SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o delovanju varnega pristana z vidika državljanov EU in družb, ustanovljenih v EU

1.           Uvod

Direktiva 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (v nadaljnjem besedilu: direktiva o varstvu podatkov) določa pravila za prenos osebnih podatkov iz držav članic EU v druge države zunaj EU[1], kolikor takšen prenos spada na področje uporabe tega instrumenta[2].

Komisija lahko v skladu z direktivo o varstvu podatkov ugotovi, da tretja država zagotavlja ustrezno raven varstva zaradi svoje nacionalne zakonodaje ali mednarodnih obveznosti, ki jih je prevzela za zaščito pravice posameznikov, v primeru katerih se posebne omejitve prenosa podatkov v takšno državo ne bi uporabljale. Ti sklepi se na splošno imenujejo „sklepi o ustreznosti varstva“.

Komisija je 26. julija 2000 sprejela Odločbo 2000/520/ES[3] (v nadaljnjem besedilu: odločba o varnem pristanu), ki priznava načela zasebnosti varnega pristana (v nadaljnjem besedilu: načela), ki zagotavljajo ustrezno varstvo za prenos osebnih podatkov iz EU, in najpogosteje zastavljena vprašanja („Frequently Asked Questions“, v nadaljnjem besedilu: FAQ), ki jih je izdalo ministrstvo za trgovino Združenih držav. Odločba o varnem pristanu je bila sprejeta po izdanem mnenju delovne skupine iz člena 29 in mnenju odbora iz člena 31, ki sta bili sprejeti s kvalificirano večino držav članic. V skladu s Sklepom Sveta 1999/468 je bila odločba o varnem pristanu predložena Evropskemu parlamentu v predhodni pregled.

Tako zdajšnja odločba o varnem pristanu omogoča prost prenos[4] osebnih podatkov iz držav članic EU[5] družbam v ZDA, ki so se zavezale k načelom v okoliščinah, ko prenos glede na znatne razlike v ureditvah varstva zasebnosti med EU in ZDA ne bi izpolnjeval standardov EU za ustrezno raven varstva podatkov.

Delovanje zdajšnje ureditve varnega pristana temelji na zavezah in samocertificiranju družb, ki so se zavezale k načelom varnega pristana. Uporaba teh ureditev je prostovoljna, vendar so pravila za tiste, ki se k njim zavežejo, zavezujoča. Temeljna načela te ureditve so:

a) preglednost politik družb, zavezanih k načelom varnega pristana, glede varovanja zasebnosti,

b) vključitev načel varnega pristana v politike družb glede varovanja zasebnosti in

c) izvrševanje, tudi s strani javnih organov.

To temeljno podlago varnega pristana je treba proučiti v novem kontekstu:

a) eksponentnega povečanja prenosa podatkov, ki je bil nekdaj zgolj v pomoč, danes pa je ključnega pomena za hitro rast digitalnega gospodarstva, ter znatnega razvoja zbiranja, obdelave in uporabe podatkov,

b) odločilnega pomena prenosa podatkov, zlasti za čezatlantsko gospodarstvo[6],

c) hitrega povečanja števila družb v ZDA, ki so se zavezale k shemi varnega pristana, pri čemer se je njihovo število od leta 2004 povečalo za osemkrat (s 400 leta 2004 na 3 246 leta 2013),

d) nedavno objavljenih informacij o programih nadzora v ZDA, ki sprožajo nova vprašanja o ravni zaščite, ki naj bi jo zagotovila ureditev varnega pristana.

Glede na navedena dejstva to sporočilo obravnava delovanje sheme varnega pristana. Temelji na dokazih, ki jih je zbrala Komisija, delu kontaktne skupine EU-ZDA o varstvu zasebnosti v letu 2009, študiji, ki jo je izdelal neodvisni pogodbenik leta 2008[7], in informacijah, pridobljenih v posebej ustanovljeni delovni skupini EU-ZDA (v nadaljnjem besedilu: delovna skupina), ki je bila ustanovljena po ugotovitvah o ameriških programih nadzora (glej vzporedni dokument). To sporočilo temelji na dveh ocenjevalnih poročilih Komisije, pripravljenih v začetnem obdobju ureditve varnega pristana, in sicer iz leta 2002[8] in iz leta 2004[9].

2.           Struktura in delovanje varnega pristana

2.1.        Struktura varnega pristana

Ameriška družba, ki se želi zavezati k načelom varnega pristana, mora: (a) v svoji javno dostopni politiki varovanja zasebnosti navesti, da je zavezana k načelom in dejansko ravna v skladu z njimi, ter (b) samocertificirati svojo zavezanost k načelom, tj. sporočiti ministrstvu za trgovino ZDA, da v celoti izpolnjuje načela. Samocertificiranje je treba obnoviti enkrat letno. Načela zasebnosti varnega pristana, navedena v Prilogi I k odločbi o varnem pristanu, zajemajo zahteve o vsebinski zaščiti osebnih podatkov (načela: neokrnjenost podatkov, varnost, možnost izbire in prenos tretjemu) in postopkovne pravice posameznikov, na katere se nanašajo osebni podatki (načela: obvestilo, dostop in izvrševanje).

Kar zadeva izvrševanje sheme varnega pristana v ZDA, imata ključno vlogo dve ameriški instituciji, in sicer ministrstvo za trgovino ZDA in zvezna komisija za trgovino ZDA.

Ministrstvo za trgovino pregleda vsako samocertificiranje glede varnega pristana in vsakokratno letno obnovitev samocertificiranja, ki jih predložijo družbe, da se zagotovi vključenost vseh elementov, zahtevanih za članstvo v tej shemi[10]. Posodablja seznam družb, ki so izpolnile samocertifikacijska pisma, ter objavlja seznam in pisma na svojem spletnem mestu. Nadzoruje tudi delovanje varnega pristana in s seznama črta družbe, ki ne izpolnjujejo načel.

Zvezna komisija za trgovino v okviru svojih pristojnosti na področju varstva potrošnikov ukrepa zoper nepoštena in goljufiva dejanja iz oddelka 5 zakona o zvezni komisiji za trgovino. Izvršilni ukrepi zvezne komisije za trgovino vključujejo poizvedbe o lažnih navedbah glede zavezanosti k varnemu pristanu in o neizpolnjevanju teh načel s strani družb, ki so se zavezale k načelom. Za pregon zaradi kršenja načel varnega pristana s strani letalskih prevoznikov je pristojno ministrstvo za promet ZDA[11].

Zdajšnja odločba o varnem pristanu je del zakonodaje EU, ki jo morajo uporabljati organi držav članic. Po tej odločbi smejo nacionalni organi EU za varstvo podatkov (DPA) v posebnih primerih začasno ustaviti prenos podatkov družbam, certificiranim v okviru varnega pristana[12]. Komisiji od vzpostavitve varnega pristana leta 2000 niso poznani primeri, ko bi nacionalni organ za varstvo podatkov začasno ustavil prenos podatkov. Nacionalni organi EU za varstvo podatkov imajo ne glede na svoje pristojnosti iz odločbe o varnem pristanu pristojnost ukrepati tudi v primeru mednarodnih prenosov, da se zagotovi skladnost s splošnimi načeli varstva podatkov, določenimi v direktivi o varstvu podatkov iz leta 1995.

Kot je poudarjeno v zdajšnji odločbi o varnem pristanu, je pristojnost Komisije, ki ravna v skladu s postopkom pregleda, določenim v Uredbi št. 182/2011, da Odločbo prilagodi, začasno prekine njeno uporabo ali omeji njen obseg glede na njeno preteklo izvajanje. To je predvideno zlasti ob sistematičnih nepravilnostih s strani ZDA, če na primer organ, ki je v Združenih državah pristojen za zagotavljanje izpolnjevanja načel zasebnosti varnega pristana, svojih nalog ne opravlja učinkovito ali če zakonodaja ZDA prevlada nad ravnjo zaščite, ki jo zagotavljajo načela varnega pristana. Kot vsak akt Komisije se lahko tudi ta iz katerih koli drugih razlogov spremeni ali celo razveljavi.

2.2.        Delovanje varnega pristana

Med 3 246[13] certificiranimi družbami so tako majhne kot velike družbe[14]. Čeprav sektor finančnih storitev in telekomunikacij ne spada pod izvedbena pooblastila zvezne komisije za trgovino in je zato izključen iz varnega pristana, so med certificiranimi družbami tudi številne družbe industrijskega in storitvenega sektorja, vključno z dobro poznanimi spletnimi podjetji in industrijo, ki zajema tako informacijske in računalniške storitve kot tudi farmacevtske, turistične, zdravstvene storitve ali storitve izdaje kreditnih kartic[15]. To so večinoma ameriške družbe, ki izvajajo storitve na notranjem trgu EU. So pa tudi hčerinske družbe nekaterih podjetij EU, kot sta Nokia ali Bayer. Od teh podjetij jih 51 % obdeluje podatke uslužbencev v Evropi, ki se v ZDA prenašajo iz zaposlitvenih razlogov[16].

Nekateri organi za varstvo podatkov v EU izražajo vse večjo zaskrbljenost nad prenosom podatkov v skladu z zdajšnjo shemo varnega pristana. Nekateri organi za varstvo podatkov držav članic kritizirajo celo splošno opredelitev načel ter veliko zanašanje na samocertificiranje in samourejanje. Podobne pomisleke je izrazila industrija, ki je opozorila na izkrivljanje konkurence zaradi nezadostnega izvrševanja.

Zdajšnja ureditev varnega pristana temelji na prostovoljni zavezanosti družb, njihovemu samocertificiranju in izvrševanju zavez samocertificiranja s strani javnih organov. V tem smislu vsakršna nepreglednost in slabo izvrševanje spodkopavata temelje, na katerih je zgrajena shema varnega pristana.

