Международные принципы конфиденциальности Safe Harbor

Международные принципы конфиденциальности Safe Harbor или принципы конфиденциальности Safe Harbor были разработаны в период с 1998 по 2000 год с целью предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском союзе или Соединенных Штатах, которые хранят данные клиентов . Они были отменены 6 октября 2015 года Европейским судом (ECJ), что позволило некоторым компаниям США соблюдать законы о конфиденциальности, защищающие граждан Европейского союза и Швейцарии . ^[1] Компании США, хранящие данные клиентов, могли самостоятельно подтвердить, что они придерживаются 7 принципов, чтобы соответствовать Директиве ЕС о защите данных и требованиям Швейцарии. Министерство торговли США разработало рамки конфиденциальности совместно с Европейским союзом и Федеральным комиссаром по защите данных и информации Швейцарии. ^[2]

В контексте ряда решений об адекватности защиты персональных данных , передаваемых в другие страны, ^[3] Европейская комиссия в 2000 году приняла решение о том, что принципы Соединенных Штатов соответствуют Директиве ЕС ^[4] – так называемое решение Safe Harbor . ^[5] Однако после того, как клиент пожаловался на то, что его данные в Facebook недостаточно защищены, Европейский суд в октябре 2015 года объявил решение Safe Harbor недействительным, что привело к проведению комиссией дальнейших переговоров с властями США в целях «обновленной и надежной структуры для трансатлантических потоков данных». ^[6]

Европейская комиссия и Соединенные Штаты 2 февраля 2016 года договорились о создании новой структуры для трансатлантических потоков данных, известной как « Соглашение о защите конфиденциальности ЕС–США » ^[7] , за которым вскоре последовало Соглашение о защите конфиденциальности между Швейцарией и США .

Предыстория

В 1980 году ОЭСР выпустила рекомендации по защите персональных данных в форме восьми принципов. Они не были обязательными, а в 1995 году Европейский союз (ЕС) принял более обязательную форму управления, т. е. законодательство, для защиты конфиденциальности персональных данных в форме Директивы о защите данных . ^[8]

Согласно Директиве о защите данных, компаниям, работающим в Европейском союзе, не разрешается отправлять персональные данные в «третьи страны» за пределами Европейской экономической зоны , если они не гарантируют адекватный уровень защиты, «субъект данных сам соглашается на передачу» или «если были разрешены Обязательные корпоративные правила или Стандартные договорные положения». ^{[8] [9]} Последнее означает, что защита конфиденциальности может осуществляться на организационном уровне, когда многонациональная организация разрабатывает и документирует свои внутренние средства контроля персональных данных, или на уровне страны, если ее законы считаются обеспечивающими защиту, равную защите ЕС.

Принципы конфиденциальности Safe Harbor были разработаны в период с 1998 по 2000 год. Ключевым игроком была Рабочая группа по статье 29, в то время возглавляемая итальянским Управлением по защите данных www.garanteprivacy.it. Президент профессор Стефано Родота, один из отцов структуры конфиденциальности в Европе, которому помогал Генеральный секретарь итальянского Управления по защите данных г-н Джованни Буттарелли, недавно назначенный Европейским инспектором по защите данных (EDPS). Принципы Safe Harbor были разработаны для предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском союзе или Соединенных Штатах, которые хранят данные клиентов. Компании США могли принять участие в программе и получить сертификат, если они придерживались семи принципов и 15 часто задаваемых вопросов и ответов в соответствии с Директивой. ^[10] В июле 2000 года Европейская комиссия (ЕК) постановила, что американским компаниям, соблюдающим принципы и регистрирующим свою сертификацию, подтверждающую их соответствие требованиям ЕС, так называемая «схема безопасной гавани», разрешено передавать данные из ЕС в США. Это называется решением Safe Harbor . ^[11]

6 октября 2015 года Европейский суд признал недействительным решение ЕС о «безопасной гавани», поскольку «законодательство, разрешающее государственным органам иметь доступ на общей основе к содержанию электронных сообщений, следует рассматривать как подрывающее суть основополагающего права на уважение частной жизни » [выделено в оригинале] . ^{[1] : 2–3}

