EVROPSKA KOMISIJA

Bruselj, 29.2.2016

COM(2016) 117 final

SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

Čezatlantski pretok podatkov: povrnitev zaupanja z močnimi zaščitnimi ukrepi

1. Uvod: Vloga izmenjav osebnih podatkov v odnosih med EU in ZDA

Močno čezatlantsko partnerstvo med Evropsko unijo in Združenimi državami Amerike še nikdar ni bilo tako ključnega pomena. Delimo iste vrednote, prizadevamo si za izpolnitev skupnih političnih in gospodarskih ciljev ter tesno sodelujemo v boju proti skupnim grožnjam, ki pretijo naši varnosti. Neomajna trdnost naših odnosov se odraža v obsegu trgovinskih izmenjav in tesnem sodelovanju v svetovni politiki.

Prenos in izmenjava osebnih podatkov sta bistvenega pomena za tesne vezi med Evropsko unijo (EU) in Združenimi državami (ZDA) na poslovnem področju in v sektorju kazenskega pregona. Za izmenjavo podatkov je potrebna visoka raven varstva podatkov, ki zajema ustrezne zaščitne ukrepe.

Junija 2013 so poročila o obsežnih programih zbiranja obveščevalnih podatkov v ZDA tako na ravni EU kot tudi v državah članicah vzbudila resno zaskrbljenost glede vpliva obsežne obdelave osebnih podatkov s strani javnih organov in zasebnih družb v ZDA na temeljne pravice Evropejcev.

Komisija se je 27. novembra 2013 odzvala z objavo Sporočila o obnovitvi zaupanja v pretok podatkov med EU in ZDA 1 , v katerem je določila akcijski načrt za povrnitev zaupanja v prenose podatkov v korist digitalnega gospodarstva, varstva pravic evropskih posameznikov in širših čezatlantskih odnosov. Za dosego tega cilja so v sporočilu navedeni naslednji ključni ukrepi:

(i)    sprejetje svežnja ukrepov za reformo varstva podatkov, ki ga je Komisija predlagala leta 2012 2 ;

(ii)    zagotovitev večje varnosti varnega pristana na podlagi trinajstih priporočil, zapisanih v Sporočilu o varnem pristanu 3 ; ter

(iii) okrepitev zaščitnih ukrepov za varstvo podatkov pri sodelovanju na področju kazenskega pregona, zlasti s sklenitvijo pogajanj o krovnem sporazumu EU–ZDA o varstvu podatkov. Med cilji slednjega je bilo tudi pridobiti zaveze ZDA o izvršljivosti pravic posameznikov, vključno z možnostmi za zagotovitev sodnega varstva, zlasti s sprejetjem zakona o sodnem varstvu (Judicial Redress Act), ki bi državljanom EU na podlagi ameriškega zakona o zasebnosti (U.S. Privacy Act) iz leta 1974 podelil nekatere pravice, ki so bile ob sprejetju tega zakona na voljo le državljanom ZDA in osebam s stalnim prebivališčem v ZDA.

Politične smernice 4 Junckerjeve komisije so te cilje še dodatno potrdile. „Varstvo podatkov je temeljna pravica, ki je še zlasti pomembna v digitalni dobi. Poleg hitrega dokončanja priprave zakonodaje za določitev skupnih pravil za varstvo podatkov v Evropski uniji moramo to pravico prav tako potrditi v naših zunanjih odnosih. Ob upoštevanju nedavnih razkritij množičnega nadzora nas bodo morali vsi, s katerimi sodelujemo v tesnem partnerstvu, kot na primer Združene države Amerike, prepričati, da je trenutna ureditev varnega pristana zares varna, če želijo, da se nadaljuje. ZDA morajo tudi zajamčiti, da imajo vsi državljani EU pravico do uveljavljanja pravic do varstva podatkov pred ameriškimi sodišči, ne glede na to, ali prebivajo na ameriškem ozemlju ali ne. To bo bistvenega pomena pri ponovni vzpostavitvi zaupanja v čezatlantskih odnosih.“

Komisija si je od tedaj prizadevala za izpolnitev navedenih ciljev. Pospešila je pogajanja o krovnem sporazumu, ki sta jih strani začeli 8. septembra 2015. Okrepljene so bile medinstitucionalne razprave o svežnju ukrepov za reformo varstva podatkov, tako da je bil 15. decembra 2015 dosežen političen dogovor med Svetom in Evropskim parlamentom. Na področju čezatlantskega prenosa podatkov v poslovne namene je Komisija januarja 2014 začela pogovore z ZDA o okrepitvi varnega pristana. Razveljavitev odločbe o varnem pristanu s sodbo v zadevi Schrems z dne 6. oktobra 2015 5 je še potrdila potrebo po prenovljenem okviru in ponudila dodatne smernice o pogojih, ki bi jih tak okvir moral izpolnjevati. Po sodbi je Komisija 6. novembra 2015 izdala smernice za družbe, s katerimi je določila alternativne mehanizme, ki omogočajo nadaljevanje prenosov osebnih podatkov v Združene države 6 . 2. februarja 2016 je bil dosežen politični dogovor o novem okviru za čezatlantski pretok podatkov, zasebnostni ščit EU–ZDA 7 , ki bo zamenjal prejšnjo ureditev.

Ti dosežki bodo koristili čezatlantskim odnosom in pomagali povrniti zaupanje Evropejcev v digitalno gospodarstvo ob krepitvi njihovih temeljnih pravic. Prav tako bodo EU in njene države članice opremili s trdnejšim pravnim okvirom za varstvo podatkov, ki bo privedel do tesnejšega povezovanja notranjega trga, zlasti enotnega digitalnega trga, ter EU omogočil, da bo pospešila svoja prizadevanja za spodbujanje in razvoj mednarodnih standardov za varstvo zasebnosti in osebnih podatkov.

Poleg tega so bile uvedene pomembne pobude, ki so privedle do pomembnih sprememb v pravnem redu ZDA. Predsednik Obama je 17. januarja 2014 napovedal 8 reforme ameriških obveščevalnih dejavnosti SIGINT, ki bile nato zapisane v predsedniški politični direktivi 28 (PPD-28) 9 . Pomembno je, da so te reforme zagotovile razširitev nekaterih elementov varstva zasebnosti na Neameričane ter preusmeritev od množičnega zbiranja podatkov k pristopu, ki daje prednost usmerjenemu zbiranju in dostopu. Nove usmeritve je Komisija pozdravila kot pomemben korak v pravo smer 10 . Ta reformni proces je tudi odigral odločilno vlogo pri zagotavljanju informacij za razpravo z Združenimi državami o zasebnostnem ščitu EU–ZDA. Od tedaj so bile uvedene še dodatne spremembe. Junija 2015 so tako ZDA sprejele zakon o svobodi (USA Freedom Act) 11 , ki je spremenil nekatere ameriške programe nadzora, okrepil pravosodni nadzor in povečal javno preglednost uporabe teh programov. Nazadnje je 10. februarja 2016 ameriški kongres sprejel zakon o sodnem varstvu (Judicial Redress Act), ki ga je predsednik Obama s podpisom potrdil 24. februarja 2016 12 .

