OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A RADE o fungovaní systému bezpečného prístavu z pohľadu občanov EÚ a spoločností usadených v EÚ /* COM/2013/0847 final */
OZNÁMENIE KOMISIE EURÓPSKEMU PARLAMENTU A
RADE o fungovaní systému bezpečného prístavu
z pohľadu občanov EÚ a spoločností usadených v EÚ 1.
Úvod V smernici
95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných
údajov a voľnom pohybe týchto údajov (ďalej ako „smernica o ochrane
údajov“) sa stanovujú pravidlá týkajúce sa prenosu osobných údajov z
členských štátov EÚ do iných krajín mimo EÚ[1]
v rozsahu, v ktorom takéto prenosy patria do pôsobnosti tohto nástroja[2]. Podľa tejto
smernice môže Komisia vyhlásiť, že tretia krajina zaisťuje adekvátnu
úroveň ochrany z dôvodu jej vnútroštátneho práva alebo medzinárodných
dohôd, ktoré podpísala na ochranu práv jednotlivcov, v prípade ktorých by sa
osobitné obmedzenia o prenosoch údajov do takejto krajiny neuplatňovali.
Tieto rozhodnutia sa spoločne označujú „rozhodnutia
o primeranosti“. Komisia prijala
26. júla 2000 rozhodnutie 520/2000/ES[3]
(ďalej ako „rozhodnutie o bezpečnom prístave“), v ktorom
sa zásady ochrany osobných údajov v systéme bezpečného prístavu a
často kladené otázky (ďalej ako „zásady“ a „často kladené
otázky“) vydané Ministerstvom obchodu Spojených štátov amerických uznávajú za
poskytujúce primeranú ochranu na účely prenosov osobných údajov z EÚ.
Rozhodnutie o bezpečnom prístave bolo prijaté v nadväznosti na
stanoviská pracovnej skupiny zriadenej podľa článku 29 a výboru
zriadeného podľa článku 31 prijatými kvalifikovanou väčšinou
členských štátov. Podľa rozhodnutia Rady 1999/468 bolo rozhodnutie o
bezpečnom prístave podrobené predchádzajúcej kontrole zo strany Európskeho
parlamentu. V dôsledku toho
súčasné rozhodnutie o bezpečnom prístave umožňuje bezplatný
prenos[4]
osobných údajov z členských štátov EÚ[5]
do spoločností v USA, ktoré sa prihlásili k zásadám, za okolností, za
ktorých by prenos inak nespĺňal normy EÚ na primeranú úroveň
ochrany údajov vzhľadom na významné rozdiely v režimoch ochrany osobných
údajov medzi oboma stranami Atlantiku. Fungovanie
súčasného systému bezpečného prístavu sa spolieha na záväzky
a samocertifikáciu spoločností, ktoré ho dodržiavajú. Prihlásenie sa
k tomuto systému je dobrovoľné, ale pre tých, ktorí sa prihlásia, sú
pravidlá povinné. Základné zásady tohto systému sú: a)
transparentnosť spoločností
dodržiavajúcich stratégie ochrany osobných údajov, b)
zahrnutie zásad bezpečného prístavu do
stratégií ochrany osobných údajov spoločností a c)
presadzovanie vrátane zo strany verejných orgánov. Tento hlavný základ systému bezpečného
prístavu musí byť preskúmaný v novom kontexte: a)
exponenciálneho nárastu tokov údajov, ktoré kedysi
boli len vedľajšou súčasťou, ale dnes sú hlavnou zložkou
rýchleho rastu digitálnej ekonomiky, a významného vývoja v oblasti
zhromažďovania, spracovania a používania údajov, b)
zásadnej dôležitosti tokov údajov najmä pre
transatlantické hospodárstvo,[6] c)
rýchleho rastu počtu spoločností v USA
dodržiavajúcich systém bezpečného prístavu, ktorý od roku 2004 vzrástol
osemnásobne (zo 400 v roku 2004 na 3 246 v roku 2013), d) nedávno zverejnených informácií o programoch sledovania USA, ktoré
vyvolávajú nové otázky o úrovni ochrany garantovanej systémom bezpečného
prístavu. Na základe uvedených skutočností sa v
tomto oznámení poskytuje „inventúra“ fungovania systému bezpečného
prístavu. Založené je na dôkazoch zhromaždených Komisiou, práci
kontaktnej skupiny EÚ – USA pre ochranu osobných údajov v roku 2009, štúdii
pripravenej nezávislým zhotoviteľom v roku 2008[7] a informáciách
získaných v ad hoc pracovnej skupine EÚ – USA (ďalej ako „pracovná
skupina“) zriadenej po odhalení programov sledovania USA (pozri súbežný
dokument). Toto oznámenie nadväzuje na dve hodnotiace správy Komisie
vyhotovených v počiatočnom období systému bezpečného
prístavu, prvej v roku 2002[8]
a druhej v roku 2004[9].
2. Štruktúra a fungovanie
systému bezpečného prístavu 2.1. Štruktúra systému bezpečného prístavu Spoločnosť
z USA, ktorá sa chce dodržiavať systém bezpečného prístavu, musí: a)
určiť vo svojej verejne dostupnej stratégii ochrany osobných údajov,
že dodržiava zásady a skutočne koná v súlade so zásadami, ako aj b)
vykonať samocertifikáciu, t. j. deklarovať Ministerstvu obchodu USA,
že koná v súlade so zásadami. Samocertifikáciu treba každoročne opätovne
predkladať. Zásady systému bezpečného prístavu, ktoré tvoria prílohu
I k rozhodnutiu o bezpečnom prístave, zahŕňajú požiadavky
na zásadnú ochranu osobných údajov (zásady integrity údajov, bezpečnosti,
možnosti voľby a ďalšieho prenosu) a procesné práva dotknutých osôb
(zásady týkajúce sa oznámenia, prístupu a presadzovania). Pokiaľ ide o presadzovanie systému
bezpečného prístavu v USA, významnú úlohu zohrávajú dve americké
inštitúcie: Ministerstvo obchodu USA a Federálna obchodná komisia USA. Ministerstvo
obchodu preskúmava každú samocertifikáciu podľa
systému bezpečného prístavu a každú výročnú opätovnú certifikáciu,
ktorú dostane od spoločností, v záujme zaistenia toho, aby obsahovali
všetky prvky potrebné na účasť v systéme[10].Aktualizuje zoznam
spoločností, ktoré predložili listy so samocertifikáciou, a tento zoznam
spolu s listami zverejňuje na svojej webovej stránke. Okrem toho, monitoruje
fungovanie bezpečného prístavu a vyraďuje zo zoznamu
spoločnosti, ktoré uvedené zásady nedodržiavajú. Federálna
obchodná komisia, v rámci svojich právomocí v oblasti
ochrany spotrebiteľov, zasahuje voči nekalým alebo klamlivým
praktikám podľa oddielu 5 zákona o Federálnej obchodnej komisii. Opatrenia
Federálnej obchodnej komisie na presadzovanie práva zahŕňajú
vyšetrovania týkajúce sa nepravdivých vyhlásení o dodržovaní zásad
bezpečného prístavu a nedodržiavania týchto zásad zo strany
spoločností, ktoré sú do systému zapojené. V osobitných prípadoch ich
presadzovania voči leteckým spoločnostiam je príslušným orgánom
Ministerstvo dopravy USA[11]. Aktuálne
rozhodnutie o bezpečnom prístave je súčasťou právnych predpisov
EÚ, ktoré musia uplatňovať orgány členských štátov. Podľa
tohto rozhodnutia majú vnútroštátne orgány EÚ na ochranu údajov právo v
osobitných prípadoch pozastaviť prenosy do spoločností
certifikovaných pre systém bezpečného prístavu[12]. Komisia si nie je
vedomá žiadnych prípadov pozastavenia zo strany vnútroštátneho orgánu pre
ochranu osobných údajov od zavedenia systému bezpečného prístavu v roku
2000. Nezávisle od právomocí na základe rozhodnutia o bezpečnom prístave
môžu vnútroštátne orgány pre ochranu osobných údajov zasahovať vrátane
prípadov medzinárodných prenosov, a to s cieľom zabezpečiť
dodržiavanie všeobecných zásad ochrany údajov stanovených v smernici o ochrane
údajov z roku 1995. Ako je spomenuté v súčasnom rozhodnutí o bezpečnom prístave, Komisia
má právomoc – konajúc v súlade s postupom preskúmania stanoveným v
nariadení č. 182/2011 – kedykoľvek upraviť rozhodnutie,
pozastaviť jeho účinnosť alebo obmedziť rozsah jeho
pôsobnosti na základe skúseností s jeho vykonávaním. Toto sa predpokladá najmä
v prípade systémového zlyhania na strane USA, napríklad ak orgán zodpovedný za
zaručenie dodržiavania zásad bezpečného prístavu v USA nevykonáva
svoju úlohu účinne alebo ak požiadavky uvedené v právnych predpisoch
USA spôsobia, že úroveň ochrany poskytovaná zásadami bezpečného
prístavu nie je dostatočná. Ako v prípade akéhokoľvek iného
rozhodnutia Komisie, aj toto môže byť zmenené aj z iných dôvodov alebo
dokonca zrušené. 2.2. Fungovanie systému bezpečného prístavu K 3 246[13] certifikovaným
spoločnostiam patria malé aj veľké spoločnosti[14]. Hoci právomoci
presadzovania Federálnej obchodnej komisie sa nevzťahujú na odvetvia
finančných služieb a telekomunikácií a preto sú vylúčené z rámca
bezpečného prístavu, k certifikovaným spoločnostiam patria mnohé
odvetvia priemyslu a služieb vrátane dobre známych internetových
spoločností a odvetví od informačných a počítačových
služieb až po farmaceutické služby, služby v oblasti cestovania
a cestovného ruchu, zdravotnú starostlivosť alebo služby
v oblasti kreditných kariet[15].
Sú to väčšinou americké spoločnosti, ktoré poskytujú služby na
vnútornom trhu EÚ. Takisto sú to dcérske spoločnosti niektorých firiem
z EÚ, napríklad Nokia alebo Bayer. Firmy, ktoré spracúvajú údaje
zamestnancov v Európe prenášané do USA na účely ľudských zdrojov predstavujú
51 %[16].
Medzi niektorými
orgánmi pre ochranu osobných údajov v EÚ sa narastali obavy, pokiaľ
ide o prenosy údajov v rámci aktuálneho systému bezpečného prístavu.