Vsakršno pomanjkanje preglednosti ali izvrševanja na strani ZDA se izraža v preusmeritvi odgovornosti na evropske organe za varstvo podatkov in družbe, ki shemo uporabljajo. Nemški organi za varstvo podatkov so 29. aprila 2010 izdali sklep, ki od družb, ki prenašajo podatke iz Evrope v ZDA, zahteva, da dejavno preverjajo, ali družbe v ZDA, ki uvažajo podatke, izpolnjujejo načela zasebnosti varnega pristana, in jim priporoča, da „naj vsaj družba izvoznica ugotovi, ali je certificiranje varnega pristana pri uvoznikih še veljavno“[17].

Po pridobljenih ugotovitvah o ameriških programih nadzora so nemški organi za varstvo podatkov 24. julija 2013 šli še korak dalje, ko so opozorili, da „obstaja precejšnja verjetnost kršenja načel odločb Komisije“[18]. Obstajajo nekateri primeri organov za varstvo osebnih podatkov (npr. organ za varstvo osebnih podatkov v Bremnu), ki so od družb, ki prenašajo osebne podatke ameriškim ponudnikom storitev, zahtevali, naj jih obvestijo, ali in kako agenciji za nacionalno varnost preprečujejo dostop do podatkov. Irski organ za varstvo podatkov je poročal, da je nedavno prejel dve pritožbi v zvezi s poročanjem v medijih o programih ameriških obveščevalnih agencij, ki se sklicujeta na program varnega pristana, vendar je zavrnil preiskavo, ker naj bi prenos osebnih podatkov v tretjo državo izpolnjeval zahteve irske zakonodaje o varstvu podatkov. Na podlagi podobne pritožbe je luksemburški organ za varstvo podatkov ugotovil, da sta Microsoft in Skype pri prenosu podatkov v ZDA ravnala v skladu z luksemburškim zakonom o varstvu podatkov[19]. Nasprotno pa je irsko vrhovno sodišče pozneje ugodilo zahtevku za sodno presojo, v okviru katere bo preverilo pravilnost neukrepanja irskega komisarja za varstvo podatkov v zvezi z ameriškimi programi nadzora. Eno od dveh pritožb je vložila študentska skupina Europe v Facebook (EvF), ki je podobno pritožbo vložila tudi zoper Yahoo v Nemčiji, ki pa jo pristojni organi za varstvo podatkov še obdelujejo.

Ti različni odzivi organov za varstvo podatkov na ugotovitve nadzora kažejo na realno tveganje razdrobljenosti sheme varnega pristana in sprožajo vprašanje o obsegu njenega izvrševanja.

3.           Preglednost politik družb, zavezanih k načelom varnega pristana, glede varovanja zasebnosti

Glede na FAQ 6, priložen odločbi o varnem pristanu (Priloga II), morajo družbe, ki želijo certificirati svojo zavezanost k načelom varnega pristana, ministrstvu za trgovino predložiti opis svoje politike varovanja zasebnosti in jo javno objaviti. Vsebovati mora obveznost zavezanosti k načelom varovanja zasebnosti. Zahteva o javni objavi politik varovanja zasebnosti samocertificiranih družb in njihova izjava o zavezanosti k načelom varovanja zasebnosti sta ključni za delovanje sheme.

Nezadostna dostopnost do politik varovanja zasebnosti takih družb škodi posameznikom, katerih osebni podatki se zbirajo in obdelujejo, in lahko pomeni kršitev načela obvestila. V takih primerih obstaja verjetnost, da posamezniki, katerih podatki se prenašajo iz EU, svojih pravic in obveznosti, ki veljajo za samocertificirane družbe, ne poznajo.

Poleg tega zavezanost družb, da izpolnjujejo načela varovanja zasebnosti, daje zvezni komisiji za trgovino pristojnost, da izvršuje ta načela v primeru družb, ki z nepoštenimi ali goljufivimi ravnanji ne izpolnjujejo načel. Zaradi nezadostne preglednosti družb v ZDA je zvezni komisiji za trgovino otežen nadzor in ogrožena učinkovitost izvrševanja.

V preteklih letih veliko samocertificiranih družb svojih politik varovanja zasebnosti ni objavilo in/ali ni dalo javne izjave o zavezanosti k načelom varovanja zasebnosti. Poročilo o varnem pristanu iz leta 2004 je opozorilo, da mora ministrstvo za trgovino postati dejavnejše pri nadzoru izpolnjevanja teh zahtev.

Od leta 2004 je ministrstvo za trgovino razvilo novo informacijsko orodje, namenjeno pomoči družbam pri izpolnjevanju njihovih obveznosti glede preglednosti. Zadevne informacije o shemi so na voljo na spletnem mestu o varnem pristanu ministrstva za trgovino[20], na katerega lahko družbe tudi naložijo svoje politike varovanja zasebnosti. Ministrstvo za trgovino je poročalo, da družbe uporabljajo to možnost in svoje politike varovanja zasebnosti nalagajo na njegovo spletno mesto, ko se prijavljajo za članstvo varnega pristana[21]. Ministrstvo za trgovino je v obdobju 2009–2013 objavilo tudi vrsto smernic za družbe, ki se želijo pridružiti varnemu pristanu, kot sta „Navodila za samocertificiranje“ in „Koristni nasveti o izvajanju samocertificiranja“[22].

Raven izpolnjevanja obveznosti glede preglednosti se med družbami razlikuje. Nekatere družbe opis svoje politike varovanja zasebnosti predložijo zgolj ministrstvu za trgovino kot del postopka samocertificiranja, večina pa svoje politike varovanja zasebnosti objavi na svojih spletnih mestih in jih tudi naloži na spletno mesto ministrstva za trgovino. Vendar te niso zmeraj predstavljene na potrošniku prijazen in lahko berljiv način. Hiperpovezave do politik varovanja zasebnosti ne delujejo zmeraj pravilno ali se ne nanašajo zmeraj na pravo spletno stran.

Kot izhaja iz Odločbe in njenih prilog, zahteva, da morajo družbe javno razkriti svoje politike varovanja zasebnosti, presega samo uradno obveščanje ministrstva za trgovino o samocertificiranju. Zahteve za certificiranje, določene v FAQ, vključujejo opis politike varovanja zasebnosti in pregledne informacije o tem, kje je na voljo za javni vpogled[23]. Izjave o varovanju zasebnosti morajo biti jasne in lahko dostopne za javnost. Vključevati morajo hiperpovezavo do spletnega mesta o varnem pristanu ministrstva za trgovino, ki vsebuje seznam „aktualnih“ članov sheme in povezavo do ponudnika alternativnega reševanja sporov. Vendar številne družbe, vključene v shemo v obdobju 2000–2013, niso izpolnjevale teh zahtev. Ministrstvo za trgovino je med delovnimi stiki s Komisijo februarja 2013 priznalo, da morda do 10 % certificiranih družb na svojih javnih spletnih mestih dejansko ni objavilo svojih politik varovanja zasebnosti, ki bi vključevale izjavo o zavezanosti k načelom varnega pristana.

Nedavna statistika kaže tudi na nenehne težave v zvezi z lažnimi trditvami o zavezanosti k načelom varnega pristana. Približno 10 % družb, ki trdijo, da so članice varnega pristana, na seznamu ministrstva za trgovino niso navedene kot aktualne članice sheme[24]. Takšne lažne trditve dajejo tako družbe, ki nikoli niso bile članice varnega pristana, kot tudi družbe, ki so se v preteklosti pridružile shemi, vendar niso vsako leto obnovile samocertificiranja pri ministrstvu za trgovino. V teh primerih so še vedno vključene na seznam na spletnem mestu o varnem pristanu, vendar je njihov status certificiranja naveden kot „neaktualen“, kar pomeni da je družba bila članica sheme in ima obveznost še naprej zagotavljati varstvo podatkov, ki so že v obdelavi. Zvezna komisija za trgovino je pristojna za ukrepanje v primerih goljufivih ravnanj in neizpolnjevanja načel varnega pristana (glej oddelek 5.1). Nejasnost glede „lažnih trditev“ vpliva na verodostojnost sheme.

Evropska komisija je med rednimi stiki v letih 2012 in 2013 opozorila ministrstvo za trgovino, da za izpolnjevanje obveznosti preglednosti ne zadostuje, da družbe ministrstvu za trgovino zgolj predložijo opis svojih politik varovanja zasebnosti. Izjave o varovanju zasebnosti morajo biti javno dostopne. Ministrstvo za trgovino je tudi pozvala, naj zaostri redni nadzor spletnih mest družb po opravljenih postopkih preverjanja, ki se izvede v okviru prvega postopka samocertificiranja ali njegove vsakoletne obnovitve, in naj ukrepa zoper tiste družbe, ki ne izpolnjujejo zahtev glede preglednosti.

Kot prvi odziv na opozorilo EU je ministrstvo za trgovino marca 2013 uvedlo obveznost, da morajo družbe, ki so članice varnega pristana in imajo svojo javno spletno mesto, na njem svojim strankam/uporabnikom dati na vpogled svojo politiko varovanja zasebnosti. Hkrati je ministrstvo za trgovino začelo vse družbe, katerih politike varovanja zasebnosti še niso vključevale povezave do spletnega mesta o varnem pristanu ministrstva za trgovino, uradno pozivati, naj dodajo povezavo in tako potrošnikom, ki obiščejo njihovo spletno mesto, omogočijo neposreden dostop do uradnega seznama varnega pristana in njegovega spletnega mesta. To bo evropskim posameznikom, na katere se nanašajo osebni podatki, omogočilo, da takoj in brez dodatnih poizvedb na spletu preverijo zaveze družb, predložene ministrstvu za trgovino. Poleg tega je ministrstvo za trgovino začelo družbe uradno pozivati, naj podatke za stik z njihovim neodvisnim ponudnikom alternativnega reševanja sporov vključijo v svojo objavljeno politiko varovanja zasebnosti[25].

Ta proces je treba pospešiti in tako zagotoviti, da bodo vse certificirane družbe najpozneje do marca 2014 v celoti izpolnjevale zahteve varnega pristana (tj. do roka za obnovitev vsakoletnega certificiranja družbe, šteto od uvedbe novih zahtev marca 2013).