To sporočilo na podlagi vsega navedenega preučuje, kako daleč smo pri uresničevanju ciljev sporočila iz leta 2013. Poleg tega bo poudarilo področja, na katerih so potrebna nadaljnja prizadevanja za utrditev in popolno povrnitev zaupanja v čezatlantski pretok podatkov.

2. Reforma EU glede varstva podatkov

2.1 Kontekst

Evropska komisija je januarja 2012 predstavila sveženj ukrepov za reformo varstva podatkov (v nadaljnjem besedilu: reforma), da bi izkoristili priložnosti in obravnavali izzive v vse bolj digitalnem medsebojno povezanem svetu. Cilj reforme je, da se s krepitvijo notranjih pravil EU in zagotavljanjem večjega nadzora posameznikov nad njihovimi osebnimi podatki poveča zaupanje v digitalno gospodarstvo, ne glede na to, ali se osebni podatki obdelujejo v državi članici, v EU ali v tretjih državah, kot so ZDA.

Reformni sveženj sestavljata sva pravna instrumenta, to sta Splošna uredba o varstvu podatkov 13 (v nadaljnjem besedilu: Uredba), ki določa skupni okvir EU za varstvo podatkov, in Direktiva o varstvu podatkov na področju policijskega in pravosodnega sodelovanja (v nadaljnjem besedilu: Policijska direktiva) 14 . Komisija je predlagala uredbo, ki se bo neposredno uporabljala v državah članicah, ker je želela vzpostaviti enoten standard varstva podatkov za vse ter tako odpraviti razlike v ravni njihovega varstva med državami članicami. Podobno velja za Policijsko direktivo, ki bo prvič doslej določila skupna pravila na ravni EU ob upoštevanju posebnosti tradicij v državah članicah na področjih pravosodja in zakonskega pregona.

Dne 15. decembra 2015 sta Evropski parlament in Svet dosegla politični dogovor o svežnju reform, s čimer sta udejanjila enega od ključnih ukrepov, opredeljenih v sporočilu iz leta 2013.

2.2 Kaj se je spremenilo?

Nova uredba posodablja in v nekaterih primerih krepi načela varstva zasebnosti, ki jih določa Direktiva o varstvu podatkov 15 iz leta 1995, tako da zagotavlja pravico do zasebnosti. Osredotoča se na krepitev pravic posameznikov, poglobitev notranjega trga EU, zagotavljanje okrepljenega uveljavljanja pravil, racionalizacijo mednarodnih prenosov osebnih podatkov in določitev svetovnih standardov varstva podatkov. Namen teh pravil je zagotoviti varstvo osebnih podatkov posameznikov v EU – ne glede na to, kam se pošljejo, kje se obdelajo in kje se hranijo – tudi zunaj EU, kar je v digitalnem svetu pogosto. Zlasti je treba poudariti nekatere značilnosti reforme.

Prvič, ozemeljsko področje uporabe: v Uredbi je jasno navedeno, da se uporablja tudi za družbe s sedežem v tretji državi, če te v EU ponujajo blago ali storitve oziroma spremljajo vedenje posameznikov. Družbe s sedežem zunaj EU bodo morale uporabljati ista pravila kot družbe s sedežem v EU. To zagotavlja celovito zaščito pravic posameznikov v EU. Prav tako vzpostavlja enake konkurenčne pogoje za družbe v EU in tuje družbe, s čimer se preprečuje nadaljnje konkurenčno neravnovesje med družbami EU in tujimi družbami, ki delujejo v EU, ali pa so njihova ciljna skupina potrošniki v EU.

Drugič, okrepljeno uveljavljanje pravil o varstvu podatkov: Uredba zagotavlja učinkovit režim sankcij, in sicer z uskladitvijo pooblastil nacionalnih nadzornih organov za varstvo podatkov. Ti bodo pristojni za naložitev kazni v višini do 20 milijonov EUR oziroma do 4 % skupnega svetovnega letnega prometa družbe. Pristojnost naložiti odvračilno kazen za nespoštovanje pravil o varstvu podatkov bo v povezavi z zgoraj navedenim ozemeljskim področjem uporabe zagotavljala močno spodbudo družbam, ki poslujejo v EU, za spoštovanje prava EU. Nova pravila bodo uvedla tudi jasnejšo in strožjo ureditev odgovornosti upravljavcev in obdelovalcev podatkov.

Tretjič, usklajena pravila za sodelovanje na področju kazenskega pregona: na podlagi Policijske direktive se bodo splošna načela in pravila o varstvu podatkov uporabljala tudi pri obdelavi osebnih podatkov s strani policijskih in pravosodnih organov v državah članicah v zadevah kazenskega pregona. To vključuje tudi usklajena pravila za mednarodne prenose osebnih podatkov v okviru sodelovanja na področju kazenskega pregona 16 . Nova direktiva bo dvignila raven varstva posameznikov in hkrati zagotovila, da bodo podatki žrtev, prič in osumljencev kaznivih dejanj v okviru kazenske preiskave ali ukrepov kazenskega pregona ustrezno varovani. Nadzor zagotavljajo neodvisni nacionalni organi za varstvo podatkov, posameznikom pa morajo biti na razpolago učinkovita pravna sredstva. Bolje usklajena zakonodaja bo hkrati omogočila učinkovitejše sodelovanje policijskih in pravosodnih organov, tako med državami članicami kot tudi med državami članicami in njihovimi mednarodnimi partnerji, ter s tem še okrepila boj proti kriminalu in terorizmu. Gre za ključni del evropske agende za varnost 17 .

Četrtič, stroga pravila za varnejše mednarodne prenose: tako Uredba kot Policijska direktiva zagotavljata pregledna, podrobna in celovita pravila za prenos osebnih podatkov v tretje države. Zajemajo vse oblike mednarodnih prenosov, tako za komercialne namene kot za namene kazenskega pregona, med zasebnimi stranmi, javnimi organi ter med zasebnimi subjekti in javnimi organi. Struktura pravil o mednarodnih prenosih v osnovi sicer ostaja enaka kot v sedanji Direktivi o varstvu podatkov (tj. sklepi o ustreznosti varstva, standardne pogodbene klavzule in zavezujoča poslovna pravila, pa tudi nekatera odstopanja od splošne prepovedi za prenos osebnih podatkov zunaj EU), vendar reforma ta pravila v več pogledih pojasni in poenostavi ob hkratnem zmanjšanju birokracije. Prav tako uvaja nekatere nove mehanizme za mednarodne prenose.

