Страница 8 из 22
Так, в соответствии с и. 2 ст. 26 государство – член ЕС может разрешить передачу или последовательность передач персональных данных в третью страну, которая не обеспечивает достаточный уровень защиты, когда оператор представляет достаточные гарантии в отношении защиты частной жизни и основных прав и свобод физических лиц; такие гарантии могут, в частности, следовать из соответствующих условий договора. При этом Европейская комиссия может признать отдельные стандартные договорные условия в качестве достаточных гарантий достаточной защиты персональных данных.
Данные оговорки действительно обладают колоссальной значимостью, в том числе ввиду следующих обстоятельств. Несмотря на то что Соединенные Штаты Америки, как и Европейский союз, декларируют аналогичные принципы защиты персональных данных, практикуемые ими подходы регулирования отношений и защиты прав весьма отличны. А именно, в Соединенных Штатах Америки имеет место секторальный подход, базирующийся на комбинации законодательного регулирования, иных форм публичного регулирования и саморегулирования. Между тем подход защиты персональных данных, практикуемый Европейским союзом, подразумевает по большей части законодательное регулирование указанной сферы отношений. При этом на уровне закона устанавливается необходимость создания независимых государственных органов по защите данных, регистрации баз данных этими учреждениями, а в некоторых случаях – получения предварительного одобрения любой обработки персональных данных. Наличие подобных регулятивных отличий обусловило проблематичность участия американских обработчиков данных в уже сложившихся на тот момент правоотношениях. С принятием Директивы 95/46/ЕС, потребовавшей составления перечня стран, предоставляющих адекватный уровень защиты данных при их обработке, США (как и другие государства, оказавшиеся в аналогичной ситуации), которые не признаны такой страной, могли фактически выпасть из экономических отношений.
В связи с возникшей ситуацией необходимы были поиск нового подхода в международном сотрудничестве, обеспечение условий для преодоления указанных отличий правовых моделей регулирования, а также создание рациональных и экономически эффективных инструментов, позволяющих американским обработчикам данных соответствовать на достаточном уровне требованиям Директивы. Так, Департаментом торговли США в сотрудничестве с Европейской комиссией был разработан подход, отраженный в так называемых «Принципах защиты конфиденциальности персональных данных» / «Принципах безопасной гавани для тайны частной жизни»[12] (Safe Harbor Privacy Principles, далее – «Принципы», Safe Harbor)[13]. Указанные принципы соответствия требованиям информационной безопасности ЕС были приняты Министерством торговли США и, по сути, являются ответом на Директиву 95/46/ЕС. Будучи инициированы США, они приобрели дееспособность в отношениях по поводу передачи данных с ЕС особой волей ЕС. На тот момент указанное специальное Решение стало разрешением дискуссии между ЕС и США о принципах достаточности уровня защиты персональных данных: в 2000 г. Комиссией ЕС было принято специальное Решение от 26 июля 2000 г. № 2000/520/ЕС[14], в котором описаны условия передачи данных в США. Именно этим документом они признаны как обеспечивающие необходимую защиту.
Итак, соглашение было одобрено в 2000 г., это позволило избежать перерывов в сформировавшихся отношениях, предполагающих обработку данных, а также лишило основания для привлечения к ответственности американских обработчиков, как осуществляющих свою деятельность в нарушение Директивы (так как относились к категории стран с неадекватным уровнем защиты данных). Проведение сертификации обработчиков данных согласно положениям Соглашения Safe Harbor предоставляет гарантии для ЕС в адекватном уровне защиты обрабатываемых данных (в соответствии с Директивой), на более конкретизированном уровне – при их обработке конкретными американскими компаниями, прошедшими сертификацию.
