32000D0520

ODLUKA KOMISIJE

od 26. srpnja 2000.

sukladno s Direktivom 95/46/EZ Europskog parlamenta i Vijeća o primjerenosti zaštite koju pružaju načela privatnosti „sigurne luke” i uz njih vezana često postavljana pitanja koje je izdalo Ministarstvo trgovine SAD-a

(priopćena pod brojem dokumenta C(2000) 2441)

(Tekst značajan za EGP)

(2000/520/EZ)

KOMISIJA EUROPSKIH ZAJEDNICA,

uzimajući u obzir Ugovor o osnivanju Europske zajednice,

uzimajući u obzir Direktivu 95/46/EZ Europskog Parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (1), a posebno njezin članak 25. stavak 6.,

budući da:

DONIJELA JE OVU ODLUKU:

Članak 1.

1.   Za potrebe članka 25. stavka 2. Direktive 95/46/EZ, u svim aktivnostima koje su obuhvaćene područjem primjene te Direktive, smatra se da „načela privatnosti sigurne luke” (dalje u tekstu „načela”) iz Priloga I. ove Odluke, provedena u skladu sa smjernicama iz često postavljanih pitanja koje je izdalo Ministarstvo trgovine SAD-a 21. srpnja 2000., navedena u Prilogu II. ove Odluke, osiguravaju primjerenu razinu zaštite osobnih podataka, koji se prenose iz Zajednice u organizacije osnovane u Sjedinjenim Američkim Državama, uzimajući u obzir sljedeće dokumente koje je izdalo Ministarstvo trgovine SAD-a:

2.   Kod svakog prijenosa podataka moraju biti zadovoljeni sljedeći uvjeti:

3.   Smatra se da je svaka organizacija ispunila uvjete iz stavka 2. ako sama potvrdi svoje pridržavanje načela provedenih u skladu s često postavljanim pitanjima od datuma kad organizacija obavijesti Ministarstvo trgovine SAD-a (ili njegova ovlaštenog predstavnika) o javnoj objavi obveze iz stavka 2. točke (a) i o identitetu vladinog tijela iz stavka 2. točke (b).

Članak 2.

Ova se Odluka odnosi samo na primjerenost zaštite koju pružaju načela provedena u skladu s često postavljanim pitanjima u Sjedinjenim Američkim Državama s ciljem ispunjavanja zahtjeva članka 25. stavka 1. Direktive 95/46/EZ i ne utječe na primjenu ostalih odredaba Direktive koje se odnose na obradu osobnih podataka u državama članicama, a osobito na njezin članak 4.

Članak 3.

1.   Ne dovodeći u pitanje svoje ovlasti da poduzimaju radnje koje bi osigurale usklađenost s nacionalnim odredbama usvojenima u skladu s odredbama koje nisu iz članka 25. Direktive 95/46/EZ, nadležna tijela država članica mogu iskoristiti svoje postojeće ovlasti da suspendiraju protok podataka prema organizaciji koja je sama potvrdila svoje pridržavanje načela provedenih u skladu s često postavljanim pitanjima, kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka u slučajevima da:

Suspenzija prestaje važiti čim se osigura primjena načela provedenih u skladu s često postavljanim pitanjima i čim dotično nadležno tijelo u Zajednici bude o tome obaviješteno.

2.   Države članice obavješćuju Komisiju bez odlaganja kada se usvoje mjere na temelju stavka 1.

3.   Države članice i Komisija obavješćuju jedne druge o slučajevima kada neka radnja tijela odgovornog za osiguranje usklađenosti s načelima provedenima u skladu s često postavljanim pitanjima ne osigura takvu usklađenost.

4.   Ako podaci prikupljeni sukladno stavcima 1., 2. i 3. pruže dokaz da neko tijelo odgovorno za osiguranje usklađenosti s načelima provedenima u skladu s često postavljanim pitanjima u Sjedinjenim Američkim Državama stvarno ne izvršava svoju ulogu, Komisija obavješćuje Ministarstvo trgovine SAD-a i prema potrebi, iznosi prijedloge mjera u skladu s postupkom iz članka 31. Direktive 95/46/EZ radi ukidanja ili suspenzije ove Odluke ili ograničenja njezina područja primjene.

Članak 4.

1.   Ova se Odluka može izmijeniti bilo kada uzimajući u obzir iskustva u njezinoj provedbi i/ili ako razinu zaštite koju pružaju načela i često postavljana pitanja usvoji zakonodavstvo SAD-a.

Komisija u svakom slučaju ocjenjuje provedbu ove Odluke na temelju dostupnih informacija tri godine nakon njezina priopćenja državama članicama, te o relevantnim rezultatima izvješćuje Odbor osnovan sukladno s člankom 31. Direktive 95/46/EZ, uključujući sve dokaze koji mogu utjecati na procjenu da odredbe članka 1. ove Odluke pružaju adekvatnu zaštitu u smislu članka 25. Direktive 95/46/EZ te sve dokaze da se ova Odluka provodi na diskriminirajući način.

2.   Komisija prema potrebi iznosi nacrt mjera u skladu s postupkom utvrđenim u članku 31. Direktive 95/46/EZ.

Članak 5.

Države članice poduzimaju sve mjere potrebne za usklađivanje s ovom Odlukom najkasnije u 90 dana od dana njezine objave u državama članicama.

Članak 6.

Ova je Odluka upućena državama članicama.

(1)  SL L 281, 23.11.1995., str. 31.

(2)  Internetska adresa radne skupine je:

http://www.europa.eu.int/comm/internal_tržištu/en/media/dataprot/wpdocs/index.htm

(3)  RS 12: Prijenosi osobnih podataka u treće zemlje: primjena članaka 25. i 26. Direktive EU-a o zaštiti podataka, koju je donijela radna skupina 24. srpnja 1998.

(4)  RS 15: Mišljenje 1/99 o razini zaštite podataka u Sjedinjenim Američkim Državama i tekućim pregovorima između Europske komisije i Sjedinjenih Američkih Država.

RS 19: Mišljenje 2/99 o primjerenosti „međunarodnih načela sigurne luke” koje je izdalo Ministarstvo trgovine SAD-a 19. travnja 1999.

RS 21: Mišljenje 4/99 o često postavljanim pitanjima koja treba izdati Ministarstvo trgovine SAD-a vezano za predložena „načela sigurne luke” o primjerenosti „međunarodnih načela sigurne luke”.

RS 23: Radni dokument o sadašnjem statusu tekućih rasprava između Europske komisije i Vlade Sjedinjenih Američkih Država o „međunarodnim načelima, sigurna luka”.

RS 27: Mišljenje 7/99 o razini zaštite podataka koju pružaju načela „sigurne luke”, koja je objavilo Ministarstvo trgovine SAD-a zajedno s često postavljanim pitanja i ostalim povezanim dokumentima 15. i 16. studenog 1999.

RS 31: Mišljenje 3/200 o dijalogu EU-a/SAD-a s obzirom na sporazum „sigurne luke”.

RS 32: Mišljenje 4/2000 o razini zaštite koju pružaju „načela sigurne luke”.

(5)  Rezolucija još nije objavljena u Službenom listu.

PRILOG I.

NAČELA PRIVATNOSTI SIGURNE LUKE

koje je izdalo Ministarstvo trgovine SAD-a 21. srpnja 2000.

Opsežno zakonodavstvo Europske unije o privatnosti, Direktiva o zaštiti podataka (Direktiva), stupila je na snagu 25. listopada 1998. Ona nalaže da se osobni podaci prenose samo u one države nečlanice EU-a koje pružaju „primjerenu” razinu zaštite privatnosti. Iako i Sjedinjene Američke Države i Europska unija imaju isti cilj povećanja zaštite privatnosti svojih građana, Sjedinjene Američke Države imaju drugačiji pristup privatnosti nego Europska unija. Sjedinjene Američke Države koriste sektorski pristup koji se oslanja na kombinaciju zakonodavstva, propisa i samoregulacije. S obzirom na te razlike, mnoge su organizacije iz SAD-a izrazile nesigurnost s obzirom na utjecaj „standarda primjerenosti” koji EU zahtijeva, na prijenose osobnih podataka iz Europske unije u Sjedinjene Američke Države.

Da smanji ovu nesigurnost i pruži predvidljiviji okvir za takve prijenose podataka, Ministarstvo trgovine izdaje ovaj dokument i često postavljana pitanja („načela”) prema svojoj zakonskoj ovlasti da jača, promiče i razvija međunarodnu trgovinu. Načela su izrađena u dogovoru s gospodarstvenicima i javnošću kako bi se olakšali trgovanje i trgovina između Sjedinjenih Američkih Država i Europske unije. Načela su namijenjena isključivo organizacijama SAD-a koje primaju osobne podatke iz Europske unije radi kvalificiranja za „sigurnu luku” i iz nje proizašlog preduvjeta „primjerenosti” zaštite podataka. Budući da su načela bila namijenjena isključivo u ovu određenu svrhu, njihova primjena u ostale svrhe može biti neprikladna. Načela se ne mogu koristiti kao zamjena za nacionalne odredbe za provedbu Direktive, koje se odnose na obradu osobnih podataka u državama članicama.

Odluke organizacija za kvalificiranje za „sigurnu luku” potpuno su dobrovoljne, a organizacije se mogu kvalificirati za „sigurnu luku” na različite načine. Organizacije koje odluče da će se pridržavati načela moraju poštovati načela da bi dobile i zadržale pogodnosti„sigurne luke” i javno izjaviti da to čine. Na primjer, ako se organizacija uključi u samoregulativni program privatnosti koji se pridržava načela, kvalificirana je za „sigurnu luku”. Organizacije također mogu ispuniti uvjete tako da stvore vlastite samoregulativne politike zaštite privatnosti ako su one u skladu s načelima. Ako se pri poštovanju načela organizacija u potpunosti ili djelomično oslanja na samoregulaciju, njezino nepridržavanje takve samoregulacije mora također biti utuživo prema odjeljku 5. Federal Trade Commission Act-a koji zabranjuje nepravedne ili prijevarne radnje, ili prema nekom drugom zakonu ili propisu koji zabranjuje takve radnje. (Vidjeti Prilog s popisom državnih tijela SAD-a koje priznaje EU.) Osim toga, organizacije koje podliježu zakonskim, regulatornim, upravnim ili drugim propisima (ili pravilima) i učinkovito štiti osobnu privatnost, mogu se također kvalificirati za prednosti koje pruža „sigurna luka”. U svim ovim slučajevima prednosti „sigurne luke” su osigurane od dana kada svaka organizacija koja se želi kvalificirati za „sigurnu luku” sama potvrdi Ministarstvu trgovine (ili njegovom ovlaštenom predstavniku) da se pridržava načela u skladu sa smjernicom o vlastitom potvrđivanju iz često postavljanih pitanja.

Pridržavanje ovih načela može biti ograničeno: (a) u onoj mjeri koja je potrebna da se ispune uvjeti nacionalne sigurnosti, javnog interesa, ili uvjeti za provedbu zakona; (b) zakonom, vladinom uredbom ili sudskom praksom koji proizvode proturječne obveze ili izričita dopuštenja, ako pri korištenju takvog dopuštenja organizacija može dokazati da je njezino nepoštivanje načela ograničeno u mjeri potrebnoj da se ostvare pretežući zakoniti interesi koje podupire takvo dopuštenje; ili (c) ako direktiva ili nacionalno pravo države članice predviđa iznimke ili odstupanja, uz uvjet da se takve iznimke ili odstupanja primjenjuju u sličnim kontekstima. U skladu s ciljem povećanja zaštite privatnosti, organizacije trebaju nastojati u potpunosti i transparentno provoditi ova načela, uključujući i tako da u svojim postupcima zaštite privatnosti navode kada će se redovito primjenjivati iznimke od načela, dopuštene u gore opisanom slučaju (b). Iz istog razloga, ako je mogućnost odabira dopuštena prema načelima i/ili zakonodavstvu SAD-a, očekuje se da se organizacije odluče za veću zaštitu tamo gdje je moguće.

Organizacije mogu htjeti iz praktičnih ili drugih razloga primjenjivati načela u svim svojim postupcima obrade podataka, ali obvezne su ih primjenjivati samo na podatke koje prenose nakon što pristupe „sigurnoj luci”. Da se kvalificiraju za „sigurnu luku”, organizacije nisu obvezne primjenjivati ova načela na osobne podatke u sustavima odlaganja dokumentacije koji se ručno obrađuju. Organizacije koje žele imati koristi od „sigurne luke” za primanje ručno obrađenih podataka iz EU-a moraju primjenjivati načela na sve takve podatke koji se prenose nakon pristupa navedenim načelima. Organizacija koja želi proširiti koristi „sigurne luke” na osobne podatke o ljudskim potencijalima koje se prenose iz EU-a za uporabu u kontekstu radnog odnosa, mora to navesti kada se bude obvezivala Ministarstvu trgovine (ili njegovom ovlaštenom predstavniku) s obzirom na načela, te mora ispuniti zahtjeve iz često postavljanog pitanja o vlastitom potvrđivanju. Organizacije će također moći pružati zaštitu koja se traži člankom 26. Direktive ako načela uvrste u pisane sporazume sa strankama koje prenose podatke iz EU-a, u temeljne odredbe o privatnosti, kada ostale odredbe za takve ogledne sporazume odobre Komisija i države članice.

Pravo SAD-a će se primjenjivati u pitanjima tumačenja i usklađenosti s načelima „sigurna luka” (uključujući često postavljana pitanja) i relevantne politike privatnosti organizacija „sigurna luka”, osim ako se organizacije nisu obvezale na suradnju s europskim tijelima za zaštitu podataka. Osim ako nije drukčije navedeno, sve odredbe načela „sigurna luka” i često postavljana pitanja primjenjuju se tamo gdje su relevantni.

„Osobni podaci” i „osobne informacije” su podaci o identificiranom pojedincu ili pojedincu kojeg se može identificirati, koji su obuhvaćeni područjem primjene Direktive, a koje je iz Europske unije primila organizacija u SAD-u i pohranila ih u bilo kojem obliku.

OBAVIJEST

Organizacija mora obavijestiti pojedince o namjeni prikupljanja i uporabi njihovih osobnih podataka, kako mogu kontaktirati organizaciju radi upita ili pritužbi, o kategorijama trećih strana kojima otkriva te podatke te mogućnostima i sredstvima koje organizacija nudi pojedincima za ograničivanje njihove uporabe i otkrivanja. Ova obavijest mora biti sastavljena jasnim i razumljivim jezikom kada se od pojedinaca prvi put zatraži da daju osobne podatke organizaciji ili čim prije nakon toga, ali u svakom slučaju prije nego organizacija koristi takve informacije u neku drugu svrhu osim one za koju ih je prvotno prikupila ili obradila organizacija koja je izvršila prijenos ili prije nego što ih po prvi put otkrije trećoj osobi (1).

MOGUĆNOST IZBORA

Organizacija mora pojedincima ponuditi mogućnost da odaberu (odustanu) hoće li se njihovi osobni podaci moći (a) otkriti trećoj osobi (1) ili (b) koristiti u svrhu koja nije sukladna sa svrhom(svrhama) za koju su izvorno prikupljeni ili za koju je pojedinac naknadno dao odobrenje. Pojedincima moraju biti ponuđeni jasni i očigledni, već dostupni i prihvatljivi mehanizmi odabira.

Kod osjetljivih informacija (tj. osobnih podataka o medicinskom ili zdravstvenom stanju, rasi ili etničkom podrijetlu, političkim stavovima, vjerskim ili filozofskim uvjerenjima, članstvu u sindikatu ili podataka o spolnom životu pojedinca), mora im biti ponuđena potvrdna ili izričita mogućnost odabira (pristanak) ako će se te informacije otkriti trećoj osobi ili koristiti u neku drugu svrhu osim one za koju su prvotno prikupljene ili za koju je pojedinac naknadno dao odobrenje koristeći mogućnost odabira. U svakom slučaju, organizacija treba smatrati osjetljivima one informacije koje je primila od treće osobe kada ih treća osoba smatra osjetljivima i odnosi se prema njima kao takvima.

DALJNJI PRIJENOS

Pri otkrivanju podataka trećoj osobi, organizacije moraju primjenjivati načela obavijesti i mogućnosti izbora. Ako organizacija želi prenijeti podatke trećoj osobi koja ima ulogu posrednika, kao što je opisano u bilješci, može to učiniti ako se prvo uvjeri da se treća osoba obvezala na načela ili podliježe direktivi ili nekoj drugoj potvrdi o primjerenosti, ili ako sklopi pisani sporazum s tom trećom osobom u kojem se zahtjeva da treća osoba pruži barem istu razinu zaštite privatnosti koju traže relevantna načela. Ako organizacija ispunjava ove zahtjeve, nije odgovorna (osim ako se organizacija suglasi drukčije) ako treća osoba kojoj otkrije takve podatke obrađuje iste na način suprotan ograničenjima ili izjavama, osim ako je organizacija znala ili trebala znati da će ih treća osoba obrađivati na takav način, a nije poduzela odgovarajuće korake da spriječi ili prekine takvu obradu.

SIGURNOST

Organizacije koje stvaraju, održavaju, koriste ili prenose osobne podatke moraju poduzeti odgovarajuće mjere da bi ih zaštitile od gubitka, zlouporabe i neovlaštenog pristupa, otkrivanja, izmjene i uništenja.

NEPOVREDIVOST PODATAKA

U skladu s načelima, osobni podaci moraju biti važni za namjenu za koju će se koristiti. Organizacija ne može obrađivati osobne podatke na način koji nije sukladan namjenama za koje su prikupljeni ili za koje je pojedinac naknadno dao odobrenje. U onoj mjeri koja je potrebna za tu namjenu, organizacija treba poduzeti odgovarajuće korake da podaci budu pouzdani za namjeravano korištenje, točni, potpuni i ažurirani.