Uredba tudi krepi pooblastila organov EU za varstvo podatkov, med drugim v zvezi z mednarodnimi prenosi. Določbe o neodvisnosti, dolžnostih in pristojnostih organov EU za varstvo konkurence so v primerjavi z veljavno Direktivo o varstvu podatkov podrobneje opisane in znatno okrepljene. To izrecno vključuje pooblastilo, da začasno ustavijo prenos podatkov mednarodni organizaciji ali prejemniku v tretji državi. Policijska direktiva vsebuje podobne določbe v zvezi z mednarodnimi prenosi in pristojnostmi organov za varstvo podatkov v sektorju kazenskega pregona.

Natančneje, kar zadeva pravila o sklepih Komisije o ustreznosti varstva, Uredba določa natančen in podroben seznam elementov, ki jih mora Komisija upoštevati pri ocenjevanju ravni varstva podatkov, ki jo zagotavlja pravni red tretje države. Ta postopek vključuje celovito presojo, ki jo mora opraviti Komisija, ki bi morala zajemati – element, ki je tudi v skladu s sodbo v zadevi Schrems – pravila o dostopu javnih organov tretje države do osebnih podatkov. Še en bistven element v tej oceni je, ali so posameznikom na voljo učinkovite in izvršljive pravice do varstva podatkov in ali so jim na voljo učinkovita upravna in pravna sredstva.

Poleg tega Uredba izrecno zahteva, da Komisija najmanj vsaka štiri leta redno pregleda vse svoje sklepe o ustreznosti, da ostane seznanjena z vsemi pomembnimi spremembami v tretji državi, ki bi lahko neposredno ali celo negativno vplivale na raven varstva v njenem pravnem redu. To stalno spremljanje ustreznosti bo bolj dinamičen proces, saj bo vključevalo tudi dialog z organi zadevne tretje države.

Glede prenosov v tretje države, za katere ni bil sprejet sklep o ustreznosti varstva, Uredba določa pogoje, ki urejajo uporabo alternativnih mehanizmov za prenos, kot so standardne pogodbene klavzule in zavezujoča poslovna pravila. Dodaja pa tudi druge instrumente, kot so odobreni kodeksi ravnanja in odobreni mehanizmi potrjevanja. Pojasnjuje tudi, v kakšnih okoliščinah se lahko uporabijo odstopanja.

2.3 Pot naprej

Reforma varstva podatkov je bistven korak za krepitev temeljnih pravic državljanov v digitalni dobi in spodbujanje poslovanja s poenostavitvijo pravil za družbe na enotnem digitalnem trgu. Zaupanje potrošnikov v operaterje EU in tretjih držav bo spodbujalo in s tem krepilo evropsko in svetovno digitalno gospodarstvo, kar bo pozitivno vplivalo na naše trgovinske odnose z ZDA, ki so naš največji trgovinski partner. Reforma bo ustvarila pregledno in stabilno poslovno okolje za evropske in tuje družbe. Družbam v ZDA bo koristila pravna varnost, ki jo prinaša poslovanje s povezanim gospodarskim območjem, v katerem se uporabljajo enotna pravila o varstvu podatkov.

Skupna pravila na področju kazenskega pregona bodo posameznikom zagotovila boljše varstvo njihovih podatkov in pravico do učinkovitih pravnih sredstev. Lažje čezmejno sodelovanje med policijskimi in pravosodnimi organi v državah članicah bo povečalo učinkovitost kazenskega pregona in tako ustvarilo pogoje za učinkovitejše preprečevanje kriminala v EU. To jim bo obenem omogočilo lažje sodelovanje s sorodnimi organi v tretjih državah.

Evropski parlament in Svet naj bi sveženj reform predvidoma sprejela v prvi polovici leta 2016. Uredba se bo začela uporabljati dve leti po sprejetju, za Policijsko direktivo pa je določeno dveletno obdobje izvajanja. Zainteresirane strani v EU in zunaj nje bi morale dveletno prehodno obdobje uporabiti za pripravo na nova pravila. Komisija bo prispevala svoj delež. Med tem prehodnim obdobjem bo tesno sodelovala z državami članicami, organi za varstvo podatkov in drugimi zainteresiranimi stranmi, da se zagotovi enotna uporaba pravil in spodbudi oblikovanje okolja, pripravljenega na spoštovanje pravil.

3. Zasebnostni ščit EU–ZDA: novi čezatlantski okvir za pretok osebnih podatkov

3.1 Kontekst

Da bi olajšali pretok osebnih podatkov med EU in ZDA v poslovnih izmenjavah ob zagotavljanju varstva teh podatkov, je Komisija leta 2000 potrdila, da okvir varnega pristana zagotavlja ustrezno raven varstva 18 . Tako je bilo mogoče prosto prenašati osebne podatke iz držav članic EU v družbe v ZDA, ki so se zavezale k spoštovanju načel zasebnosti, na katerih je temeljil okvir varnega pristana, čeprav ZDA niso imele splošnega predpisa o varstvu podatkov.

V sporočilu o varnem pristanu iz leta 2013 19 je Komisija opozorila na številne šibkosti v delovanju ureditve, zlasti na nezadostno preglednost družb v zvezi z upoštevanjem sheme in na to, da ameriški organi ne uveljavljajo v zadostni meri upoštevanja načel zasebnosti sheme s strani teh družb. Poleg tega so razkritja glede nadzora pred tem istega leta vzbudile pomisleke glede obsega nekaterih ameriških obveščevalnih programov in ravni dostopa javnih organov ZDA do osebnih podatkov Evropejcev, prenesenih v okviru varnega pristana. Ob upoštevanju teh in drugih elementov 20 je Komisija sklenila, da je treba sporazum o varnem pristanu ponovno pregledati. Na podlagi tega je Komisija oblikovala 13 priporočil 21 za okrepitev in posodobitev jamstev za varstvo podatkov, ki so vgrajena v okvir. Priporočila so bila osredotočena na: (i) krepitev vsebinskih načel zasebnosti in povečanje preglednosti politik varstva zasebnosti samocertificiranih družb v ZDA, ki vključujejo ta načela; (ii) boljše in učinkovitejše nadziranje, spremljanje in uveljavljanje spoštovanja teh načel v družbah s strani organov ZDA; (iii) razpoložljivost stroškovno ugodnih mehanizmov alternativnega reševanja posameznih pritožb ter (iv) potrebo po zagotovitvi, da se izjema, ki jo odločba o varnem pristanu iz leta 2000 določa za zagotavljanje nacionalne varnosti, uporablja le v obsegu, ki je nujno potreben in sorazmeren.

