СЪОБЩЕНИЕ НА КОМИСИЯТА ДО ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И СЪВЕТА Възстановяване на доверието в обмена на данни между ЕС и САЩ /* COM/2013/0846 final */
1. Въведение:
променящата
се среда, в
която се извършва
обработката
на данните
между ЕС и
САЩ Европейският
съюз и
Съединените
щати са стратегически
партньори и
това
партньорство
е от решаващо
значение за
насърчаването
на нашите
общи
ценности, за
сигурността
ни и за
общата ни
водеща роля в
световната
политика. Доверието
в
партньорството
обаче бе нарушено
и трябва да
бъде
възстановено.
ЕС, неговите
държави
членки и
европейските
граждани
изразиха
сериозната
си
загриженост
след
разкриването
на мащабни
американски
програми за
събиране на
разузнавателни
данни,
по-специално
по отношение
на защитата
на личните
данни[1]. Масовото
наблюдение
на личните
комуникации,
било то на
граждани,
предприятия
или политически
лидери, е
неприемливо. Предаването
на лични
данни е важен
и необходим
елемент на
трансатлантическите
отношения. То
представлява
неразделна
част от
търговския
обмен между
Европа и САЩ,
включително
в новите
бързоразвиващи
се сектори в
областта на
цифровите
технологии,
като
например
социалните
медии или
изчисленията
в облак,
които
предполагат
преминаването
на големи
количества
данни от ЕС
към САЩ. То
също така
представлява
ключов елемент
на
сътрудничеството
между ЕС и
САЩ в областта
на
правоприлагането
и на сътрудничеството
между
държавите
членки и САЩ
в областта на
националната
сигурност. С
цел улесняване
на
движението
на потоците
от данни, като
същевременно
се гарантира
висока степен
на защита на
данните,
както се
изисква по
законодателството
на Съюза, САЩ
и ЕС сключиха
редица
споразумения
и
договорености. Търговският
обмен е
предмет на
уредба в
Решение 2000/520/ЕО[2]
(оттук
нататък
„Решението за
„сфера на
неприкосновеност
на личния
живот“). Това
решение
предоставя
правното
основание за
предаване на
лични данни
от ЕС към
дружества,
установени в
САЩ, които се
придържат
към
принципите
за сфера на
неприкосновеност
на личния
живот. Обменът
на лични
данни между
ЕС и САЩ за
целите на
правоприлагането,
включително
предотвратяването
и борбата с
тероризма и
други тежки
форми на
престъпност,
се урежда от
няколко
споразумения
на равнище
ЕС. Това са
Споразумението
за правна
взаимопомощ[3],
Споразумението
относно
използването
и предаването
на
резервационни
данни на пътниците
(PNR)[4],
Споразумението
относно
обработката
и изпращането
на данни за
финансови
съобщения за
целите на
Програмата
за
проследяване
на
финансирането
на тероризма
(ППФТ)[5] и
Споразумението
между
Европол и
САЩ. Тези споразумения
бяха
сключени в
отговор на важни
предизвикателства
за
сигурността
и за да
обслужат
общите
интереси на
ЕС и САЩ в
тази област,
като в същото
време
осигурят
висока
степен на
защита на личните
данни. Освен
това в
момента
текат преговори
между ЕС и
САЩ за
рамково
споразумение
за защита на
данните в
сферата на
полицейското
и съдебното
сътрудничество
(„Рамковото
споразумение“)[6].
Целта е да се
гарантира
високо
равнище на
защита на
данните за
гражданите,
чиято
информация
се обменя, като
по този начин
се постигне
по-нататъшен напредък
в
сътрудничеството
между ЕС и САЩ
в борбата
срещу
престъпността
и тероризма
въз основа на
общи
ценности и
договорени
гаранции. Тези
инструменти
функционират
в среда, в която
потоците с
лични данни
придобиват
все по-голямо
значение. От
една страна,
развитието
на цифровата
икономика
доведе до
експоненциален
растеж в
количеството,
качеството,
разнообразието
и характера
на дейностите
по обработка
на данните.
Използването
на услуги за
електронни
комуникации
от
гражданите
във
всекидневния
им живот се
увеличи.