Kljub temu ostajajo dvomi, ali samocertificirane družbe v celoti izpolnjujejo zahteve o preglednosti. Ministrstvo za trgovino mora strožje nadzorovati in preiskovati skladnost z obveznostmi, sprejetimi ob izvedbi začetnega samocertificiranja in vsakoletni obnovitvi.

4.           Vključitev načel zasebnosti varnega pristana v politike družb glede varovanja zasebnosti

Samocertificirane družbe morajo izpolnjevati načela varovanja zasebnosti, določena v Prilogi I k Odločbi, da bi pridobile in obdržale ugodnosti varnega pristana.

Komisija je v svojem poročilu iz leta 2004 ugotovila, da veliko družb ni pravilno vključilo načel zasebnosti varnega pristana v svoje politike obdelave podatkov. Na primer, posameznikom niso bile zmeraj dane jasne in pregledne informacije o namenih, za katere se njihovi podatki obdelujejo, ali niso imeli možnosti zavrnitve, če se naj bi njihovi osebni podatki razkrili tretji strani ali bi se uporabili za namen, ki ni združljiv z namenom, za katerega so bili prvotno zbrani. Komisija je v svojem poročilu iz leta 2004 menila, da bi moralo biti ministrstvo za trgovino „dejavnejše pri dostopanju do varnega pristana in ozaveščanju o načelih“[26].

V zvezi s tem je bil napredek skromen. Od 1. januarja 2009 ministrstvo za trgovino družbam, ki želijo obnoviti svoj status certificiranja za varni pristan, kar je treba storiti vsako leto, še pred obnovitvijo statusa pregleda politike varovanja zasebnosti. Vendar je ta presoja po obsegu omejena. Ne izvaja se popolna presoja dejanskega stanja v samocertificiranih družbah, kar bi bistveno povečalo verodostojnost postopka samocertificiranja.

Poleg zahtev Komisije, da ministrstvo za trgovino izvaja strožji in bolj sistematičen pregled nad samocertificiranimi družbami, se zdaj več pozornosti namenja novo predloženim vlogam. Število novo predloženih vlog, ki niso bile sprejete, temveč so bile vrnjene družbam z zahtevo, naj izboljšajo politike varovanja zasebnosti, se je med leti 2010 in 2013 znatno povečalo, in sicer se je podvojilo za družbe z obnovitvijo certificiranja in potrojilo za družbe, ki so vlogo predložile prvič[27]. Ministrstvo za trgovino je Komisiji zagotovilo, da je certificiranje ali obnovitev certificiranja končano šele, ko politika varovanja zasebnosti družbe izpolnjuje vse zahteve, zlasti obveznost zavezanosti k zadevnemu sklopu načel zasebnosti varnega pristana, in ko je javno dostopna. Družba mora v svoji evidenci seznama varnega pristana določiti lokacijo zadevne politike. Nadalje mora na svojem spletnem mestu jasno opredeliti ponudnika alternativnega reševanja sporov in vključiti povezavo do samocertificiranja varnega pristana na spletnem mestu ministrstva za trgovino. Kljub vsemu je bilo ocenjeno, da več kot 30 % članov varnega pristana v politikah varovanja zasebnosti na svojih spletnih mestih ne navaja informacij o reševanju sporov[28].

Večina družb, ki jih je ministrstvo za trgovino črtalo s seznama varnega pristana, je bila črtanih na izrecno zahtevo samih družb (na primer družb, ki so se združile ali bile prevzete, spremenile svojo dejavnost ali prenehale poslovati). Manjše število družb, katerih zaveze so potekle, je bilo črtanih po ugotovitvi, da spletna mesta, navedena v evidencah, ne delujejo in je status certificiranja družb že nekaj let „neaktualen“[29]. Pomembno je poudariti, da nobena družba ni bila črtana, ker bi ministrstvo za trgovino v svojih preverjanjih ugotovilo neizpolnjevanje načel.

Evidenca seznama varnega pristana je namenjena obveščanju javnosti in velja kot evidenca družbe o zavezanosti k varnemu pristanu. Zavezanost k načelom varnega pristana ni časovno omejena, kar zadeva podatke, pridobljene v času, ko družba uživa ugodnosti varnega pristana, zato mora načela za take podatke uporabljati, dokler jih hrani, uporablja ali razkriva, četudi pozneje iz kakršnega koli razloga izstopi iz varnega pristana.

Število prosilcev varnega pristana, ki niso uspešno opravili upravnega pregleda ministrstva za trgovino in zato nikoli niso bili vključeni na seznam varnega pristana, je sledeče: leta 2010 zgolj 6 %(ali 33 družb) od 513 prvič certificiranih družb nikoli ni bilo vključenih na seznam varnega pristana, ker niso ravnale v skladu s standardi ministrstva za trgovino glede samocertificiranja. Leta 2013 12 % (ali 75 družb) od 605 prvič certificiranih družb nikoli ni bilo vključenih na seznam varnega pristana, ker niso ravnale v skladu s standardi ministrstva za trgovino glede samocertificiranja.

Za povečanje preglednosti pregleda bi moralo ministrstvo za trgovino na svojem spletnem mestu vsaj objaviti vse družbe, ki so bile črtane s seznama varnega pristana, in navesti razloge, zaradi katerih certificiranje ni bilo obnovljeno. Oznaka „neaktiven“ na seznamu družb članic varnega pristana ministrstva za trgovino se ne sme obravnavati zgolj kot informacija, temveč ji mora biti pripisano jasno opozorilo, tako z besedami kot tudi grafično, da družba v tem času ne izpolnjuje zahtev varnega pristana.

Poleg tega nekatere družbe še zmeraj ne vključujejo vseh načel varnega pristana. Poleg vprašanja preglednosti, obravnavnega v oddelku 3 zgoraj, politike varovanja zasebnosti samocertificiranih družb pogosto niso jasne glede namenov, za katere se podatki zbirajo, in pravice do izbire, ali se podatki lahko razkrijejo tretjim stranem; tako se zastavlja vprašanje skladnosti z načeli obvestila in možnosti izbire. Ti dve načeli sta bistveni za zagotovitev, da lahko imajo posamezniki, na katere se nanašajo osebni podatki, nadzor nad tem, kaj se dogaja z njihovimi osebnimi podatki.

Ta ključni prvi korak v postopku zagotavljanja skladnosti, tj. vključitev načel zasebnosti varnega pristana v politike varovanja zasebnosti družb, ni zagotovljen v zadostni meri. Ministrstvo za trgovino bi ga moralo obravnavati prednostno in razviti metodologijo zagotavljanja skladnosti v operativni praksi družb in pri njihovem sodelovanju s strankami. Ministrstvo za trgovino mora dejavno preverjati učinkovito vključitev načel varnega pristana v politike družb glede varovanja zasebnosti, ne pa s pregonom čakati do vložitev pritožb posameznikov.

5.           Izvrševanje s strani javnih organov

Na voljo so številni mehanizmi za zagotovitev učinkovitega izvrševanja sheme varnega pristana in nudenje pravnih sredstev posameznikom v primerih, ko neizpolnjevanje načel varovanja zasebnosti vpliva na varstvo njihovih osebnih podatkov.

V skladu z načelom izvrševanja morajo politike varovanja zasebnosti samocertificiranih organizacij vsebovati učinkovite mehanizme skladnosti. V skladu z načelom izvrševanja, ki ga podrobneje pojasnjujejo FAQ 11, FAQ 5 in FAQ 6, je mogoče to zahtevo izpolniti z zavezanostjo k neodvisnim pritožbenim mehanizmom (IRM), ki so javno navedli, da imajo pristojnost za obravnavo posameznih pritožb glede neizpolnjevanja zavezanosti k načelom. Drugače pa je mogoče to doseči z zavezo organizacije, da bo sodelovala s forumom za varstvo podatkov EU[30]. Poleg tega spadajo samocertificirane družbe v pristojnost zvezne komisije za trgovino v skladu z oddelkom 5 zakona o zvezni komisiji za trgovino, ki prepoveduje nepoštena in goljufiva dejanja ali ravnanja v trgovini ali v zvezi s trgovino[31].

Komisija je v svojem poročilu iz leta 2004 izrazila zaskrbljenost glede izvajanja sheme varnega pristana in opozorila, da mora biti zvezna komisija za trgovino dejavnejša pri uvajanju preiskav in ozaveščanju posameznikov glede njihovih pravic. Skrb vzbuja tudi nezadostna jasnost v zvezi s pristojnostjo zvezne komisije za trgovino glede izvrševanja načel pri podatkih o človeških virih.

Forum za varstvo podatkov EU, tj. pritožbeni organ, pristojen za podatke o človeških virih, je prejel eno pritožbo v zvezi s podatki o človeških virih[32]. Vendar na podlagi dejstva, da skoraj ni pritožb, ni mogoče sklepati, da shema v celoti deluje. Uvesti bi bilo treba preverjanje po uradni dolžnosti izpolnjevanja načel s strani družb, da bi se tako preverilo dejansko izvajanje zavez o varstvu podatkov. Organi za varstvo podatkov EU bi morali sprejeti tudi ukrepe za ozaveščanje o obstoju foruma.

Opozorjeno je bilo na težave v zvezi z načinom, kako alternativni pritožbeni mehanizmi delujejo kot organi pregona. Več teh organov nima ustreznih sredstev za odpravo primerov neizpolnjevanja načel. To pomanjkljivost je treba obravnavati.