Orgány pre ochranu osobných údajov niektorých členských štátov kritizovali
veľmi všeobecnú formuláciu zásad a vysokú mieru spoliehania sa na
samocertifikáciu a samoreguláciu. Podobné obavy vyjadrili aj zástupcovia
priemyslu, pričom sa odvolávali na narúšanie hospodárskej súťaže z
dôvodu nedostatočného presadzovania. Súčasný režim
bezpečného prístavu je založený na dobrovoľnom dodržiavaní zo strany
spoločností, samocertifikácii týchto spoločností, ktoré dodržiavajú
zásady, a presadzovaní záväzkov samocertifikácie verejnými orgánmi. V tomto
kontexte akákoľvek nedostatočná transparentnosť a nedostatky
presadzovania podkopávajú základy, na ktorých je systém bezpečného
prístavu postavený. Akákoľvek
trhlina v transparentnosti alebo v presadzovaní na strane USA má za následok
presun zodpovednosti na európske orgány pre ochranu osobných údajov a na
spoločnosti, ktoré využívajú tento systém. Nemecké orgány pre ochranu
osobných údajov vydali 29. apríla 2010 rozhodnutie, v ktorom sa požaduje,
aby spoločnosti, ktoré prenášajú údaje z Európy do USA, aktívne
kontrolovali, či spoločnosti v USA, ktoré importujú údaje, naozaj dodržiavajú
zásady bezpečného prístavu, a odporúča, že „minimálne exportujúca
spoločnosť musí určiť, či certifikácia bezpečného
prístavu dovozcom je stále platná“[17]. Dňa 24. júla
2013 po odhaleniach programov sledovania USA, nemecké orgány pre ochranu osobných
údajov zašli o krok ďalej a vyjadrili obavy, že „existuje značná
pravdepodobnosť, že sa porušujú zásady uvedené v rozhodnutiach Komisie“[18]. Vyskytli sa prípady,
že niektoré orgány pre ochranu osobných údajov (napríklad brémsky orgán)
požadovali, aby spoločnosť prenášajúca osobné údaje
poskytovateľom v USA informovala orgán pre ochranu osobných údajov,
či a akým spôsobom príslušní poskytovatelia zabraňujú Agentúre pre
národnú bezpečnosť (NSA) v prístupe k týmto údajom. Írsky orgán pre
ochranu osobných údajov informoval, že nedávno, po odhalení programov
spravodajských agentúr USA, dostal dve sťažnosti, ktoré odkazujú na
program bezpečného prístavu, ale odmietol ich vyšetriť s odôvodnením,
že prenos osobných údajov do tretej krajiny spĺňal požiadavky írskeho
právneho predpisu v oblasti ochrany údajov. Po podobnej sťažnosti
luxemburský orgán pre ochranu osobných údajov dospel k záveru, že
spoločnosti Microsoft a Skype pri prenose údajov do USA dodržali
luxemburský zákon pre ochranu údajov[19].
Írsky najvyšší súd však odvtedy schválil žiadosť o súdne preskúmanie,
podľa ktorej preskúma nekonanie írskeho splnomocnenca pre ochranu údajov v
súvislosti s programami sledovania USA. Jednu z dvoch sťažností podala
študentská skupina Európa verzus Facebook (EvF), ktorá podala aj podobnú
sťažnosť na spoločnosť Yahoo v Nemecku, ktorú spracúvajú
príslušné orgány pre ochranu osobných údajov. Tieto rozdielne
reakcie orgánov pre ochranu osobných údajov na odhalenia týkajúce sa sledovania
názorne dokazujú skutočné riziko rozdrobenia systému bezpečného
prístavu a vyvolávajú otázky z hľadiska rozsahu jeho presadzovania. 3. Transparentnosť
stratégií ochrany osobných údajov spoločnosťami dodržiavajúcimi
zásady bezpečného prístavu Podľa
často kladenej otázky 6, ktorá tvorí prílohu k rozhodnutiu o
bezpečnom prístave (príloha II), spoločnosti, ktoré majú záujem o
certifikáciu podľa bezpečného prístavu, musia ministerstvu obchodu
poskytnúť stratégiu ochrany osobných údajov a sprístupniť ju
verejnosti. Táto stratégia musí obsahovať záväzok dodržiavať zásady
ochrany osobných údajov. Požiadavka na sprístupnenie stratégie ochrany
osobných údajov pre verejnosť pre samocertifikované spoločnosti,
ako aj ich vyhlásenie o dodržiavaní zásad ochrany osobných údajov, sú dôležité
pre fungovanie systému. Nedostatočná
dostupnosť stratégií ochrany osobných údajov takýchto spoločností je
na úkor jednotlivcov, ktorých osobné údaje sa zhromažďujú a spracúvajú, a
môže predstavovať porušenie zásady oznámenia. V takýchto prípadoch
jednotlivci, ktorých údaje sa prenášajú z EÚ, nemusia poznať svoje
práva a povinnosti, ktoré sa vzťahujú na samocertifikovanú
spoločnosť. Okrem toho,
záväzok spoločností dodržiavať zásady ochrany osobných údajov spúšťa
právomoci Federálnej obchodnej komisie presadzovať tieto zásady
voči spoločnostiam v prípadoch nedodržiavania vo forme nekalej alebo
klamlivej praktiky. Nedostatočná transparentnosť spoločností v
USA sťažuje dohľad Federálnej obchodnej komisie a oslabuje
účinnosť presadzovania. V priebehu
fungovania systému značné množstvo samocertifikovaných spoločností
nesprístupnilo svoju stratégiu ochrany osobných údajov pre verejnosť alebo
neuskutočnilo verejné vyhlásenie o dodržiavaní zásad ochrany osobných
údajov. Správa o bezpečnom prístave z roku 2004 poukázala na potrebu, aby
ministerstvo obchodu prijalo aktívnejší postoj pri kontrole dodržiavania
tejto požiadavky. Od roku 2004
ministerstvo obchodu vypracovalo nové informačné nástroje s
cieľom pomôcť spoločnostiam dodržiavať ich povinnosti
týkajúce sa transparentnosti. Príslušné informácie o systéme sú dostupné na
webovej stránke ministerstva obchodu venovaných systému bezpečného
prístavu[20],
ktorá takisto umožňuje spoločnostiam zverejniť svoje stratégie
ochrany osobných údajov. Ministerstvo obchodu informovalo, že spoločnosti
využívajú túto funkciu a zverejnili svoju stratégiu ochrany osobných údajov na
webovej stránke ministerstva obchodu pri podávaní žiadosti o účasť na
systéme bezpečného prístavu[21].
Ministerstvo obchodu okrem toho zverejnilo v rokoch 2009 – 2013 sériu usmernení
pre spoločnosti, ktoré sa chcú zapojiť do systému bezpečného
prístavu, napríklad príručku k samocertifikácii a užitočné tipy
o samocertifikovaní súladu[22]. Stupeň súladu
s povinnosťami transparentnosti je medzi jednotlivými
spoločnosťami rôzny. Zatiaľ čo sa niektoré spoločnosti
obmedzujú na oznámenie opisu ochrany osobných údajov ministerstvu obchodu v
rámci procesu samocertifikácie, väčšina spoločností okrem zverejnenia
týchto stratégií na webovej stránke Ministerstva obchodu tieto stratégie zverejňuje
aj na vlastných webových stránkach. Tieto stratégie však nie sú vždy
predkladané v jednoducho čitateľnej forme vhodnej pre
spotrebiteľov. Hypertextové prepojenia na stratégie ochrany osobných
údajov nie vždy fungujú alebo neodkazujú vždy na správne webové stránky. Z rozhodnutia a
jeho príloh vyplýva, že požiadavka, aby spoločnosti zverejňovali
svoje stratégie ochrany osobných údajov prekračuje rámec
zvyčajného oznámenia ministerstvu obchodu o samocertifikácii.
Požiadavky na certifikáciu stanovené v často kladených otázkach
zahŕňajú opis ochrany osobných údajov a transparentné informácie o
tom, kde je k dispozícii pre verejnosť[23].
Vyhlásenia o ochrane osobných údajov musia byť zreteľné a jednoducho
prístupné pre verejnosť. Musia obsahovať hypertextové prepojenie na
webovú stránku ministerstva obchodu týkajúcu sa bezpečného prístavu, kde
sa nachádza zoznam všetkých „aktuálnych“ členov systému a odkaz na
poskytovateľa alternatívneho riešenia sporov. V rokoch 2000 až 2013
však veľa spoločností zapojených do systému nedodržiavalo tieto
požiadavky. Počas pracovných kontaktov s Komisiou vo februári 2013
ministerstvo obchodu priznalo, že takmer 10 % certifikovaných
spoločností v skutočnosti na svojich verejných webových stránkach
pravdepodobne nezverejnilo stratégiu ochrany osobných údajov obsahujúcu
vyhlásenie o dodržiavaní systému bezpečného prístavu. Najnovšie
štatistiky poukazujú aj na pretrvávajúci problém nepravdivých vyhlásení o
dodržiavaní systému bezpečného prístavu. Približne 10 %
spoločností, ktoré tvrdia, že sú zapojené do systému bezpečného
prístavu, nie je uvedených v zozname ministerstva obchodu ako aktuálni
členovia systému[24].
Takéto nepravdivé vyhlásenia uvádzajú spoločnosti, ktoré nikdy neboli
účastníkmi systému bezpečného prístavu, ako aj spoločnosti,
ktoré sa k systému kedysi pripojili, ale potom opätovne nepredložili
ministerstvu obchodu samocertifikáciu v ročných intervaloch. V tomto
prípade sú tieto spoločnosti naďalej uvedené na webovej stránke
bezpečného prístavu, ale so stavom certifikácie „neaktuálna“, čo
znamená, že spoločnosť je zapojená do systému a teda má
povinnosť naďalej poskytovať ochranu už spracovaných údajov.
Federálna obchodná komisia má právomoc zasahovať v prípadoch klamlivých
praktík a nedodržiavania zásad bezpečného prístavu (pozri časť 5.1).
Nejasnosti s „nepravdivými vyhláseniami“ ovplyvňujú dôveryhodnosť
systému. Európska komisia
upozorňovala ministerstvo obchodu prostredníctvom pravidelných kontaktov v
roku 2012 a 2013 že na to, aby spoločnosti spĺňali povinnosti
transparentnosti, nestačí, aby poskytli ministerstvu obchodu opis zásad
ochrany osobných údajov. Vyhlásenia o ochrane osobných údajov musia
byť verejne dostupné. Ministerstvo obchodu bolo takisto požiadané, aby zintenzívnilo
svoje pravidelné kontroly webových stránok spoločností po postupe
overovania vykonávaného v kontexte prvého procesu samocertifikácie alebo
každoročného obnovovania a aby prijalo opatrenia voči
spoločnostiam, ktoré nedodržiavajú požiadavky na transparentnosť. Ako prvú
odpoveď na obavy EÚ ministerstvo obchodu od marca 2013 zaviedlo
povinnosť, že spoločnosti, ktoré sú zapojené do systému
bezpečnému prístavu a majú verejnú webovú stránku, musia na nich v dostupnej forme zverejniť svoju stratégiu ochrany
osobných údajov vzťahujúcu sa na údaje zákazníkov/používateľov.
Ministerstvo obchodu zároveň začalo upozorňovať všetky
spoločnosti, ktorých stratégia ochrany osobných údajov neobsahovala odkaz
na webovú stránku ministerstva obchodu týkajúcu sa systému bezpečného
prístavu, že je potrebné ho pridať, čím bude návštevníkom webovej
stránky spoločnosti priamo k dispozícii oficiálny zoznam a webová stránka
systému bezpečného prístavu. To umožní dotknutým osobám z Európy
okamžite si overiť, bez dodatočného vyhľadávania na webe,
záväzky spoločnosti predložené ministerstvu obchodu. Ministerstvo obchodu
takisto začalo upozorňovať spoločnosti, že ich zverejnená
stratégia ochrany osobných údajov má obsahovať kontaktné údaje na
nezávislého poskytovateľa riešenia sporov[25]. Tento proces je
potrebné urýchliť, aby sa zaručilo, že všetky
certifikované spoločnosti úplne spĺňajú požiadavky systému
bezpečného prístavu najneskôr do marca 2014 (t. j. do termínu ročného
obnovenia certifikácie počítaného od zavedenia nových požiadaviek v marci
2013). Stále však pretrvávajú obavy, či všetky samocertifikované
spoločnosti úplne spĺňajú požiadavky na transparentnosť.
