ЄС покарав "Фейсбук" за роботу на американські спецслужби

Система безперешкодного обміну персональними даними між користувачами США і Євросоюзу, так звана Safe Harbor, визнана недійсною. Таке рішення 6 жовтня виніс Європейський суд юстиції в Люксембурзі. Що це означає і які наслідки рішення європейської Феміди?

У жовтні 1995 р. ЄС прийняв директиву 95/46 / ЄС "Про захист фізосіб при обробці персональних даних і вільному переміщенні таких даних". Це створило труднощі міжнародним і американським компаніям, оскільки європейське законодавство в цій сфері виявилося жорсткіше, ніж американське. І тоді з ініціативи Міністерства торгівлі США з'явився Пакт про зону безпеки - Safe Harbor Pact (буквальний переклад навряд чи доречний, тому що в даному контексті йдеться про ідіому). Це рішення дозволяло тисячам американських і європейських компаній обмінюватися електронними даними, вести бізнес і передавати інформацію через океан у спрощеному порядку, без дорогих заходів захисту - за умови, що вони дотримуються принципів збереження таємниці приватних даних. Таких принципів сім: повідомлення (фізособу інформують про збір даних і спосіб їх використання); вибір (є можливість відмовитися); подальша передача (треті сторони можуть отримати доступ до зібраних даних лише за умови забезпечення належних умов їх захисту); безпека (адекватні зусилля для захисту зібраної інформації); чесність (дані повинні відповідати заявленій меті збору); доступ (користувачі повинні мати можливість доступу і правки зібраних даних аж до видалення); виконання (наявність ефективних засобів забезпечення виконання договору). Компанія могла або самостійно оцінити свою відповідність цим критеріям, або замовити відповідну сертифікацію і починати працювати. Зрозуміло, сумлінними були не всі, і траплялося, фірми попадалися на обмані.

Два роки тому австрієць, студент юрфаку Макс Шремс зажадав судової заборони на передачу компанією Facebook його персональних даних на сервери, розташовані в США, оскільки вважав, що компанія не в змозі вберегти їх від несанкціонованого доступу. В обгрунтування своєї вимоги він послався на заяву співробітника спецслужб США - втікача Едварда Сноудена про те, що ІТ-гіганти на кшталт Facebook, Google і Apple співпрацюють з американським Агентством національної безпеки. Спочатку скарга була подана в Ірландії, де розташована європейська штаб-квартира соцмережі. Однак позов не був прийнятий. Представник ірландської Комісії із захисту даних Біллі Хокс вказав: Шремс не може стверджувати, що його дані перехоплювалися програмою електронного шпигунства PRISM. І нагадав про рішення Виконавчої комісії ЄС від 2000 року, в якому рівень захисту даних, що надаються за Safe Harbor, визнаний достатнім. Тоді Шремс звернувся до Європейського суду юстиції за роз'ясненням, чи залишається в силі пакт і чи уповноважені регуляторні органи окремих держав ЄС припиняти нелегальні потоки даних з Європи до США. І ось, нарешті, в Люксембурзі ухвалили рішення: законодавство США, "що дозволяє владі отримувати доступ на загальних підставах до контенту електронних комунікацій, слід визнати невідповідним суті фундаментального права на повагу до приватного життя". А пакт, "відповідно, недійсний". Вердикт остаточний, оскарженню не підлягає і має зворотну силу. Тобто, всі 4,5 тис. компаній, які у своїй діяльності спираються на його нормативи, від Google до виробника сухих сніданків Kellogg, - порушують закон. Американський Мінторг вже заявив, що цей вердикт "створює серйозну невпевненість для компаній і споживачів із США і ЄС і ставить під загрозу процвітаючу трансатлантичну електронну економіку".

Взагалі, це ще не кінець світу - багато компаній крім пакту зв'язані зобов'язаннями з охорони персональних даних європейців. Але в сенсі очікуваних наслідків це точно "потоп". По-перше, через сформований правовий вакуум. По-друге, соціальним мережам - і не тільки їм - можливо, доведеться виробляти норми роботи таким чином, щоб виконувати законодавство кожної окремо взятої країни ЄС - запитати згоди у кінцевого користувача не завжди можливо. До речі, тепер ірландська Комісія із захисту даних візьметься за перевірку Facebook - вона повинна визначити, чи відповідає рівень захисту персональної інформації соцмережі європейським нормам, і може заборонити їх передачу в США.

Низка урядів, до того ж, може скористатися "російською моделлю" і зажадати зберігання даних своїх громадян на серверах, фізично розташованих на їхній території, що стане і бюрократичним кошмаром, і серйозним потрясінням для всієї трансатлантичної системи хостингу та ринку відповідних послуг. По-третє, не виключено, що низка компаній вважатиме можливі витрати невиправданими і закриє свої філії в деяких країнах, скажімо, у Франції, Іспанії чи Греції, де дуже великі корпоративні податки. І де, до речі, високий рівень безробіття серед молоді (адже саме вона становить основу робочої сили в IT-секторі).

Ще одна потенційна неприємність полягає у ймовірному підвищенні рівня терористичних загроз як у США, так і в самому ЄС: оперативна передача отриманої АНБ інформації європейцям дійсно дозволила запобігти низці терактів. Цей шпигунський фактор, до речі, вже став яблуком розбрату в самій Європі: Мін'юст Німеччини вітає рішення суду, згадавши історію з прослуховуванням Ангели Меркель. Британці ж журяться через ослаблення захисту. Такий розкол може виявитися серйозною перешкодою для вироблення єдиної позиції ЄС щодо нової угоди із США - так званої Safe Harbor-2. Більше того, деякі країни можуть зарезервувати право на "особливу думку" і скористатися ним, зокрема, під час узгодження договору про трансатлантичне торговельне та інвестиційне партнерство (ТТІП) подібно до того, як це робила Франція, вимагаючи винятку для своєї культурної продукції.