ЕВРОПЕЙСКА КОМИСИЯ
Брюксел, 23.10.2019
COM(2019) 495 final
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА
по третия годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ
{SWD(2019) 390 final}
ЕВРОПЕЙСКА КОМИСИЯ
Брюксел, 23.10.2019
COM(2019) 495 final
ДОКЛАД НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА
по третия годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ
{SWD(2019) 390 final}
1.ТРЕТИЯТ ГОДИШЕН ПРЕГЛЕД — КОНТЕКСТ, ПОДГОТОВКА И ПРОЦЕС
На 12 юли 2016 г. Комисията прие решение (наричано по-нататък „решението за адекватността“), в което констатира, че Щитът за личните данни в отношенията между ЕС и САЩ осигурява адекватно ниво на защита за личните данни, предавани от ЕС на организации в САЩ. 1 Решението за адекватността предвижда по-специално Комисията да извършва ежегоден преглед, при който да оценява всички аспекти на функционирането на рамката, и въз основа на това да изготвя публичен доклад, който да бъде представен на Европейския парламент и Съвета.
Първият годишен преглед се състоя през септември 2017 г. във Вашингтон и през октомври 2017 г. Комисията прие своя доклад до Европейския парламент и Съвета 2 , придружен от работен документ на службите на Комисията (SWD(2017) 344 final). 3 Комисията стигна до заключението, че Съединените американски щати продължават да гарантират адекватно ниво на защита на данните, които се предават от ЕС на САЩ съгласно Щита за личните данни, но изготви десет препоръки за подобряване на практическото функциониране на рамката.
Вторият годишен преглед се състоя през октомври 2018 г. в Брюксел и през декември 2018 г. Комисията прие своя доклад до Европейския парламент и Съвета 4 , придружен отново от работен документ на службите на Комисията (SWD(2018) 487 final). 5 Събраната в контекста на втория годишен преглед информация потвърждава констатациите на Комисията в решението за адекватността по отношение както на „търговските аспекти“ на рамката (т.е. аспекти, свързани със спазването на изискванията на Щита за личните данни от сертифицирани дружества, и аспекти, свързани с администрирането, надзора и санкциониращи мерки по изпълнението на тези изисквания от компетентните органи на САЩ), така и на аспектите, свързани с достъпа на публичните органи до личните данни, предавани съгласно Щита за личните данни.
По-конкретно, стъпките, предприети за изпълнение на препоръките на Комисията след първия годишен преглед, подобриха няколко аспекта от функционирането на рамката на практика. Например, Министерството на търговията въведе нови механизми за откриване на потенциални проблеми, свързани с изпълнението на изискванията на Щита, Федералната комисия по търговия възприе по-активен подход към мониторинга и мерките за правоприлагане, свързани с изпълнение на изискванията, а докладът на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи относно прилагането на Президентска директива № 28 6 бе публикуван. Въпреки това, тъй като някои от тези стъпки бяха предприети точно преди втория годишен преглед и редица процеси бяха все още в ход, Комисията заключи, че по-нататъшното развитие във връзка с тези процеси и механизми изисква внимателно наблюдение.
Освен това, при все че функцията на омбудсман по Щита за личните данни се изпълняваше от изпълняващия длъжността заместник държавен секретар, а механизмът на омбудсмана беше напълно функциониращ, Комисията подчерта колко е важно длъжността на омбудсмана по Щита за личните данни да се попълни постоянно и, по-специално, призова правителството на САЩ да определи кандидат за този пост преди 28 февруари 2019 г.
Третият годишен преглед се проведе във Вашингтон на 12 и 13 септември 2019 г. Прегледът беше открит от генералния директор по въпросите на правосъдието, потребителите и равнопоставеността между половете Тийна Астола, министъра на търговията на САЩ Уилбър Рос, председателя на Федералната комисия по търговия Джоузеф Саймънс и заместник-председателя на Европейския комитет по защита на данните Венцислав Караджов. От страна на ЕС той беше проведен от представители на генерална дирекция „Правосъдие и потребители“ на Европейската комисия. В срещата взеха участие и осем представители, определени от Европейския комитет по защита на данните 7 .
