Международные принципы конфиденциальности Safe Harbor

Международные принципы конфиденциальности Safe Harbor или Принципы конфиденциальности Safe Harbor были принципами, разработанными в период с 1998 по 2000 год с целью предотвратить случайное раскрытие или потерю личной информации частными организациями в Европейском Союзе или США, которые хранят данные клиентов . Они были отменены 6 октября 2015 года Европейским судом (ECJ), который позволил некоторым американским компаниям соблюдать законы о конфиденциальности , защищающие граждан Европейского Союза и Швейцарии . ^[1] Американские компании, хранящие данные клиентов, могут самостоятельно подтвердить, что они придерживаются 7 принципов в соответствии с Директивой ЕС о защите данных и швейцарскими требованиями. Министерство торговли США разработало систему конфиденциальности совместно с Европейским союзом и Федеральным комиссаром по защите данных и информации Швейцарии. ^[2]

В контексте серии решений об адекватности защиты персональных данных, передаваемых в другие страны, ^[3] Европейская комиссия приняла в 2000 году решение о том, что принципы США действительно соответствуют Директиве ЕС ^[4] – так называемое решение «Безопасной гавани» . ^[5] Однако после того, как клиент пожаловался на то, что его данные в Facebook недостаточно защищены, в октябре 2015 года Европейский суд объявил решение о «Безопасной гавани» недействительным, что привело к дальнейшим переговорам Комиссии с властями США о «обновлении и обосновании рамки для трансатлантических потоков данных». ^[6]

2 февраля 2016 года Европейская комиссия и США договорились создать новую структуру для трансатлантических потоков данных, известную как « Щит конфиденциальности ЕС-США » ^[7] , за которым внимательно следила Рамочная программа по защите конфиденциальности между Швейцарией и США .

Предыстория

В 1980 году ОЭСР выпустила рекомендации по защите персональных данных в виде восьми принципов. Они не имели обязательной силы, и в 1995 году Европейский Союз (ЕС) принял более обязательную форму управления, то есть законодательство, для защиты конфиденциальности персональных данных в форме Директивы о защите данных . ^[8]

Согласно Директиве о защите данных, компаниям, работающим в Европейском Союзе, не разрешается отправлять персональные данные в «третьи страны» за пределами Европейской экономической зоны , за исключением случаев, когда они гарантируют адекватный уровень защиты, «сам субъект данных согласен на передачу» или «если были разрешены обязательные корпоративные правила или стандартные договорные положения». ^{[8] [9]} Последнее означает, что защита конфиденциальности может осуществляться на организационном уровне, когда многонациональная организация создает и документирует свои внутренние средства контроля над персональными данными, или на уровне страны, если считается, что ее законы обеспечивают защиту. равен ЕС.

Принципы конфиденциальности Safe Harbor были разработаны в период с 1998 по 2000 год. Ключевым игроком была ст. 29 Рабочая группа, в то время возглавлявшаяся Управлением по защите данных Италии www.garanteprivacy.it. Президенту профессору Стефано Родоте, одному из отцов системы конфиденциальности в Европе, помогал генеральный секретарь Итальянского управления по защите данных г-н Джованни Буттарелли, недавно назначенный европейским супервайзером по защите данных (EDPS). Принципы Safe Harbor были разработаны для предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском Союзе или США, которые хранят данные клиентов. Американские компании могли бы принять участие в программе и пройти сертификацию, если бы они придерживались семи принципов и 15 часто задаваемых вопросов и ответов в соответствии с Директивой. ^[10] В июле 2000 года Европейская комиссия (ЕК) постановила, что американским компаниям, соблюдающим принципы и зарегистрировавшим свою сертификацию о том, что они соответствуют требованиям ЕС, так называемой «схеме безопасной гавани», разрешено передавать данные из ЕС. в США. Это называется решением Safe Harbor . ^[11]

6 октября 2015 года Европейский суд признал недействительным Решение ЕС о «Безопасной гавани», поскольку «законодательство, разрешающее органам государственной власти иметь доступ на общей основе к содержанию электронных сообщений, должно рассматриваться как компрометирующее суть фундаментального права на уважение для частной жизни » [курсив в оригинале] . ^{[1] : 2–3}

