EUROPA-KOMMISSIONEN
Bruxelles, den 29.2.2016
COM(2016) 117 final
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Transatlantiske datastrømme: genoprettelse af tilliden via stærke garantier
EUROPA-KOMMISSIONEN
Bruxelles, den 29.2.2016
COM(2016) 117 final
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Transatlantiske datastrømme: genoprettelse af tilliden via stærke garantier
1. Indledning: Udveksling af personoplysninger i forholdet mellem EU og USA
Et solidt transatlantisk partnerskab mellem EU og USA er i dag vigtigere nogensinde. Vi har fælles værdier og fælles politiske og økonomiske mål, og vi arbejder tæt sammen i kampen mod fælles trusler mod vores sikkerhed. Styrken af vores forhold kan ses af omfanget af vores handelstransaktioner og vores tætte samarbejde i globale anliggender.
Overførsel og udveksling af personoplysninger er en vigtig del af dette og understreger de tætte forbindelser mellem Den Europæiske Union (EU) og Amerikas Forenede Stater (USA) inden for både handel og retshåndhævelse. Disse dataudvekslinger kræver et højt niveau af databeskyttelse og tilsvarende garantier.
I juni 2013 var der som følge af rapporter om storstilede programmer til indsamling af efterretningsoplysninger i USA store betænkeligheder på såvel EU-plan som i medlemsstaterne om konsekvenserne for EU-borgernes grundlæggende rettigheder af denne storstilede behandling af personoplysninger hos både offentlige myndigheder og private virksomheder i USA.
Som svar på dette udstedte Kommissionen den 27. november en meddelelse om at genopbygge tilliden til datastrømmene mellem EU og USA 1 , som indeholdt en handlingsplan for at genoprette tilliden til datastrømmene til fordel for den digitale økonomi, beskyttelsen af EU-borgernes rettigheder og det transatlantiske forhold som sådan. Meddelelsen indeholdt følgende nøgleforanstaltninger for at nå dette mål:
i) vedtagelse af databeskyttelsesreformpakken, som Kommissionen fremlagde forslag til i 2012 2
ii) en endnu sikrere safe harbour-ordning på grundlag af de 13 anbefalinger i safe harbour-meddelelsen 3
iii) styrkede garantier vedrørende databeskyttelse på retshåndhævelsesområdet, navnlig ved at afslutte forhandlingerne om paraplyaftalen om databeskyttelse mellem EU og USA. Sidstnævnte omfattede også målet om at opnå tilsagn fra USA om individuelle rettigheder, der kan håndhæves, herunder adgang til domstolsprøvelse, navnlig gennem loven om domstolsprøvelse (Judicial Redress Act), der giver EU-borgere visse rettigheder, som er indeholdt i den amerikanske lov om privatlivets fred (Privacy Act) fra 1974, og som på det tidspunkt kun var tilgængelige for amerikanske statsborgere og fastboende personer.
Disse mål blev bekræftet i Juncker-Kommissionens politiske retningslinjer 4 : "Databeskyttelse er i vores digitale tidsalder en særlig vigtig fundamental rettighed. Samtidig med at vi hurtigt får sat sidste punktum i det lovgivningsmæssige arbejde om fælles regler om databeskyttelse i Den Europæiske Union, skal vi også sørge for at hævde denne ret i vores eksterne forbindelser. I lyset af de seneste afsløringer om masseovervågninger skal vores nære samarbejdspartnere såsom USA overbevise os om, at de nuværende safe harbour-aftaler virkelig er sikre, hvis de skal fortsætte. USA skal også garantere, at alle EU's borgere har ret til at udøve deres ret til databeskyttelse ved de amerikanske domstole, uanset om de er bosiddende i USA eller ej. Dette er afgørende for at genoprette tilliden i det transatlantiske forhold."
Siden har Kommissionen arbejdet på at nå disse mål. Kommissionen optrappede forhandlingerne om paraplyaftalen, som parterne paraferede den 8. september 2015. De interinstitutionelle drøftelser om databeskyttelsesreformpakken blev intensiveret og mundede ud i en politisk aftale mellem Rådet og Europa-Parlamentet den 15. december 2015. Med hensyn til transatlantiske dataoverførsler på det kommercielle område indledte Kommissionen i januar 2014 drøftelser med USA for at styrke safe harbour-ordningen. Ugyldiggørelsen af safe harbour-afgørelsen ved EU-Domstolen i Schrems-afgørelsen den 6. oktober 2015 5 bekræftede, at der var behov for nye rammer, og gav yderligere vejledning om, hvilke betingelser rammerne skulle opfylde. Efter afgørelsen udstedte Kommissionen den 6. november 2015 en vejledning til virksomheder om de alternative instrumenter, der gør det muligt fortsat at overføre personoplysninger til USA 6 . Den 2. februar 2016 blev der indgået en politisk aftale om en ny ramme for transatlantiske datastrømme, EU's og USA's værn om privatlivets fred 7 , som skulle erstatte den tidligere ordning.
Disse resultater vil gavne det transatlantiske forhold og skal genoprette europæernes tillid til den digitale økonomi og samtidig styrke deres grundlæggende rettigheder. De vil ligeledes give EU og medlemsstaterne en stærkere rammelovgivning for databeskyttelse, som vil øge integrationen af det indre marked, navnlig det digitale indre marked, og gøre det muligt for EU at øge indsatsen for at fremme og udvikle internationale standarder for privatlivets fred og beskyttelse af personoplysninger.