От страна на САЩ в прегледа участваха представители от Министерството на търговията на САЩ, Държавния департамент, Федералната комисия по търговия, Министерството на транспорта, Службата на директора на Националното разузнаване, Министерството на правосъдието и членове на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, както и новоназначеният омбудсман (на постоянна длъжност, виж по-долу) и главният инспектор на разузнавателната общност. В допълнение, представители на две организации, които предлагат независими услуги за разрешаване на спорове по Щита за личните данни, и представители на Американската асоциация за арбитраж, която администрира арбритражния панел на Щита, предоставиха информация в съответните сесии по време на прегледа. И накрая, сертифицирани по Щита за личните данни организации изнесоха презентации относно стъпките, които дружествата предприемат, за да се съобразят с изискванията на рамката. Информацията от тези презентации също беше включена в прегледа.
При подготовката на третия годишен преглед Комисията събра сведения от съответните заинтересовани страни (по-специално от дружествата, сертифицирани по Щита за личните данни, чрез техните съответни търговски сдружения, и от неправителствени организации, работещи в областта на основните права и по-конкретно на цифровите права и неприкосновеността на личния живот). В допълнение към събирането на писмена информация, на 9 септември 2019 г. Комисията се срещна с представители на промишлеността и бизнес сдружения, а на 11 септември 2019 г. — с неправителствени организации.
За своите констатации Комисията използва и публично достъпни материали, като например съдебни решения, правила и процедури за прилагане на съответните органи на САЩ, доклади и проучвания на неправителствени организации, доклади за прозрачността, изготвени от дружества, сертифицирани по Щита за личните данни, годишни доклади на независими механизми за защита, както и медийна информация.
С настоящия доклад приключва третият годишен преглед на функционирането на Щита за личните данни. Този доклад, както и придружаващият го работен документ на службите на Комисията (SWD(2019) 390 final), имат същата структура като докладите по предишните два прегледа. Той обхваща всички аспекти на функционирането на Щита за личните данни, с акцент върху онези елементи, които Комисията набеляза по време на втория годишен преглед като елементи, изискващи засилено наблюдение.
При извършването на своята оценка Комисията взе предвид и новите развития, настъпили през последната година, включително висящия съдебен спор във връзка с Щита за личните данни пред Съда на Европейския съюз 8 . В това отношение прегледът предостави възможност на Комисията да получи разяснения от органите на САЩ относно някои специфични аспекти на нормативната уредба на САЩ, уреждаща събирането на външноразузнавателна информация, които бяха повдигнати в контекста на т.нар. дело Schrems II. Въпреки това, след като Съдът се произнесе по висящите дела, може да се наложи Комисията да извърши нова оценка на ситуацията.
2.КОНСТАТАЦИИ
През третата година от своето функциониране Щитът за личните данни, в който към момента на годишния преглед участват над 5 000 дружества, премина от началната си фаза към една по-оперативна фаза. Третият годишен преглед, като обхвана както търговски аспекти, така и въпроси, свързани с правителствения достъп до лични данни, се съсредоточи върху опита и поуките, извлечени от практическото прилагане на рамката.
Подробните констатации относно функционирането на Щита за личните данни след третата година на функциониране са представени в работния документ на службите на Комисията относно третия годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (SWD(2019) 390 final), който придружава настоящия доклад.
2.1.Търговски аспекти
С оглед на констатациите, изведени в миналогодишния преглед, оценката на Комисията на търговските аспекти се съсредоточи по-специално върху напредъка, постигнат от Министерството на търговията по отношение на i) процеса на подновяване на сертификата, ii) ефективността на механизмите, въведени от страна на Министерството на търговията, за проактивно наблюдение на спазването на изискванията от страна на сертифицираните дружества (т.нар. „проверки на случаен принцип“), iii) инструментите за откриване на фалшиви твърдения, iv) напредъка и изхода от действията по правоприлагане на Федералната комисия по търговия във връзка с нарушения на Щита за личните данни, както и v) събитията, свързани с насоките относно данните за човешките ресурси.
По отношение на процеса за подновяване на сертификата по време на третия годишен преглед стана ясно, че при изтичането на срока за (пре)сертифициране, ако дадено дружество все още не е завършило процеса по подновяване на сертификата, Министерството на търговията, следвайки вътрешна процедура, редовно предоставя на дружеството допълнителен срок със значителна продължителност. В рамките на този период (приблизително 3,5 месеца, а в някои случаи дори по-дълго, в зависимост от момента, в който Министерството на търговията е установило, че процесът на подновяване на сертификата не е бил завършен), дружеството продължава да фигурира в „активния“ списък на Щита за личните данни. Докато дадено дружество фигурира в списъка като участващо в Щита за личните данни, задълженията по рамката остават правно обвързващи и подлежат на мерки за правоприлагане. При все това толкова дълъг период след датата, на която сертификатът на дружеството е трябвало да бъде подновен, през който то продължава да бъде фигурира в активния списък на Щита за личните данни, намалява прозрачността и яснотата на списъка на Щита за личните данни както за предприятията, така и за физическите лица в ЕС. Също така това не стимулира участващите дружества да спазват стриктно изискването за ежегодно подновяване на сертификата.
