Разглашение конфиденциальной информации и персональных данных

Что делать при незаконном разглашении персональных данных?

   Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.

   В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности.    Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.

   Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.

   Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект

По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.

Ответственность за разглашение коммерческой тайны

Закон предусматривает наказание за разглашение коммерческой тайны. В зависимости от вида и степени ущерба ответственность может быть: уголовной; административной; дисциплинарной; гражданско-правовой.

На практике граждане РФ редко привлекаются к ответственности по законам, которые касаются разглашения коммерческой тайны. Однако при необходимости и наличии всех доказательств доказать вину злоумышленника очень просто.

Уголовная ответственность

Статья 183 УК регулирует вопрос разглашения коммерческой тайны, а именно перечисляет варианты ответственности, которые применяются к виновному:

• Лишение свободы на срок до 2 лет.
• Штрафные санкции в размере до 500 000 рублей.
• Исправительные работы на срок до 2 лет.
• Принудительное лишение права занимать руководящие должности или должности, которые предусматривают работу с секретными данными.

Следует заметить, что уголовное наказание применяется крайне редко и актуально только в тех случаях, если разглашение коммерческой тайны привело к травмам, смерти других работников предприятия, нарушению работы технических мощностей, в результате которого пострадали люди.

Административная ответственность

Кодекс об Административных Правонарушениях в статье 13.14 регулирует ответственность за разглашение коммерческой тайны. После того, как вина работника доказана, ему выносится штраф, сумма которого зависит от должности в компании и от нанесенного ущерба: для физических лиц – до 1 000 рублей. для лиц, которые занимают должность в фирме, – до 5 000 рублей.

Дисциплинарная ответственность

Этот вид ответственности не подразумевает заведения официального дела в полиции. Факт утечки фиксируется службой безопасности компании, после чего проводятся первоначальные меры по определению злоумышленника.

Когда недобросовестный сотрудник выявлен, глава компании имеет полное право применить к нему следующие виды дисциплинарного взыскания: штраф; замечание; выговор; увольнение.

Гражданско-правовая ответственность

Гражданское законодательство не имеет специальной статьи, которая регулирует вопрос коммерческой тайны. Однако ответственность можно установить согласно базовым нормам гражданского права, в том числе, полное возмещение убытков.

Если доказано, что сотрудник получил доход от разглашения коммерческой тайны, истец вправе требовать возмещения убытка и суммы, которую получил сам сотрудник за разглашение секретной информации.

Обвинить работника в утечке данных может только глава службы безопасности или директор предприятия. Для подачи заявления в правоохранительные органы должно выполняться два условия:

1. В компании должен действовать режим работы с коммерческой тайной.
2. Сотрудник, который обвиняется в хищении информации, должен был подписать договор с работодателем о несении ответственности за разглашение коммерческой тайны. Помимо этого, нужно еще и доказать факт утечки, который произошел по вине конкретного сотрудника.

Какую информацию относят к конфиденциальной?

Среди всех сведений, которые стоит считать коммерческой тайной, можно выделить несколько основных категорий:

• Финансовые – информация об уставном капитале, стоимости активов, размере и наличии денежных средств на расчетных счетах в банке, а также в кассе организации.
• Платежные – стоимость продукции, сделок, услуг, используемый вид налогообложения, размеры платежей.
• Авторские. Товары, реализуемые компанией, зачастую разрабатываются и создаются по ее инициативе и за ее счет. Фирма вкладывает деньги в испытания и разработки. Интеллектуальная собственность на территории нашей страны защищена действующим законодательством.
• Производственные – сведения об оборудовании, используемом сырье, технологии производства.