Komisija je na podlagi teh 13 priporočil januarja 2014 začela pogovore z organi ZDA. Poznejša razveljavitev odločbe o varnem pristanu s strani Sodišča dne 6. oktobra 2015 je potrdila potrebo po močnejšem in novem okviru za poslovne čezatlantske tokove podatkov. Čeprav se je sodba Sodišča naslonila na priporočila Komisije iz leta 2013, je še dodatno poudarila potrebo po omejitvah, zaščitnih ukrepih in mehanizmih pravnega nadzora, da se zagotovi nadaljnje varstvo osebnih podatkov posameznikov v EU, tudi kadar do podatkov dostopajo in jih uporabljajo javni organi za potrebe nacionalne varnosti, javnega interesa ali kazenskega pregona.

Po dveh letih intenzivnih pogovorov so EU in ZDA 2. februarja 2016 dosegle politični dogovor o novem okviru, ki se imenuje zasebnostni ščit EU–ZDA. Nova ureditev vsebuje pomembne nove zaščitne ukrepe in bo jamčila visoko raven varstva temeljnih pravic posameznikov v EU. Zagotavljala bo potrebno pravno varnost za družbe na obeh straneh Atlantika, ki želijo poslovati med seboj, poleg tega pa bo v čezatlantsko partnerstvo vnesla nov zagon.

Po sklenitvi pogajanj z ZDA bo Komisija novo ureditev predložila „Delovni skupini iz člena 29“ (ki jo sestavljajo organi EU za varstvo podatkov), da bo podala mnenje o ravni varstva, ki jo zagotavlja. Poleg tega bo moral biti pred sprejetjem sklep o ustreznosti obravnavan po postopku komitologije. Opravljeno bo tudi posvetovanje z Evropskim nadzornikom za varstvo podatkov.

3.2 Kaj se je spremenilo?

Zasebnostni ščit EU–ZDA zagotavlja trden in učinkovit odziv tako na 13 priporočil Komisije kot tudi na sodbo v zadevi Schrems. V primerjavi s prejšnjim okvirom vsebuje številne pomembne izboljšave, kar zadeva obveznosti, ki jih morajo prevzeti ameriške družbe. Poleg tega vsebuje tudi pomembne nove zaveze in podrobne razlage zadevnih ameriških predpisov in praks organov ZDA. V nasprotju z njegovim predhodnikom zasebnostni ščit ne zajema le obveznosti v poslovnem sektorju, ampak v veliki meri in prvič v okviru odnosov med EU in ZDA, tudi na področju dostopa do osebnih podatkov s strani javnih organov, med drugim za namene nacionalne varnosti. Ob upoštevanju sodne prakse Sodišča je to bistveni in nujni element za povrnitev zaupanja v čezatlantskih odnosih po razkritjih glede nadzora.

Štiri glavne kategorije najpomembnejših dosežkov nove ureditve so naslednje:

Prvič, stroge obveznosti za podjetja in dosledno uveljavljanje: nova ureditev bo bolj pregledna in bo vsebovala učinkovite mehanizme nadzora, s katerimi se bo zagotavljalo, da družbe spoštujejo pravila, h katerim so se pravno zavezale. Ameriške družbe, ki želijo uvoziti osebne podatke iz Evrope na podlagi zasebnostnega ščita, bodo morale prevzeti stroge obveznosti glede obdelave osebnih podatkov in zagotavljanja pravic posameznikov. To vključuje strožje pogoje in določbe o odgovornosti za zaščito zasebnosti družb, ki na primer za potrebe podobdelave prenašajo podatke EU na podlagi zasebnostnega ščita tretjim osebam zunaj okvira, ne glede na to, ali v ZDA ali v druge tretje države („nadaljnji prenosi“). Kar zadeva nadzor, se je Ministrstvo za trgovino ZDA zavezalo, da bo redno in natančno spremljalo, kako podjetja izpolnjujejo svoje obveznosti, in da bo izločalo „prisklednike“, tj. družbe, ki se pretvarjajo, da spoštujejo shemo. V skladu z zakonodajo ZDA so obveznosti družb pravno zavezujoče in jih lahko uveljavlja zvezna komisija za trgovino, tako da bodo družbe, ki jih ne bodo spoštovala, doletele stroge sankcije.

Drugič, jasne omejitve in zaščitni ukrepi v zvezi z dostopom s strani vlade ZDA: prvič doslej je vlada ZDA prek svojega pravosodnega ministrstva in urada direktorja nacionalne obveščevalne službe kot organa, ki nadzoruje celotno obveščevalno skupnost ZDA, dala Evropski uniji pisne izjave in zagotovila, da bodo za dostop javnih organov do podatkov za namene kazenskega pregona, nacionalne varnosti in druge namene v javnem interesu veljale jasne omejitve, zaščitni ukrepi in nadzorni mehanizmi. ZDA bodo tudi vzpostavile nov mehanizem pravnega varstva za posameznike iz EU, na katere se nanašajo osebni podatki, na področju nacionalne varnosti, in sicer s pomočjo varuha človekovih pravic, ki bo deloval neodvisno od služb za nacionalno varnost. Varuh človekovih pravic bo preverjal pritožbe in poizvedbe posameznikov iz EU glede dostopa za namene nacionalne varnosti ter bo moral tem posameznikom potrditi, da so se spoštovali ustrezni zakoni, ali pa da je bila kakršna koli nepravilnost odpravljena. To je pomemben dosežek, ki ne bo veljal le za prenose na podlagi zasebnostnega ščita, temveč za vse prenose osebnih podatkov v ZDA za poslovne namene, ne glede na podlago, ki se uporabi za njihov prenos.