5.1.        Zvezna komisija za trgovino

Zvezna komisija za trgovino lahko v primeru kršitev zavez varnega pristana družb sprejme izvršilne ukrepe. Ob vzpostavitvi varnega pristana se je zvezna komisija za trgovino zavezala k prednostnemu pregledu vseh naznanitev, ki jih ji posredujejo organi držav članic EU[33]. Ker prvih deset let ureditve ni bila vložena nobena pritožba, se je zvezna komisija za trgovino odločila, da bo poskušala poiskati vse kršitve varnega pristana v vsaki preiskavi zasebnosti in varnosti podatkov, ki jo izvede. Od leta 2009 je zvezna komisija za trgovino uvedla deset pregonov zoper družbe zaradi kršenja varnega pristana. Njihov rezultat so odredbe za poravnavo – naložene stroge kazni – ki prepovedujejo lažne navedbe o zasebnosti, tudi o izpolnjevanju načel varnega pristana, in naložitev družbam obveznosti celovitih programov za varstvo in revizij za 20 let. Družbe morajo na zahtevo zvezne komisije za trgovino sprejeti neodvisne ocene svojih programov varovanja zasebnosti. O teh ocenah se redno poroča zvezni komisiji za trgovino. Njene odredbe tem družbam tudi prepovedujejo dajanje lažnih navedb o svojih praksah varovanja zasebnosti in o svoji udeležbi v varnem pristanu ali podobnih shemah varovanja zasebnosti. Takšen primer so preiskave zvezne komisije za trgovino zoper Google, Facebook in Myspace[34]. Leta 2012 je Google privolil v plačilo kazni v višini 22,5 milijona USD zaradi obtožb, da je kršil odredbo o soglasju. V vseh preiskavah varovanja zasebnosti zvezna komisija za trgovino po uradni dolžnosti preverja, ali gre za kršitev varnega pristana.

Zvezna komisija za trgovino je nedavno ponovila svoje izjave in zavezo k prednostnemu pregledu vseh naznanitev, ki jih predložijo družbe s samourejevalnim sistemom in države članice EU, ki domnevajo, da družba ne izpolnjujejo načel varnega pristana[35]. Evropski organi za varstvo podatkov so v zadnjih treh letih zvezni komisiji za trgovino predložili le nekaj naznanitev.

V zadnjih mesecih se je začelo razvijati čezatlantsko sodelovanje med organi za varstvo podatkov. Zvezna komisija za trgovino je na primer 26. junija 2013 s komisarjem irskega urada za varstvo podatkov podpisala memorandum o soglasju o medsebojni pomoči pri izvrševanju zakonov o varstvu osebnih podatkov v zasebnem sektorju. Memorandum vzpostavlja okvir za tesnejše, bolj usmerjeno in učinkovitejše sodelovanje na področju izvrševanja varovanja zasebnosti[36].

Avgusta 2013 je zvezna komisija za trgovino najavila nadaljnje okrepitve pregledov družb z nadzorom nad večjo zbirko osebnih podatkov. Vzpostavila je tudi portal, na katerem lahko potrošniki vložijo pritožbo zaradi varovanja zasebnosti zoper ameriško družbo[37].

Zvezna komisija za trgovino mora tudi okrepiti prizadevanja za preiskave lažnih trditev o zavezanosti k varnemu pristanu. Družba, ki na svojem spletnem mestu trdi, da izpolnjuje zahteve o varnem pristanu, ampak na seznamu ministrstva za trgovino ni navedena kot „aktualen“ član sheme, zavaja potrošnike in zlorablja njihovo zaupanje. Lažne trditve slabijo verodostojnost celotnega sistema in jih je treba nemudoma odstraniti s spletnih mest družb. Družbe morajo biti vezane na izvršljive zahteve, da ne zavajajo potrošnikov. Zvezna komisija za trgovino mora še naprej poskušati identificirati lažne trditve o varnem pristanu kot v zadevi Karnani, ko je zaprla kalifornijsko spletno mesto zaradi lažnih navedb o registraciji varnega pristana, ter goljufivega ravnanja pri elektronskem trgovanju, namenjenem evropskim potrošnikom[38].

Zvezna komisija za trgovino je 29. oktobra 2013 objavila, da je v zadnjih mesecih uvedla „številne preiskave glede izvajanja varnega pristana“ in da je mogoče „v naslednjih mesecih“ pričakovati še več pregonov na tem področju. Potrdila je tudi, da „je odločena poiskati načine za izboljšanje učinkovitosti“ in da bo „tudi v prihodnje vesela zanesljivih informacij, kakršne je vsebovala pritožba, ki jo je pred meseci vložil evropski zagovornik potrošnikov in v kateri navaja domneve o večjem številu kršitev, povezanih z varnim pristanom“[39]. Agencija se je zavezala tudi k „sistematičnemu nadzoru izpolnjevanja odredb, kot to počnemo z vsemi našimi odredbami“[40].

Zvezna komisija za trgovino je 12. novembra 2013 obvestila Evropsko komisijo, da „če družba v svoji politiki varovanja zasebnosti obljublja zaščito varnega pristana, neuspešna registracija ali nezmožnost njene ohranitve sami po sebi še ne razrešujeta zadevne družbe, da zvezna komisija za trgovino glede nje ne bi izvrševala zavez varnega pristana“[41].

Novembra 2013 je ministrstvo za trgovino obvestilo Evropsko komisijo, da „bo za pomoč pri preprečevanju ,lažnih trditev‛ o sodelovanju v varnem pristanu začelo vzpostavljati stik z udeleženci varnega pristana mesec pred njihovim rokom za obnovitev certificiranja in jim pojasnilo ukrepe, ki jih morajo sprejeti, če se ne odločijo za obnovitev certificiranja“. Ministrstvo za trgovino „bo opozorilo družbe v tej kategoriji, naj odstranijo vse sklice na udeležbo v varnem pristanu iz svojih politik varovanja zasebnosti in spletnih mest, tudi oznako certificiranja varnega pristana, in jih bo jasno seznanilo z možnostjo uvedbe pregona s strani zvezne komisije za trgovino, če teh zahtev ne izpolnijo“[42].

Za preprečevanje lažnih trditev o zavezanosti k varnemu pristanu morajo politike varovanja zasebnosti na spletnih mestih samocertificiranih družb vedno vključevati povezavo do spletnega mesta o varnem pristanu ministrstva za trgovino, na katerem so navedeni vsi „aktualni“ člani sheme. To bo evropskim posameznikom, na katere se nanašajo osebni podatki, omogočilo, da takoj in brez dodatnih poizvedb na spletu preverijo, ali je družba aktualna članica varnega pristana. Ministrstvo za trgovino je marca 2013 začelo to od družb zahtevati, vendar je treba proces pospešiti.

Stalno spremljanje in dosledno izvrševanje načel varnega pristana s strani zvezne komisije za trgovino sta poleg zgoraj navedenih ukrepov ministrstva za trgovino še naprej ključni prednostni nalogi za zagotovitev pravilnega in učinkovitega delovanja sheme. Zlasti je treba povečati število pregledov po uradni dolžnosti in preiskav izpolnjevanja načel varnega pristana s strani družb. Nadalje je treba olajšati vlaganje pritožb pri zvezni komisiji za trgovino zaradi kršitev zavez.

5.2.        Forum za varstvo podatkov EU

Forum za varstvo podatkov EU je organ, ustanovljen z odločbo o varnem pristanu. Pristojen je za preiskave pritožb, ki jih vložijo posamezniki v zvezi z zbiranjem osebnih podatkov v okviru zaposlitvenega razmerja in v zvezi s certificiranimi družbami, ki so za reševanje sporov v okviru varnega pristana izbrale to možnost (53 % vseh družb). Sestavljajo ga predstavniki različnih organov za varstvo podatkov EU.

Do zdaj je forum prejel štiri pritožbe (dve leta 2010 in dve leta 2013). Pritožbi iz leta 2010 je posredoval nacionalnima organoma za varstvo podatkov (Združenega kraljestva in Švice). Preostali dve pritožbi se še proučujeta. Razlog za tako malo pritožb je lahko dejstvo, da so pristojnosti foruma, kot je bilo že omenjeno, načeloma omejene na določeno vrsto podatkov.

Delni razlog za omejeno število zadev je tudi, da forum ni dovolj dobro poznan. Komisija je leta 2004 zagotovila, da so informacije o forumu na njenem spletnem mestu vidnejše[43].

Da bi lahko družbe v ZDA, ki so se odločile sodelovati s forumom in ravnati v skladu z njegovimi odločbami za nekatere ali vse kategorije osebnih podatkov, zajete v njihovih samocertificiranjih, forum bolje izkoristile, morajo v svojih politikah varovanja zasebnosti to jasno in dobro prikazati, da se ministrstvu za trgovino omogoči, da opravi pregled v zvezi s tem. Za ozaveščanje evropskih družb in posameznikov, na katere se nanašajo osebni podatki, o varnem pristanu je treba na spletnih mestih vseh organov za varstvo podatkov EU vzpostaviti posebno stran, namenjeno varnemu pristanu.

5.3.        Izboljšanje izvrševanja

Zgoraj ugotovljena šibkost pri preglednosti in izvrševanju je pri evropskih družbah vzbudila skrb o negativnem vplivu sheme varnega pristana na konkurenčnost evropskih družb. Kadar evropske družbe konkurirajo z ameriškimi družbami, ki so sicer zavezane k varnemu pristanu, v praksi pa njegovih načel ne spoštujejo, je evropska družba v podrejenem konkurenčnem položaju glede na ameriško družbo.

Poleg tega se pristojnosti zvezne komisije za trgovino razširjajo na nepoštena ali goljufiva dejanja ali ravnanja „v trgovini ali v zvezi s trgovino“. Oddelek 5 zakona o zvezni komisiji za trgovino je glede pooblastil zvezne komisije za trgovino v zvezi z nepoštenimi in goljufivimi dejanji in ravnanji uveljavil izjeme, med drugim v zvezi s telekomunikacijami. Ker telekomunikacijske družbe ne spadajo v pristojnost izvrševanja zvezne komisije za trgovino, se ne smejo zavezati k varnemu pristanu. Vendar so zaradi vse večje konvergence tehnologij in storitev številni njihovi neposredni tekmeci v ameriškem sektorju IKT člani varnega pristana. Izključitev telekomunikacijskih družb iz izmenjave podatkov v okviru sheme varnega pristana vzbuja skrb nekaterim evropskim telekomunikacijskim operaterjem. Po mnenju Združenja evropskih operaterjev telekomunikacijskih omrežij (ETNO) je „to v jasnem nasprotju z najpomembnejšo zahtevo telekomunikacijskih operaterjev v zvezi s potrebo po enakih konkurenčnih pogojih“[44].