По мнению Европейской комиссии, Соглашение о защите конфиденциальности между ЕС и США , согласованное 2 февраля 2016 года, «отражает требования, изложенные Европейским судом в его постановлении от 6 октября 2015 года, которое объявило старую систему «Безопасной гавани» недействительной. Новое соглашение будет обеспечить более строгие обязательства компаний в США по защите персональных данных европейцев, а также более строгий мониторинг и обеспечение соблюдения требований со стороны Министерства торговли США и Федеральной торговой комиссии , в том числе посредством расширения сотрудничества с европейскими органами по защите данных.Новое соглашение включает в себя обязательства США, которые Согласно законодательству США, возможности государственных органов получить доступ к персональным данным, передаваемым в соответствии с новым соглашением, будут подчиняться четким условиям, ограничениям и надзору, предотвращающим общий доступ. ". ^[12]

Принципы

Семь принципов 2000 года: ^[11]

• Уведомление . Физические лица должны быть проинформированы о том, что их данные собираются и как они будут использоваться. Организация должна предоставить информацию о том, как люди могут связаться с организацией с любыми запросами или жалобами.
• Выбор . Физические лица должны иметь возможность отказаться от сбора и передать данные третьим лицам.
• Последующая передача . Передача данных третьим лицам может осуществляться только другим организациям, соблюдающим адекватные принципы защиты данных.
• Безопасность . Необходимо предпринять разумные усилия для предотвращения потери собранной информации.
• Целостность данных . Данные должны быть актуальными и надежными для той цели, для которой они были собраны.
• Доступ . Физические лица должны иметь возможность доступа к информации, хранящейся о них, а также исправлять или удалять ее, если она неточна.
• Обеспечение соблюдения – Должны быть эффективные средства обеспечения соблюдения этих правил.

Область применения, сертификация и обеспечение соблюдения

В этой добровольной программе могут участвовать только организации США, деятельность которых регулируется Федеральной торговой комиссией или Министерством транспорта . Сюда не входят многие финансовые учреждения (такие как банки, инвестиционные дома, кредитные союзы, сберегательные и кредитные учреждения ), операторы связи общего пользования (включая провайдеров интернет-услуг ), профсоюзы, некоммерческие организации, сельскохозяйственные кооперативы и мясоперерабатывающие предприятия . журналисты и большинство страховых компаний, ^[13] хотя сюда могут входить инвестиционные банки. ^[14]

После согласия организация должна иметь соответствующее обучение сотрудников и эффективный механизм разрешения споров, а также каждые двенадцать месяцев самостоятельно подтверждать в письменной форме, что она согласна придерживаться принципов Safe Harbor Framework ЕС-США, включая уведомление, выбор, доступ. и правоприменение. ^[15] Он может либо провести самооценку, чтобы убедиться в соответствии принципам, либо нанять третью сторону для проведения оценки. Компании платят ежегодный сбор в размере 100 долларов США за регистрацию, за исключением первой регистрации (200 долларов США). ^[16]

Правительство США не регулирует Safe Harbor, который является саморегулируемым через своих членов из частного сектора и организации по разрешению споров, которые они выбирают. Федеральная торговая комиссия «управляет» системой под надзором Министерства торговли США. ^[17] Для выполнения обязательств нарушители могут быть наказаны в соответствии с Законом о Федеральной торговой комиссии административными приказами и гражданскими штрафами в размере до 16 000 долларов США в день за нарушения. Если организация не соблюдает эти правила, она должна незамедлительно уведомить об этом Министерство торговли, в противном случае она может быть привлечена к ответственности в соответствии с Законом о ложных заявлениях. ^[15]

В деле 2011 года Федеральная торговая комиссия получила постановление о согласии от калифорнийского интернет-магазина, который продавал товары исключительно покупателям в Соединенном Королевстве . Среди многочисленных предполагаемых мошеннических действий было представление себя как самосертифицированного в рамках Safe Harbor, хотя на самом деле это не так. Ему было запрещено использовать подобные обманные методы в будущем. ^[18]

Критика и оценка

оценки ЕС

«Схема самосертификации» Принципов безопасной гавани ЕС-США подверглась критике за ее соблюдение и соблюдение в трех внешних оценках ЕС:

• Обзор, проведенный Европейским Союзом в 2002 году, показал, что «значительное количество организаций, которые самостоятельно подтвердили соблюдение «Безопасной гавани», похоже, не соблюдают ожидаемую степень прозрачности в отношении своих общих обязательств или содержания своей политики конфиденциальности». и что «не все механизмы разрешения споров публично заявили о своем намерении обеспечить соблюдение правил Safe Harbor, и не все имеют действующие методы обеспечения конфиденциальности, применимые к ним». ^[19]
• Обзор Европейского Союза за 2004 год: ^[20]
• В 2008 году австралийская консалтинговая компания Galexia опубликовала резкий обзор, в котором обнаружила, что «способность США защитить конфиденциальность посредством саморегулирования , подкрепленная заявленным надзором со стороны регулирующих органов, сомнительна». Они задокументировали основные утверждения как неправильные, поскольку только 1109 из 1597 зарегистрированных организаций, перечисленных Министерством торговли США (DOC) 17 октября 2008 г., остались в базе данных после удаления двойных, тройных и «недействующих» организаций. Лишь 348 организаций выполнили даже самые элементарные требования соответствия. Из них только 54 расширили свое членство в Safe Harbor на все категории данных (ручные, оффлайн, онлайн, человеческие ресурсы). 206 организаций в течение многих лет ложно заявляли о своем членстве, однако не было никаких признаков того, что они подвергались каким-либо принуждениям со стороны США. Рецензенты раскритиковали «Сертификационный знак Safe Harbor», предлагаемый DOC компаниям для использования в качестве «визуального проявления организации, когда она самостоятельно подтверждает свое соответствие», как вводящий в заблуждение, поскольку на нем нет слов «самосертификация». Только 900 организаций предоставили ссылку на свою политику конфиденциальности , а для 421 документ оказался недоступен. Многочисленные политики состояли всего из одного-трех предложений и не содержали «практически никакой информации». Многие записи, похоже, путают соблюдение конфиденциальности с соблюдением требований безопасности и демонстрируют «недостаточное понимание программы Safe Harbor». Перечень компаний, предоставляющих услуги по разрешению споров, вносил путаницу, были отмечены проблемы с независимостью и доступностью. Многие организации не указали, что они будут сотрудничать со своими клиентами или объяснить им, что они могут выбрать комиссию по разрешению споров, созданную органами ЕС по защите данных.

Galexia рекомендовала ЕС пересмотреть соглашение о «Безопасной гавани», предоставить предупреждения потребителям ЕС и рассмотреть возможность всестороннего анализа всех записей в списке. Они рекомендовали США расследовать действия сотен организаций, делающих ложные заявления , пересмотреть свои заявления о количестве участников, отказаться от использования сертификационного знака Safe Harbor, расследовать несанкционированное и вводящее в заблуждение использование своего ведомственного логотипа и автоматически приостановить действие членство в организации, если им не удалось продлить сертификат Safe Harbor. ^[21]

Действие Патриотического акта

В июне 2011 года управляющий директор Microsoft UK Гордон Фрейзер заявил, что « облачные данные , независимо от того, где они находятся в мире, не защищены Патриотическим актом ». ^[22]

Нидерланды сразу же исключили поставщиков облачных услуг из США из контрактов правительства Нидерландов и даже рассматривали возможность запрета облачных контрактов, предоставляемых Microsoft и Google. Голландский филиал американской корпорации Computer Sciences Corporation (CSC) ведет электронные медицинские записи национальной системы здравоохранения Нидерландов и предупредил, что, если CSC не сможет гарантировать, что на нее не распространяется Патриотический акт, она расторгнет контракт. ^[23]

Год спустя, в 2012 году, в юридическом исследовании была подтверждена идея о том, что Патриотический акт позволяет правоохранительным органам США обходить европейские законы о конфиденциальности. ^[23]