Parallelt dermed blev der iværksat vigtige initiativer, der har medført betydelige ændringer i lovgivningen i USA. Den 17. januar 2014 annoncerede præsident Obama 8 reformer af USA's signalefterretningsaktiviteter, som efterfølgende blev fastsat i præsidentielt politisk direktiv 28 (PPD-28) 9 . Vigtigt er det, at disse reformer gav mulighed for at udvide visse former for beskyttelse af privatlivets fred til ikke-amerikanere og flyttede fokus inden for dataindsamling fra masseindsamling til at prioritere målrettet indsamling og adgang. Kommissionen glædede sig over de nye retningslinjer, som den så som et vigtigt skridt i den rigtige retning 10 . Denne reformproces var også medvirkende til at præge drøftelserne med USA om EU's og USA's værn om privatlivets fred. Der er siden da indført yderligere ændringer. I juni 2015 vedtog USA f.eks. frihedsloven (Freedom Act) 11 , som ændrede visse amerikanske overvågningsprogrammer, styrkede det retlige tilsyn og gav øget offentlig åbenhed med hensyn til brugen deraf. Endelig vedtog den amerikanske kongres den 10. februar 2016 loven om domstolsprøvelse, som præsident Obama undertegnede den 24. februar 2016. 12
Det er på denne baggrund, at der i denne meddelelse gøres status over, hvor langt vi er nået i realiseringen af målene i 2013-meddelelsen. Desuden sættes der fokus på, hvor der fortsat er behov for mere arbejde for at cementere og genopbygge tilliden til transatlantiske datastrømme.
2. EU's databeskyttelsesreform
2.1 Baggrund
For at udnytte mulighederne og imødegå udfordringerne i en stadig mere digital og forbundet verden fremlagde Kommissionen sin databeskyttelsesreformpakke ("reformen") i januar 2012. Ved at styrke EU-interne regler og ved at give fysiske personer mere kontrol over deres personoplysninger er formålet med reformen at øge tilliden til den digitale økonomi, uanset om personoplysningerne behandles i en medlemsstat, i EU eller i et tredjeland såsom USA.
Reformpakken omfatter to retsakter, en generel forordning om databeskyttelse 13 ("forordningen"), der fastsætter en fælles EU-ramme for databeskyttelse, og et direktiv om databeskyttelse inden for politisamarbejde og retligt samarbejde ("politidirektivet") 14 . Kommissionens mål med at foreslå en forordning, der kan anvendes direkte i medlemsstaterne, var at etablere én fælles databeskyttelsesstandard for alle og dermed fjerne forskellene i beskyttelsesniveauet i medlemsstaterne. På samme måde fastsættes der i politidirektivet for første gang et fælles sæt regler på EU-plan, hvori der samtidig tages højde for de specifikke retlige og retshåndhævelsesmæssige traditioner i medlemsstaterne.
Den 15. december 2015 nåede Europa-Parlamentet og Rådet til politisk enighed om reformpakken og sørgede dermed for gennemførelsen af en af nøgleforanstaltningerne i 2013-meddelelsen.
2.2 Ændringer
Forordningen indebærer en ajourføring, modernisering og i visse tilfælde en styrkelse af de databeskyttelsesprincipper, som er indeholdt i databeskyttelsesdirektivet fra 1995 15 , og som skal garantere retten til privatlivets fred. Der fokuseres på at styrke fysiske personers rettigheder, uddybe det indre marked i EU, sikre en stærkere håndhævelse af reglerne, effektivisere internationale overførsler af personoplysninger og etablere globale databeskyttelsesstandarder. Reglerne har til formål at sikre, at EU-borgernes personoplysninger beskyttes – uanset hvortil de sendes, eller hvor de behandles eller opbevares – også uden for EU, som det ofte er tilfældet i den digitale verden. En række funktioner i reformen er særligt relevante at fremhæve.
Først det første det territoriale anvendelsesområde: I forordningen gøres det klart, at den også finder anvendelse på virksomheder, som er etableret i et tredjeland, hvis de udbyder varer eller tjenester eller overvåger fysiske personers adfærd i EU. Virksomheder uden for EU skal anvende de samme regler som virksomheder, der er etableret i EU. Dermed sikres en omfattende beskyttelse af EU-borgernes rettigheder. Det skaber også lige vilkår mellem EU-virksomheder og tredjelandes virksomheder, så der undgås konkurrencemæssige ubalancer mellem disse, når de opererer i EU eller retter deres aktiviteter mod EU's forbrugere.
For det andet en mere effektiv håndhævelse af databeskyttelsesreglerne: Forordningen indeholder effektive sanktioner i form af harmonisering af de nationale databeskyttelsesmyndigheders beføjelser. De vil få beføjelse til at pålægge bøder på op til 20 mio. EUR eller op til 4 % af en virksomheds samlede globale årsomsætning. Denne beføjelse til at indføre afskrækkende sanktioner for manglende overholdelse af databeskyttelsesreglerne og det ovenfor nævnte territoriale anvendelsesområde sikrer, at virksomheder, der gør forretninger i EU, har alle mulige incitamenter til at overholde EU-retten. Med de nye regler indføres også et klarere og strengere ansvar for registeransvarlige og registerførere.
For det tredje de harmoniserede regler for samarbejdet på retshåndhævelsesområdet: Med politidirektivet vil der blive anvendt generelle databeskyttelsesprincipper og regler til behandling af personoplysninger i politi og retsmyndigheder i kriminalsager. Dette omfatter harmoniserede regler for internationale overførsler af personoplysninger i forbindelse med samarbejdet om kriminalsager 16 . Det nye direktiv øger beskyttelsen af fysiske personer og sikrer samtidig, at oplysninger tilhørende ofre, vidner og personer, der mistænkes for forbrydelser, er behørigt beskyttet i forbindelse med en strafferetlig efterforskning eller en retshåndhævelsesaktion. Tilsynet sikres af uafhængige nationale databeskyttelsesmyndigheder, og fysiske personer skal have adgang til effektive retsmidler. Samtidig vil mere harmoniseret lovgivning sætte politiet og retsmyndighederne i stand til at samarbejde mere effektivt, både medlemsstaterne imellem og mellem medlemsstaterne og deres internationale partnere, således at kriminalitet og terrorisme kan bekæmpes mere effektivt. Dette er en vigtig del af den europæiske dagsorden om sikkerhed 17 .
