Internationella Safe Harbor-sekretessprinciper

Se även: EU-US Privacy Shield

International Safe Harbor Privacy Principles eller Safe Harbor Privacy Principles var principer som utvecklades mellan 1998 och 2000 för att förhindra att privata organisationer inom EU eller USA som lagrar kunddata av misstag avslöjar eller förlorar personlig information . De upphävdes den 6 oktober 2015 av EU-domstolen (ECJ), vilket gjorde det möjligt för vissa amerikanska företag att följa integritetslagar som skyddar EU:s och schweiziska medborgare. Amerikanska företag som lagrar kunddata kunde självcertifiera att de höll sig till 7 principer, för att följa EU:s dataskyddsdirektiv och schweiziska krav. USA :s handelsdepartement utvecklade integritetsramverk i samarbete med både Europeiska unionen och den federala dataskydds- och informationskommissionären i Schweiz.

Inom ramen för en rad beslut om lämpligheten av skyddet av personuppgifter som överförts till andra länder fattade Europeiska kommissionen år 2000 ett beslut om att USA:s principer faktiskt överensstämde med EU-direktivet – det så kallade " Safe Harbor". beslut" . Men efter att en kund klagat på att hans Facebook- data inte var tillräckligt skyddade, förklarade EG-domstolen i oktober 2015 att Safe Harbor-beslutet var ogiltigt, vilket ledde till att kommissionen förde ytterligare samtal med de amerikanska myndigheterna om "en förnyad och sund ram för transatlantiska dataflöden".

Europeiska kommissionen och USA enades om att upprätta ett nytt ramverk för transatlantiska dataflöden den 2 februari 2016, känt som " EU–US Privacy Shield ", som tätt följdes av Swiss-US Privacy Shield Framework.

Bakgrundshistorik

1980 utfärdade OECD rekommendationer för skydd av personuppgifter i form av åtta principer. Dessa var icke-bindande och 1995 antog Europeiska unionen (EU) en mer bindande form av styrning, det vill säga lagstiftning, för att skydda personuppgifternas integritet i form av dataskyddsdirektivet .

Enligt dataskyddsdirektivet får företag som är verksamma i EU inte skicka personuppgifter till "tredje länder" utanför Europeiska ekonomiska samarbetsområdet , såvida de inte garanterar adekvata skyddsnivåer, "den registrerade själv samtycker till överföringen" eller "om bindande företagsregler eller standardavtalsklausuler har godkänts." Det sistnämnda innebär att integritetsskyddet kan vara på en organisatorisk nivå, där en multinationell organisation producerar och dokumenterar sina interna kontroller av personuppgifter eller så kan de vara på ett lands nivå om dess lagar anses erbjuda skydd likvärdigt med EU.

Safe Harbor Privacy Principles utvecklades mellan 1998 och 2000. Nyckelaktören var Art. 29-arbetsgruppen, vid den tiden ledd av den italienska dataskyddsmyndigheten www.garanteprivacy.it Ordförande Prof. Stefano Rodotà, en av fäderna till integritetsramverket i Europa, med hjälp av den italienska dataskyddsmyndighetens generalsekreterare Giovanni Buttarelli, nyligen utnämnd till Europeiska datatillsynsmannen (EDPS). Safe Harbor-principerna har utformats för att förhindra att privata organisationer inom EU eller USA som lagrar kunddata av misstag avslöjar eller förlorar personlig information. Amerikanska företag skulle kunna välja att delta i ett program och bli certifierade om de höll sig till sju principer och 15 vanliga frågor och svar enligt direktivet. I juli 2000 EU-kommissionen (EC) att amerikanska företag som följer principerna och registrerar sin certifiering att de uppfyller EU:s krav, det så kallade "safe harbor-schemat", fick överföra data från EU till USA . Detta kallas Safe Harbor-beslutet .

Den 6 oktober 2015 ogiltigförklarade EG-domstolen EG:s Safe Harbor-beslut, eftersom "lagstiftning som tillåter de offentliga myndigheterna att ha tillgång på generell basis till innehållet i elektronisk kommunikation måste anses äventyra kärnan i den grundläggande rätten att respektera för privatlivet " (fetstilt i originaltext).