6.           Okrepitev načel zasebnosti varnega pristana

6.1.        Alternativno reševanje sporov

Načelo izvrševanja zahteva „lahko dostopne in stroškovno ugodne neodvisne pritožbene mehanizme, ki omogočajo, da se pritožbe in spori vsakega posameznika preiščejo“. V ta namen vzpostavlja shema varnega pristana sistem alternativnega reševanja sporov (ARS), ki ga izvede neodvisna tretja stran[45], da bi posameznikom ponudila hitre rešitve. Trije najpomembnejši organi pritožbenega mehanizma so forum za varstvo podatkov EU, BBB (Better Business Bureaus) in TRUSTe.

Uporaba ARS se je od leta 2004 povečala in ministrstvo za trgovino je okrepilo nadzor nad ameriškimi ponudniki ARS, da bi se zagotovilo, da so informacije, ki jih ponujajo glede pritožbenega postopka, jasne, dostopne in razumljive. Vendar pa je treba učinkovitost tega sistema še dokazati glede na to, da je bilo do zdaj obravnavano le omejeno število zadev[46].

Čeprav je bilo ministrstvo za trgovino uspešno pri znižanju provizij, ki jih zaračunavajo ponudniki ARS, dva od sedmih večjih ponudnikov ARS posameznikom, ki vložijo pritožbo, še naprej zaračunavajo provizijo[47]. To so ponudniki ARS, ki jih uporablja 20 % družb iz varnega pristana. Te družbe so izbrale ponudnika ARS, ki potrošnikom zaračunava provizijo za vložitev pritožbe. Takšne prakse niso v skladu z načelom izvrševanja varnega pristana, ki daje posameznikom pravico dostopa do „lahko dostopnih in stroškovno ugodnih neodvisnih pritožbenih mehanizmov“. V Evropski uniji je dostop do neodvisne storitve reševanja sporov, ki jo nudi forum za varstvo podatkov EU, brezplačen za vse posameznike, na katere se nanašajo osebni podatki.

Ministrstvo za trgovino je 12. novembra 2013 potrdilo, da „se bo v imenu EU še naprej zavzemalo za varnost zasebnosti državljanov EU in da bo sodelovalo s ponudniki ARS, da se ugotovi, ali je mogoče njihove provizije še znižati“.

Kar zadeva sankcije, nimajo vsi ponudniki ARS potrebnih orodij za odpravo kršitev načel varovanja zasebnosti. Poleg tega objava ugotovitev o neizpolnjevanju načel ni predvidena med naborom sankcij in ukrepov nobenega od ponudnikov storitev ARS.

Ponudniki ARS so bili tudi pozvani, naj zadeve predložijo zvezni komisiji za trgovino, če družba ne ravna tako, kot predvideva izid postopka ARS ali zavrača odločitev ponudnika ARS, da lahko zvezna komisija za trgovino zadevo prouči in preišče ter po potrebi sprejme izvršilne ukrepe. Vendar do zdaj še noben ponudnik ARS zvezni komisiji za trgovino ni predložil takšne zadeve[48].

Ponudniki storitev alternativnega reševanja sporov vodijo na svojih spletnih mestih seznam družb (udeležencev reševanja spora), ki uporabljajo njihove storitve. To omogoča potrošnikom, da lahko preprosto preverijo, ali lahko v primeru spora z družbo posameznik vloži pritožbo pri opredeljenem ponudniku reševanja sporov. Tako denimo vodi ponudnik reševanja sporov BBB seznam vseh družb v sistemu za reševanje sporov BBB. Vendar številne družbe trdijo, da so vključene v poseben sistem reševanja sporov, vendar pri ponudniku storitev ARS niso navedene kot članice njihove sheme za reševanje sporov[49].

Mehanizmi ARS morajo biti za posameznike lahko dostopni, neodvisni in stroškovno ugodni. Posameznik, na katerega se nanašajo osebni podatki, mora imeti možnost vložitve pritožbe brez pretiranih omejitev. Vsi organi ARS morajo na svojih spletnih mestih objaviti statistiko o obdelanih pritožbah in posebne informacije o njihovem izidu. Organe ARS je treba še naprej spremljati, da se zagotovi, da so predložene informacije o postopku in o tem, kako vložiti pritožbo, jasne in razumljive, tako da bo postalo reševanje sporov učinkovit in verodostojen mehanizem, ki prinaša rezultate. Ponovno je treba tudi poudariti, da je treba objavo ugotovitev o neizpolnjevanju načel vključiti med nabor obveznih sankcij organov ARS.

6.2.        Prenos tretjemu

Zaradi eksponentnega naraščanja prenosa podatkov je treba zagotoviti stalno varstvo osebnih podatkov na vseh stopnjah obdelave podatkov, zlasti ko družba, zavezana k varnemu pristanu, prenaša podatke tretji strani, ki izvaja obdelavo. Zato potreba po boljšem izvrševanju varnega pristana ne zadeva le članov varnega pristana, temveč tudi podizvajalce.

Shema varnega pristana omogoča prenos tretjim stranem v vlogi „posrednika“, če družba, ki je članica sheme varnega pristana, potrdi, da je „bodisi tretja stranka pristopila k načelom ali je podvržena Direktivi ali je zajeta z drugo primerno zaščito podatkov bodisi da s to tretjo stranko sklene pisni sporazum, po katerem mora tretja stranka zagotoviti vsaj takšno raven varstva zasebnosti, kakor jo zahtevajo ustrezna načela“[50]. Na primer, ministrstvo za trgovino od ponudnika storitve računalništva v oblaku zahteva podpis pogodbe, četudi „se ravna v skladu z varnim pristanom“ in dobiva osebne podatke v obdelavo[51]. Vendar ta določba v Prilogi II k odločbi o varnem pristanu ni jasna.

Zaradi znatnega povečanja uporabe podizvajalcev v zadnjih letih, zlasti pri računalništvu v oblaku, mora družba, ki je članica varnega pristana, o podpisu take pogodbe obvestiti ministrstvo za trgovino in mora biti zavezana objaviti takšne ukrepe za varstvo zasebnosti[52].

Tri zgoraj navedena vprašanja, tj. mehanizem alternativnega reševanja sporov, okrepljen pregled in prenos podatkov tretjemu, je treba podrobneje razjasniti.

7.           Dostop do podatkov, prenesenih v okviru sheme varnega pristana

Med letom 2013 so informacije o obsegu programov nadzora v ZDA vzbudile skrb o kontinuiteti varstva osebnih podatkov, zakonito prenesenih v ZDA v okviru sheme varnega pristana. Tako se na primer zdi, da so vse družbe, ki so vključene v program PRISM in ki organom v ZDA dovoljujejo dostop do podatkov, shranjenih in obdelanih v ZDA, certificirane za varni pristan. S tem je shema varnega pristana postala ena od kanalov, po katerih je ameriškim obveščevalnim organom omogočen dostop do zbiranja osebnih podatkov, prvotno obdelanih v EU.

Odločba o varnem pristanu v Prilogi I določa, da je zavezanost k načelom lahko omejena, če je to potrebno za izpolnjevanje zahtev nacionalne varnosti, javnega interesa ali odkrivanja in pregona ali je omejena z zakonom, vladnim podzakonskim aktom ali sodno prakso. Da bi bile omejitve in zadržki glede uživanja temeljnih pravic veljavne, jih je treba razlagati ozko; določene morajo biti v javno dostopni zakonodaji ter morajo biti nujno potrebne in sorazmerne v demokratični družbi. Odločba o varnem pristanu določa zlasti, da so takšne omejitve dovoljene le, „če je to potrebno“ za izpolnjevanje zahtev nacionalne varnosti, javnega interesa ali odkrivanja in pregona[53]. Izredna obdelava podatkov za namene nacionalne varnosti, javnega interesa ali odkrivanja in pregona je v okviru sheme varnega pristana sicer dovoljena, vendar v času sprejemanja varnega pristana tako obsežen dostop obveščevalnih agencij do podatkov, prenesenih v ZDA v okviru trgovinskih poslov, ni bil predviden.

Poleg tega bi zaradi preglednosti in pravne varnosti ministrstvo za trgovino moralo obvestiti Evropsko komisijo o vseh zakonih ali vladnih podzakonskih aktih, ki bi lahko vplivali na zavezanost k načelom zasebnosti varnega pristana[54]. Uporabo izjem je treba strogo nadzorovati in se jih ne sme uporabljati na način, ki ogroža zaščito, zagotovljeno z načeli[55]. Zlasti obsežen dostop ameriških organov do podatkov, ki jih obdelujejo samocertificirane družbe v okviru varnega pristana, pomeni tveganje za razvrednotenje zaupnosti elektronske komunikacije.

7.1.        Sorazmernost in nujnost

Kot kažejo ugotovitve posebej ustanovljene delovne skupine za varstvo podatkov EU-ZDA, številne pravne podlage zakonodaje ZDA omogočajo obsežno zbiranje in obdelovanje osebnih podatkov, ki jih shranjujejo ali drugače obdelujejo družbe s sedežem v ZDA. Zadeva lahko podatke, ki so bili predhodno preneseni iz EU v ZDA v okviru sheme varnega pristana, in zato zastavlja vprašanje stalnega izpolnjevanja načel varnega pristana. Zaradi obsežne narave teh programov lahko ameriški organi dostopajo do podatkov, prenesenih v okviru sheme varnega pristana, in jih nadalje obdelujejo v večji meri, kot je nujno potrebno in sorazmerno za zaščito nacionalne varnosti, kot to predvidevajo izjeme v odločbi o varnem pristanu.

7.2.        Omejitve in možnosti pravnega varstva

Kot kažejo ugotovitve posebej ustanovljene delovne skupine za varstvo podatkov EU-ZDA, je varstvo, ki ga določa pravo ZDA, večinoma zagotovljeno ameriškim državljanom ali tamkajšnjim zakonitim prebivalcem. Poleg tega ni mogoče, da bi posamezniki iz EU ali ZDA, na katere se nanašajo osebni podatki, lahko dostopali do podatkov, jih popravljali ali izbrisali ali imeli dostop do upravnega ali sodnega varstva zaradi zbiranja in nadaljnje obdelave svojih osebnih podatkov v okviru ameriških programov nadzora.