For det fjerde de stærkere regler for at opnå sikrere internationale overførsler: Både forordningen og politidirektivet indeholder gennemsigtige, detaljerede og omfattende regler for overførsel af personoplysninger til tredjelande. De dækker alle former for internationale overførsler, både til kommercielle formål og retshåndhævelsesformål, mellem private parter og offentlige myndigheder eller mellem private enheder og offentlige myndigheder. Selv om reglerne om internationale overførslers arkitektur forbliver stort set den samme som efter det nuværende databeskyttelsesdirektiv (dvs. med afgørelser om et tilstrækkeligt beskyttelsesniveau, standardkontraktklausuler og bindende virksomhedsregler samt visse afvigelser fra det generelle forbud mod at overføre personoplysninger uden for EU), præciseres og forenkles disse regler på en række måder i reformen, som samtidig begrænser bureaukratiet. Med forordningen indføres også nogle nye værktøjer til internationale overførsler.
Forordningen styrker endvidere EU's databeskyttelsesmyndigheders beføjelser, herunder med hensyn til internationale overførsler. Sammenlignet med det nuværende databeskyttelsesdirektiv indeholder forordningen mere detaljerede og dermed styrkede bestemmelser om EU's databeskyttelsesmyndigheders uafhængighed, funktioner og beføjelser. Dette omfatter navnlig beføjelser til at suspendere datastrømme til en modtager i et tredjeland eller til en international organisation. Politidirektivet indeholder lignende bestemmelser for internationale overførsler og databeskyttelsesmyndighedernes beføjelser i forhold til retshåndhævelsesområdet.
Mere specifikt indeholder forordningen for så vidt angår reglerne om Kommissionens afgørelser om tilstrækkeligheden af beskyttelsesniveauet et præcist og detaljeret katalog over de elementer, som Kommissionens skal tage hensyn til, når den vurderer databeskyttelsesniveauet i et tredjelands lovgivning. Denne proces består i en omfattende vurdering, som Kommissionen skal foretage, og som skal omfatte – et element, der også stemmer overens med Schremsafgørelsen – reglerne for de offentlige myndigheder i et tredjelands adgang til personoplysninger. En anden vigtig del af denne vurdering er, at fysiske personer får effektive og eksigible databeskyttelsesrettigheder, herunder effektiv adgang til administrativ og retlig prøvelse.
Endvidere kræves det udtrykkeligt i forordningen, at Kommissionen regelmæssigt og mindst hvert fjerde år skal evaluere alle sine afgørelser om tilstrækkeligheden af beskyttelsesniveauet for at være på forkant med den relevante udvikling i et tredjeland, som kan have en direkte eller negativ indvirkning på beskyttelsesniveauet i landets lovgivning. Denne løbende overvågning af tilstrækkeligheden vil være en mere dynamisk proces, eftersom den også vil omfatte en dialog med det pågældende lands myndigheder.
For så vidt angår overførsler til tredjelande, for hvilke der ikke er truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, indeholder forordningen betingelserne for anvendelsen af alternative overførselsværktøjer som standardkontraktklausuler og bindende virksomhedsregler. Ligeledes tilføjes andre overførselsinstrumenter som f.eks. godkendte adfærdskodekser og godkendte certificeringsmekanismer. Endelig præcises det, i hvilke situationer der kan anvendes undtagelser.
2.3 Vejen frem
Databeskyttelsesreformen er et vigtigt skridt på vejen til at styrke borgernes grundlæggende rettigheder i den digitale tidsalder og fremme handel ved at forenkle reglerne for virksomhederne på det digitale indre marked. Forbrugernes tillid til operatører i EU og tredjelande vil fremme og gavne den europæiske og globale digitale økonomi. Dette vil have en positiv indvirkning på vores handelsforbindelser med USA, som er vores største handelspartner. Det vil give klarhed og et stabilt forretningsmiljø for både EU-virksomheder og udenlandske virksomheder. Amerikanske virksomheder vil drage fordel af den retssikkerhed, der følger af at gøre forretninger med et integreret økonomisk område, der anvender et ensartet sæt databeskyttelsesregler.
Fælles regler på retshåndhævelsesområdet vil sikre en bedre beskyttelse af fysiske personers data og ret til effektive retsmidler. Fremme af det grænseoverskridende samarbejde mellem politi- og retsmyndighederne i medlemsstaterne vil øge effektiviteten af den strafferetlige håndhævelse og dermed skabe betingelserne for mere effektiv forebyggelse af kriminalitet i EU. Dette vil samtidig sikre et mere smidigt samarbejde med modparter i tredjelande.
Reformpakken ventes at blive vedtaget formelt af Europa-Parlamentet og Rådet i løbet af første halvår 2016. Forordningen træder i kraft to år efter vedtagelsen, mens politidirektivet har en gennemførelsesperiode på to år. Alle aktører i og uden for EU bør udnytte den toårige overgangsperiode til at forberede sig på de nye regler. Kommissionen vil spille sin rolle. I overgangsperioden vil Kommissionen arbejde tæt sammen med medlemsstaterne, databeskyttelsesmyndighederne og andre interesserede parter for at sikre en ensartet anvendelse af reglerne og fremme et miljø, der er klar til at overholde reglerne.
3. EU's og USA's værn om privatlivets fred: En ny transatlantisk ramme for datastrømme
3.1 Baggrund
For at lette strømmen af personoplysninger mellem EU og USA, der udveksles til kommercielle formål, og samtidig beskytte disse data, anerkendte Kommissionen tilbage i 2000, at safe harbour-ordningen gav et tilstrækkeligt beskyttelsesniveau 18 . Som følge deraf kunne personoplysninger trods den manglende generelle databeskyttelseslovgivning i USA frit overføres fra EU's medlemsstater til virksomheder i USA, som havde tilsluttet sig principperne om privatlivets fred, som understøttede rammerne.
I safe harbour-meddelelsen fra 2013 19 påpegede Kommissionen en række svagheder i, hvordan ordningen fungerede over tid, navnlig en manglende gennemsigtighed fra de deltagende virksomheders side og manglende effektiv håndhævelse fra de amerikanske myndigheders side af de pågældende virksomheders overholdelse af ordningens principper om privatlivets fred. Desuden rejste afsløringerne tidligere på året om overvågning bekymring om omfanget og udbredelsen af visse amerikanske efterretningsprogrammer og de amerikanske offentlige myndigheders adgang til EU-borgeres personoplysninger, som blev overført under safe harbour-ordningen. I betragtning af disse og andre elementer 20 konkluderede Kommissionen, at safe harbour-ordningen skulle tages op til fornyet overvejelse. På denne baggrund formulerede Kommissionen 13 anbefalinger 21 for at styrke og ajourføre de indbyggede databeskyttelsesgarantier i rammerne. Disse anbefalinger fokuserede på: i) styrkelse af de omfattende principper om privatlivets fred og øget gennemsigtighed i amerikanske selvcertificerede virksomheders privatlivspolitikker, der bygger på disse principper, ii) bedre og effektiv(t) tilsyn, overvågning og håndhævelse fra de amerikanske myndigheders side af virksomhedernes overholdelse af principperne, iii) økonomisk overkommelige tvistbilæggelsesmekanismer til individuelle klager og iv) behovet for at sikre, at den nationale sikkerheds- og retshåndhævelsesundtagelse i safe harbour-afgørelsen fra 2000 kun anvendes, når det er strengt nødvendigt eller proportionalt.
På grundlag af disse 13 anbefalinger indledte Kommissionen i januar 2014 drøftelser med de amerikanske myndigheder. EU-Domstolens efterfølgende ugyldiggørelse af safe harbour-afgørelsen den 6. oktober 2015 bekræftede behovet for en stærkere og ny ramme for kommercielle transatlantiske datastrømme. Selv om Domstolen i sin dom trækker på Kommissionens anbefalinger fra 2013, understreger den samtidig behovet for at indføre begrænsninger, garantier og retlige kontrolmekanismer for at sikre den fortsatte beskyttelse af EU-borgernes personoplysninger, herunder hvornår de offentlige myndigheder tilgår og anvender data af hensyn til den nationale sikkerhed, den offentlige interesse eller retshåndhævelsen.
Den 2. februar 2016 nåede EU og USA efter to års intensive drøftelser til politisk enighed om en ny ramme, EU's og USA's værn om privatlivets fred. Denne nye ordning omfatter vigtige nye garantier og vil garantere et højt beskyttelsesniveau for EU-borgernes grundlæggende rettigheder. Den vil give den nødvendige retssikkerhed for virksomheder på begge sider af Atlanten, som ønsker at gøre forretninger sammen. Og den vil tilføre en ny dynamik i det transatlantiske partnerskab.
Efter afslutningen af forhandlingerne med USA vil Kommissionen forelægge den nye ordning for "Artikel 29-Gruppen" (som omfatter EU's databeskyttelsesmyndigheder) for at få en udtalelse om beskyttelsesniveauet. Afgørelsen om tilstrækkeligheden af beskyttelsesniveauet skal desuden igennem komitologiproceduren, inden den kan vedtages. Den Europæiske Tilsynsførende for Databeskyttelse vil også blive hørt.
3.2 Ændringer
EU's og USA's værn om privatlivets fred er et robust og effektivt svar på både Kommissionens 13 anbefalinger og Schrems-afgørelsen. Det indeholder en række vigtige forbedringer sammenlignet med den tidligere ramme med hensyn til de forpligtelser, som amerikanske virksomheder skal varetage. Den indeholder også vigtige nye forpligtelser og detaljerede forklaringer af relevant amerikansk lovgivning og de amerikanske myndigheders praksis. I modsætning til sin forgænger dækker værnet om privatlivets fred ikke kun forpligtelser i den kommercielle sektor, men også i høj grad og for første gang forbindelserne mellem EU og USA med hensyn til offentlige myndigheders adgang til personoplysninger, herunder af nationale sikkerhedshensyn. Dette er i lyset af Domstolens retspraksis et vigtigt og nødvendigt element for at genskabe tilliden i de transatlantiske forbindelser efter afsløringerne om overvågning.
De vigtigste resultater af denne nye ordning kan inddeles i fire hovedkategorier:
For det første, mere bindende forpligtelser for virksomhederne og konsekvent håndhævelse: Den nye ordning vil være mere gennemsigtig og indeholde effektive overvågningsmekanismer, der sikrer, at virksomhederne følger de regler, de juridisk har forpligtet sig til at overholde. Amerikanske virksomheder, der ønsker at indføre personoplysninger fra Europa under værnet om privatlivets fred, skal acceptere robuste forpligtelser, der omhandler, hvordan personoplysninger behandles, og hvordan fysiske personers rettigheder garanteres. Dette omfatter strengere betingelser og ansvarsbestemmelser for de deltagende virksomheders videregivelse af EU-data, f.eks. til delforarbejdning, til tredjeparter uden for denne ramme, enten i USA eller i andre tredjelande ("videregivelser"). Med hensyn til tilsyn har det amerikanske handelsministerium forpligtet sig til en regelmæssig og streng overvågning af, hvordan virksomhederne overholder deres forpligtelser, samt til at rense ud i virksomheder, der kører "på frihjul", dvs. som påstår, at de er med i ordningen, uden at være det. Virksomhedernes forpligtelser er juridisk bindende og kan håndhæves i henhold til amerikansk lov af Federal Trade Commission, og virksomheder, der ikke overholder dette, vil blive mødt med alvorlige sanktioner.
For det andet, klare beskyttelses- og gennemsigtighedskrav for den amerikanske stats adgang: For første gang har den amerikanske regering gennem justitsministeriet og Det Hvide Hus' direktør for nationale efterretninger, som er det organ, der fører tilsyn med hele det amerikanske efterretningsmiljø, givet EU skriftlig garanti for, at den adgang til data, som de offentlige myndigheder har af hensyn til den nationale sikkerhed, vil blive underlagt klare begrænsninger, garantier og tilsynsordninger. USA vil også oprette en ny klagemekanisme for EU-borgere på området nationale efterretninger i form af en ombudsmand, som er uafhængig af de nationale sikkerhedsmyndigheder. Ombudsmanden får til opgave at følge op på klager og forespørgsler fra EU-borgere om national sikkerhedsadgang og skal oplyse dem om, hvorvidt de relevante love er blevet overholdt, eller om eventuel manglende overholdelse er afhjulpet. Dette er en vigtig udvikling, som ikke kun vil gælde for overførsler under værnet om privatlivets fred, men for alle personoplysninger, som overføres til USA til kommercielle formål, uanset baggrunden for at overføre sådanne data.
