Год подходит к концу, и я бы хотел воспользоваться моментом, чтобы сделать общий обзор работы ICANN по вопросам, связанным с Общим регламентом Европейского Союза (ЕС) о защите персональных данных (GDPR), и по тому, чего следует ожидать в 2021 году.
Рекомендации по итогам Фазы 2 EPDP
Как я писал в октябре, группа, работающая над Фазой 2 Ускоренного процесса формирования политики (EPDP), передала свой итоговый отчет Совету Организации поддержки доменов общего пользования (GNSO), который его утвердил и передал Правлению ICANN на рассмотрение. Когда GNSO утверждает политику, и Правление ICANN поручает нам ее применить, задача корпорации ICANN – предпринять к этому шаги.
В Итоговом отчете по Фазе 2 EPDP представлено 22 рекомендации, 18 из которых относятся к системе обеспечения стандартизованного доступа к закрытым регистрационным данным gTLD и их раскрытия (SSAD). В ответном письме Правление обозначило, что в начале 2021 года планирует запустить фазу функциональной разработки (ODP), чтобы оценить воздействие этих 18 рекомендаций в области SSAD на операционную деятельность. Эта фаза ODP, как и оценки выполнимости и целесообразности, которые корпорация ICANN раньше готовила для Правления в качестве подготовки к рассмотрению рекомендаций в области политик, проводится для информирования Правления, так как подразумевает тщательный анализ потенциальных рисков, затрат, требований к ресурсам и графика выполнения рекомендаций. Я попросил организации поддержки и консультативные комитеты предоставить нам комментарии по проекту ODP не позднее 22 января 2021.
Остальные четыре рекомендации связаны с вопросами, по которым группа по EPDP не смогла сделать выводы в ходе Фазы 1. Среди них такие вопросы как срок хранения регистрационных данных и отображение данных, которые регистрируются через провайдеров услуг сохранения конфиденциальности и регистрации через доверенных лиц. Эти четыре рекомендации «второго приоритетного уровня» опубликованы для общественного обсуждения, и я призываю вас поделиться своими соображениями до 22 января 2021, когда оно закончится.
Пока Правление ICANN рассматривает итоговый отчет по Фазе 2 EPDP, группа по EPDP перейдет к Фазе 2A, которая предназначена для принятия решений по двум открытым вопросам. Первый вопрос – следует ли в положениях политики относительно данных владельцев доменов различать данные юридических и физических лиц, учитывая результаты исследования, проведенного корпорацией ICANN, юридические рекомендации и предложения, полученные в рамках общественного обсуждения. Второй вопрос – целесообразно ли, при регистрации, использовать однообразные анонимизированные адреса электронной почты для уникальных контактных лиц. Группа проанализирует эти вопросы с учетом полученных по каждому из них юридических рекомендаций, чтобы определить, требуют ли они дополнительных рекомендаций в области разработки политик.
Этот результат стал возможен только благодаря сообществу ICANN. Я бы хотел поблагодарить всех, кто участвовал в этом исключительно важном процессе, за преданность работе по поиску решения, которое обеспечит соответствие функционирования Службы каталогов регистрационных данных положениям GDPR.
О взаимодействии и положении дел в Европе
Тем временем работа корпорации ICANN с Европейской комиссией, европейскими органами защиты данных и Европейским советом по защите данных (EDPB) продолжается. 15 и 16 декабря 2020 года был представлен ряд важных инициатив ЕС, связанных с системой доменных имен (DNS) – включая вопрос данных доменных имен и провайдеров DNS-услуг. Предлагаем прочитать о них в статье наших специалистов из отдела по работе с правительствами.
