Американские компании игнорируют требования ЕС о защите личной информации

В ноябре прошлого года, когда американским компаниям предложили упрощенный порядок выполнения строгих европейских законов по защите личных данных, корпорация Dun & Bradstreet не стала терять время попусту и очень быстро подключилась к соглашению под названием Safe Harbor (“Тихая гавань”). Договор, заключенный между США и Европейским союзом, позволил D&B и другим подобным компаниям получить сертификат на соответствие сразу всем правилам ЕС. Для этого достаточно было выполнить всего семь условий, после чего бизнесмену разрешается запрашивать информацию о клиентах любой европейской страны, не вступая в переговоры с каждой из них по отдельности.

Однако то, что было воспринято руководством Dun & Bradstreet как само собой разумеющееся, для большинства других действующих в Европе американских компаний превратилось в настоящую головоломку. На конец мая под соглашением Safe Harbor стояли подписи только 48 фирм из США; еще 15 компаний, по сообщению министерства торговли, курирующего эту программу, подали заявку на подключение к ней. А ведь неофициальный срок, после которого представители ЕС могут ввести в действие новые ограничения на экспорт данных, идентифицирующих личность пользователя, истекал 1 июля (сейчас он продлен). Законом, в частности, будет запрещен экспорт идентификационных данных из ЕС в те страны, где не обеспечивается их защита.

Так что же, американцы решили сыграть в опасную игру, дожидаясь последней минуты, чтобы войти в число участников Safe Harbor? Эксперты в этом вовсе не уверены. Хотя европейцы и могут ввести в действие новые правила очень скоро, вероятность того, что поток личной информации прервется уже нынешним летом, весьма мала.

В то же время выполнение обязательств по соглашению потребует времени и денег, а его подписание сделает компанию потенциальным объектом расследования федеральных властей. С учетом всего этого специалисты считают: для большинства фирм США наилучшая тактика состоит в том, чтобы не торопиться с присоединением к Safe Harbor, но быть в готовности быстро выполнить все его условия.

В мае о присоединении к новой программе объявила Microsoft, однако даже столь громкое имя не рассеяло скептицизма многих других корпораций. Все дело в одном из условий, в соответствии с которым подписавший соглашение публично обязуется оберегать секреты клиентов. Конечно, Safe Harbor - программа во многом саморегулирующаяся, тем не менее присоединение к ней усиливает зависимость участников от Федеральной комиссии по торговле. К тому же, по оценке адвоката вашингтонской фирмы Alston & Bird LLP Джонатана Уинера, все еще остается неясным, как именно ЕС собирается добиваться выполнения новых правил и какой уровень защиты будет обеспечен в конце концов в рамках Safe Harbor.

“Компании выжидают до последнего, ведь движение вперед в данном случае связано с большим риском”, - пояснил он.

Американские предприниматели, скажем, могут нарушить требования Safe Harbor, если станут использовать информацию о своих европейских клиентах при проведении операций за рубежом.

В некоторых отраслях это соглашение вообще вызывает целый ряд сложных проблем. Взять, к примеру, финансы. Здесь действует принятый в 1999 г. американский закон Грэмма - Лича - Билли и закон о честной кредитной отчетности 1970 г. Оба документа четко определяют порядок защиты данных, однако Европейская комиссия, на которую возложен контроль за выполнением решений ЕС, доказывает, что этого недостаточно. Американские банки, по ее мнению, обязаны заключать дополнительные договоры с европейскими странами по обеспечению конфиденциальности личной информации. Администрация Буша оспорила в марте данное требование, после чего возникла тупиковая ситуация, которая продолжается по настоящее время.

В качестве примера компаний, не торопящихся подписаться под соглашением, можно привести онлайновую туристическую фирму Expedia (Беллвью, шт. Вашингтон). По словам ее старшего вице-президента и генерального советника Марка Бриттона, в ней уже налажена защита личных данных, и присоединение к соглашениям наподобие Safe Harbor лишь возложит на фирму дополнительное финансовое и административное бремя.

Впрочем, даже компании, уже заявившие о своей поддержке новой программы, пока еще не готовы однозначно сказать, смогут ли они выполнить все ее требования. Dun & Bradstreet, например, обязуется обеспечить защиту данных о клиентах, но подписать пункты соглашения, касающиеся кадровой информации, не торопится.

Почему Dun & Bradstreet уверена, что сможет надежно защитить информацию о пользователях, нам объяснила работающая в Вашингтоне Джин Кантрелл, исполнительный директор этой корпорации по связям с правительственными организациями. Дело в том, что D&B специализируется на поставке информации о бизнесе и через нее проходит не так уж много личных данных - их спектр ограничен главным образом сведениями о владельцах фирм и их руководстве. К тому же, действуя более чем в 200 странах, Dun & Bradstreet выработала весьма жесткие стандарты безопасности, и для приведения их в соответствие с принципами Safe Harbor особых усилий не потребовалось.

Осторожность, с которой подошла к делу Dun & Bradstreet, как считают эксперты, достойна подражания. Прежде всего электронному бизнесу нужно получить совершенно четкое представление о том, когда и каким образом ЕС начнет вводить новые стандарты защиты личной информации, когда и как будет реализовываться программа Safe Harbor. Пока такой ясности нет, многим компаниям лучше всего ограничиться аналитической деятельностью. Как подчеркивает Рут Нелсон, директор по обеспечению безопасности нью-йоркской фирмы Pricewaterhouse Coopers, главное здесь - определить, какую информацию компания собирает в Европе и получает оттуда, какие изменения ей нужно внести в свою политику защиты личных данных и процессов, чтобы удовлетворять требованиям Safe Harbor.

“Худшее, что может сделать компания, - это подписать соглашение, а затем на каждом шагу нарушать его”, - заключает она.

    

А вы готовы подписаться под Safe Harbor?

Перед тем как согласиться на выполнение условий Safe Harbor по защите личной информации о европейцах, американским компаниям стоит убедиться, что они в силах сделать это. Ниже приведены семь принципов обеспечения безопасности таких данных, которые выдвинула Европейская комиссия.

1. Уведомление. Пользователь должен знать, какая информация о нем собирается и с какой целью.

2. Право выбора. Пользователь должен иметь возможность запрещать сбор информации о нем и передачу ее другим компаниям.

3. Дальнейшая передача данных. Партнеры, с которыми фирма делится полученной информацией, также должны участвовать в программе Safe Harbor либо обеспечивать защиту данных на адекватном уровне.

4. Доступ. Пользователям должна быть предоставлена возможность знакомиться с накопленной о них информацией.

5. Безопасность. Личная информация должна быть защищена от утраты, злоупотреблений и несанкционированного доступа, огласки, искажения и уничтожения.

6. Целостность данных. Допускается сбор только той информации, которая имеет отношение к делу, при полной уверенности в ее достоверности.

7. Практическая реализация. Должны быть разработаны механизмы выработки компромиссов, разрешения споров и защиты прав пользователей.

Источник: Министерство транспорта США.