Азіатсько-тихоокеанське економічне співробітництво (АТЕС) - це організація економічних суб'єктів в Азіатсько-Тихоокеанському регіоні, сформована з метою посилення економічного зростання та процвітання регіону. Вона була створена 1989 року і включала 12 азіатсько-тихоокеанських країн. Зважаючи на те, що законодавство цих країни у сфері захисту приватності (захисту персональних даних) суттєво відрізнялося, АТЕС дійшов висновку, що регіональна угода, яка створює мінімальний стандарт конфіденційності, буде оптимальним механізмом для полегшення вільного потоку даних серед учасників економіки (і тим самим буде сприяти електронній комерції). Результатом їхньої роботи стала розроблена APEC Privacy Framework, яка була схвалена в 2004 році. Хоча в послідовності з оригінальними Керівними принципами Організації з економічного співробітництва та розвитку (ОЕСР), Рамкові Концепції АТЕС також надавали допомогу країнам-членам розробляючи підходи щодо конфіденційності даних, які б оптимізували баланс між захистом приватності та транскордонними потоками даних. На відміну від інших систем конфіденційності, АТЕС не накладає вимоги до договірних зобов'язань у країнах-членах. Натомість корпоративний процес АТЕС спирається на не обов'язкові зобов'язання, а відкритий діалог та консенсус. Країни-члени беруть на себе зобов'язання на добровільній основі,а Концепція APEC Privacy Framework є лише консультативною, і тому має небагато юридичних вимог або обмежень. Також АТЕС розробила систему регулювання конфіденційності за кордоном (CBPR), відповідно до якої компанії, що торгують в країнах-членах, розробляють власні внутрішні бізнес-правила, які відповідають принципам конфіденційності АТЕС для забезпечення конфіденційності транскордонних даних. У 2015 році APEC розробила систему визнання конфіденційності для процесорів (PRP), що є продовженням створеної до цього системи CBPR для володільців персональних даних (в термінах українського законодавства). АТЕС також співпрацює з ЄС для вивчення потенційної сумісності режимів збереження даних у країнах АТЕС та ЄС. А в2014 році було відпрацьовано спільну документацію, яка відображає вимоги щодо підприємств, які хочуть добровільно пройти процедуру сертифікації. Система конфіденційності складається з чотирьох частин: частина I є преамбулою, яка визначає цілі принципів Концепції конфіденційності та обговорює основу, на якій було досягнуто консенсусу; b Частина II описує рамки Концепції конфіденційності та ступінь її охоплення; c Частина III визначає принципи забезпечення конфіденційності інформації, включаючи пояснювальний коментар щодо них; і d Частина IV обговорює питання впровадження Концепції конфіденційності, включаючи надання керівництва країнам-членам щодо варіантів внутрішнього впровадження. Ринок-орієнтований підхід до захисту даних відображається в цілях Рамки конфіденційності, які включають, крім захисту інформації, запобігання
непотрібним перешкодам інформаційним потокам, заохочення уніфікованих підходів міжнаціональних підприємств до збирання та використання даних, а також полегшення внутрішніх та міжнародних зусиль, спрямованих на заохочення та забезпечення захисту конфіденційності інформації. Система конфіденційності була розроблена для широкого прийняття в країнах-членах країн шляхом заохочення сумісності, одночасно дотримуючись різних культурних, соціальних та економічних вимог у економіках. Таким чином, він встановлює мінімальні стандарти консультацій та дозволяє країнам-членам прийняти більш чіткіші закони про захист даних в конкретних країнах. Система застерігає, що принципи повинні тлумачитися в цілому, а не індивідуально, оскільки вони взаємопов'язані, зокрема, в тому, як вони збалансовують права конфіденційності та ринкові суспільні інтереси. Ці принципи не спрямовані на те, щоб перешкоджати державній діяльності в країнах-членах, які уповноважені законом, і тому принципи дозволяють винятки, які будуть узгоджуватися з конкретними внутрішніми обставинами і спеціально визнають, що "має бути гнучкість у реалізації цих принципів". Дев'ять принципів Концепції конфіденційності (частина III) Враховуючи, що сім країн-членів АТЕС були членами ОЕСР, не дивує те, що Система захисту приватного сектору APEC була заснована на зразку ОЕСР. Принципи конфіденційності АТЕС стосуються особистої інформації про живих людей та включає як загальнодоступну інформацію, так і інформацію, пов'язану з внутрішніми справами. Принципи