Newsletter

Holy щит

Я хочу поговорити з тобою про складні рішення і EU-US Privacy Shield

Kateryna Nalyvaiko
Axon Partners

--

Привіт,

А у тебе теж є відчуття, ніби знаходишся у картині Сальвадора Далі? Все навколо стало аж настільки сюрреалістичним, що засмоктує і починає подобатися.

Ось, наприклад, пан Саакашвілі зробив презентацію ще однієї судової реформи. Якщо коротко, то він хоче, аби суди приймали справедливі рішення. Як це зробити, він наразі не знає, але він думає, що намацав проблему. Великий Мастурбатор.

Ейнштейн казав, що рішення має бути простим, але не простіше, ніж потрібно. У мене є трохи інша теорія — я приймаю прості рішення тоді, коли мій рівень розуміння питання знаходиться на початку і в кінці кривої Даннінга-Крюґера.

Два тижні тому Європейський суд справедливості визнав, що американські компанії не можуть забезпечити належний захист даних, оскільки вони за законом зобов’язані передавати дані розвідувальним органам.

Це що ж виходить, європейські компанії не можуть використовувати G-Suite чи AWS через те, що не мають право передавати дані американським Гуглу і Амазону?

Ілюстрація Каті Цібере

Словом, у світі захисту персональних даних стоїть розгублений мем Траволти. А за цим судовим рішенням стоїть студент Макс і цікава історія.

Четверта поправка і Буш молодший

Ти вже маєш знати із фільму про ідентифікацію Борна, що секретні агенти ЦРУ на те і секретні, що право на приватність їх спинити не в силі. А право на приватність гарантується Конституцією США: державним органам заборонено порушувати його без спеціального на те дозволу суду (це правило ще називається “Четверта поправка”).

Вперше обмежити підпільне стеження американської розвідки Конгрес США вирішив після Вотергейтського скандалу.

Так у 1978 році з’явився Закон про нагляд за зовнішньою розвідкою. Цим Законом було передбачено, що отримання доступу до телефонних розмов чи листування людини, що проживає в Штатах, може відбуватися лише за окремим дозволом суду. Це означало, що розвідувальні органи повинні були доводити необхідність втручання у кожному конкретному випадку, а це було довго і не завжди результативно.

Але після 9/11 президент Буш вирішив не панькатися із якоюсь там четвертою поправкою, і віддав Агентству національної безпеки США таємний указ на прослуховування розмов людей на території США без отримання дозволів від суду.

Про це дізнались журналісти New York Times, і Конгресу довелось швиденько перетворити те, що таємно напакостив Буш, на закон — у 2007 році з’явився Закон під гучною назвою “Захистити Америку”: ним було дозволено стеження за тими, хто за розумним припущенням перебуває за межами США. Ціллю цього закону було також захистити телекомунікаційні компанії, що співпрацювали із розвідкою, від приватних позовів про порушення права на приватність. Згодом Конгрес додав цей механізм до Закону про нагляд за зовнішньою розвідкою і декілька разів продовжив його дію в часі.

За цим механізмом Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google, Microsoft та інші передають дані іноземців американській розвідці.

Ну як, відчуваєш трохи дискомфорту? Але добра новина у тому, що один австрієць активно проти цього всього свавілля бореться.

Макс Шремс v Фейсбук

Тобі можливо вже доводилось чути про великий GDPR або Загальний регламент ЄС щодо захисту даних. Якщо коротко, то — це законище на 100 сторінок, яке захищає право громадян ЄС на приватність.

Так от GDPR забороняє передачу персональних даних за межі Європейської Економічної Зони, якщо країна-отримувач не забезпечує адекватного рівня захисту персональних даних або не були вжиті інші заходи безпеки.

Оскільки законодавство США у цій сфері схоже на обшарпану клаптикову ковдру, й адекватністю захисту даних там і не пахне, то економічна доцільність змусила ЄС придумати спеціальний інструмент, щоб дозволити передання даних в США: EU-US Privacy Shield (Щит конфіденційності між ЄС та США).

Все це працювало б чудово, якби одного разу студент на ім’я Макс Шремс не поїхав навчатися в США за програмою обміну. Там на семінарах він не протирав штани, а з’ясував, що юристи Фейсбуку геть не розуміють, як працюють закони про захист даних в ЄС, що призводить до порушення його прав.

З того часу він атакував Фейсбук скаргами у контролюючі органи і позовами до суду. У свої 24 роки Макс змусив високопоставлений менеджмент Фейсбуку шість годин слухати свої зауваження до роботи сайту. А ще у 2015 році за його позовом Європейський суд справедливості, який є найвищим судом у ЄС, визнав незаконним US-EU Safe Harbor — аналог Щита конфіденційності, який дозволяв передання даних із ЄС до США у доджидіпіарну еру. І от два тижні тому сам Щит теж полетів коту під хвіст.

Чи стосується це України?

Так. Одна із підступних особливостей GDPR у тому, що він має екстериторіальну дію. Тобто українські компанії зобов’язані дотримуватися його вимог у двох випадках: коли в корпоративній структурі є зареєстрована в ЄС компанія, і коли зареєстрована в Україні або деінде компанія працює на ринку ЄС або просто збирає дані європейців.

Отже, наслідки руйнування Щита конфіденційності для українського бізнесу такі самі, як і для європейських компаній: якщо у компанії є обов’язок дотримуватися GDPR, то вона більше не може передавати дані в США на підставі розбитого в друзки Щита.

Що з цим усім робити?

Ніхто точно не знає. І це зараз не фірмова юридична фраза, бо дійсно, як сніг на нашу юридичну голову.

Ясно, що зупиняти обмін даними із американськими компаніями нікому не хочеться. Тому всі нервують, оглядаються одне на одного і вичікують, поки хтось із гігантів знайде рішення.

Європейська рада захисту даних каже, що “кожну ситуацію потрібно аналізувати окремо і шукати рішення залежно від обставин”. Так і хочеться відповісти їм “дякую, кеп”, але хто ж послухає якогось там українського адвоката.

Пишу це і страждаю, що я — не пан Саакашвілі і не можу під каву з круасаном придумати просте рішення.

Розкажи тепер, що у тебе цікавого?

Originally published at https://axon.partners on August 6, 2020.

--

--