Tretjič, učinkovito varstvo pravic posameznikov v EU z različnimi možnostmi pravnega varstva: vsakdo v Evropi, ki meni, da so bili njegovi podatki v okviru nove ureditve zlorabljeni, bo imel več razpoložljivih in cenovno dostopnih načinov za uporabo individualnih pravnih sredstev, vključno z organi za brezplačno alternativno reševanje sporov. Družbe se zavežejo, da bodo na pritožbe odgovorile v določenem roku. Poleg tega se mora vsako podjetje, ki obdeluje podatke o človeških virih iz Evrope, zavezati, da bo spoštovalo odločitve pristojnih organov EU za varstvo podatkov, medtem ko ostale družbe tako zavezo lahko sprejmejo prostovoljno. Posamezniki lahko svojo pritožbo vložijo tudi pri svojem „domačem“ organu za varstvo podatkov, kateremu bo ponujen formaliziran postopek za posredovanje pritožb Ministrstvu za trgovino ZDA in zvezni komisiji za trgovino, kar olajša preiskavo in reševanje zadevnega zahtevka v razumnem roku. Če se zadeva kljub temu ne reši z uporabo katere od navedenih možnosti, bodo posamezniki v skrajnem primeru lahko vložili pritožbo na senat zasebnostnega ščita, to je mehanizem za reševanje sporov, ki bo lahko sprejemal zavezujoče in izvršljive odločitve proti ameriškim družbam v okviru zasebnostnega ščita. Organi EU za varstvo podatkov bodo poleg tega posameznikom lahko pomagali pripraviti njihovo pritožbo. Kot je navedeno zgoraj, bo za pritožbe v zvezi z nacionalnimi obveščevalnimi organi ustvarjen nov institut varuha človekovih pravic, ki zagotavljal dodatno pot do pravnega varstva.

Četrtič in zadnjič, mehanizem letnega skupnega pregleda: ta mehanizem bo Komisiji omogočil redno spremljanje delovanja vseh vidikov zasebnostnega ščita, vključno z omejitvami in zaščitnimi ukrepi glede dostopa za namene nacionalne varnosti. Komisija in Ministrstvo za trgovino ZDA bosta opravila pregled, v katerega bosta vključila organe EU za varstvo podatkov ter ameriške nacionalne varnostne organe in varuha človekovih pravic. Na ta način bodo ZDA odgovorne za svoje obveznosti. Vendar za Komisijo to ne bo dovolj: uporabila bo tudi vse druge razpoložljive vire informacij, med drugim tudi prostovoljna poročila o preglednosti, ki jih bodo podjetja pripravila o številu vladnih zahtev za dostop 22 . Letni pregled presega zahteve nove uredbe, v skladu s katero je treba tak pregled opraviti samo najmanj vsaka štiri leta, kar kaže na odločenost EU in ZDA, da dosledno zagotavljata popolno skladnost.

Pregled ne bo le formalnost brez posledic. V primerih, ko ameriške družbe ali javni organi ne bi spoštovali svojih obveznosti, bo Komisija uporabila postopek za začasni preklic zasebnostnega ščita. Kot je Sodišče poudarilo v sodbi v zadevi Schrems, sklep o ustreznosti ne sme ostati mrtva črka na papirju, temveč morajo družbe in organi ZDA udejanjiti okvir in ga neprestano vzdrževati z izpolnjevanjem svojih zavez. Če tega ne storijo, posebne ugodnosti za prenose podatkov, ki izhajajo iz sklepa o ustreznosti, niso več utemeljene in bodo umaknjene.

3.3 Pot naprej

Zaveze, dogovorjene z ZDA v okviru zasebnostnega ščita, bodo podlaga za novi sklep Komisije o ustreznosti in bodo vključene vanj. Družbam se priporoča, da začnejo priprave, tako da se bodo lahko vključile v novi okvir čim prej po njegovi vzpostavitvi, ki bo sledila sprejetju sklepa Komisije. Vlada ZDA bo po drugi strani objavila svoja zagotovila v zveznem registru ZDA in s tem javno potrdila, da bo spoštovala svoje zaveze.

Zasebnostni ščit EU–ZDA zahteva ukrepanje mnogih akterjev:

sodelujočih ameriških družb, ki morajo izpolniti svoje obveznosti v tem okviru, ob zavedanju, da se bo okvir dosledno uveljavljal in da jih bodo v primeru neskladnosti doletele sankcije. Družbe se, da bi okrepile zaupanje svojih strank, poziva tudi, naj se pri reševanju pritožb v okviru zasebnostnega ščita odločijo za pot, ki vključuje organe EU za varstvo podatkov, saj se bodo evropski posamezniki najverjetneje obrnili prav na te organe. Poleg tega bo obseg, v katerem bodo družbe pripravljene izkoristiti možnosti, ki jim jih daje zakonodaja ZDA, da objavijo poročila o preglednosti glede nacionalne zahtev po dostopu do prejetih podatkov EU za namene nacionalne varnosti in kazenskega pregona, prispeval k ohranjanju zaupanja, da je tak dostop omejen na tisto, kar je nujno in sorazmerno 23 ;

različnih ameriških organov, zadolženih za nadzor in uveljavljanja okvira, ob upoštevanju omejitev in zaščitnih ukrepov glede dostopa do podatkov za namene nacionalne varnosti in kazenskega pregona, in organov, odgovornih za pravočasno in smiselno odzivanje na pritožbe posameznikov iz EU glede morebitne zlorabe njihovih osebnih podatkov;

organov EU za varstvo podatkov, ki imajo pomembno vlogo pri zagotavljanju, da posamezniki lahko učinkovito uveljavljajo svoje pravice v okviru zasebnostnega ščita, med drugim z usmerjanjem njihovih pritožb ustreznim organom ZDA in sodelovanjem s temi organi, uporabo mehanizma varuha človekovih pravic, nudenjem pomoči pritožnikom pri predložitvi njihove zadeve senatu zasebnostnega ščita ter nadzorom nad prenosi podatkov o človeških virih; in

Komisije, ki je pristojna za ugotovitev ustreznosti in njeno redno pregledovanje. Ti redni pregledi pomenijo pomemben odmik od pretekle statičnosti s preoblikovanjem ugotovitve o ustreznosti zasebnostnega ščita v živ okvir, ki se pozorno spremlja.

Letni skupni pregled in poročilo, ki ga bo na njegovi podlagi pripravila Komisija, bosta – tako kot tudi možnost začasne prekinitve ureditve v primeru neskladnosti – zato imela osrednjo vlogo pri zagotavljanju, da bo zasebnostni ščit prestal preizkus časa. Na obeh straneh Atlantika bi si morali skupaj prizadevati za razvoj močne kulture spoštovanja zasebnosti in varstva pravic posameznikov, ki bo povrnila zaupanje in ga ohranjala v prihodnje.

