Принципы конфиденциальности International Safe Harbor или Принципы конфиденциальности Safe Harbor были принципы, разработанные между 1998 и 2000 годами с целью предотвращения случайного раскрытия или потери личной информации частными организациями в пределах Европейского Союза или США, хранящих данные клиентов. 6 октября 2015 г. они были отменены Европейским судом (ECJ), что позволило некоторым компаниям США соблюдать законы о конфиденциальности, защищающие Европейский Союз и швейцарские граждане. Американские компании, хранящие данные клиентов, могут самостоятельно подтвердить, что они придерживаются 7 принципов, чтобы соответствовать Директиве ЕС о защите данных и требованиям Швейцарии. Министерство торговли США разработало рамки конфиденциальности совместно с Европейским союзом и Федеральным комиссаром по защите данных и информации Швейцарии.
В контексте серии публикаций решений об адекватности защиты персональных данных, переданных в другие страны, Европейская комиссия в 2000 году приняла решение, что принципы Соединенных Штатов действительно соответствуют Директиве ЕС - так называемое «Решение Safe Harbor» . Однако после того, как клиент пожаловался на то, что его данные Facebook были недостаточно защищены, Европейский Суд объявил в октябре 2015 года, что решение Safe Harbor было недействительным, что привело к дальнейшим переговорам, проводимым Комиссией с властями США с целью « обновленная и надежная основа для трансатлантических потоков данных ».
Европейская комиссия и Соединенные Штаты 2 февраля 2016 года договорились о создании новой основы для трансатлантических потоков данных, известной как« EU-US Privacy Shield ", за которым внимательно следили Швейцарско-США Privacy Shield Framework.
В 1980 году ОЭСР выпустила рекомендации по защите персональных данных в форме восьми принципов. Они не имели обязательной силы, и в 1995 году Европейский Союз (ЕС) ввел в действие более обязательную форму управления, т. Е. Законодательство, для защиты личной конфиденциальности данных в форме Директива о защите данных.
Согласно Директиве о защите данных компаниям, работающим в Европейском Союзе, не разрешается отправлять личные данные в «третьи страны» за пределами Европейской экономической зоны, если они не гарантируют адекватный уровень защиты, «субъект данных сам соглашается на передачу» или «если были разрешены обязательные корпоративные правила или стандартные договорные положения». Последнее означает, что защита конфиденциальности может осуществляться на организационном уровне, когда многонациональная организация производит и документирует свои внутренние меры контроля над личными данными, или они могут быть на уровне страны, если ее законы считаются обеспечивающими защиту, равную уровню ЕС.
Принципы конфиденциальности Safe Harbor были разработаны между 1998 и 2000 годами. Они были разработаны для предотвращения случайного раскрытия или потери личной информации частными организациями в Европейском Союзе или США, хранящими данные клиентов. Американские компании могут принять участие в программе и пройти сертификацию, если они придерживаются семи принципов и 15 часто задаваемых вопросов и ответов в соответствии с Директивой. В июле 2000 года Европейская комиссия (EC) решила, что американским компаниям, соблюдающим принципы и регистрирующим свою сертификацию на соответствие требованиям ЕС, так называемой «схеме безопасной гавани», разрешено передавать данные из ЕС в США. Это называется решение Safe Harbor .
6 октября 2015 года Европейский суд признал недействительным решение ЕС Safe Harbor, поскольку «законодательство, разрешающее государственным органам иметь доступ на обобщенной основе к содержанию электронные сообщения должны рассматриваться как компрометирующие сущность фундаментального права на уважение частной жизни "(выделено жирным шрифтом в исходном тексте).
Согласно Европейской комиссии, ЕС– Соглашение о защите конфиденциальности США, согласованное 2 февраля 2016 г., "отражает требования, изложенные Европейским судом в его постановлении от 6 октября 2015 г., в котором старая система Safe Harbor признана недействительной. Новое соглашение предусматривает более строгие обязательства для компаний в США, чтобы защитить личные данные европейцев, а также усилить мониторинг и контроль со стороны Министерства торговли США и Федеральной торговой комиссии, в том числе за счет расширения сотрудничества с европейскими органами по защите данных. Новое соглашение включает в себя обязательства США о том, что в соответствии с законодательством США возможности доступа государственных органов к личным данным, передаваемым в соответствии с новым соглашением, будут зависеть от четких условий, ограничений и надзора, предотвращающих общий доступ. Европейцы будут иметь возможность направить любой запрос или жалобу в этом контексте новому уполномоченному по правам человека ".
Семь принципов 2000 года:
Только организации США, регулируемые Федеральной торговой комиссией или Министерство транспорта может участвовать в этой добровольной программе. Сюда не входят многие финансовые учреждения (такие как банки, инвестиционные дома, кредитные союзы и т. Д.), Телекоммуникационные обычные операторы (включая интернет-провайдеров ), трудовые ассоциации, некоммерческие организации, сельскохозяйственные кооперативы и переработчики мяса, журналисты и большинство страховых компаний, хотя это может включать инвестиционные банки.
После выбора организация должна пройти соответствующее обучение сотрудников и действует эффективный механизм разрешения споров и каждые 12 месяцев самостоятельно подтверждает свое согласие в письменной форме на соблюдение принципов Safe Harbor Framework между США и ЕС, включая уведомление, выбор, доступ и обеспечение выполнения. Он может либо провести самооценку, чтобы убедиться, что он соответствует принципам, либо нанять третью сторону для проведения оценки. Компании платят 100 долларов в год за регистрацию, за исключением первой регистрации (200 долларов).
