ЕВРОПЕЙСКА КОМИСИЯ
Брюксел, 19.12.2018
COM(2018) 860 final
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА
по втория годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ
{SWD(2018) 497 final}
English
Select your language
Official EU languages:
Access to European Union law
EUR-Lex
Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
Document 52018DC0860
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the second annual review of the functioning of the EU-U.S. Privacy Shield
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА по втория годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА по втория годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ
COM/2018/860 final
Language
HTML
DOC
PDF
1.ВТОРИЯТ ГОДИШЕН ПРЕГЛЕД — ЦЕЛ, ПОДГОТОВКА И ПРОЦЕС
На 12 юли 2016 г. Комисията прие решение („решението за адекватността“), в което констатира, че Щитът за личните данни в отношенията между ЕС и САЩ („Щитът за личните данни“) гарантира адекватно ниво на защита на личните данни, предавани от ЕС на организации в САЩ 1 . Решението за адекватността предвижда ежегодна оценка от страна на Комисията на всички аспекти на функционирането на рамката. Първият годишен преглед се състоя на 18 и 19 декември 2017 г. във Вашингтон, а на 18 октомври 2017 г. Комисията прие своя доклад до Европейския парламент и Съвета 2 , придружен от работен документ на службите на Комисията (SWD(2017) 344 final). 3
Въз основа на констатациите си от първия преглед Комисията стигна до заключението, че Съединените американски щати продължават да гарантират адекватно ниво на защита на личните данни, които се предават съгласно Щита за личните данни от Съюза към организации в САЩ. Същевременно Комисията счита, че практическото прилагане на рамката на Щита за личните данни може да бъде допълнително подобрено, за да се гарантира, че предвидените в него гаранции и предпазни мерки продължават да функционират според предназначението си. За тази цел Комисията отправи десет препоръки.
С настоящия доклад приключва вторият годишен преглед на функционирането на Щита за личните данни. Този доклад, както и придружаващия го работен документ на службите на Комисията (SWD(2018) 497), имат същата структура както доклада по първия годишен преглед. Те обхващат всички аспекти на функционирането на Щита за личните данни, също и в светлината на промените, настъпили през изминалата година. Най-важният елемент от оценката на Комисията се отнася до изпълнението на нейните препоръки от първия годишен преглед.
При подготовката на втория годишен преглед Комисията събра сведения от съответните заинтересовани страни (по-специално от дружествата, сертифицирани по Щита за личните данни, чрез техните съответни търговски сдружения, и от неправителствени организации (НПО), работещи в областта на основните права и по-конкретно на цифровите права и неприкосновеността на личния живот), както от съответните органи на САЩ, които участват в изпълнението на рамката.
Втората годишна среща за преглед се състоя в Брюксел на 18 и 19 октомври 2018 г. Прегледът беше открит от комисаря на ЕС по въпросите на правосъдието, потребителите и равнопоставеността между половете Вера Йоурова, министъра на търговията на САЩ Уилбър Рос, председателя на Федералната търговска комисия Джоузеф Саймънс и председателя на Европейския комитет по защита на данните Андреа Йелинек. От страна на ЕС той беше проведен от представители на Генерална дирекция „Правосъдие и потребители“ на Европейската комисия. Делегацията на ЕС включваше и седем представители, определени от Европейския комитет по защита на данните (независимият орган, обединяващ представители на националните органи за защита на данните в държавите — членки на ЕС и Европейския надзорен орган по защита на данните).
От страна на САЩ в прегледа участваха представители от Департамента по търговия на САЩ, Държавния департамент, Федералната търговска комисия, Департамента по транспорта, Службата на директора на Националното разузнаване, Департамента по правосъдие и членове на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, както и изпълняващият длъжността омбудсман и главният инспектор на разузнавателната общност. В допълнение представители на организация, която предлага независими услуги за разрешаване на спорове във връзка с Щита за личните данни, и на Американската асоциация за арбитраж предоставиха информация в съответните сесии на прегледа. И накрая, за прегледа беше използвана информация от презентации от организации, сертифицирани по Щита за личните данни, за това как дружествата спазват изискванията на рамката.