застосовуються до осіб або організацій як у державному, так і в приватному секторах, які контролюють збирання, зберігання, обробку або використання особистих даних. Хоча на основі принципів ОЕСР принципи АТЕС не є ідентичними. Зокрема відсутні ОЕСР керівні принципи "цільових специфікацій" та "відкритість", хоча деякі аспекти можуть бути знайдені в рамках інших дев'яти принципів - наприклад, обмеження мети включено до Принципу IV стосовно використання інформації. Принципи АТЕС також дозволяють розширити сферу винятків і трохи більше, ніж Рекомендації ОЕСР щодо повідомлення. Загалом, принципи АТЕС відображають мету сприяння економічному розвитку та повазі до різних правових та соціальних цінностей серед країн-членів. Принцип I - запобігання шкоди Цей принцип передбачає, що захист приватного життя повинен бути розроблений таким чином, щоб запобігти неправомірному збиранню або неправильному використанню їх особистої інформації, а засоби захисту є пропорційними до ймовірності виникнення та ймовірних наслідків. Принцип II - повідомлення Принцип повідомлення стосується інформації, яку володілець жданих даних повинен включити до повідомлення фізичним особам під час збору їх особистої інформації. Також вимагається, щоб усі обгрунтовані кроки були спрямовані на повідомлення перед або під час збору, а якщо ні, то як тільки після збирання, як це практично можливо. Далі принцип передбачає виняток для повідомлення про збирання та використання загальнодоступної інформації. Принцип III - обмеження збору
Цей принцип передбачає законний та справедливий збір особистої інформації, що обмежується тим, що має відношення до мети збору та, у відповідних випадках, з повідомленням або за згодою суб'єкта даних. Принцип IV - використання особистої інформації Цей принцип обмежує використання особистої інформації такими способами, які відповідають цілям збору та інших сумісних або суміжних цілей. Він включає винятки щодо інформації, зібраної за згодою суб'єкта даних та збору, необхідної для заповнення запиту суб'єкта даних або відповідно до вимог закону. Принцип V - вибір Принцип вибору спрямований на те, щоб у відповідних випадках особам забезпечувались механізми здійснення вибору стосовно збору, викорис тання та розголошення їх особистої інформації, за винятком публічно доступної інформації. Цей принцип також передбачає, що в деяких випадках згода може бути підкріплена або не є необхідною. Принцип VI - цілісність особистої інформації Цей принцип заявляє, що особиста інформація повинна бути точною, повною та актуальною настільки, наскільки це необхідно для цілей використання. Принцип VII - гарантії безпеки Цей принцип вимагає, щоб гарантії безпеки застосовувалися до персональних даних, які є доцільними та пропорційними до ймовірності та ступеню тяжкості заподіяної шкоди, чутливості даних та контексту, в якій вона зберігається, і що періодичні переоцінки гарантій. Принцип VIII - доступ і корекція Принцип доступу та корекції спрямовує на те, щоб особи мали право доступу до своєї особистої інформації впродовж розумного і прийнятного періоду, а також могли заперечувати його точність та вимагати відповідної виправлення. Цей принцип має виключення, коли тягар доступу чи корекції перевищує ризики для особистої конфіденційності, інформація підпадає під законність або застереження про безпеку або де можуть бути порушені права конфіденційності інших суб'єктів даних. Принцип IX - підзвітність Цей принцип вимагає, щоб володілець даних відповідальний за дотримання заходів щодо забезпечення виконання дев'яти принципів, а також забезпечити, щоб під час передачі особистої інформації вони також вживали «розумних кроків» для забезпечення того, щоб одержувачі також захищали інформацію таким чином, що відповідає тим самим принципам. Це часто називають найважливішим нововведенням в Принцип APEC Privacy Framework, і це впливає на заохочення інших регуляторів у сфері захисту приватності до розгляду аналогічних процедур підзвітності, адаптованих до ризиків, пов'язаних з цими конкретними даними. На відміну від інших міжнародних рамок, APEC Privacy Framework не обмежує передачу даних до країн, які не мають законодавства про захист даних, але які відповідають вимогам АТЕС, і не вимагає такої передачі країнам. Замість цього, АТЕС прийняв принцип підзвітності замість обмежень щодо імпорту та експорту даних відповідно до сучасної ділової практики та заявлених цілей Конфіденційності.
