В Международных Принципах конфиденциальности Safe Harbor или Принципы конфиденциальности Safe Harbor были разработаны принципы в период между 1998 и 2000 годами в целях предотвращения частных организаций в рамках Европейского Союза или США , которые хранят данные клиентов от случайного раскрытия или потерь личной информации . Они были отменены 6 октября 2015 года Европейским судом (ECJ), что позволило некоторым американским компаниям соблюдать законы о конфиденциальности, защищающие граждан Европейского союза и Швейцарии . [1]Американские компании, хранящие данные клиентов, могут самостоятельно подтвердить, что они придерживаются 7 принципов, чтобы соответствовать Директиве ЕС о защите данных и швейцарским требованиям. Министерство торговли США разработало основу конфиденциальности в сочетании как с Европейским союзом и Федеральной защитой данных и информацией комиссаром Швейцарии. [2]
В контексте ряда решений об адекватности защиты персональных данных , передаваемых в другие страны, [3] Европейская комиссия приняла решение в 2000 году , что принципы Соединенных Штатов были соответствуют Директиве ЕС [4] - так называемое «решение Safe Harbor» . [5] Однако после того, как клиент пожаловался на то, что его данные в Facebook недостаточно защищены, Европейский Суд объявил в октябре 2015 года, что решение Safe Harbor было недействительным, что привело к дальнейшим переговорам, проводимым Комиссией с властями США с целью «возобновления и обоснования. структура для трансатлантических потоков данных ". [6]
2 февраля 2016 года Европейская комиссия и Соединенные Штаты договорились о создании новой структуры для трансатлантических потоков данных, известной как « Соглашение о защите конфиденциальности между ЕС и США » [7], за которым внимательно следила Швейцарско-американская система защиты конфиденциальности .
История вопроса
В 1980 году ОЭСР выпустила рекомендации по защите персональных данных в виде восьми принципов. Они не имели обязательной силы, и в 1995 году Европейский Союз (ЕС) принял более обязательную форму управления, то есть законодательство, для защиты конфиденциальности личных данных в форме Директивы о защите данных . [8]
Согласно Директиве о защите данных компаниям, работающим в Европейском союзе, не разрешается отправлять личные данные в «третьи страны» за пределами Европейской экономической зоны , если только они не гарантируют адекватный уровень защиты, «субъект данных сам соглашается на передачу» или «если были утверждены обязательные корпоративные правила или стандартные договорные положения». [9] Последнее означает, что защита конфиденциальности может осуществляться на организационном уровне, когда многонациональная организация производит и документирует свои внутренние меры контроля в отношении персональных данных, или они могут быть на уровне страны, если ее законы, как считается, обеспечивают защиту, равную ЕВРОСОЮЗ.
Принципы конфиденциальности Safe Harbor были разработаны между 1998 и 2000 годами. Они были разработаны для предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском Союзе или США, хранящими данные клиентов. Американские компании могут принять участие в программе и пройти сертификацию, если они будут придерживаться семи принципов и 15 часто задаваемых вопросов и ответов в соответствии с Директивой. [10] В июле 2000 года Европейская комиссия (ЕК) решила, что американским компаниям, соблюдающим принципы и регистрирующим свою сертификацию на соответствие требованиям ЕС, так называемой «схеме безопасной гавани», разрешено передавать данные из ЕС. в США. Это называется решением Safe Harbor . [11]
6 октября 2015 года Европейский суд признал недействительным решение ЕС «Безопасная гавань», поскольку «законодательство, разрешающее государственным органам иметь доступ на обобщенной основе к содержанию электронных сообщений, должно рассматриваться как компрометирующее сущность фундаментального права на уважение. для личной жизни »(в исходном тексте выделено жирным шрифтом). [1] : 2–3
По данным Европейской комиссии, Соглашение о защите конфиденциальности между ЕС и США, согласованное 2 февраля 2016 года, "отражает требования, изложенные Европейским судом в его постановлении от 6 октября 2015 года, в котором старая система Safe Harbor признана недействительной. Новое соглашение будет обеспечить более строгие обязательства для компаний в США по защите личных данных европейцев, а также усиление контроля и обеспечения соблюдения со стороны Министерства торговли США и Федеральной торговой комиссии , в том числе за счет более тесного сотрудничества с европейскими органами по защите данных. Новое соглашение включает обязательства США, которые В соответствии с законодательством США возможности доступа государственных органов к личным данным, передаваемым в соответствии с новым порядком, будут зависеть от четких условий, ограничений и надзора, что исключает всеобщий доступ. Европейцы будут иметь возможность направить любой запрос или жалобу в этом контексте новому уполномоченному омбудсмену. ". [12]
Принципы
Семь принципов 2000 года: [11]
- Уведомление. Физические лица должны быть проинформированы о том, что их данные собираются и как они будут использоваться. Организация должна предоставить информацию о том, как отдельные лица могут связаться с организацией с любыми запросами или жалобами.