7.3.        Preglednost

Družbe v svojih politikah varovanja zasebnosti ne navajajo sistematično, kdaj uporabljajo izjeme od načel. Tako posamezniki in družbe ne vedo, kaj se dogaja z njihovimi podatki. To je še zlasti pomembno v zvezi z delovanjem zadevnih programov nadzora ZDA. Zato morda Evropejce, katerih podatki se prenesejo družbi v ZDA v okviru varnega pristana, zadevne družbe ne obvestijo, da lahko do njihovih podatkov dostopajo tretje strani[56]. To sproža vprašanje skladnosti z načeli varnega pristana glede preglednosti. Preglednost je treba zagotoviti v največji možni meri, ne da bi bila ogrožena nacionalna varnost. Poleg obstoječih zahtev, da morajo družbe v svojih politikah varovanja zasebnosti navesti, kdaj so načela lahko omejena z zakonom, vladnim podzakonskim aktom ali sodno prakso, je treba družbe spodbujati tudi k temu, da v svojih politikah varovanja zasebnosti navedejo, kdaj uporabljajo izjeme od načel, da izpolnijo zahteve nacionalne varnosti, javnega interesa ali odkrivanja in pregona.

8.           Zaključki in priporočila

Od sprejetja varnega pristana leta 2000 je ta postal nosilec prenosa osebnih podatkov med EU in ZDA. Učinkovita zaščita pri prenosu osebnih podatkov je zaradi eksponentnega naraščanja prenosa podatkov, ključnih za digitalno gospodarstvo, ter pomembnega razvoja pri zbiranju, obdelavi in uporabi podatkov postala še pomembnejša. Spletna podjetja, kot so Google, Facebook, Microsoft, Apple in Yahoo, imajo več sto milijonov strank v Evropi in prenašajo osebne podatke za obdelavo v ZDA v obsegu, ki je bil ob sprejetju varnega pristana leta 2000 nepredstavljiv.

Zaradi nezadovoljive preglednosti in nepravilnosti pri izvajanju te ureditve še vedno obstajajo določene težave, ki jih je treba obravnavati:

a) preglednost politik članov varnega pristana glede varovanja zasebnosti,

b) učinkovita uporaba načel zasebnosti s strani družb v ZDA in

c) učinkovitost pri njihovem izvrševanju.

Poleg tega obsežen dostop obveščevalnih agencij do podatkov, ki jih v ZDA prenašajo družbe, certificirane v okviru varnega pristana, sproža še dodatna resna vprašanja glede kontinuitete pravic do varstva podatkov Evropejcev, kadar se njihovi podatki prenašajo v ZDA.

Komisija je na podlagi zgoraj navedenega opredelila naslednja priporočila:

Preglednost

1. Samocertificirane družbe bi morale javno objaviti svoje politike varovanja zasebnosti. Ne zadostuje, če družbe ministrstvu za trgovino predložijo opis svoje politike varovanja zasebnosti. Te politike morajo biti javno dostopne na spletnih mestih družb, napisane pa morajo biti v jasnem in nedvoumnem jeziku.

2. Politike varovanja zasebnosti na spletnih mestih samocertificiranih družb bi morale vedno vključevati povezavo do spletnega mesta o varnem pristanu ministrstva za trgovino, na katerem so navedeni vsi „aktualni“ člani sheme. To bo evropskim posameznikom, na katere se nanašajo osebni podatki, omogočilo, da takoj in brez dodatnih poizvedb na spletu preverijo, ali je družba aktualna članica varnega pristana. To bi pripomoglo k povečanju verodostojnosti sheme, saj bi se zmanjšale možnosti lažnih navedb o zavezanosti k varnemu pristanu. Ministrstvo za trgovino je marca 2013 začelo to od družb zahtevati, vendar je treba proces pospešiti.

3. Samocertificirane družbe bi morale objaviti pogoje varovanja zasebnosti iz vseh pogodb, ki jih sklenejo s podizvajalci, na primer pri storitvah računalništva v oblaku. Varni pristan omogoča prenos podatkov družb, samocertificiranih v okviru varnega pristana, tretjim stranem v vlogi „posrednika“, na primer ponudnikom storitev računalništva v oblaku. Kolikor nam je znano, v takšnih primerih ministrstvo za trgovino od samocertificiranih družb zahteva, da sklenejo pogodbo. Vendar bi morala družba iz varnega pristana o sklenitvi pogodbe obvestiti ministrstvo za trgovino in bi morala biti zavezana objaviti takšne ukrepe varovanja zasebnosti.

4. Na spletnem mestu ministrstva za trgovino bi bilo treba jasno označiti vse družbe, ki niso aktualne članice sheme. Oznaki „neaktualni“ član na seznamu družb članic varnega pristana ministrstva za trgovino mora biti pripisano jasno opozorilo, da družba v tem času ne izpolnjuje zahtev varnega pristana. Vendar je družba tudi v primeru, ko ni aktualna članica varnega pristana, obvezana, da še naprej izpolnjuje zahteve varnega pristana za podatke, ki jih je prejela v okviru varnega pristana.

Pravna sredstva

5. Politike varovanja zasebnosti na spletnih mestih družb bi morale vključevati povezavo na ponudnika alternativnega reševanja sporov (ARS) in/ali forum EU. To bo evropskim posameznikom, na katere se nanašajo osebni podatki, omogočilo, da v primeru težav nemudoma vzpostavijo stik s ponudnikom ARS ali forumom EU. Ministrstvo za trgovino je marca 2013 začelo to od družb zahtevati, vendar je treba proces pospešiti.

6. ARS bi moral biti lahko dostopen in stroškovno ugoden. Nekateri organi ARS v shemi varnega pristana od posameznikov še zmeraj zaračunavajo provizijo za obdelavo pritožbe, ki pa je lahko za posameznega uporabnika zelo visoka (200–250 USD). Nasprotno pa je v Evropi dostop do foruma za varstvo podatkov, katerega naloga je reševanje pritožb v okviru varnega pristana, brezplačen.

7. Ministrstvo za trgovino bi moralo bolj sistematično spremljati ponudnike ARS glede preglednosti in dostopnosti do informacij, ki jih zagotovijo o postopku, ki ga uporabljajo, in o nadaljnjih ukrepih glede pritožb. S tem bo postalo reševanje sporov učinkovit in verodostojen mehanizem, ki prinaša rezultate. Ponovno bi bilo treba tudi poudariti, da je treba objavo ugotovitev o neizpolnjevanju načel vključiti med nabor obveznih sankcij organov ARS.

Izvrševanje

8. Po certificiranju ali ponovnem certificiranju družb v okviru varnega pristana bi bilo treba pri določenemu odstotku teh družb po uradni dolžnosti preveriti, ali učinkovito uveljavljajo svoje politike varovanja zasebnosti (preveriti več kot le izpolnjevanje formalnih zahtev).

9. Kadar se na podlagi pritožbe ali preiskave ugotovi, da družba ne izpolnjuje načel varnega pristana, bi bilo treba pri njej po enem letu opraviti posebno naknadno preiskavo.

10. V primeru dvomov o izpolnjevanju načel s strani družbe ali še nerešene pritožbe mora ministrstvo za trgovino o tem obvestiti pristojni organ za varstvo podatkov EU.

11. Še naprej bi bilo treba preiskovati lažne trditve o zavezanosti k varnemu pristanu. Družba, ki na svojem spletnem mestu trdi, da izpolnjuje zahteve o varnem pristanu, vendar na seznamu ministrstva za trgovino ni navedena kot „aktualen“ član sheme, zavaja potrošnike in zlorablja njihovo zaupanje. Lažne trditve slabijo verodostojnost celotnega sistema in bi jih bilo treba nemudoma odstraniti s spletnih mest družbe.

Dostop organov ZDA

12. Politike samocertificiranih družb glede varovanja zasebnosti bi morale vsebovati informacije o obsegu, v katerem pravo ZDA javnim organom dovoljuje, da zbirajo in obdelujejo podatke, prenesene v okviru varnega pristana. Družbe bi bilo treba predvsem spodbujati, da v svojih politikah varovanja zasebnosti navedejo, kdaj uporabljajo izjeme od načel, da izpolnijo zahteve nacionalne varnosti, javnega interesa ali odkrivanja in pregona.

13. Pomembno je, da se izjema, ki jo odločba o varnem pristanu določa za zagotavljanje nacionalne varnosti, uporablja le v obsegu, ki je nujno potreben ali sorazmeren.

[1]               Člena 25 in 26 direktive o varstvu podatkov določata pravni okvir za prenos osebnih podatkov iz EU v tretje države zunaj EGP.

[2]               Dodatna pravila določa člen 13 Okvirnega sklepa 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah, kolikor tak prenos zadeva osebne podatke, ki se posredujejo drugi državi članici ali se do njih omogoči dostop ene države članice drugi državi članici, ki namerava te podatke pozneje prenesti tretji državi ali mednarodnemu organu za namene preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali izvrševanja kazni.

[3]               Odločba Komisije 2000/520/ES z dne 26. julija 2000 po Direktivi Evropskega parlamenta in Sveta 95/46/ES o primernosti zaščite, ki jo zagotavljajo načela zasebnosti varnega pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo Ministrstvo za trgovino ZDA, UL L 215, 28.8.2000, str. 7.

[4]               Zgoraj navedeno ne izključuje uporabe drugih zahtev glede obdelave osebnih podatkov, ki jih morda predvideva nacionalna zakonodaja, ki prenaša direktivo EU o varstvu podatkov.

[5]               Podobno velja za prenos osebnih podatkov iz treh držav pogodbenic Sporazuma EGP po razširitvi Direktive 95/46/ES na Sporazum EGP, Sklep št. 83/1999 z dne 25. junija 1999, UL L 296, 23.11.2000, str. 41.