PRISTUP

Pojedinci moraju imati pristup osobnim podacima koje organizacija čuva, te ih moći ispraviti, promijeniti ili obrisati ako su netočni, osim ako teret ili trošak omogućavanja pristupa ne bi bio u skladu s ugroženošću privatnosti pojedinca u danom slučaju, ili ako bi se time kršila prava drugih osoba.

PROVEDBA

Učinkovita zaštita privatnosti mora uključivati mehanizme kojima se osigurava poštovanje načela, pravna zaštita pojedinaca na koje se odnose podaci na koje nepridržavanja načela utječe, te posljedice za organizaciju kad ne poštuje načela. Takvi mehanizmi moraju uključivati najmanje (a) lako dostupne i prihvatljive neovisne mehanizme pravne zaštite prema kojima se svaka pritužba pojedinca i spor istražuje i rješava pozivajući se na načela kao i naknade štete ako je tako predviđeno mjerodavnim zakonom ili inicijativama privatnog sektora; (b) postupke praćenja kojima se provjerava jesu li potvrde i navodi koje poduzeća daju o svojim praksama u pogledu privatnosti istinite i jesu li postupanja prema privatnosti provedena kao što je navedeno; i (c) obveze da se riješe problemi koji proizlaze iz nepoštovanja načela od strane organizacija koje objavljuju da ih se pridržavaju i posljedice za takve organizacije. Sankcije moraju biti dovoljno stroge da bi ih se organizacije pridržavale.

(1)  Nije potrebno dati obavijest ili ponuditi mogućnost odabira kad se podaci otkrivaju trećoj osobi koja kao posrednik izvršava posao (poslove) u ime i prema uputama organizacije. Međutim, načelo daljnjeg prijenosa primjenjuje se na takvo otkrivanje podataka.

Prilog

Popis državnih tijela SAD-a koje priznaje Europska unija

Europska unija priznaje sljedeća vladina tijela SAD-a kao ovlaštena da istražuju pritužbe i ponude pravnu zaštitu od nepoštenih ili prijevarnih praksi, kao i naknadu za pojedince u slučaju nepoštovanja načela koja se provode u skladu s često postavljanim pitanjima:

PRILOG II.

ČESTO POSTAVLJANA PITANJA

ČESTO POSTAVLJANO PITANJE 1 - Osjetljivi podaci

ČESTO POSTAVLJANO PITANJE 2 - Novinarske iznimke

ČESTO POSTAVLJANO PITANJE 3 - Sekundarna odgovornost

ČESTO POSTAVLJANO PITANJE 4 - Investicijske banke i revizori

ČESTO POSTAVLJANO PITANJE 5 - Uloga tijela nadležnih za zaštitu podataka  (1)

Organizacija se može obvezati na suradnju s tijelima za zaštitu podataka izjavljujući u svojoj potvrdi o „sigurnoj luci”za Ministarstvo trgovine SAD-a (vidjeti često postavljano pitanje 6. o vlastitom potvrđivanju) da:

Suradnja tijela za zaštitu podataka očitovat će se u obliku informacija i savjeta na sljedeći način:

Kao što je gore navedeno, organizacije koje se odluče za ovu mogućnost rješavanja sukoba moraju se obvezati da će poslušati savjet tijela za zaštitu podataka. Ako ga organizacija ne provede u roku od 25 dana od primitka savjeta i ne ponudi prihvatljivo objašnjenje za kašnjenje, odbor će poslati obavijest o svojoj namjeri da preda predmet Federal Trade Commission-u ili drugom saveznom ili državnom tijelu SAD-a sa zakonskim ovlastima da poduzme provedbene radnje u slučajevima prijevare ili lažnog prikazivanja, ili da zaključi da je sporazum o suradnji ozbiljno prekršen te se stoga mora smatrati ništavim. U potonjem slučaju odbor će obavijestiti Department of Commerce (ili njegova ovlaštenog predstavnika) tako da se popis sudionika u „sigurnoj luci” može promijeniti u skladu s tim. Svako neispunjenje obveze o suradnji s tijelima za zaštitu podataka, kao i nepoštovanje načela „sigurne luke”, bit će kažnjivo kao prijevarno postupanje sukladno s odjeljkom 5. Federal Trade Commission Act-a ili nekom drugom sličnom propisu.

Organizacije koje odaberu ovu mogućnost morat će platiti godišnju naknadu koja će biti namijenjena za pokrivanje operativnih troškova odbora, od njih se može dodatno zatražiti da podmire potrebne troškove prevođenja koji proizlaze iz razmatranja članova odbora uputa ili pritužbi protiv njih. Godišnja naknada neće premašivati 500 USD i iznosit će manje za manja trgovačka društva.

Mogućnost suradnje s tijelima za zaštitu podataka stajat će na raspolaganju organizacijama koje prihvate načela„sigurne luke” tijekom razdoblja od tri godine. Tijela za zaštitu podataka razmotrit će ovaj dogovor prije isteka navedenog roka ako broj organizacija iz SAD-a koje odaberu ovu opciju postane prevelik.

ČESTO POSTAVLJANO PITANJE 6 – Vlastito potvrđivanje

Da bi same potvrdile pridržavanje načela„sigurne luke”, organizacije mogu poslati u Department of Commerce (ili njegovu ovlaštenom predstavniku) pismo koje je potpisao rukovoditelj u ime organizacije koja prihvaća načela „sigurne luke”, a koje mora sadržavati najmanje sljedeće informacije:

Ako organizacija želi da njezine pogodnosti„sigurne luke” obuhvaćaju informacije o ljudskim potencijalima prenijete iz EU-a za korištenje u kontekstu radnog odnosa, može to učiniti ako postoji državno tijelo s nadležnošću da rješava pritužbe protiv organizacije koje proizlaze iz informacija o ljudskim potencijalima, a koje je navedeno u Prilogu načelima. Osim toga, organizacija to mora navesti u svom dopisu i izjasniti se o svojoj obvezi suradnje s dotičnim tijelom ili tijelima EU-a u skladu s često postavljanim pitanjima 9 i 5 ako se primjenjuju, te da će uvažiti savjet koje mu daju takva tijela.

Department (ili njegov ovlašteni predstavnik) će voditi popis svih organizacija koje pošalju takva pisma, osiguravajući time pogodnosti „sigurne luke” i ažurirat će takav popis na temelju pisama i obavijesti koje godišnje primi sukladno s često postavljanim pitanjem 11. Takva pisma s vlastitom potvrdom treba dostaviti najmanje jednom godišnje. U suprotnom će organizacija biti uklonjena s popisa i neće više imati pogodnosti „sigurne luke”. I popis i pisma s vlastitom potvrdom koje dostave organizacije bit će javno dostupne. Sve organizacije koje daju vlastitu potvrdu za u vezi sa„sigurnom lukom” moraju također navesti u svojim relevantnim objavljenim izjavama o politici privatnosti da poštuju načela „sigurne luke”.

Preuzeta obveza poštovanja načela „sigurne luke” nije vremenski ograničena s obzirom na podatke koje primi tijekom razdoblja u kojem organizacija koristi pogodnosti „sigurne luke”. Njezina obveza znači da će nastaviti primjenjivati načela na takve podatke sve dok ih organizacija pohranjuje, koristi ili otkriva, čak i ako kasnije od njih odustane iz bilo kojeg razloga.

Organizacija koja prestane postojati kao zasebna pravna osoba zbog spajanja ili preuzimanja, mora unaprijed obavijestiti Department of Commerce (ili njegova ovlaštenog predstavnika) o tome. U obavijesti treba također navesti hoće li društvo koje je steklo organizaciju ili ono koje je rezultat udruživanja: 1. nastaviti biti vezano načelima „sigurne luke” na temelju zakona koji regulira preuzimanje ili spajanje; ili 2. se odlučiti da samo potvrdi svoje pridržavanje načela „sigurne luke” ili primijeni drugu zaštitu, kao što je pisani sporazum koji će osigurati pridržavanje načela „sigurne luke”. Ako se ne primjenjuju ni 1. ni 2., svi podaci koji su prikupljeni sukladno „sigurnoj luci” moraju se odmah obrisati.

Organizacija ne mora podvrgnuti sve osobne podatke načelima „sigurne luke”, ali mora podvrgnuti načelima „sigurne luke” sve osobne podatke koje prima iz EU-a nakon što prihvati načela „sigurne luke.

Zbog bilo kojeg krivog prikazivanja neke organizacije s obzirom na pridržavanja načela „sigurne luke” u javnosti, Federal Trade Commission ili drugo nadležno vladino tijelo može pokrenuti postupak. Zbog krivog prikazivanja Department of Commerc-a SAD-a (ili njegovom ovlaštenom predstavniku) može se pokrenuti postupak prema False Statements Act-u (18 U.S.C. § 1001).

ČESTO POSTAVLJANO PITANJE 7 - Provjera

Prema pristupu samoocjene, takva bi provjera trebala pokazati da je objavljena politika zaštite privatnosti neke organizacije u pogledu osobnih podataka primljenih iz EU-a točna, sveobuhvatna, jasno prikazana, u potpunosti provedena i dostupna. Također bi trebala pokazati da je njezina politika zaštite privatnosti usklađena s načelima „sigurne luke”; da su pojedinci obaviješteni o unutarnjim mehanizmima za rješavanje pritužbi i o neovisnim mehanizmima putem kojih mogu podnositi pritužbe; da ima uvedene postupke za obuku zaposlenika o njezinoj primjeni i kažnjavanje za njezino neprovođenje; te da ima uvedene unutarnje postupke za periodično provođenje objektivnih provjera poštuje li se gore navedeno. Izjavu koja potvrđuje samoocjenu treba potpisati rukovoditelj poduzeća ili neki drugi ovlašteni predstavnik organizacije barem jednom godišnje i staviti je na raspolaganje pojedincima na njihov zahtjev ili u kontekstu istrage ili pritužbe o nepoštovanju.

Organizacije trebaju čuvati svoje evidencije o provedbi svoje prakse „sigurne luke” i na zahtjev ih učiniti dostupnima u kontekstu istrage ili pritužbe o nepoštovanju neovisnom tijelu odgovornom za istraživanje pritužbi ili agenciji s nadležnošću za nepoštena i prijevarna postupanja.

Ako organizacija odabere vanjsku provjeru poštovanja, takva provjera treba pokazati da je njezina politika zaštite privatnosti s obzirom na osobne podatke primljene iz EU-a usklađena s načelima „sigurne luke”, da se poštuje i da su pojedinci obaviješteni o mehanizmima putem kojih mogu podnositi pritužbe. Metode provjere mogu bez ograničenja uključivati reviziju, slučajno odabrane provjere, korištenje „mamaca” ili korištenje tehnoloških sredstava kada je moguće. Izjavu kojom se potvrđuje da je vanjska provjera poštovanja uspješno završena treba potpisati voditelj provjere, ili rukovoditelj poduzeća ili neki drugi ovlašteni predstavnik organizacije najmanje jednom godišnje i staviti je na raspolaganje pojedincima na njihov zahtjev, ili u kontekstu istrage ili pritužbe na poštovanje.

ČESTO POSTAVLJANO PITANJE 8 - Pristup

Načelo pristupa:

Pojedinci moraju imati pristup osobnim podacima koje organizacija čuva, te ih moći ispraviti, izmijeniti ili obrisati te informacije ako su netočne, osim ako teret ili trošak omogućivanja pristupa ne bi bio razmjeran ugroženosti privatnosti pojedinca u danom slučaju, ili ako bi se time kršila prava drugih pojedinaca.

Naprotiv, iskustvo je pokazalo da se pri odgovoru na zahtjeve pojedinaca za pristup, organizacije trebaju prvenstveno voditi motivom (motivima) koji su uopće doveli do takvih zahtjeva. Na primjer, ako je zahtjev za pristup nejasan ili preširok, organizacija može razgovarati s pojedincem kako bi bolje shvatila motive za zahtjev i dala povratnu informaciju. Organizacija se može raspitati s kojim je dijelom (dijelovima) organizacije pojedinac kontaktirao i/ili o vrsti informacija (ili njihovom korištenju) za koje se zahtjeva pristup. Pojedinci, međutim, ne moraju obrazlagati zahtjeve za pristup vlastitim podacima.

Trošak i teret su bitni faktori i trebaju se uzeti u obzir, ali oni nisu presudni u odlučivanju je li omogućivanje pristupa opravdano. Na primjer, ako se informacije koriste za odluke koje će značajno utjecati na pojedinca (npr. uskraćenje ili odobrenje bitnih pogodnosti, kao što je osiguranje, hipoteka ili posao), tada bi u skladu s ostalim odredbama ovih često postavljanih pitanja, organizacija morala otkriti informacije čak i ako je to relativno teško ili skupo izvesti.

Ako tražena informacija nije osjetljiva ili se ne koristi za odluke koje će značajno utjecati na pojedinca (npr. tržišni podaci koji nisu osjetljivi a koji se koriste za odlučivanje hoće li ili neće pojedincu poslati katalog), ali je lako dostupna i nije je skupo dati, organizacija bi trebala omogućiti pristup činjeničnim podacima o pojedincu koje organizacija ima pohranjene. Takva informacija može uključivati činjenice dobivene od pojedinca, činjenice prikupljene tijekom transakcije ili činjenice dobivene od ostalih, a koje se odnose na pojedinca.

U skladu s osnovnom prirodom pristupa, organizacije uvijek trebaju poduzeti napore u dobroj vjeri da omoguće pristup. Na primjer, ako određenu informaciju treba zaštititi, a moguće ju je lako izdvojiti od ostalih informacija za koje se traži pristup, organizacija treba redigirati zaštićenu informaciju i učiniti dostupnima ostale informacije. Ako organizacija odluči da treba uskratiti pristup u nekom određenom slučaju, treba objasniti podnositelju zahtjeva za pristup zašto je donijela takvu odluku i uputiti ga na kontaktno mjesto za sve daljnje upite.

Organizacija koja zatraži iznimku snosi teret dokaza njezine opravdanosti (kao što je uobičajeno). Kako je već ranije spomenuto, pojedincima treba objasniti razloge uskraćivanja ili ograničivanja pristupa i uputiti ih na kontaktno mjesto za daljnje upite.

Organizacije koje se bave prodajom javno dostupnih informacija mogu tako naplatiti uobičajenu naknadu organizacije pri ispunjavanju zahtjeva za pristup. Pojedinci mogu, kao alternativu, tražiti pristup svojim informacijama od organizacije koja je prvotno prikupila podatke.

Pristup se ne može uskratiti radi troška ako pojedinac ponudi da će platiti troškove.

ČESTO POSTAVLJANA PITANJA 9 - Ljudski resursi

Načela „sigurne luke” bitna su samo kada se prenose datoteke koje se mogu pojedinačno identificirati ili se istima pristupa. Statističko izvješćivanje koje se temelji na skupnim podacima o zaposlenima i/ili korištenje anonimnih podataka ili onih pod pseudonimom ne otvara pitanja privatnosti.

Treba napomenuti da određeni opće važeći uvjeti za prijenos iz nekih država članica mogu isključivati ostalo korištenje takvih informacija čak i nakon prijenosa izvan EU-a, i takve uvjete se mora poštovati.

Osim toga, poslodavci trebaju uložiti razumne napore da bi udovoljili zaposlenikovom izboru s obzirom na privatnost. To može, na primjer, uključivati ograničivanje pristupa podacima, anonimnost određenih podataka ili korištenje šifri ili pseudonima kad stvarna imena nisu potrebna za postojeću svrhu upravljanja.

U onoj mjeri i onom razdoblju koje je potrebno da se izbjegne ugrožavanje zakonitih interesa organizacije pri unapređivanju, imenovanjima ili ostalim sličnim odlukama o zaposlenju, organizacija ne mora nuditi obavijest i mogućnost izbora.

Organizacija iz SAD-a, sudionica u „sigurnoj luci”, koja koristi podatke o ljudskim resursima EU-a prenijete iz Europske unije u kontekstu radnog odnosa i koja želi da takvi prijenosi budu u okviru sigurnosti mora se iz tog razloga obvezati na suradnju u istragama i poštovanje savjeta nadležnih tijela EU-a u takvim slučajevima. Tijela za zaštitu podataka koja su pristala surađivati na ovakav način obavijestit će Europsku komisiju i Department of Commerce. Ako organizacija iz SAD koja sudjeluje u „sigurnoj luci” želi prenijeti podatke o ljudskim resursima iz države članice s čim se tijelo za zaštitu podataka nije složilo, primjenjuju se odredbe često postavljanog pitanja 5.

ČESTO POSTAVLJANO PITANJE 10 – ugovori iz članka 17.

Organizacija iz SAD koja sudjeluje u „sigurnoj luci” i prima osobne podatke iz EU-a samo radi obrade ne mora primijeniti načela na ove informacije budući da je nadzornik iz EU-a i dalje odgovoran za njih prema pojedincu, u skladu s odgovarajućim odredbama EU-a (koje mogu biti strože od jednakovrijednih načela „sigurne luke”).

Budući da sudionici „sigurne luke” pružaju primjerenu zaštitu, za ugovore sa sudionicima u „sigurnoj luci” radi same obrade nije potrebno prethodno odobrenje (ili će takvo ovlaštenje automatski davati države članice), kao što bi bilo potrebno za ugovore s primateljima koji ne sudjeluju u „sigurnoj luci” ili ne pružaju adekvatnu zaštitu na drugi način.