За своите констатации Комисията използва и информация от възложено от нея проучване и публично достъпни материали като например съдебни решения, правила и процедури за прилагане, използвани от съответните органи на САЩ, доклади и проучвания на неправителствени организации, доклади за прозрачността, представени от дружества, сертифицирани по Щита за личните данни, годишни доклади на независими механизми за защита, както и медийна информация.
Тазгодишният преглед се състоя в контекста на предизвикателствата за личните данни — предизвикателства, които са все по-глобални по своето естество, пример за което е случаят Facebook/Cambridge Analytica. Както ЕС, така и САЩ са наясно със сходните предизвикателства, с които се сблъскват във връзка със защитата на личните данни. По време на прегледа и двете страни изтъкнаха необходимостта за справяне с такива злоупотреби с лични данни, включително чрез енергични действия за изпълнение от страна на органа на ЕС за защита на данните и на Федералната търговска комисия на САЩ.
Докладът на Комисията отразява и текущия дебат относно федералното законодателство за защита на личните данни в САЩ. Сближаването между нашите две системи в дългосрочен план би укрепило основата, върху която е разработена рамката на Щита за личните данни.
2.КОНСТАТАЦИИ И ЗАКЛЮЧЕНИЕ
Вторият годишен преглед обхвана както „търговските аспекти“ на рамката на Щита за личните данни, така и въпроси, свързани с достъпа на правителството до лични данни.
По отношение на „търговските аспекти“, т.е. въпросите, свързани с управлението, надзора и изпълнението на задълженията, отнасящи се за сертифицираните дружества, Комисията отбеляза, че в съответствие с нейните препоръки от първия годишен преглед Департаментът по търговия е направил още по-строг процеса на сертифициране и е въвел нови процедури за надзор. По-конкретно, Департаментът по търговия е приел нов метод, който изисква кандидатстващите за пръв път да не правят публични изявления относно участието си в Щита за личните данни докато Департаментът по търговия не финализира прегледа за тяхното сертифициране. Освен това той е въвел нови механизми за откриване на потенциални проблеми във връзка със съответствието, като например проверки на място на случаен принцип (към момента на годишния преглед такива проверки на място бяха направени на приблизително сто организации) и наблюдение на публичните доклади относно практиките на организациите — участници в Щита за личните данни в областта на неприкосновеността на личния живот. За откриването на неверни твърдения за участие в рамката Департаментът по търговия понастоящем използва активно редица инструменти, като например тримесечен преглед на фирмите, за които е определено като по-вероятно да правят неверни твърдения, и система за търсене в интернет по изображение и по текст. В резултат от тези нововъведени практики и процедури от първия годишен преглед до сега Департаментът по търговия е отнесъл над 50 случая към Федералната търговска комисия, която на свой ред е предприела действия за принудително изпълнение в случаите, в които самото сезиране на комисията не е било достатъчно да накара съответното дружество да приведе дейността си в съответствие с изискванията.
Във връзка с изпълнението Комисията отбеляза, че като част от усилията си за проактивно наблюдение на спазването на принципите на Щита за личните данни Федералната търговска комисия неотдавна е издала административни разпореждания за изискване на информация от определен брой организации — участници в Щита за личните данни. Федералната търговска комисия освен това потвърди, че продължава разследването си по случая Facebook/Cambridge Analytica. Макар Комисията да счита за важно развитие новия, в по-голяма степен проактивен подход на Федералната търговска комисия към контрола за спазване на разпоредбите, тя изразява съжаление, че на този етап не беше възможно Федералната търговска комисия да даде допълнителна информация относно последните си разследвания, и ще следи отблизо по-нататъшното развитие в това отношение.
Вторият годишен преглед взе под внимание и съответните промени в правната система на САЩ в областта на неприкосновеността на личния живот. Те са свързани по-специално с инициираните от Департамента по търговия консултации относно федерален подход към защитата на личните данни, както и процеса на размисъл във Федералната търговска комисия относно нейните сегашни правомощия в областта на неприкосновеността на личния живот и ефикасността на използването на този орган за корективни действия.