Dodržiavanie povinností, ktoré sa spoločnosti zaviazali plniť v
čase počiatočnej samocertifikácie a ročného obnovovania, by
ministerstvo obchodu malo monitorovať a kontrolovať oveľa prísnejšie. 4. Začlenenie
zásad bezpečného prístavu do stratégií spoločností v oblasti
ochrany osobných údajov Ak chcú samocertifikované spoločnosti
získať a udržať si výhody systému bezpečného prístavu, musia
dodržiavať zásady ochrany osobných údajov stanovené v prílohe
I k rozhodnutiu. V správe z roku
2004 Komisia zistila, že značné množstvo spoločností správne
nezahrnulo zásady bezpečného prístavu do svojich stratégií spracovania
údajov. Jednotlivcom, napríklad, neboli vždy poskytnuté jasné a transparentné
informácie o účeloch, na ktoré sa ich údaje spracúvali, alebo nedostali
možnosť vyjadriť nesúhlas s poskytnutím údajov, ak sa tieto údaje
mali poskytnúť tretej strane alebo použiť na účely v rozpore s
účelmi, na ktoré boli pôvodne zhromaždené. V správe z roku 2004 sa Komisia
domnieva, že ministerstvo obchodu „by malo byť aktívnejšie, pokiaľ
ide o prístup k systému bezpečného prístavu a informovanosti o jeho
zásadách“[26]. V tejto oblasti
došlo len k malému pokroku. Od januára 2009 si musí každá spoločnosť,
ktorá chce obnoviť svoju certifikáciu (čo sa musí robiť
každoročne), nechať pred obnovením posúdiť svoju stratégiu
ochrany osobných údajov ministerstvom obchodu. Rozsah tohto posúdenia je však
obmedzený. Nevykonáva sa úplné posúdenie skutočných postupov v
samocertifikovaných spoločnostiach, čo by významne zvýšilo
dôveryhodnosť procesu samocertifikácie. Pokiaľ ide o
požiadavky Komisie na prísnejší a systematickejší dohľad nad
samocertifikovanými spoločnosťami zo strany ministerstva obchodu, novým
podaným žiadostiam o účasť sa momentálne venuje väčšia
pozornosť. V rokoch 2010 až 2013 sa výrazne zvýšil počet nových
podaných žiadostí, ktoré neboli schválené, ale boli vrátené spoločnostiam
na zlepšenie stratégií ochrany osobných údajov, a to dvojnásobne v prípade
obnovovania certifikátu a trojnásobne v prípade nových členov systému
bezpečného prístavu[27].
Ministerstvo obchodu uistilo Komisiu, že akákoľvek certifikácia alebo
opätovná certifikácia sa môže dokončiť, len ak stratégia ochrany
osobných údajov spoločnosti spĺňa všetky požiadavky,
predovšetkým obsahuje vyhlásenie o záväzku dodržiavania príslušného súboru
zásad systému bezpečného prístavu v oblasti ochrany osobných údajov a
je verejne prístupná. Spoločnosť musí vo svojom zázname pre zoznam
bezpečného prístavu uviesť, kde sa príslušná stratégia nachádza.
Spoločnosť takisto musí na svojej webovej stránke jasne
identifikovať poskytovateľa alternatívneho riešenia sporov a
zahrnúť odkaz na svoju samocertifikáciu pre systém bezpečného
prístavu na webovej stránke ministerstva obchodu. Odhaduje sa však, že viac než
30 % subjektov zapojených do systému bezpečného prístavu neposkytuje
v stratégiách ochrany osobných údajov na svojej webovej stránke informácie
o riešení sporov [28]. Väčšina
spoločností, ktoré ministerstvo obchodu vyradilo zo zoznamu
bezpečného prístavu, bola vyradená na výslovnú žiadosť príslušných
spoločností (napr. spoločností, ktoré sa zlúčili alebo boli
prevzaté, zmenil sa predmet ich podnikania alebo ukončili svoju činnosť).
Menší počet záznamov spoločností s uplynutou platnosťou
certifikátu bol vyradený, keď sa zistilo, že webové stránky uvedené v
záznamoch sú nefunkčné a stav certifikátu spoločnosti bol
„neaktuálny“ niekoľko rokov[29].
Čo je dôležité, zdá sa, že žiadne z týchto vyradení sa neuskutočnilo
v dôsledku toho, že by overenie ministerstvom obchodu viedlo k zisteniu
problémov s dodržiavaním zásad. Záznam zoznamu bezpečného prístavu slúži
ako verejné oznámenie a záznam záväzkov spoločnosti dodržiavať zásady
bezpečného prístavu. Záväzok dodržiavať zásady bezpečného
prístavu nie je časovo obmedzený vo vzťahu k údajom získaným
počas obdobia účasti spoločnosti v systéme bezpečného
prístavu a spoločnosť musí naďalej uplatňovať zásady
na takéto údaje, pokiaľ ich uchováva, používa alebo zverejňuje, aj
keď z akéhokoľvek dôvodu opustí systém bezpečného prístavu. Počet žiadateľov
o účasť v systéme bezpečného prístavu, ktorí neprešli
administratívnym posúdením ministerstva obchodu a teda neboli nikdy
zaradení do zoznamu bezpečného prístavu je takýto: v roku 2010 len 6 %
(33) z 513 spoločností vykonávajúcich prvú certifikáciu nebolo zaradených
do zoznamu bezpečného prístavu, pretože nesplnili normy ministerstva
obchodu pre samocertifikáciu. V roku 2013 12 % (75) z 605
spoločností vykonávajúcich prvú certifikáciu nebolo zaradených do zoznamu
bezpečného prístavu, pretože nesplnili normy ministerstva obchodu pre
samocertifikáciu. Ako minimálna
požiadavka na zvýšenie transparentnosti dohľadu by ministerstvo obchodu
malo na svojej webovej stránke uviesť zoznam všetkých spoločností,
ktoré boli vyradené zo zoznamu bezpečného prístavu a uviesť dôvody
neobnovenia certifikácie. Označenie „neaktuálny“ v zozname členov
systému bezpečného prístavu ministerstva obchodu by sa nemalo
považovať len za informáciu, ale malo by obsahovať aj jasnú
výstrahu – slovnú aj grafickú – že spoločnosť momentálne
nespĺňa požiadavky systému bezpečného prístavu. Niektoré
spoločnosti okrem toho stále úplne nezačlenili všetky zásady
bezpečného prístavu. Okrem problému transparentnosti spomínaného v časti
3 sú stratégie ochrany osobných údajov samocertifikovaných spoločností
často nejasné, pokiaľ ide o účely, na ktoré sa údaje
zhromažďujú, a právo na výber, či sa údaje môžu poskytnúť tretím
stranám, čo vyvoláva otázky týkajúce sa dodržiavania zásad ochrany
osobných údajov, pokiaľ ide o „oznámenia“ a „možnosti voľby“.
Oznámenie a možnosť voľby sú dôležité na zaručenie kontroly zo
strany dotknutých osôb nad tým, čo sa deje s ich osobnými údajmi. Kritický prvý krok v procese posudzovania
súladu, začlenenie zásad bezpečného prístavu do stratégie
spoločnosti v oblasti ochrany osobných údajov, takisto nie je
dostatočne zaručený. Ministerstvo obchodu by to malo prioritne
riešiť vypracovaním metodiky posudzovania súladu pri prevádzkových
praktikách spoločností a ich interakcii so zákazníkmi. Ministerstvo
obchodu musí aktívne sledovať účinné zahrnutie zásad do stratégií
spoločností v oblasti ochrany osobných údajov,
a neponechávať iniciovanie konaní v oblasti presadzovania až na
základe sťažností jednotlivcov. 5. Presadzovanie zo strany
verejných orgánov K dispozícii je
niekoľko mechanizmov na zaručenie účinného presadzovania systému
bezpečného prístavu a na poskytovanie nápravy pre jednotlivcov v
prípadoch, kedy je ochrana ich osobných údajov ovplyvnená nedodržiavaním zásad
ochrany osobných údajov. Podľa zásady
„vymáhania výkonu“ musia stratégie ochrany údajov samocertifikovaných
spoločností obsahovať účinné mechanizmy posudzovania súladu.
Podľa zásady „presadzovania“ ochrany osobných údajov, ako je ďalej
objasnená v často kladených otázkach 11, 5 a 6, sa táto požiadavka môže
splniť dodržiavaním nezávislých opravných mechanizmov, ktoré
verejne vyjadrili svoju právomoc prerokovávať jednotlivé sťažnosti
týkajúce sa nedodržiavania zásad. Alternatívne sa to dá dosiahnuť
prostredníctvom záväzku organizácie spolupracovať s Výborom EÚ pre
ochranu údajov[30].
Na samocertifikované spoločnosti sa okrem toho vzťahuje aj
jurisdikcia Federálnej obchodnej komisie podľa oddielu 5 zákona o
Federálnej obchodnej komisii, ktorá zakazuje nekalé alebo klamlivé konania
alebo praktiky pri obchodovaní alebo ovplyvňujúce obchodovanie[31]. Správa z roku 2004
obsahuje obavy, pokiaľ ide o presadzovanie systému bezpečného
prístavu. A to najmä v súvislosti s tým, že Federálna obchodná
komisia by mala byť aktívnejšia pri otváraní vyšetrovaní a zvyšovaní
informovanosti jednotlivcov o ich právach. Ďalšou oblasťou, ktorej sa
tieto obavy týkali, bola nedostatočná zrozumiteľnosť vo
vzťahu k právomoci Federálnej obchodnej komisie presadzovať zásady,
pokiaľ ide o údaje z oblasti ľudských zdrojov. Orgán nápravy
zodpovedný za údaje z oblasti ľudských zdrojov – Výbor EÚ pre ochranu
údajov – dostal jednu sťažnosť týkajúcu sa údajov z oblasti
ľudských zdrojov[32].
Neexistencia sťažností však neumožňuje vyvodiť závery, pokiaľ
ide o plné fungovanie systému. Mali by sa zaviesť kontroly ex officio s overovať,
či spoločnosti dodržiavajú zásady, pokiaľ ide
o skutočné uplatňovanie záväzkov v oblasti ochrany údajov.
Orgány EÚ pre ochranu údajov by takisto mali podniknúť kroky na zvýšenie
informovanosti o existencii tohto výboru. Poukázalo sa na
problémy súvisiace so spôsobom, akým alternatívne opravné mechanizmy fungujú
ako orgány presadzovania. Niektoré z týchto orgánov nemajú vhodné prostriedky
na nápravu prípadov nedodržiavania zásad. Tento nedostatok sa musí riešiť.
5.1. Federálna obchodná Komisia Federálna obchodná
komisia môže prijímať opatrenia presadzovania v prípade porušení záväzkov
bezpečného prístavu, ktoré spoločnosti prijímajú. Keď bol systém
bezpečného prístavu zriadený, Federálna obchodná komisia sa zaviazala
prioritne preskúmavať všetky záležitosti prijaté od orgánov členských
štátov EÚ[33].
