30 июня 2020 года сайт «Конференции Седона» (Sedona Conference®) – очень авторитетного американского некоммерческого правового идейного центра, в основном занимающегося вопросами раскрытия в ходе судебных разбирательств и расследований сохраняемой в электронном виде информации (э-раскрытия), - выложил для публичного обсуждения проект «Комментария Конференции Седона о возможности приведения в исполнение в США судебных приказов и решений, принятых на основе закона GDPR» (Sedona Conference Commentary on the Enforceability in U.S. Court of Orders and Judgments Entered Under GDPR) объёмом 41 страница, см. https://thesedonaconference.org/... . Документ подготовлен рабочей группой WG11 по защите данных и ответственности за нарушение неприкосновенности частной жизни (Data Security and Privacy Liability).
Речь идёт о том, как быть со столь неудобными для многих американских компаний «Общими правилами защиты персональных данных» Евросоюза (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ).
Вместе с полным документом также выложено краткое одностраничное извещение, см. https://thesedonaconference.org/sites/default/files/Handout%20-%20Enforcement%20of%20GDPR%20in%20US%20Public%20Comment%20Version.pdf
Публичное обсуждение продлится до 31 августа 2020 года.
Во вводной части документа, в частности, отмечается следующее:
«Рабочая группа WG11 разработала настоящий Комментарий для оценки возможности приведения в исполнение через суды США приказов или решений, принятых на основании «Общих правил защиты персональных данных» Евросоюза (GDPR) европейским судом или контролирующим органом государства-члена Евросоюза, против оператора или обработчика персональных данных, зарегистрированного в США. Цель Комментария заключается в том, чтобы дать заинтересованным сторонам в ЕС и США рекомендации по факторам - как юридическим, так и практическим - которые связаны с обеспечением исполнения требований GDPR через судебные разбирательства в США.Содержание документа следующее:
Вопрос о том, как и при каких обстоятельствах может быть обеспечено исполнение требований GDPR в рамках судебного разбирательства в США, возникает в результате широкого территориального охвата закона GDPR. В этом плане закон GDPR представляет собой «существенную эволюцию» территориального охвата европейского законодательства о защите персональных данных по сравнению с его предшественником, и отражает намерение «обеспечить всестороннюю защиту прав субъектов данных в Евросоюзе и создать ... равное игровое поле для компаний, действующих на рынках Евросоюза, в контексте глобальных потоков данных».
Из-за этой эволюции в плане территориального охвата, базирующиеся за пределами Евросоюза, в том числе в США, организации, которые ранее не подпадали под правила защиты персональных данных Евросоюза или не сталкивались с последствиями их нарушения, теперь могут столкнуться и с тем, и с другим. Но, как объясняется в недавнем отчете «Сети «Интернет и юрисдикционная политика»» (Internet and Jurisdiction Policy Network, https://www.internetjurisdiction.net/ ), «способность государства обеспечивать соблюдение своих законов часто более ограничена, чем заявления, которые оно делает в отношении сферы действия своих законов». Таким образом, неизбежно возникают вопросы о том, как контролирующие органы и субъекты персональных данных могут добиться исполнения требований GDPR в отношении этих неевропейских организаций.
В некоторых случаях ответ будет простым. Когда у организации есть филиал, дочернее предприятие или иные активы в Евросоюзе, европейские контролирующие органы и субъекты персональных данных могут добиться применения требований GDPR против организации в границах Евросоюза.
Ответ менее ясен, однако, если организация нарушает GDPR, но физически не присутствует и не располагает иными активами в Евросоюзе. В этом случае контролирующие органы и субъекты персональных данных Евросоюза могут издать приказ или получить судебное решение против организация. Если, однако, эта организация не желает добровольно выполнить такой приказ или решение, контролирующему органу или субъекту персональных данных может потребоваться зарубежная помощь для обеспечения его исполнения.
Когда нарушителем является организация, базирующаяся в США, одним из потенциальных источников помощи является судебная система США. В США существует устоявшееся законодательство по вопросу признания и приведении в исполнение судами США иностранных судебных решений в иных контекстах.»
ВведениеИсточник: сайт Конференции Седона
I. Обзор экстерриториального охвата закона GDPR
II. Признание и приведение в исполнение иностранных судебных решений в судах США: Обзор действующего законодательства
III. Признание и приведение в исполнение приказов и судебных решений на основе GDPR в судах США: Частные действия субъектов персональных данных и организаций-представителей
IV. Признание и приведение в исполнение приказов и судебных решений на основе GDPR в судах США: Приказы об устранении нарушений, принятые контрольными органами Евросоюза
V. Потенциальная защита в соответствии с законодательством США от исков, требующих признания и приведение в исполнение приказа или судебного решения на основе GDPR
VI. Альтернативные пути обеспечения исполнения GDPR в судах США: Федеральная комиссия США по торговле (Federal Trade Commission, FTC), соглашение о взаимной защите персональных данных между США и Евросоюзом (Privacy Shield) и претензии по контрактам
VII. Заключение
https://thesedonaconference.org/node/9656
Комментариев нет:
Отправить комментарий