По данным Европейской комиссии, соглашение о защите конфиденциальности ЕС–США , согласованное 2 февраля 2016 года, «отражает требования, изложенные Европейским судом в его постановлении от 6 октября 2015 года, который объявил старую структуру Safe Harbor недействительной. Новое соглашение предусматривает более строгие обязательства для компаний в США по защите персональных данных европейцев и более строгий мониторинг и обеспечение соблюдения со стороны Министерства торговли США и Федеральной торговой комиссии , в том числе посредством расширения сотрудничества с европейскими органами по защите данных. Новое соглашение включает обязательства США о том, что возможности в соответствии с законодательством США для государственных органов по доступу к персональным данным, переданным в рамках нового соглашения, будут подчиняться четким условиям, ограничениям и надзору, предотвращая общий доступ. Европейцы будут иметь возможность поднимать любые вопросы или жалобы в этом контексте с помощью специального нового омбудсмена». ^[12]

Принципы

Семь принципов 2000 года: ^[11]

• Уведомление – Физические лица должны быть проинформированы о том, что их данные собираются и как они будут использоваться. Организация должна предоставить информацию о том, как физические лица могут связаться с организацией с любыми запросами или жалобами.
• Выбор . Физические лица должны иметь возможность отказаться от сбора и передачи данных третьим лицам.
• Дальнейшая передача . Передача данных третьим лицам может осуществляться только в те организации, которые соблюдают надлежащие принципы защиты данных.
• Безопасность – необходимо предпринять разумные усилия для предотвращения потери собранной информации.
• Целостность данных . Данные должны быть актуальными и надежными для той цели, для которой они были собраны.
• Доступ . Физические лица должны иметь возможность доступа к хранящейся о них информации, а также исправлять или удалять ее, если она неточна.
• Обеспечение соблюдения – Должны быть эффективные средства обеспечения соблюдения этих правил.

Область применения, сертификация и обеспечение соблюдения

Только организации США, регулируемые Федеральной торговой комиссией или Министерством транспорта , могут участвовать в этой добровольной программе. Это исключает многие финансовые учреждения (такие как банки, инвестиционные дома, кредитные союзы и ссудо-сберегательные учреждения ), телекоммуникационные компании общего пользования (включая поставщиков интернет-услуг ), трудовые ассоциации, некоммерческие организации, сельскохозяйственные кооперативы и мясоперерабатывающие предприятия , журналистов и большинство страховых компаний, ^[13] хотя это может включать инвестиционные банки. ^[14]

После регистрации организация должна иметь соответствующее обучение сотрудников и эффективный механизм разрешения споров, а также каждые двенадцать месяцев в письменной форме подтверждать свое согласие придерживаться принципов программы ЕС-США Safe Harbor, включая уведомление, выбор, доступ и обеспечение соблюдения. ^[15] Она может либо провести самостоятельную оценку, чтобы убедиться, что она соответствует принципам, либо нанять третью сторону для проведения оценки. Компании платят ежегодный сбор в размере 100 долларов за регистрацию, за исключением первой регистрации (200 долларов). ^[16]

Правительство США не регулирует Safe Harbor, которая саморегулируется через своих членов из частного сектора и выбранные ими организации по разрешению споров. Федеральная торговая комиссия «управляет» системой под надзором Министерства торговли США. ^[17] Чтобы соблюдать обязательства, нарушители могут быть наказаны в соответствии с Законом о Федеральной торговой комиссии административными постановлениями и гражданскими штрафами в размере до 16 000 долларов в день за нарушения. Если организация не соблюдает рамки, она должна незамедлительно уведомить Министерство торговли, в противном случае она может быть привлечена к ответственности в соответствии с Законом о ложных заявлениях. ^[15]

В деле 2011 года Федеральная торговая комиссия получила постановление о согласии от калифорнийского интернет-ритейлера, который продавал товары исключительно клиентам в Соединенном Королевстве . Среди его многочисленных предполагаемых мошеннических практик было представление себя как самостоятельно сертифицированного в рамках Safe Harbor, хотя на самом деле это не так. Ему было запрещено использовать такие мошеннические практики в будущем. ^[18]

Критика и оценка

Оценки ЕС

Схема самосертификации принципов «Безопасной гавани» ЕС–США подверглась критике в отношении ее соответствия и обеспечения соблюдения в трех внешних оценках ЕС:

• В обзоре Европейского союза за 2002 год было установлено, что «значительное число организаций, которые самостоятельно подтвердили приверженность Safe Harbor, по-видимому, не соблюдают ожидаемую степень прозрачности в отношении своих общих обязательств или в отношении содержания своих политик конфиденциальности» и что «не все механизмы разрешения споров публично заявили о своем намерении обеспечить соблюдение правил Safe Harbor, и не все из них внедрили практику конфиденциальности, применимую к ним самим». ^[19]
• Обзор Европейского Союза 2004 года: ^[20]
• В 2008 году австралийская консалтинговая компания Galexia выпустила уничтожающий обзор, в котором обнаружила, что «способность США защищать конфиденциальность посредством саморегулирования , подкрепленного заявленным надзором со стороны регулятора, сомнительна». Они задокументировали основные утверждения как неверные, где только 1109 из 1597 зарегистрированных организаций, перечисленных Министерством торговли США (DOC) 17 октября 2008 года, остались в базе данных после удаления дублей, троек и «неактуальных» организаций. Только 348 организаций соответствовали даже самым базовым требованиям соответствия. Из них только 54 распространили свое членство в Safe Harbor на все категории данных (ручные, офлайн, онлайн, человеческие ресурсы). 206 организаций ложно утверждали, что являются членами в течение многих лет, однако не было никаких признаков того, что они подвергались какому-либо принудительному исполнению со стороны США. Рецензенты раскритиковали «Знак сертификации Safe Harbor» от DOC, предлагаемый компаниям для использования в качестве «визуального проявления организации, когда она самостоятельно подтверждает, что будет соблюдать», как вводящий в заблуждение, поскольку на нем нет слов «самостоятельно сертифицируется». Только 900 организаций предоставили ссылку на свою политику конфиденциальности , а для 421 документ был недоступен. Многочисленные политики были длиной всего от одного до трех предложений, не содержащих «практически никакой информации». Во многих записях, по-видимому, смешивалось соблюдение конфиденциальности с соблюдением безопасности, и было отмечено «отсутствие понимания программы Safe Harbor». Перечень компаний своих поставщиков услуг по разрешению споров был запутанным, и были отмечены проблемы, касающиеся независимости и доступности. Многие организации не разъяснили, что они будут сотрудничать, или не объяснили своим клиентам, что они могут выбрать комиссию по разрешению споров, созданную органами по защите данных ЕС.

Galexia рекомендовала ЕС пересмотреть соглашение Safe Harbor, предоставить предупреждения потребителям ЕС и рассмотреть возможность всестороннего пересмотра всех записей в списке. Они рекомендовали США расследовать сотни организаций, делающих ложные заявления , пересмотреть свои заявления о количестве участников, отказаться от использования знака сертификации Safe Harbor, расследовать несанкционированное и вводящее в заблуждение использование своего логотипа Департамента и автоматически приостанавливать членство организации, если она не продлила свою сертификацию Safe Harbor. ^[21]

Охват Патриотического Акта

В июне 2011 года управляющий директор Microsoft UK Гордон Фрейзер заявил, что « облачные данные , независимо от того, где они находятся в мире, не защищены от Патриотического акта ». ^[22]

Нидерланды быстро исключили поставщиков облачных услуг из голландских государственных контрактов и даже рассматривали запрет на облачные контракты, предоставляемые Microsoft и Google. Голландская дочерняя компания американской Computer Sciences Corporation (CSC) управляет электронными медицинскими картами голландской национальной системы здравоохранения и предупредила, что если CSC не сможет гарантировать, что она не подпадает под действие Patriot Act, она расторгнет контракт. ^[23]

Год спустя, в 2012 году, в юридической исследовательской работе была поддержана идея о том, что Закон о патриотизме позволяет правоохранительным органам США обходить европейские законы о конфиденциальности. ^[23]

