Сертификация Privacy Shield: что это и почему ваш бизнес в ней нуждается

Privacy Shield мертв. Да здравствует Data Privacy Framework.

Помните Privacy Shield? То соглашение, которое позволяло американским компаниям обрабатывать европейские данные, не попадая в суд? Ну, в 2020 году Суд Европейского Союза разрушил его, как карточный домик. С тех пор царил хаос: транснациональные корпорации в панике, юристы празднуют, а вы? Вы остались задаваться вопросом: «И как теперь управлять данными клиентов?».

Хорошая новость в том, что существует новый механизм: Data Privacy Framework (DPF). Сертификация Privacy Shield больше не действительна, но вы можете сертифицироваться по DPF, чтобы продолжать безопасно передавать данные. Если вы этого не сделаете, рискуете получить крупные штрафы от Гаранта конфиденциальности. И никто не хочет объяснять своим инвесторам, почему вы потеряли 20 миллионов из-за бюрократической оплошности.

Что именно представляет собой сертификация Privacy Shield (старая и новая)?

По сути, сертификация Privacy Shield была самоаттестацией, которую американские компании проходили, чтобы продемонстрировать соблюдение европейских стандартов конфиденциальности. Теперь, в рамках DPF, механизм похож, но с более строгими правилами. Вы обязаны соблюдать такие принципы, как прозрачность, безопасность данных и право пользователей на доступ.

Если ваша компания обрабатывает данные граждан ЕС, у вас нет выбора: вы должны сертифицироваться. В противном случае каждая передача данных становится потенциальной юридической бомбой. Подробнее об искусственном интеллекте и конфиденциальности читайте в нашей специальной статье.

Почему ваш бизнес в этом нуждается (и не только для избежания штрафов)

Помимо того, чтобы держать регулятора подальше, сертификация дает вам конкурентное преимущество. Европейские клиенты все больше внимания уделяют конфиденциальности. Размещение значка DPF на сайте — это как сказать: «Эй, я серьезно отношусь к вашим данным. Я не продаю их тому, кто больше заплатит».

И не забывайте: если вы управляете интернет-магазином, вы также должны соблюдать права на отказ от покупки в электронной коммерции. Конфиденциальность и права потребителей идут рука об руку.

Как получить сертификацию? Три (почти) безболезненных шага

Первый: перейдите на портал Data Privacy Framework и заполните самоаттестацию. Второй: внедрите требуемые политики конфиденциальности (никакого копирования у конкурентов, пожалуйста). Третий: обновите свою политику конфиденциальности и опубликуйте сертификат на сайте.

Для получения дополнительных нормативных деталей обратитесь к официальному сайту Европейской комиссии. Это поможет вам понять, применим ли DPF к вашему конкретному случаю.

А что, если я этого не сделаю? Сценарий ужасов

Представьте: немецкий клиент запрашивает доступ к своим данным. Вы не сертифицированы. Он злится, пишет регулятору. Регулятор штрафует вас на сумму до 4% от глобального оборота. Ваш бухгалтер плачет. Вы плачете. Ваш кот смотрит на вас с осуждением.

Короче говоря, сертификация Privacy Shield (в ее версии DPF) — это не опция. Это спасательный круг. Хватайтесь за него, пока лодка не пошла ко дну.

Часто задаваемые вопросы (FAQ)

1. Действительна ли еще сертификация Privacy Shield для передачи данных?

Нет, старая сертификация Privacy Shield была признана недействительной решением Schrems II в 2020 году. Однако вы можете получить новую сертификацию в рамках Data Privacy Framework (DPF), который является преемником этого механизма. Если вы уже были сертифицированы по старому Privacy Shield, вам необходимо повторно сертифицироваться по DPF, чтобы продолжать легально передавать данные.

2. Что произойдет, если я не сертифицируюсь, но все равно буду передавать данные между ЕС и США?

Вы рискуете штрафами до 4% от годового глобального оборота или 20 миллионов евро (в зависимости от того, что больше). Кроме того, вы можете быть привлечены к суду отдельными пользователями или ассоциациями за нарушение GDPR. Без сертификации каждая передача считается незаконной, если только вы не используете другие юридические основания, такие как стандартные договорные положения (SCC) или явное согласие.