← На главную

Суд США обрушил Data Privacy Framework — Шремс зовёт ЕС из облаков

30.06.2026 05:17 · hackernews

Верховный суд США признал независимость Федеральной торговой комиссии (FTC) неконституционной. Решение основано на «унитарной теории исполнительной власти»: президент должен контролировать все органы исполнительной власти. А Евросоюз как раз на независимости FTC строил всю систему трансфера данных через Атлантику.

История такая. Ещё с 1995 года ЕС запрещает вывозить личные данные в третьи страны — чтобы европейскую приватность не обходили простой отправкой информации за границу. Исключения есть, но ими удобно не пользоваться. Комиссия ЕС трижды признавала США «адекватной страной» по защите данных. Два раза Суд Европейского Союза (CJEU) отменял эти решения — в делах Schrems I («Safe Harbour») и Schrems II («Privacy Shield»). Причина — американские законы о слежке и отсутствие судебной защиты для европейцев.

В 2023 году Комиссия приняла третью сделку — EU-US Data Privacy Framework. По сути, копия предыдущих. Опять же, ЕС требовал независимого надзора. На этот раз роль «независимого регулятора» досталась FTC. Европейцы сослались на неё 259 раз в своём решении об адекватности. Как сказал Макс Шремс, изменить требование независимого надзора можно только единогласным голосованием всех стран ЕС — то есть никак.

Ещё суд ЕС требовал независимого механизма судебной защиты от госслежки. Конгресс США закон не принял, поэтому администрация Байдена создала «Data Protection Review Court». Это исполнительный орган внутри Минюста, названный «судом». Его «независимость» держится на указе, который Трамп может отменить в любой момент.

Теперь всё рухнуло. Консервативная большинство Верховного суда объявило независимость FTC неконституционной. Шремс заявил, что основа сделки мертва, и призвал Комиссию начинать «упорядоченный выход из американских облаков».

Формально решение Еврокомиссии пока действует — пока его не отменили сами или CJEU. GDPR регулирует только персональные данные, неличные могут летать свободно. Статья 49 GDPR разрешает transfers при строгой необходимости. Но структурно вывозить данные не выйдет.

Проблема затронет и компании, использующие SCCs и BCRs. Они опирались на оценку воздействия, которая строилась на независимости PCLOB и Data Protection Review Court. Теперь оценку надо обновлять — и логически выходит, что трансферы незаконны.

Защитники приватности из noyb уже отправили Комиссии письмо с требованием отозвать сделку. Они готовят иск в CJEU — на это уйдёт 2–3 года.

Читать оригинал →