Komisjoni otsus,

26. juuli 2000,

vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ piisava kaitse kohta, mis on ette nähtud programmi Safe Harbor põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja andnud Ameerika Ühendriikide kaubandusministeerium

(teatavaks tehtud numbri K(2000) 2441 all)

(EMPs kohaldatav tekst)

(2000/520/EÜ)

EUROOPA ÜHENDUSTE KOMISJON,

võttes arvesse Euroopa Ühenduse asutamislepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiivi 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta, [1] eriti selle artikli 25 lõiget 6,

ning arvestades järgmist:

(1) Direktiivi 95/46/EÜ kohaselt peavad liikmesriigid sätestama, et isikuandmeid võib kolmandasse riiki edastada üksnes juhul, kui kõnealuses kolmandas riigis on tagatud nende kaitse piisav tase ning enne andmete edastamist järgitakse direktiivi muude sätete rakendamist käsitlevaid liikmesriigi õigusakte.

(2) Komisjon võib jõuda järeldusele, et kolmas riik tagab kaitse piisava taseme. Sel juhul võib liikmesriikidest isikuandmeid edastada ilma lisatagatisteta.

(3) Direktiivi 95/46/EÜ kohaselt tuleb andmekaitse taseme hindamisel silmas pidada kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid ning konkreetseid tingimusi. Kõnealuse direktiivi [2] kohaselt moodustatud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on välja andnud selliseid hindamisi käsitlevad juhised [3].

(4) Kuna kolmandad riigid suhtuvad andmekaitsesse erineval viisil, tuleks hinnata andmekaitse piisavust ning jõustada kõik direktiivi 95/46/EÜ artikli 25 lõikel 6 põhinevad otsused viisil, mis ei tekitaks meelevaldset või põhjendamatut diskrimineerimist selliste kolmandate riikide vastu või vahel, kus valitsevad samasugused tingimused, või kaubanduse varjatud piiramist, võttes arvesse ühenduse kehtivaid rahvusvahelisi kohustusi.

(5) Käesoleva otsusega tunnustatav piisav kaitse andmete edastamiseks ühendusest Ameerika Ühendriikidesse peaks olema saavutatud, kui organisatsioonid järgivad liikmesriigist Ameerika Ühendriikidesse edastatavate isikuandmete kaitsel programmi Safe Harbor põhimõtteid (edaspidi "põhimõtted") ja korduma kippuvaid küsimusi (edaspidi "KKK"), milles sätestatakse juhised Ameerika Ühendriikide valitsuse poolt 21. juulil 2000. aastal välja antud põhimõtete rakendamiseks. Lisaks sellele tuleks organisatsioonidel avalikustada oma eraelu puutumatuse kaitse normid ning tunnustada Federal Trade Commission'i (FTC) pädevust seaduse Federal Trade Commission Act paragrahvi 5 raames, milles keelustatakse ärilised ja äritegevust mõjutavad kõlvatud tavad või pettus, või mõne muu täitevasutuse pädevust, mis tõhusalt tagab KKKga kooskõlas rakendatud põhimõtete järgimise.

(6) Valdkonnad ja/või andmetöötlus, mis ei allu käesoleva otsuse VII lisas loetletud Ameerika Ühendriikide valitsusasutuste pädevusele, peaksid käesoleva otsuse reguleerimisalast välja jääma.

(7) Käesoleva otsuse nõuetekohase rakendamise tagamiseks on vajalik, et põhimõtteid ja KKKsid järgivad organisatsioonid oleksid teada huvitatud osapooltele, nagu näiteks andmesubjektid, andmeeksportijad ja andmekaitseorganid. Sel otstarbel peaks Ameerika Ühendriikide kaubandusministeerium või tema poolt nimetatud organisatsioon võtma kohustuse hoida ja avalikkusele kättesaadavaks teha loetelu organisatsioonidest, kes ise kinnitavad, et järgivad KKKdega kooskõlas juurutatud põhimõtteid, ning kuuluvad vähemalt ühe käesoleva otsuse VII lisas loetletud valitsusasutuse pädevusse.

(8) Selguse ja arusaadavuse huvides ning võimaldamaks liikmesriikide pädevatel ametiasutustel tagada üksikisikute kaitset neid puudutavate isikuandmete töötlemisel, tuleb käesolevas otsuses kindlaks määrata need erandlikud asjaolud, mille korral konkreetsete andmevoogude peatamine oleks põhjendatud olenemata sellest, et andmete kaitsetase on tunnistatud piisavaks.

(9) Võib tekkida vajadus põhimõtete ja KKKde alusel loodud programm Safe Harbor läbi vaadata, võttes arvesse kogemusi, eraelu puutumatuse kaitset käsitlevaid arenguid olukorras, kus tehnoloogia pidevalt lihtsustab isikuandmete edastamist ja töötlemist, ning kaasatud täitevasutuste rakendusaruandeid.

(10) Direktiivi 95/47/EÜ artikli 29 kohaselt moodustatud töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega on esitanud arvamuse programmi Safe Harbor põhimõtetega Ameerika Ühendriikides tagatud kaitse taseme kohta ning seda arvamust on arvesse võetud käesoleva otsuse koostamisel. [4]

(11) Käesoleva otsusega ettenähtud meetmed on kooskõlas direktiivi 95/46/EÜ artikli 31 alusel loodud komitee arvamusega.

(12) Vastavalt nõukogu otsusele 1999/468/EÜ ja eriti selle artiklile 8 võttis Euroopa Parlament 5. juulil 2000. aastal resolutsiooni A5-0177/2000 komisjoni otsuse eelnõu kohta seoses piisava kaitsega, mis on ette nähtud programmi Safe Harbor põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja andnud Ameerika Ühendriikide kaubandusministeerium. Komisjon vaatas otsuse eelnõu kõnesoleva resolutsiooni valguses läbi ja järeldas, et kuigi Euroopa Parlament on väljendanud arvamust, et programmi Safe Harbor põhimõtetesse ja sellega seotud KKKdesse tuleb teha teatavaid täiendusi enne, kui võib lugeda, et nad tagavad "piisava kaitse", ei tuvastatud, et komisjon otsust võttes oma volitusi ületaks,

ON VASTU VÕTNUD KÄESOLEVA OTSUSE:

Artikkel 1

1. Direktiivi 95/46/EÜ artikli 25 lõike 2 tähenduses tagavad programmi Safe Harbor põhimõtted (edaspidi "põhimõtted") käesoleva otsuse I lisas sätestatud kujul, rakendatuna kooskõlas Ameerika Ühendriikide kaubandusministeeriumi poolt 21. juulil 2000. aastal välja antud korduma kippuvate küsimustega (edaspidi "KKK") käesoleva otsuse II lisas sätestatud kujul, kõikide selle direktiivi reguleerimisalasse jäävate tegevuste suhtes piisava kaitse taseme ühendusest Ameerika Ühendriikides asuvatele organisatsioonidele edastatavatele isikuandmetele, võttes arvesse järgmisi Ameerika Ühendriikide kaubandusministeeriumi poolt välja antud dokumente:

a) III lisas toodud ülevaade programmi Safe Harbor täitmise tagamisest;

b) IV lisas toodud memorandum kahjutasu kohta eraelu puutumatuse rikkumise eest ja Ameerika Ühendriikide seadustes sätestatud otsestest volitustest;

c) V lisas toodud kiri Federal Trade Commission'ilt;

d) VI lisas toodud kiri Ameerika Ühendriikide transpordiministeeriumilt.

2. Iga andmete edastuse puhul peavad olema täidetud järgmised tingimused:

a) andmeid vastuvõttev organisatsioon on ühemõtteliselt ja avalikult teatavaks teinud, et kohustub järgima KKKdega kooskõlas rakendatavaid põhimõtteid; ja

b) organisatsioon allub käesoleva otsuse VII lisas toodud Ameerika Ühendriikide valitsusasutuse kohta seaduses sätestatud õigusele uurida kaebusi KKKdega kooskõlas rakendatavatele põhimõtetele mittevastavuste korral ja taotleda abi kõlvatute tavade või pettuse vastu ning hüvitust üksikisikutele olenemata nende elukohariigist või kodakondsusest.

3. Lõikes 2 sätestatud tingimused on täitnud iga organisatsioon, mis kinnitab, et järgib KKKdega kooskõlas rakendatud põhimõtteid alates kuupäevast, mil organisatsioon ise teatab Ameerika Ühendriikide kaubandusministeeriumile (või selle poolt määratule), et on lõike 2 punktis a nimetatud kohustuse avalikustanud ning lõike 2 punktis b nimetatud valitsusasutuse nime.

Artikkel 2

Käesolev otsus puudutab ainult KKKdega kooskõlas rakendatud põhimõtetega tagatud kaitse taseme piisavust Ameerika Ühendriikides vastavalt direktiivi 95/46/EÜ artikli 25 lõike 1 nõuetele ning ei mõjuta muude selles direktiivis isikuandmete töötlemist liikmesriikides käsitlevate sätete rakendamist, eriti selle artiklit 4.

Artikkel 3

1. Ilma et see piiraks liikmesriikide pädevate ametiasutuste volitusi võtta meetmeid selliste siseriiklike sätete järgimise tagamiseks, mis on vastu võetud muude sätete alusel peale direktiivi 95/46/EÜ artikli 25, võivad need ametiasutused järgmistel juhtudel kasutada oma volitusi ka andmete edastamise peatamiseks organisatsioonile, mis on ise kohustunud järgima KKKdega kooskõlas rakendatud põhimõtteid, et tagada üksikisikute kaitse seoses nende isikuandmete töötlemisega:

a) käesoleva otsuse VII lisas osutatud Ameerika Ühendriikide valitsusasutus või sõltumatu kaebuste käsitlemise mehhanism käesoleva otsuse I lisas sätestatud täitmise tagamise põhimõtte punkti a tähenduses on otsustanud, et organisatsioon rikub KKKdega kooskõlas rakendatud põhimõtteid; või

b) on väga tõenäoline, et põhimõtteid rikutakse; on põhjust arvata, et asjakohane täitmise tagamise mehhanism ei rakenda piisavaid ja õigeaegseid meetmeid kõnealuse olukorra lahendamiseks; edastamise jätkamisel tekiks raske kahju otsene oht andmesubjektidele; ning liikmesriigi pädevad asutused on teinud selles olukorras mõistlikke pingutusi organisatsiooni teavitamiseks ja andnud võimaluse vastata.

Peatamine lakkab niipea, kui on tagatud vastavus KKKdega kooskõlas rakendatud põhimõtetele ja ühenduse asjakohaseid pädevaid asutusi on sellest teavitatud.

2. Liikmesriigid teatavad lõike 1 alusel võetud meetmetest viivitamata komisjonile.

3. Liikmesriigid ja komisjon teatavad üksteisele ka juhtudest, mil Ameerika Ühendriikides kooskõlas KKKdega rakendatud põhimõtete järgimise tagamise eest vastutavad asutused ei suuda oma tegevuse kaudu nõuete järgimist tagada.

4. Kui lõigete 1, 2 ja 3 alusel kogutud teave annab tunnistust sellest, et Ameerika Ühendriikides kooskõlas KKKdega rakendatud põhimõtete järgimise tagamise eest vastutav asutus ei täida oma rolli tõhusalt, teavitab komisjon Ameerika Ühendriikide kaubandusministeeriumi ja vajaduse korral esitab meetmete eelnõud kooskõlas direktiivi 95/46/EÜ artiklis 31 osutatud korraga käesoleva otsuse tühistamiseks või peatamiseks või selle reguleerimissala piiramiseks.

Artikkel 4

1. Käesolevat otsust võib muuta igal ajal vastavalt selle rakendamise kogemusele ja/või kui Ameerika Ühendriikide õigusaktid jõuavad põhimõtete ja KKKdega tagatud kaitse taseme tagamiseni.

Kolm aastat pärast käesoleva otsuse teatavakstegemist liikmesriikidele hindab komisjon kättesaadava teabe alusel igal juhul selle rakendamist ning esitab direktiivi 95/46/EÜ artikli 31 alusel moodustatud komiteele aruande kõigi asjakohaste järelduste kohta, sealhulgas tõendid, mis võivad mõjutada järeldust, et käesoleva otsuse artikli 1 sätetega pakutav kaitse on direktiivi 95/46/EÜ artikli 25 tähenduses piisav, ning tõendid selle kohta, et käesolevat otsust rakendatakse diskrimineerival viisil.

2. Komisjon esitab vajaduse korral meetmete eelnõud direktiivi 95/46/EÜ artiklis 31 sätestatud korras.

Artikkel 5

Liikmesriigid võtavad kõik käesoleva otsuse järgimiseks vajalikud meetmed hiljemalt 90 päeva möödumisel selle teatavaks tegemisest liikmesriikidele.

Artikkel 6

Käesolev otsus on adresseeritud liikmesriikidele.

Brüssel, 26. juuli 2000

Komisjoni nimel

komisjoni liige

Frederik Bolkestein

[1] EÜT L 281, 23.11.1995, lk 31.

[2] Töörühma veebiaadress on: http://www.europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm

[3] Töödokument 12: Isikuandmete edastamised kolmandatesse riikidesse: EL andmekaitse direktiivi artiklite 25 ja 26 kohaldamine, võetud vastu töörühma poolt 24. juulil 1998.

[4] Töödokument 15: Arvamus 1/99 andmekaitse tasemest Ameerika Ühendriikides ning käimasolevast arutelust Euroopa Komisjoni ja Ameerika Ühendriikide vahel.Töödokument 19: Arvamus 2/99 Ameerika Ühendriikide kaubandusministeeriumi poolt 19. aprillil 1999 välja antud programmi Safe Harbor põhimõtete piisavuse kohta.Töödokument 21: Arvamus 4/99 Ameerika Ühendriikide kaubandusministeeriumi poolt ettepandud programmi Safe Harbor põhimõtetega seoses välja antavate korduma kippuvate küsimuste kohta, mis käsitlevad programmi Safe Harbor põhimõtete piisavust.Töödokument 23: Töödokument hetkeolukorrast Euroopa Komisjoni ja Ameerika Ühendriikide käimasoleval arutelul programmi Safe Harbor põhimõtete kohta.Töödokument 27: Arvamus 7/99 andmekaitse tasemest, mille koos korduma kippuvate küsimuste (KKK) ja teiste seotud dokumentidega tagavad 15. ja 16. novembril 1999. aastal Ameerika Ühendriikide kaubandusministeeriumi poolt välja antud programmi Safe Harbor põhimõtted.Töödokument 31: Arvamus 3/200 programmi Safe Harbor meetmeid puudutavast EL/Ameerika Ühendriikide dialoogist.Töödokument 32: Arvamus 4/2000 programmi Safe Harbor põhimõtetega tagatud kaitse tasemest.

--------------------------------------------------

I LISA

PROGRAMMI SAFE HARBOR PÕHIMÕTTED,

välja antud Ameerika Ühendriikide kaubandusministeeriumi poolt 21. juulil 2000

Euroopa Liidu üldõigusakt eraelu puutumatuse kohta, andmekaitse direktiiv (direktiiv), jõustus 25. oktoobril 1998. aastal. Selles lubatakse isikuandmete edastamist ainult nendesse mitte-EL riikidesse, mis tagavad eraelu puutumatuse kaitse "piisava" taseme. Kuigi Ameerika Ühendriikide eesmärgiks sarnaselt Euroopa Liiduga on eraelu puutumatuse kaitse suurendamine oma kodanikele, lähenevad Ameerika Ühendriigid eraelu puutumatusele teisiti kui Euroopa Liit. Ameerika Ühendriigid kasutavad sektoripõhist lähenemist, mis tugineb õigusaktide, regulatsiooni ja iseregulatsiooni kombinatsioonil. Neid erinevusi arvestades on paljud Ameerika Ühendriikide organisatsioonid väljendanud ebakindlust seoses EL "piisava standardi" nõudega isikuandmete edastamisel Euroopa Liidust Ameerika Ühendriikidesse.

Selle ebakindluse vähendamiseks ja sellistele andmeedastustele etteaimatavama raamistiku pakkumiseks annab Ameerika Ühendriikide kaubandusministeerium välja käesoleva dokumendi ning korduma kippuvad küsimused (põhimõtted) oma seadusest tulenevate volituste piires, et aidata kaasa rahvusvahelisele kaubandusele, seda edendada ja arendada. Põhimõtted töötati välja koostöös tootjate ja üldsusega äri- ja kaubandustegevuse lihtsustamiseks Ameerika Ühendriikide ja Euroopa Liidu vahel. Nad on mõeldud kasutamiseks ainult isikuandmeid Euroopa Liidust vastu võtvate Ameerika Ühendriikide organisatsioonide poolt, et saavutada vastavus programmi Safe Harbor põhimõtetega ja seeläbi saavutada eeldatav "piisav" andmekaitse. Kuna põhimõtted on kavandatud üksnes sellel konkreetsel eesmärgil, ei pruugi nad sobida muul otstarbel kohaldamiseks. Põhimõtted ei asenda direktiivi rakendamiseks kasutatavaid siseriiklikke norme, mida kohaldatakse isikuandmete töötlemisele liikmesriikides.

Organisatsioonide otsused järgida programmiga Safe Harbor ühinemiseks nõutavaid tingimusi on täiesti vabatahtlikud ja organisatsioonid võivad programmi Safe Harbor põhimõtteid järgida mitmel erineval moel. Organisatsoonid, mis otsustavad põhimõtetega liituda, peavad põhimõtteid järgima ning seda avalikult deklareerima, et saada ja säilitada programmist Safe Harbor saadavaid soodustusi. Näiteks kui organisatsioon liitub põhimõtteid järgiva isereguleeruva eraelu puutumatuse kaitse programmiga, vastab ta programmi Safe Harbor tingimustele. Organisatsioon saavutab vastavuse ka siis, kui ta töötab välja isereguleeruvad eraelu puutumatuse normid, tingimusel et need vastavad põhimõtetele. Kui organisatsioon põhimõtetele vastavuse saavutamisel toetub täielikult või osaliselt iseregulatsioonile, peab tema mittevastavus sellise iseregulatsiooniga olema ka hagetav seaduse Federal Trade Commission Act paragrahvi 5 alusel, mis keelustab kõlvatud tavad ja pettuse, või selliseid tegusid reguleeriva muu seaduse või määruse alusel. (Vt lisas loendit EL poolt tunnustatud Ameerika Ühendriikide täitevasutustest.) Lisaks võib programmi Safe Harbor soodustustele õigus olla organisatsioonidel, mis alluvad normatiiv-, regulatiiv-, administratiiv- või muude seaduste (või õigusnormide) kogumile, mis eraelu puutumatust tõhusalt kaitseb. Programmi Safe Harbor soodustused tagatakse igal juhul sellest päevast, mil programmiga Safe Harbor ühinemist taotlev organisatsioon kinnitab ise Ameerika Ühendriikide kaubandusministeeriumile (või selle poolt määratule) põhimõtete järgimist kooskõlas korduma kippuvas küsimuses kinnitamise kohta sätestatud juhistele.

Nende põhimõtete järgimist võib piirata: a) riikliku julgeoleku, avaliku huvi või õiguskaitseliste vajaduste täitmiseks vajalikus ulatuses; b) statuudi, valitsuse määruse või pretsedendiõigusega, mis loovad vasturääkivaid kohustusi või annavad otseseid volitusi, tingimusel et selliste volituste kasutamisel suudab organisatsioon demonstreerida, et põhimõtete mittejärgimine tema poolt piirdub ulatusega, mis on vajalik selliste volitustega seotud ülekaaluka õigustatud huvi järgimiseks; või c) kui direktiiv või liikmesriigi seadus lubab erandeid ja kõrvalekaldeid, tingimusel et selliseid erandeid või kõrvalekaldeid rakendatakse võrreldavates tingimustes. Vastavalt eraelu puutumatuse kaitse suurendamise eesmärgile peaksid organisatsioonid püüdma neid põhimõtteid täielikult ja läbipaistvalt rakendada, sealhulgas sätestama oma eraelu puutumatuse normides, kui eespool toodud punkti b erandeid rakendatakse regulaarselt. Samal põhjusel eeldatakse, et kui on võimalik teha valik põhimõtete ja/või Ameerika Ühendriikide seaduste alusel, valivad organisatsioonid võimalusel kõrgema kaitse taseme.

Organisatsioonid võivad soovi korral praktilistel või muudel põhjustel rakendada põhimõtteid kogu oma andmetöötlustegevusele, kuid nad on kohustatud neid rakendama andmetele, mis edastatakse pärast liitumist programmiga Safe Harbor. Programmi Safe Harbor nõuete täitmiseks ei ole organisatsioonid kohustatud rakendama neid põhimõtteid käsitsi töödeldavates kataloogides leiduvatele isikuandmetele. Organisatsioonid, mis soovivad kasutada programmi Safe Harbor soodustusi EList edastatavale käsitsi töödeldavate kataloogide teabele, peavad põhimõtteid rakendama mis tahes sellisele teabele, mis edastatakse pärast nende ühinemist programmiga Safe Harbor. Organisatsioon, mis soovib programmi Safe Harbor soodustusi laiendada EList töösuhte kontekstis edastatavatele personali isikuandmetele, peab sellest teatama Ameerika Ühendriikide kaubandusministeeriumile (või selle poolt määratule) ja ise kinnitama vastavust korduma kippuvas küsimuses kinnitamise kohta sätestatud nõuetele. Organisatsioonid saavad anda direktiivi artikli 26 alusel vajalikud tagatised ka siis, kui nad võtavad põhimõtted sisse EList andmeid edastavate osapooltega sõlmitavatesse kirjalikesse lepingutesse seoses oluliste eraelu puutumatuse sätetega, kui komisjon ja liikmesriigid on kinnitanud selliste tüüplepingute muud sätted.

Programmi Safe Harbor põhimõtete (sealhulgas korduma kippuvad küsimused) ja programmi Safe Harbor kuuluvate organisatsioonide asjakohaste isikuandmete normide tõlgendamise ja neile vastavuse küsimustes kohaldatakse Ameerika Ühendriikide seadusi, välja arvatud kui organisatsioonid on kohustunud tegema koostööd Euroopa andmekaitseorganitega. Kõiki Safe Harbor põhimõtete sätteid ja korduma kippuvaid küsimusi kohaldatakse vastavalt nende asjakohasusele, kui teisiti ei ole sätestatud.

Isikuandmeteks nimetatakse identifitseeritud või identifitseeritava üksikisiku kohta käivaid direktiivi reguleerimisalasse kuuluvaid andmeid, mida Ameerika Ühendriikides asuv organisatsioon Euroopa Liidust saab ja mis tahes vormis salvestab.

TEADE

Organisatsioon peab üksikisikutele teatama, millistel eesmärkidel ta kogub ja kasutab nende kohta käivaid andmeid, kuidas võtta organisatsiooniga ühendust päringute või kaebuste korral, missugust liiki kolmandatele osapooltele ta andmeid avaldab ning valikutest ja vahenditest, mida organisatsioon üksikisikutele andmete kasutamise ja avaldamise piiramiseks pakub. Selline teade tuleb esitada selges ja arusaadavas keeles, kui üksikisikutel palutakse esmakordselt esitada isikuandmeid organisatsioonile, või pärast seda niipea, kui see on teostatav, kuid igal juhul enne, kui organisatsioon seda teavet kasutab muul eesmärgil kui see, milleks need algselt koguti või milleks andmeid edastav organisatsioon neid töötles või avaldab need esmakordselt kolmandale osapoolele. [1]

VALIKUVÕIMALUS

Organisatsioon peab pakkuma üksikisikutele võimaluse valida (opt out), kas nende isikuandmeid a) avaldatakse kolmandale osapoolele [2] või b) kasutatakse muul eesmärgil kui see, milleks neid algselt koguti või milleks üksikisik seejärel loa andis. Üksikisikutele tuleb võimaldada selge ja arusaadav, käepärane ja taskukohane mehhanism valiku teostamiseks.

Tundliku teabe osas (st isikuandmed, mis täpsustavad meditsiinilist või tervislikku seisundit, rassilist või etnilist päritolu, poliitilisi vaateid, religioosseid või filosoofilisi vaateid, ametiühingu liikmelisust või teavet üksikisiku seksuaalelu kohta) tuleb võimaldada kinnitav või selge valik (opt in), kui teave avalikustatakse kolmandale osapoolele või seda kasutatakse muul eesmärgil kui see, milleks seda algselt koguti või milleks üksikisik loa andis nõustuva (opt in) valikuga. Igal juhul peab organisatsioon käsitlema tundliku teabena sellist kolmandalt osapoolelt saadavat teavet, mida kolmas osapool määratleb ja käsitleb tundliku teabena.

