25.5.2016

Официален вестник на Европейския съюз

C 186/4

Резюме на предварителното становище на Европейския надзорен орган по защита на данните относно споразумението между Съединените американски щати и Европейския съюз за защита на личните данни във връзка с предотвратяването, разследването, разкриването и наказателното преследване на престъпления

[Пълният текст на настоящото становище може да се намери на английски, френски и немски език на уебсайта на ЕНОЗД www.edps.europa.eu]

(2016/C 186/04)

Настоящото становище се основава на общото задължение сключваните от ЕС международни споразумения да съблюдават разпоредбите на Договора за функционирането на Европейския съюз (ДФЕС) и зачитането на основните права, което е в основата на правото на ЕС. По-специално оценката се прави с цел анализ на съответствието на съдържанието на Рамковото споразумение с членове 7, 8 и 47 от Хартата на основните права на Европейския съюз и член 16 ДФЕС, които гарантират защитата на личните данни.

РЕЗЮМЕ

Разследването и наказателното преследване на престъпления е легитимна цел на политиката, а международното сътрудничество, в това число обменът на информация, придоби безпрецедентно значение. Досега ЕС не разполагаше със стабилна обща рамка в тази област и затова няма последователни механизми за защита на основните права и свободи на физическите лица. Както ЕНОЗД посочва от дълго време насам, ЕС има нужда от устойчиви договорености за споделяне на лични данни с трети държави за целите на правоприлагането, които да са напълно съвместими с договорите на ЕС и Хартата на основните права.

Следователно приветстваме и активно подкрепяме усилията на Европейската комисия за постигане на първото рамково споразумение със САЩ. Това международно споразумение в областта на правоприлагането има за цел за пръв път да утвърди защитата на данните като основа за споделянето на информация. Макар да признаваме, че не е възможно в споразумение с трета държава да се преповторят изцяло термините и определенията от правото на ЕС, механизмите за защита на физическите лица трябва да са ясни и ефективни, за да се постигне пълно съответствие с първичното право на ЕС.

През последните години Съдът на Европейския съюз потвърждава принципите за защита на данните, в това число безпристрастност, точност и уместност на данните, независим надзор и индивидуални права на физическите лица. Тези принципи се отнасят както за публичноправните, така и за частноправните субекти, независимо от каквато и да е официална констатация за адекватността от страна на ЕС по отношение на механизмите на трети държави за защита на данните — всъщност тези принципи придобиват още по-голямо значение предвид чувствителността на данните, които са необходими при разследването на престъпни деяния.

Настоящото становище има за цел да предостави градивни и обективни съвети на институциите на ЕС, докато Комисията завършва тази деликатна задача, която има широки последици не само за сътрудничеството в областта на правоприлагането между ЕС и САЩ, но и за бъдещи международни спогодби. Рамковото споразумение е отделно от наскоро обявения „Щит за личните данни в отношенията между ЕС и САЩ“ относно предаването на лични данни в търговската среда, но следва да се разглежда заедно с него. За да се анализира взаимодействието между тези два акта и реформата на правната уредба на ЕС за защита на данните, може да е необходимо допълнително обмисляне.

Преди споразумението да бъде изпратено за приемане от Парламента, приканваме страните да обмислят внимателно значителни развития от миналия септември насам, когато дадоха знак за желанието си да сключат споразумението, щом бъде приет американският Закон за съдебната защита (Judicial Redress Act). Приветстваме множеството защитни механизми, които вече са предвидени, но те трябва да се укрепят с оглед на постановеното през октомври съдебно решение по дело Schrems, с което се обезсилва решението за „сфера на неприкосновеност на личния живот“, и на постигнатото през декември политическо съгласие в рамките на ЕС относно реформата в областта на защитата на данните, която обхваща предаването на данни и сътрудничеството в съдебната и правоприлагащата сфера.