Както показаха случаят Facebook/Cambridge Analytica и други разкрития, би било важно ЕС и САЩ още повече да сближат своите действия за реагиране. Във връзка с това Комисията наблюдава посочените по-горе инициативи с голям интерес и участва в процеса на консултации на Департамента по търговия с писмено становище 4 .
Относно аспектите, свързани с достъпа на публичните органи на САЩ до лични данни и използването от тях на такива данни, вторият годишен преглед се съсредоточи върху релевантните промени в правната уредба на САЩ, включително по отношение на съответните политики и процедури на агенциите, върху последните тенденции при дейностите за надзор и върху развитието в създаването и функционирането на важни механизми за контрол и правна защита.
Най-важната законова промяна във връзка с достъпа на държавните органи беше повторното одобряване в началото на 2018 г. на раздел 702 от Закона за упражняване на надзор върху външното разузнаване („Законът“). Макар повторното одобряване да не доведе до включване в Закона на предвидената в Президентска изпълнителна директива 28 (ПИД-28) защита, което беше предложено от Комисията, то също така не ограничи никоя от съдържащите се в Закона гаранции, които бяха в сила, когато беше прието решението за Щита за личните данни. Освен това измененията не разшириха правомощията на разузнавателните структури на САЩ да събират външноразузнавателна информация, насочвайки се съгласно раздел 702 към лица, които не са граждани на САЩ. Вместо това със Закона за повторното одобряване на измененията от 2017 г. в Закона за упражняване на надзор върху външното разузнаване от 1978 г. бяха въведени някои ограничени допълнителни предпазни мерки за защита на данните и личния живот, например в сферата на прозрачността.
Има важни промени и по отношение на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, в който към момента на първия годишен преглед беше останал само един член. По тази причина Комисията препоръча незабавно да бъдат назначени липсващите членове на този съвет. На 11 октомври 2018 г. Сенатът на САЩ потвърди номинациите за председател на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, както и за други двама членове на съвета, и по този начин възстанови пълния му кворум и направи възможно той да изпълнява всичките си функции. След първия годишен преглед Комисията беше препоръчала също да бъде оповестен доклада на съвета относно Президентска изпълнителна директива. Този доклад беше оповестен на 16 октомври 2018 г. 5 и потвърждава, че Президентска изпълнителна директива се прилага изцяло във всички разузнавателни структури. По-специално докладът потвърждава, че след публикуването на Президентска изпълнителна директива съответните елементи на разузнавателните структури са приели подробни правила за изпълнението на тази директива и са променили практиките си, за да ги приведат в съответствие с изискванията на директивата.
И накрая, въпреки че Комисията препоръча бързо назначаване на омбудсман към Щита за личните данни, към момента на настоящия доклад длъжността на помощник секретар в Държавния департамент, на който е възложена службата на омбудсман, още не беше попълнена чрез постоянно назначение. В тази връзка Комисията отбеляза факта, че във втория годишен преглед правителството на САЩ призна необходимостта от бърз напредък по номинирането на постоянен помощник секретар и потвърди, че този процес е в напреднала фаза.
Към момента на настоящия доклад механизмът на омбудсмана още не беше получил запитвания. В хърватския орган за защита на данните обаче е подадена жалба до омбудсмана и съответните проверки са в ход.
Подробните констатации относно функционирането на всички аспекти на рамката на Щита за личните данни след втората година на нейното действие са представени в работния документ на службите на Комисията относно втория годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (SWD(2018) 497), който придружава настоящия доклад.
Събраната в контекста на втория годишен преглед информация потвърждава констатациите на Комисията, посочени в решението за адекватността, по отношение както на „търговските аспекти“ на рамката, така и на аспектите, свързани с достъпа до личните данни, които се предават от органите на САЩ съгласно Щита за личните данни.
Въз основа тези констатации Комисията стигна до заключението, че Съединените американски щати продължават да гарантират адекватно ниво на защита на личните данни, които се предават съгласно Щита за личните данни от Съюза към организации в САЩ.
