Международные принципы конфиденциальности Safe Harbor или принципы конфиденциальности Safe Harbor были разработаны в период с 1998 по 2000 год с целью предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском союзе или Соединенных Штатах, которые хранят данные клиентов . Они были отменены 6 октября 2015 года Европейским судом (ECJ), что позволило некоторым компаниям США соблюдать законы о конфиденциальности, защищающие граждан Европейского союза и Швейцарии . [1] Компании США, хранящие данные клиентов, могли самостоятельно подтвердить, что они придерживаются 7 принципов, чтобы соответствовать Директиве ЕС о защите данных и требованиям Швейцарии. Министерство торговли США разработало рамки конфиденциальности совместно с Европейским союзом и Федеральным комиссаром по защите данных и информации Швейцарии. [2]
В контексте ряда решений об адекватности защиты персональных данных , передаваемых в другие страны, [3] Европейская комиссия в 2000 году приняла решение о том, что принципы Соединенных Штатов соответствуют Директиве ЕС [4] – так называемое решение Safe Harbor . [5] Однако после того, как клиент пожаловался на то, что его данные в Facebook недостаточно защищены, Европейский суд в октябре 2015 года объявил решение Safe Harbor недействительным, что привело к проведению комиссией дальнейших переговоров с властями США в целях «обновленной и надежной структуры для трансатлантических потоков данных». [6]
Европейская комиссия и Соединенные Штаты 2 февраля 2016 года договорились о создании новой структуры для трансатлантических потоков данных, известной как « Соглашение о защите конфиденциальности ЕС–США » [7] , за которым вскоре последовало Соглашение о защите конфиденциальности между Швейцарией и США .
В 1980 году ОЭСР выпустила рекомендации по защите персональных данных в форме восьми принципов. Они не были обязательными, а в 1995 году Европейский союз (ЕС) принял более обязательную форму управления, т. е. законодательство, для защиты конфиденциальности персональных данных в форме Директивы о защите данных . [8]
Согласно Директиве о защите данных, компаниям, работающим в Европейском союзе, не разрешается отправлять персональные данные в «третьи страны» за пределами Европейской экономической зоны , если они не гарантируют адекватный уровень защиты, «субъект данных сам соглашается на передачу» или «если были разрешены Обязательные корпоративные правила или Стандартные договорные положения». [8] [9] Последнее означает, что защита конфиденциальности может осуществляться на организационном уровне, когда многонациональная организация разрабатывает и документирует свои внутренние средства контроля персональных данных, или на уровне страны, если ее законы считаются обеспечивающими защиту, равную защите ЕС.
Принципы конфиденциальности Safe Harbor были разработаны в период с 1998 по 2000 год. Ключевым игроком была Рабочая группа по статье 29, в то время возглавляемая итальянским Управлением по защите данных www.garanteprivacy.it. Президент профессор Стефано Родота, один из отцов структуры конфиденциальности в Европе, которому помогал Генеральный секретарь итальянского Управления по защите данных г-н Джованни Буттарелли, недавно назначенный Европейским инспектором по защите данных (EDPS). Принципы Safe Harbor были разработаны для предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском союзе или Соединенных Штатах, которые хранят данные клиентов. Компании США могли принять участие в программе и получить сертификат, если они придерживались семи принципов и 15 часто задаваемых вопросов и ответов в соответствии с Директивой. [10] В июле 2000 года Европейская комиссия (ЕК) постановила, что американским компаниям, соблюдающим принципы и регистрирующим свою сертификацию, подтверждающую их соответствие требованиям ЕС, так называемая «схема безопасной гавани», разрешено передавать данные из ЕС в США. Это называется решением Safe Harbor . [11]
6 октября 2015 года Европейский суд признал недействительным решение ЕС о «безопасной гавани», поскольку «законодательство, разрешающее государственным органам иметь доступ на общей основе к содержанию электронных сообщений, следует рассматривать как подрывающее суть основополагающего права на уважение частной жизни » [выделено в оригинале] . [1] : 2–3
По данным Европейской комиссии, соглашение о защите конфиденциальности ЕС–США , согласованное 2 февраля 2016 года, «отражает требования, изложенные Европейским судом в его постановлении от 6 октября 2015 года, который объявил старую структуру Safe Harbor недействительной. Новое соглашение предусматривает более строгие обязательства для компаний в США по защите персональных данных европейцев и более строгий мониторинг и обеспечение соблюдения со стороны Министерства торговли США и Федеральной торговой комиссии , в том числе посредством расширения сотрудничества с европейскими органами по защите данных. Новое соглашение включает обязательства США о том, что возможности в соответствии с законодательством США для государственных органов по доступу к персональным данным, переданным в рамках нового соглашения, будут подчиняться четким условиям, ограничениям и надзору, предотвращая общий доступ. Европейцы будут иметь возможность поднимать любые вопросы или жалобы в этом контексте с помощью специального нового омбудсмена». [12]
Семь принципов 2000 года: [11]
Только организации США, регулируемые Федеральной торговой комиссией или Министерством транспорта , могут участвовать в этой добровольной программе. Это исключает многие финансовые учреждения (такие как банки, инвестиционные дома, кредитные союзы и ссудо-сберегательные учреждения ), телекоммуникационные компании общего пользования (включая поставщиков интернет-услуг ), трудовые ассоциации, некоммерческие организации, сельскохозяйственные кооперативы и мясоперерабатывающие предприятия , журналистов и большинство страховых компаний, [13] хотя это может включать инвестиционные банки. [14]
После регистрации организация должна иметь соответствующее обучение сотрудников и эффективный механизм разрешения споров, а также каждые двенадцать месяцев в письменной форме подтверждать свое согласие придерживаться принципов программы ЕС-США Safe Harbor, включая уведомление, выбор, доступ и обеспечение соблюдения. [15] Она может либо провести самостоятельную оценку, чтобы убедиться, что она соответствует принципам, либо нанять третью сторону для проведения оценки. Компании платят ежегодный сбор в размере 100 долларов за регистрацию, за исключением первой регистрации (200 долларов). [16]
Правительство США не регулирует Safe Harbor, которая саморегулируется через своих членов из частного сектора и выбранные ими организации по разрешению споров. Федеральная торговая комиссия «управляет» системой под надзором Министерства торговли США. [17] Чтобы соблюдать обязательства, нарушители могут быть наказаны в соответствии с Законом о Федеральной торговой комиссии административными постановлениями и гражданскими штрафами в размере до 16 000 долларов в день за нарушения. Если организация не соблюдает рамки, она должна незамедлительно уведомить Министерство торговли, в противном случае она может быть привлечена к ответственности в соответствии с Законом о ложных заявлениях. [15]
В деле 2011 года Федеральная торговая комиссия получила постановление о согласии от калифорнийского интернет-ритейлера, который продавал товары исключительно клиентам в Соединенном Королевстве . Среди его многочисленных предполагаемых мошеннических практик было представление себя как самостоятельно сертифицированного в рамках Safe Harbor, хотя на самом деле это не так. Ему было запрещено использовать такие мошеннические практики в будущем. [18]
Схема самосертификации принципов «Безопасной гавани» ЕС–США подверглась критике в отношении ее соответствия и обеспечения соблюдения в трех внешних оценках ЕС:
В июне 2011 года управляющий директор Microsoft UK Гордон Фрейзер заявил, что « облачные данные , независимо от того, где они находятся в мире, не защищены от Патриотического акта ». [22]
Нидерланды быстро исключили поставщиков облачных услуг из голландских государственных контрактов и даже рассматривали запрет на облачные контракты, предоставляемые Microsoft и Google. Голландская дочерняя компания американской Computer Sciences Corporation (CSC) управляет электронными медицинскими картами голландской национальной системы здравоохранения и предупредила, что если CSC не сможет гарантировать, что она не подпадает под действие Patriot Act, она расторгнет контракт. [23]
Год спустя, в 2012 году, в юридической исследовательской работе была поддержана идея о том, что Закон о патриотизме позволяет правоохранительным органам США обходить европейские законы о конфиденциальности. [23]
В октябре 2015 года Европейский суд отреагировал на обращение Высокого суда Ирландии в связи с жалобой гражданина Австрии Максимиллиан Шремс относительно обработки Facebook его персональных данных из его ирландского филиала на серверах в США. Шремс жаловался, что «в свете разоблачений, сделанных в 2013 году Эдвардом Сноуденом относительно деятельности разведывательных служб США (в частности, Агентства национальной безопасности ), законодательство и практика Соединенных Штатов не обеспечивают достаточной защиты от слежки со стороны государственных органов». Европейский суд постановил, что Принципы Safe Harbor недействительны, поскольку они не требуют от всех организаций, имеющих право работать с данными, связанными с конфиденциальностью ЕС, соблюдать их, тем самым предоставляя недостаточные гарантии. Федеральные правительственные учреждения США могли использовать персональные данные в соответствии с законодательством США, но не были обязаны соглашаться на это. Суд постановил, что компании, соглашающиеся на это, «обязаны игнорировать, без ограничений, защитные правила, установленные этой схемой, если они противоречат национальной безопасности, общественным интересам и требованиям правоохранительных органов». [1]
В соответствии с правилами ЕС о передаче в Европейский суд для вынесения предварительного решения , ирландский комиссар по защите данных с тех пор должен был «рассмотреть дело г-на Шремса «со всей должной осмотрительностью» и ... решить, следует ли ... приостановить передачу персональных данных европейских подписчиков Facebook в Соединенные Штаты». [1] Регуляторы ЕС заявили, что если Европейский суд и Соединенные Штаты не договорятся о новой системе в течение трех месяцев, компании могут столкнуться с действиями со стороны европейских регуляторов конфиденциальности. 29 октября 2015 года новое соглашение «Safe Harbor 2.0» казалось близким к завершению. [24] Однако комиссар Юрова ожидала, что следующими будут США. [25] Американские НПО поспешили расширить значимость этого решения. [26]
Немецкий депутат Европарламента Ян Филипп Альбрехт и активист Макс Шремс раскритиковали новое постановление, причем последний предсказал, что Комиссия может совершить «туда и обратно в Люксембург» (где находится Европейский суд). [27] Комиссар ЕС по делам потребителей Вера Юрова выразила уверенность, что соглашение будет достигнуто к концу февраля. [28] Многие европейцы требовали механизма, позволяющего отдельным гражданам Европы подавать жалобы на использование их данных, а также схему прозрачности, которая гарантировала бы, что данные европейских граждан не попадут в руки американских спецслужб. [29] Рабочая группа по статье 29 приняла это требование и заявила, что отложит еще один месяц до марта 2016 года, чтобы принять решение о последствиях нового предложения комиссара Юровой. [30] Директор Европейской комиссии по основным правам Пол Немитц заявил на конференции в Брюсселе в январе, как комиссия будет принимать решение об «адекватности» защиты данных. [31] Газета The Economist предсказывает, что «как только Комиссия вынесет усиленное «решение о достаточности», Европейскому суду будет сложнее его отменить». [32] Активист по защите конфиденциальности Джо МакНэми подвел итог ситуации, отметив, что комиссия преждевременно объявила о соглашениях, тем самым утратив свое право на переговоры. [33] В то же время в Германии начались первые судебные разбирательства: в феврале 2016 года гамбургский орган по защите данных готовился оштрафовать три компании за то, что они полагались на Safe Harbor в качестве правовой основы для своих трансатлантических передач данных, а две другие компании находились под следствием. [34] С другой стороны, реакция казалась неизбежной. [35]
25 марта 2021 года Европейская комиссия и министр торговли США сообщили, что ведутся «интенсивные переговоры». [36] Обсуждения продолжились на саммите ЕС–США в Брюсселе в июне 2021 года. [37]
Европейская комиссия может выдать разрешение на поездку в Люксембург