4. Krovni sporazum: Okrepitev zaščitnih ukrepov za varstvo podatkov v kazenskih zadevah

4.1 Kontekst

Pomembna razsežnost naših čezatlantskih odnosov je zmožnost EU, držav članic in ZDA, da se na usklajen način v medsebojnem sodelovanju učinkovito odzovejo na skupne varnostne grožnje in izzive. Tak skupni odziv je močno odvisen od tega, ali lahko izmenjujemo osebne podatke v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah. Za dosego tega cilja so EU in ZDA skozi čas sklenile vrsto dvostranskih sporazumov 24 . Hkrati je enako pomembno, da ti sporazumi na področju kazenskega pregona zagotavljajo učinkovite zaščitne ukrepe za varstvo podatkov. Dvojni cilj uspešnega sodelovanja z našimi ameriškimi partnerji v boju proti hudim kaznivim dejanjem in terorizmu ob krepitvi stopnje zaščite Evropejcev v skladu z njihovimi temeljnimi pravicami in pravili EU o varstvu podatkov, kadar se prenosi opravijo v ta namen, je bil vzrok za pogajanja, ki so se začela marca 2011, o mednarodnem sporazumu o varstvu podatkov na področju kazenskega pregona, ki se imenuje „krovni sporazum“ 25 EU in ZDA o varstvu podatkov.

EU in ZDA so zaključile pogajanja poleti 2015. Pogodbenici sta 8. septembra 2015 v Luksemburgu parafirali krovni sporazum 26 , ki zdaj čaka na ratifikacijo na obeh straneh Atlantika. Vendar pa je bil podpis krovnega sporazuma pogojen s sprejetjem zakona o sodnem varstvu (Judicial Redress Act) v kongresu ZDA, ki naj bi državljanom EU prvič zagotovil enako obravnavo, kakršne so državljani ZDA deležni na podlagi zakona o zasebnosti (U.S. Privacy Act) iz leta 1974 27 . Kongres je zakon odobril 10. februarja 2016, 24. februarja 2016 pa je bil ta podpisan in je začel veljati.

4.2 Kaj se je spremenilo?

V krovnem sporazumu bo prvič zapisan usklajen in celovit sklop zaščitnih ukrepov za varstvo podatkov, ki bodo veljali za vse čezatlantske izmenjave med ustreznimi organi na področju kazenskega pregona. Dejansko gre za sporazum o temeljnih pravicah, ki vzpostavlja visok standard varstva, kateremu morajo ustrezati vse izmenjave podatkov v okviru obstoječih in prihodnjih sporazumov.

Prvič, varstvo in zaščitni ukrepi, ki jih določa krovni sporazum, se bodo horizontalno uporabljali za vse izmenjave podatkov v okviru čezatlantskega sodelovanja organov kazenskega pregona v kazenskih zadevah. To vključuje prenose na podlagi domačih zakonov, sporazumov med EU in ZDA, sporazumov med državami članicami in ZDA (npr. sporazumov o vzajemni pravni pomoči) ter posebnih sporazumov o prenosu osebnih podatkov s strani zasebnih subjektov za namene kazenskega pregona. Dogovorjene določbe bodo tako takoj dvignile zajamčeno raven varstva posameznikov EU, na katere se nanašajo osebni podatki, pri prenosu podatkov v ZDA. Prav tako bodo povečale pravno varnost čezatlantskega sodelovanja na področju kazenskega pregona, saj bodo zagotovile, da obstoječi sporazumi vsebujejo vse potrebne zaščite ter tako vzdržijo morebitno pravno presojo.

Drugič, določbe zajemajo vse bistvene predpise EU o varstvu podatkov v zvezi s standardi obdelave (npr. kakovost in celovitost podatkov, varnost podatkov, odgovornost in nadzor), zaščitnimi ukrepi in omejitvami (npr. omejitve namena in uporabe, hramba podatkov, nadaljnji prenosi, obdelava občutljivih podatkov) ter pravicami posameznikov (pravica do dostopa, pravica do popravka, upravna in pravna sredstva).

Tretjič, sporazum bo zagotovil razpoložljivost pravice do sodnega varstva v primeru zavrnitve dostopa, odrekanja pravice do popravka ali nezakonitega razkritja. To je velik napredek, ki bo znatno prispeval k obnovitvi zaupanja v čezatlantskih izmenjavah. Ta ključna zahteva, za katero si je EU že dolgo prizadevala, a je dolga leta ostajala neizpolnjena, je bila upoštevana že v zakonu o sodnem varstvu (Judicial Redress Act), ki je bil ameriškemu kongresu predstavljen marca 2015 in je bil sprejet 10. februarja 2016. Ta zakon bo na državljane EU 28 razširil dostop do treh možnosti za zagotovitev sodnega varstva, ki jih daje ameriški zakon o zasebnosti (U.S. Privacy Act) iz leta 1974 in so sedaj na voljo samo državljanom ZDA in osebam, ki imajo tam stalno prebivališče. Državljani EU se bodo tako v zvezi s katerim koli čezatlantskim prenosom podatkov na področju kazenskega pregona prvič lahko sklicevali na pravice s splošno veljavnostjo. To odpravlja bistveno razliko v obravnavi državljanov EU in državljanov ZDA.

Četrtič, krovni sporazum posplošuje in na celoten sektor kazenskega pregona razširja načelo neodvisnega nadzora kot temeljno zahtevo glede varstva podatkov, ki v številnih obstoječih dvostranskih sporazumih ni prisotna. To vključuje učinkovita pooblastila za preiskovanje in reševanje posameznih pritožb glede skladnosti s sporazumom.

Petič, učinkovito izvajanje krovnega sporazuma bo predmet rednih skupnih pregledov. Pri teh pregledih se bo posebna pozornost namenila določbam, ki se nanašajo na pravice posameznikov (pravica do dostopa, pravica do popravka, upravna in pravna sredstva).

Krovni sporazum sama po sebi ne dovoljujejo prenosa podatkov, niti se ne šteje za sklep o ustreznosti.