Личните
данни се
превърнаха
във високо
ценен актив:
приблизителната
стойност на
данните на
гражданите
на ЕС през 2011 г. бе
315 млрд. евро и
разполага с
потенциала
да нарасне до
1 трлн. евро
годишно до 2020 г.[7] В
световен
мащаб
пазарът за
анализ на
много големи
набори от
данни се
увеличава с 40 %
годишно[8].
По подобен
начин,
технологичните
развития,
например
свързани с
изчисленията
в облак,
поставиха в
перспектива
понятието за
международното
предаване на
лични данни,
тъй като
трансграничният
пренос на
данни се
превръща в
ежедневната
реалност.[9] Увеличението
в
използването
на електронните
комуникации
и услугите за
обработка на
информация,
включително
изчисленията
в облак, също
значително
разшири
обхвата и значението
на
трансатлантическия
обмен на данни.
Елементи,
като
централната
позиция на
американските
дружества в
цифровата икономика[10],
трансатлантическият
маршрут на
голяма част
от
електронните
комуникации
и обемът на потоците
електронни
данни между
ЕС и САЩ придобиха
още по-голямо
значение. От
друга страна,
модерните
методи за
обработка на
личните
данни
пораждат
нови и важни
въпроси. Това
се отнася
както до
новите
средства за широкомащабна
обработка на
потребителски
данни за
търговски
цели от
частни компании,
така и до
повишената
способност
за масово
наблюдение
на комуникациите
от
разузнавателни
агенции. Широкомащабни
разузнавателни
програми за
събиране на
данни от САЩ,
като PRISM,
засягат
основните
права на
европейските
граждани, и
по-специално
правото им на
неприкосновеност
на личния
живот и на
защита на
личните
данни. Тези
програми
също изваждат
на преден
план
връзката
между
правителственото
наблюдение и
обработката
на данни от
частни
компании, и
по-специално
от американски
интернет
компании. В
резултат на
това те могат
да имат
икономическо
въздействие.
Ако
гражданите
са загрижени
за широкомащабната
обработка на
личните им
данни от
частни
дружества
или от
наблюдението
на данните им
от
разузнавателни
служби при
използването
на интернет
услуги, това
може да засегне
тяхното
доверие в
цифровата
икономика и
да доведе до
негативни
последствия
върху
растежа. Тези
тенденции
подлагат
потоците
данни между
ЕС и САЩ на
нови
предизвикателства.
Настоящото
съобщение
разглежда
тези предизвикателства.
В него се
разглеждат следващите
стъпки, които
могат да
бъдат предприети,
въз основа на
констатациите,
съдържащи се
в доклада на
европейските
съпредседатели
на Работната
група ad hoc ЕС
—САЩ по въпросите
на защитата
на личните
данни и Съобщението
относно
сферата за
неприкосновеност
на личния
живот. Целта му е
да се намери
ефективен
начин за възстановяване
на доверието
и засилване на
сътрудничеството
между ЕС и
САЩ в тези области
и за цялостно
укрепване на
трансатлантическите
отношения. Настоящото
съобщение се
основава на
предпоставката,
че
стандартът
за защита на
личните
данни трябва
да се
разглежда в
съответния
му контекст,
без да засяга
останалите измерения
на
отношенията
между ЕС и
САЩ, включително
текущите
преговори за
Трансатлантическо
партньорство
в областта на
търговията и
инвестициите.
По тази
причина,
стандартите
за защита на
данните няма
да бъдат предмет
на преговори
в рамките на
Трансатлантическото
партньорство
в областта на
търговията и инвестициите,
което ще
зачита
изцяло правилата
за защита на
личните
данни. Важно е да
се отбележи,
че докато ЕС
може да предприема
действия в
области от
компетентността
на ЕС,
по-специално
за
гарантиране
на
прилагането
на
законодателството
на ЕС[11],
националната
сигурност
остава
единствено в
рамките на
отговорността
на всяка
държава членка[12]. 2.