Жалоба граждан на безопасность данных Facebook

В октябре 2015 года Европейский суд отреагировал на обращение Высокого суда Ирландии в отношении жалобы гражданина Австрии Максимилиана Шремса относительно обработки Facebook его личных данных из своей ирландской дочерней компании на серверах в США. Шремс посетовал, что «в свете сделанных в 2013 году разоблачений Эдварда Сноудена относительно деятельности спецслужб США (в частности, Агентства национальной безопасности ) законодательство и практика США не обеспечивают достаточной защиты от слежки». органами государственной власти». Суд ЕС признал Принципы Safe Harbor недействительными, поскольку они не требовали от всех организаций, имеющих право работать с данными ЕС, связанными с конфиденциальностью, их соблюдения, тем самым предоставляя недостаточные гарантии. Федеральные правительственные учреждения США могли использовать персональные данные в соответствии с законодательством США, но не были обязаны давать на это свое согласие. Суд постановил, что компании, давшие согласие, были «обязаны игнорировать, помимо прочего, правила защиты, установленные этой схемой, если они противоречат национальной безопасности». , общественные интересы и требования правоохранительных органов». ^[1]

В соответствии с правилами ЕС о передаче в Европейский суд для вынесения предварительного решения , ирландский комиссар по защите данных с тех пор был вынужден «рассмотреть дело г-на Шремса «со всей должной осмотрительностью» и... решить, стоит ли... передавать Передача персональных данных европейских подписчиков Facebook в США должна быть приостановлена». ^[1] Регуляторы ЕС заявили, что, если Европейский суд и Соединенные Штаты не договорятся о новой системе в течение трех месяцев, предприятия могут столкнуться с преследованием со стороны европейских регуляторов конфиденциальности. 29 октября 2015 года новое соглашение «Безопасная гавань 2.0», казалось, было близко к завершению. ^[24] Однако комиссар Журова ожидал, что следующим шагом будут действия США. ^[25] Американские НПО поспешили рассказать о значении этого решения. ^[26]

Ответ на Соглашение о защите конфиденциальности между ЕС и США

Депутат Европарламента от Германии Ян Филипп Альбрехт и участник кампании Макс Шремс раскритиковали новое постановление, причем последний предсказал, что Комиссия может совершить «поездку туда и обратно в Люксембург» (где расположен Европейский суд). ^[27] Комиссар ЕС по делам потребителей Вера Юрова выразила уверенность, что соглашение будет достигнуто к концу февраля. ^[28] Многие европейцы требовали создания механизма, позволяющего отдельным европейским гражданам подавать жалобы по поводу использования их данных, а также схемы прозрачности, гарантирующей, что данные европейских граждан не попадут в руки спецслужб США. ^[29] Рабочая группа по статье 29 приняла это требование и заявила, что отложит еще месяц до марта 2016 года, чтобы принять решение о последствиях нового предложения комиссара Журовой. ^[30] Директор Европейской комиссии по основным правам Пол Немиц заявил на конференции в Брюсселе в январе, как Комиссия будет принимать решения по «адекватности» защиты данных. ^{[31] Газета} Economist предсказывает, что «как только Комиссия вынесет усиленное «решение об адекватности», Суду ЕС будет труднее его отменить». ^[32] Активист по защите конфиденциальности Джо МакНэми подвел итог ситуации, отметив, что Комиссия объявила о соглашениях преждевременно, тем самым утратив свое право на ведение переговоров. ^[33] В то же время в Германии начались первые судебные разбирательства: в феврале 2016 года орган по защите данных Гамбурга готовился оштрафовать три компании за то, что они использовали Safe Harbor в качестве правовой основы для трансатлантической передачи данных, а две другие компании были под следствием. ^[34] С другой стороны, реакция выглядела неизбежной. ^[35]

25 марта 2021 года Европейская комиссия и министр торговли США сообщили, что идут «активные переговоры». ^[36] Обсуждения продолжились на саммите ЕС-США в Брюсселе в июне 2021 года. ^[37]

Смотрите также

• Юридический портал

• Обязательные корпоративные правила
• Закон о конфиденциальности электронных коммуникаций
• Принципы добросовестной информационной практики (FIPP), США
• Общие положения о защите данных
• ИТ-риск
• Конфиденциальность
• Безопасная гавань
• Закон о хранимых коммуникациях
• Оценка влияния на конфиденциальность
• Трансатлантическая система конфиденциальности данных

дальнейшее чтение

• Фаррелл, Генри (весна 2003 г.). «Создание международных основ электронной коммерции - Соглашение о безопасной гавани между ЕС и США». Международная организация . 57 (2): 277–306. дои : 10.1017/S0020818303572022. S2CID  154976969.

