Какво е щит за поверителност и как влияе на потребителите и бизнеса?

Притесненията за поверителност са в горната част на списъка за интернет потребители по целия свят. Ръстът на онлайн търговията и обмена на данни, пресичащи международните граници, по-специално между САЩ и Европа, също предизвика редица проблеми на личния живот на правителството. Не всичко това се дължи на криминално хакване. Много има общо с това как големите и малките предприятия използват данни за клиенти.

В стремежа си да обслужват по-добре европейските потребители, чиито данни преминават границата на САЩ, Министерството на търговията на Съединените щати и Европейската комисия работиха заедно за разработването на това, което е известно като Щит за поверителност, регулаторно приложение, предназначено да гарантира, че европейските граждани са адекватно защитени по данни на ЕС закони за защита, тъй като техните данни преминават в и извън Съединените щати.

Contents

Въведение в щита за поверителност

Лого на щита за поверителност

На 12 юли 2016 г. правителството на САЩ и Европейската комисия съвместно одобриха Рамката за защита на личните данни. Действителната документация за рамката за защита на поверителността предоставя много ценна информация за потребителите. Въпреки това, може да бъде трудно да анализирате документите и да прегледате какво точно означава. Ето един прост начин да разберете концепцията.

Съединените щати и страните-членки на Европейския съюз правят много търговия. Всъщност трансатлантическата търговия произвежда близо 5 трилиона долара годишно. Голяма част от тази търговия изисква компаниите да събират данни през международните граници. В някои случаи компаниите, които привличат множество клиенти и потребители от Европейския съюз, като Google или Facebook, събират и обработват огромни количества потребителски данни.

Понякога Google и Facebook могат да обработват тези данни, да ги държат за неопределено време, да ги използват за показатели и анализи или дори да ги предават на трети страни за други цели. По подобен начин правителството на САЩ може да наблюдава някои от тези данни или дори да ги събира от тези компании.

Европейският съюз има много специфичен закон, Директивата за защита на данните, който строго ограничава как бизнеси като Google или Facebook или организации като NSA, могат да използват или дори да събират данни. Това включва как правителствата могат да събират данни от бизнеса за целите на надзора. (Предвижда се DPD да изтича през 2018 г. и да бъде заменен с нови разпоредби, които обсъждаме в края.)

Рамката за защита на поверителността действа като набор от правила, управляващи бизнеса на САЩ с европейски операции. Тя позволява на бизнеса да направи две неща:

  • Самопотвърждават, че приемат рамката за защита на личните данни
  • Популяризирайте себе си и тяхното спазване на принципите за защита на поверителността

Относно щита за поверителност, важно е да се отбележи следното:

  • Придържането към рамката е доброволно. Въпреки това в момента има стотици американски фирми, които доброволно са се сертифицирали. Това създава лесен път за тези предприятия да събират лични данни от гражданите на ЕС за бизнес цели, увеличавайки потока на интернет търговията.
  • Всички фирми, които са съгласни да участват в програмата, трябва публично да публикуват своето участие. След като това приключи, предприятията са силно придържани към този стандарт, като неспазването на Рамката води до потенциални глоби в размер на 21 842 000 долара или 4 процента от брутния доход на компанията за годината, който и да е брой по-голям. Изпълнението идва директно от правилата на Федералната търговска комисия, забраняващи "нелоялни и измамни действия".
  • Отчитането на нарушения на данните трябва да бъде направено в рамките на 72 часа. Тъй като Privacy Shield включва информационната сигурност в рамката си Principles, това е нещо, което предприятията трябва да вземат сериозно.

Положително е, че много фирми вече разполагат с подходящи протоколи за лесно самоотчитане.

Какво е щит за поверителност? Подробен преглед

Щит за поверителност на Google

Първо, най-добре е да разберете какво не е защитата на поверителността, за да помогнете за по-доброто обсъждане на дискусията за това какво всъщност е.

Privacy Shield не е програма за сигурност на данните или софтуер от някакъв вид

Това е важно, за да разберете, тъй като може да изглежда, че името препредава различно съобщение. Privacy Shield не е нещо, което потребителите могат да инсталират на своите компютри, за да защитят поверителността им, нито е някакъв вид интернет филтър, който следи и филтрира или криптира потребителски данни.