Реалізація (частина IV) Оскільки АТЕС є кооперативною організацією, країни-члени не зобов'язані перетворювати Рамки Конфіденційності у внутрішнє законодавство. Скоріше за все, Рамки Конфіденційності заохочують економіку країн-учасниць реалізувати її, не вимагаючи або не пропонуючи конкретних засобів для цього. Це передбачає наявність "декількох варіантів впровадження Рамкової програми [. . .] включаючи законодавчу, адміністративну, галузеву саморегуляцію або комбінацію цих методів ". Рамки виступають за "відповідний комплекс засобів правового захисту [. . .] пропорційно масштабу реальної чи потенційної шкоди "і підтримує вибір засобів правового захисту, відповідних кожній економіці країни-члена. Рамка конфіденційності не передбачає центрального органу виконавчої влади. Таким чином, Рамки Конфедерації APEC розглядають відхилення у впровадженні в країнах-членах. Це заохочує економіку країн-членів до обміну інформацією, опитуваннями та дослідженнями та участі у транскордонному співробітництві у сфері розслідування та забезпечення виконання. Це поняття пізніше перетворилося на Угоду про виконання прикордонних приписів (CPEA - Розділ III.iii). iii Захист даних індивідуальні плани дій (IAP) Захист даних IAP - це періодичні, національні звіти до АТЕС про прогрес у кожній країні-члені щодо прийняття Концепції конфіденційності всередині країни. IAP є механізмом підзвітності країнами-членами між собою для здійснення системи захисту приватності АТЕС. IAP періодично оновлюється, оскільки в рамках кожної такої економіки впроваджується Конфіденційність. З 2017 р. 14 країн-учасниць опублікували ОВД на веб-сайті АТЕС. I ініціатива Pathfinder Privacy Privacy Система конфіденційності APEC не розглядає проблему транскордонної передачі даних, а скоріше закликає до спільної розробки міжнародних правил конфіденційності. У 2007 році міністри АТЕС схвалили ініціативу APC Data Privacy Pathfinder з метою досягнення відповідальних транскордонних потоків персональної інформації в Азіатсько-Тихоокеанському регіоні. Ініціатива захисту конфіденційності даних містить загальні зобов'язання, що призводять до розробки системи APEC CBPR, яка б підтримувала підзвітні транскордонні потоки даних відповідно до принципів конфіденційності АТЕС. Основними цілями ініціативи Pathfinder є сприяння концептуальній структурі принципів виконання транскордонних правил конфіденційності в економіці країн АТЕС, а також для розвитку консультативних процесів серед зацікавлених сторін у країнах-членах АТЕС для розробки процедур впровадження та документів, правила конфіденційності кордонів та запровадити підзвітну транскордонну систему конфіденційності. З 2008 року підгрупа "Конфіденційність даних" працює над дев'ятьма взаємопов'язаними проектами, що підтримують розробку транскордонних правил конфіденційності в Азіатсько-Тихоокеанському регіоні. Як система CBPR, так і CPEA є результатами ініціативи Pathfinder. ii. Система CBPR Система APEC CBPR, затверджена в 2011 році, є добровільною системою на основі підзвітності, що регулює електронні потоки приватних даних серед країн
АТЕС. Як новостворена система, система CBPR знаходиться на ранніх етапах реалізації. Станом на вересень 2017 р. У системі CBPR - Канаді, Японії, Мексиці, Південній Кореї та Сполучених Штатах - беруть участь п'ять країнчленів АТЕС. Загалом, система CBPR вимагає від бізнесу розробляти власні внутрішні правила, що регулюють конфіденційність, що регулюють передачу персональних даних через кордони за стандартами, що відповідають або перевищують Рамки захисту приватного сектору APEC. Система призначена для побудови довіри споживачів, бізнесу та регулятора до транскордонного потоку електронних особистих даних в Азіатсько-Тихоокеанському регіоні. Одна з цілей системи CBPR полягає в тому, щоб "підняти загальний рівень захисту приватності в регіоні [Азіатсько-Тихоокеанський регіон]" за допомогою добровільних проавил, застосовуваних в рамках стандартів. Організації, які вирішили брати участь у системі CBPR, повинні подати розроблену свою практику та політику конфіденційності для оцінки агентством, відповідальним за підзвітність АТЕС, для оцінки відповідності програмі. Після сертифікації, практика та політика стануть обов'язковими для цієї організації та будуть застосовуватись через відповідний орган дотримання конфіденційності. Система CBPR керується Підгрупою конфіденційності даних, яка керує