EDASINE EDASTAMINE

Teabe avalikustamisel kolmandale osapoolele peavad organisatsioonid kohaldama teate ja valikuvõimaluse põhimõtteid. Kui organisatsioon soovib teavet edastada agendina tegutsevale kolmandale osapoolele, nagu joonealuses märkuses kirjeldatud, võib ta seda teha, kui ta eelnevalt teeb kindlaks, et kolmas osapool järgib põhimõtteid või allub direktiivile või muule vastavale piisavustagatisele või sõlmib kirjaliku kokkuleppe kolmanda osapoolega, milles nõuab kolmandalt osapoolelt vähemalt samal tasemel eraelu puutumatuse kaitset, kui on nõutud asjakohastes põhimõtetes. Kui organisatsioon neid nõudeid täidab, ei peeta teda vastutavaks (välja arvatud juhul, kui organisatsioon lepib teisiti kokku), kui kolmas osapool, kellele ta sellist teavet edastab, töötleb seda vastuolus piirangute või kitsendustega, välja arvatud juhul, kui organisatsioon teadis või oleks pidanud teadma, et kolmas osapool seda vastupidisel viisil töötleb, kuid ei ole võtnud mõistlikke meetmeid sellise töötlemise vältimiseks või lõpetamiseks.

TURVALISUS

Organisatsioonid, mis tekitavad, säilitavad, kasutavad või levitavad isikuandmeid, peavad rakendama põhjendatud ettevaatusabinõusid nende kaitsmiseks kadumise, väärkasutuse ja volitamatu juurdepääsu, avalikustamise, muutmise ja hävitamise eest.

ANDMETERVIKLIKKUS

Kooskõlas põhimõtetega peavad isikuandmed vastama nende kasutusotstarbele. Organisatsioon ei tohi isikuandmeid töödelda viisil, mis ei vasta eesmärkidele, milleks need koguti või milleks üksikisik seejärel loa andis. Nendel eesmärkidel vajalikus ulatuses peaks organisatsioon võtma mõistlikke meetmeid, tagamaks et andmed on kavatsetud kasutuseks usaldusväärsed, täpsed, täielikud ja aktuaalsed.

JUURDEPÄÄS

Üksikisikutel peab olema juurdepääs organisatsiooni käes olevatele neid puudutavatele isikuandmetele ning võimalus neid parandada, muuta või kustutada, kui need on ebatäpsed, välja arvatud kui juurdepääsu võimaldamise tülikus või kulu kõnealusel juhul oleks puutumatust ähvardava ohuga disproportsioonis või kui see rikuks teiste isikute õigusi peale üksikisiku.

TÄITMISE TAGAMINE

Tõhus puutumatuse kaitse peab hõlmama mehhanisme põhimõtetele vastavuse tagamiseks, kaebuste käsitlemise võimalust üksikisikutele, keda puudutavaid andmeid põhimõtete eiramine on mõjutanud, ning tagajärgi organisatsioonile, kui põhimõtteid ei järgita. Need mehhanismid peavad sisaldama minimaalselt: a) käepäraseid ja taskukohaseid sõltumatuid kaebuste käsitlemise mehhanisme, millega iga üksikisiku kaebusi ja vaidlusi uuritakse ja lahendatakse võrdluses põhimõtetega ning määratakse kahjutasu juhul, kui kohaldatav seadus või erasektori initsiatiiv seda ette näeb; b) kontrollimeetmed kinnitamaks, et tunnistused ja väited, mida äriühingud puutumatuse tavade kohta esitavad, vastavad tõele, ning puutumatustavad on esitatud kujul ellurakendatud; ja c) kohustusi heastada põhimõtetele mittevastavusest tekkivad probleemid organisatsioonide poolt, kes on deklareerinud oma vastavust neile, ning tagajärgi selliste organisatsioonide jaoks. Sanktsioonid peavad olema piisavalt ranged tagamaks organisatsioonide vastavuse.

[1] Teade ega valikuvõimalus ei ole vajalikud, kui andmed avalikustatakse kolmandale osapoolele, kes täidab ülesande(d) agendina organisatsiooni nimel ja selle juhtnööre järgides. Seevastu kohaldatakse sellistele avalikustamistele aga edasise edastamise põhimõtet.

[2] Teade ega valikuvõimalus ei ole vajalikud, kui andmed avalikustatakse kolmandale osapoolele, kes täidab ülesande(d) agendina organisatsiooni nimel ja selle juhtnööre järgides. Seevastu kohaldatakse sellistele avalikustamistele aga edasise edastamise põhimõtet.

--------------------------------------------------

II LISA

KORDUMA KIPPUVAD KÜSIMUSED (KKK)

KKK 1 – Tundlikud andmed

K: Kas organisatsioon peab tundlike andmete puhul alati võimaldama otsese valikuvõimaluse (opt in)?

V: Ei, selline valikuvõimalus ei ole vajalik, kui töötlemine: 1) toimub andmesubjekti või teise isiku elulistes huvides; 2) on vajalik seaduslikuks nõudeks või kaitseks; 3) on vajalik meditsiiniabi või diagnoosi andmiseks; 4) viiakse läbi fondi, ühenduse või muu poliitilise, filosoofilise, religioosse või ametiühingusuunitlusega mittetulundusasutuse õiguspärase tegevuse raames ning tingimusel, et töötlemine seondub ainult asjaomase asutuse liikmete või isikutega, kellel on kõnealuse asutusega regulaarsed kontaktid tema eesmärkide tõttu, ning tingimusel, et andmeid ei avalikustata kolmandatele osapooltele ilma andmesubjektide nõusolekuta; 5) on organisatsioonile vajalik kohustuste täitmiseks tööõiguse valdkonnas; või 6) on seotud üksikisiku poolt avalikult teatavaks tehtud andmetega.

KKK 2 – Erandid ajakirjandusele

K: Võttes arvesse ajakirjandusvabaduse põhiseaduslikku kaitset Ameerika Ühendriikides ning direktiivi erandit ajakirjanduslikule materjalile, kas programmi Safe Harbor põhimõtted kehtivad ka ajakirjanduslikel eesmärkidel kogutavatele, säilitatavatele või levitatavale isikuandmetele?

V: Kui Ameerika Ühendriikide konstitutsiooni esimeses paranduses sisalduvad vaba ajakirjanduse õigused ristuvad eraelu puutumatuse kaitse huvidega, lähtutakse selliste huvide tasakaalustamisel esimesest parandusest, kui on tegemist Ameerika Ühendriikide isikute või organisatsioonidega. Ajakirjandusliku materjali trükis või eetris avaldamiseks või muul moel avalikuks edastamiseks kogutud isikuandmetele, sõltumata sellest, kas neid kasutatakse või mitte, samuti massiteabevahendite arhiivide levitatavast varem avaldatud materjalist leitud teabele programmi Safe Harbor põhimõtete nõuded ei laiene.

KKK 3 – Sekundaarvastutus

K: Kas internetiteenuste pakkujad (ISPd), telekommunikatsioonifirmad või muud organisatsioonid on vastutavad programmi Safe Harbor põhimõtete alusel, kui nad teise organisatsiooni nimel vaid edastavad, marsruudivad või puhverdavad andmeid tingimuste vastaselt?

V: Ei. Nii nagu direktiiv, ei tekita ka programm Safe Harbor ise sekundaarvastutust. Kui organisatsioon toimib kõigest kolmandate osapoolte edastatavate andmete kanalina ning ei määratle nende isikuandmete eesmärke ja töötlemisvahendeid, ei ole ta sellises ulatuses vastutav.

KKK 4 – Investeerimispangandus ja auditeerimised

K: Audiitorite ja investeerimispankurite tegevus võib hõlmata isikuandmete töötlemist ilma üksikisiku teadmise või nõusolekuta. Millisel juhul on see lubatud teate, valikuvõimaluse ja juurdepääsu põhimõtete alusel?

V: Investeerimispankuritel ja audiitoritel on lubatud andmeid töödelda ilma üksikisiku teadmiseta ainult sellises ulatuses ja ajavahemikul, mis on vajalik seadusest või avaliku huvist tulenevatel ning muudel juhtudel, mil nende põhimõtete rakendamine kahjustaks organisatsiooni õigustatud huve. Selliste õigustatud huvide hulka kuuluvad äriühingute kohustuste ja raamatupidamistoimingute teostamise vastavuse jälgimine ning konfidentsiaalsusvajadus, mis on seotud võimalike omandamiste, ühinemiste, ühisettevõtete või investeerimispankurite või audiitorite poolt teostatavate muude sarnaste toimingutega.

KKK 5 [1] – Andmekaitseasutuste roll

K: Kuidas peaksid Euroopa Liidu andmekaitseasutustega (Data Protection Authorities – DPAd) koostööks kohustuvad äriühingud sellised kohustused võtma ja kuidas need ellu rakendama?

V: Programmi Safe Harbor alusel peavad EList isikuandmeid vastuvõtvad Ameerika Ühendriikide organisatsioonid kohustuma rakendama tõhusaid mehhanisme tagamaks vastavust programmi Safe Harbor põhimõtetele. Nagu täitmise tagamise põhimõtetes on täpsemalt sätestatud, peavad nad tagama a) kaebuste käsitlemise üksikisikutele, keda andmed puudutavad, b) kontrollimeetmed tõendamaks, et tunnistused ja väited, mida nad oma puutumatuse tavadele on esitanud, vastavad tõele, ja c) kohustuse heastada põhimõtetele mittevastavusest tekkivad probleemid ning tagajärjed sellistele organisatsioonidele. Organisatsioon võib vastata täitmise tagamise põhimõtte punktidele a ja c, kui ta järgib käesoleva KKK nõudeid koostöö kohta DPAdega.

Organisatsioon võib kohustuda tegema koostööd DPAdega, kui ta kuulutab oma programmi Safe Harbor kinnituses Ameerika Ühendriikide kaubandusministeeriumile (vt KKK 6 kinnitamise kohta), et organisatsioon:

1. soovides järgida programmi Safe Harbor täitmise tagamise põhimõtete punktide a ja c nõudeid, kohustub tegema koostööd DPAdega;

2. teeb koostööd DPAdega programmi Safe Harbor alusel esitatud kaebuste uurimisel ja lahendamisel; ja

3. järgib nõuandeid DPAdelt, kui DPAd leiavad, et organisatsioon peab programmi Safe Harbor põhimõtetele vastamiseks astuma konkreetseid samme, sealhulgas meetmed põhimõtetele mittevastavuse läbi üksikisikutele tekitatud kahju heastamiseks või kompenseerimiseks, ja esitab DPAdele kirjaliku kinnituse selliste meetmete võtmisest.

DPAde koostöö toimub teabe ja nõuannete vormis järgmiselt:

- DPAde nõuanded edastatakse Euroopa Liidu tasemel moodustatud DPAde teabepaneeli kaudu, mis muu hulgas aitab tagada ühtlustatud ja ühtse lähenemise.

- Paneel nõustab Ameerika Ühendriikide organisatsioone üksikisikute lahendamata kaebuste asjus, mis on seotud EList programmi Safe Harbor alusel edastatud isikuandmete käsitlemisega. Nõustamise eesmärgiks on tagada programmi Safe Harbor põhimõtete õige kohaldamine ning see hõlmab DPAde poolt sobilikuks peetavaid heastamisvahendeid asjakohas(t)ele isiku(te)le.

- Paneel annab nõu vastuseks asjassepuutuvate organisatsioonide esildistele ja/või otse üksikisikutelt saadud kaebustele organisatsioonide vastu, mis on kohustunud DPAdega programmi Safe Harbor eesmärkidel koostööd tegema, julgustades selliseid üksikisikuid eelkõige kasutama sisemisi kaebuste käsitlemise menetlusi, mida organisatsioon võib pakkuda, ning vajadusel neid selles aidates.

- Nõuanded väljastatakse pärast seda, kui kummalgi vaidluse osapoolel on olnud mõistlik võimalus esitada selgitused ja soovitud tõendid. Paneel püüab väljastada nõuande nii kiiresti, kui seda võimaldab nõue järgida häid protsessitavasid. Reeglina püüab paneel nõuande väljastada 60 päeva jooksul pärast kaebuse või esildise saamist ning võimaluse korral kiiremini.

- Paneel avalikustab temale läbivaatamiseks esitatud kaebuste tulemused, kui peab seda vajalikuks.

- Nõuannete väljastamisest läbi paneeli ei tulene mitte mingisugust vastutust paneelile ega üksikutele DPAdele.

Nagu eespool märgitud, peavad sellise vaidluste lahendamise võimaluse valivad organisatsioonid kohustuma DPAde nõuandeid järgima. Kui organisatsioon ei järgi nõuannet 25 päeva jooksul pärast selle väljastamist ning ei ole viivitust rahuldavalt põhjendanud, teavitab paneel oma kavatsusest loovutada materjal kas Federal Trade Commission'ile või muule Ameerika Ühendriikide föderaalsele või valitsusasutusele, millel on seadusest tulenevad volitused võtta täitevmeetmeid pettuse või valeandmete esitamise korral, või järeldada, et koostöölepingut on tõsiselt rikutud ning seda loetakse seetõttu kehtetuks. Viimasel juhul teavitab paneel Ameerika Ühendriikide kaubandusministeeriumi (või selle poolt määratut) nõutavate muutuste sisseviimiseks programmis Safe Harbor osalejate loetellu. DPAdega koostöö kohustuse mittetäitmist, samuti programmi Safe Harbor põhimõtete mittejärgimist käsitletakse pettusena seaduse FTC Act paragrahvi 5 või muu sarnase statuudi alusel.

Sellise võimaluse valivad organisatsioonid peavad maksma aastatasu paneeli tegevuskulude katteks ning neilt võidakse täiendavalt paluda võimalike tõlkekulude tasumist, mis tulenevad nende vastu suunatud esildiste või kaebuste läbivaatamisest. Aastatasu ei ületa 500 USA dollarit ning on väiksemate äriühingute jaoks väiksem.

DPAdega koostöö võimalus on programmiga Safe Harbor ühinevatele organisatsioonidele avatud kolme aasta jooksul. DPAd vaatavad kõnesoleva korralduse uuesti läbi enne nimetatud ajavahemiku möödumist, kui Ameerika Ühendriikide organisatsioonide arv, mis selle valiku kasuks otsustavad, osutub suureks.

KKK 6 – Kinnitamine

K: Kuidas saab organisatsioon ise kinnitada, et järgib programmi Safe Harbor põhimõtteid?

V: Programmi Safe Harbor soodustused tagatakse alates kuupäevast, mil organisatsioon ise kinnitab Ameerika Ühendriikide kaubandusministeeriumile (või selle poolt määratule) põhimõtete järgimist kooskõlas allpool esitatud juhtnööridega.

Programmi Safe Harbor osas kinnituse andmiseks võivad organisatsioonid esitada Ameerika Ühendriikide kaubandusministeeriumile (või selle poolt määratule) kirja, millele on alla kirjutanud vastutav isik programmiga Safe Harbor ühineva organisatsiooni nimel ning mis sisaldab vähemalt järgmist teavet:

1. organisatsiooni nimi, postiaadress, e-posti aadress, telefoni- ja faksinumbrid;

2. organisatsiooni tegevuse kirjeldus EList saadavate isikuandmetega seoses; ja

3. organisatsiooni puutumatusnormide kirjeldus selliste isikuandmete puhul, sealhulgas: a) kus on avalikkusel võimalik selliste puutumatusnormidega tutvuda, b) nende juurutamise kuupäev, c) kontaktandmed kaebuste, juurdepääsunõuete ning muude programmi Safe Harbor alusel tekkivate küsimuste käsitluseks; d) konkreetne täitevasutus, millel on pädevus läbi vaadata mis tahes nõudeid organisatsiooni vastu seoses võimalike kõlvatute tavade või pettusega ja puutumatusele kohaldatavate (ning põhimõtete lisas loetletud) seaduste või normide rikkumisega, e) kõikide puutumatusprogrammide nimed, mille liige organisatsioon on, f) kontrolli viis (nt sisemine, kolmas osapool), [2] ja g) sõltumatu kaebuste käsitlemise mehhanism, mida saab kasutada lahendamata kaebuste uurimiseks.

Organisatsioon, mis soovib oma programmi Safe Harbor soodustusi laiendada EList töösuhte kontekstis edastatavatele töötajate isikuandmetele, võib seda teha sellise täitevasutuse olemasolul, millel on pädevus võtta vastu töötajate isikuandmetest tulenevaid nõudeid, mis on loetletud põhimõtete lisas. Lisaks peab organisatsioon sellele oma kirjas viitama ja teatama, et kohustub tegema koostööd asjaomase EL asutuse või asutustega KKK 9 ja KKK 5 alusel vastavalt sellele, kumb on kohaldatav, ning järgima selliste asutuste nõuandeid.

Ministeerium (või selle poolt määratu) peab nimekirja kõikidest sellise kirja esitanud organisatsioonidest, tagades seeläbi programmi Safe Harbor soodustuste kättesaadavuse, ning uuendab seda nimekirja iga-aastaste kirjade ja teadete alusel, mida ta KKK 11 alusel vastu võtab. Sellised kinnituskirjad tuleb esitada vähemalt kord aastas. Vastasel juhul kustutatakse organisatsioon nimekirjast ja programmi Safe Harbor soodustusi enam ei anta. Nii nimekiri kui ka organisatsoonide esitatavad kinnituskirjad tehakse avalikkusele kättesaadavaks. Kõik organisatsioonid, mis kinnitavad oma vastavust programmile Safe Harbor, peavad ka oma asjakohastes avalikustatud puutumatusnormides deklareerima, et järgivad programmi Safe Harbor põhimõtteid.

Kohustus järgida programmi Safe Harbor põhimõtteid ei ole ajaliselt piiratud organisatsiooni poolt programmi Safe Harbor soodustuste kasutamise ajal saadavate andmete osas. Kohustus tähendab, et organisatsioon jätkab põhimõtete kohaldamist sellistele andmetele nii kaua kui organisatsioon neid säilitab, kasutab või avalikustab, isegi kui ta seejärel mis tahes põhjusel programmist Safe Harbor lahkub.

Organisatsioon, mis lakkab eksisteerimast eraldiseisva üksusena ühinemise või ülevõtmise tõttu, peab sellest eelnevalt teavitama Ameerika Ühendriikide kaubandusministeeriumi (või selle poolt määratut). Teates tuleks ka märkida, kas ühendav üksus või ühinemise tulemuseks olev üksus 1) on kohustatud edasi järgima programmi Safe Harbor põhimõtteid ülevõtmist või ühinemist reguleeriva seaduse alusel või 2) valib programmi Safe Harbor põhimõtetest kinnipidamise kinnitamise või rakendab muid tagatisi, näiteks kirjalikke lepinguid, mis tagavad programmi Safe Harbor põhimõtete järgimise. Kui ei kohaldata ei punkti 1 ega 2, tuleb programmi Safe Harbor alusel saadud andmed viivitamata kustutada.

Organisatsioon ei pea programmi Safe Harbor põhimõtteid rakendama kõikidele isikuandmetele, kuid ta peab programmi Safe Harbor põhimõtteid rakendama kõikidele isikuandmetele, mida ta saab EList pärast programmiga Safe Harbor liitumist.

Organisatsiooni poolt valeandmete esitamise korral avalikkusele programmi Safe Harbor põhimõtete järgimise kohta võib Federal Trade Commission või muu asjakohane valitsusasutus süüdistuse esitada. Valeandmete esitamisel Ameerika Ühendriikide kaubandusministeeriumile (või selle poolt määratule) võidakse kohaldada seadust False Statements Act (18 U.S.C. § 1001).

KKK 7 – Kontroll

K: Kuidas kasutavad organisatsioonid kontrollimeetmeid veendumaks, et kinnitused ja väited, mida nad oma programmi Safe Harbor põhimõtete järgmise normide kohta on esitanud, vastavad tõele ja sellise praktika rakendamine vastab esitatule ning on kooskõlas programmi Safe Harbor põhimõtetega?

V: Täitmise tagamise põhimõtte kontrollinõude järgimiseks võib organisatsioon selliseid tunnistusi ja väiteid kontrollida enesehindamise või välise vastavuskontrolli kaudu.

Enesehindamismeetodi korral peaks selline kontroll näitama, et organisatsiooni poolt avalikustatud puutumatustavad EList saadavate isikuandmete osas on täpsed, terviklikud, selgelt esitatud, täielikult rakendatud ja kättesaadavad. Samuti peaks kontroll näitama, et puutumatustavad vastavad programmi Safe Harbor põhimõtetele; et üksikisikuid on teavitatud sisemisest kaebuste lahendamise korrast ja sõltumatustest mehhanismidest, mille kaudu nad võivad kaebusi käsitleda; et on paika pandud kord töötajate koolitamiseks selle rakendamise suhtes ja nende distsiplineerimiseks juhul, kui nad seda ei järgi; ning et on paika pandud sisekord perioodiliste objektiivsete kontrollide korraldamiseks eespool toodule vastavuse suhtes. Enesehindamise kinnitusele peaks alla kirjutama vastutav isik või organisatsiooni muu volitatud esindaja vähemalt kord aastas ning see peaks olema nõudmisel kättesaadav üksikisikutele või seoses mittevastavuse uurimise või kaebusega.

Organisatsioonid peaksid säilitama dokumendid programmi Safe Harbor põhimõtete rakendamise kohta ja need peaksid olema nõudmisel kättesaadavad uurimise või kaebuse korral mittevastavuse kohta kaebuste uurimise eest vastutavale sõltumatule asutusele või kõlvatute tavade või pettuse valdkonnas pädevale asutusele.

Kui organisatsioon on valinud välise vastavuskontrolli, peab selline kontroll näitama, et organisatsiooni poolt avalikustatud puutumatustavad EList saadavate isikuandmete osas vastavad programmi Safe Harbor põhimõtetele, et neid järgitakse ja et üksikisikuid on teavitatud kaebuste esitamise mehhanismidest. Kontrolliviisideks võivad piiranguta olla auditeerimine, juhuslik kontroll, "peibutiste" kasutamine või tehnoloogilised vahendid vastavalt vajadusele. Välise vastavuskontrolli eduka läbiviimise kinnitusele peaks alla kirjutama kas kontrollija või vastutav isikvõi organisatsiooni muu volitatud esindaja vähemalt kord aastas ning see peaks olema nõudmisel kättesaadav üksikisikutele või seoses mittevastavuse uurimise või kaebusega.

KKK 8 – Juurdepääs

Juurdepääsu põhimõte:

Üksikisikutel peab olema juurdepääs organisatsiooni käes olevale neid puudutavatele isikuandmetele ning võimalus neid parandada, muuta või kustutada, kui need on ebatäpsed, välja arvatud kui juurdepääsu võimaldamisega seonduvad probleemid või kulud kõnealusel juhul oleksid üksikisiku eraelu puutumatust ähvardava ohuga disproportsioonis või kui see rikuks teiste isikute õigusi peale üksikisiku.

1. K: Kas juurdepääsuõigus on absoluutne?

1. V: Ei. Juurdepääsuõigus on eraelu puutumatuse kaitse üks põhiküsimusi programmi Safe Harbor põhimõtete alusel. Eelkõige võimaldab see üksikisikutel kontrollida nende kohta säilitatavate andmete õigsust. Siiski allub organisatsiooni kohustus võimaldada juurdepääs üksikisiku kohta säilitatavatele isikuandmetele proportsionaalsuse ehk mõistlikkuse põhimõttele ning teatud juhtudel tuleb seda kohustust leevendada. 1980. aasta OECD eraelu puutumatuse suuniste selgitavast memorandumist tulenebki, et organisatsiooni juurdepääsu võimaldamise kohustus ei ole absoluutne. Selles ei nõuta näiteks kohtukutsest tulenevalt äärmiselt põhjalikku otsingut ega ka juurdepääsu kõikidele erinevatele vormidele, milles organisatsioon võib andmeid säilitada.