Рекомендации

1. «Решение по делу C-362/14 Максимилиан Шремс против комиссара по защите данных: Суд объявляет решение Комиссии о безопасной гавани в США недействительным» (пресс-релиз). Суд Европейского Союза. 6 октября 2015. с. 3 . Проверено 7 октября 2015 г.
2. Добро пожаловать в американо-швейцарскую безопасную гавань, доступ с 1 ноября 2015 г.
3. Решения Комиссии об адекватности защиты персональных данных в третьих странах, по состоянию на 1 ноября 2015 г.
4. 2000/520/EC: Решение Комиссии от 26 июля 2000 г. в соответствии с Директивой 95/46/EC Европейского парламента и Совета об адекватности защиты, обеспечиваемой принципами конфиденциальности «безопасной гавани», и связанными с ними часто задаваемыми вопросами, выпущенными Министерство торговли США (уведомлено под номером документа C(2000) 2441), по состоянию на 1 ноября 2015 г.
5. заявление Рабочей группы по защите данных о Щите конфиденциальности ЕС и США, дополнительный текст.
6. Вера Юрова, «Замечания комиссара Журовой по поводу решения Суда ЕС Safe Harbor перед Комитетом по гражданским свободам, правосудию и внутренним делам (LIBE)», 26 октября 2015 г.
7. Новые трансатлантические данные «Privacy Shield», по состоянию на 25 февраля 2016 г.
8. Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите частных лиц в отношении обработки персональных данных и о свободном перемещении таких данных.
9. Европейская комиссия (15 июня 2001 г.) Решение Комиссии 2001/497/EC от 15 июня 2001 г. о стандартных договорных положениях о передаче личных данных в третьи страны в соответствии с Директивой 95/46/EC, 15 июня 2001 г., Официальный журнал L 181 от 04.07.2001. .
10. «Рамочные документы США и ЕС по безопасной гавани» . Правительство США. Архивировано из оригинала 5 апреля 2015 года.
11. Европейский суд 2000/520/EC: Решение Комиссии от 26 июля 2000 г. в соответствии с Директивой 95/46/EC Европейского парламента и Совета об адекватности защиты, обеспечиваемой принципами конфиденциальности «безопасной гавани» и часто связанными с ними. заданные вопросы, выпущенные Министерством торговли США (уведомлено под номером документа C (2000) 2441) (Текст имеет отношение к ЕЭЗ.) 25 августа 2000 г., получено 30 октября 2015 г.
12. Комиссия ЕС и США согласовали новую структуру трансатлантических потоков данных: Соглашение о правилах обмена конфиденциальной информацией между ЕС и США, выпущенное 2 февраля 2016 г.
13. Министерство торговли США Добро пожаловать в американо-европейскую и американо-швейцарскую программу Safe Harbor, 9 октября 2015 г., дата обращения 30 октября 2015 г.
14. Часто задаваемые вопросы Министерства торговли США - Инвестиционно-банковские услуги и аудит, 29 января 2009 г., получено 30 октября 2015 г.
15. Министерство торговли США. Обзор Safe Harbor между США и ЕС, 18 декабря 2013 г., получено 30 октября 2015 г.
16. Сборы Safe Harbor Министерства торговли США, 9 апреля 2015 г., дата обращения 30 октября 2015 г.
17. Зак Уиттакер «Безопасная гавань»: почему данные ЕС нуждаются в «защите» от сбоев законодательства США Zdnet, 25 апреля 2011 г.
18. Штатный автор (9 июня 2011 г.). «Соглашение Федеральной торговой комиссии запрещает онлайн-продавцу электроники в США обманывать потребителей, используя названия иностранных веб-сайтов» (пресс-релиз). Вашингтон. Федеральная торговая комиссия . Проверено 5 марта 2015 г.
19. Европейская комиссия (2002 г.) Применение решения Комиссии об адекватной защите персональных данных, предусмотренных Принципами конфиденциальности Safe Harbor, 11 страниц, получено 30 октября 2015 г.