Keďže počas prvých desiatich rokov fungovania neboli prijaté žiadne
sťažnosti, Federálna obchodná komisia sa rozhodla, že bude
hľadať porušenia zásad bezpečného prístavu v každom vyšetrovaní
ochrany osobných údajov a bezpečnosti údajov, ktoré vedie. Od roku
2009 Federálna obchodná komisia iniciovala 10 konaní v presadzovania práva
voči spoločnostiam na základe porušení zásad bezpečného
prístavu. Výsledkom týchto krokov boli najmä nariadenia na urovnanie – pod
hrozbou vysokých pokút – zakazujúce skresľovanie v oblasti ochrany
osobných údajov vrátane dodržiavania zásad bezpečného prístavu a
ukladajúce komplexné programy a audity spoločností v oblasti ochrany
osobných údajov počas 20 rokov. Spoločnosti musia súhlasiť s
nezávislým posúdením svojich programov ochrany osobných údajov na žiadosť
Federálnej obchodnej komisie. Federálnej obchodnej komisii sa tieto posúdenia
pravidelne predkladajú. Nariadeniami Federálnej obchodnej komisie sa takisto
zakazuje týmto spoločnostiam skresľovať svoje postupy v oblasti
stratégií ochrany údajov a svoju účasť v systéme bezpečného
prístavu alebo podobných systémoch ochrany osobných údajov. Tak tomu bolo
napríklad v prípade vyšetrovania Federálnej obchodnej komisie voči
spoločnostiam Google, Facebook a Myspace[34]. V roku 2012 spoločnosť Google súhlasila s tým,
že zaplatí pokutu 22,5 milióna USD na urovnanie obvinení, že porušila príkaz o
súhlase. Vo všetkých vyšetrovaniach týkajúcich sa ochrany osobných údajov
Federálna obchodná komisia vyšetruje ex officio, či dochádza k
porušeniu zásad bezpečného prístavu. Federálna obchodná Komisia
nedávno zopakovala svoje vyhlásenia a záväzok prioritne preskúmať záležitosti
prijaté od spoločností uplatňujúcich samoreguláciu a od
členských štátov EÚ sťažujúcich sa na nedodržiavanie zásad
bezpečného prístavu.[35] Federálna obchodná komisia prijala v posledných
troch rokoch len niekoľko postúpených záležitostí od európskych orgánov
pre ochranu osobných údajov. V posledných mesiacoch sa začala
rozvíjať transatlantická spolupráca medzi orgánmi pre ochranu osobných
údajov. Federálna obchodná komisia napríklad podpísala 26. júna 2013
s úradom splnomocnenca pre ochranu údajov Írska memorandum o porozumení
týkajúce sa vzájomnej pomoci pri presadzovaní právnych predpisov chrániacich
osobné údaje v súkromnom sektore. V memorande sa stanovuje rámec na
intenzívnejšiu, jednoduchšiu a účinnejšiu spoluprácu v oblasti
presadzovania ochrany osobných údajov[36].
V
auguste 2013 Federálna obchodná komisia ohlásila ďalšie posilnenie kontrol
spoločností, ktoré kontrolujú veľké databázy osobných informácií.
Takisto vytvorila portál, kde spotrebitelia môžu podať sťažnosť
týkajúcu sa ochrany osobných údajov zo strany spoločnosti z USA[37]. Federálna obchodná komisia by mala takisto
zintenzívniť snahy týkajúce sa vyšetrovania nepravdivých vyhlásení o
dodržiavaní systému bezpečného prístavu. Spoločnosť, ktorá na
svojej webovej stránke vyhlasuje, že dodržiava požiadavky systému
bezpečného prístavu, ale nie je uvedená v zozname ministerstva obchodu ako
„aktuálny“ člen systému, zavádza spotrebiteľov a zneužíva ich dôveru.
Nepravdivé vyhlásenia oslabujú dôveryhodnosť systému ako celku a preto by
sa mali okamžite odstrániť z webových stránok spoločností.
Spoločnosti by mali byť viazané vymáhateľnou požiadavkou
nezavádzať spotrebiteľov. Federálna obchodná komisia by sa mala
naďalej usilovať o zisťovanie nepravdivých vyhlásení o
účasti v systéme bezpečného prístavu ako v prípade spoločnosti Karnani,
kde Federálna obchodná komisia zatvorila kalifornskú webovú stránku z dôvodu
nepravdivého vyhlásenia o registrácii v systéme bezpečného prístavu a
angažovaní v podvodných praktikách elektronického obchodu zameraných na európskych
spotrebiteľov[38].
Federálna obchodná komisia 29. októbra 2013
oznámila, že „v posledných mesiacoch začala početné vyšetrovania
dodržiavania zásad bezpečného prístavu“ a že „v nadchádzajúcich mesiacoch“
možno očakávať ďalšie konania na presadzovanie právnych
predpisov v tejto oblasti. Federálna obchodná komisia takisto potvrdila,
že sa „zaväzuje hľadať spôsoby zlepšovania svojej účinnosti“ a
bude „naďalej vítať akékoľvek zmysluplné podnety, ako bola
napríklad sťažnosť prijatá v posledných mesiacoch od európskej
organizácie na ochranu práv spotrebiteľov, v ktorej sa uvádzali tvrdenia o
veľkom počte porušení zásad bezpečného prístavu“.[39] Komisia sa takisto
zaviazala „systematicky monitorovať dodržiavanie príkazov týkajúcich sa
systému bezpečného prístavu, ako to robíme so všetkými našimi príkazmi“[40]. Federálna obchodná komisia 12. novembra 2013
informovala Európsku komisiu, že „ak stratégia spoločnosti
v oblasti ochrany osobných údajov sľubuje ochranu podľa zásad
bezpečného prístavu a daná spoločnosť nezíska alebo si neudrží
registráciu v systéme, neznamená to, že Federálna obchodná komisia nebude od
tejto spoločnosti požadovať presadzovanie týchto záväzkov
bezpečného prístavu“[41].
V novembri 2013 ministerstvo obchodu
informovalo Európsku komisiu, že „s cieľom zabezpečiť, aby
spoločnosti nepredkladali „nepravdivé vyhlásenia“ o účasti v systéme
bezpečného prístavu, ministerstvo obchodu začne proces kontaktovania
sa s účastníkmi systému bezpečného prístavu jeden mesiac pred dátumom
ich opätovnej certifikácie a opíše kroky, ktoré musia vykonať, ak sa
rozhodnú nevykonať opätovnú certifikáciu“. Ministerstvo obchodu „bude
upozorňovať v tejto kategórii, aby zo svojej stratégie ochrany
osobných údajov a webových str8n62 odstránili všetky odkazy na účasť
v systéme bezpečného prístavu vrátane používania obchodného znaku
certifikácie v programe bezpečného prístavu, a spoločnostiam jasne
oznámi, že ak tak neurobia, budú podliehať konaniam presadzovania práva zo
strany Federálnej obchodnej komisie“[42]. V rámci boja proti nepravdivým vyhláseniam o
dodržovaní systému bezpečného prístavu by stratégie ochrany osobných
údajov samocertifikovaných spoločností na ich webových stránkach mali vždy
obsahovať odkaz na webovú stránku ministerstva obchodu týkajúcu sa systému
bezpečného prístavu, kde sa nachádza zoznam všetkých „aktuálnych“
členov systému. To umožní európskym dotknutým osobám okamžite si
overiť, bez dodatočného vyhľadávania, či je
spoločnosť momentálne členom systému bezpečného prístavu.
Ministerstvo obchodu to začalo v marci 2013 požadovať od
spoločností, ale tento proces by sa mal zintenzívniť. Priebežné monitorovanie a následné
presadzovanie skutočného dodržiavania zásad bezpečného prístavu zo
strany Federálnej obchodnej komisie – okrem uvedených opatrení prijatých
ministerstvom obchodu – zostávajú kľúčovou prioritou na
zaručenie riadneho a účinného fungovania systému. Je potrebné
predovšetkým zintenzívniť kontroly ex officio a vyšetrovania
dodržiavania zásad bezpečného prístavu spoločnosťami.
Takisto by sa malo ďalej zjednodušiť podávanie sťažností
Federálnej obchodnej komisii týkajúcich sa porušovania zásad. 5.2. Výbor EÚ pre
ochranu údajov Výbor EÚ pre
ochranu údajov je orgán vytvorený na základe rozhodnutia o bezpečnom
prístave. Má právomoci vyšetrovať sťažnosti, ktoré podali jednotlivci
týkajúce sa osobných údajov zhromaždených v súvislosti s pracovnoprávnymi
vzťahmi, ako aj prípadov týkajúcich sa certifikovaných spoločností,
ktoré si vybrali túto možnosť riešenia sporov v rámci systému
bezpečného prístavu (53 % všetkých spoločností). Je zložený zo
zástupcov rôznych orgánov EÚ pre ochranu údajov. Výbor doteraz
dostal štyri sťažnosti (dve v roku 2010 a dve v roku 2013). Dve
sťažnosti postúpil vnútroštátnym orgánom pre ochranu údajov (Spojené
kráľovstvo a Švajčiarsko). Tretia a štvrtá sťažnosť sa
momentálne preskúmavajú. Malý počet sťažností sa môže vysvetliť
tým, že právomoci výboru sú, ako je uvedené vyššie, primárne obmedzené na
určitý typ údajov. Malý počet
prípadov výboru sa dá čiastočne vysvetliť aj nedostatočnou
informovanosťou o jeho existencii. Na webovej stránke Komisie sa od
roku 2004 objavuje čoraz viac informácií o výbore[43]. Pre lepšie využitie výboru spoločnosti v USA, ktoré sa rozhodli
pre možnosť spolupracovať s týmto výborom a dodržiavať jeho
rozhodnutia, pre niektoré alebo všetky kategórie osobných údajov, na ktoré sa
vzťahujú ich príslušné samocertifikácie, by to mali jasne a výrazne
uviesť vo svojich záväzkoch ochrany osobných údajov, aby sa ministerstvu
obchodu umožnilo kontrolovať tento aspekt. Na webovej stránke každého
orgánu EÚ pre ochranu údajov by mala byť vytvorená špecializovaná stránka
o systéme bezpečného prístavu s cieľom zvýšiť informovanosť
o systéme bezpečného prístavu v prípade európskych spoločností a dotknutých
osôb. 5.3. Zlepšenie presadzovania Nedostatky v
transparentnosti a v presadzovaní identifikované v predchádzajúcich
častiach dokumentu vedú k obavám medzi európskymi spoločnosťami,
pokiaľ ide o nepriaznivý dosah systému bezpečného prístavu na
konkurencieschopnosť európskych spoločností. Ak európska
spoločnosť súťaží s americkou spoločnosťou fungujúcou
podľa zásad bezpečného prístavu, ale v skutočnosti tieto zásady
neuplatňuje, európska spoločnosť je v konkurenčnej nevýhode
v porovnaní s americkou spoločnosťou. Okrem toho sa
jurisdikcia Federálnej obchodnej komisie vzťahuje na nekalé alebo klamlivé
konania alebo praktiky „pri obchodovaní alebo ovplyvňujúce obchodovanie“.