Enligt Europeiska kommissionen återspeglar EU–USA Privacy Shield den 2 februari 2016 de krav som ställdes upp av EU-domstolen i dess dom den 6 oktober 2015, som förklarade det gamla Safe Harbor-ramverket ogiltigt. Det nya arrangemanget kommer att ge starkare skyldigheter för företag i USA att skydda européers personuppgifter och starkare övervakning och efterlevnad av USA:s handelsdepartement och Federal Trade Commission, inklusive genom ökat samarbete med europeiska dataskyddsmyndigheter. Det nya arrangemanget inkluderar åtaganden från USA som möjligheter enligt amerikansk lag för offentliga myndigheter att få tillgång till personuppgifter som överförs under det nya arrangemanget kommer att vara föremål för tydliga villkor, begränsningar och tillsyn, vilket förhindrar allmän åtkomst. Européer kommer att ha möjlighet att ta upp alla förfrågningar eller klagomål i detta sammanhang med en särskild ny ombudsman ".

Principer

De sju principerna från 2000 är:

  • Meddelande – Individer måste informeras om att deras data samlas in och hur de kommer att användas. Organisationen ska ge information om hur enskilda kan kontakta organisationen med eventuella förfrågningar eller klagomål.
  • Val – Individer måste ha möjlighet att välja bort insamlingen och vidarebefordra överföringen av data till tredje part.
  • Vidareöverföring – Överföringar av data till tredje part får endast ske till andra organisationer som följer adekvata dataskyddsprinciper.
  • Säkerhet – Rimliga ansträngningar måste göras för att förhindra förlust av insamlad information.
  • Dataintegritet – Data måste vara relevanta och tillförlitliga för det syfte de samlades in.
  • Åtkomst – Individer måste kunna få tillgång till information som finns om dem och korrigera eller radera den om den är felaktig.
  • Tillsyn – Det måste finnas effektiva sätt att upprätthålla dessa regler.

Omfattning, certifiering och verkställighet

Endast amerikanska organisationer som regleras av Federal Trade Commission eller Department of Transportation får delta i detta frivilliga program. Detta utesluter många finansiella institutioner (som banker, investeringshus, kreditföreningar och spar- och låneinstitut ), vanliga telekommunikationsföretag (inklusive leverantörer av internettjänster ), fackföreningar, ideella organisationer, jordbrukskooperativ och köttförädlare , journalister och de flesta försäkringar, även om det kan omfatta investeringsbanker.

Efter att ha valt att delta måste en organisation ha lämplig utbildning för anställda och en effektiv tvistmekanism på plats, och själv återcertifiera var 12:e månad skriftligen att den samtycker till att följa USA–EU Safe Harbor Frameworks principer, inklusive meddelande, val, tillgång och verkställighet. Den kan antingen utföra en självutvärdering för att verifiera att den följer principerna, eller anlita en tredje part för att utföra bedömningen. Företag betalar en årlig avgift på 100 USD för registrering utom för förstagångsregistrering (200 USD).

Den amerikanska regeringen reglerar inte Safe Harbor, som är självreglerande genom sina medlemmar i den privata sektorn och de tvistlösningsenheter de väljer. Federal Trade Commission "hanterar" systemet under tillsyn av det amerikanska handelsdepartementet. För att uppfylla åtagandena kan överträdare straffas enligt Federal Trade Commission Act genom administrativa beslut och civilrättsliga påföljder på upp till 16 000 USD per dag för överträdelser. Om en organisation inte följer ramverket måste den omedelbart meddela handelsdepartementet, annars kan den åtalas enligt "False Statements Act".

I ett fall 2011 fick Federal Trade Commission ett samtyckesdekret från en Kalifornien-baserad onlineåterförsäljare som hade sålt exklusivt till kunder i Storbritannien . Bland dess många påstådda bedrägliga metoder var att representera sig själv som självcertifierad enligt Safe Harbor, medan den i själva verket inte hade gjort det. Det var förbjudet att använda sådana bedrägliga metoder i framtiden.