Щитът за поверителност не е задължителен за всички бизнес в САЩ

Може би една от по-големите слабости на рамката за защита на личните данни е фактът, че това е напълно доброволна програма. Всъщност това дори не е задължително за американските компании, които извършват бизнес в Европа. Фирмите, които желаят да участват, трябва да завършат процеса на само сертифициране, който удостоверява, че моделът за поверителност на данните на техния бизнес е съобразен с основните принципи на рамката.

Щитът за поверителност не е двупосочна улица

За всички намерения и цели, Privacy Shield съществува като своеобразно изобличение към САЩ и липсата на организирано регулиране от името на личните данни на потребителите. Щитът за поверителност е специално разработен за американски бизнес като част от добросъвестните усилия от страна на американските предприятия за сигурно обработване на данните, получени от интернет потребителите на ЕС, по начин, по-подходящ за законите на Европейския съюз за защита на данните.

Значителни ли са разликите между американските и европейските стандарти за защита на данните?

Ето кратката версия: Европейският съюз има много строги стандарти, за да защити как личните данни на някой се събират и използват както от компании, така и от правителства. Това се свежда до идеята, че хората имат право на поверителност първо над правото на правителството или бизнеса или желанието да събират лични данни за различни цели, дори цели, които могат да се считат за достойни. Освен това той предвижда, че всеки, който смята, че данните им са били злоупотребявани, има право да подаде искане за обезщетение от компанията или от правителството, което ги е злоупотребило..

Ако имате няколко свободни часа (и може би умение да анализирате легалски), можете да разгледате конкретния език, разположен в Инициатива за защита на данните.

Междувременно САЩ нямат официално законодателство на федерално ниво, което да защитава индивидуалните права на потребителски данни. Ето защо зловещото разкритие на Едуард Сноудън за шпионската програма на НСА предизвика толкова много вълни. Много американци и други хора по света може би са подозирали, че федералното правителство на САЩ шпионира отделни, невинни граждани, но до този момент не е имало нищо по пътя на провереното доказателство. През 2013 г. Snowden предостави тази проверка. Шпионската програма в САЩ беше толкова обширна и толкова широка, че Сноудън се почувства принуден да изтече информация за нея само месеци след като беше нает от НСА.

Актът за патриоти на САЩ породи програми като PRISM и Закона за наблюдение на чуждестранното разузнаване (FISA), които събират данни от американски граждани и в чужбина. Много от посегателствата в Закона за патриотите бяха силно ограничени от Закона за свободата от 2015 г., закон, който разширява Закона за патриотите със значителни ограничения върху начина, по който правителството може да събира данни. Тези закони уреждат много от защитите, които американците вече не са имали, докато налагат ограничения на свободите по начини, непопулярни в Европа. (Ние проучихме степента на Закона за патриотите, Закона за свободата и FISA, за които можете да прочетете тук.)

Въпреки това САЩ не са Див Запад на откраднати лични данни на потребители, нито от правителството, нито по друг начин. Има закони за книгите в правителствените ведомства както на държавно, така и на федерално ниво. Най-голямата загриженост за ЕС е свързана с цялостната липса на изчерпателно и ясно послание в САЩ за това как могат да се получават и обработват потребителски данни, както и без ясно указание за това какви права имат лицата за обезщетение. Законите, които отчасти регулират защитата на личните данни в САЩ, включват:

  • Закон за Федералната търговска комисия
  • Закон за модернизиране на финансовите услуги
  • Закон за преносимост на здравно осигуряване и отчетност (HIPAA)
  • Правило за уведомяване за нарушение на сигурността
  • Закон за справедлив кредитен отчет
  • Закон за контролиране на посегателството върху не-поискана порнография и маркетинг (CAN-SPAM)
  • Закон за защита на потребителите на телефона
  • Закон за поверителност на електронните съобщения
  • Закон за компютърни измами и злоупотреби
  • Закон за съдебна защита (американски закон, който предоставя само на гражданите на държави-членки на ЕС правото да искат обезщетение от споделяне на личните им данни от правителствени или правоприлагащи органи)

Въпреки че Директивата за защита на данните на ЕС далеч не е лесна за четене, изключително разнообразният набор от законодателства в САЩ, обхващащи тази тема, създава малко бюрократичен кошмар, като същевременно ограничава способността на даден човек да разбере по-добре правата си по отношение на това как правителствата и бизнеса събират и използват лични данни. Освен това, много от тези закони, докато се прилагат, са силно остарели и нямат език, който да отговаря най-добре на съвременното поколение компютърни и обработващи данни..