4.3 Pot naprej

Začetek veljavnosti zakona o sodnem varstvu (Judicial Redress Act) 29 bo omogočil podpis krovnega sporazuma. Komisija bo Svetu v kratkem predložila predlog sklepa o odobritvi podpisa krovnega sporazuma. Po podpisu bo moral Svet sprejeti sklep o sklenitvi sporazuma, ko bo to odobril Evropski parlament. Krovni sporazum bo znatno izboljšal sedanje razmere, za katere so značilna razdrobljena, neusklajena in pogosto šibka pravila o varstvu podatkov, zajeta v pisanem mozaiku večstranskih, dvostranskih, nacionalnih in sektorskih instrumentov. Krovni sporazum ima retrospektivno funkcijo v smislu, da bo dopolnil jamstva za varstvo podatkov v sedanjih sporazumih, če in do tolikšne mere, kot ti ne zagotavljajo zadostne ravni zaščitnih ukrepov. V tej zvezi bo prinesel znatno dodano vrednost, s tem ko bo dejansko „zapolnil vrzeli“ v obstoječih sporazumih, ki vsebujejo nižji standard varstva podatkov, kot ga vzpostavlja okvirni sporazum. To bo omogočilo nadaljevanje sodelovanja pri kazenskem pregonu ob hkratnem zagotavljanju večje pravne varnosti ob opravljanju prenosov. V razmerju do prihodnjih sporazumov bo krovni sporazum predstavljal varnostno mrežo, pod katero se raven varstva ne sme spustiti. To je zelo pomembno zagotovilo za prihodnost in pomeni znaten odmik od sedanjega stanja, ko je treba zaščitne ukrepe, elemente varstva in pravice izpogajati za vsak posamezen sporazum posebej. Krovni sporazum je tako predloga, ki vsebuje standardne zaščitne ukrepe, ki jih ni mogoče oklestiti s pogajanji. To je zelo pomemben precedens, ne samo v okviru odnosov med EU in ZDA, ampak splošneje za kakršno koli prihodnjo ureditev varstva podatkov in izmenjave podatkov na mednarodni ravni.

Krovni sporazum, za katerega so pogajanja tekla vzporedno z reformo, je usklajen s pravnim redom EU o varstvu podatkov. Medsebojno vplivanje krovnega sporazuma in Policijske direktive je zlasti pomembno zaradi pomena visoke in enotne ravni varstva podatkov, ne glede na to, ali gre za obdelavo osebnih podatkov na nacionalni ravni ali za čezmejno izmenjavo znotraj EU oziroma s tretjimi državami. V zvezi s tem bo okvirni sporazum pripomogel k utemeljitvi splošnih zahtev reforme v okviru čezatlantskega sodelovanja.

Zaključek pogajanj o krovnem sporazumu, ki določa skupne standarde na kompleksnem področju prava in politike, je pomemben dosežek. Prihodnji krovni sporazum bo povrnil in okrepil zaupanje, zagotovil jamstva za zakonitost prenosa podatkov ter olajšal sodelovanje EU in Združenih držav na tem področju.

V prihodnje se kaže potreba po skupni obravnavi skupnih izzivov na področju policijskega in pravosodnega sodelovanja. Pomembno vprašanje je med drugim tudi vprašanje neposrednega dostopa organov kazenskega pregona do osebnih podatkov, ki jih imajo zasebna podjetja v tujini. Tak dostop bi moral načeloma potekati v okviru formalnih kanalov za sodelovanje, kot so sporazumi o medsebojni pravni pomoči in drugi sektorski sporazumi. Zasebne družbe trenutno tvegajo pravno negotovost, ki bi lahko vplivala na njihovo zmožnost delovati v različnih jurisdikcijah, kadar so pozvane, naj zagotovijo dostop do elektronskih dokazov v skladu z zakonodajo ene države za osebne podatke, ki so predmet zakonodaje druge države. Vzporedno s prihodnjim pregledom sporazuma o medsebojni pravni pomoči med EU in ZDA 30 bi EU pozdravila nadaljnje izmenjave z ZDA glede tega vprašanja, vključno z obravnavanjem razvoja skupnih in učinkovitejših pravil za zbiranje elektronskih dokazov.

5. Sklep 

Uspešna sklenitev ključnih ukrepov, opredeljenih v sporočilu iz leta 2013, dokazuje sposobnost EU za pragmatično in osredotočeno reševanje težav, ne da se bi pri tem odpovedala svojim močnim vrednotam in tradiciji na področju temeljnih pravic. Prav tako kaže, da EU in ZDA lahko presežejo razlike in sprejmejo težke odločitve, da se ohrani strateški odnos, ki je prestal preizkus časa. Hkrati pa zdaj, ko smo odprli novo poglavje v dvostranskih odnosih, potrebe po previdnosti še ni konec, saj se še vedno soočamo s skupnimi grožnjami in izzivi v negotovem svetu.

Ko bosta zasebnostni ščit in krovni sporazum vzpostavljena, bosta morali obe strani zagotoviti učinkovito in trajno delovanje obeh pomembnih okvirov za prenos podatkov. Njun uspeh bo v veliki meri odvisna od učinkovitega uveljavljanja in spoštovanja pravic, ki jih priznavata posameznikom. Odvisen bo tudi od stalnega ocenjevanja njunega delovanja, za kar bo treba spremeniti miselnost in togi proces preoblikovati v bolj dinamičnega.

Glede na navedeno se pomemben del tega procesa nanaša na potekajočo reformo ameriških obveščevalnih programov. Komisija bo v zvezi s tem skrbno spremljala prihodnja poročila, ki jih pripravlja odbor za nadzor zasebnosti in državljanskih svoboščin (Privacy and Civil Liberties Oversight Board, PCLOB), in pregled programa na podlagi člena 702 zakona o nadzoru tujih obveščevalnih podatkov (Foreign Intelligence Surveillance Act) v zvezi z nadzorom tujih obveščevalnih podatkov, ki se pričakuje v letu 2017. Zlasti bo pozorno spremljala nadaljnje reforme v zvezi s preglednostjo, nadzorom in razširitvijo zaščitnih ukrepov za nedržavljane ZDA.

Splošneje, glede na pomen čezmejnega pretoka podatkov za čezatlantsko trgovino bo EU pozorno spremljala nadaljnji zakonodajni napredek na področju zasebnosti v ZDA. Zdaj ko je Evropa sprejela enoten, skladen in trden niz predpisov, upamo, da bodo tudi ZDA nadaljevale prizadevanja za oblikovanje celovitega sistema varstva zasebnosti in podatkov. S takim celovitim pristopom bo dolgoročno mogoče zbližanje obeh sistemov. V zvezi s tem bo Komisija organizirala letno srečanje na vrhu o zasebnosti skupaj z zainteresiranimi nevladnimi organizacijami in drugimi zadevnimi zainteresiranimi stranmi na obeh straneh Atlantika.

Partnerstvo med EU in ZDA je lahko gonilna sila razvoja in spodbujanja mednarodnih pravnih standardov za zaščito zasebnosti in osebnih podatkov. Pobude na ravni OZN, vključno z delom posebnega poročevalca o pravici do zasebnosti, lahko pri tem prav tako igrajo pomembno vlogo. Glede na čedalje večji pomen tega vprašanja na svetovni ravni bi morale EU in ZDA v naslednjih letih izkoristiti to priložnost za uveljavitev skupnih vrednot posameznih svoboščin in pravice v globaliziranem digitalnem svetu.