ČESTO POSTAVLJANO PITANJE br. 11 – Rješavanje sporova i provedba

Mehanizmi pravne zaštite

Potrošače treba poticati da podnose pritužbe koje mogu imati na određenu organizaciju prije nego što prijeđu na neovisne mehanizme pravne zaštite. Neovisnost mehanizma pravne zaštite činjenično je pitanje na koje se može odgovoriti na brojne načine, na primjer, transparentnom strukturom i financiranjem ili dokazima o poslovanju. Kao što zahtijeva načelo provedbe, pravna zaštita koja je na raspolaganju pojedincima mora biti lako dostupna i prihvatljiva. Tijela koja se bave rješavanjem sporova trebaju razmotriti svaku pritužbu koju prime od pojedinaca osim ako je očigledno neutemeljena ili neozbiljna. To ne sprečava organizaciju koja upravlja mehanizmom pravne zaštite da donese zahtjeve o prihvatljivosti, ali takvi zahtjevi trebaju biti transparentni i opravdani (na primjer, da isključuju pritužbe koje nisu obuhvaćene područjem primjene programa ili koje treba razmotriti na drugom forumu) i ne smiju potkopavati obvezu razmatranja opravdanih pritužbi. Osim toga, mehanizmi odštete trebaju ponuditi pojedincima potpune i lako dostupne informacije o funkcioniranju postupka rješavanja sporova kada ulažu žalbu. Takve informacije trebaju obuhvatiti obavijest o odnosu mehanizma prema praksama u vezi s privatnosti, u skladu s načelima„sigurne luke”, (3). Također trebaju surađivati u izradi alata kao što su standardni obrasci žalbi kako bi olakšali postupak rješavanja žalbi.

Pravni lijekovi i sankcije

Rezultat bilo kojeg pravnog lijeka koji nudi tijelo za rješavanje sporova treba biti takav da organizacija poništi ili ispravi učinke nepoštivanja, koliko god je to izvedivo i da ubuduće obrada organizacije bude u skladu s načelima i ako je primjereno, da se prestanu obrađivati osobni podaci pojedinca koji je podnio žalbu. Sankcije trebaju biti dovoljno stroge da osiguraju da organizacija poštuje načela. Niz sankcija različitih stupnjeva oštrine omogućavaju tijelima za rješavanje sporova da na odgovarajući način reagiraju na različite stupnjeve nepoštivanja. Sankcije trebaju uključivati i javno objavljivanje otkrivenih slučajeva nepoštivanja i zahtjev da se podaci obrišu u određenim okolnostima (4). Ostale sankcije mogu uključivati privremeno ukidanje i oduzimanje pečata, nadoknadu gubitaka pojedincima koje su pretrpjeli kao posljedicu nepoštivanja i sudske zabrane. Tijela privatnog sektora za rješavanje sporova i samoregulatorna tijela moraju obavijestiti vladina tijela odgovarajuće nadležnosti ili sudove o slučajevima nepoštivanja njihovih odluka od strane organizacija potpisnica načela sigurnosti, već prema tome što je primjerenije, te obavijestiti Department of Commerce (ili njegova ovlaštenog predstavnika).

Djelovanje Federal Trade Commission-a

Federal Trade Commission obvezao se prioritetno razmatrati proslijeđene obavijesti primljene od organizacija koje same reguliraju privatnost, kao što su BBBOnline i TRUSTe i od država članica EU-a o navodnom nepoštovanju načela „sigurne luke” kako bi utvrdila je li prekršen odjeljak 5. Federal Trade Commission Act-a koji zabranjuje nepošteno ili prijevarno djelovanje u trgovini. Ako Federal Trade Commission zaključi da je opravdano vjerovati da je prekršen odjeljak 5., može riješiti stvar traženjem upravnog naloga koji zabranjuje osporene radnje, ili ulaganjem tužbe saveznom okružnom sudu, koja ako bude uspješna, može dovesti do naloga saveznog suda s istim učinkom. Federal Trade Commission može ishoditi građansku sankciju za kršenja sudskog naloga o zabrani te može pokrenuti građansku parnicu ili kazneni postupak zbog nepoštivanja sudskog postupka na temelju kršenja naloga saveznog suda. Federal Trade Commission obavijestit će Department of Commerce o svakom takvom djelovanju koje je poduzelo. Department of Commerce potiče ostala vladina tijela da ga obavješćuju o konačnoj presudi o takvim proslijeđenim obavijestima ili ostalim odlukama kojima se utvrđuje poštuju li se načela „sigurne luke”.

Trajno nepridržavanje.

Ako se organizacija konstantno ne pridržava načela, više nema pravo na pogodnosti „sigurne luke”. Trajno nepridržavanje nastaje kada se organizacija koja se sama potvrdila Department of Commerc-u (ili njegovu ovlaštenom predstavniku) odbije pridržavati konačne odluke samoregulatornog ili vladinog tijela ili ako takva tijela utvrde da organizacija tako učestalo ne poštuje načela da njezina tvrdnja o pridržavanju više nije vjerodostojna. U tim slučajevima organizacija mora hitno obavijestiti Department of Commerce SAD-a (ili njegova ovlaštenog predstavnika) o tim činjenicama. Ako to propusti učiniti može biti kažnjena prema False Statements Act-u (18 U.S.C. § 1001).

Department (ili njegov ovlašteni predstavnik) navest će u svom javnom popisu organizacija koje same potvrđuju da se pridržavaju načela „sigurne luke” svaku obavijest o trajnom nepridržavanju bez obzira primi li je od same organizacije, od samoregulatornog tijela ili od vladina tijela, ali tek nakon što je prvo obavijesti trideset (30) dana unaprijed i pruži organizaciji koja se ne pridržava načela mogućnost da se očituje. Sukladno s tim, iz javnog popisa koji vodi Department of Commerce (ili njegov ovlašteni predstavnik) bit će jasno kojim organizacijama jesu, a kojima više nisu zajamčene pogodnosti „sigurne luke”.

Organizacija koja se prijavi za sudjelovanje u samoregulatornom tijelu kako bi ponovno stekla uvjete za sigurnost mora tom tijelu dostaviti sve informacije o svom prijašnjem sudjelovanju u zaštiti privatnosti.

ČESTO POSTAVLJANO PITANJE 12 – Mogućnost odabira - Trenutak odbijanja

Slično tome, organizacija može koristiti informacije u određene svrhe izravnog marketinga kada nije praktično ponuditi pojedincu mogućnost „odustajanja” prije korištenja informacija, ako organizacija bez odgađanja ponudi pojedincu mogućnost istodobnog (i na zahtjev bilo kada) odbijanja (bez troška za pojedinca) primanja izravnih komercijalnih obavijesti i organizacija ispoštuje želju pojedinca.

ČESTO POSTAVLJANO PITANJE 13 – Putne informacije

ČESTO POSTAVLJANO PITANJE 14. Farmaceutski i medicinski proizvodi

ČESTO POSTAVLJANO PITANJE 15 – Javne evidencije i javno dostupne informacije

Također, općenito nije potrebno primjenjivati načela obavijesti, mogućnosti izbora i daljnjeg prijenosa na javno dostupne podatke osim ako europski prenositelj navede da takvi podaci podliježu ograničenjima koja zahtijevaju da organizacija primjenjuje ova načela za namjeravane uporabe. Organizacije neće biti odgovorne za to kako takve podatke koriste oni koji ih dobiju iz objavljenih materijala.

Ako se utvrdi da je organizacija namjerno objavila osobne podatke suprotno načelima kako bi ona ili ostali izvukli koristi od tih iznimaka, više neće imati pravo na pogodnosti „sigurne luke”.

(1)  Uvrštenje ovog često postavljenog pitanja u paket ovisi o sporazumu tijelâ za zaštitu podataka. Radna skupina iz članka 29. razgovarala je o sadašnjem tekstu i većina ga smatra prihvatljivim, ali spremni su zauzeti konačno stajalište u kontekstu općenitog mišljenja koje će radna skupina objaviti o konačnom paketu.

(2)  Vidjeti često postavljano pitanje 7 o provjeri.

(3)  Tijela za rješavanje sporova ne moraju se pridržavati načela provedbe. Ona također mogu odstupiti od načela ako im se pojave proturječne obveze ili izričita ovlaštenja u izvršenju njihovih specifičnih zadaća.

(4)  Tijela za rješavanje sporova imaju slobodu odlučivanja o okolnostima u kojima primjenjuju te sankcije. Osjetljivost dotičnih podataka je jedan od faktora koje treba uzeti u obzir pri odlučivanju hoće li biti potrebno brisati podatke, kao što je i činjenica je li organizacija prikupila, koristila ili otkrila informacije u očitoj suprotnosti s načelima.

PRILOG III.

Pregled provedbe „sigurne luke”

Federalne i državne ovlasti s obzirom na „nepoštene i prijevarne radnje” i privatnost

Ovaj memorandum opisuje ovlast Federal Trade Commission (FTC) sukladno s odjeljkom 5. Federal Trade Commission Act-a (15 U.S.C. §§ 41-58, s izmjenama) za poduzimanje mjera protiv onih koji ne štite privatnost osobnih podataka u skladu s njihovim izjavama i/ili obvezama da to čine. Također govori o iznimkama u vezi s tim ovlaštenjem i mogućnostima ostalih saveznih i državnih agencija da poduzimaju mjere ako FTC nema ovlast (1).

Ovlast FTC-a u vezi s nepoštenim i prijevarnim radnjama

Odjeljak 5. Federal Trade Commission Act-a proglašava „nepoštene ili prijevarne radnje ili postupke u trgovini ili one koji utječu na trgovinu” nezakonitima. 15 U.S.C. § 45(a)(1). Odjeljak 5. daje FTC-u neograničenu ovlast da sprečava takve radnje i postupke. 15 U.S.C. § 45(a)(2). Sukladno s tim FTC može nakon završenog službenog saslušanja izdati „nalog o zabrani” da bi prekinuo kažnjivo ponašanje. 15 U.S.C. § 45(b). Ako bi to bilo u javnom interesu, FTC također može od okružnog suda SAD-a zatražiti privremenu sudsku zabranu ili privremenu ili trajnu mjeru. 15 U.S.C. § 53(b). U slučajevima kada su nepošteni ili prijevarni postupci ili radnje jako rašireni ili ako je već izdao nalog za zabranu neke pojave, FTC može donijeti upravni propis o spomenutim radnjama ili postupcima. 15 U.S.C. § 57a.

Svatko tko ne poštuje nalog FTC-a može biti kažnjen iznosom i do 11 000 USD, s tim da svaki sljedeći dan kršenja predstavlja novo kršenje (2). 15 U.S.C. § 45(1). Isto tako, svakome tko svjesno krši pravilo FTC-a može se izreći kazna od 11 000 USD za svako kršenje. 15 U.S.C. § 45(m). Odgovarajući postupak može pokrenuti Department of Justice ili ako ono odbije, FTC. 15 U.S.C. § 56.

Ovlast FTC-a i privatnost

Koristeći svoje ovlasti iz odjeljka 5., FTC zastupa stajalište da lažno prikazivanje razloga za prikupljanje podataka o potrošaču ili načina korištenja podataka predstavlja prijevarni postupak (3). Na primjer FTC je 1998. podnio tužbu protiv društva GeoCities radi otkrivanja podataka koje je prikupio na svojoj internetskoj stranici trećim stranama da bi privukli korisnike i to bez prethodnog dopuštenja, unatoč svojim izjavama o suprotnom (4). FTC-ovo osoblje je također potvrdilo da prikupljanje osobnih podataka od djece, te prodaja i otkrivanje tih podataka bez pristanka roditelja može biti prijevarni postupak (5).

U pismu glavnom direktoru Europske komisije, Johnu Moggu, predsjedatelj FTC-a Pitofsky naveo je ograničenja u ovlasti FTC-a da zaštiti privatnost ako nije bilo lažnog prikazivanja (ili nikakve izjave) u vezi s korištenjem prikupljenih podataka. Pismo predsjedatelja FTC-a Pitofskyog Johnu Moggu (23. rujna 1998.). Međutim, trgovačka društva koja žele iskoristiti predloženu „sigurnu luku” moraju potvrditi da će zaštiti podatke koje prikupe u skladu s propisanim smjernicama. Shodno tome, ako trgovačko društvo potvrdi da će zaštititi privatnost podataka a onda to ne učini, takva će radnja predstavljati lažno prikazivanje i „prijevarni postupak” u smislu odjeljka 5.

Kako FTC-ova nadležnost obuhvaća nepoštene ili prijevarne postupke ili radnje „u trgovini ili one koji utječu na trgovinu”, FTC neće biti nadležan za prikupljanje i korištenje osobnih podataka u nekomercijalne svrhe, na primjer, prikupljanje sredstava u dobrotvorne svrhe. Vidjeti pismo Pitofskyja, str. 3. Međutim, korištenje osobnih podataka u nekoj poslovnoj transakciji zadovoljit će ovu pravnu osnovu. Tako bi na primjer, poslodavčeva prodaja osobnih podataka o svojim zaposlenicima poduzećima koja se bave izravnim marketingom bila transakcija u području primjene odjeljka 5.

Iznimke propisane odjeljkom 5.

Odjeljak 5. utvrđuje iznimke u ovlasti FTC-a nad nepoštenim ili prijevarnim postupcima ili radnjama s obzirom na:

Vidjeti 15 U.S.C. § 45(a)(2). U nastavku teksta govori se o svim iznimkama i regulatornom tijelu koje preuzima njegovo mjesto.

Financijske institucije  (6)

Prva se iznimka primjenjuje na „banke, štedne i kreditne institucije opisane u odjeljku 18. točki (f) podtočki (3) [15 U.S.C. § 57a(f)(3)]” i „savezne kreditne unije opisane u odjeljku 18. točki (f) podtočki (4) [15 U.S.C. § 57a(f)(4)]” (7). Te financijske institucije pak podliježu propisima koje je izdao Federal Reserve Bord, Office of Thrift Supervision, (8), odnosno National Credit Union Administration Board. Vidjeti 15 U.S.C. § 57a(f). Te su regulatorne agencije dobile upute da donesu propise potrebne za sprečavanje nepoštenih i prijevarnih radnji tih financijskih institucija (9) i da osnuju zaseban odjel koji će se baviti pritužbama potrošača. 15 U.S.C. § 57a(f)(1). Konačno, ovlast za provedbu proizlazi iz odjeljka 8. Federal Deposit Insurance Act-a (12 U.S.C. § 1818), za banke i štedne i kreditne institucije, te odjeljaka 120 i 206 Federal Credit Union Act-a, za savezne kreditne unije. 15 U.S.C. §§ 57a(f)(2)-(4).

Iako sektor osiguranja nije izričito uključen u popis iznimaka u odjeljku 5., McCarran-Ferguson Act (15 U.S.C. § 1011 et seq.) općenito prepušta regulaciju osiguravajuće djelatnosti svakoj državi pojedinačno (10). Nadalje, sukladno s odjeljkom 2. točkom (b) McCarran-Ferguson Act-a, niti jedan savezni zakon neće ukinuti, narušiti ili zamijeniti državne propise „osim ako se takav zakon izričito odnosi na djelatnost osiguranja”. 15 U.S.C.§ 1012(b). Međutim, odredbe FTC Act-a primjenjuju se na sektor osiguranja „u onoj mjeri u kojoj njihovo poslovanje nije regulirano državnim zakonom.” ibid. Treba također napomenuti da McCarran-Ferguson Act daje prednost državnim zakonima samo u odnosu na „djelatnost osiguranja”. Stoga FTC zadržava preostali dio ovlasti nad nepoštenim ili prijevarnim radnjama osiguravajućih društava u aspektima poslovanja koji se ne odnose na osiguranje. To na primjer može uključivati slučajeve kada osiguravatelji prodaju osobne podatke o nositeljima njihovih polica poduzećima koja se bave izravnim marketingom proizvoda koji nisu proizvodi osiguranja (11).

Javni prijevoznici

Druga iznimka iz odjeljka 5. obuhvaća one javne prijevoznike koji podliježu „zakonima koji reguliraju trgovinu” 15 U.S.C. § 45(a)(2). U ovom se slučaju „zakoni koji reguliraju trgovinu” odnose na podnaslov IV. glavu 49. United States Code-a i to Communications Act-a iz 1934. (47 U.S.C. § 151 et seq.) (Communications Act). Vidjeti 15 U.S.C. § 44.

49 U.S.C. podnaslov IV. (međudržavni prijevoz) obuhvaća prijevoznike u željezničkom, automobilskom i vodenom prometu, posrednike, špeditere i poduzeća koja se bave prometom cjevovodima, 49 U.S.C. § 10101 et seq. Ti različiti javni prijevoznici podliježu regulaciji od strane Surface Transportation Board-a, neovisne agencije u sklopu Department of Transportation., 49 U.S.C. §§ 10501, 13501 i 15301. U svakom slučaju, prijevozniku je zabranjeno otkrivati podatke o vrsti, odredištu i ostalim aspektima svog tereta koji bi se mogli iskoristiti na pošiljateljevu štetu. Vidjeti 49 U.S.C. §§ 11904, 14908 i 16103. Ističemo da se te odredbe odnose na podatke koji se tiču pošiljateljeva tereta i stoga se ne čini da obuhvaćaju osobne podatke o pošiljatelju koji nisu vezani za dotičnu pošiljku.

Što se tiče Communications Act-a, on predviđa regulaciju „međudržavne trgovine i trgovine s inozemstvom žičnom i radijskom komunikacijom” od strane Federal Communications Commission (FCC). Vidjeti 47 U.S.C. §§ 151 i 152. Osim na javna telekomunikacijska poduzeća, Communications Act također se primjenjuje na trgovačka društva kao što su televizijske i radio postaje i pružatelji kabelskih usluga koji nisu javni operateri. Ova potonja trgovačka društva kao takva ne ispunjavaju uvjete za iznimku sukladno s odjeljkom 5. FTC Act-a. Tako FTC ima nadležnost istraživati nepoštene i prijevarne radnje u tim trgovačkim društvima, dok je FCC ravnopravno nadležan za provođenje svoje neovisne ovlasti na tom području kao što je opisano u nastavku.

Sukladno sa Communications Act-om, „svaki telekomunikacijski operater”, uključujući i lokalne telefonske centrale, ima dužnost zaštititi privatnost privatnih mrežnih podataka o korisniku (12), 47 U.S.C. § 222(a). Osim ove opće ovlasti za zaštitu privatnosti, Communications Act je bio izmijenjen Cable Communications Policy Act iz 1984. („Cable Act”), 47 U.S.C. § 521 et seq., kako bi izričito propisao da kabelski operateri moraju zaštititi privatnost „informacija koje omogućavaju identitificiranje osobe” o pretplatnicima kabelske mreže, 47 U.S.C. § 551 (13). Cable Communications Policy Act ograničuje kabelske operatore u prikupljanju osobnih podataka i zahtjeva da obavijeste pretplatnika o vrsti prikupljenih informacija i kako će se one koristiti. Cable Communications Policy Act daje pretplatnicima pravo pristupa vlastitim podacima i pravo zahtjeva kabelskim operaterim za uništenje tih podatke kada ih više ne budu trebali.