програмою через Спільну наглядовий комітет, до складу якого входять призначені представники економік-учасниць та будь-які робочі групи, які створює Група. Спільна наглядова група діє відповідно до Статуту Спільної наглядової комісії системи міждержавної прикордонної прикордонної с лужби АТЕС та протоколом Спільної наглядової комісії з системи регулювання конфіденційності прикордонних територій АТЕС. Агенти з питань відповідальності та органи забезпечення конфіденційності несуть відповідальність за виконання вимог програми CBPR або за контрактом (агентів з приватної відповідальності) або відповідно до застосовних національних законів та правил (агенти з питань відповідальності та правозастосування). Система CBPR має власний веб-сайт, який включає в себе загальну інформацію про систему, статути та протоколи, списки поточних учасників та сертифікованих організацій, звіти щодо подання та висновків та форми шаблонів. Участь у системі CBPR Країна-член АТЕС може брати участь у системі CBPR за умови відповідності трьом вимогам: участь у АТЕС з принаймні одним органом, відповідальним за забезпечення таємності; b подання листа про наміри взяти участь у засіданні, адресоване головам АТЕС, підгрупі Конфігурації конфіденційності даних та Спільній наглядовій групі, що забезпечує: • підтвердження участі; • ідентифікація агента підзвітності, визнаної системою АТЕС CBPR, яку економіка має намір використати; і
• деталі стосовно відповідних національних законів та нормативних актів, правоохоронних органів та процедур виконання; і подання вимоги до системної програми APEC CBPR. Спільна наглядова група готує звіт про результати, який визначає, чи відповідає економіка вимогам стати учасником системи АТЕС CBPR. Економіка заявника стає учасником з дати отримання звіту про позитивні результати. Агенти підзвітності Система APEC CBPR використовує агенти підзвітності, визнані APEC, для перегляду та сертифікації політик та практик конфіденційності організаційучасників, що відповідають вимогам системи APEC CBPR, включаючи Рамки захисту приватного сектору APEC. Організації-заявники можуть брати участь у системі CBPR лише після цієї сертифікації, і відповідальність відповідного агента підзвітності полягає у проведенні сертифікації відповідності організації заявника вимогам програми. Агент підзвітності не визначає як частину програми перевірки CBPR щодо того, чи відповідає організація-заявник внутрішнім юридичним зобов'язанням, які можуть відрізнятись від системних вимог CBPR. Системні вимоги APEC CBPR для агентів відповідальності включають: яка підпадає під юрисдикцію органу виконавчої влади з питань недоторканності приватної власності в економіці АТЕС, яка бере участь у системі CBPR; b) задовольняє критерії визнання агента підзвітності; c) згоду на використання опитувальника для прийому CBPR для оцінки організацій-заявників (або іншим чином підтверджуючи, що процедури пристойності відповідають базовим вимогам системи CBPR); і d завершення та підписання форми підпису та контактної інформації. Запропоновані агенти підзвітності висуваються країнами-членами АТЕС, і, за рекомендацією Спільної наглядової комісії після розгляду заяви та розгляду, може бути затверджена ECSG за рекомендацією Групи. Будь-яка країна-член АТЕС може переглянути рекомендацію стосовно будь-якого запропонованого представника підзвітності та подати заперечення проти ECSG. Після того, як заявка була схвалена ECSG, агент підзвітності вважається "визнаним". Скарги на визнання відповідального агента розглядаються Спільною наглядової комісією, яка має право надати запит на проведення слідчої або правоохоронної діяльності від відповідного органу виконавчої влади з питань недоторканності конфіденційності в економіці АТЕС, де розташований агент. Відсутність відповідального агента може мати фактичний чи потенційний конфлікт інтересів, а також не може надавати послуги суб'єктам, яким вона сертифікована, або які подали заявку на сертифікацію. Він повинен продовжувати контролювати сертифіковані організації за дотриманням стандартів системи АТЕС CBPR та повинен отримувати річні сертифікати стосовно цього дотримання. Вона повинна опублікувати свої сертифікаційні стандарти та негайно повідомити всіх нещодавно сертифікованих юридичних осіб, а також будь-яких призупинених або припинених юридичних осіб відповідним органам дотримання конфіденційності та Секретаріату CBPR.
