Трансграничные передачи данных по GDPR в 2026 году: ориентирование в правовой системе после Schrems II

Введение: Структурная нестабильность трансатлантических потоков данных

Признание недействительным Щита конфиденциальности (Privacy Shield) Судом Европейского союза по делу Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (C-311/18, Schrems II, 16 июля 2020 года) выявило структурную несовместимость американского законодательства о слежке — прежде всего Исполнительного указа 12333 и Раздела 702 Закона о наблюдении за иностранными разведками (FISA) — с требованиями GDPR об обеспечении равнозначной защиты данных в третьих странах. Рамочное соглашение о защите данных ЕС-США (DPF), принятое Решением Комиссии C(2023) 4745 от 10 июля 2023 года, было представлено как долгосрочное решение. Три года спустя оно сталкивается с комплексом правовых, политических и институциональных давлений, которые каждый специалист по защите данных должен воспринимать как реальный риск, а не как решённую проблему.

В настоящей статье анализируется весь спектр механизмов передачи данных, доступных в соответствии со Статьёй 44 GDPR и решением об адекватности DPF ЕС-США, оценивается их относительная правовая надёжность, а также предлагаются практические рамки для организаций, которым необходимо поддерживать операционную непрерывность вне зависимости от судьбы DPF.

Рамочное Соглашение о Защите Данных ЕС-США: Правовой Статус в 2026 году

Архитектура DPF

Решение Комиссии C(2023) 4745 констатировало, что США обеспечивают надлежащий уровень защиты персональных данных, передаваемых организациям, сертифицированным в рамках DPF. Ключевая правовая инфраструктура DPF включает:

Исполнительный указ 14086 (Enhancing Safeguards for United States Signals Intelligence Activities, 7 октября 2022 года), установивший требования пропорциональности для сбора разведывательных данных посредством технических средств и механизм правовой защиты
Суд по проверке защиты данных (DPRC), учреждённый на основании Исполнительного указа 14086 в качестве независимого органа для рассмотрения индивидуальных жалоб граждан ЕС, связанных с доступом американских спецслужб к их данным
Принципы DPF (по существу идентичные прежним принципам Щита конфиденциальности), администрируемые Министерством торговли США, с полномочиями по правоприменению у FTC

Актуальные Правовые Вызовы

По состоянию на первый квартал 2026 года DPF сталкивается с тремя серьёзными правовыми угрозами.

Первый вызов: дело La Quadrature du Net (дело CJEU C-078/25). Поданная в январе 2025 года в CJEU жалоба утверждает, что Исполнительный указ 14086 недостаточно ограничивает массовый сбор данных в соответствии с Разделом 702 FISA, а DPRC — суд, не соответствующий требованиям Статьи III Конституции и функционирующий под исполнительной властью, — не отвечает требованиям CJEU к «эффективной судебной защите», сформулированным в деле Schrems II. CJEU в марте 2025 года удовлетворил ходатайство об ускоренной процедуре; заключение Генерального адвоката ожидается в третьем квартале 2026 года, а окончательное решение — возможно, в конце 2026 года или в начале 2027 года. Исторически заключения Генеральных адвокатов CJEU по делам о конфиденциальности воспроизводились в итоговых решениях (заключение ГА по делу Schrems II предвосхитило признание недействительным).

Второй вызов: политические события в США. Позиция второй администрации Трампа в отношении повторной авторизации Раздела 702 FISA и реформы разведки посредством технических средств поставила под сомнение операционную непрерывность американских обязательств по DPF. DPRC рассмотрел менее 50 дел за первые 18 месяцев работы — существенно меньше, чем ожидали европейские органы по защите данных, исходя из объёмов персональных данных граждан ЕС, обрабатываемых американскими компаниями, — что порождает академические и гражданские опасения относительно его практической эффективности.

Третий вызов: проверка Европейским советом по защите данных (EDPB). В соответствии с Рецитой 186 решения об адекватности DPF Комиссия обязалась рассмотреть решение в течение трёх лет после его принятия (то есть до июля 2026 года). Заключение EDPB по Статье 70 по итогам первого ежегодного обзора (октябрь 2024 года) зафиксировало сохраняющиеся обеспокоенности в связи с прозрачностью DPRC, широтой охвата Раздела 702 и отсутствием ограничений массового сбора, соответствующих стандартам пропорциональности ЕС.

