Технологично и лично
Европейският съд отмени споразумението за трансфер на данни между ЕС и САЩ, което ще се отрази върху хиляди компании
Вечерни новини
Всяка делнична вечер получавате трите най-четени статии от деня, заедно с още три, препоръчани от редакторите на "Капитал"
"Поздравления, Макс Шремс! Ти промени света към по-добро." Думите са на небезизвестния защитник на достъпа до информация Едуард Сноудън и касаят човек, за когото преди дни малцина бяха чували. А откликът от действията на 28-годишния студент по право от Виена наистина тепърва ще се усеща в бизнеса и най-вече технологичната индустрия. Защото именно след исковете му срещу Facebook на 6 октомври Съдът на Европейския съюз отмени трансатлантическото споразумение за обмен на информация - тъй наречения договор Safe Harbor (Safe Harbour във Великобритания). Решението е победа за активистите, които от години настояват за по-добра защита на личните данни. Но може да се отрази на дейността на хиляди фирми, някои от които и в България. В "Капитал" ще се опитаме да отговорим какво точно се случи и какви са последствията.
Какво е Safe Harbor
Така нареченият договор Safe Harbor е още от 2000 г. и позволява на компании да пренасят лични данни между ЕС и САЩ. Правилата важат в случаите, когато американските фирми в ЕС събират информация и я изпращат към сървърите си в САЩ или когато европейски фирми аутсорсват дейността и информацията си към щатски оператори. Целта на договора всъщност е да защитава личните данни, събирани от интернет компаниите - като възраст, семейно положение, Facebook страниците, които всеки потребител харесва, и т.н. В същото време той много улеснява целия процес. "Предимството на това споразумение е, че функционира като "обслужване на едно гише", позволяващо трансфера на данни към САЩ, независимо от кого в Европа идва, без постоянно ново искане за съгласие или сключване на двустранни споразумения", заяви пред Guardian Патрик ван Екле, партньор в международната правна организация DLA Piper и преподавател в Университета на Антверпен.
Как се стигна до решението на Европейския съд
Трансферът на данни от ЕС към САЩ първоначално беше оспорен от активиста Макс Шремс, който учи право във Виена. Преди години по време на гост-семестър в университета "Санта Клара" в Калифорния той е шокиран как щатските компании въобще не се вълнуват от нарушаването на европейските закони за защита на личните данни. "В Силициевата долина смятат, че могат да си правят каквото искат в Европа, без да понесат последствията", заяви той в интервю за AFP. Така решава да подаде жалба срещу европейската централа на Facebook в Дъблин. В него той се оплаква, че социалната мрежа пренася личната му информация на американска територия, където тя е достъпна за властите. Всъщност искът е подаден в граждански съд във Виена, тъй като според европейските правила делото може да бъде заведено във всяка страна - членка на ЕС. Действията му съвпадат с разкритията на Едуард Сноудън за масовото шпиониране от страна на щатската Агенция за национална сигурност, която използвала мащабната програма Prism, позволяваща директен достъп до лична информация за потребителите на компании като Apple, Facebook и Google. Случаят в крайна сметка стига до Европейския съд, който трябваше да реши дали националните регулатори могат да спират трансфера на данни към САЩ, ако има съмнения за нарушения на личните данни на потребителите.
Защо Safe Harbor не работи
Поне на хартия, Safe Нarbor трябва да напомня на компаниите, пренасящи лични данни към САЩ, че задължението им е да защитават тази информация от кражба, злоупотреби, грешки и незаконно отнемане, дори и под претекста на националната сигурност на САЩ. Разкритията на Едуард Сноудън показват, че такова обещание е много трудно изпълнимо. Проблемът с досегашното споразумение е, че подписалите го 4400 компании всъщност просто се "самосертифицират", че могат да защитават личните данни на европейските граждани на американска територия, тоест в щатски центрове за данни. "Решението показва, че механизмът Safe Harbor е непоправим и слага край на повече от десетилeтие нарушeния срещу личната информация", заяви Естел Мас, анализатор в организацията за дигитални права Access.
Какви са последствията
След решението над 4400 компании, които досега разчитаха на Safe Harbor за трансфера на данни - като Google, Facebook, Apple, ще бъдат изправени пред далеч по-строг контрол от страна на европейските регулатори. Те ще трябва да сключват специални договорни клаузи (които регулират трансфера извън ЕС към трети страни и трябва да отговарят на минимални стандарти за защита на личните данни) при всеки случай на обмен на информация. Което значително ще усложни и забави целия процес. "Ако фирми искат да продължат да изпращат данните на европейски граждани през Атлантическия океан, те просто трябва да гарантират адекватно ниво на защита, отговарящо на европейските правила", заяви Моник Гойен, генерален директор на Европейската потребителска организация. Така че на първо време отражението върху големите щатски технологични компании ще се изразява в повече "бумащина". Отделно много от тях вече имат изградени центрове за данни на територията на Европейския съюз. Например Google има четири такива, а Microsoft - два. Те трябва да гарантират, че ще съхраняват личните данни на европейските граждани на тях.
"Не смятаме, че решението на Европейския съд ще се отрази значително върху потребителските ни услуги", заяви директорът по юридическите въпроси на Microsoft Брад Смит в свой блог. Технологичното издание Re/code цитира анонимни представители на Facebook, според които дейността на социалната мрежа също няма да пострада.