ЕНОЗД определя три основни подобрения, които препоръчва да бъдат внесени в текста, за да се осигури съответствие с Хартата и с член 16 ДФЕС:

—	уточнение, че всички защитни механизми важат за всички физически лица, а не само за гражданите на ЕС;

—	гарантиране, че разпоредбите за правна защита са ефективни по смисъла на Хартата;

—	уточнение, че груповото предаване на чувствителни данни не е разрешено.

В становището се предлагат допълнителни препоръки за уточняване на предвидените защитни механизми посредством съпътстващ обяснителен документ. Оставаме на разположение на институциите за допълнителни съвети и диалог по този въпрос.

I. Контекст на парафираното споразумение

На 3 декември 2010 г. Съветът прие решение, с което дава мандат на Комисията да започне преговори по споразумение между Европейския съюз (ЕС) и Съединените американски щати (САЩ) за защита на личните данни, когато те биват предавани и обработвани за целите на предотвратяването, разследването, разкриването и наказателното преследване на престъпления, включително тероризъм, в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (наричано по-нататък „Споразумението“) (1).

Преговорите между Комисията и САЩ започнаха официално на 29 март 2011 г. (2). На 25 юни 2014 г. главният прокурор на САЩ съобщи, че ще бъдат предприети законодателни действия, за да се осигурят правни средства за защита във връзка с правата на неприкосновеност на личния живот на гражданите на ЕС в САЩ (3). След няколко кръга преговори, които продължиха четири години, споразумението бе парафирано на 8 септември 2015 г. Според Комисията целта е споразумението да бъде подписано и сключено официално едва след като бъде приет американският Закон за съдебната защита (4).

Европейският парламент трябва да приеме парафирания текст на споразумението, а Съветът трябва да го подпише. Докато това не стане и споразумението не бъде подписано официално, отбелязваме, че е възможно възобновяване на преговорите по конкретни въпроси. Именно в тази връзка ЕНОЗД изготви настоящото становище въз основа на парафираното споразумение, публикувано на уебсайта на Комисията (5). Това е предварително становище, основаващо се на първоначален анализ на сложен правен текст, и не възпрепятства допълнителни препоръки, които могат да бъдат направени въз основа на постъпила по-нататъшна информация, в това число законодателни развития в САЩ, например приемането на Закона за съдебната защита. ЕНОЗД определя три основни момента, които се нуждаят от подобряване, като същевременно подчертава други аспекти, при които се препоръчват важни уточнения. С тези подобрения споразумението може да се счита за съответстващо на първичното право на ЕС.

V. Заключения

53.

ЕНОЗД приветства намерението да се осигури правнообвързващ акт, който има за цел да гарантира високо равнище на защита на личните данни, предавани между ЕС и САЩ за целите на предотвратяването, разследването, разкриването и наказателното преследване на престъпления, включително тероризъм.

54.

По-голямата част от материалноправните разпоредби на споразумението имат за цел да постигнат пълно или частично съответствие с основните гаранции за правото на защита на личните данни в ЕС (като правата на субектите на данни, независимия надзор и правото на съдебен контрол).

55.

Макар споразумението формално да не представлява решение за констатация за адекватността, то създава обща презумпция за съответствие на предаването на данни при конкретно правно основание в рамките на споразумението. Следователно от изключително голямо значение е да се гарантира, че тази „презумпция“ е укрепена с всички необходими защитни механизми в текста на споразумението, за да се избегнат нарушения на Хартата и по-специално на членове 7, 8 и 47 от нея.

56.

ЕНОЗД препоръчва три основни подобрения в текста, за да се осигури съответствие с Хартата и с член 16 ДФЕС:

1)	уточнение, че всички защитни механизми важат за всички физически лица, а не само за гражданите на ЕС;

2)	гарантиране, че разпоредбите за правна защита са ефективни по смисъла на Хартата;

3)	уточнение, че груповото предаване на чувствителни данни не е разрешено.

57.

