4) требования Соглашения возможны к исполнению с минимальными ресурсозатратами, экономически эффективны, что особенно значимо для малых и средних предприятий.
Лицо, передающее данные американскому обработчику, приобретало гарантии соответствия данного обработчика критериям адекватной защиты данных только в том случае, если он участвует в Программе Safe Harbor, т. е. в данном случае осуществляется привязка к соответствию стандартов обработки данных уровню безопасности, обеспечиваемому конкретным лицом, а не всем государством. Проверку участия конкретного обработчика можно было осуществить путем просмотра списка Safe Harbor организаций, который находится в публичном доступе на сайте Министерства торговли США[15].
Наряду со странами – членами ЕС члены Европейского экономического союза (Исландия, Лихтенштейн и Норвегия) также признавали организации, сертифицированные по программе Safe Harbor, как обеспечивающие достаточный уровень конфиденциальности для передачи данных из своих стран в США. Швейцария заключила почти аналогичное соглашение (соглашение Safe Harbor между Швейцарией и США) с Министерством торговли США для передачи данных из Швейцарии в США на законном основании. Кроме того, разрешена свободная передача данных из ЕС в ряд других стран (например, в Канаду и Аргентину), принявших всесторонние законы о конфиденциальности данных.
Итак, на протяжении 15 лет обмен данными между ЕС и США регламентировался указанным договором, известным как Соглашение о «безопасной гавани», что позволяло тысячам компаний Европейского союза и США обмениваться электронными данными, вести бизнес и передавать информацию в упрощенном порядке, без дорогостоящих мер защиты. Но уже после выявления первых чрезвычайных случаев нарушения принципов трансграничной передачи данных высказывались мнения о необходимости приостановлении действия Соглашения Safe Harbor и договора о международной банковской системе обмена информацией и совершения платежей SWIFT[16], который предоставляет США возможность доступа к банковским данным граждан ЕС, изначально Европейским парламентом даже были выдвинуты такие требования[17].
Между тем Федеральная торговая комиссия США (FTC) объявила, что примет меры против американских компаний, которые нарушили европейские законы о конфиденциальности, собирая данные о жителях стран ЕС без их ведома (в пресс-релизе FTC названы 12 американских компаний, включая Apperian, Atlanta Falcons Football Club, Baker Tilly Virchow Krause, BitTorrent, Charles River Laboratories International, DataMotion, DDC Laboratories, Level 3 Communications, PDB Sports, Reynolds Consumer Products Inc., Receivable Management Services Corporation, Tennessee Football, нарушивших договор U.S. – EU Safe-Harbor Agreement при сборе персональных данных), а также начнет переработку принципов разведывательной деятельности США. В частности, комиссия заявила, что вышеуказанные компании вводили в заблуждение людей путем использования просроченных сертификационных знаков для подтверждения законности своей деятельности[18].
Европейская комиссия, в свою очередь, заявила, что Соглашение Safe Harbor не будет приостановлено, однако был выдвинут ряд требований к США[19].