Как рамката за защита на личните данни определя проблемите с поверителността?

Според Европейската комисия,  прехвърлянето на лични данни извън ЕС или ЕИП не е позволено, когато не може да се гарантира адекватно ниво на защита. Това означава, че предприятията, които събират данни от граждани на ЕС и ги прехвърлят през граница, или граждани на ЕС, които изпращат своите данни до американски компании, попаднаха в законна безизходица. Решението за това беше Framework Shield Framework.

За държавите-членки на Европейския съюз и техните граждани, Щитът за поверителност има за цел да направи няколко неща:

  • Осигурете прозрачност от компаниите под формата на публични декларации относно техните политики за използване на данни
  • Дайте на хората възможност да се откажат от предаването на техните данни на трета страна
  • Въведете защитни мерки, за да гарантирате, че организациите, прехвърлящи данни на трети страни, ги прехвърлят само на тези страни за ограничена употреба и че тези трети страни получатели също се придържат към изискванията за защита на данните
  • Уверения, че компаниите и организациите защитават данните от загуба чрез методи за сигурност и криптиране
  • Защита от злоупотреба с лични данни извън предвидената цел
  • Осигурете на хората достъп до информацията, която организациите притежават, с възможност да изменят, коригират или изтриват тези данни, когато или имат неточности, или са били злоупотребявани в съответствие с принципите за защита на поверителността
  • Прилагане на принципите за защита на данните чрез целесъобразен арбитраж за лицата, които подават искове, без разходи за лицето, което подава искане, с подходящо разследване на искането и проверка или защита на поверителността, както и бързи процеси на решения

Всичко това може да се почувства малко тежко за обикновения потребител в интернет. Просто казано, щитът за поверителност съществува като набор от процедури, които американските организации и бизнеси трябва да следват, когато обработват данни за отделни потребители, като гарантират, че тяхното събиране и използване е в съответствие със законодателството на Европейския съюз.

Какво означава щит за поверителност за потребителите?

За потребителите, Privacy Shield служи за една, основна цел: защита срещу злоупотреба и неоправдано събиране на лична информация. Тъй като щитът за поверителност е предназначен да защитава гражданите на Европейския съюз от злоупотреба с техните данни, докато той преминава в и извън Съединените щати, защитата за поверителност защитава само членовете на ЕС и трите държави от Европейското икономическо пространство: Норвегия, Лихтенщайн и Исландия.

Той не е предназначен да защитава американските потребители или да разпростира върху американските потребители същите защити, предоставени на членове на ЕС съгласно Директивата за защита на данните. Вместо това Privacy Shield е споразумение между САЩ и ЕС, което се фокусира върху електронната търговия и държавния надзор. Тези защити включват също масово събиране на данни, както от бизнеса, така и от правителството на САЩ, където формулировката включва значителни ограничения за това, което както бизнесът, така и американското правителствено разузнаване и правоприлагащи органи могат и не могат да направят с личните данни.

Най-важното за гражданите на ЕС, включването на механизъм за обезщетение и задача на омбудсмана за справяне със загрижеността за неприкосновеността на личния живот са неразделна част от гарантирането, че споразумението с деликатно споразумение е в състояние да мине.

Какво означава щит за поверителност за бизнеса?