Communications Act ovlašćuje FCC da provede te dvije odredbe o privatnosti, bilo na vlastitu inicijativu ili kao odgovor na vanjsku pritužbu (14), 47 U.S.C. §§ 205, 403; ibid. § 208. Ako FCC utvrdi da je telekomunikacijski operater (uključujući i kabelskog operatera) prekršio odredbe o privatnosti iz odjeljka 222. ili odjeljka 551., postoje tri osnovne mjere koje može poduzeti. Prvo, nakon saslušanja i utvrđivanja kršenja, povjerenstvo može narediti operateru da plati novčanu odštetu (15), 47 U.S.C. § 209. Umjesto toga FCC može narediti operateru da prestane s kažnjivim postupanjem ili propuštanjem, 47 U.S.C. § 205(a). I konačno, povjerenstvo može također narediti operateru koji čini prekršaj da „se uskladi i poštuje (neki) propis ili postupak” koji mu FCC može propisati. ibid.

Fizičke osobe koje vjeruju da je telekomunikacijski ili kabelski operator prekršio određene odredbe Communications Act-a ili Cable Communications Policy Act-a, mogu podnijeti tužbu FCC-u ili pokrenuti postupak pred saveznim okružnim sudom, 47 U.S.C. § 207. Tužitelj koji uspije u sporu pred saveznim sudom protiv telekomunikacijskog operatera zbog propusta da zaštititi privatne podatke korisnika u smislu odjeljka 222. Communications Act-a može dobiti naknadu stvarne štete i troškove odvjetnika. 47 U.S.C. § 206. Tužitelju koji podnese tužbu zbog kršenja privatnosti prema odjeljku 551. Cable Act-a koji se odnosi na kabelske operatere, mogu se osim stvarne štete i troškova zastupanja također dosuditi kaznena odšteta i razumni parnični troškovi. 47 U.S.C. § 551(f).

FCC je donio detaljna pravila za provedbu odjeljka 222. Vidjeti 47 CFR 64.2001-2009. Ta pravila propisuju određene zaštitne mjere od neovlaštenog pristupa vlasničkim mrežnim podacima o korisnicima. Propisi traže od telekomunikacijskih operatera da:

Zračni prijevoznici

Zračni prijevoznici iz SAD-a i strani zračni prijevoznici koji podliježu Federal Aviation Act-u iz 1958. također su izuzeti od odjeljka 5. FTC Act-a. Vidjeti 15 U.S.C. § 45(a)(2). Ovo uključuje sve koji obavljaju međudržavni ili inozemni prijevoz robe ili putnika, ili koji avionom prevoze poštu. Vidjeti 49 U.S.C. § 40102. Zračni prijevoznici su pod nadležnošću Department of Transportation-a. U tom je pogledu Secretary of Transportation ovlašten poduzimati mjere koje „sprečavaju nepoštene, prijevarne, predatorske postupke ili protutržišna djelovanja u zračnom prijevozu”. 49 U.S.C. § 40101(a)(9). Secretary of Transportation može ispitati je li zračni prijevoznik iz SAD-a ili inozemstva, ili agent koji prodaje karte, sudjelovao u nepoštenim ili prijevarnim radnjama, ako je to u javnom interesu. 49 U.S.C. § 41712. Nakon saslušanja Secretary of Transportation može izdati nalog za prekid nezakonitog postupka, ibid. Koliko nam je poznato, Secretary of Transportation nije iskoristio ovu ovlast kako bi pokrenuo pitanje zaštite privatnosti osobnih podataka korisnika zračnog prijevoza (16).

Postoje dvije odredbe koje štite privatnost osobnih podataka i primjenjuju se na zračne prijevoznike u određenim kontekstima. Prvo, Federal Aviation Act štiti privatnost kandidata za pilote. Vidjeti 49 U.S.C. § 44936(f). Dok omogućava zračnim prijevoznicima da dobiju kandidatovu radnu knjižicu, daje kandidatu pravo na obavijest da je knjižica zatražena, da odobri zahtjev, da ispravi netočne podatke i da pokaže knjižicu samo onima koji su uključeni u donošenje odluke o zapošljavanju. Drugo, uredbe DOT zahtijevaju da se očite informacije o putnicima prikupljene za vladine potrebe u slučaju avionske katastrofe „čuvaju kao povjerljive i otkriju samo US Department of State, National Transportation Board-u (na zahtjev NTSB-a) i U.S. Department of Transportation”. 14 CFR dio 243, § 243.9(c) (dopunjen 63 FR 8258).

Proizvođači mesnih prerađevina i trgovci stokom

S obzirom na Packers and Stockyards Act iz 1921. (7 U.S.C. § 181 et seq.), zakon proglašava nezakonitim da „proizvođač mesnih prerađevina, s obzirom na stoku, meso, mesne prerađevine ili stočne proizvode u neprerađenom obliku, ili za trgovce živom peradi, obzirom na živu perad, sudjeluje u nepoštenim, nepravedno diskriminirajućim ili prijevarnim postupcima ili sredstvu, ili iste primjenjuje”. 7 U.S.C. § 192(a); vidjeti također 7 U.S.C. § 213(a) (koji zabranjuje „bilo kakav nepošten, nepravedno diskriminirajući ili prijevarni postupak ili sredstvo” u odnosu na stoku). Secretary of Agriculture ima primarnu odgovornost provoditi ove odredbe, dok FTC zadržava nadležnost nad maloprodajnim transakcijama i onima koje se odnose na peradarstvo. 7 U.S.C. § 227(b)(2).

Nije jasno hoće li Secretary of Agriculture tumačiti propust proizvođača mesnih prerađevina ili trgovaca stokom da zaštititi privatnost u skladu s navedenom politikom kao postupak „prijevare” prema Packers and Stockyards Act-u. Međutim, iznimka iz odjeljka 5. primjenjuje se na osobe, partnerstva ili korporacije samo „u mjeri u kojoj podliježu Packers and Stockyards Act-u”. Stoga, ako zaštita osobnih podataka nije pitanje iz područja primjene Packers and Stockyards Act-a, tada se iznimka iz odjeljka 5. ne mora primjenjivati, pa bi proizvođači mesnih prerađevina i trgovci stokom bili pod nadležnošću FTC-a u tom pogledu.

Ovlasti država nad „nepoštenim i prijevarnim radnjama”

Prema analizi koju je napravilo osoblje FTC-a, „svih 50 država te District of Columbia, Guam, Puerto Rico i Djevičanski otoci usvojili su zakone koji su više ili manje slični Federal Trade Commission Act-u (‚FTCA’) radi sprečavanja nepoštene ili prijevarne trgovačke prakse”. Informativni list FTC-a, prenijet u „Komentar, Zaštita potrošača: Praktična učinkovitost državnih zakona o nepoštenim trgovinskim praksama”, 59 Tul, L. Rev. 427 (1984). U svim slučajevima, agencija za provedbu ima ovlast „provoditi istrage korištenjem sudskih poziva pod prijetnjom kazne ili građanskih zahtjeva za istragu, tražiti uvjerenja o dobrovoljnom pridržavanju, izdavati sudske naloge o zabrani ili ishoditi sudske naloge za sprečavanje primjene nepoštenih, nesavjesnih ili prijevarnih trgovačkih praksi, ibid. U 46 jurisdikcija, zakon dopušta privatne tužbe za stvarnu, dvostruku, trostruku ili kaznenu odštetu, a u nekim slučajevima i naknadu troškova i troškova zastupanja. Ibid.”

Deceptive and Unfair Trade Practices Act Floride, na primjer, ovlašćuje javnog tužitelja da istražuje i pokreće građanske postupke protiv „nepoštenih načina tržišnog natjecanja, nepoštenih, nesavjesnih ili prijevanih trgovačkih praksi”, uključujući lažno ili zavaravajuće reklamiranje, obmanjujuće prilike za franchise ili poslovanje, lažni telemarketing i piramidalne sheme. Vidjeti također Opći poslovni zakon New Yorka § 349 (koji zabranjuje nepoštene postupke i prijevarne radnje tijekom obavljanja djelatnosti).

Anketa koju je ove godine proveo National Association of Attorneys General (NAAG) potvrđuje ove rezultate. Od 43 države koje su sudjelovale, sve imaju „mini-FTC” propise ili ostale propise koji osiguravaju sličnu zaštitu. Također, prema anketi NAAG-a, 39 država navelo je da bi imale ovlast voditi postupak kojeg je pokrenula osoba koja nema boravište u dotičnoj državi. S obzirom na privatnost potrošača, 37 od 41 države koje su odgovorile navelo je da bi reagirale na pritužbe koje navode da trgovačko društvo pod njihovom nadležnošću ne poštuje vlastitu politiku o privatnosti koju je samo objavilo.

(1)  Ovdje se ne raspravljaju svi različiti savezni propisi koji se bave privatnošću u specifičnim kontekstima ni propisi država i common law koji bi se mogli primjenjivati. Propisi na saveznoj razini koji reguliraju komercijalno prikupljanje i korištenje osobnih podataka uključuje Cable Communications Policy Act (47 U.S.C. § 551), Driver's Privacy Protection Act (18 U.S.C. § 2721), Electronic Communications Privacy Act (18 U.S.C. § 2701 et seq.), Electronic Funds Transfer Act(15 U.S.C. §§ 1693, 1693m), Fair Credit Reporting Act (15 U.S.C. § 1681 et seq.), Right to Financial Privacy Act (12 U.S.C. § 3401 et seq.), Telephone Consumer Protection Act (47 U.S.C. § 227) i Video Privacy Protection Act (18 U.S.C. § 2710), među ostalima. Mnoge države imaju analogne zakone na tim područjima. Vidjeti npr., Mass. Gen. Laws ch. 167B, § 16 (koji zabranjuje financijskim ustanovama da otkrivaju financijske podatke o klijentima trećoj osobi bez klijentova pristanka ili sudskog postupka), N.Y. Pub. Health Law § 17 (koji ograničuje korištenje i otkrivanje podataka o zdravstvenom ili duševnom stanju pacijenata i daje pacijentima pravo pristupa istima).

(2)  Kod takvog postupanja, okružni sud Sjedinjenih Američkih Država može također izdati sudski nalog i pravičnu naknadu prikladnu za provedbu naloga FTC-a. 15 U.S.C. § 45(1).

(3)  „Prijevarni postupak” definira se kao izjava, propust ili praksa za koju je vjerojatno da će zavarati razumne potrošače.

(4)  Vidjeti www.ftc.gov/opa/1998/9808/geocitie.htm.

(5)  Vidjeti dopis osoblja za Center for Media Education, www.ftc.gov/os/1997/9707/cenmed.htm. Osim toga, Children's Online Privacy Protection Act iz 1998. daje FTC-u specifičnu zakonsku ovlast da regulira prikupljanje osobnih podataka od djece putem internetskih stranica i pružatelja internetskih usluga. Vidjeti 15 U.S.C. §§ 6501-6506. Zakon osobito zahtijeva od pružatelja internetskih usluga da obavijeste roditelje i ishode njihov pristanak prije prikupljanja korištenja ili otkrivanja osobnih podataka djece i koji se može provjeriti. Ibid., § 6502(b). Taj zakon također daje roditeljima pravo pristupa i pravo da odbiju dati dozvolu za nastavak korištenja informacija. Ibid.

(6)  12. studenoga 1999. Predsjednik Clinton potpisao je kao zakon Gramm-Leach-Bliley Act (Pub. L. 106-102, codified at 15 U.S.C. § 6801 et seq.). Taj Zakon ograničuje financijske ustanove u otkrivanju osobnih podataka svojih klijenata. Zakon traži od financijskih ustanova da, između ostaloga, obavijeste sve klijente o svojim politikama privatnosti i praksom u pogledu otkrivanja osobnih podataka svojim povezanim i nepovezanim društvima. Ovaj Zakon ovlašćuje FTC savezna bankarska tijela i ostala tijela da donose propise za provedbu zaštite privatnosti u skladu sa zakonom. Agencije su u tu svrhu izdale predložene propise.

(7)  Prema vlastitim odlukama ova se iznimka ne primjenjuje na sektor vrijednosnih papira. Stoga brokeri, dileri i ostali koji posluju s vrijednosnim papirima podliježu istodobnoj nadležnosti Securities and Exchange Commission i FTC-a u pogledu nepoštenih ili prijevarnih postupaka i radnji.

(8)  Iznimka u odjeljku 5. izvorno se odnosila na Federal Home Loan Bank Board kojeg je ukinuo Financial Institutions Reform, Recovery and Enforcement Act iz kolovoza 1989. Njegove su funkcije prenijete na Office of Thrift

Supervision and to the Resolution Trust Corporation, the Federal Deposit Insurance Corporation, and the Housing Finance Board.

(9)  Ukidajući nadležnost FTC-a nad financijskim ustanovama, odjeljak 5. također određuje da kad FTC objavi neko pravilo o nepoštenim ili prijevarnim postupcima i radnjama, financijski regulatorni odbori trebaju usvojiti paralelne propise u roku od 60 dana. Vidjeti 15 U.S.C. § 57a(f)(1).

(10)  „Djelatnost osiguranja i svaka osoba koja se njome bavi podliježe zakonima nekoliko država koji se odnose na regulaciju ili oporezivanje te djelatnosti”, 15 U.S.C. § 1012(a).

(11)  FTC je koristio nadležnost nad osiguravajućim društvima u različitim kontekstima. U jednom je slučaju FTC poduzeo mjere protiv jednog društva radi lažnog oglašavanja u državi u kojoj nije imala dozvolu za rad. FTC-ova nadležnost je bila potpomognuta činjenicom da nije bilo učinkovite državne regulacije jer je društvo u stvarnosti bilo izvan dosega države. Vidjeti FTC v. Travelers Health Association, 362 U.S. 293 (1960).

Što se tiče država, 17 ih je usvojilo nacrt „Insurance Information and Privacy Protection Act-a” kojeg je sastavilo National Association of Insurance COmmissioners (NAIC). Propis uključuje odredbe o obavješćivanju, korištenju i otkrivanju, te pristupu. Gotovo sve države usvojile su NAIC-ov predložak „Unfair Insurance Practices Act”, koji je izričito usmjeren na nepoštene trgovinske prakse u sektoru osiguranja.

(12)  Pojam „privatnih mrežnih podataka o korisniku” podrazumijeva informacije koje se odnose na korisnikovu „količinu, tehničku konfiguraciju, vrstu, namjenu i vrijednost telekomunikacijskih usluga koje koriste” te informacije o telefonskom obračunu, 47 U.S.C. § 222(f)(1). Međutim, pojam ne uključuje informacije o popisu pretplatnika. Ibid.

(13)  Zakonodavstvo ne definira izričito „informacije koje omogućavaju identitificiranje osobe”.

(14)  Ova ovlast obuhvaća prava na pravnu zaštitu zbog kršenja privatnosti, i prema odjeljku 222. Zakona o komunikacijama ili, kada se radi o kablovskim pretplatnicima, prema odjeljku 551. Zakona o kabelskim komunikacijama kao izmjena Zakona. Vidjeti također 47 U.S.C. § 551(f)(3) (građanski postupak na

Saveznom okružnom sudu nije isključivi pravni lijek, koji se nudi „pored nekog drugog zakonitog pravnog lijeka koji stoji na raspolaganju kablovskim pretplatnicima”).

(15)  Međutim, nepostojanje izravne štete za tužitelja nije razlog da se tužba odbaci. 47 U.S.C. § 208(a).

(16)  Shvaćamo da postoje napori unutar ove gospodarske grane da se riješi pitanje privatnosti. Predstavnici ove grane su razgovarali o predloženim načelima zaštite i njihovoj mogućoj primjeni na zračne prijevoznike. Rasprava je obuhvatila prijedlog da se usvoji politika zaštite privatnosti unutar ove grane, prema kojoj bi se tvrtke sudionice stavile pod izričitu nadležnost DOT-a.

PRILOG IV.

Odštete za kršenje privatnosti, zakonske ovlasti te spajanja i preuzimanja prema pravu SAD-a

Ovo je odgovor na zahtjev Europske komisije za objašnjenje prava SAD-a u odnosu na (a) zahtjeve za odštetu zbog kršenja privatnosti, (b) „izričite ovlasti” u pravu SAD-a za uporabu osobnih podataka na način koji je u skladu s načelima „sigurne luke”, te (c) utjecaj spajanja i preuzimanja na obveze preuzete sukladno načelima „sigurne luke”.

A.   Odštete zbog kršenja privatnosti

Nepoštovanje načela „sigurne luke” može dovesti do brojnih privatnih tužbi ovisno o danim okolnostima. Organizacije potpisnice načela „sigurne luke” mogu se smatrati odgovornima za lažno prikazivanje svoga nepridržavanja politike zaštite privatnosti za koju su naveli da je se pridržavaju. Common law također omogućava privatne razloge za pokretanje postupka za naknadu štete zbog kršenja privatnosti. Mnogi savezni i državni propisi o privatnosti također predviđaju naknadu štete fizičkim osobama zbog tog kršenja.

Pravo na naknadu štete zbog narušavanja privatnosti jasno je utvrđeno prema common law-u SAD-a.

Korištenje osobnih podataka koje nije u skladu s načelima „sigurne luke” može biti razlogom pravne odgovornosti prema nizu različitih pravnih teorija. Na primjer i nadzornik podataka koji se prenose i pogođeni pojedinci mogu tužiti organizacije potpisnice načela „sigurne luke” koje ne ispunjavaju svoje obveze zaštite za lažno prikazivanje. Prema Restatement of the Law, Second, Torsts (1), vrijedi sljedeće:

Restatement, § 525. Lažno prikazivanje ima „prijevarnu namjeru” ako je učinjeno svjesno ili u uvjerenju da je netočno. Ibid., § 526. Općenito, osoba koja lažno prikazuje s namjerom prijevare potencijalno je odgovorna svakome prema kome ima namjeru ili očekuje od njega da se pouzda u lažno prikazivanje za svaki novčani gubitak koji može pretrpjeti kao posljedicu. Ibid. 531. Nadalje, strana koja se lažno prikazuje drugima s namjerom prijevare može biti odgovorna trećoj osobi ako počinitelj štete ima namjeru ili očekuje da njegovo lažno prikazivanje bude ponovljeno trećoj osobi i da ona postupa na temelju istoga. Ibid., § 533.

U smislu „sigurne luke”, pravno relevantan prikazivanje je javna izjava organizacije da će se pridržavati načela „sigurne luke”. Jednom kad se na to obveže, svjesno nepridržavanje načela može za one koji se oslone na lažno prikazivanje predstavljati osnovu za podizanje tužbe zbog lažnog prikazivanja. Budući da se opredjeljenje za poštivanje načela objavljuje široj javnosti, pojedinci koji su nositelji tih podataka, kao i nadzornik podataka u Europi za prijenos osobnih podataka organizacijama iz SAD-a mogu imati razloge za podizanje tužbe protiv organizacija iz SAD-a zbog lažnog prikazivanja (2). Štoviše, organizacija iz SAD-a ostaje odgovorna prema njima za „nastavak lažnog prikazivanja” dokle god se oni oslanjaju na lažno prikazivanje na vlastitu štetu. Kodifikacija, § 535.

Oni koji se oslanjaju na lažno prikazivanje s namjerom prijevare imaju sukladno Restatement- u pravo na naknadu štete.

Restatement, § 549. Štete koje se priznaju uključuju stvarni izravni gubitak, kao i izgubljenu „povoljnu priliku” u poslovnoj transakciji. Ibid.; vidjeti, npr., Boling protiv Tennessee National Bank, 890 S.W.2d 32 (1994) (banka odgovorna zajmoprimcima za 14 825 USD odštete za otkrivanje osobnih podataka i poslovnih planova zajmoprimaca predsjedniku banke koji je imao suprotan interes).

Budući da lažno prikazivanje s namjerom prijevare zahtijeva ili stvarno znanje ili barem uvjerenje da je izjava netočna, odgovornost se može također pripisati za lažni iskaz. Sukladno s Kodifikacijom, tko god da lažnu izjavu dok obavlja svoju djelatnost, zvanje ili posao ili u nekoj novčanoj transakcija može biti odgovoran „ako ne pokaže izvjesnu brigu ili stručnost pri dobivanju ili prosljeđivanju informacija”. Kodifikacija, § 552(1). Za razliku od lažnih prikaza s namjerom prijevare, odštete za lažni iskaz ograničene su na izravni gubitak. Ibid., § 552B(1).

U jednom je nedavnom slučaju na primjer Viši sud u Connecticutu smatrao da to što elektrodistribucijsko poduzeće nije otkrilo svoje evidencije o korisnikovim uplatama nacionalnim kreditno-informacijskim uredima podržava temelj za podizanje tužbe zbog lažnog prikazivanja. Vidjeti Brouillard protiv United Illuminating Co., 1999. Conn. Super. LEXIS 1754. U tom je slučaju tužitelju bio uskraćen kredit jer je tuženik prijavio uplate koje nije primio u roku od trideset dana od ispostavljanja računa kao „kašnjenje”. Tužitelj je izjavio da nije bio informiran o ovoj politici kad je otvorio račun za električne usluge kod tuženika. Sud je izričito smatrao da se „tužba zbog lažnog iskaza utemeljena zbog tuženikova propusta da se izjasni kada je imao obvezu to učiniti”. Ovaj slučaj također pokazuje da svjesnost krivog postupanja ili namjera prevare nisu nužni elementi za podizanje tužbe za lažni iskaz. Tako organizacija iz SAD-a koja nesavjesno ne otkrije u potpunosti kako će koristiti osobne podatke primljene u skladu s načelima zaštite privatnosti može biti odgovorna za lažno prikazivanje.

Ako kršenje načela zaštite privatnosti obuhvaća zlouporabu osobnih podataka, osoba čiji se podaci obrađuju može podnijeti prigovor za prekršaj kršenja privatnosti prema običajnom pravu. Američko pravo već dugo priznaje razloge za parnicu koji se odnose na kršenje privatnosti. U slučaju iz 1905. (3), vrhovni sud države Georgia je zaključio u slučaju građanina čiju je fotografiju osiguravajuće društvo koristilo bez njegovoga pristanka ili znanja u svom reklamnom oglasu, da je pravo na privatnost ukorijenjeno u načelima prirodnog prava i običajnog prava. Izlažući sada poznate teme u američkoj pravnoj teoriji o privatnosti, sud je odlučio da je uporaba fotografije bila „zlonamjerna”, „nepravedna” i da je željela „izvrgnuti tužitelja ruglu pred svijetom” (4). Temelji odluke u slučaju Pavesich su prevladale te uz manje promjene postale temelj američkog zakona u ovom području. Državni su sudovi, u skladu s time, prihvaćali razloge za podizanje tužbe u području kršenja privatnosti i barem 48 država sada sudski priznaje neke od takvih razloga za podizanje tužbe (5). Štoviše, barem 12 država ima ustavne odredbe koje jamče svojim građanima pravo na zaštitu privatnog života (6), koje se u nekim slučajevima mogu odnositi na zaštitu od ometanja od strane nevladinih organizacija. Vidjeti npr., Hill protiv NCAA, 865 P.2d 633 (Ca. 1994); vidjeti također S. Ginder, Izgubljen i nađen u kibernetičkom prostoru: Informacijska privatnost u doba Interneta, 34 S.D.L. Rev. 1153 (1997.) („Ustavi nekih država uključuju zaštitu privatnosti koja nadilazi zaštitu privatnosti u Ustavu SAD-a. Aljaska, Arizona, Kalifornija, Florida, Havaji, Illinois, Louisiana, Montana, Južna Karolina i Washington imaju širu zaštitu privatnosti”.)

Second Restatement of Torts daje mjerodavan pregled zakona iz ovog područja. Odražavajući običajnu sudsku praksu, Restatement objašnjava da „pravo na privatnost” obuhvaća četiri različita temelja za podizanje tužbe zbog delikta unutar tog okvir. Vidjeti Kodifikaciju, § 652A. Prvo, postoji temelj za podizanje tužbe za „ometanje intimne sfere” protiv tuženika koji namjerno, fizički ili na drugi način, ometa intimu ili izdvojenost druge osobe ili se miješa u njegove privatne poslove ili interese (7). Drugo, slučaj „prisvajanja” postoji kada netko prisvoji ime ili sliku drugoga za vlastitu uporabu ili korist (8). Treće, „objava privatnih činjenica” je kažnjiva kada bi objavljena stvar bila izrazito uvredljiva za razumnu osobu i nije od zakonitog interesa za javnost (9). I zadnje, tužba zbog „predstavljanja u krivom svjetlu” je prikladna kada tuženik svjesno ili bezobzirno predstavi drugoga javnosti u krivom svjetlu, što bi bilo vrlo uvredljivo za razumnu osobu (10).

U smislu načela zaštite privatnosti „ometanje intimne sfere” može obuhvaćati neovlašteno prikupljanje osobnih podataka budući da neovlašteno korištenje osobnih podataka u poslovne svrhe može dovesti do tužbe zbog prisvajanja. Slično bi i otkrivanje osobnih podataka koji su netočni predstavljalo delikt „prikazivanja u krivom svjetlu” pod uvjetom da su te informacije vrlo uvredljive za razumnu osobu. Konačno, kršenje privatnosti koje rezultira objavljivanjem ili otkrivanjem osjetljivih osobnih podataka može biti temelj za podizanje tužbe za „objavljivanje privatnih činjenica”. (Vidjeti primjere dolje navedenih slikovitih slučajeva).

U pogledu odštete, kršenje privatnosti daje oštećenoj strani pravo na naknadu štete za:

Restatementa, § 652H. S obzirom na opću primjenjivost deliktnog prava i mnogostruke razloge za podizanje tužbe koji pokrivaju različite aspekte prava na poštovanje privatnosti, novčana je odšteta vjerojatan nadomjestak onima čija se privatnost naruši kao posljedica nepridržavanja načela zaštite privatnosti.

Državni su sudovi zaista prepuni slučajeva navodnog ometanja privatnosti u sličnim situacijama. Ex Parte AmSouth Bancorporation et al., 717 So. 2d 357, na primjer, je jednostrano pokrenula zajedničku tužbu u kojoj je navela da je tuženik „iskoristio novac ulagatelja stavljen u banku, otkrivajući povjerljive podatke o bankovnim ulagateljima i njihovim računima” kako bi omogućio društvu kćeri banke da preproda otvorene investicijske fondove i druge vrijednosne papire. U takvim se slučajevima često dodjeljuju odštete. U Vassiliades protiv Garfinckel’s, Brooks Bros., 492 A.2d 580 (D.C.Apstr. 1985.), prizivni je sud preinačio presudu nižeg suda i odlučio da je uporaba fotografija tužitelja „prije” i „poslije” plastične operacije u prezentaciji u robnoj kući predstavljala kršenje privatnosti objavljivanjem privatnih činjenica. U slučaju Candebat protiv Flanagana, 487 So.2d 207 (Miss. 1986.) tuženo je osiguravajuće društvo iskoristilo nesreću u kojoj je tužiteljeva supruga bila ozbiljno ozlijeđena u reklamnoj kampanji. Tužitelj ga je tužio zbog kršenja privatnosti. Sud je presudio da tužitelj može nadoknaditi štetu duševne boli i prisvajanja identiteta. Parnice za lažno protupravno prisvajanje mogu se voditi čak i ako tužitelj nije poznat. Vidjeti npr., Staruski protiv Continental Telephone Co., 154 Vt. 568 (1990.) (tuženik je ostvario poslovnu korist koristeći zaposlenikovo ime i fotografiju u novinskom oglasu). U Pulla protiv Amoco Oil Co., 882 F.Supstr. 836 (S.D Iowa 1995.) poslodavac je ometao privatni život tužitelja kao svoga zaposlenika time što je naredio drugom zaposleniku da provjeri njegov ispis s kreditne kartice da bi provjerio njegovu odsutnost s posla zbog bolovanja. Sud je podržao presudu porote od 2 USD stvarne odštete i 500 000 USD kaznene odštete. Jedan drugi poslodavac je proglašen odgovornim za objavljivanje priče u internim novinama poduzeća o zaposleniku koji je dobio otkaz zbog navodnog krivotvorenja svoje radne knjižice. Vidjeti Zinda protiv Louisiana-Pacific Corp., 140 Wis.2d 277 (Wis.Apstr. 1987.). Priča je narušila tužiteljevu privatnost objavljivanjem privatne stvari jer su novine bile u optjecaju u Zajednici. I kao zadnji slučaj, fakultet koji je testirao studente na HIV nakon što im je rekao da je analiza krvi bila za rubeolu bio je odgovoran samo za ometanje privatnosti. Vidjeti Doe protiv High-Tech Institutea, Inc., 972 P.2d 1060 (Colo.Apstr. 1998.). (Za ostale prijavljene slučajeve vidjeti Kodifikaciju, § 652H, Dodatak.)

Sjedinjene Američke Države često se kritizira kao previše sklone parničenju, ali to također znači da pojedinci stvarno i mogu i koriste pravna sredstva kada vjeruju da im je učinjena nepravda. Mnogi aspekti pravosudnog sustava olakšavaju tužiteljima da ulažu tužbe, bilo pojedinačno ili grupno. Broj odvjetnika koji je relativno veći nego u većini drugih država čine pravno zastupanje lako dostupnim. Tužiteljev zastupnik koji zastupa pojedince u privatnim tužbama obično obračunava svoje troškove zastupanja prema postotku postignute odštete, omogućavajući čak i siromašnim tužiteljima da traže pravnu zaštitu. Ovo ukazuje na jedan bitan faktor - u Sjedinjenim Američkim Državama svaka strana obično snosi svoje odvjetničke troškove i ostale troškove. To je u suprotnosti s prevladavajućim pravilom u Europi gdje strana koji izgubi mora nadoknaditi troškove druge strane. Bez ulaženja u relativne prednosti ovih dvaju sustava, manja je vjerojatnost da bi pravilo SAD-a destimuliralo zakonite tužbe pojedinaca koji ne bi mogli platiti troškove obiju strana ako bi izgubili.

Pojedinci mogu tužiti za obeštećenje čak i ako su njihove tužbe relativno male vrijednosti. Većina, ako ne sva pravosudna tijela SAD-a, imaju sudove za sporove male vrijednosti koji obavljaju pojednostavljene i jeftinije postupke za sporove s vrijednošću ispod zakonske granice (11). Mogućnost kaznene odštete također nudi financijsku naknadu pojedincima koji su doživjeli manju izravnu štetu da podnesu tužbu za nedopustivo ponašanje. Konačno, pojedinci kojima je nanesena nepravda na isti način mogu udružiti svoja sredstva i svoje tužbe kako bi podnijeli zajedničku tužbu.

Dobar primjer mogućnosti pojedinaca da podnose tužbe da bi dobili naknadu je spor koji se vodi protiv Amazon.com-a zbog kršenja privatnosti. Amazon.com, veliko internetsko maloprodajno poduzeće, meta je zajedničke tužbe, u kojoj tužitelji tvrde da nisu bili informirani i da nisu pristali na prikupljanje vlastitih osobnih podataka dok su koristili softverski program pod nazivom „Alexa” u vlasništvu Amazona. U ovom su se slučaju tužitelji pozvali na kršenje Computer Fraud and Abuse Act zbog nezakonitog pristupa njihovim pohranjenim obavijestima i na (Electronic Communications Privacy Act zbog nezakonitog presretanja njihove elektroničke i telefonske komunikacije. Također navode kršenje privatnosti prema common law-u. Ovo proizlazi iz tužbe koju je podnio stručnjak za internetsku sigurnost u prosincu. Zatražena je odšteta od 1 000 USD za svakog člana skupine tužitelja, te plaćanje odvjetničkih troškova i dobit ostvarena kao rezultat kršenja zakona. S obzirom da broj članova skupine može dosezati i nekoliko milijuna, odštete mogu iznositi milijarde dolara. FTC također istražuje optužbe.

Savezno i državno zakonodavstvo o privatnosti često osigurava privatne razloge za podizanje tužbe za novčanu odštetu.

Osim što je temelj građanskopravne odgovornosti prema deliktom pravu, nepoštovanje načela zaštite privatnosti može također kršiti neki od stotinu saveznih i državnih zakona o privatnosti. Mnogi od ovih zakona, koji se odnose na postupanje i vlade i privatnog sektora prema osobnim podacima, omogućavaju pojedincima da tuže radi naknade štete kada dođe do kršenja. Na primjer:

Electronic Communications Privacy Act iz 1986. ECPA zabranjuje neovlašteno presretanje poziva mobitelom i prijenose podataka s računala na računalo. Kršenje može imati za posljedicu građanskopravnu odgovornost odštete koja ne iznosi manje od 100 USD za svaki dan kršenja. Zaštita prema ECPA-i također obuhvaća neovlašteni pristup ili otkrivanje pohranjenih elektroničkih poruka. Kršitelji su odgovorni za pretrpljene štete ili im se oduzima dobit ostvarena kršenjem.

Telecommunications Act iz 1996. Prema odjeljku 702. vlasnički mrežni podaci o korisniku (CPNI) ne mogu se koristiti u bilo koju drugu svrhu osim pružanja telekomunikacijskih usluga. Pretplatnici mogu uložiti pritužbu Federal Communications Commission-uili podnijeti tužbu pred Saveznim okružnim sudom radi naknade štete i troškovi zastupanja.

Consumer Credit Reporting Reform Act iz 1996. Zakon iz 1996. izmijenio je Fair Credit Reporting Act (FCRA) iz 1970. kako bi zahtijevao bolju obaviještenost i pravo pristupa subjektima kreditnog izvješća. Reform Act također je nametnuo nova ograničenja o prodavateljima podataka o kreditnoj sposobnosti potrošača. Potrošači mogu dobiti odštetu i sudske troškove zbog kršenja.

Državni zakoni također štite privatnost u većem broju situacija. Područja u kojima su države poduzele mjere uključuju bankovne ispise, pretplate za kabelsku televiziju, kreditne izvještaje, radne knjižice, vladine evidencije, genetske podatke i zdravstvene kartone, spise o osiguranju, školske evidencije, elektronske komunikacije i posudbe video filmova (12).

B.   Izričita zakonska ovlaštenja

Načela zaštite privatnosti sadrže iznimku ako zakon, propis ili sudska praksa dovode do „proturječnih obveza ili izričitih ovlaštenja, pod uvjetom da pri korištenju takvog ovlaštenja organizacija može pokazati da je njezino nepoštivanje načela ograničeno u mjeri potrebnoj da bi ispunila više zakonske interese koje podupire takvo ovlaštenje”. Jasno je da ako pravo SAD-a nameće proturječne obveze, organizacije iz SAD-a bez obzira na to jesu li u „sigurnoj luci” ili nisu, moraju poštovati zakon. Dok je namjera načela „sigurne luke” premostiti razlike između američkog i europskog režima zaštite privatnosti, u pogledu izričitih ovlaštenja dužni smo poštovati posebna zakonska prava naših izabranih zakonodavaca. Ograničeno odstupanje od strogog pridržavanja načela „sigurne luke” usmjereno je na postizanje ravnoteže da bi se zadovoljili zakonski interesi obiju strana.

Iznimka je ograničena na slučajeve kada postoji izričito ovlaštenje. Stoga kad se radi o graničnom slučaju, određeni zakon, propis ili sudska odluka mora odobriti određeno ponašanje organizacija potpisnica sigurnosnih načela (13). Drugim riječima, iznimka se ne primjenjuje ako zakon šuti o tome. Osim toga, iznimka se primjenjuje samo kad bi izričito ovlaštenje bilo proturječno s pridržavanjem načela „sigurne luke”. Čak i tada, iznimka „je ograničena u onoj mjeri koja je to potrebna da bi se ispunili viši zakonski interesi koje podupire takvo ovlaštenje”. Primjera radi, ako zakon posebno ovlašćuje trgovačko društvo da proslijedi osobne podatke vladinome tijelu, iznimka se ne primjenjuje. I obrnuto, ako zakon izričito ovlašćuje trgovačko društvo da proslijedi osobne podatke vladinoj agenciji bez pojedinčeva pristanka, to bi predstavljalo „izričito ovlaštenje” da postupi na način suprotan „sigurnoj luci”. Isto tako, određena odstupanja od pozitivnih zahtjeva za obavješćivanje i pristanak bila bi iznimka (budući da je to jednakovrijedno posebnom odobrenju da se podaci otkriju bez obavijesti i pristanka). Na primjer, zakon kojim se ovlašćuje liječnike da daju zdravstvene kartone svojih pacijenata na uvid zdravstvenim službama bez pacijentova prethodnog pristanka mogao bi odobriti izuzeće od načela obavijesti i mogućnosti izbora. Ovo ovlaštenje ne bi dozvoljavalo liječniku da iste zdravstvene kartone da na uvid organizacijama za očuvanje zdravlja ili komercijalnim farmaceutskim istraživačkim laboratorijima, jer bi to prelazilo namjere zakonskog odobrenja i stoga bilo izvan područja primjene iznimke (14). Ova konkretna zakonska ovlast može biti „samostalno” ovlaštenje da se postupi na određeni način s osobnim podacima, ali, kao što dolje navedeni primjeri pokazuju, veća je vjerojatnost da to bude iznimka od nekog šireg zakona koji zabranjuje prikupljanje, korištenje ili otkrivanje osobnih podataka.

Telecommunications Act iz 1996.

U većini su slučajeva ovlaštenja za korištenje u skladu sa zahtjevima Direktive i načelima, ili bi korištenje dopustila jedna od drugih dozvoljenih iznimaka. Na primjer, odjeljak 702. Telecommunications Act-a (kodificiranog pod 47 U.S.C. § 222) nameće dužnost telekomunikacijskim operaterima da čuvaju tajnost osobnih podataka do kojih dođu tijekom pružanja svojih usluga korisnicima. Ova odredba izričito dozvoljava telekomunikacijskim operaterima da:

Vidjeti 47 U.S.C. § 222(c)(1)-(3). Zakon također omogućava telekomunikacijskim operaterima da iznimno koriste korisničke podatke:

Ibid., § 222(d)(1)-(3). Konačno, od telekomunikacijskih operatera se traži da izdavačima telefonskih imenika daju podatke o pretplatnicima, koji mogu uključivati samo imena, adrese, telefonske brojeve i zanimanje poslovnih korisnika. Ibid., § 222(e).

Iznimka za „izričito ovlaštenje” mogla bi doći u obzir kada telekomunikacijski operateri koriste privatne mrežne podatke o korisniku za sprečavanje prijevare ili ostalih oblika nezakonitog ponašanja. Čak i ovdje bi se takve parnice mogle smatrati onima „od javnog interesa” i biti dozvoljene u skladu s načelima iz tog razloga.

Pravila koje je predložio Department of Health and Human Services

Department of Health and Human Servicespredložilo je pravila o standardima za privatnost zdravstvenih podataka koji omogućavaju identitificiranje osobe. Vidjeti 64 Fed.Reg. 59.918 (2. studeni 1999.) (koji će biti kodificiran pod 45 C.F.R. točke 160-164). Ta bi pravila uvela zahtjeve s obzirom na privatnost iz Health Insurance Portability iz 1996., Pub. L. 104-191. Predložena pravila općenito bi zabranjivala pokrivenim organizacijama (tj. zdravstveni programi, institucije za prikupljanje podataka o zdravstvenoj skrbi i pružatelji zdravstvenih usluga koji prenose zdravstvene podatke u elektroničkom obliku) da koriste ili otkrivaju zaštićene zdravstvene podatke bez pojedinčevog dopuštenja. Vidjeti predloženi 45 C.F.R. § 164.506. Predložena pravila bi zahtijevala otkrivanje zaštićenih podataka o zdravlju samo u dvije svrhe: 1. da dozvole pojedincima da pregledaju i kopiraju vlastite zdravstvene podatke, vidjeti ibid. § 164.514; i 2. da provedu pravila, vidjeti ibid. § 164.522.

Predložena bi pravila dozvolila korištenje ili otkrivanje zaštićenih zdravstvenih podatka bez izričitog ovlaštenja pojedinca u ograničenim okolnostima. To bi, na primjer, uključivalo nadzor nad sustavom zdravstvene zaštite, provedbu zakona i hitne slučajeve. Vidjeti ibid. § 164.510. Predložena pravila detaljno navode ograničenja pri takvom korištenju i otkrivanju. Štoviše, dopuštena korištenja i otkrivanja zaštićenih zdravstvenih podataka bila bi ograničena na najmanju potrebnu količinu podataka. Vidjeti ibid. at § 164.506.

Dozvoljeni oblici uporabe, koje izričito omogućavaju predloženi propisi, općenito su u skladu s načelima zaštite ili su dopušteni nekom drugom iznimkom. Na primjer, kazneni progon i sudski postupci su dopušteni, kao i medicinska istraživanja. Ostale upotrebe, kao što je nadzor nad zdravstvenim sustavom, djelovanje javnog zdravstva i vladini sustavi zdravstvenih podataka služe javnom interesu. Otkrivanje za izvršavanje plaćanja zdravstvene skrbi i premija potrebno je radi pružanja zdravstvene skrbi. Uporaba u hitnim slučajevima, radi savjetovanja s osobama u srodstvu oko liječenja, ako se pacijentov pristanak „ne može dobiti jer je to neizvedivo ili nerazumno”, ili radi utvrđivanja identiteta ili uzroka smrti preminuloga, štiti životne interese osoba čiji se podaci obrađuju i ostalih. Korištenje za upravljanje aktivnim vojnim jedinicama i ostalim posebnim skupinama pojedinaca pomaže pri pravilnom izvršenju vojne misije ili sličnih neizbježnih situacija. U svakom slučaju, takvo će se korištenje slabo ili nikako odnositi na potrošače općenito.

Tako ostaje samo korištenje osobnih podataka u zdravstvenim institucijama kako bi se napravili imenici pacijenata. Iako se takvo korištenje ne bi moglo podići na razinu „životnog” interesa, imenici su korisni kako pacijentima, tako i njihovim prijateljima i rodbini. Okvir i ove ovlaštene upotrebe je sam po sebi ograničavajući. Stoga, oslanjanje na iznimku od načela za korištenje koje je „izričito dozvoljeno” zakonom za ovu svrhu predstavlja minimalni rizik za privatnost pacijenata.

Fair Credit Reporting Act

Europska komisija je izrazila zabrinutost da bi iznimka uz „izričito ovlaštenje”„u stvarnosti predstavljala zaključak o primjerenosti” za Fair Credit Reporting Act(FCRA). To ne bi bio slučaj. U nedostatku određenog zaključka o primjerenosti za FCRA, one organizacije iz SAD-a koje bi se inače oslonile na takav zaključak, morale bi obećati da će se pridržavati načela zaštite privatnosti u svim aspektima. To znači da ako zahtjevi iz FCRA-a prelaze razinu zaštite utemeljenu u načelima, organizacije iz SAD-a trebaju poštovati samo FCRA. I obrnuto, ako bi FCRA bio nedovoljan, te bi organizacije trebale uskladiti svoje postupanje prema podacima s načelima. Iznimka ne bi promijenila ovu temeljnu ocjenu. Prema vlastitim odredbama, iznimka se primjenjuje samo ako određeni zakon izričito odobrava ponašanje koje bi bilo u suprotnosti načelima „sigurne luke”. Iznimka se ne bi proširivala na područje u kojem zahtjevi FCRA-a jednostavno ne zadovoljavaju načela „sigurne luke” (16).

Drugim riječima, nije nam namjera da izuzeće znači da je sve što se ne traži stoga „izričito dopušteno”. Nadalje, iznimka se primjenjuje samo kada je ono što je izričito dopušteno prema zakonu SAD-a proturječno zahtjevima načela „sigurne luke”. Dotični zakon mora ispunjavati oba ova elementa prije nego što nepoštivanje načela bude dopušteno.

Odjeljak 604. FCRA-a, na primjer, izričito ovlašćuje agencije za izvješćivanje o potrošačima da izdaju izvješća o potrošačima u različitim navedenim situacijama. Vidjeti FCRA, § 604. Ako time odjeljak 604. ovlašćuje kreditne registre da postupaju suprotno načelima „sigurne luke”, tada bi se kreditni registri trebali osloniti na iznimku (osim, naravno, ako se ne primjenjuju neke druge iznimke). Kreditni registri moraju poštovati sudske odluke i naloge velike porote, a korištenje kreditnog izvješća od strane vladinih tijela koja provode izdavanje dozvola, socijalnu skrb i alimentaciju služi javnoj svrsi. Ibid., § 604(a)(1.), (3.)(D), i (4.). Sukladno s tim, kreditni registar ne bi se morao za te svrhe oslanjati na iznimku uz „izričito dopuštenje”. Ako postupa u skladu s pismenim napucima potrošača, agencija za izvješćivanje o potrošačima u potpunosti bi poštivala načela zaštite privatnosti. Ibid., § 604(O)(2). Isto tako se kreditni izvještaji o potrošačima mogu nabaviti u svrhe zapošljavanja samo uz potrošačevo pisano dopuštenje. (ibid., §§ 604(a)(3)(B) i (b)(2)(a)(ii)), a za kreditno poslovanje ili osiguranje koje nije pokrenuo potrošač, samo ako se potrošač nije ogradio od takve prodaje (ibid., § 604(c)(1)(B)). FCRA također zabranjuje kreditnim registrima da daju zdravstvene podatke u svrhe zapošljavanja bez pristanka potrošača. Ibid., § 604(g). Takvi oblici uporabe su u skladu s načelima obavijesti i mogućnosti izbora. Ostale namjene dozvoljene u odjeljku 604. obuhvaćaju transakcije koje uključuju potrošača i iz tog bi razloga bile dopuštene prema načelima. Vidjeti ibid., § 604(a)(3)(A) i (F).

Drugo korištenje „dopušteno” u odjeljku 604. odnosi se na sekundarna kreditna tržišta. Ibid., § 604(a)(3)(E). Nema proturječja između korištenja izvješća o potrošačima za ovu svrhu i načela zaštite privatnosti samih po sebi. Istina je da FCRA ne zahtijeva od kreditnih registara, na primjer, da pošalju obavijest i ishode pristanak od potrošača kada objavljuju izvješća s ovom svrhom. Međutim, ponavljamo činjenicu da nepostojanje zahtjeva ne podrazumijeva „izričito dopuštenje” postupanja na drugačiji način nego što je predviđeno. Na sličan način odjeljak 608. dozvoljava kreditnim registrima da daju neke osobne podatke vladinim agencijama. Ovo „dopuštenje” ne bi opravdalo kreditni registar što zanemaruje svoje obveze poštivanja načela „sigurne luke”. Ovo se razlikuje od naših ostalih primjera u kojima izuzeće od zahtjeva za obavješćivanje i mogućnošću odabira ima učinak izričitog dopuštenja da se osobni podaci koriste bez obavijesti i mogućnosti izbora.

Zaključak

Čak i iz našeg ograničenog pregleda ovih zakona očito proizlazi sljedeće:

Zaključak je da će iznimka uz „izričito dopuštenje” zakonom, po svojoj prirodi, vjerojatno imati prilično ograničeno područje primjene.

C.   Spajanja i preuzimanja

Radna skupina iz članka 29. je izrazila zabrinutost u vezi sa situacijama kada organizaciju koja je potpisnica načela „sigurne luke” preuzima ili pripaja poduzeće koje se nije obvezalo primjenjivati načela „sigurne luke”. Čini se, međutim, da je radna skupina pretpostavila da preživjelo poduzeće ne bi moralo primjenjivati načela „sigurne luke”na osobne podatke koje čuva preuzeto poduzeće, ali to nije nužno slučaj prema pravu SAD-a. Opće pravilo u Sjedinjenim Američkim Državama o spajanjima i preuzimanjima kaže da trgovačko društvo koje stječe glavne dionice drugog poduzeća općenito preuzima obveze i odgovornosti stečene tvrtke. Vidjeti 15 Fletcher Cyclopedia of the Law of Private Corporations § 7117 (1990.); vidjeti također Model Bus. Corp. Act § 11.06(3) (1979.) („preživjelo trgovačko društvo ima sve odgovornosti svakog pripojenog društva”). Drugim riječima, tvrtka koja nastane spajanjem ili preuzimanjem organizacije potpisnice načela „sigurne luke” prema ovoj bi metodi bila obvezana obvezama ove potonje.

Štoviše, čak i ako je spajanje ili preuzimanje izvršeno stjecanjem imovine, odgovornosti kupljenog poduzeća mogu svejedno obvezivati tvrtku stjecatelja u određenim okolnostima. 15 Fletcher, § 7122. Čak i kad odgovornosti ne bi nadživjele spajanje, važno je napomenuti da ne bi preživjele spajanje čak ni ako su podaci prenijeti iz Europe u skladu s ugovorom – jedinom održivom alternativom zaštiti privatnosti za prijenose podataka u Sjedinjene Američke Države. Osim toga, dokumenti o „sigurnoj luci” koji su pregledani sada zahtijevaju od svake organizacije potpisnice načela da obavijesti Department of Commerce o preuzimanju i dozvoljavaju nastavak prenošenja podataka u nasljednu organizaciju samo ako nasljedna organizacija pristupi načelima „sigurne luke”. Vidjeti često postavljeno pitanje 6. Sjedinjene Američke Države su sada preinačile okvir „sigurne luke” tako da zahtijevaju od organizacija iz SAD-a da u ovakvoj situaciji obrišu podatke koje su primile u sklopu okvira „sigurne luke”, ako se njihove obveze zaštite neće nastaviti ili ako nisu uvedene druge odgovarajuće zaštite.

(1)  Restatement of the Law, Second, Torts/Druga kodifikacija, građanski delikti; Američki pravni institut (1997).

(2)  Ovo bi mogao biti slučaj, na primjer, ako su se pojedinci oslonili na opredjeljenje organizacije iz SAD-a za načela zaštite podataka kada su dali svoj pristanak nadzorniku podataka da prenese njihove osobne podatke u Sjedinjene Američke Države.

(3)  Pavesich protiv New England Life Ins. Co., 50 S.E. 68 (Ga. 1905).

(4)  Ibid., 69.

(5)  Elektroničkim pretraživanjem Westlaw baze podataka pronađeno je 2 703 prijavljenih slučajeva građanskih postupaka pred državnim sudovima koji se odnose na „privatnost” od 1995. Prethodno smo poslali rezultate ovog pretraživanja Komisiji.

(6)  Vidjeti npr. Alaska Constitution, Art. 1 Sec. 22; Arizona, Art. 2, Sec. 8; California, Art. 1, Sec. 1; Florida, Art. 1, Sec. 23; Hawaii, Art. 1, Sec. 5; Illinois, Art. 1, Sec. 6; Louisiana, Art. 1, Sec. 5; Montana, Art. 2, Sec. 10; New York, Art. 1, Sec. 12; Pennsylvania, Art. 1, Sec.1; South Carolina, Art. 1, Sec. 10; and Washington, Art. 1 Sec. 7.

(7)  Ibid., u poglavlju 28, odjeljku 62B.

(8)  Ibid., u poglavlju 28, odjeljku 652C.

(9)  Ibid., u poglavlju 28, odjeljku 652D.

(10)  Ibid., u poglavlju 28, odjeljku 652E.

(11)  Ranije smo poslali Komisiji informacije o sporovima male vrijednosti.

(12)  Nedavno elektroničko pretraživanje baze podataka Westlaw otkrilo je 994 prijavljena slučaja država koji su se odnosili na odštete i kršenje privatnosti.

(13)  Samo radi objašnjenja, određeno zakonsko tijelo ne mora se izričito pozivati se na načela „sigurne luke”.

(14)  Slično tome, liječnik se u ovom primjeru ne bi mogao osloniti na to da zakonska ovlast ima prednost pred pojedinčevim korištenjem mogućnosti odustajanja od izravnog marketinga koju nudi često postavljano pitanje 12. Okvir svake iznimke s „izričitim dopuštenjem” nužno je ograničeno na područje primjene ovlaštenja sukladno s određenim zakonom.

(15)  Područje primjene ove iznimke je vrlo ograničeno. Sukladno s vlastitim uvjetima, telekomunikacijski operater može koristiti privatne mrežne podatke o korisniku samo tijekom poziva koji je uputio korisnik. Nadalje, FCC nas je upozorio da telekomunikacijski operater ne može koristiti privatne mrežne podatke o korisniku za distribuciju usluga izvan okvira korisnikova upita. Konačno, budući da korisnik mora odobriti uporabu privatnih mrežnih podataka o korisniku u ovu svrhu, ova odredba zapravo uopće nije „iznimka”.

(16)  Ovo naše razmatranje ne treba shvatiti kao potvrdu da FCRA ne pruža primjerenu zaštitu. Svaka procjena FCRA-e mora razmotriti zaštitu koju pruža zakon u cijelosti, a ne se samo usredotočiti na iznimke kao što to mi ovdje činimo.

PRILOG V.

14. srpnja 2000.

Poštovani gospodine Mogg,

Svjestan sam da su iskrsnula mnogobrojna pitanja vezana za moje pismo koje sam Vam uputio 29. ožujka 2000. Da pobliže objasnim naše ovlasti u onim područjima za koja su vezana postavljena pitanja, šaljem Vam ovo pismo koje se, zbog budućeg lakšeg snalaženja, nastavlja na prethodno i daje kratki pregled teksta prethodnog pisma.