Жалоба граждан на безопасность данных Facebook

В октябре 2015 года Европейский суд отреагировал на обращение Высокого суда Ирландии в связи с жалобой гражданина Австрии Максимиллиан Шремс относительно обработки Facebook его персональных данных из его ирландского филиала на серверах в США. Шремс жаловался, что «в свете разоблачений, сделанных в 2013 году Эдвардом Сноуденом относительно деятельности разведывательных служб США (в частности, Агентства национальной безопасности ), законодательство и практика Соединенных Штатов не обеспечивают достаточной защиты от слежки со стороны государственных органов». Европейский суд постановил, что Принципы Safe Harbor недействительны, поскольку они не требуют от всех организаций, имеющих право работать с данными, связанными с конфиденциальностью ЕС, соблюдать их, тем самым предоставляя недостаточные гарантии. Федеральные правительственные учреждения США могли использовать персональные данные в соответствии с законодательством США, но не были обязаны соглашаться на это. Суд постановил, что компании, соглашающиеся на это, «обязаны игнорировать, без ограничений, защитные правила, установленные этой схемой, если они противоречат национальной безопасности, общественным интересам и требованиям правоохранительных органов». ^[1]

В соответствии с правилами ЕС о передаче в Европейский суд для вынесения предварительного решения , ирландский комиссар по защите данных с тех пор должен был «рассмотреть дело г-на Шремса «со всей должной осмотрительностью» и ... решить, следует ли ... приостановить передачу персональных данных европейских подписчиков Facebook в Соединенные Штаты». ^[1] Регуляторы ЕС заявили, что если Европейский суд и Соединенные Штаты не договорятся о новой системе в течение трех месяцев, компании могут столкнуться с действиями со стороны европейских регуляторов конфиденциальности. 29 октября 2015 года новое соглашение «Safe Harbor 2.0» казалось близким к завершению. ^[24] Однако комиссар Юрова ожидала, что следующими будут США. ^[25] Американские НПО поспешили расширить значимость этого решения. ^[26]

Ответ на Соглашение о правилах обмена конфиденциальной информацией между ЕС и США

Немецкий депутат Европарламента Ян Филипп Альбрехт и активист Макс Шремс раскритиковали новое постановление, причем последний предсказал, что Комиссия может совершить «туда и обратно в Люксембург» (где находится Европейский суд). ^[27] Комиссар ЕС по делам потребителей Вера Юрова выразила уверенность, что соглашение будет достигнуто к концу февраля. ^[28] Многие европейцы требовали механизма, позволяющего отдельным гражданам Европы подавать жалобы на использование их данных, а также схему прозрачности, которая гарантировала бы, что данные европейских граждан не попадут в руки американских спецслужб. ^[29] Рабочая группа по статье 29 приняла это требование и заявила, что отложит еще один месяц до марта 2016 года, чтобы принять решение о последствиях нового предложения комиссара Юровой. ^[30] Директор Европейской комиссии по основным правам Пол Немитц заявил на конференции в Брюсселе в январе, как комиссия будет принимать решение об «адекватности» защиты данных. ^{[31] Газета} The Economist предсказывает, что «как только Комиссия вынесет усиленное «решение о достаточности», Европейскому суду будет сложнее его отменить». ^[32] Активист по защите конфиденциальности Джо МакНэми подвел итог ситуации, отметив, что комиссия преждевременно объявила о соглашениях, тем самым утратив свое право на переговоры. ^[33] В то же время в Германии начались первые судебные разбирательства: в феврале 2016 года гамбургский орган по защите данных готовился оштрафовать три компании за то, что они полагались на Safe Harbor в качестве правовой основы для своих трансатлантических передач данных, а две другие компании находились под следствием. ^[34] С другой стороны, реакция казалась неизбежной. ^[35]

25 марта 2021 года Европейская комиссия и министр торговли США сообщили, что ведутся «интенсивные переговоры». ^[36] Обсуждения продолжились на саммите ЕС–США в Брюсселе в июне 2021 года. ^[37]

Смотрите также

• Юридический портал

• Обязательные корпоративные правила
• Закон о конфиденциальности электронных коммуникаций
• Принципы честной информационной практики (FIPP), США
• Общий регламент по защите данных
• ИТ-риск
• Конфиденциальность
• Безопасная гавань
• Закон о хранимых сообщениях
• Оценка воздействия на конфиденциальность
• Трансатлантическая структура конфиденциальности данных

Дальнейшее чтение

• Фаррелл, Генри (весна 2003 г.). «Создание международных основ электронной коммерции — соглашение о безопасной гавани ЕС–США». Международная организация . 57 (2): 277–306. doi :10.1017/S0020818303572022. S2CID  154976969.

