Sari la conținut 
Acordul Safe Harbor a fost conceput pentru a permite companiilor americane să colecteze date personale de la clienții lor. Date de cetățeni ai UE. Acordul a fost menit să mențină protecția tradițională a datelor pentru cetățenii UE, care nu este garantată în aceeași măsură în SUA. Din septembrie 2015, acordul a fost considerat invalid de către Uniunea Europeană, punând astfel capăt la mai mult de 15 ani de practică în domeniul legislației privind protecția datelor.
Safe Harbor: Un refugiu sigur?
În septembrie 2015, acordul "sferei de siguranță" a suferit un eșec major. Avocatul general al Curții Europene de Justiție - Yves Bot - a ajuns la această decizie în avizul său, potrivit căruia decizia Safe Harbor nu este nici valabilă, nici obligatorie. Acordul Safe Harbor datează din anul 2000 și se încadrează în domeniul legislației privind protecția datelor. Decizia Comisiei Europene a fost menită să permită companiilor să transfere date cu caracter personal în SUA, cu condiția ca acestea să respecte orientările europene privind protecția datelor. Nu există un "acord" în sensul propriu-zis - totuși, acest tip de procedură a fost convenit cu SUA, astfel încât se poate vorbi de un tip de "acord". La 6 octombrie 2015, Acordul "sferei de siguranță" a fost declarat invalid de către Curtea Europeană de Justiție (CEJ).
Istoricul acordului privind sfera de siguranță
În cadrul Uniunii Europene, Directiva 95/46/CE privind protecția datelor interzice transferul de date cu caracter personal din statele membre către alte state care nu dispun de legi privind protecția datelor cu o protecție similară. Statele Unite ale Americii nu au aproape nicio reglementare legală în domeniul protecției datelor care să se ridice la același nivel cu standardele Uniunii Europene. Reglementările stricte ale UE au dus la probleme practice, motiv pentru care SUA și UE au încheiat un acord în 2000. Respectarea directivei privind protecția datelor ar duce la o stagnare a traficului de date, motiv pentru care a fost adoptat regulamentul Safe Harbor. Companiile din SUA se pot înregistra pe o listă a Departamentului de Comerț al SUA și astfel se pot înscrie în "sfera de siguranță". Prin aderare, companiile americane și-au declarat disponibilitatea de a respecta principiile și reglementările acordului. Reglementările legale au fost practic completate de reglementări private la nivel internațional. Comisia Europeană a considerat că s-a dovedit că societățile din cadrul sistemului nou creat oferă o protecție suficientă pentru cetățenii UE și pentru datele lor personale. Până la momentul în care a fost revocat, în septembrie 2015, multe companii s-au alăturat acordului. Printre acestea s-au numărat General Motors, Amazon, MicrosoftIBM, Google, Facebook, Dropbox și Hewlett-Packard.
Critici populare ale Acordului privind sfera de siguranță (Safe Harbor)
Acordul "sferei de siguranță" a fost criticat în repetate rânduri. Vocile negative au negat acordului o funcție de protecție suficientă. Nu ne puteam baza pe "cuvântul" companiilor americane, motiv pentru care trebuiau furnizate dovezi. După câțiva ani, a fost creat US Patriot Act: Datorită noii situații juridice, autoritățile de securitate americane puteau accesa toate datele fără a fi nevoite să notifice proprietarul acestora. După dezvăluirile făcute de denunțătorul Edward Snowden, în 2013 a fost solicitată o revizuire a sistemului. În 2013, comisarul european pentru justiție, Viviane Reding, a anunțat o reformă a protecției europene a datelor. Toate companiile urmau să fie amendate cu până la două procente din cifra de afaceri anuală dacă efectuau un transfer ilegal de date.