Za vrijeme Vaših posjeta našim uredima i u Vašim dopisima postavili ste nekoliko pitanja o ovlastima Federal Trade Commission SAD-a (FTC) u području privatnosti pri korištenju Interneta. Smatram da bi bilo korisno dati sažet prikaz mojih prethodnih odgovora vezanih za aktivnosti FTC-a u ovom području, kao i dodatne informacije o nadležnosti agencije u području pitanja vezanih za zaštitu privatnosti potrošača koja postavljate u Vašem zadnjem pismu. Vi konkretno pitate: 1. je li FTC nadležan za prijenos podataka vezanih uz radni odnos ako je izvršen uz kršenje načela zaštite; 2. je li FTC nadležan za neprofitne programe s „pečatom” kao jamstvom zaštite privatnosti; 3. da li se Zakon o FTC-u jednako primjenjuje na svijet izvan i unutar Interneta; i 4. što se događa kada se nadležnost FTC-a preklapa s nadležnošću drugih tijela izvršavanja.

Primjena FTC Act-a na zaštitu privatnosti

Kao što znate, u proteklih pet godina, FTC je preuzeo vodeću ulogu u podupiranju nastojanja industrije SAD-a i potrošačkih skupina da razviju cjelovit odgovor na pitanja vezana za zaštitu potrošača, uključujući i prikupljanje i korištenje osobnih podataka na internetu. Javnim radionicama i stalnim savjetovanjima s predstavnicima industrije, potrošača i našim kolegama iz Departement of Commerce-a i iz cijele Vlade SAD-a, uspjeli smo utvrditi ključna pitanja politike i izraditi odgovarajuća rješenja.

Zakonska ovlast koju ima Federal Trade Commission u ovom području nalazi se u odjeljku 5. Federal Trade Commission Act („FTC Act”) koji zabranjuje „nepoštene i prijevarne radnje i postupke” u trgovini ili koje utječu na trgovinu (1). Prijevarni postupak je definiran kao predstavljanje, propust ili postupak koji će vjerojatno znatno dovesti u zabludu razborite potrošače. Postupak je nepošten ako uzrokuje ili će vjerojatno uzrokovati značajnu štetu potrošačima, a koja se ne može izbjeći razboritošću i koju ne nadvladava protuteža koristi za potrošača ili konkurenciju (2).

Određeni postupci prikupljanja informacija lako mogu kršiti FTC Act. Npr. u slučaju da internetska stranica lažno tvrdi da poštuje navedenu politiku zaštite privatnosti ili skup samoregulirajućih smjernica, odjeljak 5. FTC Act-a pruža pravnu osnovu za smatranje takvog lažnog predstavljanja prijevarnim postupkom. Zaista smo uspješno provodili zakon kako bismo uspostavili ovo načelo (3). Osim toga, Komisija je zauzela stav da može imenovati posebno loše postupke prema privatnosti kao nepoštene sukladno odjeljku 5. ako takvi postupci uključuju djecu ili korištenje vrlo osjetljivih podataka, kao što su financijski podaci (4) i zdravstveni kartoni. Federal Trade Commission provodila je i nastavit će provoditi takve aktivnosti provedbe zakona putem aktivnog nadgledanja i istraživanja, te rješavanjem primjedaba koje dobijemo od samoregulirajućih organizacija i drugih, uključujući i države članice Europske unije.

FTC-ova podrška samoregulaciji

FTC već dugo podržava napore industrije u razvijanju učinkovitih samoregulirajućih programa koji bi osigurali zaštitu privatnosti potrošača na Internetu. Međutim, da ti napori uspiju, članovi industrije moraju sudjelovati u njima u velikom broju. Istodobno samoregulacija mora biti podržana provedbom zakona. Zbog tih će razloga FTC dati prednost primjedbama o nepridržavanju smjernica samoregulacije primljenima od organizacija kao što su BBOnline i TRUSTe. Ovaj će pristup biti u skladu s našom dugogodišnjom suradnjom s National Advertising Review Board (NARB) u okviru Better Business Bureau, koji upućuje žalbe na reklame FTC-u. National Advertising Division (NAD) pri NARB-u rješava žalbe vezane za nacionalno oglašavanje putem pravosudnog postupka. Kad stranka odbije pridržavati se odluke NAD-a, predmet se upućuje FTC-u. Zaposlenici FTC-a pregledavaju sporno oglašavanje po načelu prioriteta da utvrde krši li se Zakon o FTC-u i često uspijevaju zaustaviti sporno ponašanje ili uvjeriti stranke da nastave sudjelovati u postupku NARB-a.

Slično, FTC će dati prednost obavijestima o nepridržavanju načela „sigurne luke” od država članica EU-a. Kao i u slučaju obavijesti od samoregulirajućih organizacija iz SAD-a, naši će zaposlenici uzeti u obzir sve informacije koje dokazuju krši li postupak na koji je uložena žalba odjeljak 5. Zakona o FTC-u. Ova obaveza može se pronaći i u načelima zaštite pod često postavljanim pitanjem (često postavljana pitanja 11) o provedbi.

GeoCities: FTC-ov prvi slučaj zaštite privatnosti na Internetu

Prvi slučaj zaštite privatnosti na Internetu s kojim se susrela Federal Trade Commission, GeoCities, temeljio se na ovlastima Komisije prema odjeljku 5 (5). U tom je slučaju FTC tvrdio da je GeoCities pogrešno prikazivao odraslima i djeci kako će se koristiti njihovi osobni podaci. FTC-ov je prigovor tvrdio da je GeoCities pogrešno naveo da će određene osobne identifikacijske podatke koje je prikupio na svojoj internetskoj stranici koristiti isključivo u interne svrhe ili da potrošačima dostavi određene reklamne ponude i proizvode ili usluge koje su tražili, te da se određeni dodatni „neobavezni” podaci neće nikome prenijeti bez potrošačeve dozvole. Zapravo su ovi podaci otkriveni trećim osobama koje su ih koristile za pridobivanje članova za ono na što član nije pristao. Prigovor je dakle teretio GeoCities za sudjelovanje u prijevarnim radnjama vezanim uz prikupljanje podataka od djece. Sukladno FEC-ovom prigovoru, GeoCities je naveo da sam upravlja segmentom svoje internetske stranice za djecu i da podatke koje se tamo prikuplja vodi isključivo GeoCities. Zapravo su ta područja na internetskoj stranici vodile treće strane koje su prikupljale i čuvale podatke.

Nagodba zabranjuje društvu GeoCities pogrešno prikazivanje svrhe za koju prikuplja ili koristi osobne identifikacijske podatke potrošača ili o potrošačima, uključujući i djecu. Odluka zahtjeva od GeoCitiesa da javno objavi na svojoj internetskoj stranici jasnu i istaknutu „obavijest o zaštiti privatnosti” u kojoj se potrošačima navodi koji se podaci prikupljaju i u koju svrhu, kome će se otkriti i kako potrošači mogu imati pristup podacima i ukloniti ih. Da se osigura roditeljski nadzor, prema nagodbi GeoCities također mora dobiti dopuštenje roditelja prije prikupljanja osobnih identifikacijskih podataka od djece do 12 godina starosti. Prema odluci GeoCities mora obavijestiti svoje članove i pružiti im priliku da obrišu svoje podatke iz baza podataka GeoCitiesa i svih trećih osoba. Nagodba posebno zahtijeva da GeoCities obavijesti roditelje djece do 12 godina starosti da izbrišu svoje podatke, osim ako roditelj da pristanak da se oni zadrže i koriste. Konačno, GeoCities također mora kontaktirati i treće osobe kojima je prethodno otkrio podatke i zahtijevati da i one isto tako izbrišu te podatke (6).

ReverseAuction.com

Nedavno je ova agencija pokrenula postupak kojim se upućuje prigovor povodom navodnog kršenja zaštite privatnosti od strane nekog drugog internetskog društva. U siječnju 2000. Komisija je odobrila tužbu protiv, i Ugovor o suglasnosti sa, ReverseAuction.com, internetskom stranicom za aukcije koja je navodno dobila osobne identifikacijske podatke potrošača s konkurentne stranice (eBay.com) i tada je slao prijevarne, samoinicijativne poruke elektroničkom poštom onim potrošačima koji su pretraživali njihovu poslovnu djelatnost (7). Naša tužba je tvrdila da je društvo ReverseAuction prekršilo odjeljak 5. Zakona o FTC-u prikupljanjem osobnih identifikacijskih podataka koji su uključivali internetske adrese i osobne korisničke identifikacijske nazive („korisničke lozinke”) korisnika eBay-a i slanjem prijevarnih elektroničkih poruka.

Kao što je opisano u tužbi, ReverseAuction se prije prikupljanja podataka registrirao kao korisnik eBaya i prihvatio da će se pridržavati eBay-evog ugovora o korištenju i politike zaštite privatnosti. Ugovor i politika štite privatnost klijenata tako što sprečavaju korisnike eBay-a u prikupljanju i korištenju osobnih identifikacijskih podataka u neslužbene svrhe, kao što je slanje samoinicijativnih komercijalnih elektroničkih poruka. Stoga je naša tužba prvo tvrdila da je društvo ReverseAuction lažno navela da će se pridržavati eBay-evog ugovora o korištenju i politike zaštite privatnosti, što čini prijevarni postupak sukladno odjeljku 5. Kao alternativa, u tužbi se tvrdi da je ReverseAuction koristio podatke u svrhu slanja samoinicijativnih komercijalnih elektroničkih poruka, pri čemu se krši ugovor o korištenju i politika zaštite privatnosti, što je predstavljalo nepoštenu trgovačku praksu sukladno odjeljku 5.

Kao drugo, tužba je tvrdila da su elektroničke poruke namijenjene potrošačima sadržavale prijevaran naziv poruke kojim se potrošače informiralo da će im korisničke lozinke „uskoro isteći”. Konačno, u tužbi je navedeno da su elektroničke poruke lažno predstavljale da je eBay izravno ili neizravno pružao društvu ReverseAuction podatke o osobnim identifikacijskim podacima potrošača ili na neki drugi način sudjelovao u širenju samoinicijativnih elektroničkih poruka.

Nagodba koju je FTC izborio zabranjuje društvu ReverseAuction da čini ovakve prekršaje u budućnosti. Ona također zahtijeva od društva ReverseAuction da obavijesti potrošače koji su se registrirali ili će se registrirati kod društva ReverseAuction zbog primitka elektroničke poruke od društva ReverseAuction. Obaviješću se obavješćuje te potrošače da njihove korisničke lozinke na eBayu ne istječu i da eBay nije znao niti ovlastio ReverseAuction za slanje samoinicijativnih elektroničkih poruka. Obavijest također pruža tim potrošačima mogućnost da otkažu registraciju kod društva ReverseAuction i da im se osobni identifikacijski podaci izbrišu iz njihove baze podataka. Osim toga, odluka zahtijeva od društva ReverseAuction da izbriše i da ne koristi ili otkriva osobne identifikacijske podatke članova eBay-a koji su primili elektroničku poštu ReverseAuctiona, ali koji se nisu registrirali kod njih. Konačno, sukladno s prethodnim odlukama o zaštiti privatnosti koje je ostvarila ova agencija, nagodba zahtijeva od društva ReverseAuction da objavi svoju politiku čuvanja privatnosti na svojoj internetskoj stranici, te sadrži opsežne odredbe o vođenju evidencije koje omogućuju FTC-u praćenje njezinog pridržavanja.

Slučaj društva ReverseAuction pokazuje da se FTC posvetio korištenju provedbe zakona u svrhu podupiranja napora industrije za samoregulacijom u području zaštite privatnosti korisnika Interneta. Zaista, ovaj slučaj je izravno osporio ponašanje koje potkopava politiku čuvanja privatnosti i ugovor o korištenju koji štiti privatnost potrošača i koji je mogao potkopati povjerenje potrošača u mjere zaštite privatnosti koje su poduzela online trgovačka društva. Budući da je ovaj slučaj uključivao pronevjeru podataka o potrošačima koji su bili zaštićeni politikom zaštite privatnosti jednog društva od strane drugog društva, on bi također mogao biti od posebnog značaja za rješavanje zabrinutosti zbog zaštite privatnosti uzrokovane prijenosom podataka između trgovačkih društava u raznim zemljama.

Neovisno o akcijama provedbe Zakona o FTC-u u društvima GeoCities, Liberty Financial Cos. i ReverseAuction, ovlasti agencije u nekim područjima online privatnosti su nešto više ograničene. Kao što je gore navedeno, kako bi prikupljanje i korištenje osobnih podataka bez pristanka potpadalo pod Zakon o FTC-u, ono mora uključivati prijevarne ili nepoštene trgovačke postupke. Stoga se Zakon o FTC-u vjerojatno ne može primijeniti na postupke internetske stranice koja je prikupljala osobne identifikacijske podatke od potrošača, ali nije lažno prikazivala svrhu za koju su ti podaci bili prikupljani i korišteni ili koja je otkrivala podatke na način koji će vjerojatno uzrokovati značajnu štetu potrošačima. Isto tako ne mora biti u okviru FTC-ove ovlasti da općenito zahtijeva da se tijela koja prikupljaju podatke na Internetu moraju pridržavati politike zaštite privatnosti ili bilo koje određene politike zaštite privatnosti (8). Međutim, kao što je gore navedeno, ako se trgovačko društvo ne pridržava navedene politike zaštite privatnosti to vjerojatno predstavlja prijevarni postupak.

Nadalje, nadležnost FTC-a u ovom području obuhvaća nepoštene ili prijevarne postupke samo ako su oni „unutar trgovačke djelatnosti ili na nju utječu”. Prikupljanje podataka od strane komercijalnih tijela koja promoviraju proizvode ili usluge, uključujući prikupljanje i korištenje podataka u komercijalne svrhe, vjerojatno će zadovoljiti preduvjet „trgovačke djelatnosti”. S druge strane, mnogi pojedinci ili tijela mogu prikupljati podatke na Internetu u nekomercijalne svrhe i stoga mogu biti izvan nadležnosti Savezne trgovinske komisije. Primjer takvog ograničenja uključuje „chat rooms” ako njima upravljaju nekomercijalna tijela, npr. dobrotvorne organizacije.

Konačno, postoji nekoliko potpunih ili djelomičnih izuzetaka od FTC-ove osnovne nadležnosti nad trgovačkim postupcima koji ograničavaju FTC-ovu sposobnost pružanja cjelovitog odgovora na probleme privatnosti na Internetu. Oni uključuju izuzetke za mnoge poslovne aktivnosti potrošača u kojima se izmjenjuju brojne informacije kao što su bankovno poslovanje, poslovanje s osiguravajućim društvima i zrakoplovnim kompanijama. Kao što znate, ostale bi federalne ili državne agencije imale nadležnost nad tim tijelima, kao što su savezne bankovne agencije ili Department of Transportation.

U slučajevima u kojima je FTC nadležan, FTC prihvaća i ako mu to sredstva dozvoljavaju odgovara na pritužbe potrošača koje prima poštanskim ili telefonskim putem u Consumer Response Center („CRC”) te odnedavno na svojoj internetskoj stranici (9). CRC prihvaća pritužbe od svih potrošača, uključujući i onih koji imaju prebivalište u državama članicama Europske unije. FTC Act pruža Federal Trade Commission nepristranu moć dobivanja pravne zaštite protiv budućih kršenja Zakona o FTC-u kao i naknadu za potrošače koji su oštećeni. Mi bismo, međutim, provjerili je li trgovačko društvo pokazalo obrazac nepoštenog ponašanja, jer ne rješavamo pojedinačne sporove potrošača. U prošlosti je Federal Trade Commission pružala naknadu građanima iz SAD-a i iz ostalih zemalja (10). FTC će nastaviti nametati svoj autoritet u odgovarajućim slučajevima da bi osigurala naknadu građanima drugih zemalja koji su oštećeni prijevarnim postupcima koji potpadaju pod njezinu nadležnost.

Podaci o radnom odnosu

U Vašem najnovijem pismu tražili ste dodatno objašnjenje vezano uz nadležnost FCT-a u području podataka o radnom odnosu. Prvo ste postavili pitanje bi li FTC mogao poduzeti mjeru prema odjeljku 5. protiv društva koje tvrdi da se pridržava načela zaštite privatnosti SAD-a, ali prenosi ili koristi podatke vezane za radni odnos na način koji krši ova načela. Jamčimo Vam da smo pažljivo pregledali zakonodavstvo koje ovlašćuje FTC, za to vezane dokumente i relevantnu sudsku praksu, te smo zaključili da FTC ima jednaku nadležnost za podatke vezane za radni odnos kao što bi općenito imao sukladno s odjeljkom 5. Zakona o FTC-u (11). To znači, ako bi slučaj zadovoljavao naše sadašnje kriterije (nepoštenje ili prijevaru) za postupak provedbe mjere vezane za zaštitu privatnosti, mogli bismo pokrenuti postupak u situaciji kada su podaci vezani za radni odnos.

Također želimo raspršiti sumnje u to da je sposobnost FTC-a da poduzme mjere za provedbu zaštite privatnosti ograničena isključivo na situacije kada društvo prevari potrošače kao pojedince. Zapravo, kao što to jasno predočava najnoviji postupak Komisije vezan za ReverseAuction (12), FTC će poduzeti mjere za provedbu zaštite privatnosti u situacijama koje uključuju prijenos podataka između društava, tamo gdje je jedno društvo navodno postupilo nezakonito prema drugom društvu, što vodi do moguće štete potrošačima i društvima. Očekujemo da će se u toj situaciji najvjerojatnije postaviti pitanje radnog odnosa, jer se podaci o radnom odnosu Europljana prenose iz europskih društava u američka društva koja su se obavezala da će se pridržavati načela „sigurne luke”.