Ссылки

1. "Решение по делу C-362/14 Максимиллиан Шремс против Комиссара по защите данных: Суд объявляет решение Комиссии о «Безопасной гавани» в США недействительным" (пресс-релиз). Суд Европейского Союза. 6 октября 2015 г. стр. 3. Получено 7 октября 2015 г.
2. Добро пожаловать в американо-швейцарскую безопасную гавань, доступ открыт 1 ноября 2015 г.
3. Решения Комиссии о достаточности защиты персональных данных в третьих странах, доступные 1 ноября 2015 г.
4. 2000/520/EC: Решение Комиссии от 26 июля 2000 г. в соответствии с Директивой 95/46/EC Европейского парламента и Совета об адекватности защиты, предоставляемой принципами конфиденциальности «безопасной гавани», и связанные с ними часто задаваемые вопросы, выпущенные Министерством торговли США (уведомление под номером документа C(2000) 2441), доступ 1 ноября 2015 г.
5. Заявление Рабочей группы по защите данных в рамках соглашения ЕС-США о правилах обмена конфиденциальной информацией, дополнительный текст.
6. Вера Йоурова, «Замечания комиссара Йоуровой о решении Суда ЕС по делу Safe Harbour в Комитете по гражданским свободам, правосудию и внутренним делам (LIBE)», 26 октября 2015 г.
7. Новые трансатлантические данные «Privacy Shield», доступ 25 февраля 2016 г.
8. Директива 95/46/EC Европейского парламента и Совета от 24 октября 1995 г. о защите лиц в отношении обработки персональных данных и о свободном перемещении таких данных
9. Европейская комиссия (15 июня 2001 г.) Решение Комиссии 2001/497/EC от 15 июня 2001 г. о стандартных договорных положениях о передаче персональных данных в третьи страны в соответствии с Директивой 95/46/EC, 15 июня 2001 г., Официальный журнал L 181 от 04.07.2001.
10. "US–EU Safe Harbor Framework Documents". Правительство США. Архивировано из оригинала 5 апреля 2015 г.
11. Европейский суд 2000/520/EC: Решение Комиссии от 26 июля 2000 г. в соответствии с Директивой 95/46/EC Европейского парламента и Совета об адекватности защиты, предоставляемой принципами конфиденциальности Safe Harbor, и связанные с ними часто задаваемые вопросы, выпущенные Министерством торговли США (уведомление под номером документа C(2000) 2441) (Текст, имеющий отношение к ЕЭЗ.) 25 августа 2000 г., получено 30 октября 2015 г.
12. Комиссия ЕС и США согласовали новую структуру для трансатлантических потоков данных: Соглашение о защите конфиденциальности ЕС-США, выпущенное 2 февраля 2016 г.
13. Министерство торговли США Добро пожаловать в рамочные соглашения о «безопасной гавани» между США и ЕС и между США и Швейцарией Архивировано 9 июня 2010 г., на Wayback Machine 9 октября 2015 г., получено 30 октября 2015 г.
14. Министерство торговли США FAQ – Инвестиционный банкинг и аудит 29 января 2009 г., получено 30 октября 2015 г.
15. Министерство торговли США Обзор программы «Безопасная гавань» США–ЕС, 18 декабря 2013 г., получено 30 октября 2015 г.
16. Министерство торговли США, сборы за «безопасную гавань» 9 апреля 2015 г., получено 30 октября 2015 г.
17. Зак Уиттакер Safe Harbor: Почему данные ЕС нуждаются в «защите» от законодательства США Failure Zdnet, 25 апреля 2011 г.
18. Сотрудник (9 июня 2011 г.). «Соглашение FTC запрещает онлайн-продавцу электроники в США обманывать потребителей, используя иностранные названия веб-сайтов» (пресс-релиз). Вашингтон. Федеральная торговая комиссия . Получено 5 марта 2015 г.
19. Европейская комиссия (2002) Применение решения Комиссии о надлежащей защите персональных данных, предоставляемой принципами конфиденциальности Safe Harbour, 11 страниц, получено 30 октября 2015 г.