Pigem näitab kogemus, et üksikisikute juurdepääsunõuetele reageerides peaksid organisatsioonid esmalt juhinduma sellest, mis nende nõuete esitamiseni üldse viis. Näiteks kui juurdepääsunõue on ebamäärane või laiaulatuslik, võib organisatsioon üksikisikuga alustada dialoogi, et nõude põhjust paremini mõista ning vastavad andmed leida. Organisatsioon võib uurida, millis(t)e organisatsiooni osa(de)ga üksikisik suhtles ja/või andmete (või nende kasutuse) iseloomu kohta, mis on juurdepääsunõude aluseks. Üksikisikud ei pea siiski põhjendama oma andmete juurdepääsu saamise taotlusi.

Kulud ja probleemid on olulised tegurid, mida tuleks arvesse võtta, kuid nad ei ole otsustavad juurdepääsu võimaldamise mõistlikkuse üle otsustamisel. Näiteks kui andmeid kasutatakse otsusteks, mis üksikisikut oluliselt mõjutavad (nt oluliste soodustuste nagu kindlustus, hüpoteeklaen või töökoht võimaldamine või sellest keeldumine), siis kooskõlas KKKde muude sätetega peab organisatsioon need andmed avalikustama ka siis, kui seda võimaldada on suhteliselt keeruline või kallis.

Kui taotletud andmed ei ole tundlikud või neid ei kasutata üksikisikut märkimisväärselt mõjutavate otsuste tegemiseks (nt mittetundlikud turundusandmed, mille alusel otsustatakse, kas saata üksikisikule kataloog või mitte), kuid neid kätte saada on hõlbus ning mitte eriti kulukas, siis peab organisatsioon võimaldama juurdepääsu faktilistele andmetele, mida organisatsioon üksikisiku kohta säilitab. Osjaomased andmed võivad sisaldada üksikisikult saadud fakte, mõne tehingu käigus kogutud fakte või isikut puudutavaid teistelt saadud fakte.

Kooskõlas juurdepääsu põhimõtte fundamentaalsusega peaksid organisatsioonid alati tegema heauskseid pingutusi juurdepääsu võimaldamiseks. Näiteks kui on vaja kaitsta konkreetseid andmeid ning neid on võimalik hõlpsasti eraldada andmetest, mille kohta on esitatud juurdepääsutaotlus, peaks organisatsioon kaitstud andmed eraldama ja muud andmed kättesaadavaks tegema. Kui organisatsioon otsustab, et juurdepääsust mingil konkreetsel juhul tuleb keelduda, peab ta juurdepääsu taotlenud üksikisikule esitama selgituse, miks organisatsioon tegi sellise otsuse, ja andmed, kellele või kuhu saata täiendavad päringud.

2. K: Mis on konfidentsiaalne äriinfo ja kas organisatsioonid võivad juurdepääsust võimaldamisest keelduda selle kaitseks?

2. V: Konfidentsiaalne äriinfo (nagu seda mõistet kasutatakse dokumendis Federal Rules of Civil Procedure on discovery) on andmed, mille avalikustamise vältimiseks organisatsioon on võtnud meetmed ja mille avalikustamine võiks aidata turul olevat konkurenti. Konfidentsiaalseks äriinfoks võib olla konkreetne arvutiprogramm, mida organisatsioon kasutab, näiteks modelleerimistarkvara või selle osad. Kui konfidentsiaalset äriinfot on võimalik hõlpsasti eraldada muudest andmetest, mille kohta on esitatud juurdepääsutaotlus, peaks organisatsioon eraldama konfidentsiaalse äriinfo ja mittekonfidentsiaalse info kättesaadavaks tegema. Organisatsioonid võivad juurdepääsu võimaldamisest keelduda või seda piirata ulatuses, milles juurdepääsu võimaldamisel paljastuks organisatsiooni enda konfidentsiaalne äriinfo eespool määratletud tähenduses, näiteks organisatsiooni turundusjäreldused või -klassifikatsioonid, või mõne teise organisatsiooni konfidentsiaalne äriinfo, kui sellistele andmetele kohaldatakse lepingulist konfidentsiaalsuskohustust ja olukorras, kus sellist konfidentsiaalsuskohustust harilikult rakendataks või nõutaks.

3. K: Kas juurdepääsu võimaldamisel võib organisatsioon üksikisikutele avalikustada nende kohta käivaid isikuandmeid, mis on võetud organisatsiooni andmebaasidest, või tuleb võimaldada juurdepääs andmebaasile endale?

3. V: Juurdepääsu võib organisatsioon võimaldada andmete avalikustamise vormis ning üksikisiku juurdepääs organisatsiooni andmebaasile ei ole nõutav.

4. K: Kas organisatsioon peab oma andmebaasid restruktureerima, et olla võimeline juurdepääsu võimaldama?

4. V: Juurdepääs tuleb võimaldada ainult organisatsiooni poolt andmete säilitamise ulatuses. Juurdepääsu põhimõttest endast ei teki kohustust isikuandmete faile hoida, säilitada, reorganiseerida või restruktureerida.

5. K: Nendest vastustest selgub, et teatud juhul võib juurdepääsu võimaldamisest keelduda. Missuguste asjaolude korral võib organisatsioon keelduda üksikisikutele nende kohta käivatele isikuandmetele juurdepääsu võimaldamast?

5. V: Sellised asjaolud on piiratud ja mis tahes põhjused juurdepääsu võimaldamisest keeldumiseks peavad olema selgelt väljendatud. Organisatsioon võib keelduda andmetele juurdepääsu võimaldamast ulatuses, milles avalikustamine võib häirida olulise vastukaaluga avalike huvide kaitset, näiteks riigi julgeolek, kaitsekaalutlused või avalik julgeolek. Lisaks võib juurdepääsu võimaldamisest keelduda, kui isikuandmeid töödeldakse üksnes teaduslikel või statistilistel eesmärkidel. Muud põhjused juurdepääsu võimaldamisest keeldumiseks või selle piiramiseks on:

a. see raskendab seaduse täitmist või jõustamist, sealhulgas seaduserikkumiste ennetamist, uurimist või avastamist või õigust õiglasele kohtumõistmisele;

b. see raskendab tsiviilhagide lahendamist, sealhulgas nõuete ennetamist, uurimist või avastamist või õigust õiglasele kohtumõistmisele;

c. see toob kaasa teisi üksikisikuid puudutavate isikuandmete avalikustamise, kui viiteid neile ei ole võimalik kõrvaldada;

d. see toob kaasa juriidilise või muu ametialase privileegi või kohustuse rikkumise;

e. see toob kaasa tulevasteks või käimasolevateks läbirääkimisteks vajaliku konfidentsiaalsuse rikkumise, näiteks seoses börsil noteeritud äriühingute omandamisega;

f. see kahjustab töötajate turvalisuse uurimist või töövaidluste käsitlemist;

g. see kahjustab uute töötajate töökohtade planeerimise ja äriühingute ümberkorraldamisega seotud piiratud ajavahemikuks vajalikku konfidentsiaalsust; või

h. see kahjustab majandus- või finantsjuhtimisega seotud järelevalve, kontrollimise või regulatiivtoimingute puhul vajalikku konfidentsiaalsust; või

i. muud asjaolud, mille puhul juurdepääsu lubamise tülikus või kulu oleks disproportsioonis või rikutaks kellegi teise seaduslikke õigusi või huve.

Erandit taotlev organisatsioon peab demonstreerima selle kohaldatavust (mis tavaliselt nii ongi). Nagu eespool märgitud, tuleb üksikisikutele esitada juurdepääsu võimaldamisest keeldumise või selle piiramise põhjused ja kontaktandmed täiendavateks päringuteks.

6. K: Kas organisatsioon võib nõuda tasu juurdepääsu võimaldamise kulude katteks?

6. V: Jah. OECD suunistes kinnitatakse, et organisatsioonid võivad nõuda tasu, tingimusel et see pole ülemäära suur. Seega võivad organisatsioonid juurdepääsu võimaldamise eest mõistlikku tasu nõuda. Tasu nõudmisest võib olla kasu korduvate ja kiuslike nõuete heidutamiseks.

Avalikult kättesaadava info müügiga tegevad organisatsioonid võivad seega juurdepääsutaotlustele vastates nõuda organisatsiooni tavapärast tasu. Alternatiivina võivad isikud taotleda juurdepääsu enda kohta käivatele andmetele sellelt organisatsioonilt, kes need algselt kogus.

Juurdepääsu võimaldamisest ei tohi keelduda kulude ettekäändel, kui üksikisik nõustub kulud korvama.

7. K: Kas organisatsioonilt saab nõuda juurdepääsu võimaldamist avalikest registritest saadud isikuandmetele?

7. V: Selgituseks kõigepealt, et avalikud registrid on sellised valitsusasutuste või nende üksuste poolt mis tahes tasemel peetavad registrid, mis on üldsusele tutvumiseks avatud. Sellistele andmetele ei ole vaja kohaldada juurdepääsu põhimõtet, kui need ei ole kombineeritud muude isikuandmetega, välja arvatud kui väikestes kogustes mitteavaliku registri andmeid kasutatakse avalike registrite andmete indekseerimiseks või organiseerimiseks. Tuleb siiski järgida asjakohase pädevusega asutuse poolt kehtestatud kasutustingimusi. Kui avalike registrite andmed on kombineeritud muude, mitteavalike registrite andmetega (muude kui eespool konkreetselt märgitud), peab organisatsioon siiski võimaldama juurdepääsu kõikidele sellistele andmetele, kui sellele ei kohaldata muid lubatud erandeid.

8. K: Kas juurdepääsu põhimõtet tuleb rakendada avalikult kättesaadavatele isikuandmetele?

8. V: Nii nagu ka avalike registrite andmete puhul (vt K 7), ei ole vaja võimaldada juurdepääsu andmetele, mis on juba üldsusele kättesaadavad, kui neid ei ole kombineeritud üldsusele mittekättesaadavate andmetega.

9. K: Kuidas saab organisatsioon end kaitsta korduvate või kiuslike juurdepääsutaotluste eest?

9. V: Organisatsioon ei pea sellistele juurdepääsutaotlustele vastama. Nendel põhjustel võivad organisatsioonid nõuda mõistlikku tasu ning seada mõistlikke piiranguid selle kohta, mitmele üksikisiku juurdepääsutaotlusele teatava ajavahemiku vältel nad vastavad. Selliseid piiranguid seades tuleks organisatsioonil kaaluda selliseid tegureid nagu andmete ajakohastamise sagedus, andmete kasutamise eesmärk ja andmete iseloom.

10. K: Kuidas saab organisatsioon end kaitsta pettusega seotud juurdepääsutaotluste eest?

10. V: Organisatsioon ei pea juurdepääsu võimaldama, kui talle ei esitata piisavalt andmeid taotluse esitanud isiku tuvastamiseks.

11. K: Kas on mingi aeg, mille jooksul tuleb juurdepääsutaotlustele vastata?

11. V: Jah, organisatsioonid peaksid vastama ilma ülemäärase viivituseta ning mõistliku ajavahemiku jooksul. Seda nõuet on võimalik täita erineval moel, nagu väljendatakse OECD 1980. aasta suunistes eraelu puutumatuse kohta. Näiteks registripidaja, kes andmesubjektidele regulaarsete ajavahemike järel andmeid annab, võidakse vabastada kohustustest üksikisikute päringutele viivitamata vastata.

KKK 9 – Personal

1. K: Kas töösuhte kontekstis kogutud isikuandmed, mis edastatakse EList Ameerika Ühendriikidesse, on hõlmatud programmiga Safe Harbor?

1. V: Jah, kui ELis asuv äriühing edastab töösuhte kontekstis kogutud isikuandmeid oma töötajate (endiste või praeguste) kohta Ameerika Ühendriikides asuvale programmis Safe Harbor osalevale ema-, sidusettevõttele sõltumatule teenuse osutajale, laienevad edastamisele programmi Safe Harbor soodustused. Sellisel juhul on andmete kogumine ja töötlemine enne edastamist allunud selle EL riigi siseriiklikule õigusele, kus need koguti, ning nende edastamisel tuleb järgida kõiki tingimusi või piiranguid selle õiguse alusel.

Programmi Safe Harbor põhimõtted on asjakohased ainult eraldi identifitseeritavate registriandmete edastamisel või neile juurdepääsul. Statistiline aruandlus, mis tugineb personali koondandmetele ja/või kustutatud või muudetud nimedega andmete kasutamine ei põhjusta eraelu puutumatuse kaitse alaseid probleeme.

2. K: Kuidas rakendatakse sellistele andmetele teate ja valikuvõimaluse põhimõtteid?

2. V: Ameerika Ühendriikide organisatsioon, mis on saanud töötajate kohta andmeid EList programmi Safe Harbor põhimõtete alusel, võib seda avalikustada kolmandatele osapooltele ja/või erinevatel eesmärkidel ainult kooskõlas teate ja valikuvõimaluse põhimõtetega. Näiteks kui organisatsioon kavatseb kasutada töösuhte kaudu kogutud isikuandmeid töösuhtega mitteseotud eesmärkidel, näiteks turunduskommunikatsioonis, peab Ameerika Ühendriikide organisatsioon eelnevalt pakkuma valikuvõimalust üksikisikutele, keda see puudutab, välja arvatud kui nad juba on andnud loa teavet sellisel eesmärgil kasutada. Lisaks ei tohi selliseid valikuvõimalusi kasutada töövõimaluste piiramiseks ega rakendada selliste töötajate suhtes karistavaid tegevusi.

Tuleb märkida, et teatavad üldiselt rakendatavad tingimused edastamisele mõnedest liikmesriikidest võivad välistada selliste andmete kasutamise muudel eesmärkidel isegi pärast edastamist EList välja ning selliseid tingimusi tuleb täita.

Lisaks peaksid tööandajad tegema mõistlikke pingutusi, et tulla vastu töötajate eraelu puutumatuse alastele eelistustele. See võiks hõlmata näiteks andmetele juurdepääsu piiramist, teatud andmete juurest nimede kustutamist või koodide või pseudonüümide kasutamist, kui asjakohaseks eesmärgiks ei vajata tegelikke nimesid.

Selles ulatuses ja ajavahemikuks, mis on vajalik organisatsiooni õigustatud huvide kahjustamise vältimiseks edutamiste, ametisse nimetamiste või muude sarnaste tööotsuste langetamise korral, ei pea organisatsioon teadet ja valikuvõimalust pakkuma.

3. K: Kuidas rakendatakse juurdepääsu põhimõtet?

3. V: Juurdepääsu käsitlevad KKKd annavad juhiseid põhjuste kohta, mis võivad õigustada juurdepääsu võimaldamisest keeldumist või selle piiramist personali kontekstis. Muidugi peavad tööandjad Euroopa Liidus järgima kohalikke norme ning tagama Euroopa Liidu töötajatele juurdepääsu sellistele andmetele, mida nõuab seadus nende koduriigis, olenemata andmete töötlemise ja salvestamise asukohast. Programmi Safe Harbor kohaselt teeb selliseid andmeid Ameerika Ühendriikides töötlev organisatsioon sellise juurdepääsu võimaldamisel koostööd kas otse või läbi EL tööandja.

4. K: Kuidas korraldatakse nõuete täitmine töötajate andmetega seoses programmi Safe Harbor alusel?

4. V: Kuivõrd teavet kasutatakse ainult töösuhte kontekstis, jääb esmane vastutus töötaja ees andmetega seoses ELis asuvale äriühingule. Sellest järeldub, et kui Euroopa töötajad esitavad kaebusi oma andmekaitse alaste õiguste rikkumise kohta ja neid ei rahulda sisekontrolli, kaebuse lahendamise ja edasikaebamise kord (või mis tahes rakendatav töövaidluste lahendamise kord kokkuleppel ametiühinguga), tuleks nad suunata osariigi või riigi andme- või töökaitseasutusse jurisdiktsioonis, kus töötaja töötab. See hõlmab ka seda, et juhul, kui väidetav isikuandmete väärkasutus on leidnud aset Ameerika Ühendriikides, vastutab tööandjalt andmed saanud Ameerika Ühendriikide organisatsioon ja mitte tööandja, ning seega on tegemist pigem programmi Safe Harbor põhimõtete kui direktiivi rakendava siseriikliku õiguse väidetava rikkumisega. See on kõige tõhusam viis kohaliku tööseaduse ja töölepingutega ning andmekaitseseadusega kehtestatud, üksteisega sageli kattuvate õiguste ja kohustuste käsitlemiseks.

Programmis Safe Harbor osalev Ameerika Ühendriikide organisatsioon, mis kasutab EL personaliandmeid, mis edastatakse Euroopa Liidust töösuhte kontekstis, ja mis soovib selliseid edastusi sooritada programmi Safe Harbor alusel, peab seega sellisel juhul kohustuma tegema uurimisalast koostööd EL pädevate asutustega ning järgima nende nõuandeid. Selliselt koostööd tegema nõustunud DPAd teavitavad sellest Euroopa Komisjoni ja Ameerika Ühendriikidekaubandusministeeriumi. Kui programmis Safe Harbor osalev Ameerika Ühendriikide organisatsioon soovib edastada personaliandmeid liikmesriigist, mille DPA ei ole sellega nõustunud, kohaldatakse KKK 5 sätteid.

KKK 10 – Artikli 17 lepingud

K: Kui andmed edastatakse EList Ameerika Ühendriikidesse üksnes töötlemise eesmärgil, kas selleks on vaja lepingut, olenemata sellest, et töötleja osaleb programmis Safe Harbor?

V: Jah. Euroopa Liidu registripidajad peavad alati lepingu sõlmima, kui edastamine toimub üksnes töötlemise eesmärgil, olenemata sellest, kas töötlemine toimub ELis või väljaspool seda. Lepingu eesmärgiks on kaitsta registripidaja õigusi, st isikut või organit, kes määrab töötlemise eesmärgid ja vahendid, kes säilitab täieliku vastutuse andmete eest asjaomas(t)e üksikisiku(te) ees. Seega määratleb leping töötlemise üksikasjad ning mis tahes meetmed, mis on vajalikud andmete kaitse tagamiseks.

Ameerika Ühendriikide organisatsioon, kes osaleb programmis Safe Harbor ja võtab vastu isikuandmeid EList üksnes töötlemiseks, ei pea seega sellistele andmetele põhimõtteid rakendama, kuna EL registripidaja kooskõlas vastavate EL sätetega (mis võivad olla rangemad kui vastavad programmi Safe Harbor põhimõtted) jääb üksikisiku ees nende eest vastutavaks.

Kuna programmis Safe Harbor osalejad tagavad piisava kaitse, ei vaja üksnes töötlemise eesmärgil sõlmitavad lepingud programmis Safe Harbor osalejatega eelnevat luba (või antakse selline luba liikmesriikide poolt automaatselt), mida nõutaks programmis Safe Harbor mitteosalevate või muul põhjusel piisavat kaitset mittetagavate vastuvõtjate puhul.

KKK 11 – Vaidluste lahendamine ja täitmise tagamine

K: Kuidas tuleks rakendada täitmise tagamise põhimõtte vaidluste lahendamise nõudeid ja kuidas käsitletakse põhimõtete püsivat rikkumist organisatsiooni poolt?

V: Täitmise tagamise põhimõttes sätestatakse nõuded programmi Safe Harbor täitmise tagamiseks. Põhimõtte punkti b nõuete täitmine on sätestatud kontrolli käsitlevas KKKs (KKK 7). KKK 11 käsitleb punkte a ja c, mis mõlemad nõuavad sõltumatut kaebuste käsitlemise mehhanismi. Need mehhanismid võivad võtta erineva vormi, kuid peavad vastama täitmise tagamise põhimõtte nõuetele. Organisatsioonid võivad saavutada nõuetega vastavuse järgmiselt: 1) nad järgivad erasektori poolt välja töötatud eraelu puutumatuse programme, mis toovad oma reeglitesse sisse programmi Safe Harbor põhimõtted ja mis hõlmavad täitmise tagamise põhimõttes kirjeldatud liiki tõhusaid täitmise tagamise mehhanisme; 2) nad järgivad üksikisikute kaebuste käsitlemise ja vaidluste lahendamisega tegelevate järelevalveasutuste juhiseid; või 3) nad kohustuvad tegema koostööd Euroopa Liidus asuvate andmekaitseasutustega või nende volitatud esindajatega. See loend on illustratiivne ja mittetäielik. Erasektor võib välja töötada muid täitmise tagamise mehhanisme, kui need vastavad täitmise tagamise põhimõtte ja KKKde nõuetele. Tähele tuleb panna, et täitmise tagamise põhimõtted lisanduvad põhimõtete sissejuhatuse lõikes 3 sätestatud nõuetele selle kohta, et iseregulatsioonipüüdlused peavad olema jõustatavad seaduse Federal Trade Commission Act artikli 5 või sarnase statuudi alusel.

Kaebuste käsitlemise mehhanismid.

Tarbijaid tuleb julgustada esitama mis tahes kaebusi osjaomasele organisatsioonile enne siirdumist sõltumatute kaebuste käsitlemise mehhanismide juurde. Kaebuste käsitlemise mehhanismi sõltumatust võib demonstreerida mitmel erineval viisil, näiteks läbipaistva koosseisu ja finantseerimise või tõestatud varasemate otsuste abil. Täitmise tagamise põhimõtte alusel peab üksikisikutele kättesaadav kaebuste käsitlemine olema käepärane ja taskukohane. Vaidlusi lahendavad asutused peaksid tutvuma kõikide üksikisikutelt saadud kaebustega, mis ei ole selgelt alusetud või tähtsusetud. See ei takista kaebuste käsitlemise mehhanismi eest vastutaval organisatsioonil kehtestada valikunõudeid, kuid sellised nõuded peaksid olema läbipaistavad ja õigustatud (näiteks jätta kõrvale kaebused, mis ei mahu programmi reguleerimisalasse või kuuluvad läbivaatamisele mõnel muul foorumil) ning nad ei tohiks ohustada kohustust põhjendatud kaebused läbi vaadata. Lisaks peaksid kaebuste käsitlemise mehhanismid andma üksikisikutele täielikku ja kergesti kättesaadavat teavet selle kohta, kuidas toimub vaidluste lahendamine, kui nad kaebuse esitavad. Selline info peaks sisaldama teadet mehhanismi eraelu puutumatuse tavade kohta kooskõlas programmi Safe Harbor põhimõtetega. [3] Samuti peaksid nad kaebuste lahendamise protsessi edendamiseks tegema koostööd näiteks kaebuste standardblankettide väljatöötamisel.

Heastamisvahendid ja sanktsioonid.

Vaidlusi lahendava organi pakutud mis tahes heastamisvahendite tulemuseks peaks olema mittevastavuse mõju heastamine organisatsiooni poolt, kuivõrd see on teostatav, ning et organisatsioon edasisel töötlemisel järgib põhimõtteid ja kui see on asjakohane, et kaebuse esitanud üksikisiku isikuandmete töötlemine lakkab. Sanktsioonid peavad olema piisavalt ranged, et kindlustada põhimõtete järgimise organisatsiooni poolt. Mitmed erineva rangusastmega sanktsioonid võimaldavad vaidlusi lahendavatel asutustel asjakohaselt reageerida erineval tasemel mittevastavustele. Sanktsioonid peaksid hõlmama nii mittevastavuste avastamise avalikustamist kui ka teatud asjaoludel nõuet andmed kustutada. [4] Muud sanktsioonid võiksid hõlmata programmis osaleja tunnuse kasutusõiguse peatamist ja kaotamist, mittevastavuse tagajärjel üksikisikutele tekitatud kahju hüvitamist ning keelumäärusi. Kui programmi Safe Harbor organisatsioonid ei järgi vaidlusi lahendavate erasektori asutuste ja iseregulatsiooniasutuste korraldusi, peavad need teavitama asjaomase pädevusega valitsusasutust või vastavalt vajadusele kohust, samuti Ameerika Ühendriikide kaubandusministeeriumi (või selle poolt määratut).

FTC meetmed.