Практический вывод: DPF следует применять в качестве основного механизма передачи данных там, где это возможно, однако ни одна организация, не способная с операционной точки зрения выдержать внезапную отмену решения об адекватности, не должна полагаться исключительно на DPF без действующего резервного механизма.

Стандартные Договорные Положения: Незаменимый Резервный Механизм

Правовая База

Стандартные договорные положения (СДП) являются основным инструментом международных передач данных по GDPR. Имплементационное решение Комиссии 2021/914 (4 июня 2021 года) заменило прежние СДП модульной структурой, охватывающей четыре конфигурации передачи:

Модуль 1: Передачи между операторами
Модуль 2: Передачи от оператора к обработчику
Модуль 3: Передачи между обработчиками
Модуль 4: Передачи от обработчика к оператору

Новые СДП напрямую инкорпорировали требования Schrems II: Пункт 14 предусматривает оценку законодательства третьей страны, а Пункт 15 устанавливает обязательства по уведомлению и обеспечению прозрачности при получении запросов государственных органов на доступ к данным.

Обязанность Проведения Оценки Воздействия Передачи Данных

Решение по делу Schrems II установило, что использование СДП не гарантирует автоматически надлежащей защиты — экспортёр обязан провести специализированную Оценку воздействия передачи данных (TIA) для проверки того, могут ли СДП быть эффективными в стране назначения. Рекомендации EDPB 01/2020 по передачам (приняты в ноябре 2020 года, обновлены в июне 2021 года) предоставляют методологическую базу:

Шаг 1: Картирование передач — определение того, какие персональные данные, в какую страну, с какой целью и на основании какого механизма передаются.

Шаг 2: Проверка инструмента передачи — подтверждение применимого модуля СДП и правильности его реализации.

Шаг 3: Оценка правовой базы третьей страны — анализ того, совместимо ли законодательство страны назначения о государственном доступе к данным с гарантиями СДП. Ключевые факторы: соразмерность полномочий по доступу, наличие эффективной судебной или квазисудебной защиты, допустимость массового сбора.

Шаг 4: Определение и принятие дополнительных мер — если TIA выявляет, что СДП в одиночку не способны обеспечить надлежащую защиту, необходимо принять технические (шифрование, псевдонимизация), договорные (дополнительные гарантии от импортёра) или организационные меры.

Шаг 5: Выполнение формальных процедурных шагов — заключение СДП, ведение документации TIA, уведомление органов по защите данных при необходимости.

СДП и Передачи в США в 2026 году

Руководство EDPB, принятое после дела Schrems II, указало, что СДП в одиночку недостаточны для передач данных в США, затрагивающих категории данных, способные привлечь интерес спецслужб (метаданные телекоммуникаций, содержание облачных коммуникаций). Требование уведомления по Пункту 15 обновлённых СДП — обязывающее американского импортёра уведомлять европейского экспортёра о запросах государственных органов на доступ к данным — создаёт практическое обязательство по соблюдению требований, которое большинство американских облачных провайдеров выполнило посредством одобренных органами по защите данных уведомительных оговорок.

Для передач данных в США, не охваченных DPF (по причине отсутствия сертификации у американского получателя или выхода категории данных за пределы сферы применения DPF), Модуль 2 СДП в сочетании с надлежащей TIA и соответствующими техническими дополнительными мерами (шифрование с ключами, управляемыми в ЕС; псевдонимизация у источника) представляет собой наиболее юридически надёжный резервный вариант.

Обязательные Корпоративные Правила: Золотой Стандарт и его Издержки

Что Обеспечивают ОКП

Обязательные корпоративные правила (Статьи 46(2)(b), 47 GDPR) представляют собой утверждённые внутрикорпоративные механизмы передачи данных, допускающие передачу персональных данных между организациями группы в разных юрисдикциях. Утверждённые ведущим надзорным органом в рамках механизма обеспечения согласованности по Статье 60, ОКП обязывают все организации группы в качестве третьих лиц-бенефициаров и наделяют субъектов данных исковыми правами в отношении оператора, действующего на основании ОКП.

