Международные принципы конфиденциальности Safe Harbor или Принципы конфиденциальности Safe Harbor были принципами, разработанными в период с 1998 по 2000 год с целью предотвратить случайное раскрытие или потерю личной информации частными организациями в Европейском Союзе или США, которые хранят данные клиентов . Они были отменены 6 октября 2015 года Европейским судом (ECJ), который позволил некоторым американским компаниям соблюдать законы о конфиденциальности , защищающие граждан Европейского Союза и Швейцарии . [1] Американские компании, хранящие данные клиентов, могут самостоятельно подтвердить, что они придерживаются 7 принципов в соответствии с Директивой ЕС о защите данных и швейцарскими требованиями. Министерство торговли США разработало систему конфиденциальности совместно с Европейским союзом и Федеральным комиссаром по защите данных и информации Швейцарии. [2]
В контексте серии решений об адекватности защиты персональных данных, передаваемых в другие страны, [3] Европейская комиссия приняла в 2000 году решение о том, что принципы США действительно соответствуют Директиве ЕС [4] – так называемое решение «Безопасной гавани» . [5] Однако после того, как клиент пожаловался на то, что его данные в Facebook недостаточно защищены, в октябре 2015 года Европейский суд объявил решение о «Безопасной гавани» недействительным, что привело к дальнейшим переговорам Комиссии с властями США о «обновлении и обосновании рамки для трансатлантических потоков данных». [6]
2 февраля 2016 года Европейская комиссия и США договорились создать новую структуру для трансатлантических потоков данных, известную как « Щит конфиденциальности ЕС-США » [7] , за которым внимательно следила Рамочная программа по защите конфиденциальности между Швейцарией и США .
В 1980 году ОЭСР выпустила рекомендации по защите персональных данных в виде восьми принципов. Они не имели обязательной силы, и в 1995 году Европейский Союз (ЕС) принял более обязательную форму управления, то есть законодательство, для защиты конфиденциальности персональных данных в форме Директивы о защите данных . [8]
Согласно Директиве о защите данных, компаниям, работающим в Европейском Союзе, не разрешается отправлять персональные данные в «третьи страны» за пределами Европейской экономической зоны , за исключением случаев, когда они гарантируют адекватный уровень защиты, «сам субъект данных согласен на передачу» или «если были разрешены обязательные корпоративные правила или стандартные договорные положения». [8] [9] Последнее означает, что защита конфиденциальности может осуществляться на организационном уровне, когда многонациональная организация создает и документирует свои внутренние средства контроля над персональными данными, или на уровне страны, если считается, что ее законы обеспечивают защиту. равен ЕС.
Принципы конфиденциальности Safe Harbor были разработаны в период с 1998 по 2000 год. Ключевым игроком была ст. 29 Рабочая группа, в то время возглавлявшаяся Управлением по защите данных Италии www.garanteprivacy.it. Президенту профессору Стефано Родоте, одному из отцов системы конфиденциальности в Европе, помогал генеральный секретарь Итальянского управления по защите данных г-н Джованни Буттарелли, недавно назначенный европейским супервайзером по защите данных (EDPS). Принципы Safe Harbor были разработаны для предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском Союзе или США, которые хранят данные клиентов. Американские компании могли бы принять участие в программе и пройти сертификацию, если бы они придерживались семи принципов и 15 часто задаваемых вопросов и ответов в соответствии с Директивой. [10] В июле 2000 года Европейская комиссия (ЕК) постановила, что американским компаниям, соблюдающим принципы и зарегистрировавшим свою сертификацию о том, что они соответствуют требованиям ЕС, так называемой «схеме безопасной гавани», разрешено передавать данные из ЕС. в США. Это называется решением Safe Harbor . [11]
6 октября 2015 года Европейский суд признал недействительным Решение ЕС о «Безопасной гавани», поскольку «законодательство, разрешающее органам государственной власти иметь доступ на общей основе к содержанию электронных сообщений, должно рассматриваться как компрометирующее суть фундаментального права на уважение для частной жизни » [курсив в оригинале] . [1] : 2–3