Таким образом, Соглашение Safe Harbor обеспечило удовлетворение интересов обеих сторон. В частности, в случае участия в Программе Safe Harbor американские обработчики данных получали следующие преимущества:
1) все 28 государств – членов ЕС придерживаются определенных Европейской комиссией критериев адекватности уровня обработки данных;
2) участвующий в Программе Safe Harbor обработчик данных будет рассматриваться как соответствующий требованиям адекватной обработки данных согласно Директиве;
3) требование о получении предварительного одобрения трансграничной передачи данных будет отменено в отношении участвующего в Программе Safe Harbor обработчика или будет осуществляться автоматически;
4) требования Соглашения возможны к исполнению с минимальными ресурсозатратами, экономически эффективны, что особенно значимо для малых и средних предприятий.
Лицо, передающее данные американскому обработчику, приобретало гарантии соответствия данного обработчика критериям адекватной защиты данных только в том случае, если он участвует в Программе Safe Harbor, т. е. в данном случае осуществляется привязка к соответствию стандартов обработки данных уровню безопасности, обеспечиваемому конкретным лицом, а не всем государством. Проверку участия конкретного обработчика можно было осуществить путем просмотра списка Safe Harbor организаций, который находится в публичном доступе на сайте Министерства торговли США[15].
Наряду со странами – членами ЕС члены Европейского экономического союза (Исландия, Лихтенштейн и Норвегия) также признавали организации, сертифицированные по программе Safe Harbor, как обеспечивающие достаточный уровень конфиденциальности для передачи данных из своих стран в США. Швейцария заключила почти аналогичное соглашение (соглашение Safe Harbor между Швейцарией и США) с Министерством торговли США для передачи данных из Швейцарии в США на законном основании. Кроме того, разрешена свободная передача данных из ЕС в ряд других стран (например, в Канаду и Аргентину), принявших всесторонние законы о конфиденциальности данных.
Итак, на протяжении 15 лет обмен данными между ЕС и США регламентировался указанным договором, известным как Соглашение о «безопасной гавани», что позволяло тысячам компаний Европейского союза и США обмениваться электронными данными, вести бизнес и передавать информацию в упрощенном порядке, без дорогостоящих мер защиты. Но уже после выявления первых чрезвычайных случаев нарушения принципов трансграничной передачи данных высказывались мнения о необходимости приостановлении действия Соглашения Safe Harbor и договора о международной банковской системе обмена информацией и совершения платежей SWIFT[16], который предоставляет США возможность доступа к банковским данным граждан ЕС, изначально Европейским парламентом даже были выдвинуты такие требования[17].
Между тем Федеральная торговая комиссия США (FTC) объявила, что примет меры против американских компаний, которые нарушили европейские законы о конфиденциальности, собирая данные о жителях стран ЕС без их ведома (в пресс-релизе FTC названы 12 американских компаний, включая Apperian, Atlanta Falcons Football Club, Baker Tilly Virchow Krause, BitTorrent, Charles River Laboratories International, DataMotion, DDC Laboratories, Level 3 Communications, PDB Sports, Reynolds Consumer Products Inc., Receivable Management Services Corporation, Te
12
Safe Harbor Privacy Principles. URL: http://www.export.gov/safeharbor/ SHPRIN CIPLESFINAL.htm
13
Международное и зарубежное финансовое регулирование: институты, сделки, инфраструктура. В 2 ч. / под ред. А.В. Шамраева. М.: КноРус; ЦИПСиР, 2014. 4.2.
14
Official Journal L 215. 25.08.2000. Р. 0007–0047.
15
URL: http://safeharbor.export.gov/list.aspx
16
ЕескеР. van. URL: http://www.jdsupra.com/legalnews/europe-eu-commissioner-reding-introduc-85150/; http://europa.eu/rapid/press-release_SPEECH-14-62_en.pdf (пер. Н. Храмцовской) // URL: http://rusrim.blogspot.ru/2013/ll/blog-post_15.html.
17
ЕП требует расторгнуть договоры ЕС с США об обмене данными. URL: http://www.warandpeace.ru/ru/news/view/87751/.
18
Мироненко В. FTC сообщила о санкциях для нарушителей законов ЕС о конфиденциальности // Daily digital digest. URL: http://www.3dnews.ru/797428.