Принципы конфиденциальности «Безопасной гавани»

В 1980 году ОЭСР издала рекомендации по защите персональных данных, сформулированные в виде восьми принципов. Они носили необязательный характер, однако в 1995 году Европейский союз принял обязательную к исполнению Директиву о защите данных, регулирующую вопросы конфиденциальности информации^[3].

В соответствии с директивой, компании, работающие в странах ЕС, не вправе передавать персональные данные в так называемые «третьи страны» за пределами Европейской экономической зоны, если только уровень защиты в этих странах не признан адекватным, либо если сам субъект данных согласится на передачу, или если используются обязательные корпоративные правила либо утвержденные стандартные договорные положения^[4]. Таким образом, защита может обеспечиваться как на уровне отдельных организаций, так и на национальном уровне, если национальное законодательство признаётся эквивалентным требованиям ЕС.

Принципы «Безопасной гавани» разрабатывались в 1998–2000 годах с активным участием Рабочей группы по защите данных (статья 29), которую тогда возглавлял председатель итальянского органа по защите данных профессор Стефано Родота при поддержке генерального секретаря Джованни Буттарелли. Принципы позволяли американским компаниям добровольно пройти сертификацию соответствия семи основным принципам и ответам на 15 часто задаваемых вопросов директивы^[5]. В июле 2000 года Европейская комиссия официально признала, что соблюдение принципов позволяет компаниям передавать данные из ЕС в США («решение о безопасной гавани»)^[6].

6 октября 2015 года Европейский суд отменил это решение, указав, что «законодательство, разрешающее государственным органам получать доступ к содержанию электронных коммуникаций на системной основе, противоречит самой сути основного права на уважение частной жизни»^[1].

Согласно Еврокомиссии, новая система Щит конфиденциальности ЕС—США отражает требования, изложенные Европейским судом в решении 2015 года: предусматриваются ужесточённые требования по защите персональных данных европейцев для компаний из США, а также расширенный надзор со стороны американских регуляторов и специальные инструменты реагирования для граждан ЕС^[7].

Семь принципов, введённых в 2000 году^[6]:

• Уведомление — физическим лицам должно быть сообщено о сборе данных и целях их использования; организация обязана информировать о способах связи по вопросам и жалобам.
• Выбор — физические лица могут отказаться от сбора и передачи данных третьим лицам.
• Дальнейшая передача — передача данных разрешена только тем организациям, которые придерживаются сопоставимых принципов защиты информации.
• Безопасность — необходимо предпринимать разумные меры по предотвращению утраты информации.
• Целостность данных — собранные данные должны быть актуальны, надёжны и соответствовать заявленным целям.
• Доступ — физические лица имеют право доступа к сведениям о себе, а также на исправление или удаление недостоверных данных.
• Правоприменение — должны быть предусмотрены действенные механизмы контроля и обеспечено соблюдение правил.

В программе «Безопасная гавань» могли участвовать только те американские организации, которые регулировались Федеральной торговой комиссией либо Министерством транспорта США. Это исключало, в частности, банки, инвестиционные компании, кредитные союзы, некоммерческие организации, профсоюзы, телекоммуникационных операторов, кооперативы, пищевые предприятия, журналистов и большинство страховых компаний^[8], однако участвовали некоторые инвестиционные банки^[9].

Компаниям, участвующим в программе, предписывалось регулярно обучать сотрудников, иметь эффективные процедуры разрешения споров, а также ежегодно письменно подтверждать (ресертифицировать) соответствие принципам, включая уведомление, выбор, доступ и контроль^[10]. Проверку соблюдения принципов компания могла проводить своими силами или поручить это сторонней организации. Регистрационный ежегодный взнос — 100 долларов, для первичной регистрации — 200 долларов^[11].

Государственные органы США напрямую не регулировали функционирование «Безопасной гавани» — контроль осуществлялся её членами и выбранными ими организациями по разрешению споров. Федеральная торговая комиссия осуществляла общий «менеджмент» под контролем Министерства торговли США^[12]. При нарушении условий корпорация могла быть наказана штрафом до $16 000 в день в рамках Законодательства о Федеральной торговой комиссии, а за недостоверные заявления — привлечена по Закону о ложных сведениях^[10].

В деле 2011 года Федеральная торговая комиссия добилась судебного наказания для калифорнийского интернет-ритейлера за ложное заявление о принадлежности к системе «Безопасной гавани», хотя компания ею не являлась. Суд запретил использование подобных недобросовестных практик^[13].

«Безопасная гавань» подвергалась критике со стороны ЕС по вопросам соблюдения и контроля следующих внешних оценок:

• В обзоре 2002 года отмечено, что значительное число организаций, заявлявших о соответствии принципам, не придержувались декларируемого уровня прозрачности^[14].
• В 2004 году проведён очередной анализ^[15].
• В 2008 году австралийская компания Galexia провела развернутую критику: только 348 из 1109 организаций соответствовали базовым критериям, 206 фирм заявляли ложную принадлежность, а механизм надзора за надёжностью и прозрачностью считался недостаточным. Ряд политик конфиденциальности состоял из 1–3 предложений, часто отсутствовали ссылки или документация. Galexia рекомендовала ЕС пересмотреть соглашение, пересчитать участников, США — расследовать ложные заявления и отказаться от вводящей в заблуждение марки сертификации^[16].

В июне 2011 года директор Microsoft UK Гордона Фрейзер заявил, что облачные данные, находящиеся где угодно в мире, не защищены от действия закона «Патриот»^[17]. После этого государственные органы Нидерландов исключили облачные сервисы из США из своих государственных контрактов, а ряд компаний пересмотрели соглашения со своими американскими поставщиками^[18].

В 2012 году юридическое исследование подтвердило, что закон «Патриот» позволяет спецслужбам США обходить европейское законодательство о конфиденциальности данных^[18].

Новые договорённости вызвали критику со стороны ряда европейских политиков и правозащитников, таких как депутат Европарламента Ян Филипп Альбрехт и активист Макс Шремс, которые отмечали возможность обжалования соглашения в суде^[19]. Некоторые представители Европейской комиссии, напротив, считали, что соглашение будет завершено в кратчайшие сроки^[20]. Многие настаивали на создании механизма индивидуальных жалоб для граждан ЕС и повышении прозрачности^[21]. Рабочая группа по защите данных взяла это требование к рассмотрению, а окончательное решение было отложено^[22].

По состоянию на март 2021 года Еврокомиссия и Министерство торговли США вели «интенсивные переговоры» о новом соглашении^[23], в июне 2021 года вопросы обсуждались на саммите ЕС—США^[24].