В ноябре 2013 г. Комиссия ЕС изложила меры, которые необходимо принять с целью осуществления дальнейших передач данных между США и ЕС (IP/13/1116)[20]. Ключевым инструментом указанных мер выбрано развитие программы-инструмента Safe Harbor, а также деятельность рабочей группы ЕС – США МЕМО/13/1059 по защите персональных данных, которая была создана в июле 2013 г.[21]
Помимо указанных предложений реформирования европейского законодательства о персональных данных, были обозначены 13 направлений совершенствования реализации Программы Safe Harbor, которые требуют значительного финансирования, в связи с этим решение вопроса о действии Соглашения назначено на лето 2014 г. Эти направления фактически являются ответом на выявленные рабочей группой ЕС – США 2013 г. угрозы, несоответствия и риски. Среди них:
блок 1 – прозрачность:
1) политика безопасности должна быть опубликована сертифицированными компаниями в режиме открытого доступа в полном объеме;
2) каждая политика безопасности должна содержать активную ссылку на сайт Министерства торговли США (конкретное место с указанием на действительность сертификации);
3) должны также публиковаться детализированные данные о наличии у сертифицированной компании договорных отношений, связанных с процессом обработки данных;
4) Министерством торговли США должен быть опубликован «черный список» компаний, которые не участвуют в Программе;
блок 2 – правоприменение:
1) проверки на соответствие уровня безопасности данных, обеспечиваемых компанией, принципам Safe Harbor и опубликованной политике безопасности должны проводиться постоянно после получения сертификата (достаточно глубокие ревизии);
2) при выявлении нарушений должна быть запланирована подобная проверка через год;
3) в случае возникновения любых сомнений в безопасности данных Министерство торговли США должно информировать ЕС;
4) должно быть осуществлено следствие по случаям фальсификации участия в Программе;
блок 3 – процедуры альтернативного разрешения споров:
1) должны активно использоваться процедуры альтернативного разрешения споров, в силу чего в политике безопасности должна присутствовать активная ссылка на соответствующий орган;
2) процедуры альтернативного разрешения споров должны быть доступными и незатратными;
3) Министерство торговли США должно проводить постоянный контроль за реализацией процедур альтернативного разрешения споров;
блок 4 – доступ публичных органов США:
1) в политике конфиденциальности должны подробно указываться положения законодательства США, влияющие на реализацию прав вовлеченных субъектов;
2) исключения из политики конфиденциальности в пользу национальной безопасности должны быть крайне ограниченной мерой, применяемой строго пропорционально реальной необходимости.
Между тем вопреки обозначенным планам и ожиданиям 6 октября 2015 г. высший орган судебной власти Евросоюза признал недействительным существующее законодательство о трансатлантической передаче данных. Европейский суд заключил, что Facebook не обеспечивает адекватную защиту персональных данных жителей ЕС, и постановил провести дальнейшее расследование.
В Европейский суд в Люксембурге обратился пользователь Facebook австрийский юрист Макс Шремс. Он потребовал, чтобы Facebook не передавал его личные данные на серверы в США, так как сеть не может гарантировать защиту этой информации. Свою просьбу он мотивировал тем, что, согласно информации Эдварда Сноудена, такие крупнейшие компании, как Google, Apple, Facebook, сотрудничают с американским Агентством национальной безопасности. Первоначально жалоба была подана в Ирландии, где находится европейская штаб-квартира компании Facebook. Но там иск был отклонен, поэтому австриец обратился к высшей судебной инстанции Евросоюза.
Суд занял принципиальную позицию, сделав вывод, что договор о трансатлантической передаче данных нарушает право европейцев жаловаться на использование их личных данных в коммерческих целях различными мультинациональными компаниями. Защита права на неприкосновенность личной жизни в США во многом отличается от защиты этого права в Европе.
Таким образом, ответ на жалобу Шремса касается не только Facebook, он затрагивает тысячи других компаний, деятельность которых осуществляется в рамках Соглашения Safe Harbour как инструмента передачи данных на законной основе[22].
Также большие ставки делались на реформирование правозащитных процедур и мер обеспечения гарантий. В частности, планировалось развитие и усиленное использование уже сформированных инструментов взаимной правовой помощи (Mutual Legal Assistance) и отраслевых соглашений по вопросам обмена данными.
Особо рассматривались вопросы Рамочного соглашения 1Р/10/ 1661 «О защите информации в области полицейского и судебного сотрудничества»[23]. С 18 ноября 2013 г. США реализуются меры по предоставлению гражданам ЕС права на судебную защиту.
Завершается работа над зонтичным соглашением США и ЕС о защите персональных данных для совместной борьбы с терроризмом от 8 сентября 2015 г. Документ позволит защитить персональные данные, которыми обмениваются полиция, судебные органы и частные компании в ходе расследований.
Зонтичное соглашение в качестве основы полагает всестороннюю структурную высокоуровневую защиту при взаимодействии США и ЕС в сфере правоохранения. Соглашение касается всех персональных данных (например, имена, адреса, досье), которые подвергаются трансграничной передаче между ЕС и США в целях предотвращения, обнаружения, расследования и судебного преследования уголовных преступлений, включая терроризм. Текст соглашения полностью разработан, однако требуется провести ряд процедур для вступления его в силу. В частности, должен быть принят американский закон о компенсациях, затем американские власти публикуют соответствующее решение касательно зонтичного соглашения, которое в итоге утверждается властью ЕС.