В конце июня Верховный суд США разрешил президенту страны увольнять независимых государственных регуляторов, несмотря на законы, которые защищают их рабочие места. Таким образом суд отменил прецедент 1935 года, который почти 100 лет защищал независимость регулирующих агентств от произвольных увольнений властями. Формально дело касалось внутренней политики США, но у него нашелся неожиданный побочный эффект для Европы.
Дело в том, что в ЕС уже около 30 лет действует жесткое правило: персональные данные европейцев нельзя свободно отправлять в другие страны, если там нет высокого уровня защиты и независимости надзорного органа. Именно поэтому последние 25 лет Европа постоянно заключает специальные соглашения с США. Последним из них был EU-US Data Privacy Framework (DPF), запущенный в 2023 году. Именно по нему сегодня работают тысячи американских компаний, принимающих данные европейских пользователей.
DPF работает так: американская компания подает заявку в систему Минторга США, публикует политику приватности, выбирает механизм рассмотрения жалоб и подтверждает, что подпадает под контроль Федеральной торговой комиссии (FTC). После этого ее вносят в публичный список участников, а европейская компания перед передачей данных должна проверить, что сертификат у получателя активен. Если компания нарушает обещанные правила, FTC может наказать ее за недобросовестные или вводящие в заблуждение практики.
Главная проблема в том, что при утверждении этого соглашения Еврокомиссия сотни раз ссылалась на независимость FTC США. Именно FTC должна была следить за соблюдением правил американскими компаниями. Теперь же Верховный суд фактически заявил, что комиссия больше не является независимой, поскольку президент может в любой момент заменить ее руководство.
Пока соглашение продолжает действовать. Однако юристы ожидают новых исков в европейских судах. Если история повторится, DPF может стать уже третьим подряд соглашением, которое признают несоответствующим требованиям ЕС.
Эта история влечет за собой последствия для ИТ-бизнеса. Практически все крупнейшие американские ИТ-компани строят европейский бизнес именно на возможности легально получать и обрабатывать данные пользователей из ЕС. Если правовая база снова рухнет, компаниям придется искать более сложные юридические схемы передачи данных, а европейский бизнес может начать активнее переходить на местных облачных провайдеров.
Похожая логика уже используется и в России. Закон о локализации персональных данных ужесточили в 2025 году. Он требует, чтобы персональные данные российских граждан первоначально записывались и хранились на серверах внутри страны. Получается любопытная тенденция: в разных странах все чаще приходят к одной и той же идее – самые ценные данные лучше держать под собственной юрисдикцией.