Въздействие
на
инструментите
за предаване
на данни На
първо място,
по отношение
на данните,
предавани за
търговски
цели,
договореностите
за сфера на
неприкосновеност
на личния
живот се
оказаха
важен
инструмент в
осъществяването
на обмена на
данни между
ЕС и САЩ.
Търговското
значение на
тези договорености
нарасна, тъй
като
потоците лични
данни
придобиха
по-голямо
значение в трансатлантическите
търговски
отношения. За
последните 13
години към
схемата за
сфера на неприкосновеност
се
присъединиха
повече от 3 000
дружества,
като повече
от
половината се
присъединиха
през
последните
пет години.
При все това
загрижеността
относно нивото
на защита на
личните
данни на
гражданите
на ЕС,
предавани на
САЩ в рамките
на схемата,
нарасна.
Доброволният
и
декларативен
характер на
схемата
изостри
вниманието
върху
нейната
прозрачност
и прилагане.
Въпреки че
мнозинството
от
американските
дружества
спазват
принципите ѝ,
някои
самосертифицирани
дружества не
го правят.
Неспазването
от страна на
някои
самосертифицирани
дружества на
принципите
за сфера на
неприкосновеност
им
предоставя
конкурентно
предимство
по отношение
на
европейските
дружества,
които
извършват
дейност на
същия пазар. Освен
това, тъй
като по
схемата за
сфера на
неприкосновеност
се допускат
ограничения,
когато това
се налага, по
съображения,
свързани с
националната
сигурност[13],
възникна
въпросът
дали
широкомащабното
събиране и
обработка на
лични данни в
рамките на
програмите
за
наблюдение
на САЩ са
необходими и
пропорционални
по отношение
на
съображението
за националната
сигурност.
Също така от
резултатите
на Работната
група ad hoc ЕС
—САЩ стана ясно,
че по тези
програми
гражданите
на ЕС не се
ползват със
същите права
и процесуални
гаранции,
както
американците. Обхватът
на тези
програми за
наблюдение, заедно
с
неравностойното
третиране на
гражданите
на ЕС,
поставя под
съмнение
нивото на
защита,
предоставяно
от
споразумението
за сфера на
неприкосновеност.
До личните данни
на гражданите
на ЕС,
изпращани до
САЩ в рамките
на схемата,
може да се
предостави
достъп и те
да бъдат
допълнително
обработени
от американските
власти по
начин, който
е несъвместим
с
основанията,
на които
данните са
събрани
първоначално
в ЕС, и целите,
за които те
са били
предадени на
САЩ.
Мнозинството
от американските
интернет
компании,
които изглеждат
пряко
засегнати от
тези
програми, са
сертифицирани
по схемата за
сфера на неприкосновеност. На
второ място,
по отношение
на обмена на
данни за
целите на
правоприлагането,
съществуващите
споразумения
(PNR, ППФТ), са се
доказали
като много
ценни
инструменти
за справяне с
общи заплахи
за сигурността,
свързани с
тежката
международна
престъпност
и тероризма,
като в същото
време установяват
гаранции,
които
осигуряват
висока
степен на
защита на
данните[14].
Тези
гаранции се
предоставят
и на гражданите
на ЕС и
споразуменията
предвиждат
механизми за
преразглеждане
на
прилагането им
и
преодоляване
на
проблемите,
предизвикващи
загриженост.
Споразумението
за ППФТ
създава и
система за
надзор с
независими
проверяващи
от ЕС, които
следят как
САЩ извършва
търсене в
данни,
обхванати от
споразумението. На
фона на
опасенията,
повдигнати в
ЕС относно
програмите
за
наблюдение
на САЩ, Европейската
комисия
използва
тези
механизми, за
да провери
как се
прилагат
споразуменията.
По отношение
на
Споразумението
PNR бе извършен
съвместен
преглед на
прилагането
на споразумението
с участието
на експерти в
областта на
защитата на
данните от ЕС
и САЩ.[15].
Прегледът не
предостави
никаква
индикация, че
американските
програми за
наблюдение
са засегнали
или са имали
въздействие
върху данните
на пътниците,
обхванати от
споразумението.