For det tredje effektiv beskyttelse af EU-borgeres rettigheder med forskellige klagemuligheder: Alle i EU, som mener, at hans eller hendes data er blevet misbrugt under den nye ordning, har en række tilgængelige og økonomisk overkommelige individuelle klagemuligheder, herunder gratis alternative tvistbilæggelsesorganer. Virksomhederne skal finde en løsning på klager inden en fast frist. Desuden skal alle virksomheder, der behandler data vedrørende menneskelige ressourcer fra Europa, overholde de beslutninger, som den kompetente databeskyttelsesmyndighed i EU har truffet, mens andre virksomheder frivilligt kan forpligte sig til dette. Fysiske personer kan også klage til deres "nationale" databeskyttelsesmyndighed, som tilbydes en formel procedure for henvisning af klager til handelsministeriet og Federal Trade Commission for at gøre det lettere at efterforske og finde en løsning på den enkelte klage inden for en rimelig tidsramme. Hvis en sag imidlertid ikke løses ad nogle af disse veje, kan fysiske personer som en sidste udvej klage til et panel under værnet om privatlivets fred, som er en tvistbilæggelsesmekanisme, der kan træffe bindende og eksigible afgørelser mod amerikanske virksomheder under værnet om privatlivets fred. Derudover kan EU's databeskyttelsesmyndigheder bistå fysiske personer med at forberede deres sag. Som nævnt ovenfor vil der for klager over de nationale efterretningsmyndigheders mulige adgang blive oprettet en ny ombudsmand som endnu en klagemulighed.
For det fjerde og endelig en årlig fælles evalueringsmekanisme: Denne mekanisme giver Kommissionen mulighed for regelmæssigt at overvåge, hvordan alle dele af værnet om privatlivets fred fungerer, herunder de begrænsninger og garantier, der vedrører adgang af hensyn til den nationale sikkerhed. Det er Europa-Kommissionen og USA's handelsministerium, der vil forestå evalueringen, og de inddrager i den forbindelse de europæiske databeskyttelsesmyndigheder og USA's nationale sikkerhedsmyndigheder samt ombudsmanden. USA holdes på denne måde ansvarlig for sine forpligtelser. Men her stopper Kommissionen ikke: Den agter at trække på alle andre tilgængelige informationskilder, herunder virksomheders frivillige gennemsigtighedsrapporter om, i hvilket omfang myndighederne anmoder om adgang til data 22 . Den årlige evaluering går videre end den nye forordning, som blot stiller krav om en sådan evaluering mindst hvert fjerde år, hvilket viser, at både EU og USA er indstillet på at sikre fuld overholdelse.
Denne evaluering er ikke en formel øvelse uden konsekvenser. Såfremt amerikanske virksomheder eller offentlige myndigheder ikke overholder deres forpligtelser, vil Kommissionen aktivere processen for at suspendere værnet om privatlivets fred. Som Domstolen understregede i Schrems-afgørelsen, må en afgørelse om tilstrækkeligt beskyttelsesniveau ikke være virkningsløs. I stedet skal amerikanske virksomheder og myndigheder puste liv i denne ramme og løbende holde den i gang ved at leve op til deres forpligtelser. Hvis ikke, er den særlige fordel for dataoverførsler, som ligger i en afgørelse om tilstrækkeligt beskyttelsesniveau, ikke længere berettiget og vil blive trukket tilbage.
3.3 Vejen frem
De forpligtelser, som USA har aftalt under værnet om privatlivets fred, danner grundlag for og afspejles i en ny afgørelse fra Kommissionen om et tilstrækkeligt beskyttelsesniveau. Virksomhederne opfordres til allerede nu at begynde deres forberedelser, så de er godt rustet til at tilslutte sig de nye rammer hurtigst muligt efter vedtagelsen af Kommissionens afgørelse. Den amerikanske regering vil offentliggøre sine udtalelser i det amerikanske Federal Register og dermed offentligt give tilsagn om at overholde sine forpligtelser.
EU's og USA's værn om privatlivets fred kræver handling fra mange aktører:
De deltagende amerikanske virksomheder, som skal opfylde deres forpligtelser i henhold til rammen, velvidende at den vil blive strengt håndhævet, og at de vil blive sanktioneret, hvis de ikke overholder den. For at styrke tilliden i forhold til deres forbrugere opfordres virksomhederne også til at vælge de europæiske databeskyttelsesmyndigheder til behandling af klager under værnet om privatlivets fred, eftersom europæiske fysiske personer sandsynligvis vil henvende sig til disse myndigheder. Ligeledes vil det omfang, i hvilket virksomhederne er parate til at udnytte muligheden i den amerikanske lovgivning til at offentliggøre gennemsigtighedsrapporter om anmodninger om adgang til EU-data af hensyn til den nationale sikkerhed og til retshåndhævelse, som de modtager, bidrage til at bevare tilliden til, at denne adgang kun anvendes, når det er nødvendigt og proportionelt 23 .
De forskellige amerikanske myndigheder, som har til opgave at føre tilsyn med og håndhæve rammen og samtidig respektere begrænsninger og garantier med hensyn til adgang til data af hensyn til retshåndhævelsen og den nationale sikkerhed, og de myndigheder, som har til opgave at svare rettidigt og meningsfuldt på klager fra EU-borgere om eventuel misbrug af deres personoplysninger.
EU's databeskyttelsesmyndigheder, som spiller en vigtig rolle i forhold til at sikre, at fysiske personer på effektiv vis kan udøve deres rettigheder i henhold til værnet om privatlivets fred, herunder ved at kanalisere deres klager til de relevante amerikanske myndigheder og samarbejde med sidstnævnte, iværksætte ombudsmandsmekanismen, bistå klagerne med at indbringe deres sag for panelet i værnet om privatlivets fred og have et overblik over overførsler af data vedrørende menneskelige ressourcer.
Kommissionen, som er ansvarlig for at konstatere tilstrækkeligheden af beskyttelsesniveauet og regelmæssigt evaluere dette. Disse regelmæssige evalueringer afviger meget i forhold til den tidligere statiske situation ved at ændre afgørelsen om et tilstrækkeligt beskyttelsesniveau under værnet om privatlivets fred til en nøje overvåget og levende ramme.
Den årlige fælles evaluering og Kommissionens efterfølgende rapport – samt udsigten til at suspendere ordningen i tilfælde af manglende overholdelse – vil dermed spille en central rolle med hensyn til at sikre, at værnet om privatlivets fred vil stå sin prøve. Vores fælles transatlantiske ambition bør være sammen at udvikle en stærk kultur af overholdelse af privatlivets fred og beskyttelse af individuelle rettigheder, som genopbygger og bevarer tilliden.
4. Paraplyaftalen: Styrkede garantier vedrørende databeskyttelse på retshåndhævelsesområdet
4.1 Baggrund
En vigtig dimension af vores transatlantiske forhold er, at EU, medlemsstaterne og USA kan reagere effektivt på fælles sikkerhedstrusler og udfordringer på samvirkende og koordineret vis. Dette kollektive svar afhænger i høj grad af, om vi er i stand til at udveksle personoplysninger i et samarbejde på politi- og retsområdet i kriminalsager. Der er igennem tiden indgået en række bilaterale aftaler mellem medlemsstaterne og USA samt mellem EU og USA 24 i forfølgelsen af dette mål. Samtidig er det lige så vigtigt, at disse retshåndhævende aftaler indeholder effektive databeskyttelsesgarantier. De to formål med et vellykket samarbejde med vores amerikanske partnere om at bekæmpe alvorlig kriminalitet og terrorisme og samtidig højne beskyttelsesniveauet for europæere i overensstemmelse med deres grundlæggende rettigheder og EU's databeskyttelsesregler, når der foretages overførsler til dette formål, udløste forhandlingerne i marts 2011 om en international databeskyttelsesaftale på retshåndhævelsesområdet, nemlig "paraplyaftalen" mellem EU og USA om databeskyttelse 25 .
EU og USA afsluttede deres forhandlinger i sommeren 2015. De to parter paraferede paraplyaftalen den 8. september 2015 i Luxembourg 26 , og aftalen afventer nu ratificering på begge sider af Atlanten. Indgåelsen af paraplyaftalen var imidlertid betinget af, at den amerikanske kongres vedtog loven om domstolsprøvelse, som for første gang ville give EU-borgere og amerikanske statsborgere lige behandling i henhold til den amerikanske lov om privatlivets fred fra 1974 27 . Kongressen godkendte lovforslaget den 10. februar 2016, og loven blev undertegnet den 24. februar 2016.
4.2 Ændringer
Paraplyaftalen vil for første gang indeholde et harmoniseret og omfattende sæt databeskyttelsesgarantier, der skal gælde for alle transatlantiske udvekslinger mellem de relevante myndigheder på det strafferetlige område. Det er i realiteten en aftale om grundlæggende rettigheder, der sætter et højt beskyttelsesniveau, som alle dataudvekslinger i eksisterende og fremtidige aftaler skal måles mod.
For det første vil beskyttelsesforanstaltningerne og garantierne i paraplyaftalen horisontalt gælde for alle dataudvekslinger i forbindelse med det transatlantiske samarbejde om retshåndhævelse i kriminalsager. Dette omfatter overførsler på grundlag af nationale love, aftaler mellem EU og USA, aftaler mellem medlemsstaterne og USA (f.eks. aftaler om gensidig retshjælp) samt specifikke aftaler om private enheders overførsel af personoplysninger af hensyn til retshåndhævelsen. De aftalte bestemmelser vil således straks øge beskyttelsesniveauet for registrerede i EU, hvis data overføres til USA. De vil ligeledes øge retssikkerheden for det transatlantiske retshåndhævelsessamarbejde ved at sikre, at eksisterende aftaler indeholder alle nødvendige beskyttelsesforanstaltninger og dermed kan modstå eventuelle juridiske udfordringer.
For det andet dækker bestemmelserne alle EU's centrale databeskyttelsesregler med hensyn til behandlingsstandarder (f.eks. datakvalitet og integritet, datasikkerhed, ansvarlighed og overblik) garantier og begrænsninger (f.eks. begrænsninger for formål og anvendelse, datalagring, videregivelser, behandling af følsomme oplysninger) samt fysiske personers rettigheder (adgang, berigtigelse, adgang til administrativ og retlig prøvelse).
For det tredje vil aftalen sikre, at der er adgang til domstolsprøvelse for nægtelse af adgang, nægtelse af berigtigelse og uretmæssig videregivelse. Dette er en stor forbedring og vil i høj grad bidrage til at genskabe tilliden til transatlantiske udvekslinger. Dette vigtige og længe ytrede krav fra EU, som i mange år har ligget ubesvaret hen, har allerede manifesteret sig i den lov om domstolsprøvelse, som den amerikanske kongres indførte i marts 2015 og vedtog den 10. februar 2016. Denne lov giver EU-borgere 28 adgang til tre vigtige muligheder for domstolsprøvelse i henhold til den amerikanske lov om privatlivets fred fra 1974, som i dag er forbeholdt amerikanske statsborgere og fastboende personer. EU-borgere vil dermed for første gang kunne udnytte almengyldige rettigheder i forbindelse med alle transatlantiske dataoverførsler på det strafferetlige område. Dermed fjernes den kritiske forskel i behandlingen mellem EU-borgere og amerikanske statsborgere.
For det fjerde generaliserer og udvider paraplyaftalen princippet om uafhængigt tilsyn som et centralt databeskyttelseskrav for hele retshåndhævelsesområdet, og dette krav findes ikke i mange af de eksisterende bilaterale aftaler. Dette omfatter effektive beføjelser til at undersøge og løse individuelle klager med hensyn til overholdelsen af aftalen.
For det femte vil gennemførelsen af paraplyaftalen være underlagt regelmæssige fælles evalueringer. Der vil i forbindelse med disse evalueringer navnlig blive lagt vægt på bestemmelserne om fysiske personers rettigheder (adgang, berigtigelse, administrativ og retlig prøvelse).
Paraplyaftalen giver ikke i sig selv tilladelse til dataoverførsler, ligesom den ikke er en afgørelse om tilstrækkeligt beskyttelsesniveau.
4.3 Vejen frem
Ikrafttrædelsen af den amerikanske lov om domstolsprøvelse 29 vil bane vejen for undertegnelsen af paraplyaftalen. Kommissionen vil inden længe forelægge Rådet et forslag til afgørelse om godkendelse af undertegnelsen af paraplyaftalen. Efter undertegnelsen skal afgørelsen, der ligger til grund for aftalen, vedtages af Rådet efter godkendelse fra Europa-Parlamentet. Paraplyaftalen vil i høj grad forbedre den nuværende situation, som er kendetegnet ved fragmenterede, ikke-harmoniserede og ofte svage databeskyttelsesregler i et kludetæppe af multilaterale, bilaterale, nationale og sektorielle instrumenter. Paraplyaftalen har en retrospektiv funktion i og med, at den supplerer databeskyttelsesgarantierne i nuværende aftaler, hvis og i det omfang disse mangler de krævede garantier. I denne henseende vil det skabe betydelig merværdi ved at "udfylde hullerne" i de eksisterende aftaler, som indeholder lavere databeskyttelsesstandarder end dem, der findes i paraplyaftalen. Dette skaber kontinuitet i retshåndhævelsessamarbejdet og sikrer samtidig større retsgaranti i forbindelse med overførsler. Med hensyn til fremtidige aftaler vil paraplyaftalen være et sikkerhedsnet for beskyttelsesniveauet. Dette er en meget vigtig garanti for fremtiden og et stort skift fra den nuværende situation, hvor garantier, beskyttelsesforanstaltninger og rettigheder skal forhandles forfra for hver enkelt ny aftale. Paraplyaftalen er således en skabelon, der indeholder standardgarantier, som ikke kan forhandles nedad. Dette danner en meget vigtig præcedens, ikke kun for forholdet mellem EU og USA, men mere generelt for alle fremtidige databeskyttelses- eller dataudvekslingsordninger på internationalt plan.
Paraplyaftalen er blevet forhandlet parallelt med reformen og stemmer således overens med EU's databeskyttelsesrettigheder. Samspillet mellem paraplyaftalen og politidirektivet er særligt relevant i betragtning af betydningen af at få et højt og fælles databeskyttelsesniveau, uanset om personoplysningerne behandles på nationalt plan eller udveksles på tværs af EU's grænser eller med tredjelande. I denne henseende vil paraplyaftalen hjælpe med at underbygge de generelle krav i reformen på det transatlantiske område.
Det er af stor betydning, at forhandlingerne om paraplyaftalen, som fastsætter fælles standarder på et komplekst retligt og politisk område, nu er afsluttet. Den fremtidige paraplyaftale vil genoprette og styrke tilliden, give garantier for dataoverførslernes lovlighed og fremme samarbejdet mellem EU og USA på dette område.
Fremadrettet er der behov for i fællesskab at tage hånd om fælles udfordringer i forbindelse med samarbejdet på politi- og retsområdet. Et vigtigt spørgsmål handler om de retshåndhævende myndigheders direkte adgang til personoplysninger, som private virksomheder i udlandet ligger inde med. Denne adgang bør i princippet ske inden for rammerne af formelle samarbejdskanaler som aftaler om gensidig retshjælp eller andre sektorielle aftaler. Private virksomheder risikerer i dag at opleve en vis retsusikkerhed, som kan påvirke deres evne til at operere på tværs af forskellige jurisdiktioner, når de bliver anmodet om at give adgang til elektroniske beviser henhold til lovgivningen i ét land i form af personoplysninger, som er underlagt lovgivningen i et andet land. Parallelt med den kommende evaluering af aftalen om gensidig retshjælp mellem EU og USA 30 ser EU frem til yderligere udvekslinger med USA om dette, herunder om udvikling af fælles og mere effektive regler om indsamling af elektroniske beviser.
5. Konklusion
Den vellykkede afslutning af nøgleforanstaltningerne, som er beskrevet i 2013-meddelelsen, viser, at EU er i stand til at løse problemer på en pragmatisk og fokuseret måde uden at give køb på sine stærke grundlæggende rettigheder, værdier og traditioner. Det viser også, at EU og USA kan løse deres uoverensstemmelser og træffe vanskelige beslutninger for at bevare et strategisk forhold, der har stået sin prøve i tidens løb. Men samtidig med, at vi vender et nyt blad i vores bilaterale forbindelser, skal vi fortsat være årvågne, når vi står over for fælles trusler og udfordringer i en usikker verden.
Når værnet om privatlivets fred og paraplyaftalen er indført, skal begge parter sikre, at disse to vigtige rammer for dataoverførsel fungerer både effektivt og varigt. Om det lykkes, afhænger i høj grad af effektiv håndhævelse og overholdelse af de rettigheder, som tillægges fysiske personer. Det afhænger også af den løbende vurdering af, hvordan de fungerer, og det kræver et skifte i tankegangen fra en statisk til en mere dynamisk proces.
På denne baggrund er et vigtigt element i processen den igangværende reform af USA's efterretningsprogrammer. Kommissionen vil i denne henseende nøje følge de kommende rapporter, som udarbejdes af Privacy and Civil Liberties Oversight Board (PCLOB) og evalueringen af Section 702 FISA-programmet om udenlandsk overvågning, som skal foreligge i 2017. Navnlig vil yderligere reformer vedrørende gennemsigtighed, tilsyn og udvidelse af garantierne til ikke-amerikanske personer blive fulgt nøje.
Mere generelt vil EU i lyset af den betydning, som grænseoverskridende datastrømme har for den transatlantiske handel, nøje følge den videre lovgivningsproces i USA inden for privatlivets fred. Nu, hvor Europa har givet sig selv et enkelt, sammenhængende og robust regelsæt, håber vi, at USA også vil fortsætte bestræbelserne på at skabe et omfattende system for beskyttelse af privatlivets fred og databeskyttelse. Det er gennem en sådan samlet tilgang, at der på langt sigt kan opnås konvergens mellem de to systemer. I denne forbindelse vil Kommissionen afholde et årligt topmøde om privatlivets fred med interesserede ngo'er og andre berørte aktører på begge sider af Atlanten.
Partnerskabet mellem EU og USA kan være den drivkraft, der skal til for at fremme internationale juridiske standarder for beskyttelse af privatlivets fred og personoplysninger. Initiativer på FN-plan, herunder den særlige rapportørs arbejde for retten til privatlivets fred, kan også spille en vigtig rolle i denne henseende. I de kommende år bør EU og USA i lyset af disse spørgsmåls stadig større rolle på den globale scene benytte denne lejlighed til at fremme deres fælles værdier om individuelle frihedsrettigheder og rettigheder i en globaliseret digital verden.
Meddelelse fra Kommissionen til Europa-Parlamentet om genopbygning af tilliden til datastrømmene mellem EU og USA, COM(2013) 846 final, 27.11.2013 ("2013-meddelelsen" eller "meddelelsen"), som findes på: http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf .
Forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger (COM(2012) 10 final) og forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) (COM(2012) 11 final). http://ec.europa.eu/justice/data-protection/reform/index_en.htm
Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om, hvordan safe harbour-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU, COM(2013) 847 final, 27.11.2013, s. 18-19 ("safe harbour-meddelelsen"), som findes på: http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf .
En ny start for Europa: Min dagsorden for job, vækst, retfærdighed og demokratisk forandring, Politiske retningslinjer for den næste Europa-Kommission.
Dom af 6.10.2015 i sag C-362/14, Maximilian Schrems mod Data Protection Commissioner (EU:C:2015:650).
Se Meddelelse fra Kommissionen til Europa-Parlamentet og Rådet om videregivelse af personoplysninger fra EU til USA i henhold til direktiv 95/46/EF efter Domstolens dom i sag C-362/14 (Schrems), COM(2015) 566 final, 6.11.2015. Se også udtalelsen fra Artikel 29-Gruppen om følgerne af Schrems-dommen af 3.2.2016, som findes på: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf.
https://www.whitehouse.gov/the-press-office/2014/01/17/remarks-president-review-signals-intelligence
USA FREEDOM Act of 2015, Pub. L., nr. 114-23, § 401, 129 Stat. 268.
H.R.1428 - Judicial Redress Act of 2015. Den træder i kraft 90 dage efter vedtagelsen.
COM(2012) 11 final, 25.1.2012: se fodnote 2.
COM(2012) 10 final, 25.1.2012: se fodnote 2.
Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, EFT L 281 af 23.11.1995, s. 31 ("databeskyttelsesdirektivet").
I modsætning til Rådets rammeafgørelse 2008/977/RIA af 27.11.2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager, som kun dækker grænseoverskridende udveksling af data mellem medlemsstaternes kompetente myndigheder, vil anvendelsen af disse regler efter politidirektivet ikke længere afhænge af, om de pågældende data tidligere er blevet udvekslet mellem medlemsstaternes retshåndhævende myndigheder på det strafferetlige område.
Se Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget, Den europæiske dagsorden om sikkerhed, COM(2015) 185 final, 28.4.2015.
Kommissionens beslutning 2000/520/EF af 20.7.2000. I denne beslutning havde Kommissionen på grundlag af artikel 25, stk. 6, i databeskyttelsesdirektivet anerkendt safe harbour-principperne til beskyttelse af privatlivets fred og de ledsagende ofte stillede spørgsmål fra USA's handelsministerium som tilstrækkelig beskyttelse, for så vidt angår overførsel af personoplysninger fra EU. Safe harbour-ordningen byggede på forpligtelser og selvcertificering fra de deltagende virksomheders side. Reglerne var efter amerikansk lovgivning bindende for disse enheder og kunne håndhæves af USA's Federal Trade Commission.
Se fodnote 3.
Disse elementer omfattede en eksponentiel stigning i datastrømme og deres afgørende betydning for den transatlantiske økonomi samt den hurtige vækst i antallet af amerikanske virksomheder, der følger safe harbour-ordningen. Se safe harbour-meddelelsen, s. 37.
Safe harbour-meddelelsen s. 18-19.
Store amerikanske internetvirksomheder udarbejder allerede sådanne rapporter for at genvinde kundernes tillid. Den amerikanske frihedslov fra 2015 tillader, at der offentliggøres frivillige rapporter om anmodninger om adgang, i hvert fald inden for visse rammer for at beskytte nationale sikkerhedsinteresser.
Sådanne rapporter skal udarbejdes i overensstemmelse med bestemmelserne i den amerikanske frihedslov fra 2015. Se fodnote 22.
Navnlig aftalen mellem EU og USA om passagerlisteoplysninger og programmet mellem EU og USA til sporing af finansiering af terrorisme.
En aftale mellem EU og USA om beskyttelse af personoplysninger, der overføres og behandles med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser, herunder terrorisme, inden for rammerne af politisamarbejdet og det retlige samarbejde i kriminalsager.
http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm.
Loven om domstolsprøvelse giver borgere i de "omfattede lande", som udpeges af den amerikanske regering, visse rettigheder. Dette afhænger igen af følgende kriterier: a) Landet [eller den regionale organisation] har indgået en aftale med USA om beskyttelse af privatlivets fred med hensyn til oplysninger, der deles for at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser. b) Landet [eller den regionale organisation] tillader, at der overføres personoplysninger til kommercielle formål mellem landet og USA, og (c) politikkerne vedrørende overførsel af personoplysninger til kommercielle formål og relaterede handlinger i landet eller den regionale organisation er ikke til væsentlig hinder for de nationale sikkerhedsinteresser i USA.
Ifølge den amerikanske lov om domstolsprøvelse kan andre ikke-EU-lande eller "regionale økonomiske integrationsorganisationer" på lige fod udpeges som "dækkede lande" med den virkning, at retten til domstolsprøvelse også gælder deres borgere.
Den amerikanske lov om domstolsprøvelse (Judicial Redress Act) træder i kraft 90 dage efter dens vedtagelse.
Rådets afgørelse 2009/820/FUSP af 23.10.2009 om indgåelse på Den Europæiske Unions vegne af aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om udlevering og aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om gensidig retshjælp, EUT L 291 af 7.11.2009, s. 40-41.