(1)

     Sporočilo Komisije Evropskemu parlamentu in Svetu o obnovitvi zaupanja v pretok podatkov med EU in ZDA, COM(2013) 846 final, 27.11.2013 (v nadaljnjem besedilu: sporočilo iz leta 2013 ali sporočilo), na voljo na: http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf .

(2)

     Predlog direktive Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov (COM(2012) 10 final, 25.12.2012) in Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov, COM(2012) 11 final, 25.1.2012), na voljo na: http://ec.europa.eu/justice/data-protection/reform/index_en.htm  

(3)

     Sporočilo Komisije Evropskemu parlamentu in Svetu o delovanju varnega pristana z vidika državljanov EU in družb, ustanovljenih v EU, COM/2013/847 final., 27.11.2013, str. 18–19 (v nadaljnjem besedilu: Sporočilo o varnem pristanu), na voljo na: http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf .

(4)

Nov začetek za Evropo: moj načrt za delovna mesta, rast, pravičnost in demokratične spremembe – Politične usmeritve naslednje Komisije.

(5)

Sodba z dne 6. oktobra 2015 v zadevi C-362/14, Maximilian Schrems proti Data Protection Commissioner, EU:C:2015:650.

(6)

Glej Sporočilo Komisije Evropskemu parlamentu in svetu o prenosu osebnih podatkov iz EU v Združene države Amerike v skladu z Direktivo 95/46/ES po sodbi Sodišča v zadevi C-362/14 (Schrems), COM(2015) 566 final, 6.11.2015. Glej tudi izjavo Delovne skupine iz člena 29 z dne 3. februarja 2016 o posledicah sodbe v zadevi Schrems, na voljo na: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf.  

(7)

Glej http://europa.eu/rapid/press-release_IP-16-216_sl.htm .

(8)

  https://www.whitehouse.gov/the-press-office/2014/01/17/remarks-president-review-signals-intelligence.  

(9)

  https://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities.  

(10)

      http://europa.eu/rapid/press-release_MEMO-14-30_en.htm.  

(11)

     USA FREEDOM Act (2015), Pub. L., No. 114-23, § 401, 129 Stat. 268.

(12)

     H.R.1428 – Judicial Redress Act (2015). Veljati bo začel 90 dni po sprejetju.

(13)

     COM(2012) 11 final, 25.1.2012: glej opombo 2.

(14)

     COM(2012) 10 final, 25.1.2012: glej opombo 2.

(15)

Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, UL L 281 z dne 23.11.1995, str. 31 (v nadaljnjem besedilu: Direktiva o varstvu podatkov).

(16)

Za razliko od Okvirnega sklepa Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah, ki zajema samo čezmejno izmenjavo podatkov med pristojnimi organi držav članic, v skladu s Policijsko direktivo uporaba takih pravil ne bo več odvisna od tega, ali so si te podatke organi kazenskega pregona držav članic predhodno izmenjali.

(17)

Glej Sporočilo Komisije Evropskemu parlamentu, Svetu, Evropskemu ekonomsko-socialnemu odboru in Odboru regij, „Evropska agenda za varnost“, COM(2015) 185 final, 28. april 2015.

(18)

     Odločba Komisije 2000/520/ES z dne 26. julija 2000. V tej odločbi, ki temelji na členu 25(6) Direktive o varstvu podatkov, je Komisija potrdila, da načela zasebnosti varnega pristana in z njimi povezana najpogosteje zastavljena vprašanja, ki jih je izdalo Ministrstvo za trgovino ZDA, zagotavljajo ustrezno varstvo za prenos osebnih podatkov iz EU. Delovanje ureditve varnega pristana je temeljilo na zavezah in samocertificiranju družb, ki so se zavezale k spoštovanju načel varnega pristana. V skladu z zakonodajo ZDA so bila pravila za te družbe zavezujoča in izvršljiva s strani zvezne komisije ZDA za trgovino.

(19)

     Glej opombo 3.

(20)

     Ti elementi so vključevali eksponentno povečanje pretoka podatkov in njegov pomen za čezatlantsko gospodarstvo ter hitro rast števila družb v ZDA, zavezanih k spoštovanju sheme varnega pristana. Glej sporočilo o varnem pristanu, str. 37.

(21)

     Sporočilo o varnem pristanu, str. 18–19.

(22)

     Večja internetna podjetja v ZDA že pripravljajo taka poročila, da bi ponovno pridobila zaupanje svojih strank. Ameriški zakon o svobodi (USA Freedom Act) iz leta 2015 omogoča objavo prostovoljnih poročil o zahtevah po dostopu, vsaj v določenih pasovih, da se zaščitijo interesi nacionalne varnosti.

(23)

     Tako poročanje bi potekalo v skladu z določbami ameriškega zakona o svobodi (USA FREEDOM Act) iz leta 2015. Glej opombo 22.

(24)

     Zlasti sporazum med EU in ZDA o evidenci podatkov o potnikih (PNR) in program za sledenje financiranja terorističnih dejavnosti (program TFTP).

(25)

     Sporazum med EU in ZDA o varstvu osebnih podatkov ob njihovem prenosu ali obdelavi za potrebe preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj, vključno s terorizmom, v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah.

(26)

      http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm.  

(27)

Zakon o sodnem varstvu priznava pravice državljanom „zajetih držav“, ki jih določi ameriška vlada. To je po drugi strani pogojeno z naslednjimi merili: (a) država [ali regionalna organizacija] ima sklenjen dogovor z Združenimi državami o varstvu zasebnosti za informacije, ki se delijo na namene preprečevanje, preiskovanja, odkrivanja ali pregona kaznivih dejanj; (b) država [ali regionalna organizacija] dovoli prenos osebnih podatkov med sabo in ZDA v poslovne namene; in (c) politike v zvezi s prenosom osebnih podatkov v poslovne namene in z njimi povezani ukrepi države ali regionalne organizacije pomembno ne ovirajo interesov nacionalne varnosti Združenih držav.

(28)

V skladu z zakonom o sodnem varstvu se tudi druge države, ki niso članice EU, ali „organizacije za regionalno gospodarsko povezovanje“ lahko opredeljene kot „zajete države“, tako da so do pravic glede sodnega varstva upravičeni tudi njihovi državljani.

(29)

Zakon o sodnem varstvu začne veljati 90 dni po sprejetju.

(30)

Sklep Sveta 2009/820/SZVP z dne 23. oktobra 2009 o sklenitvi Sporazuma o izročitvi med Evropsko unijo in Združenimi državami Amerike ter Sporazuma o medsebojni pravni pomoči med Evropsko unijo in Združenimi državami Amerike v imenu Evropske unije, UL L 291, 7.11.2009, str. 40–41.