FTC on kohustunud prioriteetsel alusel läbi vaatama eraelu puutumatuse iseregulatsiooniorganisatsioonide, näiteks BBBOnline and TRUSTe, ja EL liikmesriikide esildised väidetavatest mittevastavustest programmi Safe Harbor põhimõtetele, et otsustada, kas on rikutud seaduse FTC Act paragrahvi 5, mis keelustab kõlvatud tavad ja pettuse äritegevuses. Kui FTC järeldab, et tal on alust kahtlustada paragrahvi 5 rikkumist, võib ta asja lahendada nii, et hangib administratiivse keelustamiskorralduse (cease and desist order), millega keelustatakse rikkuv tegevus, või esitab kaebuse föderaalsele ringkonnakohtule, mille tulemuseks õnnestumise korral võib olla samasisuline föderaalkohtu otsus. FTC võib keelustamiskorralduse rikkumise eest määrata tsiviiltrahve ja föderaalkohtu otsuse mittetäitmise eest taotleda vastutuselevõtmist tsiviil- või kriminaalkorras. FTC teavitab kaubandusministeeriumi sellistest meetmetest. Kaubandusministeerium julgustab teisi valitsusasutusi teda teavitama mis tahes taolistest esildistest või muudest programmi Safe Harbor põhimõtete järgimist taotlevatest lõpplahendustest.

Püsiv mittevastavus põhimõtetele.

Kui organisatsioon ei järgi põhimõtteid püsivalt, kaotab ta õiguse programmi Safe Harbor soodustustele. Püsiv mittevastavus tekib siis, kui Ameerika Ühendriikide kaubandusministeeriumile (või selle poolt määratule) vastavust kinnitanud organisatsioon keeldub järgimast mis tahes iseregulatsiooni- või valitsusasutuse lõppotsust või kui selline asutus otsustab, et organisatsioon ei ole korduvalt põhimõtteid järginud sellisel määral, et organisatsiooni lubadus põhimõtteid järgida ei ole enam usutav. Sellisel juhul peab organisatsioon kaubandusministeeriumi (või selle poolt määratut) sellistest faktidest viivitamata teavitama. Selle nõude mittetäitmisel võidakse kohaldada seadust False Statements Act (18 U.S.C. § 1001).

Ministeerium (või selle poolt määratu) osutab enda poolt peetavas programmi Safe Harbor põhimõtete järgmist kinnitavate organisatsioonide loetelus mis tahes teadetele, mida ta saab püsivate mittevastavuste kohta olenemata sellest, kas ta saab need organisatsioonilt endalt, iseregulatsiooni- või valitsusasutuselt, kuid alles pärast mittejärginud organisatsioonile 30 päevast etteteatamist, millele organisatsioonil on võimalus vastata. Sellele vastavalt selgub Ameerika Ühendriikide kaubandusministeeriumi (või selle poolt määratu) hallatavast loendist, millistele organisatsioonidele on või ei ole enam tagatud programmi Safe Harbor soodustused.

Organisatsioon, kes taotleb osalemist iseregulatsiooniorganis programmis Safe Harbor osaluse taastamise eesmärgil, peab sellele organile esitama täieliku teabe oma varasema osalemise kohta programmis Safe Harbor.

KKK 12 – Valikuvõimalus – Keeldumise (opt out) ajastamine

K: Kas valikuvõimaluse põhimõte võimaldab üksikisikul valikut teostada ainult suhte alguses või mis tahes ajal?

V: Üldiselt on valikuvõimaluse põhimõtte eesmärgiks tagada, et isikuandmeid kasutataks ja avalikustataks üksikisiku ootustele ja valikutele vastaval moel. Sellele vastavalt peaks üksikisikul olema võimalus keelduda (opt out) isikuandmete otseturunduses kasutamist (või valida see) mis tahes ajal organisatsiooni poolt kehtestatud mõistlikes piirides, näiteks jätmaks organisatsioonile aega keeldumise (opt out) sisseviimiseks. Organisatsioon võib ka nõuda piisavaid andmeid keeldumist (opt out) taotleva isiku kindlakstegemiseks. Ameerika Ühendriikides võivad üksikisikud seda valikut teostada keskse keeldumisprogrammi (opt out) abil, näiteks ühingu Direct Marketing Association postieelistuste teenuse kaudu. Ühingu Direct Marketing Association postieelistuste teenuses osalevad organisatsioonid peaksid sellest teenusest teavitama tarbijaid, kes ei soovi kommertsinformatsiooni saada. Igal juhul tuleks üksikisikule pakkuda käepärane ja taskukohane mehhanism selle valiku teostamiseks.

Samamoodi võib organisatsioon kasutada andmeid teatavatel otseturunduseesmärkidel, kui enne andmete kasutamist oleks põhjendamatu anda üksikisikule võimalus keeldumiseks (opt out), kui organisatsioon viivitamata annab samal ajal (ning nõudmisel igal ajal) üksikisikule võimaluse edaspidi keelduda (üksikisikule kulusid tekitamata) otseturundusteabe saamisest ning organisatsioon järgib üksikisiku soove.

KKK 13 – Reisiandmed

K: Millistel juhtudel on lubatud väljaspool EL asuvatele organisatsioonidele edastada lennuliinide reisijate broneerimisteavet ja muid reisiandmeid, näiteks andmeid boonusprogrammide või hotellide broneerimise ja erikohtlemise vajaduste kohta, näiteks religioossetele nõuetele vastavad eined või füüsilise abi vajadus?

V: Sellist teavet võib edastada mitmetel erinevatel asjaoludel. Direktiivi artikli 26 alusel võib isikuandmeid edastada "kolmandasse riiki, mis ei taga piisavat kaitset artikli 25 lõike 2 tähenduses", tingimusel et 1) eksisteerib vajadus pakkuda reisija poolt nõutud teenuseid või täita lepingujärgseid kohustusi, näiteks boonusprogrammi leping, või 2) tarbija on sellega ühemõtteliselt nõustunud. Programmis Safe Harbor osalevad Ameerika Ühendriikide organisatsioonid pakuvad isikuandmetele piisavat kaitset ning võivad seetõttu EList edastatud andmeid vastu võtta neid tingimusi või direktiivi artiklis 26 sätestatud muid tingimusi täitmata. Kuna programm Safe Harbor hõlmab konkreetseid reegleid tundlike andmete kohta, võivad edastused programmis Safe Harbor osalejatele sisaldada selliseid andmeid (mida võib olla vaja koguda näiteks seoses füüsilise abiga, mida tarbijad vajavad). Igal juhul peab andmeid edastav organisatsioon siiski järgima selle EL liikmesriigi seadust, kus ta tegutseb, mis võib muu hulgas kehtestada eritingimusi tundlike andmete kasutamisele.

KKK 14 – Farmaatsia- ja meditsiinitooted

1. K: Kui isikuandmeid kogutakse ELis ja edastatakse Ameerika Ühendriikidesse farmaatsiauuringuteks ja/või muudel eesmärkidel, kas siis kohaldatakse liikmesriigi seadusi või programmi Safe Harbor põhimõtteid?

1. V: Liikmesriigi seadust kohaldatakse isikuandmete kogumisele ja mis tahes töötlemisele, mis leiab aset enne edastamist Ameerika Ühendriikidesse. Programmi Safe Harbor põhimõtteid kohaldatakse andmetele siis, kui need on edastatud Ameerika Ühendriikidesse. Farmaatsiauuringuteks ja muudel eesmärkidel kasutatavatest andmetest tuleks võimalusel nimed kustutada.

2. K: Teatavate meditsiiniliste või farmaatsiauuringute tulemusena saadud isikuandmetel on sageli suur väärtus tulevaste teadusuuringute jaoks. Kui ühe teadusuuringu tarbeks kogutud isikuandmed edastatakse programmis Safe Harbor osalevale Ameerika Ühendriikide organisatsioonile, kas see organisatsioon võib neid andmeid kasutada uueks teaduslikuks uuringuks?

2. V: Jah, kui alguses esitati asjakohane teade ja anti valikuvõimalus. Selline teade peaks teavitama tulevastest andmete kasutusviisidest, näiteks regulaarsed täiendamised, seonduvad uuringud või turundus. On arusaadav, et kõiki tulevasi andmete kasutamise viise ei ole võimalik välja tuua, kuna vajadus uuteks uuringuteks võib tekkida algandmete uuest tõlgendamisest, uutest meditsiinilistest avastustest ja arengutest ning tervishoiualastest ja regulatiivsetest arengutest. Kui see on asjakohane, peaks teade seega hõlmama selgitust, et isikuandmeid võidakse tulevikus kasutada ettenägematutes meditsiini- ja farmaatsiauuringutes. Kui andmeid ei kasutata kooskõlas üldise uuringueesmärgi või -märkidega, milleks andmed algselt koguti või millega üksikisik seejärel nõustus, tuleb hankida uus nõusolek.

3. K: Mis saab üksikisiku andmetest, kui osaleja vabatahtlikult või sponsori nõudmisel kliinilisest katsest loobub?

3. V: Osalejad võivad igal ajal otsustada või neid võidakse paluda kliinilisest katsest loobuda. Loobumise eel kogutud andmeid võib ikkagi töödelda koos teiste kogutud andmetega kliinilise katse osana, kui seda osalejale teates selgitati siis, kui ta osalema nõustus.

4. K: Farmaatsia- ja meditsiiniseadmete firmadel on lubatud ELis läbi viidud kliiniliste katsete isikuandmeid esitada Ameerika Ühendriikide seadusandjatele reguleerimis- ja järelevalve eesmärkidel. Kas on lubatud andmeid sarnaselt edastada muudele osapooltele peale seadusandjate, näiteks äriühingu teistesse asukohtadesse ja teistele uurijatele?

4. V: Jah, kooskõlas teate ja valikuvõimaluse põhimõtetega.

5. K: Objektiivsuse tagamiseks ei saa paljudes kliinilistes katsetes osalejatele ja sageli ka uurijatele võimaldada juurdepääsu andmetele, millist ravi milline osaleja saab. See seaks ohtu uuringu kehtivuse ja tulemused. Kas sellistes kliinilistes katsetes (mida nimetatakse ka "pimeuuringuteks") osalejatel on katse ajal juurdepääs oma ravi kohta käivatele andmetele?

5. V: Ei, sellist juurdepääsu ei pea osalejale võimaldama, kui seda piirangut on selgitatud siis, kui osaleja katsega ühines, ja kui sellise teabe avalikustamine ohustaks uuringu usaldusväärsust. Nõusolek katses neil tingimustel osaleda on juurdepääsuõigusest loobumise mõistlik vorm. Pärast katse lõpuleviimist ja tulemuste analüüsi peaks osalejatele võimaldatama juurdepääs oma andmetele, kui nad seda soovivad. Seda peaksid nad taotlema eelkõige arstilt või muult meditsiinitöötajalt, kellelt nad kliinilise katse ajal ravi said, või siis sponsorettevõttelt.

6. K: Kas farmaatsia- või meditsiiniseadmete firma peab rakendama programmi Safe Harbor teate, valikuvõimaluse, edasise edastamise ja juurdepääsu põhimõtteid toote ohutuse ja tõhususe jälgimise toimingutes, sealhulgas vastunäidustusjuhtumite aruandlus ja patsientide/katsealuste poolt teatavate ravimite või meditsiiniseadmete (nt südamestimulaator) kasutamise jälgimine?

6. V: Ei, selles ulatuses, milles põhimõtete järgmine segaks reguleerivate nõuete järgimist. See kehtib näiteks meditsiiniteenuste pakkujate, farmaatsia- ja meditsiiniseadmete firmadele kui ka farmaatsia- ja meditsiiniseadmete firmade aruannete osas sellisele valitsusasutusele nagu Food and Drug Administration.

7. K: Uurimisandmed kodeeritakse alati päritolukohas põhiuurija poolt ainulaadse koodiga, et üksikute andmesubjektide identiteeti mitte paljastada. Selliste uuringute sponsoriteks olevad farmaatsiafirmad selle koodi võtit ei saa. Ainulaadne koodi võti on ainult uurijal, et temal oleks võimalik uuritavaid eriolukordades tuvastada (nt kui on vajalik edaspidine meditsiiniline tähelepanu). Kas sellisel moel kodeeritud andmete edastamine Ameerika Ühendriikidesse kujutab endast programmi Safe Harbor põhimõtete kohast isikuandmete edastamist?

7. V: Ei. See ei kujuta endast põhimõtete kohast isikuandmete edastamist.

KKK 15 – Avalikud registrid ja avalikult kättesaadav teave

K: Kas avalike registrite andmetele või avalikult kättesaadavale teabele on vaja rakendada teate, valikuvõimaluse või edasise edastamise põhimõtteid?

V: Avalike registrite andmetele ei ole vaja rakendada teate, valikuvõimaluse ega edasise edastamise põhimõtteid, kui neid ei kombineerita mitteavalike registrite andmetega ning järgitakse asjakohase pädevuse alusel kehtestatud kasutustingimusi.

Samuti ei ole teate, valikuvõimaluse või edasise edastamise põhimõtet üldjuhul vaja rakendada avalikult kättesaadavale teabele, välja arvatud kui Euroopa edastaja osutab, et selline teave allub piirangutele, mis nõuavad nende põhimõtete rakendamist organisatsiooni poolt andmeid kavandatud eesmärgil kasutamiseks. Organisatsioon ei vastuta selle eest, kuidas selliseid andmeid kasutavad need, kes saavad nad avalikustatud materjalidest.

Kui leitakse, et organisatsioon on tahtlikult isikuandmed avalikustanud põhimõtteid rikkudes, et organisatsioon ise või keegi teine neist eranditest kasu võiks saada, lõpeb tema õigus programmi Safe Harbor soodustustele.

[1] Käesoleva KKK liitmine paketti sõltub DPAde kokkuleppest. DPAd on käesolevat teksti artikli 29 töörühmas arutanud ja enamuses pidasid seda vastuvõetavaks, kuid on valmis lõpliku arvamuse andmiseks ainult koos üldhinnanguga, mille töörühm lõpp-paketi kohta annab.

[2] Vt KKK 7 kontrolli kohta.

[3] Vaidlusi lahendavad asutused ei pea täitmise tagamise põhimõtet järgima. Nad võivad eirata ka põhimõtteid, kui nad oma ülesandeid täites satuvad vastandlikele kohustustele või otsestele volitustele.

[4] Vaidlusi lahendavad asutused võivad omal äranägemisel otsustada, millistes olukordades nad neid sanktsioone rakendavad. Asjaomaste andmete tundlikkus on üheks teguriks otsuse võtmisel selle kohta, kas tuleks nõuda andmete kustutamist, samuti kas organisatsioon on andmeid kogunud, kasutanud või avalikustanud põhimõtteid jõhkralt eirates.

--------------------------------------------------

III LISA

Ülevaade programmi Safe Harbor täitmise tagamisest

Föderaalsed ja osariikide volitused seoses kõlvatute tavade ja pettusega ja eraelu puutumatus

Käesolevas memorandumis piiritletakse Federal Trade Commission'i (FTC) volitused seaduse Federal Trade Commission Act (15 U.S.C. §§ 41–58, muudetud kujul) paragrahvi 5 alusel võtta meetmeid nende suhtes, kes ei taga isikuandmete puutumatust kooskõlas oma vastavasisuliste kinnituste ja/või kohustustega. Samuti käsitletakse erandeid nendele volitustele ning teiste föderaal- ja osariikide asutuste võimalusi võtta meetmeid seal, kuhu FTC volitused ei laiene. [1]

FTC volitused kõlvatute tavade ja pettuse korral

Seaduse Federal Trade Commission Act paragrahvis 5 öeldakse, et "ärilised või äritegevust mõjutavad kõlvatud tavad või pettus" on seadusevastased. 15 U.S.C. § 45(a)(1). Paragrahv 5 annab FTCle piiramatu võimu selliseid tegusid ning tavasid ära hoida. 15 U.S.C. § 45(a)(2). Vastavalt võib FTC pärast ametlikku ärakuulamist anda keelustava (cease and desist) korralduse rikkumise lõpetamiseks. 15 U.S.C. § 45(b). FTC võib samuti taotleda ajutist tõkendit (restraining order) või ajutist või alalist kohtu ettekirjutust (injunction) Ameerika Ühendriikide ringkonnakohtus, kui see vastab avalikele huvidele. 15 U.S.C. § 53(b). Laiaulatusliku kõlvatute tegude või pettuse esinemisel või kui FTC on selle kohta juba keelustamiskorralduse välja andnud, võib FTC taotleda administratiivettekirjutust kõnealuste tegude või tavade suhtes. 15 U.S.C. § 57a.

FTC korralduse täitmatajätmisel rakendatakse tsiviiltrahvi kuni 11000 USA dollarit, kusjuures rikkumise jätkumise iga päev loetakse eraldi rikkumiseks. [2] 15 U.S.C. § 45(1). 11000 USA dollarit trahvi kohaldatakse samuti kõikidele, kes FTC otsust teadlikult rikuvad. 15 U.S.C. § 45(m). Täitevmenetluse võib algatada kas Ameerika Ühendriikide justiitsministeerium või selle keeldumisel FTC. 15 U.S.C. § 56.

FTC volitused ja eraelu puutumatus

Volituste kasutamisel paragrahvi 5 alusel lähtub FTC seisukohast, et tarbijatelt andmete kogumise või selle kasutamise kohta valeandmete esitamine loetakse pettuseks. [3] Näiteks esitas FTC 1998. aastal GeoCities kohta kaebuse kogutud andmete avalikustamise eest äriühingu veebisaidil kolmandatele osapooltele turundustegevuseks ja ilma eelneva loata, vaatamata äriühingu enda vastupidistele avaldustele. [4] FTC on samuti kinnitanud, et isikuandmete kogumine lastelt ning kõnesolevate andmete müük ja avalikustamine ilma lapsevanemate loata loetakse tõenäoliselt kõlvatuks tegevuseks. [5]

Kirjas Euroopa Komisjoni peadirektorile John Moggile märkis FTC juhataja Pitofsky FTC piiratud volitustele puutumatuse kaitsmisel, kui kogutud andmete kasutamise kohta ei ole valeinfot (või üldse mingit infot) esitatud. FTC juhataja Pitofsky kiri John Moggile (23. september 1998). Äriühingud, mis soovivad ettepandud programmis "Safe Harbor" osaleda, peavad siiski kinnitama, et nad kaitsevad kogutud andmeid kooskõlas suunistega. Seega kui äriühing tõendab, et tagab andmete puutumatuse, kuid ei tee seda, loetakse selline tegevus valeandmete esitamiseks ja pettuseks paragrahvi 5 tähenduses.

Kuna FTC pädevus laieneb ärilisele või äritegevust mõjutavale kõlvatule tegevusele või pettusele, ei oma FTC pädevust isikuandmete mitteärieesmärgil kogumise ja kasutamise suhtes, näiteks kui raha kogutakse heategevuseks. Vt Pitofsky kiri, lk 3. Isikuandmete kasutamine mis tahes äritehingus täidab kõnesoleva pädevuse alase nõude. Seega näiteks töötajate isikuandmete müük otseturundusega tegelejale tööandja poolt tooks selle tehingu paragrahvi 5 mõjupiirkonda.

Paragrahvi 5 erandid

Paragrahvis 5 kehtestatakse järgmised erandid FTC volitustele kõlvatu tegevuse või pettuse osas:

- finantsinstitutsioonid, sealhulgas pangad, hoiu- ja laenu- ning krediidiühistud;

- telekommunikatsioonifirmad ja osariikidevahelise transpordiga tegelevad veoettevõtjad (common carriers);

- lennufirmad ja

- pakkimis- ja loomakasvatusesaadustega tegelevad ettevõtjad.

Vt 15 U.S.C. § 45(a)(2). Allpool käsitleme iga erandit ja reguleerivaid asutusi, mis astuvad FTC asemele.

Finantsinstitutsioonid [6]

Esimene erand kehtib "pankade, hoiu- ja laenuinstitutsioonide kohta, mida on kirjeldatud paragrahvis 18(f)(3) [15 U.S.C. § 57a(f)(3)]" ja "föderaalsete krediidiühistute kohta, mida on kirjeldatud paragrahvis 18(f)(4) [15 U.S.C. § 57a(f)(4)]". [7] Kõnealuste finantsinstitutsioonide suhtes kohaldatakse hoopis norme, mille on vastavalt kehtestanud Federal Reserve Board, Office of Thrift Supervision [8] ja National Credit Union Administration Board. Vt 15 U.S.C. § 57a(f). Kõnesolevatele reguleerivatele asutustele on tehtud ülesandeks kehtestada vajalikud normid kõlvatute tegude ja pettuse ärahoidmiseks nimetatud finantsinstitutsioonide poolt [9] ning asutada eraldi üksus tarbijate kaebuste käsitlemiseks. 15 U.S.C. § 57a(f)(1). Lõpuks tulenevad täitmise tagamise alased volitused pankade ning hoiu- ja laenuühistute suhtes seaduse Federal Deposit Insurance Act (12 U.S.C. § 1818) paragrahvist 8 ning föderaalsete krediidiühistute suhtes seaduse Federal Credit Union Act paragrahvidest 120 ja 206. 15 U.S.C. §§ 57a(f)(2)–(4).

Kuigi kindlustustegevust ei märgita eraldi paragrahvi 5 erandite loetelus, jätab seadus McCarran-Ferguson Act (15 U.S.C. § 1011 et seq.) kindlustustegevuse reguleerimise üldiselt osariikidele. [10] Lisaks ei muuda seaduse McCarran-Ferguson Act paragrahvi 2(b) alusel ükski föderaalseadus osariigi seadusi kehtetuks, nõrgenda ega asenda neid, "välja arvatud kui selline seadus käsitleb konkreetselt kindlustustegevust". 15 U.S.C. § 1012(b). Siiski kohaldatakse kindlustustegevusele seaduse FTC Act sätteid "ulatuses, milles sellist tegevust ei reguleeri osariigi seadused". Id. Samuti tuleks märkida, et McCarran-Ferguson annab pädevuse osariikidele ainult kindlustustegevuse suhtes. Seetõttu säilitab FTC siiski volitused kindlustusseltside kõlvatute tavade või pettuse suhtes nende kindlustustegevusest väljapoole jäävas ulatuses. See võib hõlmata näiteks juhtumeid, kus kindlustusandjad müüvad isikuandmeid oma kindlustusvõtjate kohta mittekindlustustoodete otseturundusega tegelejatele. [11]

Telekommunikatsioonifirmad ja veoettevõtjad (common carriers)

Paragrahvi 5 teine erand kehtib selliste telekommunikatsioonifirmade ja veoettevõtjate suhtes, kes "alluvad äritegevust reguleerivatele seadustele", 15 U.S.C. § 45(a)(2). Sellisel juhul osutab "äritegevust reguleerivad seadused" United States Code 49. jaotise IV alljaotisele ja 1934. aasta seadusele Communications Act (47 U.S.C. § 151 et seq.) (Communications Act). Vt 15 U.S.C. § 44.

U.S.C. 49. jaotise IV alljaotis (Osariikidevaheline transport) hõlmab raudteevedajaid, maanteevedajaid, veetranspordifirmasid, maaklereid, ekspedeerijaid ja torutranspordifirmasid. 49 U.S.C. § 10101 et seq. Need mitmesugused telekommunikatsioonifirmad ja veoettevõtjad kuuluvad Surface Transportation Board reguleerimisalasse, mis on transpordiministeeriumile alla kuuluv sõltumatu asutus. 49 U.S.C. §§ 10501, 13501 ja 15301. Igal juhul on veoettevõtjatel keelatud avalikustada andmeid veose laadi, sihtpunkti ja muude aspektide kohta, mida võidaks kasutada kaubasaatja kahjuks. Vt 49 U.S.C. §§ 11904, 14908 ja 16103. Juhime tähelepanu asjaolule, et need sätted puudutavad andmeid saatja veose kohta ning seega ei näi hõlmavat kaubasaatja isikuandmeid, mis ei ole kõnealuse veosega seotud.

Seadus Communications Act sätestab "traatside ja raadioside valdkonnas osariikidevahelise ja väliskaubanduse" reguleerimise Federal Communications Commission'i (FCC) poolt. Vt 47 U.S.C. §§ 151 ja 152. Lisaks telekommunikatsioonifirmadele kohaldatakse seadust Communications Act ka sellistele äriühingutele nagu televisiooni- ja raadiofirmad ning kaabelleviteenuste pakkujad, mis ei ole telekommunikatsioonifirmad (common carriers). Viimati nimetatud äriühingutele ei kehti seaduse FTC Act paragrahvi 5 erandid. Seega on FTC pädev kontrollima neid äriühinguid kõlvatute tavade või pettuse suhtes, FCC aga omab kõnesolevas valdkonnas kattuvat pädevust kasutada oma sõltumatuid volitusi vastavalt allpool kirjeldatule.