По отношение
на
Споразумението
за ППФТ,
Комисията
започна
провеждането
на официални
консултации,
след като
бяха отправени
обвинения, че
американските
разузнавателни
служби са
имали пряк
достъп до
личните
данни в ЕС,
което
противоречи
на
Споразумението.
Тези
консултации
не откриха
никакви
елементи,
доказващи
нарушаване
на
Споразумението
за ППФТ, и
доведоха до
това САЩ да
представи писмено
уверение, че
не е
извършвано
пряко събиране
на данни в
противоречие
с разпоредбите
му. Широкомащабното
събиране и
обработка на лични
данни по
американските
програми за наблюдение
обаче
изисква да се
продължи извършването
на много близко
наблюдение на
изпълнението
на
Споразуменията
за PNR данните и
ППФТ в
бъдеще.
Европейският
съюз и САЩ
съответно се
договориха
за
извършването
на следващия
съвместен
преглед на
Споразумението
за ППФТ,
който ще се
проведе през
пролетта на 2014
г. В рамките
на този и на бъдещите
съвместни
прегледи ще
се осигури повишена
прозрачност
за това как
работи системата
за надзор и
за това как
тя защитава
данните на
гражданите
на ЕС.
Успоредно с това
ще бъдат
предприети
мерки, за да
се гарантира,
че системата
за надзор
продължава да
обръща
особено
внимание на
това как се
обработват
данните,
предавани на
САЩ съгласно
Споразумението,
като се
акцентира
върху начина,
по който тези
данни се
споделят между
органите на
САЩ. На
трето място,
увеличаването
на обема на обработваната
лична информация
подчертава
значението
на приложимите
правни и
административни
гаранции. Една
от целите на
Работната
група ad hoc ЕС
—САЩ беше да
се установи
какви
защитни
гаранции се
прилагат за
свеждане до
минимум на
въздействието
на
обработката
данни върху
основните
права на
гражданите
на ЕС.
Необходими са
също така
гаранции за
защита на
дружествата.
Някои закони
на САЩ, като
например
Законът за
обединяване
и укрепване
на САЩ чрез осигуряване
на подходящи
инструменти
за разкриване
и
противодействие
на тероризма
(Patriot Act), дадоха
възможност
на
американските
власти да
изискват
пряко от
дружествата
достъп до
данните,
съхранявани
в ЕС. Поради
това от
европейските
дружества и
дружествата
от САЩ, които
се намират в
ЕС, може да се
изиска да
предадат
данни на САЩ
в нарушение
на
законодателството
на ЕС и на държавите
членки. В
резултат на
това тези
дружества се
оказват в
ситуация на
противоречащи
си правни
задължения.
Правната
несигурност,
произтичаща
от подобни
преки искания
за
информация,
може да
попречи на
развитието на
новите
цифрови
услуги, като
например изчисленията
в облак,
които могат
да осигурят
ефикасни и
ниско
струващи
решения за
лицата и
предприятията.
3. Осигуряване
на ефикасна
защита на
данните Предаването
на лични
данни между
ЕС и САЩ е съществен
компонент от
трансатлантическите
търговски отношения.
Споделянето
на
информация
също е
основен
компонент на
сътрудничеството
в областта на
сигурността
между ЕС и
САЩ, който е
от решаващо
значение за
постигането
на общата цел
за
предотвратяване
и борба с
тежката
престъпност
и тероризма.
Неотдавнашните
разкрития
относно
програмите
на САЩ за събиране
на
разузнавателна
информация
обаче се
отразиха
негативно на
доверието, върху
което се
гради това
сътрудничество.
По-специално,
те засегнаха
доверието в
начина, по
който се
обработват
лични данни.