Hotărârea Curții Europene de Justiție din septembrie 2015
În septembrie 2015, avocatul general al Curții Europene de Justiție - Yves Bot - a declarat că acordul Safe Harbor nu mai este valabil și obligatoriu. High Court of Ireland a întrebat Curtea Europeană de Justiție dacă și în ce măsură se aplică regulamentul Safe Harbor. Cazul în cauză se referea la transferul de date de către Facebook către SUA. În motivarea hotărârii, avocatul general a declarat că Uniunea Europeană nu este autorizată să intervină și să limiteze competențele statelor membre. De îndată ce respectarea drepturilor fundamentale garantate de Carta UE este pusă în pericol într-un stat membru, trebuie să fie posibilă o acțiune în consecință. Printre drepturile fundamentale se numără protecția datelor cu caracter personal. În SUA, cetățenii UE sunt expuși fără apărare la colectorii de date, deoarece SUA permite colectarea de date de la cetățenii UE într-o măsură considerabilă. În același timp, nu există mijloace eficiente pentru a obține despăgubiri judiciare. Serviciile de informații americane sunt angajate într-o supraveghere intensivă, care nu este proporțională și care permite o interferență țintită cu protecția datelor. Curtea Europeană de Justiție a urmat declarațiile avocatului general și a pecetluit astfel sfârșitul acordului. În dispozitivul hotărârii, s-a făcut referire la serviciile secrete americane. Companiile americane sunt supuse acestor anchete și sunt obligate să submineze toate reglementările de protecție. Prin urmare, nu există o protecție eficientă a datelor cu caracter personal. Pe de o parte, dreptul fundamental la respectarea vieții private este încălcat prin această procedură, dar, pe de altă parte, este încălcat și dreptul la existența unei protecții juridice efective în instanță.
Abordarea autorităților germane de protecție a datelor
În urma publicării hotărârii Curții Europene de Justiție, autoritățile germane de protecție a datelor au acționat rapid. Într-un document de poziție redactat de comisarii pentru protecția datelor din statele federale și de guvernul federal, s-a clarificat faptul că transferurile de date sunt excluse în măsura în care transferul lor se bazează exclusiv pe acordul Safe Harbor. Nu vor mai fi emise noi autorizații bazate pe acest acord. În plus, nu vor mai fi recunoscute schemele corporative și acordurile de export de date. În Regatul Unit, se consideră că transferurile de date vor fi în continuare posibile, cu condiția să se fi dat consimțământul sau să existe clauze contractuale standard ale UE. În opinia comisarilor germani pentru protecția datelor, consimțământul nu este suficient, deoarece transferurile masive și repetate de date nu ar mai putea fi permise într-o asemenea măsură.
Noi reglementări și recomandări
La nivel federal, decizia Curții Europene de Justiție a fost salutată de comisarul federal responsabil pentru protecția datelor. În viitorul apropiat, se va analiza dacă și în ce măsură hotărârea afectează regulile corporative obligatorii și clauzele contractuale standard ale UE în Germania. La 26.10.2015, a fost publicat documentul de poziție al guvernului federal și al landurilor. Autoritățile de supraveghere au anunțat că vor fi luate măsuri împotriva oricărui transfer de date bazat pe Safe Harbor. De la pronunțarea hotărârii, a devenit foarte clar că certificarea prin fostul acord este absolut inadmisibilă. Companiile care transferă date cu caracter personal în SUA riscă o amendă dureroasă, motiv pentru care textele site-urilor web, materialele publicitare și declarațiile privind protecția datelor ar trebui adaptate cât mai repede posibil. În plus, ar trebui revizuite transferurile actuale de date. Ar trebui să se explice aplicabilitatea regulilor corporative obligatorii și a clauzelor contractuale standard ale UE. Cei care nu pot renunța la transferul de date către SUA ar trebui să apeleze la clauzele contractuale standard ale UE, cu ajutorul cărora riscul unei amenzi poate fi redus considerabil, cel puțin în majoritatea cazurilor. Este absolut esențial ca metodele de criptare să fie testate și aplicate. În cazul în care se poate obține consimțământul, ar trebui să se ia legătura cu DPC și să se întrebe dacă o astfel de legitimare este permisă pentru transferurile de date. În cazul unui astfel de consimțământ, trebuie să se precizeze în mod clar că va avea loc un transfer de date către SUA. În plus, trebuie enumerate posibilele consecințe. Un astfel de consimțământ poate fi cu greu pus în aplicare în cazul transferurilor permanente și în masă de date, de exemplu, a datelor clienților. Pentru a obține cea mai bună protecție juridică posibilă, aspectele juridice ar trebui să fie examinate de la caz la caz. Măsurile tehnice și organizatorice pot reduce semnificativ riscul de încălcare a legii.