Информация такого рода, а также другие немаловажные данные могут быть закреплены в рассматриваемом соглашении. О том, что такое коммерческая тайна и зачем нужно ее защищать, смотрите на следующем видео:

Органы власти

Законы

• Общий регламент по защите данных (GDPR) ( Европейский Союз )
• Общий закон о защите личных данных ( Бразилия )
• Директива о защите данных ( Европейский Союз )
• Закон Калифорнии о конфиденциальности потребителей (CCPA) (Калифорния)
• Закон о конфиденциальности (Канада)
• Закон о конфиденциальности 1988 г. ( Австралия )
• Законопроект о защите личных данных 2019 г. (Индия)
• Закон Китая о кибербезопасности (CCSL) (Китай)
• Закон о защите данных, 2012 г. ( Гана )
• Закон о защите личных данных 2012 г. (Сингапур)
• Республиканский закон № 10173: Закон о конфиденциальности данных 2012 года ( Филиппины )
• Законы о защите данных (конфиденциальности) в России
• Закон о защите данных 2018 ( Великобритания )
• Закон о защите персональных данных (PDPL) ( Бахрейн )

Власти по странам

• Национальные органы по защите данных в Европейском Союзе и Европейская ассоциация свободной торговли
  
• Офис австралийского комиссара по информации ( Австралия )
• Комиссар по конфиденциальности (Новая Зеландия)
• Национальная комиссия по информатике и свободе ( CNIL , Франция )
• Федеральный комиссар по защите данных и свободе информации ( Германия )
• Офис уполномоченного по конфиденциальности персональных данных ( Гонконг )
• Комиссар по защите данных ( Ирландия )
• Офис инспектора по защите данных ( остров Мэн )
• Национальная комиссия по конфиденциальности (Филиппины)
• ( Сингапур )
• Управление по защите персональных данных (Турция) (KVKK, Турция )
• Федеральный комиссар по защите данных и информации ( Швейцария )
• Офис Комиссара по информации (ICO, Великобритания )

Что говорят суды?

1. В Постановлении от 3 июля 2015 г. по делу № А56-72074/2014 Тринадцатый арбитражный апелляционный суд отметил, что если в отношении предмета договора установлена коммерческая тайна, то должны быть соблюдены требования ст. 10 Закона о коммерческой тайне. Из материалов дела следует, что стороны заключили NDA, но требования указанной статьи были проигнорированы полностью. Как следствие – неприменимость режима защиты конфиденциальной информации к предмету соглашения.

Аналогичная ситуация отражена в Постановлении Суда по интеллектуальным правам от 16 ноября 2017 г. № С01-922/2017 по делу № А33-28905/2016. СИП поддержал выводы судов первой и апелляционной инстанций о неприменимости к сведениям режима коммерческой тайны, поскольку не были приняты меры, установленные ст. 10 Закона о коммерческой тайне.

2

Отдельно стоит обратить внимание на Апелляционное определение Судебной коллегии по гражданским делам Московского городского суда от 24 июня 2019 г. по делу № 33-26791/2019, которое посвящено трудовым отношениям

Согласно материалам дела, организация обратилась в суд с иском к работнику о взыскании денежных средств за нарушение NDA. Суд в удовлетворении требований отказал. Мотивировал это решение он тем, что ст. 238 ТК РФ содержит положения, устанавливающие материальную ответственность работника за ущерб, причиненный работодателю, но эта норма не предусматривает ответственность за разглашение конфиденциальной информации в виде штрафа. Дополнительные условия трудового договора, ухудшающие положение работника по сравнению с установленным трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, не допускаются. В связи с этим включение в трудовой договор условия о взыскании штрафа за нарушение NDA противоречит трудовому законодательству и применению не подлежит.

Таким образом, заключение NDA в рамках трудовых отношений ограничивается нормами трудового права в силу зависимого положения работника и принципа преимущества слабой стороны.