По мнению Европейской комиссии, Соглашение о защите конфиденциальности между ЕС и США , согласованное 2 февраля 2016 года, «отражает требования, изложенные Европейским судом в его постановлении от 6 октября 2015 года, которое объявило старую систему «Безопасной гавани» недействительной. Новое соглашение будет обеспечить более строгие обязательства компаний в США по защите персональных данных европейцев, а также более строгий мониторинг и обеспечение соблюдения требований со стороны Министерства торговли США и Федеральной торговой комиссии , в том числе посредством расширения сотрудничества с европейскими органами по защите данных.Новое соглашение включает в себя обязательства США, которые Согласно законодательству США, возможности государственных органов получить доступ к персональным данным, передаваемым в соответствии с новым соглашением, будут подчиняться четким условиям, ограничениям и надзору, предотвращающим общий доступ. ". [12]
Семь принципов 2000 года: [11]
В этой добровольной программе могут участвовать только организации США, деятельность которых регулируется Федеральной торговой комиссией или Министерством транспорта . Сюда не входят многие финансовые учреждения (такие как банки, инвестиционные дома, кредитные союзы, сберегательные и кредитные учреждения ), операторы связи общего пользования (включая провайдеров интернет-услуг ), профсоюзы, некоммерческие организации, сельскохозяйственные кооперативы и мясоперерабатывающие предприятия . журналисты и большинство страховых компаний, [13] хотя сюда могут входить инвестиционные банки. [14]
После согласия организация должна иметь соответствующее обучение сотрудников и эффективный механизм разрешения споров, а также каждые двенадцать месяцев самостоятельно подтверждать в письменной форме, что она согласна придерживаться принципов Safe Harbor Framework ЕС-США, включая уведомление, выбор, доступ. и правоприменение. [15] Он может либо провести самооценку, чтобы убедиться в соответствии принципам, либо нанять третью сторону для проведения оценки. Компании платят ежегодный сбор в размере 100 долларов США за регистрацию, за исключением первой регистрации (200 долларов США). [16]
Правительство США не регулирует Safe Harbor, который является саморегулируемым через своих членов из частного сектора и организации по разрешению споров, которые они выбирают. Федеральная торговая комиссия «управляет» системой под надзором Министерства торговли США. [17] Для выполнения обязательств нарушители могут быть наказаны в соответствии с Законом о Федеральной торговой комиссии административными приказами и гражданскими штрафами в размере до 16 000 долларов США в день за нарушения. Если организация не соблюдает эти правила, она должна незамедлительно уведомить об этом Министерство торговли, в противном случае она может быть привлечена к ответственности в соответствии с Законом о ложных заявлениях. [15]
В деле 2011 года Федеральная торговая комиссия получила постановление о согласии от калифорнийского интернет-магазина, который продавал товары исключительно покупателям в Соединенном Королевстве . Среди многочисленных предполагаемых мошеннических действий было представление себя как самосертифицированного в рамках Safe Harbor, хотя на самом деле это не так. Ему было запрещено использовать подобные обманные методы в будущем. [18]
«Схема самосертификации» Принципов безопасной гавани ЕС-США подверглась критике за ее соблюдение и соблюдение в трех внешних оценках ЕС:
В июне 2011 года управляющий директор Microsoft UK Гордон Фрейзер заявил, что « облачные данные , независимо от того, где они находятся в мире, не защищены Патриотическим актом ». [22]
Нидерланды сразу же исключили поставщиков облачных услуг из США из контрактов правительства Нидерландов и даже рассматривали возможность запрета облачных контрактов, предоставляемых Microsoft и Google. Голландский филиал американской корпорации Computer Sciences Corporation (CSC) ведет электронные медицинские записи национальной системы здравоохранения Нидерландов и предупредил, что, если CSC не сможет гарантировать, что на нее не распространяется Патриотический акт, она расторгнет контракт. [23]
Год спустя, в 2012 году, в юридическом исследовании была подтверждена идея о том, что Патриотический акт позволяет правоохранительным органам США обходить европейские законы о конфиденциальности. [23]
В октябре 2015 года Европейский суд отреагировал на обращение Высокого суда Ирландии в отношении жалобы гражданина Австрии Максимилиана Шремса относительно обработки Facebook его личных данных из своей ирландской дочерней компании на серверах в США. Шремс посетовал, что «в свете сделанных в 2013 году разоблачений Эдварда Сноудена относительно деятельности спецслужб США (в частности, Агентства национальной безопасности ) законодательство и практика США не обеспечивают достаточной защиты от слежки». органами государственной власти». Суд ЕС признал Принципы Safe Harbor недействительными, поскольку они не требовали от всех организаций, имеющих право работать с данными ЕС, связанными с конфиденциальностью, их соблюдения, тем самым предоставляя недостаточные гарантии. Федеральные правительственные учреждения США могли использовать персональные данные в соответствии с законодательством США, но не были обязаны давать на это свое согласие. Суд постановил, что компании, давшие согласие, были «обязаны игнорировать, помимо прочего, правила защиты, установленные этой схемой, если они противоречат национальной безопасности». , общественные интересы и требования правоохранительных органов». [1]
В соответствии с правилами ЕС о передаче в Европейский суд для вынесения предварительного решения , ирландский комиссар по защите данных с тех пор был вынужден «рассмотреть дело г-на Шремса «со всей должной осмотрительностью» и... решить, стоит ли... передавать Передача персональных данных европейских подписчиков Facebook в США должна быть приостановлена». [1] Регуляторы ЕС заявили, что, если Европейский суд и Соединенные Штаты не договорятся о новой системе в течение трех месяцев, предприятия могут столкнуться с преследованием со стороны европейских регуляторов конфиденциальности. 29 октября 2015 года новое соглашение «Безопасная гавань 2.0», казалось, было близко к завершению. [24] Однако комиссар Журова ожидал, что следующим шагом будут действия США. [25] Американские НПО поспешили рассказать о значении этого решения. [26]
Депутат Европарламента от Германии Ян Филипп Альбрехт и участник кампании Макс Шремс раскритиковали новое постановление, причем последний предсказал, что Комиссия может совершить «поездку туда и обратно в Люксембург» (где расположен Европейский суд). [27] Комиссар ЕС по делам потребителей Вера Юрова выразила уверенность, что соглашение будет достигнуто к концу февраля. [28] Многие европейцы требовали создания механизма, позволяющего отдельным европейским гражданам подавать жалобы по поводу использования их данных, а также схемы прозрачности, гарантирующей, что данные европейских граждан не попадут в руки спецслужб США. [29] Рабочая группа по статье 29 приняла это требование и заявила, что отложит еще месяц до марта 2016 года, чтобы принять решение о последствиях нового предложения комиссара Журовой. [30] Директор Европейской комиссии по основным правам Пол Немиц заявил на конференции в Брюсселе в январе, как Комиссия будет принимать решения по «адекватности» защиты данных. [31] Газета Economist предсказывает, что «как только Комиссия вынесет усиленное «решение об адекватности», Суду ЕС будет труднее его отменить». [32] Активист по защите конфиденциальности Джо МакНэми подвел итог ситуации, отметив, что Комиссия объявила о соглашениях преждевременно, тем самым утратив свое право на ведение переговоров. [33] В то же время в Германии начались первые судебные разбирательства: в феврале 2016 года орган по защите данных Гамбурга готовился оштрафовать три компании за то, что они использовали Safe Harbor в качестве правовой основы для трансатлантической передачи данных, а две другие компании были под следствием. [34] С другой стороны, реакция выглядела неизбежной. [35]
25 марта 2021 года Европейская комиссия и министр торговли США сообщили, что идут «активные переговоры». [36] Обсуждения продолжились на саммите ЕС-США в Брюсселе в июне 2021 года. [37]
Европейская комиссия может организовать поездку в Люксембург туда и обратно