По отношение на проактивните проверки на спазването от страна на дружествата на изискванията на Щита за личните данни, през април 2019 г. Министерството на търговията въведе система, с която проверява 30 дружества всеки месец. Комисията приветства факта, че Министерството на търговията редовно извършва проактивни проверки на случаен принцип и по систематичен начин, което е много важно за подобряване на цялостното спазване на рамката и за откриване на случаи, които изискват действия по правоприлагане от страна на Федералната комисия по търговия. Тя обаче отбелязва, че има тенденция тези проверки да се ограничават до формални изисквания, като например липсата на отговор от определените звена за контакт или недостъпността онлайн на политиката на дружеството за неприкосновеност на личния живот. Въпреки че тези формални изисквания определено са важни аспекти от спазването на Щита за личните данни, подобни проверки следва да обхващат също и задължения по същество (например, спазването на принципа на отчетност за последващото предаване на данни) и да използват пълноценно инструментите, които рамката осигурява на Министерството на търговията. Изискванията за последващо предаване бяха значително подсилени в Щита за личните данни, тъй като липсата на гаранции в такива ситуации би подронило защитата, гарантирана от рамката. Проверките на случаен принцип следва да продължат да се извършва редовно и по систематичен начин. В същото време спазването на тези изисквания по същество също е от решаващо значение за осигуряване на непрекъснатост на Щита за личните данни и следва да бъде предмет на строги мерки за наблюдение и правоприлагане от органите на САЩ.
По отношение на извършваното от Министерството на търговията търсене на неверни твърдения за участие в Щита за личните данни Комисията отбеляза, че Министерството на търговията продължава да извършва такива търсения на всеки три месеца, което доведе до разкриването на значителен брой случаи на неверни твърдения, някои от които бяха отнесени до Федералната комисия по търговия. Въпреки това, досега тези търсения бяха насочени само към дружества, които вече са били сертифицирани под някаква форма или са подали заявление за сертифициране по Щита за личните данни (но, например, не са подновили сертификатите си). Важно е такива търсения да са насочени и към дружества, които никога не са кандидатствали за сертифициране по Щита за личните данни. От всички видове неверни твърдения потенциално най-опасни са твърденията от дружества, които никога не са кандидатствали за сертифициране. Това важи за неприкосновеността на личния живот на лицата, тъй като дружества, които никога не са кандидатствали за сертифициране, не са въвели в търговските си практики нито една от защитните мерки, гарантирани от Щита за личните данни. То важи и от бизнес гледна точка, тъй като нивото на равнопоставеност между дружествата се отслабва, ако организации, които не отговарят на изискванията на рамката, могат да претендират за ползите от сертифицирането.
Комисията със задоволство отбелязва, че се увеличава броят на субектите на данни от ЕС, които се възползват от правата си съгласно Щита за личните данни, и че съответните механизми за правна защита функционират добре. Броят на жалбите, подадени до независимите механизми за правна защита, се е увеличил и те са били решени по задоволителен начин за съответните граждани на ЕС. Освен това исканията от граждани на ЕС са били разгледани по подходящ начин от участващите дружества.
Що се отнася до действията по правоприлагане Комисията отбеляза, че от миналата година Федералната комисия по търговия е приключила седем правоприлагащи действия, свързани с нарушения на Щита за личните данни, включително в резултат на обявените служебни проверки. Всичките седем случаи са засягали неверни твърдения за участие в рамката. Два от тези случаи са засягали също нарушаването на съществени изисквания на Щита за личните данни, като например невъзможността да се провери чрез самооценка или външен преглед на съответствието дали твърденията на дружеството относно практиките му, свързани с Щита за личните данни, са верни и се прилагат на практика. Комисията приветства предприетите действия по правоприлагане от страна на Федералната комисия по търговия по време на третата година от функционирането на Щита за личните данни. В същото време, с оглед на миналогодишното изявление на агенцията и уверенията, предоставени в хода на втория годишен преглед, Комисията очакваше по-активен подход по отношение на действията по правоприлагане във връзка с нарушенията по същество на принципите на Щита за личните данни.