Отдельно следует отметить проект Уточненной редакции Директивы о мерах по достижению высокого общего уровня безопасности сетевых и информационных систем (Директива NIS2). Он предполагает возложение обязанности на страны-члены ЕС «собирать и хранить достоверные и полные регистрационные данные доменных имен» и «предоставлять доступ к регистрационным данным того или иного доменного имени в ответ на получение правомерного и надлежащим образом обоснованного запроса от лица, подавшего законный запрос», при чем и то и другое – в соответствии с законом ЕС относительно защиты данных. В своем последнем письме, адресованным корпорации ICANN, Еврокомиссия подчеркнула важность Директивы NIS2, упомянув тот факт, что этот проект «оставляет открытой возможность использования интерфейса, портала или технических инструментов, которые обеспечивают эффективную систему для оформления запросов и получения доступа к регистрационным данным».
Директива NIS2 дополняет дискуссию сообщества о том, как положения GDPR могут быть применимы к достоверности регистрационных данных. Еврокомиссия не раз подчеркивала мнение о том, что действующее требование, обязывающее контролеров данных предпринимать разумные шаги для обеспечения достоверности персональных данных с точки зрения целей, для которых они обрабатывались, самое по себе представляет создает риск невыполнения положений GDPR относительно регистрационных данных, если принимаются некорректные меры. Соответственно, интересно отметить, что в предложенной Еврокомиссией Директиве NIS2 прямо поднимается вопрос достоверности регистрационных данных.
На данном этапе Директива NIS2 является законопроектом. После ее согласования и последующего принятия, на ее включение в национальные законодательства стран-членов ЕС уйдет еще 18 месяцев, а тем временем действующее законодательство ЕС о защите данных представляет собой ряд сложностей c точки зрения своевременного развертывания SSAD. В частности, речь идет о неопределенности относительно законности передачи данных из ЕС и Европейской экономической зоны в третьи страны по итогам решения Европейского суда по делу Schrems II, а также остающееся неясным толкование концепций контролера и обработчика данных, особенно для таких технически сложных мультистейкхолдерных моделей, как SSAD.
Корпорация ICANN поделилась своей обеспокоенностью в отношении этих вопросов с представителями ведомств ЕС, включая EDPB и Еврокомиссию. Недавно корпорация ICANN также подготовила комментарий относительно предлагаемых EDPB мер, дополняющих возможности инструментов передачи данных, направленных на защиту персональных данных для соответствия уровню защиты, предписанному требованиями ЕС, проекта уточненной редакции стандартных договорных положений о передаче персональных данных странам, не являющимся членами ЕС, а также общественного обсуждения руководства относительно концепций контролера и обработчика данных, которое провел Европейский совет по защите данных.
Для разработки и запуска эффективной модели доступа корпорации ICANN необходимы дополнительная четкость и руководство от соответствующих ведомств ЕС. Их дальнейшая помощь критически важна для определения того, возможно ли применить представленное в итоговом отчете решение в соответствии с GDPR. Еврокомиссия заверила корпорацию ICANN в своем последнем письме о готовности оказать содействие в обсуждении этого вопроса с европейскими органами защиты данных. Еврокомиссия также продолжает обсуждать с ними возможность официально проконсультироваться с EDPB по этому вопросу. Корпорации ICANN, как технической организации, критически необходимо получать руководящие указания такого рода, чтобы разработать и развернуть жизнеспособную систему, способную обеспечить стабильный, предсказуемый и действенный способ получения доступа к закрытым регистрационным данным gTLD сторонам, имеющим законные на то основания. Остается понять как сбалансировать глобальный общественный интерес, т. е. способность обеспечить доступ к регистрационным данным доменных имен с одной стороны и защитить право на тайну личной жизни обладателей прав на доменные имена с другой. Это вопрос из сферы общественной политики. Ситуацию, когда закон, который призван защитить данные граждан, непреднамеренно препятствует защите граждан от онлайн-мошенничества и кибератак, должны разрешать законодатели.
Дополнительная информация, отчеты о происходящем и соответствующие документы доступны на специальной странице, посвященной вопросам защиты персональных данных. Хороших праздников и здоровья читателям во всем мире! Рад возможности вместе поработать в новом году.