V oddiele 5 zákona o Federálnej obchodnej komisii sú stanovené výnimky z
právomoci Federálnej obchodnej komisie v oblasti nekalého alebo klamlivého
konania alebo praktík vo vzťahu okrem iného k telekomunikáciám.
Keďže na telekomunikačné spoločnosti sa nevzťahuje
presadzovanie zo strany Federálnej obchodnej komisie, tieto spoločnosti
nemôžu dodržiavať systém bezpečného prístavu. S čoraz
väčším vzájomným zbližovaním technológií a služieb sú však mnohí ich
priami konkurenti v odvetví IKT USA členmi systému bezpečného
prístavu. Vylúčenie telekomunikačných spoločností z výmeny
údajov podľa systému bezpečného prístavu vyvoláva obavy u niektorých
európskych telekomunikačných operátorov. Podľa Združenia európskych
prevádzkovateľov telekomunikačných sietí (ETNO) „to predstavuje jasný
konflikt vo vzťahu k najdôležitejšej žiadosti telekomunikačných
operátorov týkajúcej sa potreby rovnakých podmienok“[44]. 6. Posilnenie zásad
bezpečného prístavu 6.1. Alternatívne riešenia sporov Zásadou presadzovania sa vyžaduje, že musia existovať „ľahko
dostupné a z hľadiska výdavkov prístupné opravné mechanizmy,
prostredníctvom ktorých sa vyšetrujú sťažnosti a spory jednotlivcov“. Na
tento účel systém bezpečného prístavu zriaďuje systém
alternatívneho riešenia sporov (ARS) nezávislou treťou stranou[45], ktorý jednotlivcom
poskytuje rýchle riešenia. Tri najvýznamnejšie orgány opravných mechanizmov sú
Výbor EÚ na ochranu údajov, BBB (Better Business Bureaus) a TRUSTe. Používanie ARS od roku 2004 vzrástlo a ministerstvo obchodu posilnilo
monitorovanie amerických poskytovateľov ARS s cieľom
zaručiť, že informácie, ktoré poskytujú o postupe sťažností sú
zreteľné, dostupné a zrozumiteľné. Účinnosť tohto systému
sa ešte musí overiť z dôvodu malého počtu doteraz riešených prípadov[46]. Ministerstvo
obchodu síce úspešne znížilo poplatky, ktoré si účtujú poskytovatelia ARS,
dvaja zo siedmich významných poskytovateľov ARS si naďalej
účtujú poplatky od jednotlivcov podávajúcich sťažnosť[47]. To predstavuje
poskytovateľov ARS využívaných približne 20 % spoločností v systéme
bezpečného prístavu. Tieto spoločnosti si vybrali poskytovateľa
ARS, ktorý účtuje spotrebiteľom poplatky za podanie sťažnosti.
Takéto praktiky nie sú v súlade so zásadou presadzovania systému
bezpečného prístavu, ktorá jednotlivcom poskytuje právo na prístup k
„ľahko dostupným a z hľadiska výdavkov prístupným nezávislým opravným
mechanizmom“. V Európskej únii je prístup k službe nezávislého riešenia sporov
poskytovanej výborom EÚ na ochranu údajov bezplatný pre všetky dotknuté osoby. Ministerstvo
obchodu 12. novembra 2013 potvrdilo, že „bude naďalej hájiť súkromie
občanov EÚ a spoločne s poskytovateľmi ARS hľadať
možnosti ďalšieho znižovania ich poplatkov“. Pokiaľ ide o
sankcie, nie všetci poskytovatelia ARS majú potrebné nástroje na nápravu
situácií nedodržiavania zásad ochrany osobných údajov. Okrem toho sa zdá, že
nie všetci poskytovatelia služby alternatívneho riešenia sporov považujú
zverejnenie záverov o nedodržiavaní za jednu zo sankcií a opatrení. Poskytovatelia ARS
takisto musia postúpiť prípady Federálnej obchodnej komisii, ak
spoločnosť nepostupuje v súlade so závermi procesu ARS alebo odmieta
rozhodnutie poskytovateľa ARS, a Federálna obchodná komisia v takýchto
prípadoch preskúma a vyšetrí tieto prípady a podľa vhodnosti prijme
opatrenia presadzovania. Doteraz však nedošlo k postúpeniu prípadu z
poskytovateľa ARS na Federálnu obchodnú komisiu[48]. Poskytovatelia
služby alternatívneho riešenia sporov uchovávajú na svojich webových stránkach
zoznamy spoločností (účastníci riešenia sporov), ktoré využívajú ich
služby. To spotrebiteľom umožňuje overiť si, či – v prípade
sporu so spoločnosťou – môže jednotlivec podať sťažnosť
určenému poskytovateľovi riešenia sporov. Napríklad poskytovateľ
riešenia sporov BBB uvádza zoznam všetkých spoločností v systéme riešenia
sporov spoločnosti BBB. Existuje však veľa spoločností, ktoré o
sebe vyhlasujú, že sú zapojené do konkrétneho systému riešenia sporov, no
poskytovatelia služby ARS ich neuvádzajú v zozname účastníkov svojho
systému riešenia sporov[49].
Mechanizmy
ARS by mali byť pre jednotlivcov ľahko dostupné, nezávislé a
prístupné z hľadiska výdavkov. Dotknutá osoba by mala mať možnosť
podať sťažnosť bez neprimeraných obmedzení. Všetky orgány ARS by
mali na svojich webových stránkach zverejňovať štatistiky o
vybavených sťažnostiach, ako aj osobitné informácie o ich výsledkoch. Na
záver, orgány ARS by mali byť ďalej monitorované, aby sa
zaručilo, že informácie, ktoré poskytujú o postupe a spôsobe podávania
sťažností sú zreteľné a zrozumiteľné, aby sa riešenie sporov
stalo účinným a dôveryhodným mechanizmom prinášajúcim výsledky. Takisto by
sa malo opakovane zdôrazniť, že zverejnenie záverov o nedodržiavaní zásad
by malo byť súčasťou povinných sankcií ARS. 6.2. Ďalší prenos S exponenciálnym nárastom tokov údajov je
potrebné zaručiť neustálu ochranu osobných údajov vo všetkých fázach
spracovania údajov, predovšetkým pri prenose údajov spoločnosťou,
ktorá dodržiava systém bezpečného prístavu, na spracovateľa tretej
strany. Z tohto dôvodu sa potreba lepšieho presadzovania systému
bezpečného prístavu netýka len členov systému bezpečného
prístavu, ale aj subdodávateľov. Systém bezpečného prístavu umožňuje
ďalší prenos tretím stranám, ktoré konajú ako sprostredkovatelia, ak sa
spoločnosť – člen systému bezpečného prístavu –
„presvedčí o tom, že tretia strana dodržiava zásady alebo podlieha
smernici alebo inému právnemu záveru o primeranosti ochrany, alebo ak uzavrie
písomnú dohodu s takouto treťou stranou požadujúcu, aby tretia strana
poskytovala aspoň takú istú úroveň ochrany osobných údajov, akú
požadujú zásady ochrany osobných údajov“[50].
Napríklad, od poskytovateľa cloudových služieb ministerstvo obchodu
požaduje, aby uzavrel dohodu, aj keď dodržiava zásady bezpečného
prístavu a dostáva osobné údaje na spracovanie[51].
Toto ustanovenie však nie je zreteľné v prílohe II k rozhodnutiu o
bezpečnom prístave. Keďže využívanie subdodávateľov v
posledných rokoch značne narástlo, obzvlášť v súvislosti s
technológiou cloud computing, pri uzatváraní takejto dohody by
spoločnosť v systéme bezpečného prístavu mala informovať
ministerstvo obchodu a mala by mať povinnosť zverejniť svoje
záruky týkajúce sa osobných údajov[52].
Tri uvedené
problémy: mechanizmus alternatívneho riešenia sporov, posilnený dohľad a
ďalšie prenosy údajov by sa mali ďalej objasniť. 7. Prístup
k údajom prenášaným v rámci systému bezpečného prístavu Počas roka
2013 informácie o veľkosti a rozsahu programov sledovania USA vyvolali
obavy o kontinuitu ochrany osobných údajov zákonne prenesených do USA
podľa systému bezpečného prístavu. Napríklad, všetky
spoločnosti, ktoré sa zúčastňujú programu PRISM a umožňujú
orgánom USA prístup k údajom uloženým a spracúvaným v USA, majú certifikát pre
systém bezpečného prístavu. Tým sa systém bezpečného prístavu stal
jedným z kanálov, cez ktorý majú spravodajské orgány USA prístup k
zhromažďovaniu osobných údajov pôvodne spracovaných v EÚ. V prílohe 1 k rozhodnutiu
o bezpečnom prístave sa stanovuje, že dodržiavanie zásad môže byť
obmedzené, ak je to odôvodnené požiadavkami národnej bezpečnosti,
verejného záujmu alebo presadzovania práva, alebo zákonmi, nariadeniami vlády
alebo precedenčným právom. Na to, aby boli obmedzenia základných práv
platné, musia byť podrobne formulované, musia byť stanovené vo
verejne prístupných právnych predpisoch a musia byť potrebné a primerané v
demokratickej spoločnosti. Konkrétne, v rozhodnutí o bezpečnom
prístave sa stanovuje, že takéto obmedzenia sú povolené len „na mieru
potrebnú“ na splnenie požiadaviek národnej bezpečnosti, verejného
záujmu alebo presadzovania práva[53].
Hoci systém bezpečného prístavu umožňuje výnimočné spracovanie
údajov na účely národnej bezpečnosti, verejného záujmu alebo
presadzovania práva, takýto rozsiahly prístup spravodajských agentúr k údajom
prenášaným do USA v súvislosti s obchodnými transakciami sa v čase
prijatia rozhodnutia o bezpečnom prístave nedal predpokladať. Okrem
toho, z dôvodov transparentnosti a právnej istoty by ministerstvo obchodu malo
informovať Európsku komisiu o každom zákone alebo vládnom nariadení, ktoré
by ovplyvnilo dodržiavanie zásad bezpečného prístavu[54]. Využívanie výnimiek
by sa malo dôkladne monitorovať a výnimky sa nesmú využívať spôsobom,
ktorý podkopáva ochranu poskytovanú zásadami[55]. Obzvlášť
rozsiahly prístup orgánov USA k údajom spracúvaným spoločnosťami
samocertifikovanými v systéme bezpečného prístavu predstavuje riziko
podkopania dôveryhodnosti elektronických komunikácií. 7.1. Primeranosť a potreba Ako vyplýva zo záverov ad hoc pracovnej
skupiny EÚ - USA o ochrane údajov, niekoľkými právnymi základmi podľa
právnych predpisov USA umožňuje rozsiahle zhromažďovanie a
spracúvanie osobných údajov uchovávaných alebo inak spracúvaných
spoločnosťami so sídlom v USA. To môže zahŕňať údaje
predtým prenesené z EÚ do USA v rámci systému bezpečného prístavu a
vyvoláva to otázku pokračujúceho súladu so zásadami bezpečného
prístavu. Plošná povaha týchto programov môže viesť k tomu, že orgány USA
budú mať prístup k údajom prenášaným v rámci systému bezpečného
prístavu a ďalej ich spracúvať nad rámec toho, čo je nevyhnutne
primerané a potrebné na ochranu národnej bezpečnosti, ako to predpokladá
výnimka stanovená v rozhodnutí o bezpečnom prístave. 7.2. Obmedzenia a možnosti nápravy Ako vyplýva zo
záverov ad hoc pracovnej skupiny EÚ-USA o ochrane údajov, záruky poskytované
podľa právnych predpisov USA sú väčšinou k dispozícii pre
občanov alebo osoby s riadnym pobytom v USA. Okrem toho, neexistujú žiadne
príležitosti pre dotknuté osoby z EÚ alebo USA na získanie prístupu, opravu
alebo vymazanie údajov, príležitosti na administratívnu alebo súdnu nápravu,
pokiaľ ide o zhromažďovanie a ďalšie spracovanie ich osobných
údajov, ku ktorému dochádza v rámci programov sledovania USA. 7.3. Transparentnosť Spoločnosti vo
svojich stratégiách ochrany osobných údajov systematicky neuvádzajú, kedy
uplatňujú výnimky zo zásad. Jednotlivci a spoločnosti tak nevedia,
čo sa s ich údajmi deje. Týka sa to predovšetkým fungovania príslušných
programov sledovania USA. Výsledkom je, že tieto spoločnosti nemusia
informovať Európanov, ktorých údaje sa prenášajú do spoločnosti USA
podľa systému bezpečného prístavu, že k ich údajom môže získať
prístup aj niekto iný[56].