Агенти з питань відповідальності можуть бути як державними, так і приватними особами, а також можуть бути виконавчими органами. За певних обставин АТЕС може призначати агента звітності з іншої економіки. Відповідальні агенти несуть відповідальність за те, щоб будь-яка невідповідність була виправлена вчасно і, якщо необхідно, було повідомлено відповідним правоохоронним органам. Якщо тільки один агент підзвітності працює в АТЕС і він з будь-якої причини перестає функціонувати як агент підзвітності, тоді участь в системі CBPR буде призупинено, і всі сертифікати, видані цим агентом підзвітності для підприємств, будуть припинені, поки економіка знову виконує вимоги щодо участі, а організації виконують ще один сертифікаційний процес. Веб-сайт системи CBPR містить схему визнаних агентів відповідальності, їх контактну інформацію, дату визнання, затверджені економіки АТЕС для цілей сертифікації та посилання на відповідні документи та вимоги програми. Станом на вересень 2017 року система CBPR визнає двох підзвітних агентів: TRUSTe та Японський інститут сприяння цифрової економіки та спільноти. TRUSTe визнається сертифікувати лише організації, що підпадають під юрисдикцію Федеральної торгової комісії США (FTC). Японський інститут сприяння розвитку цифрової економіки та спільноти (нині званий JIPDEC) визнаний для сертифікації організацій, що підпадають під юрисдикцію Міністерства економіки, торгівлі та промисловості Японії. Сертифікація відповідності системі CBPR для організацій Тільки організації, які підпадають під дію законів однієї або кількох країн, що беруть участь у системі АТЕС CBPR, мають право на сертифікацію стосовно передачі персональної інформації. Організація, яка приймає участь у системі CBPR, ініціює процес шляхом подання анкети про самооцінку та відповідної документації для агента з питань відповідальності, визнаного АТЕС. Агент підзвітності потім проведе ітеративний процес оцінки, щоб визначити, чи відповідає організація базовим стандартам програми. Відповідальний агент несе виключну відповідальність за перші дві фази процесу акредитації системи CBPR (самооцінка та перевірка відповідності). Організації, які визнаються відповідними вимогам програми, будуть сертифіковані як CBPR-сумісні та визначені на веб-сайті CBPR. Станом на січень 2017 р. Понад 15 організацій отримали сертифікат APEC CBPR, всі вони знаходяться в США, і вони знаходяться на різних стадіях перегляду. Сертифіковані компанії повинні пройти щорічну повторну сертифікацію. Оскільки більшість агенцій підзвітності визнаються в економіках, що беруть участь у системі CBPR, очікується збільшення кількості сертифікованих організацій. Система CBPR встановлює мінімальні стандарти для вимог захисту приватності, і таким чином для АТЕС може знадобитися внести зміни до своїх внутрішніх законів, правил та процедур для участі у програмі. Проте з цим винятком система CBPR іншим чином не замінює або не змінює будь-які внутрішні закони та правила АТЕС. Дійсно, якщо внутрішні юридичні зобов'язання АТЕС перевищують норми системи CBPR, то ці закони будуть застосовуватися до їх повної міри.