Следните стъпки
следва да
бъдат взети,
за да се
възстанови
доверието в
предаването
на данни в
полза на
цифровата
икономика, на
сигурността,
както в ЕС,
така и в САЩ, и
на
по-широките
трансатлантически
отношения. 3.1. Реформа
на рамката за
защита на
данните на ЕС
Реформирането
на рамката за
защита на данните,
предложено
от Комисията
през януари 2012 г.[16]
представлява
ключов
отговор на
предизвикателствата,
свързани със
защитата на
личните
данни. Пет
компонента
на
предложения пакет
относно
защитата на
данните са от
особено
значение. Първо,
що се отнася
до
териториалния
обхват, в
предложения
регламент се
посочва ясно,
че
дружествата,
които не са
установени в
Съюза, ще
трябва да
прилагат
законодателството
за защита на
данните на ЕС,
когато
предлагат
стоки и
услуги на
европейските
потребители
или
осъществяват
наблюдение
върху
тяхното
поведение. С
други думи,
основното
право на
защита на
данните ще се
спазва,
независимо
от
географското
местоположение
на
дружеството
или на неговата
инфраструктура
за обработка
на данните[17]. На
второ място,
относно
международното
предаване,
предложеният
регламент
урежда условията,
при които
данните
могат да
бъдат предавани
извън ЕС.
Предаването
може да бъде
разрешено
само когато
тези условия,
които
гарантират
правата на
физическите
лица на
високо равнище
на закрила,
са изпълнени[18]. На
трето място,
що се отнася
до
прилагането,
предложените
правила
предвиждат
пропорционални
и възпиращи
санкции (до 2 %
от годишния
оборот на
дружеството),
за да се
гарантира, че
компаниите
се
съобразяват
с правото на
ЕС[19].
Наличието на
надеждни
санкции ще
увеличи стимула
на
дружествата
да спазват
правото на
ЕС. Четвърто,
предложеният
регламент
включва ясни
правила за
задълженията
и отговорностите
на
обработващите
данните, като
например
доставчиците
на услуги за
изчисления в
облак, в това
число и по
отношение на
сигурността[20].
Както
показаха
разкритията,
свързани с
американските
програми за
събиране на
разузнавателни
данни, този
въпрос е от
изключително
значение, тъй
като тези
програми
засягат
данни,
съхранявани
в облака. Освен
това
дружества,
предоставящи
пространство
за
съхранение в
облака, от
които се иска
да
предоставят
лични данни
на чужди органи,
няма да могат
да бъдат в
състояние да
избягат от
отговорност,
като се
позоват на статуса
си на
обработващи
данните,
вместо на администратори
на данни. Пето,
пакетът ще
доведе до
създаването
на всеобхватни
правила за
защита на
личните данни,
обработвани
от
правоприлагащите
органи. Очаква
се пакетът да
бъде
договорен
без излишно
забавяне в
хода на 2014 г.[21] 3.2. Повишаване
на
сигурността
на схемата за
неприкосновеност
на личния
живот Схемата за
неприкосновеност
на личния живот
е важен
компонент от
търговските
отношения
между ЕС и
САЩ, на който
се разчитат дружества
от двете
страни на
Атлантическия
океан. Докладът
на Комисията
за
функционирането
на схемата
установи
редица
слабости в нея.
В резултат на
липса на
прозрачност
и пропуски в
прилагането,
някои
самосертифицирани
членове на
схемата на
практика не
спазват
нейните
принципи.
Това оказва
отрицателно
въздействие
върху
основните
права на
гражданите
на ЕС. Това
също така
поставя
европейските
дружества в
неблагоприятно
положение
спрямо
конкурентите
им от САЩ,
които
оперират по
схемата, но
на практика
не прилагат
принципите ѝ.
Тази слабост
засяга също
мнозинството
дружества в
САЩ, които
съвестно
прилагат
схемата.
Схемата за сфера
за
неприкосновеност
също така
действа като
канал за
предаването
на лични данни
на
европейски
граждани от
ЕС към САЩ от
дружества, от
които се иска
да предават
данни на
американските
разузнавателни
агенции в
рамките на
американските
програми за
събиране на
разузнавателни
данни. Ако
пропуските в
схемата не се
коригират, тя
следователно
ще продължи
да поставя
дружествата от
ЕС в
конкурентно
неизгодно
положение и да
има отрицателно
въздействие
върху
основното право
на защита на
личните
данни на
гражданите
на ЕС. Недостатъците
на схемата
бяха
подчертани
от реакцията
на
европейските
органи за защита
на данните
след
последните
разкрития
във връзка с
американските
програми за наблюдение.