[6]               Nekatere študije so pokazale, da bi v primeru motenj storitev in čezmejnega prenosa podatkov zaradi nekontinuitete zavezujočih poslovnih pravil, klavzul o vzorčnih pogodbah in varnega pristana, negativni vpliv na BDP Unije lahko dosegel od –0,8 % do –1,3 %, izvoz EU v ZDA pa bi zaradi zmanjšanja konkurenčnosti upadel za –6,7 %. Glej študijo Gospodarski pomen dobre ureditve varstva podatkov („The Economic Importance of Getting Data Protection Right“), ki jo je Evropski center za mednarodno politično ekonomijo („European Centre for International Political Economy“) marca 2013 izdelal za gospodarsko zbornico ZDA.

[7]               Študija o oceni učinka, ki jo je leta 2008 za Evropsko komisijo izdelal Centre de Recherche Informatique et Droit („CRID“) Univerze v Namurju.

[8]               Delovni dokument služb Komisije „Uporaba Odločbe Komisije 2000/520/ES z dne 26. julija 2000 po Direktivi Evropskega parlamenta in Sveta 95/46/ES o primernosti zaščite, ki jo zagotavljajo načela zasebnosti varnega pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo Ministrstvo za trgovino ZDA“, SEC(2002) 196, 13.12.2002.

[9]               Delovni dokument služb Komisije „Izvajanje Odločbe Komisije 2000/520/ES o primernosti zaščite, ki jo zagotavljajo načela zasebnosti varnega pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo Ministrstvo za trgovino ZDA“, SEC(2004) 1323, 20.10.2004.

[10]             Če certificiranje ali obnovitev certificiranja družbe ne izpolnjuje zahtev varnega pristana, ministrstvo za trgovino o tem obvesti družbo in še pred končanim certificiranjem družbe od nje zahteva dopolnilne ukrepe (na primer pojasnila, spremembe opisa politik).

[11]             Pod naslovom 49 oddelka 41712 zakonika Združenih držav.

[12]             Natančneje, prekinitev prenosa se lahko zahteva v dveh primer, in sicer ko:

(a) vladni organ v ZDA ugotovi, da družba krši načela zasebnosti varnega pristana, ali

(b) obstaja precejšnja verjetnost, da se načela kršijo; obstaja utemeljena podlaga za prepričanje, da zadevni mehanizem uveljavljanja ne sprejema ali ne bo sprejel ustreznih in pravočasnih ukrepov za rešitev spornega primera; bi nadaljnji prenos podatkov povzročil neposredno nevarnost za nastanek velike škode za posameznike, na katere se nanašajo osebni podatki; in so si pristojni organi v državah članicah v danih okoliščinah razumno prizadevali, da bi družbo obvestili in ji dali priložnost za odgovor.

[13]             Na dan 26. septembra 2013 je bilo število organizacij, ki so se zavezale k načelom varnega pristana, navedenih pod kategorijo „aktualni“ člani na seznamu varnega pristanka 3 246, pod kategorijo „neaktualni“ člani pa 935.

[14]             Organizacije varnega pristana z 250 ali manj zaposlenimi: 60 % (1 925 od 3 246). Organizacije varnega pristana z 251 ali več zaposlenimi: 40 % (1 295 od 3 246).

[15]             Na primer, podjetje MasterCard posluje z več tisoč bankami in je jasen primer, ko varnega pristana ni mogoče nadomestiti z drugimi pravnimi instrumenti za prenos osebnih podatkov, kot so zavezujoča poslovna pravila ali pogodbeni dogovori.

[16]             Organizacije varnega pristana, ki zajemajo podatke o človeških virih v okviru certificiranja varnega pristana (in so privolile v sodelovanje z organi za varstvo podatkov EU in v skladnost z njihovimi pravili): 51 % (1 671 od 3 246).

[17]             Glej sklep Düsseldorfer Kreis z dne 28/29. aprila 2010. Glej: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. April 2010 in Hannover: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile. Vendar je Evropski nadzornik za varstvo podatkov (ENVP) Peter Hustinx 7. oktobra 2013 dal mnenje pred preiskovalnim odborom v okviru Odbora za državljanske svoboščine, pravosodje in notranje zadeve Evropskega parlamenta, in sicer, da so bile v zvezi z varnim pristanom „narejene bistvene izboljšave in je bila večina zadev rešenih“: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2013/13-10-07_Speech_LIBE_PH_EN.pdf.

[18]             Glej resolucijo nemške konference komisarjev za varstvo podatkov, na kateri je bilo poudarjeno, da pomenijo obveščevalne službe izredno veliko grožnjo izmenjavi podatkov med Nemčijo in državami zunaj Evrope: http://www.bfdi.bund.de/EN/Home/homepage_Kurzmeldungen/PMDSK_SafeHarbor.html?nn=408870.

[19]             Glej izjavo za javnost luksemburškega organa za varstvo podatkov z dne 18. novembra 2013.

[20]             http://www.export.gov/SafeHarbour/.

[21]             https://SafeHarbour.export.gov/list.aspx.

[22]             Priročnik je na voljo na spletnem mestu programa: http://export.gov/SafeHarbour/. Koristni nasveti: http://export.gov/SafeHarbour/eu/eg_main_018495.asp.

[23]             Ministrstvo za trgovino je 12. novembra 2013 potrdilo, da „morajo danes družbe na svojih spletnih mestih, kjer so navedene informacije za potrošnike/stranke/obiskovalce, objaviti politiko varovanja zasebnosti, skladno z načeli varnega pristana“ (dokument: „Sodelovanje med ZDA in EU pri izvajanju okvira varnega pristana“ z dne 12. novembra 2013).

[24]             Septembra 2013 je avstralsko podjetje za svetovanje Galexia primerjalo „lažne trditve“ o članstvu v letih 2008 in 2013. Njegova glavna ugotovitev je bila, da se je vzporedno s povečanjem članstva varnega pristana med leti 2008 in 2013 (s 1 109 na 3 246) število lažnih trditev povečalo z 206 na 427: http://www.galexia.com/public/about/news/about_news-id225.html.

[25]             Od marca do septembra 2013 je ministrstvo za trgovino:

• uradno pozvalo 101 družbo, ki je na spletno mesto o varnem pristanu že naložila svojo politiko varovanja zasebnosti, skladno z varnim pristanom, naj svojo politiko varovanja zasebnosti objavi tudi na svojih spletnih mestih,

• uradno pozvalo 154 družb, ki v svojo politiko varovanja zasebnosti še niso vključile povezave do spletnega mesta o varnem pristanu, naj to storijo,

• uradno pozvalo več kot 600 družb, naj podatke za stik z njihovim neodvisnim ponudnikom alternativnega reševanja sporov vključijo v svojo politiko varovanja zasebnosti.

[26]             Glej str. 8 poročila iz leta 2004 (SEC (2004) 1323).

[27]             Ministrstvo za trgovino je v svoji statistiki, ki jo je pripravilo septembra 2013, navedlo, da je leta 2010 uradno pozvalo 18 % (ali 93 družb) od 512 družb, ki so se certificirale prvič, in 16 % (ali 231 družb) od 1 417 družb, ki so se ponovno certificirale, naj izboljšajo svoje politike varovanja zasebnosti in/ali vloge za varni pristan. Potem ko je Komisija zahtevala strog, strokovno vesten in sistematični pregled vseh vlog, je v sredini septembra 2013 ministrstvo za trgovino uradno pozvalo 56 % (ali 340 družb) od 602, ki so se certificirale prvič, in 27 % (ali 493 družb) od 1 809 družb, ki so se ponovno certificirale, naj izboljšajo svoje politike varovanja zasebnosti.

[28]             Nastop Chrisa Connollya (Galexia) pred preiskovalnem odborom v okviru Odbora za državljanske svoboščine, pravosodje in notranje zadeve Evropskega parlamenta 7. oktobra 2013.

[29]             Ministrstvo za trgovino ZDA je od decembra 2011 s seznama varnega pristana črtalo 323 družb: 94 družb je bilo črtanih, ker niso več poslovale, 88 zaradi prevzema ali združitve družb, 95 na zahtevo matičnih družb, 41 družb zaradi večkratne nepredložitve obnovitve certificiranja in 5 družb zaradi raznih razlogov.

[30]             Forum za varstvo podatkov EU je organ, pristojen za preiskovanje in reševanje pritožb, ki jih vložijo posamezniki zaradi domnevnih kršitev načel varnega pristana s strani družbe iz ZDA, ki je članica varnega pristana. Družbe, ki certificirajo zavezanost k načelom varnega pristana, morajo izbrati, ali bodo upoštevale neodvisni pritožbeni mehanizem ali pa sodelovale s forumom za varstvo podatkov EU za namen odpravljanja težave zaradi neizpolnjevanja načel varnega pristana. Sodelovanje s forumom za varstvo podatkov EU je kljub vsemu obvezno, če družba iz ZDA obdeluje osebne podatke o človeških virih, ki jih prejme iz EU, za uporabo v okviru zaposlitvenih razmerij. Če se družba zaveže k sodelovanju s forumom EU, se mora zavezati tudi, da bo upoštevala vse nasvete tega foruma, kadar ta meni, da mora družba s posebnim ukrepom poskrbeti za izpolnjevanje načel varnega pristana, vključno s popravnimi ukrepi in plačilom odškodnin.

[31]             Ministrstvo za promet izvaja podobne pristojnosti nad letalskimi prevozniki v skladu z oddelkom 41712 iz naslova 49 zakonika Združenih držav.

[32]             Pritožbo je vložil švicarski državljan in jo je zato forum za varstvo podatkov EU odstopil švicarskemu organu za varstvo podatkov (ZDA ima za Švico ločeno shemo varnega pristana).

[33]             Glej Prilogo V k Odločbi Komisije 2000/520/ES z dne 26. julija 2000.