- Выбор - физические лица должны иметь возможность отказаться от сбора и пересылки данных третьим лицам.
- Дальнейшая передача - передача данных третьим лицам может происходить только в другие организации, которые следуют адекватным принципам защиты данных.
- Безопасность - необходимо предпринять разумные усилия для предотвращения потери собранной информации.
- Целостность данных - данные должны быть актуальными и надежными для той цели, для которой они были собраны.
- Доступ - люди должны иметь доступ к имеющейся информации о них, а также исправлять или удалять ее, если она неточна.
- Обеспечение соблюдения - должны быть эффективные средства обеспечения соблюдения этих правил.
Объем, сертификация и обеспечение соблюдения
Только организации США, регулируемые Федеральной торговой комиссией или Министерством транспорта, могут участвовать в этой добровольной программе. Сюда не входят многие финансовые учреждения (такие как банки, инвестиционные дома, кредитные союзы и ссудно-сберегательные учреждения ), общих операторов электросвязи (включая поставщиков интернет-услуг ), трудовые ассоциации, некоммерческие организации, сельскохозяйственные кооперативы и переработчики мяса , журналисты и большинство страховых компаний [13], хотя сюда могут входить инвестиционные банки. [14]
После выбора организация должна пройти соответствующее обучение сотрудников и иметь эффективный механизм разрешения споров и каждые 12 месяцев самостоятельно подтверждать в письменной форме свое согласие соблюдать принципы Safe Harbor Framework между США и ЕС, включая уведомление, выбор и доступ. , и принуждение. [15] Он может либо провести самооценку, чтобы убедиться, что он соответствует принципам, либо нанять третью сторону для проведения оценки. Компании вносят ежегодный взнос в размере 100 долларов США за регистрацию, за исключением первой регистрации (200 долларов США). [16]
Правительство США не регулирует Safe Harbor, который саморегулируется через своих участников из частного сектора и выбранные ими субъекты разрешения споров. Федеральная торговая комиссия «управляет» системой под надзором Министерства торговли США. [17] Для выполнения обязательств нарушители могут быть наказаны в соответствии с Законом о Федеральной торговой комиссии административными постановлениями и гражданскими штрафами в размере до 16 000 долларов в день за нарушения. Если организация не соблюдает правила, она должна незамедлительно уведомить Министерство торговли, иначе она может быть привлечена к ответственности в соответствии с «Законом о ложных заявлениях». [15]
В случае 2011 года Федеральная торговая комиссия получила указ о согласии от онлайн-ритейлера из Калифорнии, который продавал товары исключительно клиентам в Соединенном Королевстве . Среди множества предполагаемых обманных методов было представление себя как само сертифицированное в рамках Safe Harbor, хотя на самом деле это не так. Ему было запрещено использовать такие обманные методы в будущем. [18]
Критика и оценка
Оценки ЕС
Схема самосертификации Принципов Safe Harbor между ЕС и США подвергалась критике за ее соответствие и соблюдение в трех внешних оценках ЕС:
- Обзор 2002 года, проведенный Европейским союзом, показал, что «значительное количество организаций, которые самостоятельно сертифицировали соблюдение Safe Harbor, похоже, не соблюдают ожидаемую степень прозрачности в отношении своих общих обязательств или в отношении содержания их политик конфиденциальности» и что «не все механизмы разрешения споров публично заявили о своем намерении обеспечить соблюдение правил Safe Harbor и не все применяют методы обеспечения конфиденциальности, применимые к ним самим». [19]
- Обзор Европейского союза 2004 г .: [20]
