Передача персональных данных в неевропейские страны

Европейская директива о защите персональных данных вступила в силу в октябре 1998 года. Директива запретила , которые не отвечают требованиям в части защиты персональных данных.

Законодательство США соответствует Директиве не в полной мере. Для того, чтобы устранить разницу и создать прецедент соответствия, Департамент по коммерции США при консультативном содействии Европейской Комиссии разработал так называемое «Правило безопасной гавани» («Safe Harbor Framework»). Правило «Safe Harbor Framework» было одобрено в Европейском Союзе в 2000 году.

«Safe Harbor Framework» позволило американским организациям продолжать обмениваться персональными данными с европейскими странами и избегать преследований за нарушение европейского законодательства о защите персональных данных. Компании и организации, участвующие в «Safe Harbor Framework», считались предоставляющими адекватную защиту персональных данных. Иски, которые предъявлялись по «Safe Harbor Framework» европейскими гражданами, должны были приниматься к рассмотрению в США.

Список американских компаний, участвующих в «Safe Harbor Framework», являлся публичным и исчерпывающим. Поэтому европейским контрагентам легко было проверить факт соответствия той или иной американской организации принципам «Safe Harbor Framework».

Присоединение к «Safe Harbor Framework»

Присоединение американской компании к «Safe Harbor Framework» являлось полностью добровольным. Компании должны были соответствовать требованиям, изложенным в «Safe Harbor Framework», и публично объявлять об этом.

Компании должны были проводить ежегодную самооценку и направлять в письменном виде в Департамент по коммерции информацию о том, что они соглашаются соответствовать требованиям «Safe Harbor Framework».

Принципы «Safe Harbor Framework»

«Safe Harbor Framework» содержит семь основных принципов:

  • уведомлениеОрганизации должны уведомить физических лиц относительно целей, для которых они собирают и используют информацию. Компании должны предоставлять информацию о том, каким образом физические лица могут связаться с компаниями с запросами или жалобами, о категориях третьих лиц, которым раскрывается информация, о способах, используемых организациями для того, чтобы ограничить использование персональных данных и их раскрытие.
  • выборКомпании должны предоставить выбор физическим лицам в том, что касается раскрытия их персональной информации третьим лицам или использования для целей, не совместимых с теми, для которых она первоначально собиралась.
  • передача третьим лицамЕсли организация хочет передать информацию третьему лицу, которое выступает в качестве агента, она может сделать это, если такое третье лицо является участником «Safe Harbor Framework» или подчиняется Директиве или иному эквивалентному документу.В качестве альтернативы организация может заключить с такой третьей стороной письменный договор, который требует от третьей стороны предоставить, по крайней мере, такой же уровень защиты персональных данных, который требуется по принципам «Safe Harbor Framework».
  • доступФизические лица, за редкими исключениями, должны иметь доступ к своим персональным данным, которые имеются у организации, а также иметь возможность их скорректировать, изменить или удалить, если информация недостоверная или неточная.
  • требование к безопасностиОрганизации должны предпринять разумные меры для того, чтобы защитить персональную информацию от потери, неправомерного использования или доступа, раскрытия, изменения и уничтожения.
  • использование для определённых целейПерсональные данные должны соответствовать цели, для которых они используются. Организации должны предпринимать разумные шаги для того, чтобы обеспечить, что персональные данные являются достоверными, полными и соответствующими реальности.
  • приведение в исполнениеДолжен обеспечиваться доступный и независимый механизм, позволяющий физическому лицу направлять жалобы, которые будут рассмотрены, и, если требуется, выплачивать компенсации.

Судебное решение

6 октября 2015 года Европейский суд правосудия, высший суд в Европейском Союзе, обнародовал мнение по делу Maximillian Schrems v. Data Protection Commissioner. По сути это мнение признаёт недействительным «Safe Harbor Framework».

Согласно материалам дела австрийский студент и пользователь Facebook обнаружил, что его данные из Facebook были экспортированы из Ирландии в США. Студент выразил сомнения в безопасности систем, находящихся в США, и в том, что Правительство США имеет доступ и обрабатывает персональные данные из Интернета и серверов американских компаний.

В связи с тем, что государственный контроль в США достаточно широк и постоянен, студент заявил, что передача данных в США является нарушением законодательства Европейского Союза.

Так как дочернее предприятие Facebook находится в Ирландии, студент подал свою жалобу в Ирландскую службу по защите персональных данных, а потом обжаловал решение в Европейском Союзе.

Европейский суд правосудия выразил мнение, что «Safe Harbor Framework» не соответствует Директиве и иным законам, действующим в Европейском Союзе.

При этом при принятии этого решения Европейский суд правосудия указывал не на потенциальные нарушения со стороны коммерческих организаций, которые являются частью «Safe Harbor Framework», но со стороны разведывательных органов и государственных органов США, которые имеют доступ к персональным данным. Такой доступ нарушает права на частность личной жизни и защиту персональных данных, гарантированных в Европе.

В решении Европейский суд правосудия также указал, что национальные органы, ответственные за защиту персональных данных, имеют полномочия расследовать жалобы относительно экспорта персональных данных в неевропейские страны, если нарушения прав резидентов Европейского Союза произошли в этих странах.

Все компании, которые числились в списке «Safe Harbor Framework», затронуты этим решением. В том числе

  • американские компании, которые продают товары потребителям в Европейском Союзе и которые передают данные о потребителях в США, а также
  • в случаях трансграничной передачи информации о сотрудниках между США и Европейским Союзом.

Европейский суд правосудия не предоставил какого-либо периода для того, чтобы компании могли бы переструктурировать свои взаимоотношения. Такая ситуация может создать многочисленные проблемы для американских компаний, которые предлагают облачные услуги, социальные сети, горячие линии для отчетов о нарушениях и иные подобные услуги, в результате которых происходит передача персональных данных в США.

Такие компании должны найти альтернативные способы обосновать легитимность передачи персональных данных в США. В противном случае все случаи передачи персональных данных из Европейского Союза в США могут быть признаны неправомерными.

В США в настоящее время предлагается несколько законопроектов, которые бы сделали американскую защиту персональных данных эквивалентной существующей в Европейском Союзе.

Более того, Департамент коммерции США в ответ на вышеуказанное решение Европейского суда правосудия сообщил, что новый «Safe Harbor Framework» обсуждается уже в течение двух лет с Европейским Союзом и скорей всего в ближайшее время будет принят.

http://www.worldbiz.ru/