По-специално предприетите действия за изпълнение на препоръките на Комисията след първия годишен преглед подобриха няколко аспекта на практическото функциониране на рамката, за да се гарантира, че не се подкопава нивото на защита на физическите лица, предвидено в решението за адекватността.
Някои от тези действия обаче бяха предприети едва напоследък и съответните процеси още продължават. Затова е необходимо да се наблюдават отблизо всички евентуални по-нататъшни промени, по-специално влиянието им върху елементите, които са най-важни за устойчивостта на констатацията за адекватност. Това се отнася по-специално до:
1.Ефективността на механизмите, въведени от Департамента по търговия през втората година на функциониране на рамката с цел проактивно наблюдение на спазването на принципите на Щита за личните данни от страна на сертифицираните дружества, по-специално спазването на съществените изисквания и задължения.
2.Ефективността на инструментите, въведени от Департамента по търговия след първия годишен преглед за откриване на неверни твърдения за участие в рамката, със специално внимание за търсене на неверни твърдения от страна на дружества, които никога не са кандидатствали за сертифициране.
3.Напредъкът и резултатът от служебните проверки, извършвани от Федералната търговска комисия през втората година на функционирането на Щита за личните данни чрез административни разпореждания за установяване на съществени нарушения на Щита за личните данни.
4.Разработването съвместно от Департамента по търговия, Федералната търговска комисия и органите от ЕС за защита на данните, на допълнителни насоки относно елементите, които изискват допълнително пояснение (например данните за човешките ресурси).
5.Назначаването на постоянен омбудсман към Щита за личните данни.
6.Ефективността на разглеждането и разрешаването на жалби от страна на омбудсмана.
По-специално Комисията отново отправя призива си към администрацията на САЩ да потвърди своя политически ангажимент по отношение на механизма на омбудсмана като приоритетно назначи постоянен омбудсман към Щита за личните данни. Механизмът на омбудсмана е важен елемент от рамката на Щита за личните данни и макар че изпълняващият длъжността омбудсман продължава да изпълнява съответните функции, отсъствието на постоянно назначение е крайно незадоволително и следва да бъде коригирано възможно най-скоро. Комисията очаква правителството на САЩ най-късно до 28 февруари 2019 г. да определи лице за попълване на длъжността на омбудсмана чрез постоянно назначение и да информира Комисията за номинираното лице. Ако това не бъде извършено в посочения срок, Комисията ще обмисли предприемането на подходящи мерки в съответствие с Общия регламент относно защитата на данните 6 . Комисията освен това очаква да получи точна и подробна информация относно всички посочени по-горе аспекти, за да може да прецени дали предприетите стъпки са ефективни на практика.
И накрая, Комисията ще продължи да следи отблизо продължаващия дебат относно федералното законодателство за защита на личните данни в САЩ. Предвид значението на трансатлантическите потоци от данни, Комисията се насърчава САЩ да въведат всеобхватна система за неприкосновеност на личния живот и защита на данните и да станат страна по Конвенция № 108 на Съвета на Европа. Именно чрез такъв всеобхватен подход може да се постигне сближаване между нашите две системи в по-дългосрочен план, което освен това би укрепило основата, върху която е разработена рамката на Щита за личните данни.
-
(1)
Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (EU-U.S. Privacy Shield), ОВ L 2017, 1.8.2016 г., стр. 1.
-
(2)
Доклад на Комисията до Европейския парламент и Съвета по първия годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (COM/2017/611 final, виж https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX:52017DC0611
-
(3)
Работен документ на службите на Комисията, придружаващ Доклада на Комисията до Европейския парламент и Съвета по първия годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (SWD(2017)344 final), виж http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(4)
Документа можете да намерите на адрес https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf
-
(5)
Доклад до Президента относно „Изпълнението на Президентска изпълнителна директива 28: дейности на радиоелектронното разузнаване“, който можете да намерите на адрес https://www.pclob.gov/reports/report-PPD28/
-
(6)
Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)