- В 2008 году австралийская консалтинговая компания Galexia опубликовала резкий обзор, в котором было обнаружено, что «способность США защищать конфиденциальность посредством саморегулирования , подкрепленного заявленным надзором со стороны регулирующего органа, была сомнительной». Они задокументировали основные утверждения как неправильные, где только 1109 из 1597 зарегистрированные организации, внесенные в список Министерством торговли США (DOC) 17 октября 2008 года, остались в базе данных после удаления двойных, тройных и «устаревших» организаций. Только 348 организаций выполнили даже самые основные требования в отношении соответствия. Из них только 54 расширили свое членство в Safe Harbor на все категории данных (ручные, офлайн, онлайн, человеческие ресурсы). 206 организаций ложно заявляли о своем членстве в течение многих лет, но не было никаких указаний на то, что они подвергались каким-либо принудительным действиям со стороны США. Рецензенты раскритиковали DOC 'Safe Знак сертификации гавани », предложенный компаниям для использования в качестве« визуального проявления организации, когда она удостоверяет, что она будет соблюдать », как вводящее в заблуждение, поскольку На нем нет надписи "Самостоятельная сертификация". Только 900 организаций предоставили ссылку на свою политику конфиденциальности , у 421 организации она была недоступна. Многочисленные политики состояли всего из 1–3 предложений и содержали «практически никакой информации». Многие записи, казалось, путали соблюдение конфиденциальности с соблюдением требований безопасности и демонстрировали «непонимание программы Safe Harbor». Список компаний, предоставляющих услуги по разрешению споров, был запутанным, и были отмечены проблемы с независимостью и доступностью. Многие организации не уточняли, что они будут сотрудничать со своими клиентами, или объяснять им, что они могут выбрать группу по разрешению споров, созданную органами по защите данных ЕС.
- Galexia рекомендовала ЕС пересмотреть договоренность о безопасной гавани, предупредить потребителей ЕС и рассмотреть возможность всестороннего анализа всех записей в списке. Они рекомендовали США расследовать сотни организаций, делающих ложные заявления , пересматривая свои заявления о количестве участников, отказаться от использования Сертификационного знака Safe Harbor, расследовать несанкционированное и вводящее в заблуждение использование логотипа своего ведомства и автоматически приостановить членство организации, если они не смогли продлить свой сертификат Safe Harbor. [21]
Досягаемость Патриотического акта
В июне 2011 года управляющий директор Microsoft UK Гордон Фрейзер заявил, что « облачные данные , независимо от того, где они находятся, не защищены от закона о патриотизме» . [22]
Нидерланды сразу же исключили поставщиков облачных услуг из США из правительственных контрактов Нидерландов и даже рассмотрели вопрос о запрете контрактов на облачные услуги, предоставляемые Microsoft и Google. Голландская дочерняя компания американской корпорации Computer Sciences Corporation (CSC) ведет электронные медицинские карты голландской национальной системы здравоохранения и предупредила, что, если CSC не сможет гарантировать, что она не подпадает под действие Патриотического акта, она расторгнет контракт. [23]
Год спустя, в 2012 году, в юридическом исследовании было подтверждено мнение о том, что Патриотический акт позволяет правоохранительным органам США обходить европейские законы о конфиденциальности. [23]
Жалоба гражданина на безопасность данных в Facebook