Kritik och utvärdering

EU:s utvärderingar

EU–USA Safe Harbor Principles "självcertifieringssystem" har kritiserats med avseende på dess efterlevnad och efterlevnad i tre externa EU-utvärderingar:

  • En granskning från Europeiska unionen från 2002 fann att "ett stort antal organisationer som har självcertifierat anslutning till Safe Harbor inte verkar följa den förväntade graden av transparens när det gäller deras övergripande engagemang eller vad gäller innehållet i deras integritetspolicy" och att "inte alla mekanismer för tvistlösning har tillkännagett offentligt sin avsikt att upprätthålla Safe Harbor-regler och inte alla har på plats integritetspraxis som är tillämplig på dem själva."
  • 2004 granskning av Europeiska unionen:
  • 2008 gjorde ett australiensiskt konsultföretag vid namn Galexia en svidande recension, och fann att "USA:s förmåga att skydda privatlivet genom självreglering , med stöd av påstådd regulatorisk tillsyn var tveksam". De dokumenterade grundläggande påståenden som felaktiga där endast 1109 av 1597 registrerade organisationer listade av USA:s handelsdepartement (DOC) den 17 oktober 2008 fanns kvar i databasen efter att dubbla, trippel och "inte aktuella" organisationer tagits bort. Endast 348 organisationer uppfyllde ens de mest grundläggande kraven för efterlevnad. Av dessa var endast 54 utökade sitt Safe Harbor-medlemskap till alla datakategorier (manuell, offline, online, mänskliga resurser). 206 organisationer hävdade felaktigt att de var medlemmar i flera år, men det fanns inget som tydde på att de var föremål för någon amerikansk verkställighet. Granskare kritiserade DOC:s "Safe" Harbor Certification Mark' erbjöd företag att använda som en "visuell manifestation av organisationen när den självcertifierar att den kommer att följa" som vilseledande, eftersom den inte bär orden "självcertifiera" på sig. Endast 900 organisationer gav en länk till sina sekretesspolicyer , för 421 var den inte tillgänglig. Många policyer var bara 1-3 meningar långa och innehöll "nästan ingen information". Många inlägg verkade blanda ihop integritetsefterlevnad med säkerhetsefterlevnad och visade en "brist på förståelse för Safe Harbor-programmet". Företagens lista över sina tvistlösningsleverantörer var förvirrande och problem med oberoende och överkomliga priser noterades. Många organisationer nämnde inte att de skulle samarbeta med eller förklara för sina kunder att de kunde välja den tvistlösningspanel som inrättats av EU:s dataskyddsmyndigheter.
Galexia rekommenderade EU att omförhandla Safe Harbor-arrangemanget, ge varningar till EU-konsumenter och överväga att noggrant granska alla listposter. De rekommenderade USA att undersöka de hundratals organisationer som gör falska påståenden , revidera sina uttalanden om antalet deltagare, att överge användningen av Safe Harbor-certifieringsmärket, att undersöka den obehöriga och vilseledande användningen av dess avdelningslogotyp och automatiskt avbryta en organisationens medlemskap om de inte lyckades förnya sin Safe Harbor-certifiering.

Patriot Acts räckvidd

I juni 2011 sa Microsoft Storbritanniens verkställande direktör Gordon Frazer att " molndata , oavsett var den befinner sig i världen, inte är skyddad mot Patriot Act ."

Nederländerna uteslöt snabbt amerikanska molnleverantörer från nederländska regeringskontrakt och övervägde till och med ett förbud mot molnkontrakt från Microsoft och Google. Ett holländskt dotterbolag till det USA-baserade Computer Sciences Corporation (CSC) driver de elektroniska hälsojournalerna för det holländska nationella hälsovårdssystemet och varnade att om inte CSC kunde försäkra att det inte omfattades av Patriot Act, skulle det avsluta kontraktet.

Ett år senare, 2012, stödde en juridisk forskningsartikel uppfattningen att Patriot Act tillät amerikanska brottsbekämpande myndigheter att kringgå europeiska integritetslagar.

