セーフハーバー協定は、米国企業が自らの個人情報を収集できるようにすることを目的としていた。 データ EU市民の協定では、EU市民のデータ保護の伝統的な水準を維持すべきであり、米国と同じ程度には保証されていない。2015年9月以降、この協定は欧州連合によって無効とされ、データ保護法の分野における15年以上の実務に終止符が打たれました。
セーフハーバー:安全な避難所?
2015年9月、セーフハーバー協定は深刻な後退に見舞われました。欧州司法裁判所の法務官イヴ・ボット氏は、セーフハーバー判決は有効でも拘束力もないという結論に達した。セーフハーバー協定は2000年に締結され、データ保護法の一部となっています。欧州委員会の決定は、企業が欧州のデータ保護指令を遵守することを条件に、個人データを米国に転送することを認めるべきである。実際の意味での「合意」はない--しかし、この種の手続きはアメリカとの間で合意されているので、ある種の「合意」を語ることができる。2015.10.06、欧州司法裁判所(ECJ)はセーフハーバー協定の無効を宣言した。
セーフハーバー協定の歴史
欧州連合内では、データ保護指令95/46/ECにより、加盟国から同様の保護機能を持つデータ保護法を持たない他国への個人データの転送が禁止されています。米国では、データ保護の分野で欧州連合の基準に匹敵する法的規制はほとんどありません。EUの厳しい規制が実務上の問題を引き起こしたため、2000年にアメリカとEUが協定を結んだ。データ保護指令を遵守することは、データトラフィックを停止させることになり、セーフハーバー規制が制定された理由となっています。米国の企業は、米国商務省のリストに登録され、セーフハーバーに参加することができます。参加することで、アメリカの企業は協定の原則と規則に従うことに同意した。法的規制は、国際レベルの民間規制によって事実上補完されていた。欧州委員会は、新たに創設されたシステム内の企業がEU市民とその個人情報を十分に保護していることが証明されたと考えている。2015年9月に取り消された時点で、多くの企業が協定に参加していた。その中には、ゼネラルモーターズ、アマゾンがあった。 マイクロソフトIBM、Google。 フェイスブックDropboxとHewlett-Packardの3つの会社です。
セーフハーバー協定への批判が盛ん
セーフハーバー協定は何度も批判されてきた。否定的な声は、協定の十分な保護機能を否定した。一つはアメリカ企業の「言葉」に頼ることができず、だからこそ証拠を提示しなければならない。数年後、アメリカの愛国者法ができました。新しい法的状況のため、アメリカのセキュリティ当局はデータ所有者に通知することなく、すべてのデータにアクセスすることができました。内部告発者エドワード・スノーデン氏の暴露を受けて、2013年に制度の見直しが求められた。2013年、EUの司法委員会のビビアン・レディング氏は、欧州のデータ保護の改革を発表しました。すべての企業は、違法なデータ転送を行った場合、年間売上高の2%以下の罰金で処罰されるべきです。
2015年9月の欧州司法裁判所の判決
2015年9月、欧州司法裁判所の法務官イヴ・ボット(Yves Bot)は、セーフハーバー協定はもはや有効かつ拘束力がないと宣言した。アイルランド高等裁判所は、欧州司法裁判所に対し、セーフハーバー体制が適用されるかどうか、どこまで適用されるかを質問していた。問題となったのは、フェイスブックが米国にデータを移転したことが問題となった事件です。判決の根拠として、法務長官は、欧州連合には加盟国の権限を妨害し制限する権限はないと述べた。EU憲章で認められている基本的権利の遵守が加盟国で危機に瀕した場合には、それに応じた行動をとることができるはずです。基本的な権利の中には、個人情報の保護があります。アメリカではEU市民のデータ収集をかなりの範囲で認めているため、EU市民は保護されずにデータ収集者に晒されています。同時に、司法救済のための有効な手段はありません。米国のシークレットサービスは集中的な監視を追求していますが、これは比例しておらず、データ保護への標的型干渉を許しています。欧州司法裁判所は、法務長官の発言を踏襲したため、協定の終了を封印した。判決の内容では、アメリカのシークレットサービスに言及しています。アメリカの企業は問い合わせをすると対象になるので、保護規制を全て解除せざるを得ない。そのため、個人情報の有効な保護はありません。一方では、私生活尊重の基本的権利が侵害されているが、他方では、裁判所における有効な法的保護の存在を求める権利も侵害されている。
ドイツのデータ保護当局のアプローチ
欧州司法裁判所の判決発表後、ドイツのデータ保護当局は迅速に対応しました。ラウンダーと連邦政府のデータ保護担当者が起草したポジションペーパーでは、データの転送がセーフハーバー協定のみに基づいている場合、データの転送は除外されることが明確になっています。協定に基づく新たな許可証は発行されなくなります。また、社内規定やデータ輸出協定が認められなくなります。英国では、同意が得られているか、EU標準の契約条項がある場合は、まだデータ移転は可能と考えられています。ドイツのデータ保護委員会の見解では、このような規模の大量かつ反復的なデータ転送はもはや許されないため、同意だけでは十分ではありません。
新しい規制と推奨事項
連邦レベルでは、欧州司法裁判所の決定は、連邦データ保護委員会の責任者によって歓迎されました。近い将来、ドイツでは今回の判決が拘束力のある企業規則やEU標準契約条項にどの程度の影響を与えるかが検討されることになる。2015.10.26には、連邦政府とラウンダーによってポジションペーパーが発表されました。監督当局は、セーフハーバーに基づくデータ転送に対して措置を講じると発表した。判決が出てから、旧合意に基づく認定は絶対に認められないことが完全に明らかになりました。個人データを米国に転送する企業は、手痛い罰金を科されるリスクがあるため、ウェブサイトのテキスト、広告資料、データ保護宣言をできるだけ早く適用する必要があります。また、現在のデータ転送を確認する必要があります。拘束力のある会社規則やEU標準契約条項の適用可能性について説明する必要がある。米国へのデータ移転を避けて通れない人は、EU標準の契約条項を利用すべきです。暗号化の方法をチェックして適用することが絶対に必要です。同意が得られる場合には、DSK との連絡を求めるべきであり、そのような正当性がデータ転送に許容されるかどうかを問うべきである。同意を得ることができれば、米国へのデータ移転が行われていることを明確にしなければならない。さらに、考えられる結果を列挙しなければなりません。このような同意は、例えば顧客データのような恒久的かつ大量のデータ転送の場合には、ほとんど実行できません。最良の法的保護を実現するためには、ケースバイケースで法的問題を検討する必要があります。技術的・組織的な対策は、法令違反のリスクを大幅に軽減することができます。