В октябре 2015 года Европейский суд ответил на обращение Высокого суда Ирландии в связи с жалобой гражданина Австрии Максимилиана Шремса относительно обработки Facebook его личных данных от своего дочернего предприятия в Ирландии на серверы в США. Шремс пожаловался, что «в свете разоблачений, сделанных в 2013 году Эдвардом Сноуденом относительно деятельности разведывательных служб США (в частности, Агентства национальной безопасности (« АНБ »)), закон и практика Соединенных Штатов не обеспечить достаточную защиту от слежки со стороны государственных органов ". Европейский суд признал Принципы Safe Harbor недействительными, поскольку они не требовали от всех организаций, имеющих право работать с данными, связанными с конфиденциальностью в ЕС, их соблюдения, таким образом предоставляя недостаточные гарантии. Агентства федерального правительства США могли использовать персональные данные в соответствии с законодательством США, но не обязаны были делать это. Суд постановил, что компании, делающие выбор, были «обязаны игнорировать, без ограничений, правила защиты, установленные этой схемой, если они вступают в конфликт с национальной безопасностью. , общественные интересы и требования правоохранительных органов ". [1]
В соответствии с правилами ЕС о передаче дел в Европейский суд для вынесения « предварительного решения » комиссар Ирландии по защите данных с тех пор был вынужден «... изучить дело г-на Шремса« со всей должной осмотрительностью »и [...] принять решение следует ли [...] приостановить передачу личных данных европейских подписчиков Facebook в Соединенные Штаты ». [1] Регуляторы ЕС заявили, что, если Европейский суд и США не обсудят новую систему в течение трех месяцев, компании могут столкнуться с действиями европейских регуляторов конфиденциальности. 29 октября 2015 года новое соглашение «Безопасная гавань 2.0» казалось близким к завершению. [24] Однако комиссар Журова ожидает, что США будут действовать следующим образом. [25] Американские НПО поспешили разъяснить значение этого решения. [26]
Ответ на Соглашение о защите конфиденциальности между ЕС и США
Немецкий депутат Европарламента Ян Филипп Альбрехт и активист Макс Шремс раскритиковали новое постановление, причем последнее предсказывает, что Комиссия может совершить «поездку в Люксембург и обратно» (где находится Европейский суд). [27] Комиссар ЕС по делам потребителей Вера Журова выразила уверенность, что сделка будет достигнута к концу февраля. [28] Многие европейцы требовали механизма подачи жалоб отдельными гражданами Европы по поводу использования их данных, а также схемы прозрачности, гарантирующей, что данные европейских граждан не попадут в руки спецслужб США. [29] Статья 29 Рабочая группа приняла этот спрос, и заявил , что он не будет сдерживаться еще один месяц до марта 2016 года принять решение о последствиях нового предложения комиссара Jourova в. [30] Директор Европейской комиссии по основным правам Пол Немитц заявил на конференции в Брюсселе в январе, как Комиссия примет решение об «адекватности» защиты данных. [31] Газета Economist прогнозирует, что «после того, как Комиссия вынесет усиленное« решение об адекватности », Европейскому суду будет труднее отменить его». [32] Активист по вопросам конфиденциальности Джо МакНэми резюмировал ситуацию, отметив, что Комиссия преждевременно объявила о соглашениях, тем самым лишившись права вести переговоры. [33] В то же время в Германии начались первые судебные иски: в феврале 2016 года орган по защите данных Гамбурга готовился оштрафовать три компании за использование Safe Harbor в качестве правовой основы для их трансатлантической передачи данных, а еще две компании были под следствием. [34] С другой стороны, реакция выглядела неизбежной. [35]
Смотрите также
- Обязательные корпоративные правила
- Закон о конфиденциальности электронных коммуникаций
- Принципы добросовестной информационной практики (FIPP), США
- Общие правила защиты данных
- IT риск
- Конфиденциальность
- Безопасная гавань
- Закон о хранимых коммуникациях
- Оценка воздействия на конфиденциальность
дальнейшее чтение
- Фаррелл, Генри (весна 2003 г.). «Создание международных основ электронной торговли - Соглашение о безопасной гавани между ЕС и США». Международная организация . 57 (2): 277–306. DOI : 10.1017 / S0020818303572022 .
Рекомендации
- ^ а б в г «Решение по делу C-362/14 Максимилиан Шремс против Уполномоченного по защите данных: Суд объявляет, что решение Комиссии США о безопасной гавани недействительно» (пресс-релиз). Суд Европейского Союза. 6 октября 2015 г. с. 3 . Проверено 7 октября 2015 года .
- ^ Добро пожаловать в американо-швейцарскую Safe Harbor, по состоянию на 1 ноября 2015 г.
- ^ Решения Комиссии об адекватности защиты персональных данных в третьих странах, по состоянию на 1 ноября 2015 г.
- ^ 2000/520 / EC: Решение Комиссии от 26 июля 2000 года в соответствии с Директивой 95/46 / EC Европейского парламента и Совета об адекватности защиты, обеспечиваемой принципами безопасной гавани конфиденциальности и связанных с ними часто задаваемых вопросов, выпущенных Министерство торговли США (уведомление под номером документа C (2000) 2441) , по состоянию на 1 ноября 2015 г.
- ^ заявление Рабочей группы по защите данных о программе EU US Privacy Shield , дополнительный текст.
- ^ Вера Джорова, «замечания комиссара Jourová по безопасной гавани ЕС суда по справедливости перед Комитетом по гражданским свободам, юстиции и внутренних дел (Либе)», 26 октября 2015 года
- ^ Новые трансатлантические данные «Privacy Shield» , по состоянию на 25 февраля 2016 г.
- ^ Директива 95/46 / EC Европейского парламента и Совета от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных.
- ^ Европейская комиссия (15 июня 2001 г.) Решение Комиссии 2001/497 / EC от 15 июня 2001 г. о стандартных договорных условиях для передачи персональных данных в третьи страны в соответствии с Директивой 95/46 / EC 15 июня 2001 г. , Официальный журнал L 181 от 04.07.2001 .
- ^ «Рамочные документы безопасной гавани США и ЕС» . Правительство США. Архивировано из оригинала 5 апреля 2015 года.
- ^ a b Европейский суд 2000/520 / EC: Решение Комиссии от 26 июля 2000 г. в соответствии с Директивой 95/46 / EC Европейского парламента и Совета об адекватности защиты, обеспечиваемой принципами безопасной гавани конфиденциальности и соответствующими часто задаваемые вопросы, опубликованные Министерством торговли США (уведомление под номером документа C (2000) 2441) (текст, имеющий отношение к ЕЭЗ). 25 августа 2000 г., получено 30 октября 2015 г.
- ^ Комиссия ЕС и США согласовали новую структуру для трансатлантических потоков данных: Соглашение о защите конфиденциальности между ЕС и США , выпущенное 2 февраля 2016 г.
- ^ Министерство торговли США Добро пожаловать в Рамки безопасной гавани США-ЕС и США-Швейцария, 9 октября 2015 г., получено 30 октября 2015 г.
- ^ Часто задаваемые вопросы Министерства торговли США - Инвестиционный банкинг и аудит 29 января 2009 г., получено 30 октября 2015 г.
- ^ a b Министерство торговли США Обзор Safe Harbor для США и ЕС , 18 декабря 2013 г., получено 30 октября 2015 г.
- ^ Сборы Safe Harbor Министерства торговли США9 апреля 2015 г., данные получены 30 октября 2015 г.
- ^ Зак Уиттакер Safe Harbor: Почему данные ЕС нуждаются в «защите» от отказа закона США Zdnet, 25 апреля 2011 г.
- ^ Штатный писатель (9 июня 2011 г.). «Мировое соглашение FTC запрещает онлайн-продавцу электроники в США вводить потребителей в заблуждение с помощью иностранных имен веб-сайтов» (пресс-релиз). Вашингтон. Федеральная торговая комиссия . Проверено 5 марта 2015 года .
- ^ Европейская комиссия (2002) Применение Решения Комиссии об адекватной защите личных данных, предоставленных Принципами конфиденциальности Safe Harbor 11 страниц, получено 30 октября 2015 г.
- ^ Европейская комиссия (2004) Реализация Решения Комиссии о надлежащей защите личных данных, предоставленных Принципами конфиденциальности Safe Harbor 11 страниц, получено 30 октября 2015 г.
- ^ Крис Коннолли (Галексия) Безопасная гавань США - факт или вымысел? Законы о конфиденциальности и Business International , выпуск 96, декабрь 2008 г., опубликовано на Galexia.com, получено 30 октября 2015 г.
- ^ Зак Уиттакер, Microsoft признает, что Patriot Act может получить доступ к облачным данным ЕС Zdnet.com, 28 июня 2011 г., получено 30 октября 2015 г.
- ^ a b Зак Уиттакер, " Патриотический акт" может "получить" данные в Европе, говорят исследователи CBS News 4 декабря 2012 г.
- ^ Джорджина Продхан (29 октября 2015 г.). «США видят, что новый пакт ЕС об обмене данными в пределах досягаемости» . Рейтер . Проверено 30 октября 2015 года .
- ^ Питер Сэйер (6 ноября 2015 г.). «ЕС говорит США, что он должен сделать следующий шаг по новой сделке Safe Harbor, 6 ноября 2015 года» . Компьютерный мир . Проверено 9 ноября 2015 года .
- ^ НПО (13 октября 2015 г.). «Цифровая конфиденциальность в США и Европе» . Нью-Йорк Таймс . Проверено 13 ноября 2015 года .
- ^ Шремс, Макс (2 февраля 2016 г.). «EU US Privacy Shield (Safe Harbor 1.1)» (PDF) . Проверено 3 февраля 2016 года .
Европейская комиссия может организовать поездку в Люксембург и обратно
- ^ «Жоурова: Новый мост ЕС-США [Интервью]» . Новая Европа . Проверено 3 февраля 2016 года .
- ^ Ломас, Наташа. «Передача данных между ЕС и США не будет заблокирована, пока детали программы Privacy Shield не раскрываются, - утверждает WP29» . TechCrunch . Проверено 3 февраля 2016 года .
- ^ «Заявление о последствиях решения Шремса» (PDF) . 2 февраля 2016 . Проверено 6 февраля, 2016 .
- ^ Брейси, Джедидия (28 января 2015 г.). «Новая сделка по передаче данных может прийти к понедельнику» . Советник по конфиденциальности . Проверено 3 февраля 2016 года .
- ^ «Карл Великий:« Мечи и щиты ». Америка и Европейский Союз достигли соглашения о защите данных» . Экономист . 6 февраля 2016 . Проверено 8 февраля, 2016 .
- ^ «Что за щитом? Откручиваем вращение« щита конфиденциальности » . Европейская инициатива в области цифровых прав (EDRi) . 2 февраля 2016 . Проверено 10 февраля, 2016 .
- ^ Мейер, Дэвид. «Вот и начнется наступление на пост-Safe Harbor ЕС по нарушению конфиденциальности, 25 февраля 2016 года» . Журнал Fortune . Проверено 26 февраля, 2016 .
- ^ Мартин, Александр Дж. (13 июня 2016 г.). «США планируют вмешательство в дело ЕС против Facebook, вызванного слежкой АНБ» . Реестр . Проверено 16 июня, 2016 .
Внешние ссылки
- Официальный сайт Safe Harbor Arrangement в США
- «Рамочные документы безопасной гавани США и ЕС» . Правительство США. Архивировано из оригинала 5 апреля 2015 года.
- Список безопасной гавани США и ЕС , Федеральная торговая комиссия США, nd, получено 30 октября 2015 г.
- Проект открытых данных, в котором перечислены компании Safe Harbor, собранные с сайта FTC, даже устаревшие, которые перезаписаны на сайте FTC, что позволяет отслеживать, как заявки меняются с течением времени.