ОКП являются наиболее надёжным механизмом передачи по GDPR для многонациональных групп, поскольку:

Они не привязаны к конкретной юрисдикции — после утверждения охватывают передачи всем организациям группы по всему миру (не только в США)
Они сохраняют юридическую силу при отмене решений об адекватности — ОКП воплощают собственное обязательство группы обеспечить надлежащую защиту, не опираясь на правовую базу третьей страны
Они обеспечивают более сильную защиту интересов третьих лиц по сравнению с СДП

Сроки и Стоимость Утверждения ОКП

Утверждение ОКП — медленный и ресурсоёмкий процесс:

Определение ведущего органа по защите данных: 1–3 месяца
Подача заявки: 3–6 месяцев на подготовку документации ОКП (ОКП оператора или ОКП обработчика) по шаблонам EDPB WP256 (ОКП для операторов) и WP257 (ОКП для обработчиков)
Рассмотрение органом по защите данных и процедура по Статье 60: 12–24 месяца от подачи до утверждения
Стоимость: от 500 000 до 2 миллионов евро на внешние юридические услуги и внутренние ресурсы по обеспечению соответствия для крупных многонациональных групп

По состоянию на январь 2026 года реестр ОКП EDPB включает 148 утверждённых ОКП операторов и 79 утверждённых ОКП обработчиков — преимущественно крупных технологических компаний, финансовых учреждений и промышленных групп. ОКП нецелесообразны для компаний среднего рынка или компаний, планирующих значительную активность в области слияний и поглощений (каждое приобретение организации, не охваченной ОКП, требует процедуры изменения ОКП).

Решения об Адекватности за Пределами США: Глобальная Карта Передачи Данных

Европейская комиссия приняла решения об адекватности в отношении 15 стран/территорий по Статье 45 GDPR, создав пути передачи данных без необходимости заключения СДП. Принципиально важно, что эти решения различаются по сфере охвата и юридической устойчивости:

Страна/территория	Решение об адекватности	Сфера охвата	Правовой статус (март 2026 г.)	Ключевые риски
Великобритания	C(2021) 4800 (июнь 2021 г.)	Общий (Статья 45 GDPR)	Действительно; в рамках закатного обзора с июня 2025 г. — продлено до июня 2027 г. в ожидании переоценки адекватности	Расхождения в законодательстве Великобритании о слежке после Brexit; возможное оспаривание в CJEU
Швейцария	C(2000) 3503	Общий (рамки Директивы 95/46/EC)	Предшествует GDPR; Комиссия инициировала оценку обновления в 2022 г.; остаётся в силе	Версия до GDPR; правовая неопределённость по стандартам эпохи GDPR
Япония	C(2019) 61	Общий (Статья 45 GDPR)	Действительно; в рамках четырёхлетнего обзора	Требуются дополнительные правила; необходим анализ разрыва APPI-GDPR
Южная Корея	C(2021) 6065	Общий (Статья 45 GDPR)	Действительно	Поправки к PIPA могут потребовать переоценки
Канада (PIPEDA)	2002/2/EC	Только коммерческие организации	Предшествует GDPR; обзор Комиссии инициирован в 2023 г.; реформа CPPA ожидается	Замена PIPEDA (CPPA) может затронуть охват адекватности
Израиль	C(2011) 332	Общий	Предшествует GDPR; в рамках переоценки	Версия до GDPR; вопросы об израильском законодательстве о слежке
Новая Зеландия	C(2013) 2896	Общий	В рамках обзора после поправок к Закону о конфиденциальности 2020 г.	В целом надёжно
Аргентина	C(2003) 1731	Общий	Предшествует GDPR; в рамках обзора модернизации	Версия до GDPR
США (только DPF)	C(2023) 4745	Только организации, сертифицированные по DPF	См. выше — судебный спор ожидается	Оспаривание в CJEU; эффективность DPRC

Для организаций, проектирующих архитектуру передачи данных, сочетание Япония (адекватность) + Великобритания (адекватность) + СДП ЕС для неадекватных направлений обеспечивает наиболее широкое покрытие при наименьшей нагрузке на соблюдение требований.