3. Далее рассмотрим спор о форме внутренних документов, посредством которых вводится режим коммерческой тайны, на примере Решения Тихвинского городского суда Ленинградской области от 15 августа 2019 г. по делу № 2-586/2019. Суд отклонил довод о том, что в организации не был установлен режим коммерческой тайны, поскольку отсутствовал единый локальный акт. По его мнению, указания на режим коммерческой тайны в отдельных локальных актах работодателя и включения условий о таком режиме в трудовой договор достаточно для возложения на работника ответственности за разглашение конфиденциальной информации. Иными словами, в наличии единого документа нет необходимости, поскольку закон такого требования не содержит.

4. Судами также был рассмотрен вопрос о том, как соотносится режим коммерческой тайны с возможностью реализации корпоративного контроля участниками обществ.

В Решении Арбитражного суда Ставропольского края от 6 марта 2018 г. по делу № А63-23435/2017 была дана правовая оценка следующей ситуации: общество при предоставлении документов потребовало от участника подписать NDA, но он отказался. Общество обратилось с иском в суд об обязании участника заключить соответствующее соглашение. Однако суд напомнил обществу о принципе свободы договора и отсутствии обязанности у участника подписывать NDA.

Решение Арбитражного суда Ростовской области от 25 июня 2020 г. по делу № А53-35232/2019 примечательно выводом о том, что даже установление порядка оборота информации, отнесенной обществом к конфиденциальной, не является препятствием для предоставления ее участнику в целях реализации корпоративного контроля над деятельностью общества, учитывая, что законом предусмотрена обязанность участника не разглашать конфиденциальную информацию (п. 2 ст. 67, п. 4 ст. 65.2 ГК РФ) и общество имеет право потребовать выдачи соответствующей расписки от участника (п. 15 Информационного письма Президиума ВАС РФ от 18 января 2011 г. № 14).

Обобщая вышесказанное, можно сделать вывод о том, что процедура введения режима коммерческой тайны установлена законом, требования имеют императивный характер. Кроме того, существуют ограничения для трудовых и корпоративных отношений, сужающие сферу применения NDA. Тем не менее в крупных корпорациях, в том числе российских, принято подписывать NDA. Считается, что заключение такого соглашения оказывает дисциплинирующее воздействие на стороны. Наличие психологического фактора не исключено, однако ценность любого соглашения заключается в его юридической силе. А придать ее NDA удастся только в случае соблюдения всех законодательных требований.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

• штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
• либо обязательными работами на срок от 120 до 180 часов;
• либо исправительными работами на срок до одного года;
• либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

• штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• либо арестом на срок от четырех до шести месяцев.

Соглашение о неразглашении коммерческой тайны

    Как правило, документ заключается с новым сотрудником одновременно с подписанием трудового договора. Соглашение подписывается только с работником, у которого есть доступ к конфиденциальной информации.

   Определенной формы соглашения законодательством не установлено. Структура документа схожа со структурой трудового договора.

В соглашении указывается следующая информация:

• Дата и место составления;
• Преамбула. В ней указываются данные сторон (ФИО, должность);
• Предмет. Описывается, что работник берет на себя обязательство по неразглашению коммерческой тайны. Здесь необходимо обязательно указать перечень информации или ссылку на документ, где он прописан;
• Права, обязанности и ответственность сторон;
• Срок действия документа;
• Сведения об урегулировании спорных ситуаций и каким образом можно внести изменения или дополнения в соглашение;
• Реквизиты и подписи сторон.

   Также в соглашении можно прописать, что при увольнении сотрудник обязан сдать все носители коммерческой тайны.

Документ составляется в двух экземплярах. На соглашении работодателя сотрудник должен поставить отметку о получении экземпляра на руки.

Как обеспечивается безопасность

Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:

1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.

Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.

Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.

Что такое политика конфиденциальности

Privacy Policy, или Политика конфиденциальности (ПК) — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. ПК определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.

Известен случай в судебной практике, когда персональными данными признали обезличенный id пользователя вместе со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки.

Политика конфиденциальности требуется для любых информационных ресурсов и IT-продуктов, которые используют персональные данные. При наличии любой обратной связи, отслеживании и идентификации пользователя по его мобильному устройству уже необходима ПК.