Međutim, želimo naglasiti jednu okolnost u kojoj bi FTC-ova mjera bila ograničena. To bi se dogodilo u situacijama u kojima se spor već počeo rješavati pri Nacionalnom odboru za radne odnose u tradicionalnom kontekstu rješavanja radnopravnog spora, najvjerojatnije vezano za arbitražu u slučaju pritužbi, ili pritužbu na nepravedno postupanje na radnom mjestu.

Ovo bi se moglo dogoditi ako se npr. neki poslodavac obvezao u kolektivnom pregovaračkom ugovoru vezanom za korištenje osobnih podataka, a zaposlenik ili sindikat tvrdi da je poslodavac prekršio taj ugovor. Komisija bi vjerojatno prihvatila mišljenje tog tijela (13).

Nadležnost nad programima s „pečatom”

Ukratko, određivanje treba li nametnuti nadležnost nad određenim „neprofitnim” tijelom provodeći program s „pečatom” zahtijeva činjenični pregled opsega u kojem je to tijelo osiguravalo ekonomsku korist svojim „profitnim” članovima. Ako bi takvo tijelo upravljalo svojim pečatnim programom tako da bi osiguralo ekonomsku korist svojim članovima, FTC bi vjerojatno nametnuo svoju nadležnosti. Osim toga, FTC bi vjerojatno imala nadležnost nad prijevarnim programom s „pečatom” koji lažno prikazuje svoj status kao neprofitno tijelo.

Privatnost u svijetu izvan interneta

Treće, primjećujete da je naša prethodna korespondencija bila usmjerena na privatnost u svijetu interneta. Dok je online privatnost glavna briga FTC-a kao kritična komponenta za razvoj elektroničkog trgovanja, Zakon o FTC-u datira iz 1914. godine i jednako se primjenjuje i na svijet van Interneta. Stoga možemo goniti trgovačka društva koja se ne bave internetskim poslovanjem, a koja se upuštaju u nepoštene ili prijevarne trgovinske postupke obzirom na privatnost potrošača (14). Zapravo u slučaju kojeg je Komisija pokrenula prošle godine, FTC protiv TouchTone Information, Inc. (15)„informacijski burzovni mešetar” je optužen da je ilegalno primao i prodavao privatne financijske podatke potrošača. Komisija je tvrdila da je TouchTone primio podatke o potrošačima „pod izlikom”. Ovaj su izraz skovali privatni istražitelji da opišu praksu dobivanja osobnih podataka o drugima pod lažnim navodima, obično telefonom. Slučaj, koji je arhiviran 21. travnja 1999. na Saveznom sudu u Koloradu, traži sudsku zabranu i svu nezakonito stečenu dobit.

Preklapanje sudske nadležnosti

Konačno postavljate pitanje međudjelovanja FTC-ove nadležnosti i nadležnosti ostalih agencija za provedbu zakona, posebno u slučajevima kad postoji preklapanje nadležnosti.

Razvili smo blisku suradnju s mnogobrojnim drugim agencijama za provedbu zakona, uključujući savezne bankovne agencije i državne tužitelje. Vrlo često usklađujemo istraživanja da bismo što bolje iskoristili svoja sredstva u slučajevima preklapanja nadležnosti. Također često upućujemo predmete odgovarajućoj saveznoj ili državnoj agenciji na istraživanje.

Nadam se da će Vam ovaj pregled biti od pomoći. Molim Vas da me obavijestite ako su Vam potrebne neke dodatne informacije.

S poštovanjem,

Robert Pitofsky

(1)  15 U.S.C. § 45. Fair Credit Reporting Act također bi se primjenjivao na prikupljanje i prodaju podataka na Internetu koji zadovoljavaju zakonsku definiciju „izvješća o potrošačima” i „kreditnih registara”.

(2)  15 U.S.C. § 45 (n).

(3)  Vidjeti: GeoCities, Docket No. C-3849 (Konačno rješenje 12. veljače 1999.) (nalazi se na stranici www.ftc.gov/os/1999/9902/9823015d%26o.htm); Liberty Financial Cos., Docket No. C-3891 (Konačno rješenje 12. kolovoza 1999.) (nalazi se na stranici www.ftc.gov/opa/1999/9905/younginvestor.htm). Vidjeti također: Children's Online Privacy Protection Act Rule (COPPA), 16 C.F.R. Dio 312 (nalazi se na stranici www.ftc.gov/opa/1999/9910/childfinal.htm). Pravilo COPPA-e koje je stupilo na snagu prošlog mjeseca zahtjeva od operatera internetskih stranica namijenjenih djeci ispod 13 godina ili koji svjesno prikupljaju osobne podatke od djece mlađe od 13 godina da primjenjuju standarde poštenih postupaka informiranja proglašene u Pravilu.

(4)  Vidjeti FTC v. Touch Tone, Inc., Građanska parnica broj 99-WM-783 (D.Co.) (uložena 21. travnja 1999.) na stranici www.ftc.gov/opa/1999/9904/touchtone.htm. Pismo mišljenja osoblja od 17. srpnja 1997. izdano kao odgovor na peticiju koju je uložio Center for Media Education, na stranici: www.ftc.gov/os/1997/9707/cenmed.htm.

(5)  GeoCities, Docket No. C-3849 (Konačno rješenje 12. veljače 1999.) (nalazi se na stranici www.ftc.gov/os/1999/9902/9823015d%26o.htm).

(6)  Komisija je naknadno riješila drugi predmet koji je uključivao prikupljanje osobnih podataka od djece na Internetu. Društvo Liberty Financial Companies, Inc. upravljalo je web stranicom „Young Investor” namijenjenoj djeci i tinejdžerima, a bavila se tematikom vezanom za novac i ulaganje. Komisija je tvrdila da je internetska stranica lažno navela da se osobni podaci prikupljeni od djece putem ankete čuvaju anonimno i da će se sudionicima poslati e-mail glasnik, kao i nagrade. Zapravo su osobni podaci o djetetu i financijama njegove obitelji bili čuvani na način koji se može utvrditi, a e-mail glasnik i nagrade nisu poslane. Ugovor o suglasnosti zabranjuje takva lažna prikazivanja u budućnosti i zahtijeva od Liberty Financiala da objavi obavijest o zaštiti privatnosti na internetskim stranicama za djecu i da mora dobiti dopuštenje roditelja koje se može provjeriti prije prikupljanja osobnih identifikacijskih podataka od djece. Liberty Financial Cos., Docket No. C-3891 (Konačno rješenje 12. kolovoza 1999.) (nalazi se na stranici www.ftc.gov/opa/1999/9905/younginvestor.htm).

(7)  Vidjeti ReverseAuction.com, Inc., Tužba br. 000032 (D.D.C.) (uložena 6. siječnja 2000.) (priopćenje za tisak i odgovor na tužbu nalaze se na www.ftc.gov/opa/2000/01/reverse4.htm).

(8)  To je razlog zašto je Federal Trade Commission u svom obraćanju Kongresu navela da je vjerojatno potrebno dodatno zakonodavstvo koje bi naložilo da se sve komercijalne internetske stranice u SAD-u koje su usmjerene prema potrošačima pridržavaju navedenih poštenih postupaka vezanih uz prikupljanje podataka. „Consumer Privacy on the World Wide Web”. Pred Subcommittee on Telecommunications, Trade and Consumer Protection, House Committee on Commerce United States House of Representatives, 21. srpnja 1998. (obraćanje se može naći na www.ftc.gov/os/9807/privac98.htm) FTC je odgodio poziv na donošenje takvog zakonodavstva kako bi dao priliku samoregulacijskim naporima da pokažu široku prihvaćenost pravednih postupaka prikupljanja podataka na web stranicama. U FTC-ovom izvješću „Privacy Online: A Report to Congress”, lipanj 1998. (izvješće se može naći na www.ftc.gov/reports/privacy3/toc.htm), FTC je preporučio da zakonodavstvo zahtijeva da komercijalne internetske stranice prvo dobiju dopuštenje roditelja prije prikupljanja osobnih identifikacijskih podataka od djece mlađe od 13 godina. Vidjeti bilješku na dnu stranice 3 supra. Prošlogodišnje izvješće Komisije „Self-Regulation and Privacy Online: A Federal Trade Commission Report to Congress” iz srpnja 1999. (izvješće se može pronaći na www.ftc.gov/os/1999/9907/index.htm#13,) vidjeti značajan napredak u samoregulaciji i stoga je FTC odlučila da trenutno ne preporuči to zakonodavstvo. Komisija će sljedećih tjedana podnijeti izvješće Kongresu o napretku samoregulacije.

(9)  Vidjeti: http://www.ftc.gov/ftc/complaint.htm za FTC-ov internetski obrazac za pritužbe.

(10)  Na primjer, u nedavnom slučaju koji uključuje internetsku piramidalnu shemu, Komisija je primila odštete za 15 622 potrošača u ukupnom iznosu od cca. USD 5,5 milijuna. Potrošači su imali prebivalište u SAD-u i 70 stranih zemalja. Vidjeti: www.ftc.gov/opa/9807/fortunar.htm; www.ftc.gov/opa/9807/ftcrefund01.htm.

(11)  Osim ako je posebno izuzeta temeljem statua o FTC-ovim ovlastima, nadležnost FTC-a sukladno sa Zakonom o FTC-u u postupcima „u trgovini ili koja utječe na trgovinu” preklapa se s konstitucionalnim ovlastima Kongresa prema Klauzuli o trgovini, Sjedinjene Američke Države protiv American Building Maintenance Industries, 422 U.S. 271, 277, n. 6 (1975.). Nadležnost FTC-a stoga obuhvaća praksu vezanu uz radni odnos u trgovačkim društvima i industrijama u međunarodnoj trgovini.

(12)  Vidjeti „Online Auction Site Settles FTC Privacy Charges”, FTC-ovo izvješće za medije (6. siječnja 2000.) – nalazi se na stranici http://www.ftc.gov/opa/2000/01/reverse4.htm.

(13)  Određivanje je li određeno ponašanje „nepravedan radni postupak” ili kršenje kolektivnog pregovaračkog ugovora tehničke prirode i obično je li rezerviran za stručne sudove za radne sporove koji će saslušati prigovore, kao što su arbitri ili NRLB.

(14)  Kao što znate iz prethodnih rasprava, Fair Credit Reporting Act također daje ovlaštenje FTC-u da zaštiti financijsku privatnost potrošača u sklopu područja primjene Zakona i Komisija je nedavno izdala odluku u vezi s tim predmetom. Vidjeti predmet Trans Union, broj djelovodnika 9255 (1. ožujka 2000.) (izvješće za medije i mišljenje se nalaze na www.ftc.gov/os/2000/03/index.htm#1).

(15)  Građanski postupak 99-WM-.783 (D.Colo.) (nalazi se na adresi http://www.ftc.gov/opa/1999/9904/touchtone.htm) (odluka o načelnoj suglasnosti još nije donesena).

PRILOG VI.

Poštovani glavni direktore Mogg,

Pišem Vam ovo pismo na zahtjev Department of Commerce SAD-a da objasnim ulogu Department of Transportation u zaštiti privatnosti potrošača u odnosu na podatke koje im dostavljaju zrakoplovne tvrtke.

Department of Transportation potiče samoregulaciju kao najmanje nametljivo i najučinkovitije sredstvo za osiguranje privatnosti podataka koje korisnici daju zrakoplovnim tvrtkama, te stoga podržava uspostavu režima „sigurne luke” koji bi omogućio zrakoplovnim tvrtkama da poštuju zahtjeve Direktive Europske unije o privatnosti s obzirom na prijenosa izvan EU-a. Međutim, Department priznaje da je za funkcioniranje samoregulacije potrebno da se zrakoplovne tvrtke koje se obvežu na načela privatnosti utvrđena režimom „sigurne luke” doista i pridržavaju istih. U tom se pogledu samoregulaciju treba podržati provedbom zakona. Stoga, koristeći svoju postojeću zakonsku ovlast za zaštitu potrošača, Departement će osigurati da zrakoplovne tvrtke poštuju obveze zaštite privatnost koje su preuzele prema javnosti, te će prosljeđivati napomene o navodnom nepoštivanju koje je primilo od samoregulatornih organizacija i ostalih, uključujući i države članice Europske unije.

Ovlast Department-a da poduzima provedbene mjere u ovom području proizlazi iz 49 U.S.C. 41712 koji zabranjuje prijevozniku „nepoštene ili prijevarne postupke, ili nelojalan način konkurencije” u prodaji zračnoga prijevoza, koji uzrokuju ili mogu izazvati štetu potrošaču. Odjeljak 41712 je sastavljeno po uzoru na odjeljak 5. Federal Trade Commission Act-a (15 U.S.C. 45). Međutim, zračni prijevoznici su na temelju 15 U.S.C. 45(a)(2) izuzeti od propisa Federal Trade Commission-a iz odjeljka 5.

Moj ured istražuje i tuži slučajeve sukladno s 49 U.S.C. 41712. (Vidjeti npr. propise Department of Transportation 99-11-5, 9. studenoga 1999.; 99-8-23, 26. kolovoza 1999.; 99-6-1, 1. lipnja 1999.; 98-6-24, 22. lipnja. 1998.; 98-6-21, 19. lipnja 1998.; 98-5-31, 22. svibnja 1998. i 97-12-23, 18. prosinca 1997.). Takve slučajeve pokrećemo na temelju vlastitih istraga, kao i službenih i neslužbenih pritužbi koje primimo od pojedinaca, putničkih agencija, zrakoplovnih tvrtki, te vladinih agencija iz SAD-a i inozemstva.

Želio bih istaknuti da prijevoznikovo nečuvanje privatnosti podataka koje dobije od putnika ne bi samo po sebi bilo kršenje odjeljka 41712. Međutim, jednom kad se prijevoznik službeno i javno obveže da će sukladno načelu zaštite privatnosti čuvati privatnost podataka o potrošaču koje dobije, Department bi bio ovlašten koristiti zakonske ovlasti iz odjeljka 41712 da osigura poštovanje tih načela. Stoga, jednom kada putnik da podatke prijevozniku koji se obvezao poštovati načela „sigurne luke”, svako nepridržavanje istih bi vjerojatno nanijelo štetu potrošaču i predstavljalo bi kršenje odjeljka 41712. Moj ured bi dao veliku prednost istrazi takve navodne radnje i gonjenju svakog slučaja koji dokazuje takvu radnju. Također ćemo savjetovati Department of Commerce SAD-a o ishodu svakog takvog slučaja.

Kršenje odjeljka 41712 može dovesti do izdavanja sudskih naloga za suspenziju i izricanja građanskih kazni zbog kršenja ovih naloga. Iako nemamo ovlast za dodjelu odšteta ili novčanih naknada tužiteljima pojedincima, imamo ovlast potvrditi nagodbe kojima se zaključuju istrage i tužbe podnijete Department-u, a koje osiguravaju predmete od vrijednosti potrošačima, bilo kao olakšavajuće okolnosti, bilo kompenzacije za novčane kazne koje bi se inače naplatile. To smo činili u prošlosti, a možemo i činit ćemo to i u kontekstu načela zaštite kada to okolnosti dozvoljavaju. Ako bi neka zrakoplovna tvrtka iz SAD-a više puta kršila odjeljak 41712, također bi se postavilo pitanje o spremnosti zrakoplovne tvrtke na poštivanje, što bi moglo u vrlo ozbiljnim situacijama, dovesti do zaključka da zrakoplovna tvrtka više nije sposobna obavljati djelatnost i stoga bi izgubila dozvolu za obavljanje svoje djelatnosti. (Vidjeti propise Department of Transportation-a 93-6-34, 23. lipnja 1993. i 93-6-11, 9. lipnja 1993. Iako se ovaj postupak nije doticao odjeljka 41712, imao je za posljedicu povlačenje dozvole prijevoznika za rad zbog potpunog neuvažavanja odredbi Federal Aviation Act-a, bilateralnog sporazuma te pravila i propisa Department-a.)

Nadam se da će Vam ova informacija biti od koristi. Ako imate kakvih pitanja ili trebate daljnje informacije, slobodno me možete kontaktirati.

S poštovanjem,

Samuel Podberesky

Pomoćnik glavnog savjetnika za provedbu načela i pravnih postupaka u zrakoplovstvu

PRILOG VII.

U odnosu na članak 1. stavak 2. točku (b), vladina tijela u Sjedinjenim Američkim Državama koja su ovlaštena da istražuju pritužbe i osiguraju pravnu zaštitu protiv nepoštenih ili prijevarnih radnji, kao i naknadu za pojedince, bez obzira na državu u kojoj žive ili državljanstvo, u slučaju nepoštivanja načela provedenih u skladu s često postavljanim pitanjima su:

Federal Trade Commission djeluje na temelju svoje ovlasti iz odjeljka 5. Federal Trade Commission Act-a. Nadležnost Federal Trade Commission-a na temelju odjeljka 5. ne odnosi se na banke, štedno-kreditne ustanove i kreditne unije; telekomunikacije i javne prijevoznike u međudržavnom prijevozu, zračne prijevoznike, te proizvođače mesnih prerađevina i trgovce stokom. Iako osiguravajuća društva nisu izričito uvrštena u popis iznimaka u odjeljku 5., McCarran-Ferguson Act-a (1) prepušta regulaciju osiguravajuće djelatnosti svakoj državi pojedinačno. Međutim, odredbe Zakona o FTC-u primjenjuju se na osiguravajuća društva u onoj mjeri u kojoj njihovo poslovanje nije regulirano državnim zakonom. FTC zadržava preostali dio ovlasti nad nepoštenim ili prijevarnim radnjama osiguravajućih društava kada se ne bave poslovima osiguranja.

Ministarstvo prometa SAD-a djeluje na temelju svoje ovlasti iz glave 49., odjeljka 41712 United States Code. Department of Transportation SAD-a pokreće slučajeve na temelju vlastitih istraga, kao i službenih i neslužbenih pritužbi koje primi od pojedinaca, putničkih agencija, zrakoplovnih tvrtki te vladinih agencija iz SAD-a i inozemstva.

(1)  15 U.S.C. § 1011 et seq.