Оценки Воздействия Передачи Данных: Методология и Документация

Регуляторные Ожидания

Практика правоприменения надзорных органов после дела Schrems II сделала документацию TIA стандартным объектом аудита. Ирландская комиссия по защите данных (DPC) в своих исполнительных действиях против Meta (декабрь 2022 года, штраф 390 миллионов евро; и решение о передаче данных по делу Meta Platforms Ireland, май 2023 года, штраф 1,2 миллиарда евро — крупнейший штраф по GDPR на сегодняшний день) специально изучила достаточность TIA Meta для передач в США. DPC установила, что опора Meta на СДП без надлежащих дополнительных мер в сочетании с дефектной документацией TIA оправдывала штраф и предписание о приостановлении.

Французская CNIL, немецкий DSK и нидерландская AP каждая издала руководство по TIA, которое, будучи согласованным с Рекомендациями EDPB 01/2020, акцентирует юрисдикционно-специфические факторы: французское правоприменение сосредоточилось на передачах облачным провайдерам; немецкое — на обработчиках данных в сфере HR; нидерландское — на трансграничных потоках медицинских данных.

Минимальные Стандарты Документации TIA

Документ TIA должен содержать как минимум:

Выдержку из карты передач: категории данных, субъекты данных, цель, правовое основание обработки, страна назначения, личность получателя
Механизм передачи: применимый модуль СДП, ОКП или решение об адекватности (со ссылкой на Решение Комиссии)
Правовой анализ третьей страны: оценка режима законодательства о слежке, соразмерности, судебного надзора — со ссылкой на страновые рекомендации EDPB при их наличии
Принятые дополнительные меры: технические (с описанием), договорные (со ссылкой на пункты СДП), организационные
Вывод: обеспечивают ли меры эффективную защиту, равнозначную стандартам GDPR
Дата пересмотра: TIA следует пересматривать ежегодно и при любых существенных изменениях в механизме передачи или правовой базе страны назначения
Одобрение: одобрение DPO и юридического директора; доклад совету директоров по высокорисковым передачам

Планирование Непредвиденных Обстоятельств: Что Происходит, Если DPF Снова Рухнет

Сценарий Schrems I/II

Организации, сохранившие операционную непрерывность после Schrems I (2015 год) и Schrems II (2020 год), объединяет одна общая черта: они заключили СДП со всеми американскими обработчиками до отмены решений об адекватности и поддерживали актуальные TIA. Те, кто полностью полагался на Щит конфиденциальности и не заключил резервных СДП, столкнулись с немедленным операционным сбоем — технически незаконными передачами в период между отменой и внедрением СДП.

Решение CJEU по делу Schrems II было вынесено 16 июля 2020 года без какого-либо переходного периода. Надзорные органы объявили, что не будут немедленно принимать принудительные меры с учётом необходимых сроков реализации, однако продолжавшиеся передачи без действующего механизма оставались технически незаконными. Аналогичный сценарий после отмены DPF, вероятно, воспроизведёт ту же регуляторную позицию — надзорная терпимость на короткий переходный период с последующим правоприменением в отношении неподготовленных организаций.

Рамки Действий в Условиях Непредвиденных Обстоятельств

Немедленные действия (в течение 90 дней после вынесения решения о признании DPF недействительным):

Заключить СДП Модуля 2 со всеми американскими отношениями с обработчиками, которые в настоящее время полагаются исключительно на сертификацию DPF. СДП могут быть заключены сейчас в качестве защитного слоя наряду с DPF — двойное использование юридически допустимо и рекомендовано.
Обновить TIA для передач в США с учётом постотменной ситуации: механизм DPRC будет недоступен, Исполнительный указ 14086 не будет более действующей правовой основой для защиты, а анализ дополнительных мер должен исходить из отсутствия гарантий DPF.
Внедрить технические дополнительные меры для высокорисковых категорий передач (специальные категории данных по Статье 9; данные детей; данные, вызывающие повышенное внимание органов по защите данных): шифрование с ключами, управляемыми в ЕС, чтобы даже в случае принуждения по законодательству США данные оставались недоступными в читаемой форме.
Оценить возможности минимизации данных: для передач, не являющихся операционно необходимыми, прекратить передачи или провести псевдонимизацию до передачи. Объём передаваемых данных определяет профиль риска.
Уведомить совет директоров: ответственность по Статье 83(4) GDPR (до 10 миллионов евро или 2% мирового годового оборота за процедурные нарушения) и по Статье 83(5) (до 20 миллионов евро или 4% за существенные нарушения, включая незаконные передачи) требует осведомлённости совета директоров о позиции на случай непредвиденных обстоятельств.

Среднесрочная реструктуризация (6–18 месяцев):

Оценить резидентность данных в ЕС: для категорий данных с наиболее высоким профилем риска — проверить, устраняет ли облачная инфраструктура на базе ЕС (AWS EU, Azure EU, Google Cloud EU) с договорными обязательствами о резидентности данных передачу полностью. Передача не происходит, если данные никогда не покидают ЕЭА.
Рассмотреть подачу заявки на ОКП: для групп с непрерывными трансатлантическими потоками данных между несколькими организациями группы, срок одобрения ОКП (18–24 месяца) следует инициировать сейчас, а не после отмены.

Сравнительный Анализ Механизмов Передачи

Механизм	Правовая основа (GDPR)	Охват	Юридическая надёжность	Операционная нагрузка	Наиболее подходит для
Решение об адекватности (DPF)	Ст. 45	Только сертифицированные по DPF американские организации	Средняя — оспаривание в CJEU ожидается	Низкая (СДП не требуются)	Американские облачные SaaS-провайдеры с сертификацией DPF
Решение об адекватности (Великобритания, Япония и др.)	Ст. 45	Общие передачи в страны с адекватной защитой	Высокая (Великобритания — под обзором)	Очень низкая	Передачи в Великобританию, Японию, Южную Корею
СДП (Модуль 2)	Ст. 46(2)(c)	Любая третья страна; все категории данных	Высокая при надлежащей реализации с TIA	Средняя (TIA + дополнительные меры)	Отношения с американскими обработчиками; передачи вне DPF
ОКП	Ст. 46(2)(b), 47	Только внутрикорпоративные передачи	Очень высокая — утверждены органом по защите данных	Очень высокая (18–24 месяца, 500 тыс. евро+)	Крупные многонациональные группы с частыми внутрикорпоративными передачами
Изъятия (Ст. 49)	Ст. 49	В каждом конкретном случае; не повторяющиеся	Низкая — только для исключительных обстоятельств	Высокая (обоснование в каждом конкретном случае)	Разовые передачи (судебные данные, экстренная медицинская помощь)
Явное согласие Ст. 49	Ст. 49(1)(a)	Любая передача с информированным согласием	Низкая — согласие может быть отозвано	Высокая (механизм согласия, соответствующий GDPR)	Потребительские данные, где выбор субъекта данных подлинный