To vyvoláva otázku dodržiavania zásad transparentnosti systému bezpečného
prístavu. Transparentnosť by sa mala zaručiť v najväčšej
možnej miere bez ohrozenia národnej bezpečnosti. Okrem existujúcich
požiadaviek pre spoločnosti uvádzať vo svojich stratégiách ochrany
osobných údajov, keď dodržiavanie zásad môže byť obmedzené zákonmi,
nariadeniami vlády alebo , by sa mali povzbudzovať aj spoločnosti,
aby vo svojich stratégiách ochrany osobných údajov uvádzali, kedy
uplatňujú výnimky z dodržiavania zásad na spĺňanie požiadaviek
národnej bezpečnosti, verejného záujmu alebo presadzovania práva. 8. Závery a odporúčania Od svojho
zavedenia v roku 2000 sa systém bezpečného prístavu stal prostriedkom na
tok osobných údajov medzi EÚ a USA. Dôležitosť účinnej ochrany v prípade
prenosov osobných údajov vzrástla v dôsledku exponenciálneho nárastu tokov
údajov, ktoré sú hlavnou zložkou rýchleho rastu digitálnej ekonomiky, a
veľmi významného vývoja v oblasti zhromažďovania, spracovania a
používania údajov. Webové spoločnosti ako Google, Facebook, Microsoft,
Apple a Yahoo majú v Európe stovky miliónov klientov a prenášajú do USA osobné
údaje na spracovanie v rozsahu, ktorý bol v roku 2000, kedy bol systém
bezpečného prístavu vytvorený, nepredstaviteľný. V dôsledku nedostatkov v oblasti
transparentnosti a presadzovania opatrení naďalej pretrvávajú a mali by sa
riešiť osobitné problémy: a)
transparentnosť stratégií ochrany osobných
údajov členov systému bezpečného prístavu, b)
účinné uplatňovanie zásad ochrany
osobných údajov spoločnosťami v USA a c)
účinnosť presadzovania. Okrem toho, rozsiahly prístup
spravodajských agentúr k údajom prenášaným do USA spoločnosťami
certifikovanými v systéme bezpečného prístavu vyvoláva ďalšie
závažné otázky týkajúce sa kontinuity práv Európanov na ochranu údajov pri
prenose ich údajov do USA. Na základe uvedeného Komisia určila tieto
odporúčania: Transparentnosť
Samocertifikované spoločnosti by
mali zverejňovať svoje stratégie ochrany osobných údajov. Nestačí poskytnúť opis svojej stratégie ochrany osobných
údajov ministerstvu obchodu. Stratégie ochrany osobných údajov by mali
byť verejne dostupné na webových stránkach spoločností v jasnej
a zreteľnej forme.
Stratégie ochrany osobných údajov
samocertifikovaných spoločností na ich webových stránkach by mali
obsahovať odkaz na webovú stránku ministerstva obchodu týkajúcu sa
systému bezpečného prístavu, kde sa nachádza zoznam všetkých
„aktuálnych“ členov systému. To umožní európskym dotknutým osobám okamžite si
overiť, bez dodatočného vyhľadávania, či je spoločnosť
momentálne členom systému bezpečného prístavu. Pomohlo by to
zvýšiť dôveryhodnosť systému obmedzením možností nepravdivých
vyhlásení o dodržiavaní systému bezpečného prístavu. Ministerstvo
obchodu to začalo v marci 2013 požadovať od spoločností, ale
tento proces by sa mal zintenzívniť.
Samocertifikované spoločnosti by
mali zverejňovať podmienky ochrany osobných údajov v
akýchkoľvek zmluvách, ktoré uzatvárajú so subdodávateľmi,
napríklad poskytovateľmi cloudových služieb.
Systém bezpečného prístavu umožňuje ďalší prenos údajov zo
spoločností samocertifikovaných v systéme bezpečného prístavu
tretím stranám, ktoré konajú ako „sprostredkovatelia“, napríklad
poskytovateľom cloudových služieb. Podľa nášho vedomia v takých
prípadoch ministerstvo obchodu vyžaduje, aby samocertifikované
spoločnosti uzavreli dohodu. Pri uzatváraní takejto dohody by však
spoločnosť v systéme bezpečného prístavu mala
informovať ministerstvo obchodu a takisto by mala mať
povinnosť zverejniť svoje záruky týkajúce sa osobných údajov.
Jasne označiť na webových
stránkach ministerstva obchodu všetky spoločnosti, ktoré nie sú
aktuálnymi členmi systému. Označenie
„neaktuálny“ v zozname členov systému bezpečného prístavu
ministerstva obchodu by malo obsahovať aj jasnú výstrahu, že
spoločnosť momentálne nespĺňa požiadavky systému
bezpečného prístavu. Aj v prípade, že spoločnosť nie je
aktuálnym členom, musí naďalej uplatňovať požiadavky
systému bezpečného prístavu na údaje prijaté v rámci systému
bezpečného prístavu.
Náprava
Stratégie ochrany osobných údajov na
webových stránkach spoločností by mali obsahovať odkaz na
poskytovateľa alternatívneho riešenia sporov (ARS) a/alebo výbor EÚ. To umožní európskym dotknutým osobám sa v prípade problémov
okamžite obrátiť na poskytovateľa ARS alebo výbor EÚ.
Ministerstvo obchodu to začalo v marci 2013 požadovať od
spoločností, ale tento proces by sa mal zintenzívniť.
Alternatívne riešenie sporov by malo byť ľahko dostupné
a z hľadiska výdavkov prístupné. Niektoré
orgány ARS v systéme bezpečného prístavu naďalej účtujú od
jednotlivcov poplatky za podanie sťažnosti (200 – 250 USD), čo
môže byť pre jednotlivých používateľov nákladné. Naopak v Európe
je prístup k Výboru na ochranu údajov určenému na riešenie
sťažností v rámci systému bezpečného prístavu bezplatný.
Ministerstvo obchodu by malo systematickejšie monitorovať
poskytovateľov ARS, pokiaľ ide o transparentnosť a
dostupnosť informácií, ktoré poskytujú o postupe, ktorý používajú, a
o tom, ako ďalej riešia sťažnosti. Tým
sa riešenie sporov stane účinným a dôveryhodným mechanizmom
prinášajúcim výsledky. Takisto by sa malo opakovane zdôrazniť, že
zverejnenie záverov o nedodržiavaní zásad by malo byť
súčasťou do radu povinných sankcií ARS.
Presadzovanie
Po certifikácií alebo opätovnej certifikácii spoločností v
systéme bezpečného prístavu by sa v určitom percentuálnom
podiele spoločností mali vykonať vyšetrovania ex officio
účinného dodržiavania ich stratégií ochrany osobných údajov (ktoré by
mali byť viac než len kontrolou súladu s formálnymi požiadavkami).
Ak sa na základe sťažnosti alebo vyšetrovania zistí nesúlad,
spoločnosť by po 1 roku mala byť podrobená osobitnej
následnej kontrole.
V prípade pochybností o súlade spoločnosti alebo v prípade
podaných sťažností by ministerstvo obchodu malo informovať príslušný
orgán EÚ na ochranu údajov.
Naďalej by sa mali preskúmavať nepravdivé vyhlásenia o
dodržiavaní systému bezpečného prístavu. Spoločnosť,
ktorá na svojej webovej stránke vyhlasuje, že dodržiava požiadavky systému
bezpečného prístavu, ale nie je uvedená v zozname ministerstva
obchodu ako „aktuálny“ člen systému, zavádza spotrebiteľov a
zneužíva ich dôveru. Nepravdivé vyhlásenia oslabujú dôveryhodnosť
systému ako celku, a preto by sa mali okamžite odstrániť z webových
stránok spoločností.
Prístup orgánov
USA
Stratégie
ochrany osobných údajov samocertifikovaných spoločností by mali
obsahovať informácie o rozsahu, v ktorom právne predpisy USA
umožňujú verejným orgánov zhromažďovať a spracúvať
údaje prenesené v rámci systému bezpečného prístavu. Konkrétne by sa
spoločnosti mali povzbudzovať, aby vo svojich stratégiách
ochrany osobných údajov uvádzali, kedy uplatňujú výnimky z
dodržiavania zásad na spĺňanie požiadaviek národnej
bezpečnosti, verejného záujmu alebo presadzovania práva.
Je dôležité,
aby sa výnimka týkajúca sa národnej bezpečnosti, ktorá sa predpokladá
v rozhodnutí o bezpečnom prístave, používala len v presne nevyhnutnom
a primeranom rozsahu.