В същото време далеч по-засегнати ще са по-малки, не толкова могъщи финансово и технологично фирми. Много компании в Европа (и България) използват американски облачни услуги, за да държат или обработват лична информация. Сега тези компании ще трябва да отговарят на същите изисквания като Facebook и Google, като сключват отделни договорни клаузи и гарантират, че използваните от тях услуги като Amazon Web Services или Microsoft Azure също отговарят на изискванията за защита на данните. "Гигантите може да сключат благоприятни споразумения с отделните членки на ЕС. Истинският проблем е пред по-малките фирми, които не могат да си позволят да договарят такива споразумения или които дори не се опитват да сторят това", заяви пред Re/code Джофри Ман, директор на Международния център по право и икономика. Засегнати ще са и много стартъпи, които използват облачна инфраструктура.
Какво следва
Европейският съюз и САЩ са под натиск да намерят адекватен наследник на Safe Harbor, който да позволява лесен трансатлантически трансфер на данни, без да нарушава фундаменталните права на европейските граждани за защита на личната им информация. Трябва да се отговори на двусмислени легални въпроси. Например компании като Facebook ще са задължени да предадат цялата информация на щатските власти, както настоява Агенция за национална сигурност, или просто да изключат данните за европейските граждани, както реши Европейският съд. Подобни спорове тепърва ще се водят между Вашингтон и Брюксел. Всъщност, преговорите по ново споразумение се водят от две години след разкритията на Сноудън. Със сигурност решението на Европейския съд няма да помогне на тези разговори. Търговският министър на САЩ Пени Прицкър вече заяви, че е застрашена "процъфтяващата трансатлантическа дигитална икономика".
Защо Ирландия е в центъра на всичко
Всичко тръгва от Ирландия. Искът на Шремс срещу Facebook първо е подаден до ирландския регулатор за защита на личните данни - DPC, тъй като европейската централа на социалната мрежа е в Дъблин. През 2013 г. службата излиза с решение, че оплакването е "несериозно и злонамерено", тъй като трансферът на данни между Европа и САЩ се гарантира от Safe Harbor. Тогава Шремс се обръща към Върховния съд в Ирландия, който препраща случая към Европейския съд, който накрая излиза с решение. Сега DPC трябва да разследва подробно иска на Шремс срещу Facebook. Действията на регулатора са важни, тъй като ролята му тепърва ще нараства. Ирландия става предпочитано място за изграждане на все повече центрове на данни, в които ще се държат личните данни на милиони европейски граждани.
Какви компании в България са засегнати
От една страна, става въпрос за чуждестранни компании, опериращи в България, които досега бяха включени в Safe Harbor. Сред тях има фирми от софтуерната и аутсорсинг индустрията като TeleTech, Sutherland Global Services, Axway и други. Те имат хиляди служители в България и в някои случаи се налага да изпращат информация от отделите си за човешки ресурси към централите си в САЩ. Българските представителства на някои от фирмите, с които "Капитал" се свърза, все още не знаеха как ще се процедира оттук нататък и точно какви данни се пренасят към САЩ. От голяма американска технологична компания заявиха, че решението на Европейския съд по никакъв начин няма да се отрази на дейността им, тъй като личната информация за българските служители се държи на местни сървъри в България и не се обменя.
В същото време има много по-голям брой малки български фирми, които използват за бизнеса си облачна инфраструктура на компании като Amazon и Microsort. След отпадането на Safe Harbor те също ще трябва да отговарят на минималните стандарти за защита на личните данни в случаите, когато тази облачна инфраструктура е на американска територия. Въпреки че става въпрос за стандартни споразумения, одобряването им от собствениците на лични данни преди трансфера на данни ще е сложно упражнение от финансова и административна гледна точка.
Ще ми спре ли Facebook-ът
Услуги като Facebook надали ще пострадат. Решението на Европейския съд ще осигури поне на хартия по-добра защита на личните данни на европейските потребители. В същото време то отваря и вратата пред нови искове и оплаквания от страна на граждани и регулатори.
Въпреки по-добрата защита е факт, че много потребители ще продължат да се съгласяват с всякакви условия от страна на услуги като Facebоok. "Ако човек не иска да бъде защитен, на този свят никакви регулации няма да му помогнат", заяви пред "Капитал" Фани Давидова, юрист от "Програма Достъп до информация". Според нея дори и при затягане на мерките много потребители ще се съгласяват на всякакви условия, без да ги четат, просто от удобство.
1 коментар
Софтуерна защита на личните данни гарантира неприкосновенност на потребителя,необходима за запазване на неговата идентична самоличност.
Позволявам си да споделя ,разбира се по лична преценка ,не споменавам коя е елекронната медия,но останах много изненадана,че коментар към мое лично мнение бях получила на мейла,с който съм се регистрирала в сайта,а не на потребителското си име, достъпно за всеки коментатор.
Разбира се бях принудена да закрия мейла си по лични съображения и за известно време загубих доверие към тази медия.Сезирам към по-голяма отговорност на администраторите на сайтове,тъй като без да ползвам Фейсбук съм наясно,че приемането на лична покана дава възможност за преки комуникации с нечий твой почитател.
Нов коментар
За да публикувате коментари,
трябва да сте регистриран потребител.