PRP система Оскільки система CBPR (а також Рада APEC) застосовується лише до володільців даних, які залишаються відповідальними за діяльність, яку проводять процесори від їх імені, економіка країн-членів АТЕС та розпорядники даних заохочували розробку механізму, який допоможе визначити кваліфіковані та підзвітні організації. Це призвело, у 2015 році, до розробки програми PRP APEC, яка є механізмом, за допомогою якого обробники даних можуть бути сертифіковані агентом підзвітності. Ця сертифікація може забезпечити гарантії економії країн АТЕС та володільців даних щодо якості та сумісності політики і практики конфіденційності. PRP не змінює розподілу відповідальності за практику процесора на володільця даних, і немає вимоги про те, щоб володілець залучав процесора, визнаного PRP, для дотримання принципу підзвітності Framework. АТЕС в процесі інтеграції системи PRP в систему управління CBPR і очікується, що система PRP буде застосовуватись за тією ж моделлю. Однак відмінності в національному законодавстві серед АТЕС, однак, обов'язково призводять до різних варіантів примусового виконання в рамках системи PRP та того, як кожний підтримуватиме виконання, ще не завершена. iii. CPEA Однією з головних цілей Конфіденційності є сприяння внутрішнім та міжнародним зусиллям щодо сприяння та захисту інформації про конфіденційність інформації. Система конфіденційності не створює жодного централізованого органу виконавчої влади, а заохочує співпрацю органів правопорядку в Азіатсько-Тихоокеанському регіоні. АТЕС створила CPEA як багатосторонню угоду для полегшення такої взаємодії. CPEA став першим механізмом в Азіатсько-Тихоокеанському регіоні для сприяння співпраці між правоохоронними органами. Серед іншого, CPEA сприяє добровільному обміну інформацією та здійсненню: сприяння обміну інформацією між правоохоронними органами у країнахчленах АТЕС; b) підтримка ефективної транскордонної співпраці між правоохоронними органами через передачу виконавчих документів та паралельні або спільні дії; і c заохочення співпраці та обміну інформацією з правоохоронними органами країн, що не є членами АТЕС. В 2009 році міністри АТЕС були схвалені та розпочали роботу в 2010 році з п'ятьма країнами-учасницями: Австралією, Китаєм, Гонконгом, Нової Зеландії та Сполученими Штатами. Будь-який правопримусовий орган, який здійснює конфіденційність, може брати участь у будь-якій країні-члені АТЕС, і мати більше одного представника, що здійснює конфіденційність. Станом на вересень 2017 р. Учасники CPEA включали більше двох десятків органів з питань захисту приватності від 10 країн-членів АТЕС. За умовами CPEA, будь-який орган виконавчої влади з питань недоторканності приватної інформації може звернутися за допомогою до правоохоронних органів у іншій країні АТЕС, подаючи прохання про допомогу. Орган, що
здійснює дотримання конфіденційності, має право самостійно приймати рішення щодо надання такої допомоги. Участь у СЕЗ є обов'язковою умовою участі економіки АТЕС в системі ЦБРР. Як результат, кожна з учасників економіки АТЕС має визначити відповідний регуляторний орган, який буде виконувати роль правозастосовного органу в системі CBPR. Цей орган, відповідальний за забезпечення конфіденційності, повинен бути готовим до розгляду та розслідування скарги CBPR, якщо це не може бути вирішено сертифікованою організацією або відповідним агентом підзвітності, а також вжити необхідних та доречних заходів щодо виконання заходів. Оскільки більшість країн-членів приєднаються до системи CBPR, ця відповідальність за правопорушення, ймовірно, стане більш помітною. IV СПІВРОБІТНИЦТВО Беручи до уваги глобальний характер потоків персональних інформаційних потоків, підкомітет з питань захисту даних APEC бере участь у спільних зусиллях з іншими міжнародними організаціями з метою посилення довіри та довіри до захисту персональної інформації та, в кінцевому підсумку, для забезпечення відповідних переваг електронної комерції процвітати через регіон АТЕС. Хоча режими конфіденційності, такі як Рамки захисту приватного сектору APEC, розроблені на рівні принципів, часто існують суттєві відмінності в юридичній та політичній реалізації цих принципів у різних економіках у всьому світі. Прагнучи подолати ці відмінності та знайти спільність між двома найбільшими системами конфіденційності - Рамкою конфіденційності APEC та Директивою ЄС щодо захисту даних - в 2012 році АТЕС схвалила участь у робочій групі, щоб вивчити взаємодію режимів збереження даних у країнах АТЕС та ЄС. На початку 2014 року Робоча група АТЕС / ЄС випустила довідковий документ (схвалений старшими лідерами APEC у лютому 2014 року), який відображає вимоги до системи CBPR та обов'язкові корпоративні правила (BCR) відповідно до Директиви ЄС щодо захисту даних та визначає спільні риси та відмінності між два (референтні). Цей документ є важливим інструментом для транснаціональних компаній у розробці глобальних процедур дотримання конфіденційності, які сумісні з обома системами. Оскільки вона створена у форматі блоків, висвітлюючи сфер спільності та додаткові вимоги до кожного режиму приватності, референтний являє собою порівняльний інструмент, який може використовуватися як контрольний список компаніями, які шукають або розглядають сертифікацію однією або обома системами. Однак це не створює взаємодії чи взаємного визнання режимів.