В това отношение Комисията отбеляза обясненията, дадени по време на третия годишен преглед, че известен брой текущи разследвания изискват повече време, тъй като Федералната комисия по търговия разглежда пълния набор от възможни нарушения. Въпреки това информацията, предоставена от Федералната търговска комисия, бе твърде ограничена, за да се оцени достатъчно добре напредъкът по правоприлагането. Такава информация може да бъде основателно ограничена поради съображения за поверителност, но не изглежда оправдано Федералната комисия по търговия да не споделя, дори в обобщен и анонимизиран вид, повече елементи относно текущите служебни проверки. Този подход не съответства на духа на сътрудничество между органите, на който се основава Щитът за личните данни, и Федералната комисия по търговия следва да намери начин да споделя съдържателна информация относно своите действия по правоприлагане с Комисията и с органите за защита на данните в ЕС, които носят обща отговорност за действията за правоприлагане по рамката.
Въпросът за това как се обработват данни относно човешките ресурси съгласно Щита за личните данни бе отново обсъден по време на прегледа. Както бе потвърдено от заинтересованите страни, разработването на съвместни насоки между Министерството на търговията, Федералната комисия по търговия и органите на ЕС за защита на данните ще има реална добавена стойност. В това отношение Комисията отбелязва, че напоследък бяха осъществени контакти, довели до известен напредък по отношение на разбирането на тези въпроси, без обаче все още да се стигне до конкретни резултати.
2.2.Достъп и използване на лични данни от публичните органи на САЩ
По отношение на аспектите, свързани с достъпа и използването на лични данни от публичните органи на САЩ, третият годишен преглед целеше на първо място да потвърди, че всички ограничения и гаранции, на които разчита решението относно адекватността, продължават да действат. В допълнение към това третият годишен преглед предостави възможност да се разгледат новите развития и допълнително да се разяснят някои аспекти на правната рамка, както и различните механизми за надзор и възможностите за правна защита, по-специално във връзка с разглеждането и решаването на жалби от омбудсмана.
Въпреки че няма нови законодателни промени относно събирането на външноразузнавателна информация съгласно член 702 от Закона за надзор върху външното разузнаване, Комисията приветства получените разяснения от органите на САЩ относно начина, по който целево се събира разузнавателна информация в рамките на разузнавателните програми, провеждани съгласно член 702 от Закона за надзор върху външното разузнаване (т.е. Програмите Prism и Upstream). Тези пояснения потвърждават констатациите на Комисията в решението относно адекватността, че събирането на външноразузнавателна информация съгласно член 702 от Закона за надзор върху външното разузнаване винаги се насочва целево чрез използването на критерии и че изборът на тези критерии се урежда от закона и подлежи на независим съдебен и законодателен надзор.
Комисията също така отбелязва, че някои от разрешенията за получаване на външноразузнавателна информация съгласно член 501 от Закона за надзор върху външното разузнаване, изменен със Закона за свободата в САЩ от 2015 г., ще изтекат на 15 декември 2019 г. Тъй като събирането по член 501 от Закона за надзор върху външното разузнаване е от значение в контекста на Щита за личните данни и следователно беше оценено в решението на Комисията относно адекватността, е важно, в случай че разрешенията бъдат подновени, да се запазят в сила съществуващите ограничения и предпазни мерки, като например забраната на събирането на масиви от данни.
По отношение на Президентска директива № 28 органите на САЩ изрично потвърдиха, че тя остава в сила, продължава да поражда правно действие и не е била предмет на изменения. Няма промени в процедурите за изпълнение на Президентска директива № 28 в различните агенции на разузнаването. Освен това, Комисията отбеляза обясненията, предоставени от органите на САЩ, че разпоредбите относно събирането на масиви от данни в Президентска директива № 28, включително тези за временно придобиване на данни, не се прилагат за събирането на външноразузнавателна информация на територията на САЩ (например, за събирането на информация от сертифицирано дружество, обработващо данни, предавани от ЕС съгласно Щита за личните данни), като събирането, извършвано съгласно член 702 от Закона за надзор върху външното разузнаване в рамките на програмите Prism или Upstream, тъй като това събиране е винаги е целенасочено.
По отношение на Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи, важен контролен орган в областта на държавното наблюдение, Комисията приветства факта, че с потвърждаването от Сената на САЩ на последните две допълнителни назначения, за първи път от 2016 г. насам Надзорният съвет е в пълен състав от петима членове. Комисията отбелязва също така, че Надзорният съвет е удвоил своя персонал след последния годишен преглед и е приел амбициозна работна програма, която се състои от десет текущи проекта за надзор, някои от които са от особено значение за периодичния преглед от Комисията на Щита за личните данни.
По отношение на механизма за омбудсман по Щита за личните данни президентът на САЩ обяви на 18 януари 2019 г., че номинира Кийт Крах за заместник-държавен секретар, който изпълнява същевременно и функцията на омбудсман. На 20 юни 2019 г. назначението на г-н Крах беше потвърдено от Сената. Комисията приветства назначаването на г-н Крах като омбудсман по Щита за личните данни, което гарантира, че позицията е попълнена на постоянна основа.
Що се отнася до първата жалба, подадена до омбудсмана от хърватския орган за защита на данните точно преди последния годишен преглед, тази жалба бе обявена за недопустима, тъй като се отнася за факти, които са извършени преди приемането на решението за Щита за личните данни. Въпреки това, жалбата предостави възможност да се тества на практика функционирането на съответните процедури. Двамата представители на Европейския комитет по защита на данните, участващи в годишния преглед, и омбудсманът потвърдиха, че всички съответни етапи на процедурата са протекли и приключили по задоволителен начин. Комисията приветства успешната обработка на тази първа жалба като важен показател, че механизмът на омбудсмана може да изпълнява надлежно своите функции.
Органите на САЩ също така предоставиха допълнителни разяснения относно начина, по който омбудсманът ще работи съвместно с другите независими органи за надзор и какви мерки ще предприема за отстраняване на нарушенията. Те по-специално потвърдиха, че независимият главен инспектор на разузнавателната общност ще бъде редовно информиран за всяка жалба, подадена до омбудсмана, и ще извършва своя собствена оценка. Освен това органите на САЩ обясниха, че ако жалба до омбудсмана разкрие нарушение на процедурите за целево събиране на информация по член 702 от Закона за надзор върху външното разузнаване, такова нарушение ще се докладва на Съда за надзор върху външното разузнаване, който ще извърши независим преглед и, ако е необходимо, ще разпореди на съответната разузнавателна агенция да предприеме коригиращи действия. Тези коригиращи действия могат да варират от индивидуално до структурни мерки, напр. от заличаване на незаконно получените данни до промяна на практиките за събиране на данни, включително по отношение на предоставянето на насоки и обучението на персонала.
На последно място, беше потвърдено, че, ако по време на разглеждането на жалба до омбудсмана се открие дадено нарушение на правото на САЩ (включително нарушение на укази, президентски политики и правила и процедури на агенциите, като например на процедурите за целево събиране на информация и свеждането до минимум на събираната информация, одобрени от Съда за надзор върху външното разузнаване), незаконно събраните данни ще бъдат изтрити от всички държавни бази данни и всяко позоваване на тази данни ще бъде заличено от разузнавателните доклади. Така физическо лице в ЕС би могло да постигне заличаване на неговите лични данни, ако разузнавателните структури на САЩ са ги събрали и обработвали неправомерно.
Комисията приветства тези допълнителни обяснения, които показват как сътрудничеството между различните независими надзорни органи укрепва ефикасността на механизма на омбудсмана. Също така е важно да се изясни, че като използват механизма на омбудсмана, физическите лица в ЕС могат действително да упражнят правото си на заличаване, което е основен елемент от правото на защита на личните данни.
3.ЗАКЛЮЧЕНИЕ
Събраната в контекста на третия годишен преглед информация потвърждава констатациите на Комисията, посочени в решението за адекватността, по отношение както на „търговските аспекти“ на рамката, така и на аспектите, свързани с достъпа до личните данни, които се предават от публичните органи съгласно Щита за личните данни. Във връзка с това Комисията отбеляза редица подобрения във функционирането на рамката, както и назначенията, направени в ключови надзорни органи.
Въпреки това, в светлината на някои проблеми, които се появиха в резултат на натрупания опит от ежедневното практическо прилагане на рамката или станаха по-ясно изразени в този контекст, Комисията стига до заключението, че трябва да бъдат предприети редица конкретни стъпки с цел по-добре да се гарантира ефективното функциониране на Щита за личните данни на практика:
1.Министерството на търговията следва да съкрати различните срокове, които се предоставят на дружествата за приключване на процедурата за подновяване на сертификата. Предоставянето на максимален срок от общо 30 дни изглежда разумно решение, за да се даде на дружествата достатъчно време за подновяване на сертификата, включително за коригиране на евентуални проблеми, възникнали в този процес, като в същото време се гарантира неговата ефективност. Ако при изтичането на този срок подновяването на сертификата не е приключило, Министерството на търговията следва да изпрати предупредително писмо без по-нататъшно забавяне.