20. Европейская комиссия (2004 г.) Реализация решения Комиссии об адекватной защите персональных данных, предусмотренных Принципами конфиденциальности Safe Harbor, 11 страниц, получено 30 октября 2015 г.
21. Крис Коннолли (Галексия) Безопасная гавань США - факт или вымысел? Privacy Laws and Business International , выпуск 96, декабрь 2008 г., опубликовано на Galexia.com, получено 30 октября 2015 г.
22. Зак Уиттакер, Microsoft признает, что Патриотический акт может получить доступ к облачным данным ЕС Zdnet.com, 28 июня 2011 г., получено 30 октября 2015 г.
23. Зак Уиттакер, Патриотический акт может «получить» данные в Европе, говорят исследователи CBS News, 4 декабря 2012 г.
24. Джорджина Продхан (29 октября 2015 г.). «США видят, что новый пакт ЕС об обмене данными находится в пределах досягаемости». Рейтер . Проверено 30 октября 2015 г.
25. Питер Сэйер (6 ноября 2015 г.). «ЕС сообщает США, что он должен сделать следующий шаг по новому соглашению Safe Harbor, 6 ноября 2015 года». Компьютерный мир . Проверено 9 ноября 2015 г.
26. НПО (13 октября 2015 г.). «Цифровая конфиденциальность в США и Европе». Газета "Нью-Йорк Таймс . Проверено 13 ноября 2015 г.
27. Шремс, Макс (2 февраля 2016 г.). «Щит конфиденциальности ЕС и США (Safe Harbor 1.1)» (PDF) . Проверено 3 февраля 2016 г. Европейская комиссия может организовать поездку в Люксембург туда и обратно
28. «Юрова: Новый мост ЕС-США [Интервью]» . Новая Европа . Проверено 3 февраля 2016 г.
29. Ломас, Наташа (3 февраля 2016 г.). «Передача данных между ЕС и США не будет блокироваться, пока детали соглашения о защите конфиденциальности не будут определены, — сообщает WP29». ТехКранч . Проверено 3 февраля 2016 г.
30. «Заявление о последствиях решения Шремса» (PDF) . 2 февраля 2016 г. Проверено 6 февраля 2016 г.
31. Брейси, Джедидия (28 января 2015 г.). «Новая сделка по передаче данных может быть заключена уже в понедельник». Советник по конфиденциальности . Проверено 3 февраля 2016 г.
32. «Карл Великий: «Мечи и щиты». Америка и Европейский Союз достигли соглашения о защите данных» . Экономист . 6 февраля 2016 г. Проверено 8 февраля 2016 г.
33. «Что скрывается за щитом? Отключение вращения «щита конфиденциальности»» . Европейская инициатива по цифровым правам (EDRI) . 2 февраля 2016 г. Проверено 10 февраля 2016 г.
34. Мейер, Дэвид. «А вот и наступление суровых мер ЕС в отношении конфиденциальности после «Безопасной гавани», 25 февраля 2016 г.» . Журнал Фортуна . Проверено 26 февраля 2016 г.
35. Мартин, Александр Дж. (13 июня 2016 г.). «США планируют вмешаться в дело ЕС против Facebook, вызванное слежкой АНБ» . Регистр . Проверено 16 июня 2016 г.
36. Европейская комиссия, Активизация переговоров о трансатлантических потоках конфиденциальности данных: совместное заявление для прессы комиссара юстиции Европы Дидье Рейндерса и министра торговли США Джины Раймондо, опубликовано 25 марта 2021 г., по состоянию на 23 июля 2021 г.
37. Министерство торговли, министр торговли США Джина М. Раймондо присоединяется к президенту Байдену на саммите США-ЕС и продвигает вопросы технологий и торговли с лидерами Европейского союза и частного сектора, опубликовано 23 июня 2021 г., по состоянию на 28 июля 2021 г.

Внешние ссылки

• Соглашение о безопасной гавани Официальный сайт в США
• «Рамочные документы США и ЕС по безопасной гавани». Правительство США. Архивировано из оригинала 5 апреля 2015 года.
• Список «Безопасной гавани» США и ЕС, Федеральная торговая комиссия США, дата получена 30 октября 2015 г.
• Проект открытых данных, в котором перечислены компании Safe Harbor, собранные с сайта FTC, даже устаревшие, которые перезаписываются на сайте FTC, что позволяет отслеживать, как данные меняются с течением времени.