Medborgarklagomål om Facebooks datasäkerhet

I oktober 2015 svarade EG-domstolen på en remiss från Irlands högsta domstol angående ett klagomål från den österrikiske medborgaren Maximillian Schrems angående Facebooks behandling av hans personuppgifter från dess irländska dotterbolag till servrar i USA. Schrems klagade på att "mot bakgrund av avslöjandena som Edward Snowden gjorde 2013 angående verksamheten i USA:s underrättelsetjänst (särskilt National Security Agency ('NSA')), gör inte lagen och praxis i USA erbjuda tillräckligt skydd mot offentliga myndigheters övervakning”. EG-domstolen ansåg att Safe Harbor-principerna var ogiltiga, eftersom de inte krävde att alla organisationer som är berättigade att arbeta med EU:s integritetsrelaterade data skulle följa dem, vilket gav otillräckliga garantier. Amerikanska federala myndigheter kunde använda personuppgifter enligt amerikansk lag, men var inte skyldiga att delta. Domstolen ansåg att företag som valde in var "skyldiga att, utan begränsning, ignorera de skyddsregler som fastställts av det systemet när de strider mot nationell säkerhet , allmänt intresse och brottsbekämpande krav".

I enlighet med EU:s regler för hänskjutande till EG-domstolen för ett " förhandsavgörande " har den irländska dataskyddsombudet sedan dess varit tvungen att "... granska Mr. Schrems fall "med all due diligence" och [...] besluta huruvida [...] överföringen av Facebooks europeiska prenumeranters personuppgifter till USA bör avbrytas”. EU:s tillsynsmyndigheter sa att om EG-domstolen och USA inte förhandlade fram ett nytt system inom tre månader, kan företag ställas inför åtgärder från europeiska integritetstillsynsmyndigheter. Den 29 oktober 2015 verkade ett nytt "Safe Harbor 2.0"-avtal nära att slutföras. Kommissionär Jourova förväntar sig dock att USA agerar härnäst. Amerikanska icke-statliga organisationer var snabba med att förklara betydelsen av beslutet.

Svar på EU–USA Privacy Shield Agreement

Se även: EU–US Privacy Shield

Den tyske parlamentsledamoten Jan Philipp Albrecht och kampanjledaren Max Schrems har kritiserat den nya domen, där den senare förutspår att kommissionen kan ta en "tur och retur till Luxemburg" (där EG-domstolen finns). EU:s konsumentkommissionär, Vera Jourova, uttryckte förtroende för att en överenskommelse skulle nås i slutet av februari. Många européer krävde en mekanism för enskilda europeiska medborgare att lämna in klagomål över användningen av deras uppgifter, samt ett system för insyn för att säkerställa att uppgifter om europeiska medborgare inte hamnade i händerna på amerikanska underrättelsetjänster. Artikel 29-arbetsgruppen har tagit upp detta krav och förklarade att den skulle vänta ytterligare en månad till mars 2016 för att besluta om konsekvenserna av kommissionsledamot Jourovas nya förslag. EU-kommissionens direktör för grundläggande rättigheter Paul Nemitz uttalade vid en konferens i Bryssel i januari hur kommissionen skulle besluta om dataskyddets "tillräcklighet". Economist förutspår att "när kommissionen väl har utfärdat ett förstärkt "tillräcklighetsbeslut", kommer det att bli svårare för EG-domstolen att slå ner det." Sekretessaktivisten Joe McNamee sammanfattade situationen genom att notera att kommissionen har tillkännagivit avtal i förtid och därmed förlorat sin förhandlingsrätt. Samtidigt har de första domstolsutmaningarna i Tyskland börjat: dataskyddsmyndigheten i Hamburg förberedde under februari 2016 att bötfälla tre företag för att de förlitade sig på Safe Harbor som rättslig grund för deras transatlantiska dataöverföringar och två andra företag var under utredning. Från andra sidan såg en reaktion ut att vara nära förestående.

Den 25 mars 2021 rapporterade Europeiska kommissionen och USA:s handelsminister att "intensifierade förhandlingar" pågick. Diskussionerna fortsatte vid toppmötet mellan USA och EU i Bryssel i juni 2021.

Se även

Vidare läsning

  •   Farrell, Henry (våren 2003). "Att bygga den internationella grunden för e-handel – EU–US Safe Harbor Arrangement". Internationell organisation . 57 (2): 277–306. doi : 10.1017/S0020818303572022 . S2CID 154976969 .

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=International_Safe_Harbor_Privacy_Principles&oldid=1119585677 "