[1] V článkoch 25 a 26 smernice
o ochrane údajov sa stanovuje právny rámec na prenosy osobných údajov z EÚ do
tretích krajín mimo EHP. [2] Ďalšie pravidlá boli
stanovené v článku 13 rámcového rozhodnutia 2008/977/SVV z 27. decembra
2008 o ochrane osobných údajov spracúvaných v rámci policajnej a justičnej
spolupráce v trestných veciach v rozsahu, v ktorom takéto prenosy
zahŕňajú osobné údaje prenášané alebo sprístupňované zo strany
jedného členského štátu druhému členskému štátu, ktorý následne
plánuje preniesť tieto údaje do tretieho štátu alebo medzinárodného orgánu
na účely predchádzania trestným činom, ich vyšetrovania,
odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií. [3] Rozhodnutie Komisie 520/2000/ES
z 26. júla 2000 v súlade so smernicou Európskeho parlamentu
a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného
prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom
obchodu USA (Ú. v. EÚ L 215, 25.8.2000, s. 7). [4] Uvedené nevylučuje
uplatňovanie iných požiadaviek na spracovanie údajov, ktoré môžu
existovať podľa vnútroštátnych právnych predpisov, ktorými sa vykonáva
smernica EÚ o ochrane údajov. [5] Prenosy údajov z troch štátov,
ktoré sú zmluvnými stranami dohody o EHP, sú podobne ovplyvnené z dôvodu
rozšírenia pôsobnosti smernice 95/46/ES na Dohodu o EHP, rozhodnutie 83/1999 z
25. júna 1999 (Ú. v. EÚ L 296/41, 23.11.2000). [6] Podľa niektorých štúdií, ak by sa narušili služby
a cezhraničné toky údajov v dôsledku diskontinuity záväzných pravidiel pre
podniky, vzorových zmluvných klauzúl a systému bezpečného prístavu,
nepriaznivý vplyv na HDP EÚ by dosiahol -0,8 % až -1,3 % a vývoz
služieb EÚ do USA by poklesol o -6,7 % v dôsledku straty
konkurencieschopnosti. Pozri: „Hospodársky význam správnej ochrany údajov“,
štúdia Európskeho centra pre medzinárodnú politickú ekonómiu pre Obchodnú
komoru USA, marec 2013. [7] Štúdia posúdenia vplyvu
pripravená pre Európsku komisiu v roku 2008 centrom Centre de Recherche
Informatique et Droit (CRID) univerzity v Namure. [8] Pracovný dokument útvarov
Komisie „Uplatňovanie rozhodnutia Komisie 520/2000/ES
z 26. júla 2000 v súlade so smernicou Európskeho parlamentu a
Rady 95/46/ES o primeranej ochrane osobných údajov poskytovanej zásadami
bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými
Ministerstvom obchodu USA“ [SEK(2002) 196, 13.12.2002]. [9] Pracovný dokument útvarov Komisie
„Vykonávanie rozhodnutia Komisie 520/2000/ES o primeranej ochrane osobných
údajov poskytovanej zásadami „bezpečného prístavu“ a súvisiacimi
často kladenými otázkami vydanými Ministerstvom obchodu USA“ [SEK(2004)
1323, 20.10.2004]. [10] Ak certifikácia alebo opätovná
certifikácia spoločnosti nespĺňa požiadavky systému
bezpečného prístavu, Ministerstvo obchodu spoločnosť upozorní a
požiada ju o uskutočnenie opatrení (napr. objasnenia, zmeny v opisoch
stratégií) a až potom je možné dokončiť certifikáciu spoločnosti. [11] Podľa hlavy 49 zákonníka USA,
oddielu 41712. [12] Konkrétnejšie sa pozastavenie
prenosov môže vyžadovať v dvoch situáciách, a to ak: a) vládny orgán USA určil, že
spoločnosť porušuje zásady bezpečného prístavu, a b) je veľká pravdepodobnosť, že sa
porušujú zásady bezpečného prístavu; existuje reálny dôvod na domnienku,
že príslušný mechanizmus na presadzovanie zásad neprijíma alebo neprijme
primerané a včasné opatrenia na urovnanie určitého prípadu;
pokračujúci prenos údajov by mal za následok bezprostredné riziko vážneho
poškodenia dotknutých osôb a príslušné orgány v danom členskom štáte
vyvinuli podľa okolností primerané úsilie na to, aby o tom informovali
dotknutú spoločnosť a poskytli jej možnosť odpovedať. [13] Dňa 26. septembra 2013 bolo 3
246 organizácií uvedených v zozname bezpečného prístavu ako „aktuálnych“
a 935 ako „neaktuálnych“ . [14] Organizácie v rámci systému
bezpečného prístavu s počtom zamestnancov 250 alebo menej: 60 %
(1 925 z 3 246). Organizácie systému bezpečného prístavu s
počtom zamestnancov nad 251 alebo viac: 40 % (1 295 z
3 246). [15] Napríklad, spoločnosť
MasterCard spolupracuje s tisíckami bánk a táto spoločnosť je jasným
príkladom prípadu, kedy sa systém bezpečného prístavu nedá nahradiť
žiadnym iným právnym nástrojom na prenosy osobných údajov, ako sú napríklad
záväzné podnikové pravidlá alebo zmluvné mechanizmy. [16] Organizácie bezpečného
prístavu, ktoré pracujú s údajmi v oblasti ľudských zdrojov podľa
certifikácie systému bezpečného prístavu (a teda súhlasili so spoluprácou
s orgánmi EÚ pre ochranu osobných údajov a dodržiavaním ich predpisov): 51 %
(1 671 z 3 246). [17] Pozri rozhodnutie Düsseldorfer
Kreis z 28./29. apríla 2010. Pozri: Beschluss
der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen
Bereich am 28./29. April 2010 in Hannover: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile Európsky dozorný úradník pre ochranu údajov
Peter Hustinx však na zasadnutí Výboru LIBE Európskeho parlamentu 7. októbra
2013 vyjadril názor, že pokiaľ ide o systém bezpečného prístavu,
„dosiahli sa významné zlepšenia a väčšina problémov sa vyriešila“: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2013/13-10-07_Speech_LIBE_PH_EN.pdf [18] Pozri uznesenie z nemeckej
konferencie splnomocnencov pre ochranu údajov, v ktorom sa zdôrazňuje, že
spravodajské služby predstavujú veľkú hrozbu pre prenosy údajov medzi
Nemeckom a krajinami mimo Európy: http://www.bfdi.bund.de/EN/Home/homepage_Kurzmeldungen/PMDSK_SafeHarbor.html?nn=408870 [19] Pozri
tlačovú správu luxemburského orgánu pre ochranu osobných údajov z 18.
novembra 2013. [20] http://www.export.gov/SafeHarbour/ [21] https://SafeHarbour.export.gov/list.aspx [22] Príručka je k dispozícii na
webovej stránke programu na adrese: http://export.gov/SafeHarbour/ Užitočné tipy: http://export.gov/SafeHarbour/eu/eg_main_018495.asp [23] Ministerstvo obchodu 12. novembra
2013 potvrdilo, že „dnes spoločnosti, ktoré majú verejne dostupné webové
stránke a pracujú s údajmi spotrebiteľov/klientov/návštevníkov, musia na
svoju webovú stránku umiestniť stratégiu ochrany osobných údajov, ktorá je
v súlade so zásadami systému bezpečného prístavu“ (dokument: „Spolupráca
medzi EÚ a USA na vykonávanie rámca bezpečného prístavu“ z 12. novembra
2013). [24] V septembri 2013 austrálska
konzultačná spoločnosť Galexia porovnala „nepravdivé vyhlásenia“
o členstve v systéme bezpečného prístavu v rokoch 2008 a 2013. Jej
hlavným zistením je, že zároveň s nárastom členstva v systéme
bezpečného prístavu v rokoch 2008 až 2013 (z 1 109 na 3 246)
vzrástol počet nepravdivých vyhlásení z 206 na 427.
http://www.galexia.com/public/about/news/about_news-id225.html [25] V
období od marca do septembra 2013 ministerstvo obchodu: • upozornilo 101 spoločností, ktoré
už odoslali svoju stratégiu ochrany osobných údajov v súlade so systémom
bezpečného prístavu na webovú stránku systému bezpečného prístavu,
že svoju stratégiu ochrany osobných údajov musia takisto zverejniť na
webovej stránke svojej spoločnosti, • upozornilo 154 spoločností, ktoré
tak ešte neurobili, že ich stratégia ochrany osobných údajov má obsahovať
odkaz na webovú stránku systému bezpečného prístavu, • upozornilo viac
než 600 spoločností, že ich stratégia ochrany osobných údajov má
obsahovať kontaktné údaje na poskytovateľa nezávislého riešenia
sporov. [26] Pozri stranu 8 správy z roku 2004 SEK
(2004) 1323. [27] Podľa štatistiky poskytnutej
v septembri 2013 ministerstvom obchodu, v roku 2010 ministerstvo upozornilo
18 % (93) z 512 spoločností vykonávajúcich prvú certifikáciu a
16 % (231) z 1 417 spoločností vykonávajúcich opätovnú certifikáciu
na potrebu vykonania zlepšení ich stratégií ochrany osobných údajov alebo
žiadostí o vstup do systému bezpečného prístavu. V dôsledku požiadaviek
Komisie na prísnejšiu, dôslednejšiu a systematickejšiu kontrolu všetkých
podaných žiadostí ministerstvo obchodu do polovice septembra 2013 však
upozornilo 56 % (340) zo 602 spoločností vykonávajúcich prvú
certifikáciu a 27 % (493) z 1 809 spoločností vykonávajúcich
opätovnú certifikáciu a požiadalo ich o vykonanie zlepšení v ich stratégiách
ochrany osobných údajov. [28] Vystúpenie Chrisa Connollyho (zo
spoločnosti Galexia) na dokazovaní Výboru LIBE Európskeho parlamentu 7.
októbra 2013. [29] K decembru 2011 Ministerstvo
obchodu USA vyradilo zo zoznamu bezpečného prístavu 323 spoločností:
94 spoločností bolo vyradených, pretože ukončilo činnosť,
88 spoločností v dôsledku akvizície alebo zlúčenia, 95 na
žiadosť materskej spoločnosti, 41 spoločností pretože opakovanie
nežiadali o opätovnú certifikáciu a 5 spoločností z rôznych dôvodov. [30] Výbor EÚ pre ochranu osobných
údajov je orgán oprávnený vyšetrovať a vybavovať sťažnosti
vznesené jednotlivcami voči údajnému porušeniu zásad bezpečného
prístavu zo strany spoločnosti z USA, ktorá je členom systému
bezpečného prístavu. Spoločnosti, ktoré osvedčili, že budú
dodržiavať zásady bezpečného prístavu, sa musia rozhodnúť
dodržiavať nezávislé opravné mechanizmy alebo spolupracovať s Výborom
EÚ pre ochranu údajov pri náprave problémov vyplývajúcich z nedodržiavania
zásad bezpečného prístavu. Spolupráca s Výborom EÚ pre ochranu údajov je
však povinná, ak spoločnosť z USA spracúva osobné údaje v oblasti
ľudských zdrojov prenášané z EÚ v súvislosti s pracovnoprávnymi
vzťahmi. Ak sa spoločnosť zaviaže spolupracovať s výborom
EÚ, musí sa takisto zaviazať, že bude dodržiavať akékoľvek
odporúčanie zo strany výboru EÚ, ak je výbor toho názoru, že
spoločnosť musí prijať osobitné opatrenia v záujme
dodržiavania zásad bezpečného prístavu vrátane opravných alebo
kompenzačných opatrení. [31] Ministerstvo dopravy vykonáva
podobné právomoci vo vzťahu k leteckým spoločnostiam podľa hlavy
49 Zákonníka USA oddiel 41712. [32] Sťažnosť bola od
občana Švajčiarska, a preto ju Výbor EÚ pre ochranu údajov postúpil
švajčiarskemu orgánu pre ochranu osobných údajov (USA majú samostatný
systém bezpečného prístavu pre Švajčiarsko). [33] Pozri prílohu V k rozhodnutiu
Komisie 2000/520/ES z 26. júla 2000. [34] V období rokov 2009 až 2012
Federálna obchodná komisia (FTC) ukončila 10 konaní presadzovania práva vo
vzťahu k záväzkom podľa zásad bezpečného prístavu. FTC proti
Javian Karnani a Balls of Kryptonite, LLC (2009), World Innovators, Inc.