Освен това за целите на правната сигурност ЕНОЗД препоръчва следните подобрения или уточнения да бъдат внесени в текста на самото споразумение, в рамките на обяснителни декларации, които да бъдат прикрепени към него, или на етапа на изпълнението му така, както е описано в настоящото становище:

1)	Член 5, параграф 3 трябва да се тълкува в смисъл на зачитане на ролята на надзорните органи, така че да е налице съответствие с член 8, параграф 3 от Хартата.

2)	Конкретните правни основания за предаването на данни (член 5, параграф 1) трябва да съответстват напълно на защитните механизми, предвидени в споразумението, и в случай на противоречие между конкретното правно основание и споразумението, последното трябва да има предимство.

3)	В случай на неефективна защита на данни, предадени на органи на държавно равнище, относимите мерки в член 14, параграф 2 трябва да включват, ако е необходимо, мерки, засягащи вече споделените данни.

Определенията за „операции по обработка“ и „лични данни“ (член 2) трябва да са синхронизирани така, че да съответстват на утвърденото им разбиране в правото на ЕС; ако страните не постигнат пълно синхронизиране на тези определения, следва да се направи уточнение в обяснителните документи, придружаващи споразумението, че приложението на двете понятия няма да се различава по същество от разбирането им в правото на ЕС.

5)	В обяснителната декларация може да се включи индикативен списък с „конкретните условия“, при които се осъществява групово предаване на данни (член 7, параграф 3).

6)	Следва да се уточни, че страните възнамеряват да прилагат разпоредбите относно уведомленията за компрометиране на данните (член 10) с оглед да се сведат до минимум случаите на евентуално неуведомяване и да се избегнат прекомерните забавяния на уведомленията.

7)	Разпоредбата за съхраняване на данни в член 12, параграф 1 следва да се допълни с уточнението „за конкретните цели, за които са предадени“ с оглед на принципа за ограничаване до предвидената цел, на който страните се позовават в споразумението.

8)	Страните по споразумението следва да обмислят увеличаване на усилията за гарантиране, че ограниченията на правото на достъп се прилагат единствено когато това е напълно наложително с цел защита на изброените обществени интереси, както и за засилване на задължението за прозрачност.

В подробна обяснителна декларация към споразумението следва да се посочат конкретно (член 21):

—	надзорните органи, които имат правомощия в тази област, и механизмът, чрез който страните ще се уведомяват взаимно за предстоящи промени;

—	действителните правомощия, които могат да упражняват;

—	името и координатите за връзка на лицето, което ще оказва съдействие за определяне на компетентния надзорен орган (вж. член 22, параграф 2).

58.

Накрая, ЕНОЗД припомня, че при липса на яснота или при наличие на явно противоречие между разпоредбите, всяко тълкуване, прилагане и мярка за изпълнение на споразумението следва да се извършват по начин, съвместим с конституционните принципи на ЕС, по-специално с оглед на член 16 ДФЕС и членове 7 и 8 от Хартата, независимо от желателните подобрения, които евентуално ще бъдат внесени вследствие от препоръките в настоящото становище.

Съставено в Брюксел на 12 февруари 2016 г.

Giovanni BUTTARELLI

Европейски надзорен орган по защита на данните

(1) Вж. паметна записка 10/1661 на Европейската комисия, публикувана на 3 декември 2010 г., на адрес http://europa.eu/rapid/press-release_IP-10-1661_bg.htm.

(2) Вж. паметна записка 11/203 на Европейската комисия, публикувана на 29 март 2011 г., на адрес http://europa.eu/rapid/press-release_MEMO-11-203_en.htm.

(3) Вж. съобщение за пресата 14-668 на Главната прокуратура на САЩ, публикувано на 25 юни 2014 г., на адрес: http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress.

(4) Вж. паметна записка 15/5612 на Европейската комисия, публикувана на 8 септември 2015 г., на адрес http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.

(5) Текстът е на разположение на адрес http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf.