Инспекция по защите данных советует не пользоваться при аутентификации средствами из США
Инспекция по защите данных (Andmekaitse Inspektsioon — AKI) выдала эстонским предприятиям рекомендацию избегать при выборе средств аутентификации решений из США и предпочитать вместо них отечественные.
"В июле этого года после вступления в силу судебного решения по делу Schrems II США стали для Европы "третьей страной", так как исчез механизм защиты личных данных Privacy Shield", — пояснила изданию Forte гендиректор AKI Пилле Лехис.
Она сослалась на вступившее в силу 16 июля решение Европейского суда, которое сузило возможности передачи личных данных между Европой и США.
В своем решении по делу Schrems II суд Европейского союза (CJEU) признал недействительным так называемый EU — US Privacy Shield, то есть специальные правила для передачи персональных данных в коммерческих целях из ЕС в США, которым пользовались тысячи американских компаний. Так, теперь, например, Facebook не сможет использовать эти правила для передачи в США персональных данных своих пользователей в ЕС. Главной причиной такого решения стало то, что законы США в недостаточной степени защищают персональные данные от чрезмерного использования со стороны государственных органов.
Кроме того, суд подтвердил возможность использования стандартных договорных условий (standard contractual clauses), утвержденных Европейской комиссией, для передачи персональных данных из ЕС в страны, которые согласно праву ЕС не обеспечивают адекватную защиту прав субъектов персональных данных.
В то же время тенденция последних лет говорит о том, что большинство организаций переносят свои услугу в интернет, и во многих случаях пользователи интернет-услуги для аутентификации используют аккаунты Facebook и Google.
AKI считает, что для организаций было бы разумно вместо американских средств аутентификации использовать эстонские решения, так как они разработаны с учетом европейских требований по защите данных. На сегодняшний день есть выбор между Smart-ID, ID-картой или mobiili-ID.
"Если есть желание сотрудничать с предприятиями США, то нужно подписать для передачи данных договор, содержащий стандартные условия по защите данных или найти другой вариант, отвечающий общим положениям по защите данных", — сказала Пилле Лехис.
То же действует и в отношении других третьих стран, уровень защиты данных которых признан Евросоюзом недостаточным.