(2009), Expat Edge Partners, LLC (2009), Onyx Graphics, Inc. (2009), Directors
Desk LLC (2009), Progressive Gaitways LLC (2009), Collectify LLC (2009), Google
Inc. (2011), Facebook, Inc. (2011), Myspace LLC (2012). Pozri: „Federálna
obchodná komisia a záväzky podľa zásad bezpečného prístavu“:
http://export.gov/build/groups/public/@eg_main/@SafeHarbour/documents/webcontent/eg_main_052211.pdf
Pozri aj: „Hlavné body prípadov“: http://business.ftc.gov/us-eu-Safe-Harbour-framework.
Väčšina týchto prípadov zahŕňala problémy so
spoločnosťami, ktoré sa pridali k systému bezpečného prístavu,
ale potom sa naďalej vyhlasovali za členov bez výročného
obnovovania certifikácie. [35] Tento záväzok bol zopakovaný na stretnutí
komisárky Federálnej obchodnej komisie Julie Brillovej s orgánmi EÚ pre ochranu
údajov (Pracovná skupina zriadená podľa článku 29) v Bruseli 17.
apríla 2013. [36] http://www.dataprotection.ie/viewdoc.asp?Docid=1317&Catid=66&StartDate=1+January+2013&m=n [37] Spotrebitelia môžu podať
svoje sťažnosti prostredníctvom portálu Federal Trade Commission Complaint
Assistant (https://www.ftccomplaintassistant.gov/) a spotrebitelia z iných štátov môžu
podávať sťažnosti prostredníctvom econsumer.gov
(http://www.econsumer.gov). [38] http://www.ftc.gov/os/caselist/0923081/090806karnanicmpt.pdf [39] http://www.ftc.gov/speeches/brill/131029europeaninstituteremarks.pdf a http://www.ftc.gov/speeches/ramirez/131029tacdremarks.pdf [40] List predsedníčky federálnej
obchodnej komisie Edith Ramirezovej podpredsedníčke Viviane Redingovej. [41] List predsedníčky federálnej
obchodnej komisie Edith Ramirezovej podpredsedníčke Viviane Redingovej. [42] „Spolupráca medzi EÚ a USA na
vykonávanie rámca bezpečného prístavu“, 12. november 2013. [43] Podľa
správy z roku 2004 bolo na webovej stránke Komisie (GR pre spravodlivosť)
zverejnené oznámenie vo forme otázok a odpovedí Výboru EÚ na ochranu údajov s
cieľom zvýšiť informovanosť jednotlivcov a pomôcť im
podávať sťažnosti, keď sa domnievajú, že ich osobné údaje boli
spracované v rozpore so zásadami bezpečného prístavu
http://ec.europa.eu/justice/policies/privacy/docs/adequacy/information_safe_harbour_sk.pdf Štandardný formulár
sťažnosti je k dispozícii na http://ec.europa.eu/justice/policies/privacy/docs/adequacy/
complaint_form_en.pdf [44] „Úvahy združenia ETNO“ prijaté
útvarmi Komisie 4. októbra 2013 sa zaoberajú aj 1) vymedzením osobných údajov v
systéme bezpečného prístavu, 2) nedostatočným monitorovaním systému
bezpečného prístavu a 3) faktom, že „spoločnosti z USA môžu
prenášať údaje s oveľa menšími obmedzeniami než ich európske
náprotivky“, čo „predstavuje jasnú diskrimináciu európskych
spoločností a ovplyvňuje konkurencieschopnosť európskych spoločností“.
Podľa pravidiel systému bezpečného prístavu, na to, aby mohli organizácie poskytnúť informácie
tretej strane, musia uplatniť zásady oznámenia a možnosti voľby. Ak
chce organizácia preniesť informácie tretej strane, ktorá koná ako
sprostredkovateľ, môže tak urobiť, ak sa najprv buď
presvedčí o tom, že tretia strana dodržiava zásady alebo podlieha smernici
alebo inému právnemu záveru o primeranosti ochrany, alebo ak uzavrie písomnú
dohodu s takouto treťou stranou požadujúcu, aby tretia strana poskytovala
aspoň takú istú úroveň ochrany osobných údajov, akú sa požaduje
príslušnými zásadami. [45] V smernici EÚ 2013/11/EÚ o
alternatívnom riešení spotrebiteľských sporov sa zdôrazňuje význam
nezávislých, nestranných, transparentných, účinných, rýchlych a spravodlivých
postupov alternatívneho riešenia sporov. [46] Napríklad jeden významný
poskytovateľ služieb (TRUSTe) informoval, že v roku 2010 dostal 881
žiadostí, ale len tri z nich boli uznané za prípustné a oprávnené a viedli k
tomu, že príslušná spoločnosť musela zmeniť svoju stratégiu
ochrany osobných údajov a webovú stránku. V roku 2011 bol počet
sťažností 879 a v jednom prípade spoločnosť musela zmeniť
svoju stratégiu ochrany osobných údajov. Podľa Ministerstva obchodu absolútnu
väčšinu sťažností poskytovateľom alternatívneho riešenia sporov
tvoria žiadosti spotrebiteľov, napríklad používateľov, ktorí zabudli
svoje heslo a nemohli ho získať od internetovej služby. Na žiadosť
Komisie ministerstvo obchodu vypracovalo nové kritériá vykazovania štatistiky,
ktoré budú používať všetci poskytovatelia ARS. Rozlišujú medzi
obyčajnými žiadosťami a sťažnosťami a poskytujú ďalšie
objasnenie typov prijatých sťažností. Tieto nové kritériá sa však musia
ďalej prediskutovať, aby sa zaručilo, že nové štatistiky v roku
2014 zahŕňajú všetkých poskytovateľov ARS, sú porovnateľné
a poskytujú dôležité informácie na posúdenie účinnosti opravného
mechanizmu. [47] Medzinárodné centrum pre riešenie
problémov / americké arbitrážne združenie (ICDR/AAA) si účtuje „poplatok
za podanie“ vo výške 200 USD a JAMS vo výške 250 USD. Ministerstvo obchodu
informovalo Komisiu, že so združením AAA, najdrahším poskytovateľom
riešenia sporov pre jednotlivcov, vypracovalo program špecifický pre systém
bezpečného prístavu, ktorý znižuje náklady pre spotrebiteľov z
niekoľko tisíc dolárov na paušálnu sadzbu 200 USD. [48] Pozri FAQ 11. [49] Príklady: Spoločnosť
Amazon informovala ministerstvo obchodu, že využíva spoločnosť BBB
ako svojho poskytovateľa riešenia sporov. Spoločnosť BBB však
neuvádza spoločnosť Amazon v zozname svojich účastníkov riešenia
sporov. Naopak, spoločnosť Arsalon Technologies (www.arsalon.net),
poskytovateľ služby cloudového hosťovania, sa nachádza v zozname
účastníkov riešenia sporov spoločnosti BBB pre systém bezpečného
prístavu, ale táto spoločnosť nie je aktuálnym členom systému
bezpečného prístavu (situácia k 1. októbru 2013). Spoločnosti BBB,
TRUSTe a ďalší poskytovatelia služieb ARS by mali odstrániť alebo
opraviť vyhlásenia o certifikácii. Mali by byť viazané
vymáhateľnou požiadavkou na certifikovanie iba tých spoločností,
ktoré sú členmi systému bezpečného prístavu. [50] Pozri rozhodnutie Komisie
2000/520/ES, strana 7 (Ďalší prenos). [51] Pozri: „Objasnenia týkajúce sa
rámca bezpečného prístavu medzi USA a EÚ a technológie cloud computing“: http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%202013_Latest_eg_main_060351.pdf [52] Tieto poznámky sa týkajú
poskytovateľov cloudových služieb, ktorí nie sú členmi systému
bezpečného prístavu. Podľa konzultačnej spoločnosti Galexia
je „úroveň členstva v systéme bezpečného prístavu (a dodržiavanie
zásad) medzi poskytovateľmi cloudových služieb celkom vysoká.
Poskytovatelia cloudových služieb spravidla majú viacero vrstiev ochrany
osobných údajov a často kombinujú priame dohody s klientmi a všeobecné
stratégie ochrany osobných údajov. S jednou alebo dvomi dôležitými výnimkami
poskytovatelia cloudových služieb v systéme bezpečného prístavu
dodržiavajú kľúčové ustanovenia týkajúce sa riešenia sporov a
presadzovania. V zozname nepravdivých tvrdení o členstve sa momentálne
nenachádza žiadny významný poskytovateľ cloudových služieb.“ (Vystúpenie
Chrisa Connollyho zo spoločnosti Galexia na dokazovaní Výboru LIBE k téme
„Elektronické hromadné sledovanie občanov EÚ“). [53] Pozri prílohu 1 k rozhodnutiu o
bezpečnom prístave: „Dodržiavanie týchto zásad môže byť obmedzené: a)
na mieru potrebnú na splnenie požiadaviek národnej bezpečnosti, verejného
záujmu alebo vymáhania práva; b) zákonmi, nariadeniami vlády alebo
precedenčným právom, ktoré ustanovujú protichodné povinnosti alebo
výslovné oprávnenia, za predpokladu, že pri vykonávaní každého takéhoto
oprávnenia môže organizácia preukázať, že jej nedodržiavanie zásad je
obmedzené do tej miery, ktorá je potrebná na splnenie vyššie stojacich
legitímnych záujmov vyplývajúcich z takéhoto oprávnenia; alebo c) ak
účinok určitej smernice v rámci právnych predpisov členského
štátu umožňuje výnimky alebo odchýlky, za predpokladu, že takéto výnimky
alebo odchýlky sa uplatňujú v porovnateľných súvislostiach. Sledujúc
cieľ zvyšovania ochrany súkromia by sa organizácie mali snažiť vykonávať
tieto zásady v úplnosti a transparentne, čo tiež znamená, že by v rámci
svojich stratégií ochrany súkromia mali uviesť, v akých prípadoch sa budú
pravidelne uplatňovať výnimky zo zásad povolené na základe vyššie
uvedeného písmena b). Z tých istých dôvodoch sa predpokladá, že tam, kde je v
súlade so zásadami a/alebo s právom USA možná voľba medzi určitými
alternatívami, si organizácie podľa možnosti zvolia vyššiu úroveň
ochrany.“ [54] Stanovisko 4/2000 k úrovni ochrany
poskytovanej zásadami bezpečného prístavu prijaté 16. mája 2000 pracovnou
skupinou zriadenou podľa článku 29. [55] Stanovisko 4/2000 k úrovni ochrany
poskytovanej zásadami bezpečného prístavu prijaté 16. mája 2000 pracovnou
skupinou zriadenou podľa článku 29. [56] Relatívne transparentné informácie
v tomto zmysle poskytujú niektoré európske spoločnosti v systéme
bezpečného prístavu. Napríklad, spoločnosť Nokia, ktorá má
prevádzky aj v USA a je členom systému bezpečného prístavu, poskytuje
vo svojej stratégii ochrany osobných údajov tento oznam: „Z kogentných ustanovení zákona môže pre
spoločnosť Nokia vyplývať povinnosť poskytnúť vaše
osobné údaje určitým orgánom alebo tretím stranám, ako sú napríklad orgány
presadzovania práva v krajinách, kde pôsobíme my alebo tretie strany konajúce v
našom mene.“