За бизнеса, Privacy Shield предоставя елемент на доверие на потребителите в ЕС и по-лесен начин за използване на данните на клиентите в ЕС. Преди Щит за поверителност, съществуващата система беше известна като Безопасно пристанище. Тези принципи бяха подобни на тези, които в момента съществуват в Privacy Shield, само с по-малко, по-малко ограничителни защити за поверителност. След като австрийският адвокат Макс Шремс доказа, че принципите за безопасно пристанище на САЩ и ЕС не успяха да обхванат личните му данни във Facebook, Съдът на Европейския съюз обезсили закона през 2015 г. Безопасното пристанище съществува 15 години, от 2000 г. до неговото обезсилване през 2015 г. Това, че е изготвено преди големи услуги за събиране на данни в социалните медии като Facebook и Закона за патриотите, е показателно защо той не изпълни променящите се изисквания за поверителност и по-специално тези, посочени в Директивата за защита на данните..

Когато Safe Harbour беше обявен за невалиден, много американски фирми не могат законно да събират или съхраняват данни от европейски клиенти. Като такива ЕС и САЩ работиха бързо за изготвяне на замяна, което в крайна сметка доведе до защита на поверителността. За бизнеса това позволи операциите да се възобновят както обикновено, като същевременно предостави на клиентите от ЕС допълнителните защити, които желаят с използването на техните данни. Актуализациите на Щит за поверителност от Safe Harbour наложиха няколко промени за бизнеса:

  • Изисква се подробно публично изявление относно участието в програмата. Това изявление трябва да включва конкретно обяснение относно стъпките, които компанията предприема, за да гарантира защита на личния живот и че компанията отговаря на принципите за защита на поверителността..
  • Затягане на преноса на данни и споделянето на данни. Съгласно Safe Harbor, трети страни имаха няколко ограничения за това как могат да използват прехвърлени към тях данни от трети страни. Съгласно защитата за поверителност, трети страни са толкова ограничени в използването на данните, колкото и първите страни, от които ги получават, и също така трябва да посочат съответствието си с Privacy Shield..
  • FTC сега поддържа „стена на срама“ за онези компании, които нарушават принципите за защита на поверителността, след като публично се абонират за тях.
  • Фирмите трябва да отговорят на обезщетенията за обезщетение и трябва да позволяват на потребителите да актуализират, променят или изтриват данни при поискване, стига тези искания да са в рамките на причина.

Фирмите, участващи в програмата за защита на поверителността, трябва да се уверят, че техните данни са защитени, че те са напълно съвместими с принципите и че техният правен екип и персонал са напълно запознати с изискванията на FTC, свързани с участието на Shield Privacy.

Големите корпорации са уникално въздействащи

За големи бизнеси като Apple, Facebook и Google принципът за интегритет на данните и целите е наистина най-ограничаващият аспект на щита за поверителност. Този принцип значително ограничава начина, по който предприятията могат да използват групови данни за анализиране на данни, като заявяват, че „личната информация трябва да бъде ограничена до информацията, която е от значение за целите на обработката“. Големите сайтове за социални медии имат дълбоки, юридически притеснения относно закона. Човекът, пряко отговорен за окончателната смърт на Safe Harbor, Макс Шремс, смята, че щитът за поверителност не е достатъчен за компании като Facebook, Apple и Google и очаква в крайна сметка той да се провали.

По същия начин е много по-вероятно големите компании да съхраняват данни и по-вероятно да изпращат клиентски данни на трети страни. Това създава слаба позиция за тези компании, тъй като ограниченията за съхранение на данни и прехвърлянето на тези данни на трети страни са изключително ограничени. Шансовете да се противопоставят на принципите по отрицателен начин се увеличават само за тези големи корпорации.

Участието в Privacy Shield е доброволно

Активен списък за защита на поверителността
Никой бизнес в САЩ не е принуден да участва в Privacy Shield. Дори фирмите, които искат да привлекат клиенти от Европа, не се изисква да участват. Това каза, че участието се насърчава силно за бизнеса поради една, основна причина: правни последици.

Онези фирми, които решат да се самооторизират в рамките на Privacy Shield, идентифицират, че са привели стандартите си за защита на данните с тези, които отговарят на правните стандарти на ЕС за събиране и обработка на данни. Тази яснота върви дълъг път към осигуряване на правна защита на тази компания. Въпреки това компаниите, които решат да не приемат тези стандарти, затрудняват живота си. Въпреки че все още е възможно да се прави бизнес в ЕС, липсата на яснота оставя предприятията по-отворени за правни предизвикателства. За повечето страни участието на Privacy Shield е прост начин да помогнете за намаляване на всички правни предизвикателства, които могат да възникнат.