Seaduse Communications Act alusel on "igal telekommunikatsioonifirmal", sealhulgas kohalikel keskjaamadel, kohustus kaitsta klientide isikuandmete puutumatust. [12] 47 U.S.C. § 222(a). Lisaks neile üldistele volitustele seoses puutumatuse kaitsmisega muudeti seadust Communications Act 1984. aasta seadusega Cable Communications Policy Act (Cable Act), 47 U.S.C. § 521 et seq., et spetsiaalselt kohustada kaabellevioperaatoreid kaitsma kaabelleviteenuste tellijate "isikut tuvastavate andmete" puutumatust. 47 U.S.C. § 551. [13] Seadus Cable Act piirab isikuandmete kogumist kaabellevioperaatorite poolt ja kohustab kaabellevioperaatorit tellijat teavitama andmete kogumise laadist ja andmete kasutamisest. Seadus Cable Act annab tellijatele õiguse juurdepääsuks nende kohta käivatele andmetele ja kohustab kaabellevioperaatoreid neid andmeid hävitama, kui neid enam ei vajata.

Seadus Communications Act annab FCCle õiguse kõnesolevat kahte puutumatussätet jõustada kas omal algatusel või vastuseks väljast tulnud kaebusele. [14] 47 U.S.C. §§ 205, 403; id. § 208. Kui FCC otsustab, et telekommunikatsioonifirma (sealhulgas kaabellevioperaator) on rikkunud paragrahvide 222 või 551 puutumatussätteid, on tal valida kolme põhilise toimimisviisi vahel. Esiteks võib FCC pärast ärakuulamist ja rikkumise kindlakstegemist kohustada firmat korvama rahalist kahju. [15] 47 U.S.C. § 209. Teiseks võib FCC anda firmale keelustava korralduse üleastumise või tegematajätmise kohta. 47 U.S.C. § 205(a). Lõpuks võib FCC rikkumise sooritanud firmat kohustada "järgima ja täitma [mis tahes] määrust või tava", mida FCC võib määrata. Id.

Eraisikud, kes usuvad, et telekommunikatsioonifirma või kaabellevioperaator on rikkunud seaduse Communications Act või seaduse Cable Act asjakohaseid sätteid, võib esitada kaebuse FCCle või esitada hagi föderaalsesse ringkonnakohtusse. 47 U.S.C. § 207. Kaebuse esitaja, kes võidab föderaalkohtuasja telekommunikatsioonifirma vastu kliendi isikuandmete kaitsmatajätmise eest seaduse Communications Act üldisema paragrahvi 222 alusel, võib saavutada tegelike kahjude ning advokaadikulude korvamise. 47 U.S.C. § 206. Kaebuse esitaja, kes esitab puutumatuse rikkumise kohta kaebuse seaduse Cable Act kaabelsidet käsitleva paragrahvi 551 alusel, võib lisaks tegelikele kahjude ja advokaadi tasude hüvitamisele saavutada ka karistuseks määratud kahjutasude maksmise ja mõistliku hagemiskulude hüvitamise määramise. 47 U.S.C. § 551(f).

FCC on vastu võtnud üksikasjalikud eeskirjad paragrahvi 222 rakendamiseks. Vt 47 CFR 64.2001–2009. Kõnesolevates eeskirjades sätestatakse konkreetsed meetmed kaitseks volitamata juurdepääsu eest klientide võrguinfole. Normid kohustavad telekommunikatsioonifirmasid:

- välja töötama ja juurutama tarkvarasüsteeme, mis tähistavad kliendi teate/nõusoleku oleku, kui kliendi andmed esmakordsel ekraanile ilmuvad;

- säilitama elektroonilist kontrolljälge, et jälgida pöördusi kliendi andmete poole, sealhulgas millal, kelle poolt ja millisel eesmärgil kliendi kirje avati;

- koolitama oma töötajad kliendi võrguinfot volitatud korras kasutama, koos asjakohase distsiplinaarkorra kehtestamisega;

- kehtestama kontrolliprotsessi vastavuse kindlustamiseks väljapoole suunatud turunduse teostamisel ja

- kinnitama FCCle kord aastas, kuidas organisatsioon kõnesolevatele normidele vastab.

Lennufirmad

Ameerika Ühendriikide ja välismaa lennufirmadele, mis alluvad 1958. aasta seadusele Federal Aviation Act, seaduse FTC paragrahv 5 samuti ei laiene. Vt 15 U.S.C. § 45(a)(2). See hõlmab kõiki, kes teostavad osariikidevahelist või rahvusvahelist kauba- või reisijatevedu või veavad posti õhusõidukitega. Vt 49 U.S.C. § 40102. Lennufirmad alluvad transpordiministeeriumile. Selles suhtes on transpordiministril volitused võtta meetmeid "kõlvatu tegevuse või pettuse või röövelliku või konkurentsivastaste tavade ärahoidmiseks õhutranspordis". 49 U.S.C. § 40101(a)(9). Transpordiminister võib uurida, kas Ameerika Ühendriikide või välismaa lennufirma või piletimüügiagent on käitunud kõlvatult või petnud, kui see on avalikes huvides. 49 U.S.C. § 41712. Pärast ärakuulamist saab transpordiminister anda korralduse seadusevastane tegevus lõpetada. Id. Meile teadaolevalt ei ole transpordiminister kasutanud neid volitusi lennufirmade klientide isikuandmete puutumatuse kaitsmise küsimuses. [16]

Isikuandmete puutumatust kaitsevad kaks sätet, mida kohaldatakse lennufirmadele kindlas kontekstis. Esiteks kaitseb seadus Federal Aviation Act piloodi ametikohale taotlejate isikuandmete puutumatust. Vt 49 U.S.C. § 44936(f). Seadus lubab lennufirmadel hankida andmeid taotleja varasema töökäigu kohta, jättes samas taotlejale õiguse saada teade, et tema töökäigu kohta on päring esitatud, päringuga nõustuda, parandada ebatäpsused ja lubada töökäik teatavaks teha ainult tööhõiveotsuses osalejatele. Teiseks sätestavad transpordiministeeriumi normid, et reisijate andmeid, mida kogutakse valitsuse poolt kasutamiseks lennuõnnetuse puhul, "säilitatakse konfidentsiaalsetena ja antakse ainult Ameerika Ühendriikide välisministeeriumi, National Transportation Board'i (NTSB nõudmisel) ja Ameerika Ühendriikide transpordiministeeriumi käsutusse". 14 CFR osa 243, § 243.9(c) (63 FR 8258 poolt täiendatud kujul).

Pakkimis- ja loomakasvatussaadustega tegelevad ettevõtjad

Võttes arvesse 1921. aasta seadust Packers and Stockyards Act (7 U.S.C. § 181 et seq.), keelab seadus "mis tahes pakkimisettevõtjal, kes tegeleb kariloomade, liha, lihatoodete või töötlemata loomsete toodetega, või mis tahes elusate kodulindude vahendajal eluslindude osas kasutada kõlvatuid, põhjendamatult diskrimineerivaid toiminguid või pettust või selles osaleda". 7 U.S.C. § 192(a); vt ka 7 U.S.C. § 213(a) (mis keelustab "kõlvatu, põhjendamatult diskrimineeriva tegevuse või pettuse" loomakasvatusega seoses). Põllumajandusministril lasub esmane vastutus nende sätete jõustamiseks, kuigi FTC säilitab pädevuse jaemüügitehingute ning linnukasvatust hõlmavate tehingute üle. 7 U.S.C. § 227(b)(2).

Ei ole selge, kas põllumajandusminister tõlgendab pakkimisettevõtja või loomakasvatussaadustega tegeleva ettevõtja poolt isikuandmete puutumatuse kaitsmata jätmist väljakuulutatud normide kohaselt seaduse Packers and Stockyards Act alusel "pettuseks". Paragrahvi 5 erandit kohaldatakse siiski isikutele, ühingute või äriühingutele ainult "niivõrd kui nad alluvad seadusele Packers and Stockyards Act." Seetõttu, kui eraelu puutumatus ei ole seaduse Packers and Stockyards Act reguleerimisvaldkonda kuuluv küsimus, ei pruugi paragrahvi 5 erandit kohaldada ning pakkimis- ja loomakasvatussaadustega tegelevad ettevõtjad alluksid selles osas FTCle.

Osariigi volitused kõlvatute tavade ja pettuse osas

FTC töötajate poolt koostatud analüüsis öeldakse, et "kõik 50 osariiki pluss Columbia ringkond, Guam, Puerto Rico ja Ameerika Ühendriikide Neitsisaared on jõustanud seadusele Federal Trade Commission Act (FTCA) enam-vähem sarnanevad seadused kõlvatute tavade või pettuse ärahoidmiseks". FTC faktileht, uuesti avaldatud väljaandes "Comment, Consumer Protection: The Practical Effectiveness of State Deceptive Trade Practices Legislation", 59 Tul, L. Rev. 427 (1984). Igal juhul omab täitevasutus volitusi "läbi viia uurimisi kohtukutse või tsiviiluurimisnõuete kasutamisega, hankida tagatisi vabatahtlike vastavuskinnituste kohta, väljastada keelustamiskorraldusi või hankida kohtu ettekirjutusi kõlvatute tavade, häbematuse või pettuse ärahoidmiseks. Id. 46 jurisdiktsioonis lubab seadus erahagisid nõudmaks tegelikku, kahekordset, kolmekordset või karistuseks määratud kahjutasu ning mõnel juhul kulude ja advokaaditasude hüvitamist. Id."

Florida seadus Deceptive and Unfair Trade Practices Act näiteks annab peaprokurörile loa uurida ja esitada tsiviilhagi kõlvatu konkurentsi, kõlvatute, häbematute äritavade või pettuse eest, sealhulgas vale või eksitav reklaam, eksitavad frantsiisi- või äripakkumised, pettev teleturundus ja püramiidskeemid. Vt ka seadust N.Y. General Business Law § 349 (mis keelustab kõlvatud äritavad ja pettuse äritegevuses).

Käesoleval aastal ühenduse National Association of Attorneys General (NAAG) poolt läbi viidud uurimus kinnitab neid leide. Kõigil 43 vastanud osariigil on "mini-FTC" statuudid või muud võrreldavat kaitset pakkuvad statuudid. NAAGi uurimuse kohaselt märkisid 39 osariiki ka, et nende volitused hõlmavad mitteresidentide kaebuste ärakuulamist. Eelkõige tarbija eraelu puutumatuse suhtes märkisid 37 osariiki vastanud 41 osariigist, et nad reageeriksid kaebustele, milles väidetakse, et nende jurisdiktsioonis asuv äriühing ei järgi enda poolt kinnitatud puutumatuspoliitikat.

[1] Me ei käsitle siin kõiki erinevaid föderaalstatuute, mis käsitlevad puutumatust erinevates kontekstides, ega ka osariikide statuute ja tavaõigust, mida võidakse kohaldada. Isikuandmete kommertseesmärgil kogumist ja kasutamist reguleerivate statuutide hulka föderaaltasandil kuuluvad muu hulgas seadused Cable Communications Policy Act (47 U.S.C. § 551), Driver's Privacy Protection Act (18 U.S.C. § 2721), Electronic Communications Privacy Act (18 U.S.C. § 2701 et seq.), Electronic Funds Transfer Act (15 U.S.C. §§ 1693, 1693 m), Fair Credit Reporting Act (15 U.S.C. § 1681 et seq.), Right to Financial Privacy Act (12 U.S.C. § 3401 et seq.), Telephone Consumer Protection Act (47 U.S.C. § 227) ja Video Privacy Protection Act (18 U.S.C. § 2710). Paljudel osariikidel on analoogseid seadusi kõnesolevates valdkondades. Vt nt seadused Mass. Gen. Laws ch. 167B, § 16 (millega keelatakse finantsinstitutsioonidel avalikustada kliendi finantsandmeid kolmandatele osapooltele ilma kliendi nõusoleku või kohtuprotsessita), seadus N.Y. Pub. Health Law § 17 (millega piiratakse meditsiiniliste või vaimset tervist puudutavate andmete kasutamist ja avalikustamist ning antakse patsientidele nendele juurdepääsuõigus).

[2] Sellises hagis võib Ameerika Ühendriikide ringkonnakohus määrata ka FTC korralduste täitmiseks asjakohased kohtulikud keelud ja õiglased kohtuliku kaitse vahendid. 15 U.S.C. § 45(1).

[3] Pettus ("deceptive practice") on määratletud kui esitlemine, tegematajätmine või tava, mis võib mõistlikke tarbijaid olulisel viisil eksitada.

[4] Vt www.ftc.gov/opa/1998/9808/geocitie.htm.

[5] Vt töötajate kiri keskusele Center for Media Education, www.ftc.gov/os/1997/9707/cenmed.htm. Lisaks annab 1998. aasta seadus Children's Online Privacy Protection Act konkreetsed volitused FTCle reguleerida lastelt isikuandmete kogumist veebisaitide ja online-teenuste operaatorite poolt. Vt 15 U.S.C. §§ 6501–6506. Eelkõige nõutakse seaduses, et võrgukeskkonnas tegutsevad operaatorid esitaksid enne lastelt isikuandmete kogumist, nende kasutamist või avalikustamist vastava teate ja küsiksid lapsevanemate kinnitavat nõusolekut. Id., § 6502(b). Seadus annab lapsevanematele juurdepääsuõiguse andmetele ja õiguse keelduda loa andmisest andmete jätkuvaks kasutuseks. Id.

[6] 12. novembril 1999 allkirjastas president Clinton seaduse Gramm-Leach-Bliley Act (Pub. L. 106–102, kodifitseeritud: 15 U.S.C. § 6801 et seq.). Seadus piirab klientide isikuandmete avalikustamist finantsinstitutsioonide poolt. Seaduses nõutakse, et finantsinstitutsioonid teavitaksid kõiki kliente muu hulgas oma puutumatusnormidest ja -tavadest seoses sidus- ja muude ettevõtetega isikuandmete jagamisega. Seaduses antakse FTCle, föderaalpangandusasutustele ja muudele asutustele volitused kehtestada norme statuudiga nõutud puutumatuse kaitse rakendamiseks. Asutused on sel eesmärgil ka välja töötanud ettepanekuid normide kohta.

[7] See erand on nii formuleeritud, et ei ole kohaldatav väärtpaberite sektorile. Seetõttu kehtivad maakleritele, vahendajatele ja teiste väärtpaberisektoris osalejatele Securities and Exchange Commission ja FTC kattuvad volitused kõlvatute tavade või pettuse osas.

[8] Paragrahvi 5 erand osutas Federal Home Loan Bank Board'ile, mis kaotati 1989. aasta augustis 1989. aasta seadusega Financial Institutions Reform, Recovery and Enforcement Act. Tema funktsioonid anti üle järgmistele ametkondadele: Office of Thrift Supervision ja Resolution Trust Corporation, Federal Deposit Insurance Corporation ja Housing Finance Board.

[9] Paragrahv 5, mis võtab FTClt pädevuse seoses finantsinstitutsioonidega, sätestab samas ka, et kui FTC annab välja kõlvatuid tavasid ja pettust reguleeriva eeskirja, peaksid need finantsregulatsiooni ametkonnad 60 päeva jooksul vastu võtma paralleelsed normid. Vt 15 U.S.C. § 57a(f)(1).

[10] "Kindlustustegevusele ja kõikidele sellega tegelevatele isikutele kohaldatakse mitme osariigi seadusi, mis on seotud sellise tegevuse maksustamisega". 15 U.S.C. § 1012(a).

[11] FTC omab pädevust kindlustusseltside suhtes erinevates kontekstides. Ühel juhul võttis FTC meetmeid ühe firma vastu seoses petliku reklaamiga osariigis, kus firmal puudus tegutsemiseks litsents. FTC pädevus tugines asjaolule, et puudusid kehtivad osariigi normid, kuna firma asus väljaspool osariiki. Vt FTC v. Travelers Health Association, 362 U.S. 293 (1960).17 osariiki on vastu võtnud tüüpseaduse Insurance Information and Privacy Protection Act, mille valmistas ette National Association of Insurance Commissioners (NAIC). Seadus sisaldab sätteid teate, kasutamise ja avalikustamise ning juurdepääsu kohta. Samuti on peaaegu kõik osariigid vastu võtnud NAIC tüüpseaduse Unfair Insurance Practices Act, mis on suunatud konkreetselt kõlvatute äritavade vastu kindlustustegevuses.

[12] Mõiste "klientide võrguinfo" (customer proprietary network information) tähendab informatsiooni, mis on seotud kliendi poolt kasutatud "telekommunikatsiooniteenuste koguse, tehnilise konfiguratsiooni, liigi, sihtkoha ja kasutusmäära" ja telefoniarve andmetega. 47 U.S.C. § 222(f)(1). See mõiste ei hõlma siiski teenuse kasutajate loetelu andmeid. Id.

[13] Õigusaktis puudub "isikut tuvastatavate andmete" otsene määratlus.

[14] Kõnesolevad volitused hõlmavad õigust puutumatuse rikkumise hüvitamisele nii seaduse Communications Act paragrahvi 222 kui ka kaabelteenuste tellijate osas kõnealust seadust muutva seaduse Cable Act paragrahvi 551 alusel. Vt ka 47 U.S.C. § 551(f)(3) (tsiviilhagi föderaalses ringkonnakohtus on mittevälistav heastamisvahend, mida pakutakse "lisaks kaabelleviteenuste kasutajale kättesaadavatele muudele seaduslikele heastamisvahenditele").

[15] Otseste kahjude mittetekitamine kaebuse esitajale ei anna aga alust kaebuse rahuldamata jätmiseks. 47 U.S.C. § 208(a).

[16] Saame aru, et valdkonnas tehakse jõupingutusi seoses puutumatuse küsimusega. Tööstusharu esindajad on arutanud ettepandud programmi Safe Harbor põhimõtteid ja nende võimalikku rakendamist lennufirmade suhtes. Arutelu on hõlmanud ettepanekut võtta vastu harusisesed puutumatusnormid, milles osalevad firmad otseselt kohustuksid alluma DOTi ametivolitustele.

--------------------------------------------------

IV LISA

Kahjutasu eraelu puutumatuse rikkumise eest, õiguslikud volitused ning ühinemised ja ülevõtmised Ameerika Ühendriikide seaduses

Käesolev selgitus on vastuseks Euroopa Komisjoni taotlusele anda selgitusi Ameerika Ühendriikide seaduses a) eraelu puutumatuse rikkumisega seotud kahjutasu nõuete kohta, b) Ameerika Ühendriikide seaduses esitatud "otseste volituste" kohta isikuandmete kasutamiseks viisil, mis ei ole kooskõlas programmi Safe Harbor põhimõtetega, ja c) ühinemiste ja ülevõtmiste mõju kohta programmi Safe Harbor põhimõtete alusel võetud kohustustele.

A. Kahjutasu eraelu puutumatuse rikkumise eest

Mittevastavus programmi Safe Harbor põhimõtetele võib olenevalt olukorrast anda alust arvukateks nõueteks. Eelkõige võidaks programmi Safe Harbor organisatsioone vastutusele võtta valeandmete esitamise eest, kui nad ei järgi enda välja kuulutatud puutumatusnorme. Hagialuseid seoses kahjutasuga eraelu puutumatuse rikkumise eest pakub ka tavaõigus. Paljud föderaal- ja osariikide statuudid puutumatuse kohta sätestavad ka kahjude hüvitamise üksikisikutele rikkumiste eest.

Õigus kahjude hüvitamisele eraelu puutumatuse rikkumise eest on Ameerika Ühendriikide tavaõiguses kindlakskujunenud.

Isikuandmete kasutamine programmi Safe Harbor põhimõtetega vastuolus võib kaasa tuua õigusliku vastutuse mitme erineva õigusteooria alusel. Näiteks nii andmeid edastav registripidaja kui ka mõjutatud üksikisikud võivad valeandmete esitamise eest kohtusse kaevata programmi Safe Harbor organisatsiooni, kes ei järgi oma programmi Safe Harbor kohustusi. Vastavalt väljaandele Restatement of the Law, Second, Torts: [1]

See, kes pettusega esitab vääralt fakte, arvamusi, kavatsusi või seadust, et kedagi sellele tuginedes tegutsema või mittetegutsema sundida, on vastutav sellele osapoolele pettusega tekitatud rahalise kahju eest, mis tuleneb sellest, et kõnesolev osapool õigustatult tugines sellistele valeandmetele.

Restatement, § 525. Valeandmete esitamine on "pettus" ("fraudulent"), kui seda tehakse teadmise või usuga, et andmed on valed. Id., § 526. Üldreeglina on petja potentsiaalselt vastutav kõikide ees, kelle suhtes ta eeldab või kellest loodab, et nad pettusele toetuvad, mis tahes rahalise kahju eest, mida nad selle tulemusena kannavad. Id. 531. Lisaks võib osapool, kes teist petab, olla vastutav kolmanda osapoole ees, kui kahju tekitaja eeldab või loodab, et tema pettust korratakse kolmandale osapoolele, kes selle alusel tegutseb. Id., § 533.

Programmi Safe Harbor kontekstis on asjakohaseks informatsiooniks organisatsiooni avalik kinnitus, et ta järgib programmi Safe Harbor põhimõtteid. Pärast sellise kohustuse võtmist võib teadlik põhimõtete mittejärgimine olla aluseks valeandmete esitamise kaebuseks nende poolt, kes valeandmetele toetusid. Kuna kohustus põhimõtteid järgida võetakse avalikkuse ees, võib see anda aluse andmesubjektideks olevatele isikutele, samuti Euroopas asuvale registripidajale, kes isikuandmeid Ameerika Ühendriikide organisatsioonile edastab, esitada hagi Ameerika Ühendriikide organisatsiooni vastu. [2] Lisaks on Ameerika Ühendriikide organisatsioon nende ees vastutav "valeandmete jätkuva esitamise" eest nii kaua, kui nad enda kahjuks valeandmetele tuginevad. Restatement, § 535.

Pettusele tuginenuil on õigus kahju hüvitamisele. Restatementi alusel.

Kuritahtlikult esitatud valeandmete vastuvõtjal on õigus saada kahjutasu temale pettuse läbi tekitatud rahalise kahju eest, mille õiguslikuks põhjuseks on valeandmete esitamine.

Restatement, § 549. Võimaliku kahjutasu hulka kuuluvad tegelikud otsesed rahalised kahjud, samuti äritehingus saamata jäänud "tehingutulu". Id.; vt nt Boling v. Tennessee State Bank, 890 S.W.2d 32 (1994) (pangalt mõisteti laenuvõtjate kasuks välja 14825 USA dollari ulatuses kompensatsiooni laenuvõtjate isikuandmete ja äriplaanide avalikustamise eest panga direktorile, kellel puhul oli tegemist huvide konfliktiga).

Arvestades, et andmete kuritahtlik vääresitus nõuab kas tegelikku teadmist või vähemalt usku, et tegemist on vääresitusega, on vastutus kohaldatav ka lohakusest tuleneva vääresituse suhtes. Restatement selgitab, et vastutusele võtta võib igaühe, kes esineb valeväitega oma äri-, kutse- või tööalases tegevuses või mis tahes rahalises tehingus, "kui ta ei rakenda mõistlikku hoolsust või pädevust teabe hankimisel või edastamisel". Restatement, § 552(1). Kontrastina andmete kuritahtlikule vääresitamisele on hooletu vääresitamise eest ette nähtud kahjutasu piiratud rahalise kahjuga. Id., § 552B(1).

Näiteks otsustas Connecticuti Ülemkohus hiljutises kohtuasjas, et elektrifirmapoolne klientide mitteteavitamine makseandmete avaldamisest üleriigilistele krediidiinfoasutustele oli piisav hagialus andmete väära esituse kohta. Vt Brouillard v. United Illuminating Co., 1999 Conn. Super. LEXIS 1754. Selles kohtuasjas keelduti hagejale krediiti andmast, sest kostja märkis arve kuupäevast kolmekümne päeva möödumisel mittelaekunud maksed "hilinenuteks". Hageja väitis, et teda polnud teavitatud sellisest poliitikast, kui ta kostja juures elektriteenuste lepingu sõlmis. Kohus otsustas konkreetselt, et "hooletu vääresitamise hagi aluseks võib olla kostja vaikimine, kui tal on kohustus rääkida". Samuti näitab see juhtum, et hooletu vääresitamise hagi ei pea ilmtingimata hõlmama teadlikku või kuritahtlikku kavatsust. Seega saaks Ameerika Ühendriikide organisatsiooni, mis hooletusest tulenevalt täielikult ei avalikusta, kuidas ta programmi Safe Harbor alusel saadud isikuandmeid kasutab, võtta vastutusele vääresitamise eest.