20. Европейская комиссия (2004) Реализация решения Комиссии о надлежащей защите персональных данных, предусмотренной принципами конфиденциальности Safe Harbour, 11 страниц, получено 30 октября 2015 г.
21. Крис Коннолли (Galexia) US Safe Harbor — факт или вымысел? Privacy Laws and Business International , выпуск 96, декабрь 2008 г., опубликовано на Galexia.com, получено 30 октября 2015 г.
22. Зак Уиттакер, Microsoft признает, что Patriot Act может получить доступ к облачным данным ЕС Zdnet.com, 28 июня 2011 г., получено 30 октября 2015 г.
23. Зак Уиттакер, Patriot Act может «получить» данные в Европе, говорят исследователи CBS News 4 декабря 2012 г.
24. Джорджина Продхан (29 октября 2015 г.). «США видят, что новый пакт ЕС о совместном использовании данных уже не за горами». Reuters . Получено 30 октября 2015 г.
25. Питер Сэйер (6 ноября 2015 г.). «ЕС говорит США, что они должны сделать следующий шаг по новой сделке Safe Harbor, 6 ноября 2015 г.». Computerworld . Получено 9 ноября 2015 г.
26. НПО (13 октября 2015 г.). «Цифровая конфиденциальность в США и Европе». New York Times . Получено 13 ноября 2015 г.
27. Шремс, Макс (2 февраля 2016 г.). "EU US Privacy Shield (Safe Harbor 1.1)" (PDF) . Получено 3 февраля 2016 г. . Европейская комиссия может выдать разрешение на поездку в Люксембург
28. "Jourová: Новый мост ЕС-США [Интервью]". New Europe . Получено 3 февраля 2016 г.
29. Ломас, Наташа (3 февраля 2016 г.). «Передача данных между ЕС и США не будет заблокирована, пока детали Privacy Shield будут проработаны, заявляет WP29». TechCrunch . Получено 3 февраля 2016 г.
30. "Заявление о последствиях решения суда по делу Шремса" (PDF) . 2 февраля 2016 г. Получено 6 февраля 2016 г.
31. Брейси, Джедидиа (28 января 2015 г.). «Новая сделка по передаче данных может быть заключена к понедельнику». The Privacy Advisor . Получено 3 февраля 2016 г.
32. "Карл Великий: "Мечи и щиты". Америка и Европейский союз достигли соглашения о защите данных". The Economist . 6 февраля 2016 г. Получено 8 февраля 2016 г.
33. "Что за щитом? Раскручиваем спин "щита конфиденциальности"". Европейская инициатива по цифровым правам (EDRi) . 2 февраля 2016 г. Получено 10 февраля 2016 г.
34. Мейер, Дэвид. «Here Comes the Post-Safe Harbor EU Privacy Crackdown», 25 февраля 2016 г. Журнал Fortune . Получено 26 февраля 2016 г.
35. Мартин, Александр Дж. (13 июня 2016 г.). «США планируют вмешательство в дело ЕС против Facebook, вызванное слежкой АНБ». The Register . Получено 16 июня 2016 г.
36. Европейская комиссия, Активизация переговоров о трансатлантических потоках конфиденциальности данных: совместное пресс-заявление Европейского комиссара по вопросам юстиции Дидье Рейндерса и министра торговли США Джины Раймондо, опубликовано 25 марта 2021 г., доступ получен 23 июля 2021 г.
37. Министерство торговли, министр торговли США Джина М. Раймондо присоединяется к президенту Байдену на саммите США-ЕС и обсуждает вопросы технологий и торговли с лидерами Европейского союза и частного сектора, опубликовано 23 июня 2021 г., доступ получен 28 июля 2021 г.

Внешние ссылки

• Соглашение о безопасной гавани Официальный сайт США
• "US-EU Safe Harbor Framework Documents". Правительство США. Архивировано из оригинала 5 апреля 2015 г.
• Список «Безопасной гавани» США-ЕС, Федеральная торговая комиссия США, дата обращения 30 октября 2015 г.
• Проект открытых данных, содержащий список компаний Safe Harbor, собранный с сайта FTC, включая устаревшие данные, которые перезаписываются на сайте FTC, что позволяет отслеживать, как со временем меняются данные.