[34]             V obdobju 2009–2012 je zvezna komisija za trgovino izvedla deset pregonov zaradi kršitev zavez varnega pristana: zvezna komisija za trgovino proti Javian Karnani, and Balls of Kryptonite, LLC (2009), World Innovators, Inc. (2009), Expat Edge Partners, LLC (2009), Onyx Graphics, Inc. (2009), Directors Desk LLC (2009), Progressive Gaitways LLC (2009), Collectify LLC (2009), Google Inc. (2011), Facebook, Inc. (2011) in Myspace LLC (2012). Glej: Zvezna komisija za trgovino za zaveze varnega pristana („Federal Trade Commission of Safe Harbour Commitments“): http://export.gov/build/groups/public/@eg_main/@SafeHarbour/documents/webcontent/eg_main_052211.pdf. Glej tudi: Odmevni primeri („Case Highlights“): http://business.ftc.gov/us-eu-Safe-Harbour-framework. Večina teh zadev je obravnavala težave z družbami, ki so se pridružile varnemu pristanu in se vseskozi predstavljale kot članice, ne da bi obnovile letno certificiranje.

[35]             To zavezo je komisarka Julie Brill ponovila na srečanju zvezne komisije za trgovino z organi za varstvo podatkov EU (delovna skupina iz člena 29) v Bruslju 17. aprila 2013.

[36]             http://www.dataprotection.ie/viewdoc.asp?Docid=1317&Catid=66&StartDate=1+January+2013&m=n.

[37]             Potrošniki lahko svoje pritožbe vložijo prek pomočnika za pritožbe zvezne komisije za trgovino (https://www.ftccomplaintassistant.gov/), mednarodni potrošniki pa lahko svoje pritožbe vložijo prek econsumer.gov (http://www.econsumer.gov).

[38]             http://www.ftc.gov/os/caselist/0923081/090806karnanicmpt.pdf.

[39]             http://www.ftc.gov/speeches/brill/131029europeaninstituteremarks.pdf in http://www.ftc.gov/speeches/ramirez/131029tacdremarks.pdf.

[40]             Pismo predsednice zvezne komisije za trgovino Edith Ramirez podpredsednici Komisije Viviane Reding.

[41]             Pismo predsednice zvezne komisije za trgovino Edith Ramirez podpredsednici Komisije Viviane Reding.

[42]             „Sodelovanje med ZDA in EU pri izvajanju okvira varnega pristana“ z dne 12. novembra 2013.

[43]             Na podlagi poročila iz leta 2004 je bilo na spletnem mestu Komisije (GD za pravosodje) objavljeno informativno obvestilo v obliki vprašanj in odgovorov foruma za varstvo podatkov EU, da bi povečali ozaveščenost posameznikov in jim pomagali vložiti pritožbo, kadar menijo, da so bili njihovi osebni podatki obdelani na način, da so bila kršena načela varnega pristana: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/information_Safe_harbour_en.pdf.

                Standardni obrazec za pritožbe je na voljo na: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/ complaint_form_en.pdf.

[44]             „Premisleki ETNO“, ki so jih 4. oktobra 2013 prejele službe Komisije, obravnavajo tudi 1) opredelitev osebnih podatkov v varnem pristanu, 2) pomanjkanje nadzora nad varnim pristanom in 3) dejstvo, da „lahko ameriške družbe podatke prenašajo z veliko manj omejitvami kot evropske družbe“, kar povzroča „jasno diskriminacijo evropskih družb in vpliva na njihovo konkurenčnost“. V skladu s pravili varnega pristana morajo organizacije ob razkritju podatkov tretji strani uporabiti načeli obvestila in možnosti izbire. Kadar želi organizacija razkriti podatke tretji strani, ki je v vlogi posrednika, lahko to stori, če je bodisi tretja stran pristopila k načelom ali je podvržena Direktivi ali je zajeta z drugo primerno zaščito podatkov bodisi da s to tretjo stranjo sklene pisni sporazum, po katerem mora tretja stran zagotoviti vsaj takšno raven varstva zasebnosti, kakor jo zahtevajo ustrezna načela.

[45]             Direktiva 2013/11/EU o alternativnem reševanju potrošniških sporov poudarja pomen neodvisnih, nepristranskih, preglednih, učinkovitih, hitrih in pravičnih postopkov alternativnega reševanja sporov.

[46]             Na primer, eden večjih ponudnikov storitev („TRUSTe“) je poročal, da je leta 2010 prejel 881 zahtevkov, vendar so bili le trije ustrezni in utemeljeni ter je bilo mogoče na njihovi podlagi od zadevne družbe zahtevati, da spremeni svojo politiko varovanja zasebnosti in spletno mesto. Leta 2011 je bilo 879 pritožb in le v enem primeru je bila družba pozvana, naj spremeni svojo politiko varovanja zasebnosti. Po navedbah ministrstva za trgovino gre pri veliki večini pritožb pri ponudnikih ARS za zahtevke potrošnikov, na primer uporabnikov, ki so pozabili svoje geslo in ga niso mogli pridobiti od ponudnika internetne storitve. Po pozivu Komisije je ministrstvo za trgovino razvilo nova merila za statistično poročanje, ki ga morajo uporabljati vsi ponudniki ARS. Ta razlikujejo med zahtevki in pritožbami ter jasno opredeljujejo vrsto prejete pritožbe. Vendar je treba ta merila še obravnavati, da bo lahko nova statistika za leto 2014 zajela vse ponudnike ARS, da bo primerljiva in da bo zagotovila potrebne informacije za oceno učinkovitosti pritožbenega mehanizma.

[47]             Mednarodni center za reševanje sporov/Ameriško arbitražno združenje (ICDR/AAA) zaračunavata 200 USD, JAMS pa 250 USD „provizije za vložitev pritožbe“. Ministrstvo za trgovino je Komisijo obvestilo, da je sodelovalo z AAA, tj. najdražjim ponudnikom storitev reševanja sporov, pri razvoju posebnega programa o varnem pristanu, s katerim so se znižali stroški za potrošnike z več tisoč dolarjev na pavšalni znesek 200 USD.

[48]             Glej FAQ 11.

[49]             Primeri: Amazon je obvestil ministrstvo za trgovino, da kot ponudnika reševanja sporov uporablja BBB. Vendar ni naveden na BBB-jevem seznamu udeležencev reševanja sporov. Nasprotno pa je družba Arsalon Technologies (www.arsalon.net), ki je ponudnik storitve računalništva v oblaku, na BBB-jevem seznamu reševanja sporov v zvezi z varnim pristanom, ni pa aktualna članica varnega pristana (stanje na dan 1. oktobra 2013). BBB, TRUSTe in drugi ponudniki storitve ARS morajo odstraniti ali popraviti trditve o certificiranju. Zavezani morajo biti izvršljivi zahtevi, da certificirajo samo družbe, ki so članice varnega pristana.

[50]             Glej Odločbo Komisije 2000/520/ES, str. 7 (prenos tretjemu).

[51]             Glej: Pojasnila glede okvira varnega pristana med ZDA in EU ter računalništva v oblaku („Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud Computing“): http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%202013_Latest_eg_main_060351.pdf.

[52]             Te pripombe se nanašajo na ponudnike računalništva v oblaku, ki niso člani varnega pristana. Po informacijah podjetja za svetovanje Galexia je „raven članstva v varnem pristanu (in upoštevanje načel) med ponudniki računalništva v oblaku kar visoka. Ponudniki računalništva v oblaku imajo praviloma več plasti varstva zasebnosti, saj pogosto kombinirajo neposredne pogodbe s strankami in obsežne politike varovanja zasebnosti. Z eno ali dvema pomembnima izjemama ponudniki računalništva v oblaku, ki so člani varnega pristana, upoštevajo glavne določbe v zvezi z reševanjem sporov in izvrševanjem. V tem času ni večjih ponudnikov računalništva v oblaku, ki bi bili zabeleženi na seznamu kot tisti, ki lažno trdijo, da so člani varnega pristana.“ (nastop Chrisa Connollya iz podjetja Galexia pred preiskovalnim odborom v okviru Odbora za državljanske svoboščine, pravosodje in notranje zadeve o „elektronskem množičnem nadzoru državljanov EU“).

[53]             Glej Prilogo I k odločbi o varnem pristanu: „Zavezanost k načelom je lahko omejena: (a) če je to potrebno za izpolnjevanje zahtev nacionalne varnosti, javnega interesa ali odkrivanja in pregona; (b) z zakonom, vladnim podzakonskim aktom ali sodno prakso, ki ustvarijo nezdružljivost obveznosti ali izrecnih pooblastil, pod pogojem, da lahko organizacija pri izvajanju takih pooblastil dokaže, da je njeno neizpolnjevanje načel toliko omejeno, kolikor je potrebno za izpolnitev prednostnih zakonitih interesov na podlagi takšnih pooblastil; ali (c) če direktiva ali pravo države članice dovoljuje izjeme in odstopanja, če da se te izjeme in odstopanja uporabljajo v primerljivih okoliščinah. V skladu s ciljem krepitve varstva zasebnosti si morajo organizacije prizadevati, da načela uveljavijo v celoti in pregledno, vključno z navedbo v svoji politiki varstva zasebnosti, kdaj se bodo izjeme, dovoljene z (b) zgoraj, redno uporabljale. Iz istega razloga se od organizacij pričakuje, da se, kadar načela in/ali pravo ZDA dopuščajo izbiro, po možnosti odločijo za možnost večjega varstva.“

[54]             Mnenje 4/2000 o ravni zaščite, ki jo zagotavljajo „načela varnega pristana“, ki ga je 16. maja 2000 sprejela delovna skupina o varstvu podatkov iz člena 29.

[55]             Mnenje 4/2000 o ravni zaščite, ki jo zagotavljajo „načela varnega pristana“, ki ga je 16. maja 2000 sprejela delovna skupina o varstvu podatkov iz člena 29.

[56]             Razmeroma pregledne informacije v zvezi s tem ponujajo nekatere evropske družbe v okviru varnega pristana. Nokia na primer, ki posluje v ZDA in je članica varnega pristana, ima v svoji politiki varovanja zasebnosti zapisano naslednje obvestilo: „Zaradi veljavne zakonodaje bomo morda morali razkriti vaše osebne podatke določenim organom ali drugim tretjim stranem, na primer organom pregona v državah, v katerih poslujemo mi ali tretje strani v vlogi našega posrednika.“