Kuivõrd programmi Safe Harbor põhimõtete rikkumine toob kaasa isikuandmete väärkasutuse, võib andmesubjekt selle alusel ka esitada hagi eraelu puutumatuse rikkumise kohta, mis on rikkumine tavaõiguse alusel. Ameerika seadus on pikka aega tunnistanud hagialusena eraelu puutumatuse rikkumist. Ühes 1905. aasta kohtuasjas [3] leidis Georgia Ülemkohus oma otsuses ühe eraisiku kasuks, kelle fotot elukindlustusselts tema nõusoleku või teadmiseta oli kasutanud kommertsreklaami illustreerimiseks, et eraelu puutumatus on loomuliku õiguse ja tavaõiguse üks kesksetest arusaamadest. Ameerika eraõiguses praeguseks tuttavaid teemasid rõhutades leidis kohus, et foto kasutamine oli "kuritahtlik", "väär" ning "hagejat maailma silmis naeruvääristav". [4] Pavesichi otsuse aluseid on väiksemate variatsioonidega kasutatud ja nad on muutunud Ameerika seaduse alustalaks sellel teemal. Osariikide kohtud on pidevalt toetanud hagisid eraelu puutumatuse rikkumise vallas ja vähemalt 48 osariiki tunnistavad nüüd kohtulikult mõningaid selliseid hagialuseid. [5] Lisaks on vähemalt 12 osariigil konstitutsioonilised sätted, mis tagavad nende kodanike õiguse kaitsta end sekkumiste vastu, [6] mis mõnel juhul võib muutuda kaitseks mitteriiklike asutuste sekkumise vastu. Vt nt Hill v. NCAA, 865 P.2d 633 (Ca. 1994); vt ka S. Ginder, Lost and Found in Cyberspace: Informational Privacy in the age of the Internet, 34 S.D.L. Rev. 1153 (1997) ("Mõnede osariikide konstitutsioonid sisaldavad Ameerika Ühendriikide konstitutsiooni ületavat eraelu puutumatuse kaitset. Alaska, Arizona, California, Florida, Hawaii, Illinois, Louisiana, Montana, Lõuna-Carolina ja Washington kaitsevad eraelu puutumatust laiemalt.")

The Second Restatement of Torts annab autoriteetse ülevaate selle valdkonna õigusest. Tavakohtupraktikat käsitledes selgitab Restatement, et "õigus eraelu puutumatusele" (right to privacy) hõlmab nelja selget hagialust rikkumiste osas. Vt Restatement, § 652A. Esiteks võib "eraellu sekkumise" (intrusion upon seclusion) eest esitada hagi kostja vastu, kes tahtlikult sekkub, füüsiliselt või muu viisil, kellegi teise poolt valitud üksildusse või eraldatusse või tema eraasjadesse või -probleemidesse. [7] Teiseks võib esineda "omastamist" (appropriation), kui keegi enda kasutuseks või omakasu eesmärgil kasutab kellegi teise nime või sarnasust temaga. [8] Kolmandaks on võimalik hageda "isiklike andmeteavalikustamise" (publication of private facts) eest, kui avaldatav materjal oleks mõistlikule isikule väga solvav ning see ei toimu avalikkuse seaduslikes huvides. [9] Lõpuks on võimalik hageda "vales valguses avalikustamise" (false light publicity) eest, kui kostja teadlikult või hooletusest näitab kedagi avalikkuse ees vales valguses, mis oleks mõistlikule isikule väga solvav. [10]

Programmi Safe Harbor raamistiku kontekstis võib "eraellu sekkumine" hõlmata isikuandmete loata kogumist, samas kui isikuandmete volitamata kasutamine kommertseesmärkidel võiks anda alust omastamise eest nõude esitamiseks. Samuti annaks ebatäpsete isikuandmete avalikustamine alust "vales valguses avalikustamise" kujul rikkumiseks, kui andmed on liigitatavad kui mõistlikule inimesele väga solvavad. Lõpuks võib tundlike isikuandmete avaldamisest või avalikustamisest tulenev sekkumine eraellu anda alust hageda "isiklike andmete avalikustamise" eest. (Vt näited allpool.)

Kahjutasu osas annavad eraelu puutumatusse sekkumised kahjustatud osapoolele õiguse järgmiste kahjude hüvitamisele:

a) sekkumisest tulenenud kahju tema eraelu puutumatusega seotud huvidele;

b) tõestatult talle tekitatud psüühilised kannatused, kui see on sellisest liiki, mis tavaliselt tekib kõnesolevast sekkumisest; ja

c) eriline kahju, mille õiguslikuks põhjuseks sekkumine on.

Restatement, § 652H. Võttes arvesse tsiviilõiguslikke rikkumisi käsitleva õiguse üldist kohaldatavust ja eraelu puutumatuse aspekte hõlmavate hagemisaluste rohkust, on tõenäoline, et neile, kes programmi Safe Harbor põhimõtete mittejärgimise tõttu kannatavad eraelu puutumatusega seotud huvide rikkumise tõttu, mõistetakse rahaline hüvitis.

Osariikide kohtud ongi tõepoolest täidetud juhtumitest, kus väidetakse eraellu sekkumist analoogsetes olukordades. Ex Parte AmSouth Bancorporation et al., 717 So. 2d 357, näiteks hõlmas kollektiivset hagi, milles väideti, et kostja "kasutas ära neid, kellel olid pangas sihthoiused, jagades konfidentsiaalset informatsiooni panga hoiustajate ja nende kontode kohta" panga sidusettevõttele fondiosakute ja muude investeeringute müümiseks. Sellistel juhtudel määratakse sageli kahjutasu. Juhtumis Vassiliades v. Garfinckel's, Brooks Bros., 492 A.2d 580 (D.C.App. 1985), annulleeris apellatsioonikohus alama astme kohtu otsuse ja leidis, et hageja fotode kasutamine "enne" ja "pärast" plastilist operatsiooni kaubamajas läbi viidud esitlusel kujutas eraelu puutumatusse sekkumist isiklike andmete avalikustamise läbi. Juhtumis Candebat v. Flanagan, 487 So.2d 207 (Miss. 1986), kasutas kostjaks oleva kindlustusselts reklaamikampaanias õnnetusjuhtumit, milles hageja abikaasa tõsiselt vigastada sai. Hageja esitas süüdistuse eraellu tungimises. Kohus otsustas, et hagejale võidakse mõista kahjutasu emotsionaalse pinge ja identiteedi omastamise eest. Identiteedi omastamise hagi on põhjendatav ka siis, kui hageja ei ole kuulus isik. Vt nt Staruski v. Continental Telephone Co., 154 Vt. 568 (1990) (kostja teenis kommertstulu töötaja nime ja foto kasutamiselt ajalehereklaamis). Pulla v. Amoco Oil Co., 882 F.Supp. 836 (S.D Iowa 1995), tungis tööandja hagenud töövõtja eraellu seeläbi, et lasi teisel töötajal tema haiguspäevade paikapidavuse kontrollimiseks uurida tema krediitkaarditehingute andmeid. Kohus kinnitas vandekohtu määratud 2 USA dollarit tegeliku kahjutasuna ning 500000 USA dollarit karistuseks määratud kahjutasuna. Teine tööandja võeti vastutusele selle eest, et avaldas firma ajalehes loo töötajast, kes vallandati väidetava töödokumentide võltsimise eest. Vt Zinda v. Louisiana-Pacific Corp., 140 Wis.2d 277 (Wis.App. 1987). Lugu rikkus hageja eraelu puutumatust eraasja avalikustamisega, sest ajalehte levitati ka kohalikus kogukonnas. Lõpuks võeti eraellu tungimise eest vastutusele kolledž, mis testis tudengeid HIV suhtes, olles neile öelnud, et vereproov võetakse ainult punetiste suhtes. Vt Doe v. High-Tech Institute, Inc., 972 P.2d 1060 (Colo.App. 1998). (Muid juhtumeid vt Restatement, § 652H, Lisa.)

Ameerika Ühendriike kritiseeritakse sageli selle eest, et seal pöördutakse liiga kergekäeliselt kohtusse, kuid see tähendab ka, et üksikisikud tõepoolest võivad ja saavad kohtusse pöörduda, kui nad usuvad, et neid on vääriti koheldud. Paljud Ameerika Ühendriikide kohtumõistmissüsteemi aspektid muudavad süüdistuste esitamise hagejate jaoks isiklikult või kollektiivselt lihtsaks. Kuna advokatuur on suurem kui enamikus muudes riikides, on professionaalsed esindajad hõlpsasti kättesaadavad. Üksikisikuid erahagides nõustavad advokaadid töötavad harilikult tulemusest sõltuva tasu alusel, mis võimaldab ka vaestel või vähekindlustatud hagejatel kohtusse pöörduda. Siit tuleb esile oluline tegur: Ameerika Ühendriikides kannab kumbki osapool harilikult ise oma kulud advokaatidele ja muud kulud. See vastandub Euroopas kasutatavale reeglile, mille kohaselt kaotav osapool peab hüvitama ka teise osapoole kulud. Kummagi süsteemi suhtelisi eeliseid vaidlustamata on Ameerika Ühendriikide reegel väiksemaks takistuseks õigustatud nõuete esitamisel nendele üksikisikutele, kes kaotuse korral ei oleks võimelised tasuma mõlema poole kulusid.

Üksikisik võib hüvitist taotleda isegi siis, kui tema nõue on suhteliselt väike. Enamikus, kui mitte kõikides Ameerika Ühendriikide jurisdiktsioonides eksisteerivad kohtud väiksemate nõuete käsitlemiseks, mis võimaldavad lihtsustatud ja odavamaid menetlusi kindlaks määratud piiridest allapoole jäävates vaidlustes. [11] Karistuseks määratava kahjutasu võimalus annab üksikisikutele, kelle otsene kahju ei olnud suur, rahalise stiimuli esitada hagi taunitava väärkohtlemise korral. Lõpuks on samal viisil kahju kannatanud üksikisikutel võimalik koondada oma ressursid ja nõuded kollektiivse hagi esitamiseks.

Hea näide üksikisikute võime kohta hüvituse saamiseks hagi esitada on käimasolev kohtuasi Amazon.com vastu eraellu tungimise eest. Suure internetipoe Amazon.com vastu on esitatud kollektiivne hagi, milles hagejad väidavad, et neile ei räägitud ja nad ei andnud nõusolekut isikuandmete kogumiseks nende kohta, kui nad kasutasid Amazonile kuuluvad Alexa nime kandvat tarkvara. Sellisel juhul on hagejate väitel rikutud seadust Computer Fraud and Abuse Act ebaseadusliku juurdepääsuga nende salvestatud suhtlusele ning Electronic Communications Privacy Act ebaseadusliku sekkumisega nende elektron- ja traatsidesse. Samuti väidavad nad eraellu tungimist tavaõiguse alusel. See arenes välja interneti turvalisuseksperdi poolt detsembris esitatud kaebusest. Kohtuasjas taotletakse kahjutasu 1000 USA dollarit iga kollektiivses hagis osaleja kohta, pluss advokaaditasud ja seaduste rikkumisega teenitud kasum. Võttes arvesse, et kollektiivses hagis osalejate arv võib ulatuda miljonitesse, võib kahjutasu ulatuda miljarditesse dollaritesse. Ka FTC uurib neid süüdistusi.

Föderaalsed ja osariikide eraelu puutumatust käsitlevad õigusaktid esitavad tihti hagialuseid eraisikutele rahalise kahjutasu nõudmiseks.

Lisaks sellele, et mittevastavus programmi Safe Harbor põhimõtetele võib anda alust tsiviilvastutuseks tsiviilõigusrikkumisi käsitleva õiguse alusel, võib see kujutada mõne föderaalse või osariikide puutumatust käsitleva seaduse, mille arv ulatub sadadesse, rikkumist. Paljud neist seadustest, mis käsitlevad isikuandmete kasutamist nii riiklikus kui erasektoris, võimaldavad üksikisikutel rikkumiste korral kohtus kahjutasu nõuda. Näiteks:

Electronic Communications Privacy Act, 1986. ECPA keelustab volitamatu sekkumise mobiiltelefonikõnedesse ja arvutitevahelistesse edastustesse. Rikkumise tulemuseks võib olla tsiviilvastutus alates 100 USA dollarit iga rikkumispäeva eest. ECPA kaitse laieneb ka volitamatule juurdepääsule salvestatud elektronsidele või selle avalikustamisele. Rikkujad on vastutavad kantud kahju või saamatajäänud kasumi eest.

Telecommunications Act, 1996. Paragrahvi 702 alusel ei ole kliendi võrguinfot (customer proprietary network information – CPNI) lubatud kasutada ühelgi muul otstarbel peale telekommunikatsiooniteenuste pakkumise. Teenuse tellijad võivad kas esitada kaebuse komisjonile Federal Communications Commission või nõuda föderaalses ringkonnakohtus kahjude ja advokaaditasude hüvitamist.

Consumer Credit Reporting Reform Act, 1996. 1996. aasta seadus muutis 1970. aasta seadust Fair Credit Reporting Act (FCRA), nõudes krediidiaruandluse subjektide paremat teavitamist ja juurdepääsuõigust. Kõnesolev Reform Act kehtestas ka uued piirangud tarbijate krediidiaruannete edasimüüjatele. Tarbijad saavad rikkumiste eest nõuda kahjutasu ja advokaaditasude hüvitamist.

Osariikide seadused kaitsevad ka eraelu puutumatust väga erinevates olukordades. Valdkonnad, milles osariigid on meetmeid võtnud, on näiteks pangainfo, kaabeltelevisiooni abonemendid, krediidiaruanded, andmed töökäigu kohta, valitsuse andmed, geneetilised ja meditsiinilised andmed, kindlustusregistrid, koolide käes olevad andmed, elektronside ja videolaenutus. [12]

B. Otsesed õiguslikud volitused

Programmi Safe Harbor põhimõtted sisaldavad erandit, kui statuut, normid või pretsedendiõigus loovad või annavad "vastandlikke kohustusi või otseseid volitusi, tingimusel et mis tahes sellise volituse teostamisel suudab organisatsioon demonstreerida, et tema mittevastavus põhimõtetele on piiratud ainult sellega, mis on vajalik selliste volitustega talle pandud ülekaalukate õigustatud huvide täitmiseks." Selge on, et kui Ameerika Ühendriikide seadustes sätestatakse vastandlik kohustus, peavad Ameerika Ühendriikide organisatsioonid, sõltumata sellest, kas nad osalevad programmis Safe Harbor või mitte, seadust täitma. Mis puutub otsestesse volitustesse, siis kui programmi Safe Harbor põhimõtete eesmärgiks on ületada erinevusi Ameerika Ühendriikide ja Euroopa eraelu puutumatuse kaitse viiside vahel, peame meie austama meie valitud seadusandjate seadusandlikke prerogatiive. Rangele programmi Safe Harbor põhimõtetele vastavusele piiratud erandi tegemise eesmärgiks on tasakaalu leidmine mõlema osapoole õigustatud huvide vahel.

Erand tehakse ainult otseste volituste korral. Minimaalseks eelduseks seega on, et asjakohane statuut, norm või kohtuotsus peab programmi Safe Harbor organisatsioonidele sellist tegevust kindlalt lubama. [13] Teiste sõnadega ei kehti erand seal, kus seadus vaikib. Lisaks kehtiks erand ainult siis, kui see otsene luba satub vastuollu programmi Safe Harbor põhimõtete järgimisega. Isegi siis on erand "kehtiv ulatuses, mis on vajalik sellise loaga talle pandud ülekaalukate õigustatud huvide täitmiseks". Näiteks kui seadus lihtsalt lubab äriühingul riigiasutustele andmeid esitada, siis kõnesolev erand ei kehti. Kui aga seadus vastupidiselt konkreetselt lubab äriühingul esitada isikuandmeid riigiasutustele ilma üksikisiku nõusolekuta, kujutaks see endast "otsest volitust" tegutseda viisil, mis on vastuolus programmi Safe Harbor põhimõtetega. Alternatiivselt jääksid konkreetsed erandid seoses kindla nõudega teade ja nõusoleku kohta erandi raamesse (kuna võrduksid eriloaga avalikustada teave ilma teate ja kooskõlastuseta). Näiteks statuut, mis annab arstidele loa esitada patsientide meditsiinilisi andmeid tervishoiuametnikele ilma patsientide eelneva nõusolekuta, võiks lubada erandit teate ja valikuvõimaluse põhimõtetest. Kõnesolev luba ei annaks arstile õigust esitada kõnesolevaid meditsiinilisi andmeid tervishoiuorganisatsioonidele ega kommertsalustel tegutsevatele farmaatsialaboritele, mis jääksid seadusega lubatud eesmärkidest ja seega erandi reguleerimisalast välja. [14] Kõnesolevad õiguslikud load võivad endast kujutada ühekordset luba isikuandmete konkreetseks kasutamiseks, kuid nagu allpool toodud näidetest selgub, on tõenäoliselt tegemist mõne laiema isikuandmete kogumist, kasutamist või avalikustamist keelava seaduse erandiga.

Telecommunications Act, 1996

Enamasti on lubatud kasutused kas direktiivi ja põhimõtete nõuetega kooskõlas või oleksid lubatud mõne muu lubatud erandiga. Näiteks seaduse Telecommunications Act paragrahviga 702 (kodifitseeritud: 47 U.S.C. § 222) kehtestatakse kohustus telekommunikatsioonifirmadele säilitada oma klientide jaoks teenuste osutamise käigus saadud isikuandmete konfidentsiaalsus. Kõnesolev säte lubab telekommunikatsioonifirmadel konkreetselt:

1) kasutada kliendiandmeid telekommunikatsiooniteenuse pakkumiseks, sealhulgas telefonikataloogide avaldamiseks;

2) kliendi kirjalikul palvel anda kliendiandmeid ka teistele ja

3) anda kliendiandmeid koondkujul.

Vt 47 U.S.C. § 222(c)(1)–(3). Seadus sätestab ka telekommunikatsioonifirmadele erandi, mis lubab kliendiandmete kasutamist:

1) oma teenuste alustamiseks, osutamiseks, nende eest arvete koostamiseks ja tasu nõudmiseks;

2) kaitseks pettuse, vägivaldse või ebaseadusliku tegevuse eest ja

3) teleturunduse, soovituste või administratiivteenuste pakkumiseks kliendi poolt alustatud kõne ajal. [15]

Id., § 222(d)(1)–(3). Lõpuks on telekommunikatsioonifirmad kohustatud esitama telefonikataloogide väljaandjatele kliendiandmete loetelud, mis võivad sisaldada ainult nimesid, aadresse, telefoninumbreid ja äriklientide tegevusvaldkondi. Id., § 222(e).

"Otseste volituste" erand võib mängu tulla siis, kui telekommunikatsioonifirmad kasutavad CPNId pettuse või muu ebaseadusliku tegevuse ärahoidmiseks. Ka siin võidakse käsitleda, et taolised meetmed on "avalikkuse huvides" ning seetõttu põhimõtete alusel lubatud.

Department of Health and Human Services poolt ettepandud eeskirjad

Department of Health and Human Services (HHS) on ette pannud eeskirjad isikut tuvastavate terviseandmete puutumatuse standardite kehtestamiseks. Vt 64 Fed. Reg. 59.918 (2. november 1999) (kodifitseeritud: 45 C.F.R. punktid 160–164). Eeskirjad rakendaksid ellu 1996. aasta seaduses Health Insurance Portability and Accountability Act, Pub. L. 104–191, sisalduvad puutumatusnõuded. Ettepandud eeskirjad keelaksid üldiselt reguleerimisalasse kuuluvatel üksustel (nt ravikindlustusfirmad, tervishoiuandmete registrid ja tervishoiualaseid andmeid elektroonilises vormis edastavad tervishoiuasutused) kaitstud terviseandmeid ilma üksikisiku loata kasutada või avalikustada. Vt ettepandud 45 C.F.R. § 164.506. Ettepandud eeskirjad nõuaksid kaitstud terviseandmete avalikustamist ainult kahel põhjusel: 1. lubamaks üksikisikutel tutvuda enda kohta käivate terviseandmetega ja neid kopeerida, vt id. § 164.514; ja 2. nende eeskirjade täitmise tagamiseks, vt id. § 164.522.

Ettepandud eeskirjad lubaksid kaitstud terviseandmete kasutamist või avalikustamist ilma üksikisiku eriloata ainult piiratud juhtudel. Siia kuuluvad näiteks tervishoiusüsteemi järelevalve, õiguskaitse ja hädaolukorrad. Vt id. § 164.510. Ettepandud eeskirjades sätestatakse üksikasjalikult selliste kasutuste ja avalikustamiste piirid. Lisaks oleks kaitstud terviseandmete lubatud kasutamine ja avalikustamine piiratud minimaalselt vajalike andmetega. Vt id. § 164.506.

Ettepandud normidega otseselt lubatud kasutus on üldiselt kooskõlas programmi Safe Harbor põhimõtetega või muu erandiga muul moel lubatud. Näiteks on lubatud õiguskaitse ja kohtu korras kohaldamine, samuti meditsiinilised uuringud. Muud kasutusotstarbed, näiteks tervishoiusüsteemi, rahvatervishoiu ja riiklike terviseandmete süsteemide järelevalve, teenivad avalikke huve. Avalikustamised tervishoiumaksete ja tervisekindlustusmaksete töötlemiseks on vajalikud tervishoiuteenuste osutamiseks. Kasutus hädaolukorras, mille eesmärgiks on konsulteerida võimaliku ravi suhtes lähisugulasega olukorras, kus patsiendi nõusolekut "praktiliselt või mõistlikult ei ole võimalik saada" või selleks, et tuvastada surnut või määrata surma põhjus, kaitseb andmesubjekti ja teiste elulisi huve. Andmete kasutamine tegevteenistuses olevate sõjaväelaste ja teiste erikategooriasse kuuluvate üksikisikute kohta aitavad kaasa sõjalise missiooni täitmisele või muude sarnaste nõudlike olukordade lahendamisele; ning igal juhul on sellisel kasutusel vähe rakendust või puudub see täiesti tarbijate puhul üldiselt.

Alles jääb ainult isikuandmete kasutamise tervishoiuasutuste poolt patsientide loendite koostamiseks. Kuigi selline kasutus ei pruugi tõusta "eluliste" huvide tasemele, on patsientidel ning nende sõpradel ja sugulastel kõnesolevatest loenditest kasu. Samuti on juba selliselt lubatud kasutuse ulatus tegelikkuses piiratud. Seega kaasneb seadusega "otseselt volitatud" põhimõtete eranditele tugineva kasutusega minimaalne oht patsientide eraelu puutumatusele.

Fair Credit Reporting Act

Euroopa komisjon on avaldanud muret, et "otseste volituste" erand võib seaduse Fair Credit Reporting Act (FCRA) osas "tegelikkuses kujuneda otsuseks kaitse piisavuse kohta". Nii see siiski ei ole. Konkreetse piisavusotsuse puudumisel FCRA alusel peaksid sellised Ameerika Ühendriikide organisatsioonid, mis muidu sellele otsusele tugineksid, lubama, et nad järgivad igas suhtes programmi Safe Harbor põhimõtteid. See tähendab, et kui FCRA nõuded on rangemad kui põhimõtetes kajastatud kaitsetase, tuleb Ameerika Ühendriikide organisatsioonidel järgida ainult FCRAd. Vastupidiselt, kui FCRA nõuded võivad olla madalamad, tuleks kõnesolevatel organisatsioonidel oma andmetavad põhimõtetega vastavusse viia. Erand seda põhilähtekohta ei muudaks. Erandit saab kohaldada ainult siis, kui asjaomane seadus otseselt lubab programmi Safe Harbor põhimõtetele mittevastavat tegevust. Erand ei hõlma olukordi, kui FCRA nõuded lihtsalt ei vasta programmi Safe Harbor põhimõtetele. [16]

Teiste sõnadega ei ole kavas anda erandile tähendust, et mis pole nõutud, on seega "otseselt lubatud". Pealegi rakendatakse erandit ainult siis, kui Ameerika Ühendriikide seaduses otseselt lubatu on vastuolus programmi Safe Harbor põhimõtete nõuetega. Asjaomane seadus peab vastama mõlemale kõnesolevale kriteeriumile, et oleks lubatud põhimõtteid mitte järgida.

FCRA paragrahv 604 näiteks lubab otseselt krediidiinfoasutustel väljastada andmeid tarbijate kohta erinevates loetletud olukordades. Vt FCRA, § 604. Kui paragrahv 604 seda tehes lubab krediidiinfosasutustel tegutseda vastuolus programmi Safe Harbor põhimõtetega, tuleks krediidiinfoasutustel tugineda erandile (kui muidugi ei kehti mõni muu erand). Krediidiinfoasutused peavad alluma kohtumäärustele ja kutsetele, millega neid kohustatakse ilmuma vandekohtu ette, ja krediidiinfo kasutamine riiklike litsentsi-, sotsiaal- ja lastetoetustega tegelevate täitevasutuste poolt teenib avalikke huve. Id., § 604(a)(1), (3)(D) ja (4). Järelikult puuduks krediidiinfoasutusel vajadus kõnesolevatel eesmärkidel tugineda "otsesele loale". Kui krediidiinfoasutus tegutseb kooskõlas tarbija kirjalike juhistega, oleks see täielikus vastavuses programmi Safe Harbor põhimõtetega. Id., § 604(a)(2). Samuti on krediidiinfo andmeid tööhõivega seoses võimalik hankida ainult tarbija kirjalikul loal. (id., §§ 604(a)(3)(B) ja (b)(2)(A)(ii)) ja krediidi- ning kindlustustehinguteks, mille algatajaks pole tarbija, ainult siis, kui tarbija pole sellisest variandist keeldunud (opt out) (id., § 604(c)(1)(B)). Samuti keelab FCRA krediidiinfoasutustel pakkuda meditsiiniinfot tööhõivega seonduvatel eesmärkidel ilma tarbija nõusolekuta. Id., § 604(g). Sellised kasutused vastavad teate ja valikuvõimaluse põhimõtetele. Muud paragrahvi alusel 604 lubatud otstarbed puudutavad tehinguid, milles tarbija osaleb, ja seetõttu oleksid põhimõtete alusel lubatud. Id., § 604(a)(3)(A) ja (F).

Viimane paragrahviga 604 "lubatud" kasutus on seotud krediidi järelturgudega. Id., § 604(a)(3)(E). Krediidiinfo kasutamine sellisel eesmärgil ei ole iseenesest vastuolus programmi Safe Harbor põhimõtetega. On tõsi, et kui krediidiinfoasutused sel eesmärgil andmeid väljastavad, ei nõuta neilt FCRA alusel näiteks tarbijatele teate esitamist ja nõusoleku saamist. Siiski tuleb siinkohal korrata, et nõude puudumine ei tähenda "otsest luba või volitust" toimida nõutust erinevalt. Samamoodi lubab paragrahv 608 krediidiinfoasutustel anda isikuandmeid valitsusasutustele. See "luba" ei õigustaks krediidiinfoasutuse poolt kohustuseks võetud programmi Safe Harbor põhimõtete eiramist. See läheb vastuollu meie teiste näidetega, kus erandid teate ja valikuvõimaluse andmise nõuetest toimivad selleks, et otseselt lubada isikuandmete kasutamist ilma teate ja valikuvõimaluseta.

Järeldus

Selge muster ilmneb isegi meie piiratud ülevaatest kõnesolevate statuutide kohta:

- Väljend "otsene volitus" seaduses lubab üldiselt isikuandmete kasutamist või avalikustamist ilma üksikisiku eelneva nõusolekuta; seega piirduks erand teate ja valikuvõimaluse põhimõtetega.

- Enamikul juhtudel on seadusega lubatud erandid kitsalt kavandatud kehtima teatavatel eesmärkidel teatavates olukordades. Igal juhul keelab seadus muidu nendesse piiridesse mitte kuuluvate isikuandmete volitamatu kasutamise või avalikustamise.

- Enamikul juhtudel teenib lubatud kasutus või avalikustamine avalikke huve vastavalt oma seadusandlikule olemusele.

- Peaaegu kõikidel juhtudel on lubatud kasutus kas täielikus kooskõlas programmi Safe Harbor põhimõtetega või käib mõne muu lubatud erandi alla.

Kokkuvõtteks võib tõdeda, et "otseste volituste" erand seaduses on juba loomu poolest tõenäoliselt üsna piiratud reguleerimisalaga.

C. Ühinemised ja ülevõtmised

Artikli 29 töörühm väljendas muret olukorra üle, kui programmis Safe Harbor osalev organisatsioon võetakse üle või ühendatakse äriühinguga, mis ei ole võtnud kohustuseks programmi Safe Harbor põhimõtteid järgida. Tundub siiski, et töörühm on oletanud, et niimoodi moodustuv äriühing ei oleks kohustatud ülevõetava äriühingu isikuandmetele programmi Safe Harbor põhimõtteid rakendama, kuid Ameerika Ühendriikide seaduse kohaselt see tingimata nii ei ole. Ameerika Ühendriikides on üldreegliks ühinemiste ja ülevõtmiste puhul, et teise äriühingu emiteeritud aktsiad omandav äriühing võtab üldiselt üle omandatud äriühingu kohustused ja vastutuse. Vt 15 Fletcher Cyclopedia of the Law of Private Corporations § 7117 (1990); vt ka Model Bus. Corp. Act § 11.06(3) (1979) ("ühinemise tulemusel moodustuval äriühingul on kõikide ühinenud äriühingute kõik kohustused"). Teiste sõnadega oleks programmi Safe Harbor organisatsiooni ühinemisel või ülevõtmisel moodustuv äriühing niimoodi kohustatud järgima viimase programmi Safe Harbor kohustustusi.

Isegi kui ühinemine või ülevõtmine toimuks varade omandamise teel, oleksid omandaval äriühingul teatavatel asjaoludel omandatud äriühingu kohustused. 15 Fletcher, § 7122. Isegi kui kohustused ei jäänud ühinemisel kehtima, väärib siiski märkimist, et nad ei jääks kehtima ka sellise ühinemise korral, kui andmete edastamine Euroopast toimus lepingu alusel, mis on ainus kasutatav alternatiiv programmile Safe Harbor andmete edastamisel Ameerika Ühendriikidesse. Lisaks nõutakse programmi Safe Harbor dokumentide praeguses redaktsioonis, et mis tahes programmi Safe Harbor organisatsioon teavitab Ameerika Ühendriikide kaubandusministeeriumi mis tahes ülevõtmisest, ning lubatakse andmete jätkuvat edastamist uuele organisatsioonile ainult siis, kui kõnesolev uus organisatsioon programmiga Safe Harbor ühineb. Vt KKK 6. Ameerika Ühendriigid on programmi Safe Harbor raamistikku nüüd tõepoolest täiendanud nii, et Ameerika Ühendriikide organisatsioonidelt nõutakse kõnesolevas olukorras selliste andmete kustutamist, mis nad on saanud programmi Safe Harbor raames, kui nende programmi Safe Harbor põhimõtete kohaseid kohustusi enam ei täideta või muid sobivaid tagatisi ei kasutata.

[1] Second Restatement of the Law – Torts; American Law Institute (1997).

[2] Selline võib olla olukord, kui näiteks üksikisikud on oma isikuandmed Ameerika Ühendriikidesse edastamiseks registripidajale nõusolekut andes tuginenud Ameerika Ühendriikide organisatsiooni programmi Safe Harbor kohustustele.

[3] Pavesich v. New England Life Ins. Co., 50 S.E. 68 (Ga. 1905).

[4] Id., 69.

[5] Elektronotsingu abil leiti Westlaw andmebaasist 2703 kohtuasja seoses "eraelu puutumatust" käsitlevate tsiviilhagidega osariikides kohtutes alates 1995. aastast. Kõnesoleva otsingu tulemused on komisjonile juba varem esitatud.

[6] Vt nt Alaska Constitution, artikkel 1 paragrahv 22; Arizona, artikkel 2, paragrahv 8; California, artikkel 1, paragrahv 1; Florida, artikkel 1, paragrahv 23; Hawaii, artikkel 1, paragrahv 5; Illinois, artikkel 1, paragrahv 6; Louisiana, artikkel 1, paragrahv 5; Montana, artikkel 2, paragrahv 10; New York, artikkel 1, paragrahv 12; Pennsylvania, artikkel 1, paragrahv 1; Lõuna-Carolina, artikkel 1, paragrahv 10; ja Washington, artikkel 1 paragrahv 7.

[7] Id., peatükk 28, paragrahv 652B.

[8] Id., peatükk 28, paragrahv 652B.

[9] Id., peatükk 28, paragrahv 652D.

[10] Id., peatükk 28, paragrahv 652E.

[11] Info väiksemate nõuete kohta oleme komisjonile juba varem esitatud.

[12] Hiljutine elektronotsing Westlaw andmebaasis andis tulemuseks 994 kohtuasja osariikides kahjutasu ja eraellu tungimisega seoses.

[13] Selgituseks tuleks märkida, et asjaomased õiguslikud volitused ei pea tingimata osutama programmi Safe Harbor põhimõtetele.

[14] Samuti ei saanud arst kõnesolevas näites tugineda seadusest tulenevatele volitustele jätta tähelepanuta üksikisiku poolt kasutatud otseturundusest keeldumine (opt out), mis on sätestatud KKKs 12. "Otseste volituste" mis tahes erandi reguleerimisala piirdub alati asjakohase seaduse reguleerimisalaga.

[15] Kõnesoleva erandi reguleerimisala on väga piiratud. Telekommunikatsioonifirmade kohta sätestatu alusel võib CPNId kasutada ainult kliendi poolt alustatud kõne ajal. Lisaks on FCC teatanud, et telekommunikatsioonifirma ei tohi kasutada CPNId kliendi päringu raamest väljajäävate teenuste turunduseks. Lõpuks, kuna klient peab kinnitama CPNI kasutamist kõnesoleval eesmärgil, ei olegi see säte tegelikult "erand".

[16] Käesolevat arutelu ei peaks võtma omaksvõtuna, et FCRA ei paku "piisavat" kaitset. FCRA mis tahes hindamisel tuleb arvesse võtta seaduse poolt tervikuna pakutavat kaitset ning mitte keskenduda ainult eranditele, nagu me siin teeme.

--------------------------------------------------

V LISA

14. juulil 2000

John Mogg

Direktor, XV peadirektoraat

European Commission

Office C 107-6/72

Rue de la Loi/Wetstraat 200

B-1049 Brussels

Lugupeetud hr Mogg,

Mõistan, et minu 29. märtsi 2000. aasta kirja alusel on Teil tekkinud rida küsimusi. Et selgitada meie volitusi küsimusi tekitanud valdkondades, saadan käesoleva kirja, mis edaspidise osutamise lihtsuse huvides täiendab ja võtab kokku varasema kirjavahetuse teksti.

Teie külaskäikudel meie kontoritesse ja kirjavahetuses olete tõstatanud mitmeid küsimusi Ameerika Ühendriikide Federal Trade Commission'i volitustest eraelu puutumatuse küsimuses võrgukeskkonnas (online). Arvasin, et oleks kasulik teha kokkuvõte minu varasematest vastustest FTC tegevuse kohta kõnesolevas valdkonnas ja anda täiendavat infot meie asutuse pädevuse kohta tarbija eraelu puutumatuse küsimustes, mille tõstatasite oma viimases kirjas. Küsite konkreetsemalt kas: 1) FTC omab pädevust tööhõivega seotud andmete edastamisega seoses, kui seda tehes on rikutud Ameerika Ühendriikide programmi Safe Harbor põhimõtteid; 2) FTC omab pädevust seoses eraelu puutumatusega tunnusmärke väljastavate mittetulundusprogrammidega; 3) seadust FTC Act kohaldatakse võrdselt väljaspool võrgukeskkonda (offline) toimuvatele ja võrgukeskkonnas (online) toimingutele ja 4) mis juhtub siis, kui FTC pädevus kattub täitevasutuste pädevusega.

Seaduse FTC Act kohaldamine eraelu puutumatusele

FTC on viimase viie aasta jooksul haaranud juhtpositsiooni lihtsustamaks Ameerika Ühendriikide tööstus- ja tarbijarühmade pingutusi, et töötada välja kõikehaarav vastus tarbijate eraelu puutumatuse küsimustele, sealhulgas isikuandmete kogumisele ja kasutamisele internetis. Avalike õpitubade abil ja konsulteerides pidevalt tööstuse ja tarbijate esindajate, kolleegidega Ameerika Ühendriikide kaubandusministeeriumist ja kogu Ameerika Ühendriikide valitsusest oleme aidanud tuvastada kõnesoleva poliitika võtmeküsimused ning välja töötada mõistlikud lahendused.

Federal Trade Commission'i õiguslikud volitused selles valdkonnas leiate seaduse Federal Trade Commission Act (FTC Act) paragrahvist 5, mis keelab ärilised või äritegevust mõjutavad kõlvatud tavad ja pettuse. [1] Pettust määratletakse kui andmete esitamist, väljajätmist või tava, mis võib mõistlikke tarbijaid oluliselt eksitada. Tava on kõlvatu, kui see põhjustab või võib põhjustada tarbijatele märkimisväärset kahju, mis ei ole mõistlikult välditav ning mida ei tasakaalusta kasu tarbijatele või konkurentsisituatsioonile. [2]

Teatavad andmete kogumise tavad võivad seadust FTC Act tõenäoliselt rikkuda. Näiteks kui veebisait esitab valeväite vastavusest mõnele seal nimetatud puutumatusnormidele või iseregulatsioonijuhistele, on seaduse FTC Act paragrahv 5 õiguslikuks aluseks, et vaidlustada selline vääresitus kui pettus. Oleme seadust edukalt kohaldanud kõnesoleva põhimõtte kehtestamiseks. [3] Lisaks on komisjon seisukohal, et võib paragrahvi 5 alusel vaidlustada kõlvatuna eriti äärmuslikud puutumatustavad, kui need hõlmavad lapsi või eriti tundlikke andmeid, näiteks finantsandmeid [4] ja meditsiinilisi andmeid. Federal Trade Commission on võtnud ja jätkab selliste õiguskaitsemeetmete võtmist läbi meie aktiivsete järelevalve- ja uurimispingutuste ning läbi esildiste, mida me saame iseregulatsiooniorganisatsioonidelt ja teistelt, sealhulgas Euroopa Liidu liikmesriikidelt.

FTC toetus iseregulatsioonile

FTC on kaua toetanud majandusharus tehtavaid pingutusi töötada välja tõhusad iseregulatsiooniprogrammid tarbijate eraelu puutumatuse kaitse tagamiseks internetis. Kõnesolevate pingutuste õnnestumise korral on siiski vaja alal tegutsejate laialdast osalust. Iseregulatsiooni tuleb samas õiguskaitsega toetada. Seepärast käsitleb FTC prioriteetsetena iseregulatsioonijuhistele mittevastavuse esildisi, mis on saadud sellistelt organisatsioonidelt nagu BBBOnline ja TRUSTe. Kõnesolev lähenemine oleks kooskõlas meie kauaaegse koostööga Better Business Bureau juures asuva üksusega National Advertising Review Board (NARB), mis vahendab FTCle reklaamikaebusi. NARB juures asuv National Advertising Division (NAD) lahendab üleriigilist reklaami puudutavaid kaebusi kohtu teel. Kui mõni osapool keeldub NADi otsust järgimast, saadetakse esildis selle kohta FTCle. FTC töötajad vaatavad vaidlusaluse reklaami eelisjärjekorras läbi, et teha kindlaks, kas see rikub seadust FTC Act ja suudab sageli vaidlustatud tegevuse edukalt lõpetada või veenda osapoolt NARBi protsessi jätkama.

Samuti käsitleb FTC prioriteetsena programmi Safe Harbor põhimõtetele mittevastavuste esildisi EL liikmesriikidest. Nagu ka Ameerika Ühendriikide iseregulatsiooniorganisatsioonidelt laekuvate esildiste puhul, kaaluvad meie töötajad, kas tegevus, mille kohta kaebus esitati, rikub seaduse FTC Act paragrahvi 5. Sama kohustus on kirjas ka programmi Safe Harbor põhimõtetes täitmise tagamist käsitleva korduma kippuva küsimuse (KKK 11) all.

GeoCities: FTC esimene juhtum eraelu puutumatuse kohta võrgukeskkonnas

GeoCities, Federal Trade Commission'i esimene juhtum eraelu puutumatuse kohta internetis põhines komisjoni volitustel vastavalt paragrahvile 5. [5] Kõnesoleval juhul väitis FTC, et GeoCities tekitas nii täiskasvanutel kui ka lastel vale ettekujutuse sellest, kuidas nende isikuandmeid kasutatakse. Federal Trade Commission'i kaebuses väideti, et GeoCities teatas, et tema veebisaidil kogutavaid teatavaid identifitseerivaid isikuandmeid kasutatakse ainult äriühingu sisemistel eesmärkidel või selleks, et edastada tarbijatele reklaampakkumisi ja nende soovitud tooteid või teenuseid ning et teatavat "omal valikul antavat" lisateavet ei avaldata kellelegi ilma tarbija nõusolekuta. Tegelikult avalikustati andmed kolmandatele osapooltele, kes kasutasid neid suunatud pakkumiste tegemiseks, mille jaoks nõusolekut ei olnud antud. Kaebuses süüdistati Geocities't ka pettuses seoses andmete kogumisega lastelt. FTC kaebuse kohaselt väitis GeoCities, et tema veebisaidil on lastele mõeldud osa ning et seal kogutavaid andmeid haldab GeoCities. Tegelikult tegelesid kõnesoleva veebisaidi osaga kolmandad osapooled, kes teavet kogusid ja haldasid.

Lahend keelab GeoCities'el tekitada vale ettekujutust eesmärgi kohta, milleks ta kogub või kasutab tarbijatelt, sealhulgas lastelt, kogutavaid identifitseerivaid isikuandmeid. Otsuses nõutakse, et äriühing paigutaks oma veebisaidile selge ja silmatorkava teate puutumatuse tagamise kohta, milles tarbijatele selgitatakse, milliseid andmeid kogutakse ja millisel eesmärgil, kellele seda avaldatakse ja kuidas on tarbijatel võimalik andmetele juurde pääseda ning neid kustutada. Lapsevanemate kontrolli kindlustamiseks nõutakse lahendis samuti, et GeoCities küsiks lapsevanema nõusolekut enne identifitseerivate isikuandmete kogumist 12aastastelt ja noorematelt lastelt. Otsuse alusel on GeoCities kohustatud oma liikmeid teavitama ja pakkuma neile võimalust kustutada oma andmed GeoCities'e andmebaasist ja kolmandate osapoolte andmebaasidest. Lahendis nõutakse eraldi, et GeoCities teavitaks 12aastaste või nooremate laste vanemaid ja kustutaks nende andmed, välja arvatud kui lapsevanem nõustub nende säilitamise ja kasutamisega. Lõpuks nõutakse veel, et GeoCities kontakteeruks kolmandate osapooltega, kellele ta varem andmeid on avalikustanud, ja nõuaks, et ka nemad kõnesolevad andmed kustutaksid. [6]

ReverseAuction.com

Hiljuti viis FTC kohtusse juhtumi seoses väidetava puutumatuse rikkumisega veel ühe võrgukeskkonnas tegutseva äriühingu poolt. 2000. aasta jaanuaris kinnitas komisjon kaebuse ning kokkuleppe lahendi kohta ReverseAuction.com'iga. See võrgukeskkonnas tegutsev oksjonisait sai väidetavalt identifitseerivaid isikuandmeid tarbijate kohta konkureerivalt saidilt (eBay.com) ja saatis siis omaalgatuslikud petvad e-kirjad tarbijatele, kes otsisid tehinguvõimalusi. [7] Meie kaebuses väideti, et ReverseAuction rikkus seaduse FTC Act paragrahvi 5 sellega, et hankis identifitseerivaid isikuandmeid, sealhulgas eBay kasutajate e-postiaadressid ja kasutajanimed ("user ID"), ja petvate e-kirjade saatmisega.

Nagu kaebuses kirjas, registreerus ReverseAction enne andmete hankimist eBay kasutajana ja nõustus järgima eBay kasutajalepingut ja puutumatusnorme. Leping ja normid kaitsevad tarbijate eraelu puutumatust, keelates eBay kasutajatel koguda ja kasutada identifitseerivaid isikuandmeid volitamatutel eesmärkidel, näiteks soovimatute e-kirjade saatmine kommertseesmärgil. Seega väideti meie kaebuses kõigepealt, et ReverseAuction teatas vääralt, et järgib eBay kasutajalepingut ja puutumatusnorme, mis paragrahvi 5 alusel on pettus. Lisaks väideti kaebuses, et andmete kasutamine ReverseAuction'i poolt soovimatute e-kirjade saatmiseks kommertseesmärgil kasutajalepingut ja puutumatuspoliitikat rikkudes oli paragrahvi 5 alusel kõlvatu äritava.

Teiseks väideti kaebuses, et tarbijatele saadetud e-kirjade teemarida oli pettev, kuna väitis, et eBay kasutajanimi "kaotab peatselt kehtivuse". Lõpuks väideti kaebuses, et e-kirjades esitati vääralt, et eBay edastas otseselt või kaudselt ReverseAuction'ile eBay kasutajate identifitseeritavaid isikuandmeid või osales muul viisil soovimatute e-kirjade levitamises.

FTC poolt saavutatud lahend keelab ReverseAuction'il kõnesolevaid rikkumisi edaspidi sooritada. Samuti nõutakse, et ReverseAuction teavitaks tarbijaid, kes ReverseAuction'ilt e-kirja saamise tulemusena end ReverseAuction'is registreerisid või edaspidi registreerivad. Teade informeerib kõnesolevaid tarbijaid, et nende eBay kasutajanimesid ei ähvardanud kehtivuse lõppemine eBay's ja et eBay ei andnud ReverseAuction'ile luba soovimatuid e-kirju levitada ega teadnud sellest. Teates antakse kõnesolevatele tarbijatele ka võimalus tühistada registreerumine ReverseAuction'is ja oma identifitseerivad isikuandmed ReverseAuction'i andmebaasist kustutada lasta. Lisaks nõutakse otsuses, et ReverseAuction kustutaks nende eBay liikmete identifitseerivad isikuandmed, kes said ReverseAuction'ilt e-kirja, kuid ei ole ReverseAuction'is registreerunud, ning ei kasutaks ega avalikustaks kõnesolevaid andmeid. Lõpuks nõutakse lahendis vastavalt FTC poolt saavutatud eelnevatele puutumatusotsustele, et ReverseAuction avalikustaks oma internetisaidil oma puutumatusnormid. Lahendis nõutakse ka ülevaatliku registri pidamist, mis võimaldaks FTCl vastavuse osas järelevalvet teostada.

ReverseAuction'i juhtum näitab, et FTC on pühendunud täitmise tagamise kasutamisele, et tugevdada majandusharu iseregulatsioonialaseid pingutusi tarbijate isikuandmete puutumatuse valdkonnas võrgukeskkonnas. Kõnesoleva juhtumi puhul vaidlustati tõesti otseselt tarbijate eraelu puutumatust kaitsvaid puutumatusreegleid ning kasutajalepingut ja tarbijate usaldust eraelu puutumatuse kaitseks võetavate meetmete osas õõnestav tegevus võrgukeskkonnas tegutseva äriühingu poolt. Kuna antud juhtumis esitas üks äriühing vääriti teise äriühingu puutumatuspoliitikaga kaitstud tarbijaandmeid, on see eriti oluline, kui mõelda puutumatuse kaitse küsimustele, mis võivad tõusetuda andmete edastamise korral erinevates riikides asuvate äriühingute vahel.