Практические Рекомендации для DPO, CLO и Советников по Конфиденциальности

Не полагайтесь исключительно на DPF для операционно критических передач данных в США. Заключите СДП Модуля 2 со всеми американскими обработчиками сейчас, параллельно с использованием DPF. Стоимость двойного использования носит административный характер; стоимость незапланированной приостановки передач после признания недействительным CJEU носит операционный характер. Штраф Meta в 1,2 миллиарда евро за незаконные передачи является эталоном того, что регуляторы считают соразмерным правоприменением против крупного обработчика, не внедрившего надлежащих резервных механизмов.
Рассматривайте вашу TIA как живой документ, а не как единовременную оценку. Регуляторное правоприменение неизменно обнаруживало, что организации проводили TIA при заключении договора, но не обновляли их при изменении американского законодательства о слежке или самого механизма передачи. Рекомендации EDPB 01/2020 прямо требуют периодического пересмотра. Ежегодный пересмотр TIA, инициируемый существенными правовыми изменениями в стране назначения или изменениями в категориях передаваемых данных, является минимальным стандартом. Включите цикл пересмотра в ваш календарь соблюдения требований GDPR.
Сопоставьте ваш портфель американских облачных и SaaS-провайдеров со статусом сертификации DPF. Список сертификаций DPF (ведётся на dataprivacyframework.gov) является действующим справочником. Организации регулярно обнаруживают, что ключевые субобработчики, используемые основными SaaS-провайдерами, не имеют сертификации DPF. Статус сертификации DPF субобработчиков должен быть проверен через список субобработчиков основного обработчика и подтверждён в реестре сертификаций. Отсутствие охвата субобработчиков является распространённой находкой при аудите.
Для высокорисковых категорий данных шифрование с ключами под контролем ЕС является наиболее надёжной дополнительной мерой. Технические дополнительные меры, предотвращающие доступ в читаемой форме даже при наличии государственного постановления по Разделу 702 FISA, — в частности, сквозное шифрование с ключами дешифрования, хранящимися в ЕС и недоступными американскому обработчику, — получили одобрение EDPB и национальных органов по защите данных как эффективные меры, позволяющие устранить разрыв в адекватности. Эта архитектура доступна у крупных облачных провайдеров (Google CMEK, AWS KMS с управлением ключами в ЕС, Ключи, управляемые клиентом, в Azure) и должна оцениваться применительно к операционным издержкам для высокочувствительных категорий данных.
Начните подготовку ОКП сейчас, если ваша группа насчитывает более трёх организаций за пределами ЕЭА. Одобрение ОКП занимает 18–24 месяца с момента подачи. Организация, начинающая подготовку ОКП сегодня, будет располагать утверждённым механизмом к ожидаемому решению CJEU по делу La Quadrature du Net (конец 2026 / начало 2027 года). Организация, ожидающая отмены, столкнётся с двухлетним разрывом между решением и одобрением ОКП — в этот период все внутрикорпоративные передачи будут опираться на СДП и TIA при усиленном контроле.

Правоприменение Надзорных Органов: Регуляторный Ландшафт Рисков

Значимые Исполнительные Решения в Сфере Передачи Данных

Ландшафт правоприменения в области международных передач данных сформирован рядом решений, устанавливающих как готовность регуляторов к правоприменению, так и практическую рисковую экспозицию по штрафам.

Meta Platforms Ireland — Ирландская DPC, май 2023 года (1,2 миллиарда евро). Решение Ирландской комиссии по защите данных против Meta Platforms Ireland Limited наложило крупнейший штраф GDPR на сегодняшний день — 1,2 миллиарда евро — за передачу Meta данных пользователей Facebook из ЕС в США на основании СДП без надлежащих дополнительных мер. DPC установила, что TIA Meta была дефектной ввиду непринятия во внимание воздействия массовой слежки по Разделу 702 FISA, применимой к передаваемым данным, и что СДП в одиночку не обеспечивали надлежащей защиты. DPC также предписала приостановить будущие передачи и удалить незаконно переданные данные. Решение, принятое в рамках процедуры обязательного урегулирования споров по Статье 65 GDPR (после того как EDPB отклонил первоначальный проект решения DPC), было обжаловано в Верховный суд Ирландии и продолжает рассматриваться по состоянию на первый квартал 2026 года.

WhatsApp Ireland — Ирландская DPC, сентябрь 2021 года (225 миллионов евро). Также затрагивая сервис WhatsApp Meta, это решение в основном касалось обязательств по прозрачности, но включало выводы о трансграничных передачах американской материнской компании WhatsApp.

TikTok — Итальянский Garante, различные решения 2021–2024 годов. Итальянский орган по защите данных (Garante per la protezione dei dati personali) неоднократно штрафовал европейские операции TikTok за передачу данных пользователей ЕС в Китай, где PIPL (китайский Закон о защите персональной информации, вступивший в силу в ноябре 2021 года) предоставляет правовую базу, которую EDPB и национальные органы по защите данных оценили как не отвечающую стандартам GDPR. Китай не имеет решения об адекватности ЕС. СДП TikTok для передач данных в Китай и достаточность его TIA в отношении специфических для Китая рисков государственного доступа (в частности, по Статье 7 китайского Закона о национальной разведке, обязывающей организации «поддерживать, оказывать содействие и сотрудничать с работой национальной разведки») находятся под постоянным контролем.

SRB v Advocate General (CJEU, декабрь 2023 года, C-337/21). Решение CJEU подтвердило, что ограничения на передачу данных Главы V GDPR распространяются на учреждения ЕС (передачи внутри ЕЭА, не охваченные Статьёй 3 GDPR), и уточнило взаимодействие между инструментами передачи по Статье 46 и обработкой государственными органами. Хотя дело не касается напрямую передач в США, оно подтвердило расширительный подход CJEU к понятию «передачи» по Главе V — важный для организаций, оценивающих, образует ли их архитектура обработки данных «передачу», активирующую обязательства Главы V.

Тенденции Расследований Органов по Защите Данных в 2025–2026 годах

Ряд национальных органов по защите данных объявили о проведении или ведут активные расследования практики передачи данных в 2025–2026 годах:

Немецкая DSK (Конференция независимых органов надзора за защитой данных федерации и земель): совместное расследование использования немецкими компаниями американских облачных аналитических инструментов (Google Analytics, Adobe Analytics, Salesforce) для обработки данных посетителей сайтов. В руководящих документах DSK указано, что IP-адреса являются персональными данными и что передача данных посетителей ЕС на американские серверы через аналитические скрипты является передачей, требующей действующего механизма по Главе V.
Французская CNIL: продолжающееся расследование баннеров согласия на использование cookies и передач данных, инициируемых скриптами отслеживания третьих сторон — пересечение соблюдения Директивы ePrivacy и Главы V GDPR является активным направлением правоприменения.
Нидерландская AP: расследование трансграничных передач в секторе здравоохранения после инцидента 2024 года, связанного с передачей данных нидерландских пациентов американскому провайдеру медицинских технологий на базе ИИ по СДП, где TIA не оценила влияние неприменимости HIPAA к конкретной обработке данных.

Закономерность очевидна: органы по защите данных выходят за рамки штрафования крупнейших платформ и направляют правоприменение против компаний среднего рынка в регулируемых секторах (здравоохранение, финансовые услуги, HR), которые опирались на типовые СДП без проведения специализированных TIA.

Заключение

Решение CJEU по делу Schrems II установило правовой принцип, который DPF не разрешил: право ЕС в области основных прав требует, чтобы персональные данные ЕС, экспортируемые в США, пользовались защитой, «по существу эквивалентной» стандартам GDPR, включая эффективную судебную защиту от государственной слежки. Отвечает ли DPRC этому стандарту, решит CJEU, а не оценка адекватности Комиссии. Осторожная правовая стратегия состоит в том, чтобы рассматривать DPF как удобный механизм на период его действия, одновременно поддерживая надёжную инфраструктуру СДП и TIA в качестве постоянной основы.

Организации, которые будут наилучшим образом позиционированы — с точки зрения регуляторного соответствия, операционной непрерывности и управления рисками судебных разбирательств, — это те, кто внедрил СДП в рамках всех своих отношений с обработчиками, поддерживал актуальную документацию TIA, применял технические дополнительные меры для чувствительных данных и начал подготовку ОКП для внутрикорпоративных передач. Это не вопрос выбора между нагрузкой по соответствию требованиям; это решение по управлению рисками с непосредственно исчислимой величиной downside-экспозиции.

Правовая оговорка: Настоящая статья предназначена исключительно для общих информационных целей и не является юридической консультацией. Описанные законы и нормативные акты сложны, подвержены изменениям и варьируются в зависимости от конкретных фактов и обстоятельств. Упоминаемые в настоящей статье позиции правоприменения по GDPR, решения CJEU и решения Комиссии об адекватности находятся в состоянии непрерывного правового развития. Ничто в настоящей статье не должно использоваться в качестве замены консультации квалифицированных юристов, специализирующихся в области защиты данных ЕС и соблюдения требований к трансграничной передаче данных. Morvantine и его авторы не несут ответственности за действия, предпринятые на основании информации, содержащейся в настоящей статье.

Связаться с нашей юридической командой