайтов с посетителями из ЕС не могут хранить данные за пределами ЕС, если законы этой страны не могут обеспечить адекватный уровень защиты данных
  • любые услуги третьих лиц, используемые веб-сайтом, также должны обеспечивать защиту, и поэтому не могут быть основаны в США. Эти услуги могут включать: инструменты аналитики сайта, инструменты управления отношениями с клиентами, рекламные услуги, инструменты чата, инструменты изучения пользователей и т.д.
  • список американских компаний, которые были освобождены от правил на основании Privacy Shield, больше не действуют на законных основаниях
  • баннеры согласия должны содержать конкретную информацию о cookie, а также правила передачи данных