Olenemata Federal Trade Commission'i täitevmeetmetest GeoCities'e, Liberty Financial Cos. ja ReverseAuction'i puhul, on asutuse volitused teatavates võrgukeskkonnas eraelu puutumatuse kaitse valdkondades piiratumad. Nagu eespool märgitud, peab isikuandmete kogumine ja kasutamine ilma nõusolekuta olema oma olemuselt kas äriline pettus või kõlvatu äritava, et seadus FTC Act oleks sellele kohaldatav. Seega ei hõlmaks seadus FTC Act tõenäoliselt sellise veebisaidi tegevust, mis koguks tarbijatelt identifitseerivaid isikuandmeid, kuid ei esitaks vääriti andmete kogumise eesmärki ega kasutaks ega avaldaks kõnesolevaid andmeid viisil, mis võiks tarbijatele olulist kahju tekitada. Samuti ei pruugi olla FTC võimuses laiemalt nõuda, et internetis andmeid koguvad üksused järgiksid puutumatusnorme või mis tahes konkreetset sellist poliitikat. [8] Nagu eespool mainitud, liigitatakse väljakuulutatud puutumatusnormide mittejärgimine äriühingu poolt tõenäoliselt pettuseks.

Lisaks hõlmab FTC õiguspädevus kõnesolevas valdkonnas ainult ärilised või äritegevust mõjutavad kõlvatud tavad ja pettuse. Andmete kogumine tooteid või teenuseid pakkuvate kommertsüksuste poolt, sealhulgas andmete kogumine ja kasutamine kommertseesmärkidel, eeldatavasti täidaks "äritegevuse" nõude. Teiselt poolt võivad paljud üksikisikud või üksused koguda võrgukeskkonnas andmeid ilma mingi kommertseesmärgita ning seega jääda Federal Trade Commission'i pädevusest välja. Kõnesoleva piirangu näiteks on jututoad, kui nende eest vastutavad mittekommertsüksused, nt mõni heategev organisatsioon.

Lõpuks eksisteerib mitmeid täielikke või osalisi seadustest tulenevaid erandeid FTC põhipädevusest äritavade valdkonnas, mis piiravad FTC võimet internetis eraelu puutumatusega seotud probleemidele kõikehõlmavalt reageerida. Kõnesolevate erandite hulka kuuluvad paljud inforohked valdkonnad, näiteks pangad, kindlustusseltsid ja lennufirmad. Nagu te teate, läheks pädevus nende üksuste osas teistele föderaal- või riigiasutustele, näiteks föderaalpangandusasutused või transpordiministeerium.

Juhul kui FTCl on pädevus, võtab FTC vastu tarbijakaebusi, mis tulevad keskusesse Consumer Response Center (CRC) posti ja telefoni teel ning ka veebisaidi kaudu, [9] ja kui vahendid lubavad, võtab meetmeid nende suhtes. CRC võtab vastu kaebusi kõikidelt tarbijatelt, sealhulgas nendelt, kes elavad Euroopa Liidu liikmesriikides. Seadus FTC Act annab Federal Trade Commission'ile seadusliku õiguse hankida kohtulik keeld seaduse FTC Act edasiste rikkumiste suhtes ning ka hüvitust kannatanud tarbijatele. Siiski kontrolliksime, kas äriühing on järjekindlalt valesti toiminud, kuna üksiktarbijate kaebusi me ei lahenda. Varem pakkus Federal Trade Commission hüvitist nii Ameerika Ühendriikide kui ka teiste riikide kodanikele. [10] FTC jätkab oma volituste rakendamist asjakohastel juhtudel, et pakkuda hüvitust teiste riikide kodanikele, kes on kannatanud FTC õiguspädevuse alla kuuluva pettuse tõttu.

Tööhõiveandmed

Oma viimases kirjas otsisite lisaselgitusi FTC õiguspädevuse kohta seoses tööhõiveandmetega. Esmalt esitate küsimuse, kas FTC saaks paragrahvi 5 alusel võtta meetmeid äriühingu suhtes, mis kinnitab oma vastavust Ameerika Ühendriikide programmi Safe Harbor põhimõtetele, kuid edastab või kasutab tööhõiveandmeid neid põhimõtteid rikkudes. Soovime kinnitada, et oleme hoolikalt vaadanud läbi FTC volitused kehtestavad õigusaktid, seonduvad dokumendid ja asjakohase pretsedendiõiguse ning järeldasime, et FTC pädevus tööhõiveandmete osas on sama, mis FTC seaduse paragrahvi 5 alusel üldiselt. [11] See tähendab, et kui juhtum vastab meie olemasolevatele kriteeriumitele (kõlvatus või pettus) puutumatusega seotud täitevmeetmete osas, on meil võimalik tööhõiveandmete puhul meetmeid võtta.

Samuti sooviksime hajutada arvamust, nagu oleks FTC võime puutumatusega seotud täitevmeetmeid võtta piiratud olukordadega, kus äriühing on petnud üksiktarbijaid. Tegelikult, nagu näitab komisjoni hiljutine tegevus ReverseAuction'i [12] asjas, võtab FTC puutumatusega seotud täitevmeetmeid äriühingute vahel andmete edastamisega seotud juhtudel, kui üks äriühing on väidetavalt tegutsenud ebaseaduslikult teise äriühingu suhtes, mille tulemuseks on võimalik kahju nii tarbijatele kui ka äriühingutele. Eeldame, et just sellises olukorras võib töötajatega seotud probleem kõige tõenäolisemalt esile kerkida, kuna tööhõiveandmeid edastatakse Euroopa äriühingutest Ameerika äriühingutesse, mis on kinnitanud, et järgivad programmi Safe Harbor põhimõtteid.

Tahaksime siiski ära märkida ühe olukorra, kus FTC tegevus oleks piiratud. See võiks juhtuda olukorras, kus probleemi käsitletakse juba traditsioonilise tööseaduse töövaidluste lahendamise kontekstis, tõenäoliselt töövaidlus-/arbitraažihagi või töise ebaõigluse kaebus ametile National Labor Relations Board. Nii oleks see näiteks siis, kui tööandja võttis kollektiivlepingus isikuandmeid puudutava kohustuse ja töötaja või ametiühing väidavad, et tööandja on seda lepingut rikkunud. Komisjon tõenäoliselt võtaks arvesse kõnesolevat menetlust. [13]

Pädevus tunnusmärke andvate programmide üle

Teiseks küsite, kas FTCl oleks pädevus, et pakkuda vaidluste lahendamise mehhanisme Ameerika Ühendriikides, seoses tunnusmärke andvate programmidega ("seal" programs), mis on vääralt esitlenud oma rolli programmi Safe Harbor põhimõtete täitmise tagamisel ning üksikkaebuste käsitlemisel isegi siis, kui sellised üksused on tehniliselt "mittetulunduslikud". Otsustamaks, kas meil on pädevus end mittetulunduslikuna esitleva üksuse üle, analüüsib komisjon üksikasjalikult, kas üksus endale kasu mitte taotledes ei taotle kasu oma liikmetele. Komisjon on edukalt kinnitanud oma pädevust selliste üksuste puhul ning veel 24. mail 1999. aastal kinnitas Ameerika Ühendriikide Ülemkohtus kohtuasjas California Dental Association v. Federal Trade Commission ühehäälselt komisjoni pädevust kohalike hambaarstide ühingute vabatahtliku mittetulundusliku liidu üle trustidevastases asjas. Kohus tõdes:

Seadus FTC Act üritab hõlmata peale üksuste, mis "on organiseeritud omaenda kasuks äriga tegelema" (15 U.S.C. § 44), ka neid, mis tegelevad äritegevusega "oma liikmete" kasuks. … Vaevalt, et Kongress pidas hõlmatud tugiorganisatsioone silmas nii piiratud tähenduses, võttes arvesse sellega kaasnevat võimalust pädevusest vältimiseks seal, kus seaduse FTC Act eesmärgid ilmselgelt kutsuksid üles seda kinnitama.

Kokkuvõttes tähendaks otsustamine, kas tunnusmärke andvat programmi haldava "mittetulundusliku" üksuse suhtes pädevust rakendada või mitte faktide kontrollimist, millises ulatuses üksus pakub majanduslikku kasu oma tulu taotlevatele liikmetele. Kui selline üksus haldaks tunnusmärke andvat programmi liikmetele majanduskasu tooval viisil, rakendaks FTC tõenäoliselt oma pädevust. FTC omaks tõenäoliselt pädevust kuritahtliku tunnusmärke andva programmi üle, mis vääralt esitab end mittetulundusühinguna.

Puutumatus väljaspool võrgumaailma

Kolmandaks märgite, et meie eelnev kirjavahetus on keskendunud puutumatusele võrgumaailmas. Kuigi puutumatus on võrgukeskkonnas elektronkaubanduse arengu kriitilise komponendina olnud FTC peamisi muresid, pärineb seadus FTC Act aastast 1914 ning on samamoodi kohaldatav ka väljaspool võrgukeskkonda. Seega saame me tarbijate eraelu puutumatuse valdkonnas astuda kõlvatute äritavade või pettusega tegelevate väljaspool võrgumaailma tegutsevate äriühingute vastu. [14] Komisjoni poolt möödunud aastal kohtusse viidud juhtumis, FTC v. TouchTone Information, Inc., [15] süüdistati üht "andmemaaklerit" tarbijate finantsandmete ebaseaduslikus hankimises ja müümises. Komisjon väitis, et TouchTone omandas tarbijate andmed "ettekäände" (pretexting) alusel, mis on eradetektiivide poolt kasutusele võetud mõiste kirjeldamaks teiste kohta andmete omandamist vale ettekäändel, harilikult telefoni teel. 21. aprillil 1999. aastal nõutakse Colorado föderaalkohtusse esitatud kohtuasjas kohtu ettekirjutust ja kogu ebaseaduslikult saadud kasumit.

Kattuv pädevus

Lõpuks esitate küsimuse FTC pädevuse ja muude täitevasutuste pädevuse vastastikuse mõju kohta, eelkõige potentsiaalselt kattuva pädevuse korral. Oleme seadnud sisse tugeva töösuhte paljude teiste täitevasutustega, sealhulgas föderaalpangandusasutused ja osariikide peaprokurörid. Koordineerime väga tihti uurimisi, et kattuva pädevuse korral oma ressursse maksimeerida. Samuti edastame juhtumeid sageli asjakohasele föderaal- või riigiasutusele uurimiseks.

Loodan, et käesolevast ülevaatest oli abi. Palun teatage, kui vajate täiendavat informatsiooni.

Siiralt Teie,

Robert Pitofsky

[1] 15 U.S.C. § 45. Seadust Fair Credit Reporting Act kohaldataks ka sellisele andmete internetis kogumisele ja müümisele, mis mahuks seadusest tulenevate mõistete "consumer report" ja "consumer reporting agency" alla.

[2] 15 U.S.C. § 45(n).

[3] Vt GeoCities, Docket No C-3849 (Lõppotsus 12. veebr. 1999) (www.ftc.gov/os/1999/9902/9823015d%26o.htm); Liberty Financial Cos., Docket No C-3891 (Lõppotsus 12. aug. 1999) (www.ftc.gov/opa/1999/9905/younginvestor.htm). Vt ka Children's Online Privacy Protection Act Rule (COPPA), 16 C.F.R. Osa 312 (www.ftc.gov/opa/1999/9910/childfinal.htm). COPPA eeskirja alusel, mis jõustus eelmisel kuul, nõutakse alla 13aastastele lastele suunatud veebisaitide haldajailt või neilt, kes teadlikult koguvad isikuandmeid alla 13aastastelt lastelt, eeskirjas välja kuulutatud heade andmetavade standardi rakendamist.

[4] Vt FTC v. Touch Tone, Inc., tsiviilhagi nr 99-WM-783 (D.Co.) (esitatud 21. aprillil 1999), www.ftc.gov/opa/1999/9904/touchtone.htm. Töötajate arvamuskiri, 17. juuli 1997, väljastatud vastuseks keskuse Center for Media Education avaldusele, www.ftc.gov/os/1997/9707/cenmed.htm.

[5] GeoCities, Docket No C-3849 (Lõppotsus 12. veebr. 1999) (www.ftc.gov/os/1999/9902/9823015d%26o.htm).

[6] Komisjon lahendas seejärel veel ühe lastelt võrgukeskkonnas isikuandmete kogumise juhtumi. Liberty Financial Companies, Inc. haldas lastele ja teismelistele suunatud Young Investor veebisaiti, mis keskendus raha ja investeerimisega seotud küsimustele. Komisjon väitis, et saidil väideti vääralt, nagu säilitataks lastelt uuringu käigus kogutud isikuandmeid anonüümselt ning et osalejatele saadetaks elektronuudiskiri ja auhindu. Tegelikul säilitati isikuandmeid lapse ja perekonna finantsasjade kohta identifitseerival viisil ning ei saadetud ei uudiskirja ega auhindu. Kokkuleppes lahendi kohta keelatakse edasised sellised vääresitused ning nõutakse, et Liberty Financial paigutaks oma lastesaitidele puutumatusteate ning enne lastelt identifitseerivate isikuandmete kogumist hangiks lapsevanema kontrollitava nõusoleku. Liberty Financial Cos., Docket No C-3891 (Lõppotsus, 12. aug. 1999) (www.ftc.gov/opa/1999/9905/younginvestor.htm).

[7] Vt ReverseAuction.com, Inc., tsiviilasi nr 000032 (D.D.C.) (esitatud 6. jaanuaril 2000) (pressiteade ja kohtutoimingud: www.ftc.gov/opa/2000/01/reverse4.htm).

[8] Seetõttu märkis Federal Trade Commission ütluses Kongressile, et tõenäoliselt oleks vaja täiendavaid õigusakte selleks, et kõik tarbijatele suunatud kommertsveebisaidid Ameerika Ühendriikides järgiksid teatavaid häid teabetavasid. "Consumer Privacy on the World Wide Web," Esitatud: Subcommittee on Telecommunications, Trade and Consumer Protection of the House Committee on Commerce United States House of Representatives, 21. juuli 1998 (www.ftc.gov/os/9807/privac98.htm). FTC lükkas edasi selliste õigusaktide taotlemise eesmärgiga anda iseregulatsioonipingutustele võimalus demonstreerida heade teabetavade laialdast kasutuselevõttu veebisaitidel. Federal Trade Commission soovitas aruandes Kongressile, mis käsitles eraelu puutumatust võrgumaailmas, "Privacy Online: A Report to Congress," juuni 1998 (aruande võib leida: www.ftc.gov/reports/privacy3/toc.htm), et FTC nõutud õigusaktid sätestaksid, et kommertsveebisaidid hangiksid lapsevanemate nõusoleku enne isikuandmete kogumist alla 13aastastelt lastelt. Vt joonealune märkus 3. Eelmisel aastal konstateeriti komisjoni aruandes "Self-Regulation and Privacy Online: A Federal Trade Commission Report to Congress," juuli 1999 (aruande võib leida aadressilt: www.ftc.gov/os/1999/9907/index.htm#13) piisavaid edusamme iseregulatsiooni vallas ja sellele vastavalt valiti kehtivaid õigusakte mitte soovitada. Komisjon annab kongressile iseregulatsiooni edusammudest taas aru lähematel nädalatel.

[9] Vt http://www.ftc.gov/ftc/complaint.htm – Federal Trade Commission'i online-kaebuse vorm.

[10] Näiteks ühes hiljutises interneti püramiidskeemi juhtumis saavutas komisjon tagasimaksed 15622 tarbijale kokku umbes 5,5 miljoni USA dollari ulatuses. Tarbijad elasid Ameerika Ühendriikides ja 70 välisriigis. Vt www.ftc.gov/opa/9807/fortunar.htm; www.ftc.gov/opa/9807/ftcrefund01.htm.

[11] Välja arvatud juhtudel, mis on seadusega FTC pädevuse osas sätestatud, kattub FTC pädevus seaduse FTC Act alusel "äriliste või seda mõjutavate" tavade üle Kongressi konstitutsioonilise jõuga, vt Commerce Clause, United States v. American Building Maintenance Industries, 422 U.S. 271, 277 n. 6 (1975). FTC pädevus hõlmaks seega tööhõivega seotud tavasid rahvusvahelises äritegevuses osalevates äriühingutes ja majandusharudes.

[12] Vt "Online Auction Site Settles FTC Privacy Charges", FTC pressiteade (6. jaanuar 2000), http://www.ftc.gov/opa/2000/01/reverse4.htm.

[13] Otsus, kas tegemist on töise ebaõigluse või kollektiivlepingu rikkumisega, on tehniline ja harilikult jäetakse kaebusi ära kuulavate töövaidlustega tegelevate kohtuekspertide, näiteks arbiitrite ja NRLB teha

[14] Nagu teada meie varasematest aruteludest, annab Fair Credit Reporting Act FTCle volitused kaitsta tarbijate finantsandmete puutumatust seaduse reguleerimisalas ja komisjon andis hiljuti välja kõnesolevat käsimust käsitleva otsuse. Vt In the Matter of Trans Union, Docket No 9255 (1. märtsil 2000) (pressiteade ja arvamus: www.ftc.gov/os/2000/03/index.htm#1).

[15] Tsiviilasi 99-WM-783 (D.Colo.) (http://www.ftc.gov/opa/1999/9904/touchtone.htm) (esialgse nõusoleku väljendamine arutlusel).

--------------------------------------------------

VI LISA

John Mogg

Direktor, XV peadirektoraat

Euroopa Komisjon

Office C 107-6/72

Rue de la Loi/Wetstraat 200

B-1049 Brüssel

Lugupeetud peadirektor Mogg.

Saadan Teile käesoleva kirja Ameerika Ühendriikide kaubandusministeeriumi palvel transpordiministeeriumi rolli selgitamiseks tarbijate eraelu puutumatuse kaitsmisel nende poolt lennufirmadele antavate andmete osas.

Transpordiministeerium soodustab iseregulatsiooni kui kõige vähempealetükkivat ja tõhusamat vahendit tarbijate poolt lennufirmadele antavate andmete puutumatuse tagamiseks ning vastavalt toetab programmi Safe Harbor süsteemi sisseseadmist, mis aitaks lennufirmadel järgida Euroopa Liidu puutumatusdirektiivi nõudeid andmete edastamisel EList. Ministeerium mõistab siiski, et iseregulatsioonipingutuste toimimiseks on möödapääsmatu, et programmi Safe Harbor süsteemis sätestatud puutumatuspõhimõtetest kinni pidama kohustunud lennufirmad seda tõepoolest teevad. Selles osas tuleks iseregulatsiooni toetada õiguskaitsega. Kasutades seetõttu oma seadusest tulenevaid volitusi tarbijakaitseks, tagab ministeerium lennufirmade vastavuse avalikkuse ees võetud puutumatuskohustustele ja võtab meetmeid väidetava mittevastavuse esildiste korral, mida me saame iseregulatsiooniorganisatsioonidelt ja teistelt, sealhulgas Euroopa Liidu liikmesriigid.

Ministeeriumi volitused täitevmeetmete võtmiseks selles valdkonnas on sätestatud õigusaktis 49 U.S.C. 41712, milles keelustatakse vedajatele "kõlvatud tavad või pettus või kõlvatu konkurents" õhutranspordi müügil, mille tulemusena tekitatakse või võidaks tekitada kahju tarbijale. Paragrahv 41712 on üles ehitatud Federal Trade Commission Act paragrahvi 5 järgides (15 U.S.C. 45). Vedajatele aga paragrahvi 5 Federal Trade Commission'i normid 15 U.S.C. 45(a)(2) alusel ei laiene.

Minu ametkond uurib juhtumeid ja määrab karistusi õigusakti 49 U.S.C. 41712 alusel. (Vt nt DOT Orders 99-11-5, 9. november 1999; 99-8-23, 26. august 1999; 99-6-1, 1. juuni 1999; 98-6-24, 22. juuni 1998; 98-6-21, 19. juuni 1998; 98-5-31, 22. mai 1998; ja 97-12-23, 18. detsember 1997.) Algatame selliseid kohtuasju oma uuringute alusel, samuti üksikisikutelt, reisiagentidelt, lennufirmadelt ja Ameerika Ühendriikide ja välisriikide valitsusasutustelt saadud ametlike ja mitteametlike kaebuste alusel.

Juhiksin tähelepanu, et kui vedaja ei taga reisijatelt saadud teabe puutumatust, ei kujuta see iseenesest paragrahvi 41712 rikkumist. Kui aga vedaja ametlikult ja avalikult kinnitab, et kohustub täitma programmi Safe Harbor põhimõtet tagada puutumatus tema poolt saadavate tarbijaandmete osas, annaks see ministeeriumile volitused kasutada paragrahvist 41712 tulenevat õigust, et tagada vastavus kõnesolevatele põhimõtetele. Seetõttu kui reisija annab andmeid vedajale, kes on kohustunud austama programmi Safe Harbor põhimõtteid, põhjustab mis tahes mittejärgimine tõenäoliselt kahju tarbijale ning kujutab endast paragrahvist 41712 rikkumist. Minu ametkond annaks mis tahes sellise väidetava tegevuse ja sellist tegevust tõestava juhtumi uurimisele kõrge prioriteedi. Samuti teavitame Ameerika Ühendriikide kaubandusministeeriumi selliste juhtumite tulemusest.

Paragrahvi 41712 rikkumiste tulemuseks võivad olla keelustamiskorraldused ja tsiviiltrahvide määramine kõnesolevate korralduste rikkumise eest. Kuigi meil puuduvad volitused määrata kahjutasu või rahalist hüvitist üksikutele kaebuste esitajatele, on meil volitused heaks kiita ministeeriumi uurimiste ja tõstatatud juhtumite tulemusel saadud lahendid, milles pakutakse väärtesemeid tarbijatele kas leevenduseks või siis korvamaks rahalisi trahve, mis muidu maksmisele kuuluksid. Oleme nii toiminud varem ning saame ja soovime nii toimida programmi Safe Harbor põhimõtete kontekstis, kui olukord seda nõuab. Paragrahvi 41712 korduv rikkumine Ameerika Ühendriikide lennufirma poolt tõstataks ka küsimuse lennufirma suhtumisest vastavusse, mis äärmisel juhul võib lõppeda sellega, et lennufirmat ei peeta tegutsemiseks sobivaks ja ta kaotab seetõttu loa majandustegevuseks. (Vt DOT Orders 93-6-34, 23. juuni 1993, ja 93-6-11, 9. juuni 1993. Kuigi kõnesolev menetlus ei hõlmanud paragrahvi 41712, oli selle tulemuseks vedaja tegevusloa tühistamine seaduse Federal Aviation Act sätete, kahepoolse kokkuleppe ja ministeeriumi eeskirjade ja normide täieliku eiramise eest.)

Loodan, et sellest informatsioonist on abi. Kui Teil on küsimusi või vajate lisainfot, võtke julgesti minuga ühendust.

Lugupidamisega

Samuel Podberesky

Assistant General Counsel for Aviation Enforcement and Proceeding

--------------------------------------------------

VII LISA

Artikli 1 lõike 2 punkti b alusel on nendeks valitsusasutusteks Ameerika Ühendriikides, kellel on volitused uurida kaebusi ja taotleda abi kõlvatute tavade või pettuse puhul ning kahjuhüvitust üksikisikutele KKKdega kooskõlas rakendatud põhimõtetele mittevastavuse puhul:

1. Federal Trade Commission ja

2. Ameerika Ühendriikide transpordiministeerium.

Federal Trade Commission tegutseb seaduse Federal Trade Commission Act paragrahvis 5 sätestatud volituste alusel. Federal Trade Commission'i pädevus paragrahvi 5 alusel ei laiene pankadele, hoiu- ja laenu- ning krediidiühistutele; telekommunikatsioonifirmadele ja osariikidevahelise transpordiga tegelevatele veoettevõtjatele, lennufirmadele ja pakkimis- ja loomakasvatussaadustega tegelevatele ettevõtjatele. Kuigi kindlustust ei ole paragrahvi 5 erandite loendisse eraldi kaasatud, jätab McCarran-Ferguson Act [1] kindlustustegevuse reguleerimise osariikidele. Siiski kohaldatakse kindlustustegevusele seaduse FTC Act sätteid ulatuses, milles sellist tegevust ei reguleeri osariikide seadus. FTC säilitab siiski volitused kindlustusseltside kõlvatute tavade või pettuse suhtes kindlustustegevusest väljapoole jäävas ulatuses.

Ameerika Ühendriikide transpordiministeerium tegutseb talle seadustiku United States Code 49. jaotise paragrahvist 41712 tulenevate volituste alusel. Ameerika Ühendriikide transpordiministeerium algatab kohtuasju oma uurimise alusel, samuti üksikisikutelt, reisiagentidelt, lennufirmadelt, Ameerika Ühendriikide ja välisriikide valitsusasutustelt saadud ametlike ja mitteametlike kaebuste alusel.

[1] 15 U.S.C. § 1011 et seq.

--------------------------------------------------