Методы защиты от разглашения коммерческой тайны

Информация предприятия считается конфиденциальной, если на нее действуют меры защиты от несанкционированного доступа и разглашения. Только при наличии системы защиты утечку коммерческой информации классифицируют как разглашение.

Чтобы обезопасить ценную информацию от разглашения третьим лицам, в рамках предприятия следует разработать комплексную систему защиты данных от утечки. Главная сфера защиты – доступ к информации со стороны неуполномоченных работников. На остальных этапах следует учесть контроль технических каналов утечки, охрану помещений. Существуют несколько практических способов защиты коммерческой тайны.

Проставление грифа секретности на документах, которые содержат коммерческую тайну, или на флеш-накопителях, которые хранят секретные данные.

Гриф секретности – это реквизит документа, который является официальным свидетельством его защищенности. Гриф «коммерческая тайна» ставится в правом верхнем углу первой страницы документа – это может быть специальная печать предприятия или службы безопасности. Также возле грифа ставятся подпись человека, который присвоил степень секретности, дата создания грифа и срок, на который распространяется сохранение тайны.

Все секретные документы должны в обязательном порядке подшиваться в отдельные папки и храниться только в охраняемых архивах или выделенных помещениях. Каждая папка вносится в журнал безопасности. При необходимости получить доступ к архиву с данными сотрудник сначала обращается к охраннику архива. Охранник записывает в журнал (физический или электронный) имя сотрудника, дату выдачи и возврата документа. Также необходимо проверить, есть ли у сотрудника права работать с документами коммерческой тайны.

Аналогичная процедура нанесения грифа и распространения материалов коммерческой тайны и у флеш-накопителей, только вместо печати и штампа к устройству прикрепляется специальная пломба, которая свидетельствует о степени секретности хранимых на носителе данных.

Создание списка лиц, которые могут иметь доступ к коммерческой тайне.

Глава службы безопасности или директор компании должны самостоятельно определить, кто из сотрудников сможет иметь доступ к коммерческой тайне для осуществления своих профессиональных обязанностей.

Дополнение внутреннего распорядка компании документом «О коммерческой тайне».

Положения о коммерческой тайне должны содержать подробный инструктаж по работе с тайной, предоставлять другим сотрудникам детальную информацию о том, кто может получить доступ к охраняемой информации, какую ответственность несут работники за попытки хищения или разглашения коммерческой тайны. В то же время положение должно быть составлено грамотно, дабы не выдать никаких деталей коммерческой тайны.

В процессе принятия нового сотрудника на работу в трудовой договор должен быть включен пункт об ответственности за разглашение или хищение коммерческой тайны.

Такой пункт должен быть в трудовых договорах даже тех сотрудников, в обязанности которых не входит работа с коммерческой тайной. Все работники предприятия должны быть осведомлены о возможном дисциплинарном и административном наказании за содеянное.

Принятие организационных мер и создание комплексной системы защиты для закрытия доступа к коммерческой тайне со стороны третьих лиц.

К организационной защите относят действия по документальной организации хранения тайны, создание положений по работе с коммерческой тайной и правил разграничения доступа. К технической защите относят проектирование, установку и дальнейшую эксплуатацию технических средств, которые препятствуют краже тайной информации. Это могут быть системы контроля и учета доступа; устройства экранирования и зашумления; регулярное сканирование помещений на предмет наличия закладных устройств; защита архитектурных конструкций (звукоизоляция стен, пола, потолков, дверных проемов и окон).

Программа Safe Harbor в США и проблемы с регистрацией имен пассажиров

Государственный департамент Соединенных торговли создали Принципы конфиденциальности International Safe Harbor программу сертификации в ответ на 1995 Директиву о защите данных (Директива 95/46 / EC) Европейской Комиссии. И Соединенные Штаты, и Европейский Союз официально заявляют, что они привержены защите конфиденциальности информации отдельных лиц, но первое вызвало трения между ними, не соблюдая стандарты более строгих законов ЕС о личных данных. Частично переговоры по программе Safe Harbor были направлены на решение этой давней проблемы. Директива 95/46 / EC заявляет в главе IV статьи 25, что личные данные могут быть переданы только из стран Европейской экономической зоны в страны, которые обеспечивают адекватную защиту конфиденциальности. Исторически установление адекватности требовало создания национальных законов, в целом эквивалентных тем, которые применяются Директивой 95/46 / ЕС. Хотя есть исключения из этого общего запрета — например, когда раскрытие информации стране за пределами ЕЭЗ осуществляется с согласия соответствующего лица (статья 26 (1) (а)), — они ограничены в практическом объеме. В результате статья 25 создала правовой риск для организаций, передающих личные данные из Европы в США.

Программа регулирует обмен информацией о записях имен пассажиров между ЕС и США. Согласно директиве ЕС, личные данные могут быть переданы в третьи страны только в том случае, если эта страна обеспечивает адекватный уровень защиты. Предусмотрены некоторые исключения из этого правила, например, когда сам контролер может гарантировать, что получатель будет соблюдать правила защиты данных.

Европейская комиссия создала «Рабочую группу по защите физических лиц в отношении обработки персональных данных,» широко известная как «Статья 29 Рабочей группа». Рабочая группа дает советы об уровне защиты в Европейском Союзе и третьих странах.

Рабочая группа провела переговоры с представителями США о защите личных данных, результатом которых стали Принципы Safe Harbor . Несмотря на это одобрение, подход Safe Harbor к самооценке остается спорным у ряда европейских регулирующих органов и комментаторов.

Программа Safe Harbor решает эту проблему следующим образом: вместо общего закона, налагаемого на все организации в Соединенных Штатах , Федеральная торговая комиссия обеспечивает выполнение добровольной программы . Американские организации, зарегистрировавшиеся в этой программе после самооценки своего соответствия ряду стандартов, считаются «адекватными» для целей статьи 25. Личная информация может быть отправлена ​​таким организациям из ЕЭЗ без нарушения отправителем Статья 25 или ее национальные эквиваленты в ЕС. Безопасная гавань была одобрена Европейской Комиссией 26 июля 2000 г. как обеспечивающая адекватную защиту личных данных в целях статьи 25 (6).

Согласно «Безопасной гавани», приемным организациям необходимо внимательно изучить соблюдение ими обязательств по дальнейшей передаче , когда личные данные из ЕС передаются в «Безопасную гавань» США, а затем в третью страну. Альтернативный подход к соблюдению « обязательных корпоративных правил », рекомендованный многими регуляторами конфиденциальности ЕС, решает эту проблему. Кроме того, любой спор, возникающий в связи с передачей кадровых данных в Safe Harbor США, должен быть рассмотрен комиссией регулирующих органов ЕС.

В июле 2007 года между США и ЕС было заключено новое противоречивое соглашение о регистрации пассажиров . Вскоре после этого администрация Буша дала исключение для Министерства внутренней безопасности , Системы информации о прибытии и отбытии (ADIS) и Автоматизированной целевой системы из Закона о конфиденциальности 1974 года .

В феврале 2008 года глава Комиссии внутренних дел ЕС Джонатан Фолл пожаловался на двустороннюю политику США в отношении PNR. США подписали в феврале 2008 года меморандум о взаимопонимании (MOU) с Чешской Республикой в обмен на безвизовый режим, без согласования ранее с Брюсселем. Напряженность в отношениях между Вашингтоном и Брюсселем в основном вызвана более низким уровнем защиты данных в США, особенно потому, что иностранцы не пользуются положениями Закона США о конфиденциальности 1974 года . К другим странам, к которым обратились к двустороннему меморандуму о взаимопонимании, относятся Великобритания, Эстония, Германия и Греция.