Соглашение под названием Privacy Shield, позволяющее американским компаниям перемещать личные данные граждан ЕС на территорию США (при условии соблюдения компаниями стандартов защиты данных ЕС в духе общего регламента GDPR), признано недействительным судом ЕС. Суд решил, что правовая система США не обеспечивает достаточной защиты личных данных, а особенно — защиты от государственных служб.
Теперь американским компаниям придется искать другой механизм работы с данными граждан ЕС. Одним из них являются стандартные договорные условия (standard contractual clauses, SCC). Суд оставляет возможность заключения соглашений на условиях SCC. Ими, по оценкам ассоциации специалистов по защите личных данных (IAPP), и сейчас пользуется более 80% компаний, передающих данных за пределы ЕС. Однако национальные агентства по защите данных должны пресекать такую передачу данных, подчеркнул суд, если соблюдение оговоренных условий защиты в другой стране не гарантировано.
Доказывать, что соглашения могут быть выполнены, будет достаточно трудно, отмечает исследователь из Gartner. Организациям из ЕС надо будет проверить, входил ли их партнер из США в список компаний, получавших данные по соглашению Privacy Shield (их в США около 5 тыс.), и заключены ли с ними соглашения на условиях SCC.