Щитът за поверителност не защитава бизнеса от искания за държавни данни

Важно е както за бизнеса, така и за потребителите да разберат, че Щитът за поверителност не пречи на правителството на САЩ или органите на реда да изискват данни от фирми като Facebook или Google. Щитът за поверителност обаче, наред с преработената версия на Закона за патриотите, значително ограничава какъв вид информация може да бъде получена и при какви предпоставки.

Въпреки това, много наблюдатели посочват, че принципите за защита на поверителността имат ясни слабости в тази насока, особено що се отнася до прилагането от американските регулатори. Остава да разберем дали американска компания може да бъде санкционирана в рамките на Privacy Shield за спазване на искането на данните на федералното правителство или на органите на реда. Въпреки това, Shield за поверителност предоставя на предприятията път и обосновка за отказ, поне що се отнася до данните на гражданите на ЕС.

Щитът за поверителност може да се наложи да се промени през 2018 г. с новите наредби на ЕС

Щитът за поверителност е създаден, за да задоволи опасенията за поверителност на държавите-членки на ЕС и неговите граждани, като работи с Директивата за защита на данните. Въпреки това през април 2016 г. Европейската комисия прие нов закон, регулиращ опасенията за поверителност на данните: Общият регламент за защита на данните. GDPR е създаден да замени DPD през 2018 г. Това е така, защото DPD, приет през 1995 г., не успява да разгледа адекватно промените в технологиите, с които сега се занимават бизнеса и потребителите, по-специално тези, свързани с големите данни и неговото значение за бизнес.

Има няколко забележителни разлики между директивата и регламента:

  • Новият GDPR не оставя много място за тълкуване от отделните държави-членки, докато директивата беше тълкувана променливо от различни страни от ЕС. Това включва нова, единна дефиниция на това, какво всъщност означава „лични данни“, нещо, което DPD също остави за тълкуване.
  • Новият GDPR залага на твърд начин как личните данни могат да бъдат използвани от организациите, като изисква от тях да показват и обясняват как възнамеряват да използват данни и всъщност информират потребителите, когато искат да използват тези данни по различни начини. Съществува и нова клауза за „включване“ за съхранение на данни, така че организациите не могат просто да съхраняват данни по подразбиране.
  • Новият GDPR се прилага за всички предприятия и организации, които обработват данни за граждани на ЕС, независимо дали участват в Privacy Shield или не. Това разширява обхвата на регламента, за да обхване личните данни на гражданите на ЕС извън границите на ЕС.
  • Сега организациите трябва да проследят как използват данните и къде отиват тези данни. Тази информация трябва да бъде лесно достъпна при поискване. Големите организации (250 служители или повече) трябва да имат служител по защита на данните, който да помогне да проследява къде се движат данните в и извън организацията.
  • Както администраторите на данни, така и обработващите данни сега са отговорни и носят отговорност за начина, по който данните се използват и защитават. Това означава, че организациите на трети страни са също толкова отговорни, колкото и вторите страни.
  • GDPR включва необходима политика за уведомяване за нарушения. Всички нарушения на данните трябва да бъдат докладвани в рамките на 72 часа. Това също води до външно разследване на методите за защита на данните, използвани по време на нарушението.

Всички тези правила трябва да звучат познато. Те съвпадат с голяма част от това, което намираме в принципите за защита на поверителността. Това не е случайно. Privacy Shield и новият GDPR бяха разработени едновременно и проектирани да работят заедно. Въпреки това GDPR влиза в сила до 2018 г. Много наблюдатели чакат да видят дали Щитът за поверителност ще се държи достатъчно добре, за да стане ефективен партньор на новите разпоредби на GDPR..

В момента най-голямото притеснение е свързано с процеса на „само сертифициране“, който някои наблюдатели разглеждат като най-голямата слабост на щита за поверителност. След като изминат две години, преди GDPR да влезе в сила, остава да се разбере дали Щитът за защита на личните данни ще издържи на по-нататъшен контрол..

„Безопасно пристанище“ от Саймън Макгар, лицензиран под CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

52 − = 46

Adblock
detector