2.В контекста на своите проверки на случаен принцип, Министерството на търговията следва да оцени доколко дружествата спазват принципа на отчетност за последващото предаване на данни, включително чрез използване на възможността, предоставена от Щита за личните данни, да изисква обобщение или представителна извадка на разпоредбите за поверителност в договор, сключен за целите на последващото предаване от дружество, участващо в Щита за личните данни.
3.Като приоритетен въпрос Министерството на търговията следва да разработи инструментариум за откриване на неверни твърдения за участие в Щита за личните данни от дружества, които никога не са кандидатствали за сертифициране, и да използва тези инструменти редовно и систематично.
4.Федералната комисия по търговия следва приоритетно да намери начини да споделя значима информация относно текущите си разследвания с Комисията, както и с европейските органи за защита на данните, които също имат отговорности по прилагането съгласно Щита за личните данни.
5.През следващите месеци органите на ЕС за защита на данните в ЕС, Министерството на търговията и Федералната комисия по търговия следва да разработят общи насоки за определянето и обработването на данни за човешките ресурси.
Комисията ще продължи да следи отблизо по-нататъшното развитие по отношение на конкретни елементи от рамката на Щита за личните данни, а именно i) функционирането на механизма на омбудсмана, по-специално в случай на нова жалба; ii) резултата от текущите проекти за надзор, които са инициирани от Надзорния съвет по въпросите на неприкосновеността на личния живот и гражданските свободи и които са от особено значение за Щита за личните данни (например за търсене на данни, получени по член 702 от Закона за надзор върху външното разузнаване от Федералното бюро за разследване, изпълнението на препоръките на Надзорния съвет по Президентска директива № 28 и т.н.); iii) подновяването на разрешенията по член 501 от Закона за надзор върху външното разузнаване, като се гарантира по-специално, че съществуващите предпазни мерки остават в сила; и (iv) развитието на съдебната практика на САЩ за съдебна защита в областта на държавното наблюдение, по-специално по отношение на въпроса за процесуалната легитимация пред съдилищата.
И накрая, Комисията ще продължи да следи отблизо текущата дискусия относно федералното законодателство в областта на неприкосновеността на личния живот в САЩ. Един всеобхватен подход към защитата на личния живот и личните данни ще увеличи сближаването между системите на ЕС и САЩ и би спомогнал да се укрепят основите, върху които е разработена рамката на Щита за личните данни.
Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ, ОВ L 207, 1.8.2016 г., стр. 1.
Доклад на Комисията до Европейския парламент и Съвета по първия годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (COM/2017/611 final, виж https://eur-lex.europa.eu/legal-content/BG/TXT/?uri=CELEX:52017DC0611
Работен документ на службите на Комисията, придружаващ Доклада на Комисията до Европейския парламент и Съвета по първия годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (SWD(2017)344 final), виж http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
Доклад на Комисията до Европейския парламент и Съвета по втория годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (COM/2018/860 final, виж https://eur-lex.europa.eu/legal-content/BG/TXT/HTML/?uri=CELEX:52018DC0860&from=en
Работен документ на службите на Комисията, придружаващ Доклада на Комисията до Европейския парламент и Съвета по втория годишен преглед на функционирането на Щита за личните данни в отношенията между ЕС и САЩ (SWD(2018)497 final), виж https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf
Президентска директива № 28: дейности по събиране на радиоелектронна разузнавателна информация, 17 януари 2014 г., която предвижда важни ограничения и гаранции за лица, които не са американски граждани, в областта на събирането на радиоелектронна разузнавателна информация.
Независимият орган, който обединява представители на националните органи за защита на данните в държавите — членки на ЕС, и Европейския надзорен орган по защита на данните.
Вж. дело T-738/16 La Quadrature du Net/Комисия. Въпроси относно Щита за личните данни бяха повдигнати и в контекста на дело C-311/18, Data Protection Commissioner и Facebook Ireland, Maximilian Schrems („Schrems II“), по което на 9 юли 2019 г. се проведе изслушване пред големия състав на Съда на ЕС.