Правительство США не регулирует деятельность Safe Harbor, которая саморегулируется через участников частного сектора и выбранные ими субъекты разрешения споров. Федеральная торговая комиссия «управляет» системой под надзором Министерства торговли США. соблюдение обязательств может быть наказано в соответствии с Законом о Федеральной торговой комиссии административными постановлениями и гражданскими штрафами в размере до 16 000 долларов США в день за нарушения. Если организация не соблюдает нормативные требования, она должна незамедлительно уведомить Министерство торговли, в противном случае она может быть привлечена к уголовной ответственности в соответствии с «Законом о ложных заявлениях».
В деле 2011 года Федеральная торговая комиссия получила указ о согласии от онлайн-ритейлера в Калифорнии, который продавал товары исключительно покупателям в Соединенном Королевстве. Среди множества предполагаемых обманных действий было представление себя как само сертифицированное в рамках Safe Harbor, хотя на самом деле это не так. Ему было запрещено использовать такие обманные методы в будущем.
«Схема самосертификации принципов Safe Harbor между ЕС и США» подверглась критике в отношении их соответствия и обеспечения соблюдения в трех внешних оценках ЕС:
В июне 2011 года управляющий директор Microsoft UK Гордон Фрейзер сказал, что «облачные данные, независимо от того, где они находятся в мире, не защищены от Патриотического закона."
. Нидерланды сразу же исключили поставщиков облачных услуг из США из правительственных контрактов Нидерландов. и даже рассматривался как запрет на контракты на облачные вычисления, предоставляемые Microsoft и Google. Голландская дочерняя компания Computer Sciences Corporation (CSC) в США ведет электронные медицинские карты голландских граждан. систему здравоохранения и предупредил, что если C SC может заверить, что на него не распространяется Патриотический акт, и он расторгнет контракт.
Годом позже, в 2012 году, юридическое исследование подтвердило мнение о том, что Патриотический акт позволяет правоохранительным органам США обходить европейские законы о конфиденциальности.
В октябре 2015 года Европейский суд ответил на обращение Высокого суда Ирландии в отношении жалобы от Гражданин Австрии Максимилиан Шремс относительно обработки Facebook его личных данных от своего филиала в Ирландии на серверы в США. Шремс жаловался, что «в свете разоблачений, сделанных в 2013 году Эдвардом Сноуденом относительно деятельности спецслужб США (в частности, Агентства национальной безопасности («АНБ»)), законы и практика Соединенных Штатов не обеспечивают достаточной защиты от слежки со стороны государственных органов ". Европейский Суд признал Принципы Safe Harbor недействительными, поскольку они не требовали от всех организаций, имеющих право работать с данными, связанными с конфиденциальностью в ЕС, их соблюдения, таким образом обеспечивая недостаточные гарантии. Агентства федерального правительства США могли использовать персональные данные в соответствии с законодательством США, но не обязаны были делать это. Суд постановил, что компании, принимавшие участие в программе, были «обязаны игнорировать, без ограничений, правила защиты, установленные этой схемой, если они противоречат национальной безопасности., общественные интересы и требования правоохранительных органов ».
В соответствии с правилами ЕС относительно направления в Европейский Суд для« предварительного решения », Ирландский Уполномоченный по защите данных с тех пор ему пришлось «... изучить дело г-на Шремса« со всей тщательностью »и [...] решить, следует ли [...] приостановить передачу персональных данных европейских подписчиков Facebook в Соединенные Штаты». Регуляторы ЕС заявили, что, если Европейский суд и Соединенные Штаты не обсудят новую систему в течение трех месяцев, компании могут столкнуться с действиями европейских регуляторов конфиденциальности. 29 октября 2015 года новое соглашение «Безопасная гавань 2.0» казалось близким к завершению. Однако комиссар Джурова ожидает, что США будут действовать следующим образом. Американские НПО поспешили разъяснить важность этого решения.
Немецкий MEP Ян Филипп Альбрехт и активист Макс Шремс раскритиковали новое постановление, причем последнее предсказывает, что Комиссия может совершить «поездку в Люксембург и обратно» (где находится Европейский суд). Комиссар ЕС по делам потребителей Вера Журова выразила уверенность, что сделка будет достигнута до конца февраля. Многие европейцы требовали механизма подачи жалоб отдельными европейскими гражданами на использование их данных, а также схемы прозрачности, гарантирующей, что данные европейских граждан не попадут в руки спецслужб США. Рабочая группа по статье 29 рассмотрела это требование и заявила, что отложит еще месяц до марта 2016 года, чтобы принять решение о последствиях нового предложения комиссара Журовой. Директор Европейской комиссии по основным правам Пол Немитц заявил на конференции в Брюсселе в январе, как Комиссия примет решение об «адекватности» защиты данных. Газета Economist прогнозирует, что «после того, как Комиссия выпустит усиленный - по «решению о достаточности» Европейскому суду будет труднее отменить его ». Активист по вопросам конфиденциальности Джо МакНэми резюмировал ситуацию, отметив, что Комиссия преждевременно объявила о соглашениях, тем самым лишившись права вести переговоры. В то же время начались первые судебные разбирательства в Германии: орган по защите данных Гамбург в феврале 2016 года готовился оштрафовать три компании за использование Safe Harbor в качестве правовой основы для их трансатлантической передачи данных и двух другие компании находились под следствием. С другой стороны, реакция выглядела неизбежной.