Член 3 от
Решението за „сфера
на
неприкосновеност
на личния
живот“
оправомощава
тези органи
да спрат
временно, при
определени
условия,
преноса на
данни към
сертифицирани
дружества.[22]
Немските
комисари за
защита на
данните решиха
да не издават
нови
разрешения
за предаване
на данни към
държави
извън ЕС
(например за
използване
при определени
услуги за
изчисления в
облак). Те
също така ще
проучат дали
предаването
на данни въз
основа на
схемата за
сфера на неприкосновеност
следва да
бъде
временно спряно.[23]
Съществува
риск подобни
мерки, взети
на национално
равнище, да
доведат до
разлики в обхвата
на схемата,
което
означава, че
тя ще престане
да бъде
основен
механизъм за
предаване на
лични данни
между ЕС и
САЩ. Съгласно
Директива
95/46/ЕО
Комисията
разполага с
правомощието
да спре
прилагането на
Решението за
„сфера на
неприкосновеност
на личния
живот“ или да
го отмени ,
ако схемата
спре да предоставя
адекватно
ниво на
защита. Освен
това в член 3
от Решението
за „сфера на
неприкосновеност
на личния
живот“
предвижда, че
Комисията
може да
отмени, да спре
прилагането
или да
ограничи
обхвата на
решението,
като
същевременно,
съгласно член 4,
тя може да
адаптира
решението по
всяко време в
светлината
на опита,
придобит от неговото
прилагане. В
този
контекст няколко
варианта на
политиката
могат да бъдат
взети под
внимание,
включително:
Запазване
на
сегашното
състояние;
Укрепване
на схемата
за
неприкосновеност
и цялостен
преглед на
функционирането
ѝ;
Спиране
на
прилагането
или отмяна
на Решението
за „сфера на неприкосновеност
на личния
живот“
Като
се имат
предвид
установените
пропуски,
сегашният
начин на
приложение
на схемата не
може да бъде
запазен.
Въпреки това,
отмяната на
Решението ще
се отрази
неблагоприятно
на
интересите
на
участващите
в схемата
дружествата в
ЕС и САЩ.
Комисията
счита, че
рамката на
схемата
следва
по-скоро да
бъде
укрепена. Подобренията
следва да
засегнат
както структурните
недостатъци,
свързани с
прозрачността
и
прилагането,
така и
съдържанието
на
принципите
за сфера на
неприкосновеност
и действието
на
изключението
по съображения
за
национална
сигурност. По-конкретно,
за да работи
схемата за
сфера на
неприкосновеност
по
предназначение,
мониторингът
и надзорът от
органите на
САЩ за
спазването
на
принципите
на схемата от
сертифицираните
дружества
трябва да
бъдат
по-ефективни
и систематични.
Прозрачността
на
политиките на
сертифицираните
дружества за
защита на личния
живот трябва
да се
подобри.
Наличността
и
достъпността
за
гражданите
на ЕС на механизми
за
разрешаване
на спорове
също трябва
да се
гарантира. Като
приоритет,
Комисията ще
започне разговори
с органите на
САЩ, за да
обсъди
установените
недостатъци.
До лятото на 2014
г. трябва да
бъдат
набелязани
решения,
които да се
приложат
възможно
най-скоро. На
тази база Комисията
ще извърши
пълен
преглед на
функционирането
на схемата за
„сферата на
неприкосновеност
на личния
живот“. Този
по-широк
процес
следва да включва
открити
консултации
и дебати в Европейския
парламент и в
Съвета, както
и дискусии с
органите на
САЩ. Също
така е важно
изключението
на основание
национална
сигурност,
предвидено в
Решението за
„сфера на
неприкосновеност
на личния
живот“ , да се
използва
само в
степен, която
е строго
необходима и
пропорционална.
3.3. Засилване
на
гаранциите
за защита на
данните при
сътрудничеството
в областта на
правоприлагането ЕС
и САЩ са в
процес на
преговори по
рамково
споразумение
за предаване
и обработка
на информация
от личен
характер в
рамките на полицейското
и съдебното
сътрудничество
по
наказателноправни
въпроси.
Сключването
на такова
споразумение,
което
предвижда
високо ниво
на защита на
личните
данни, ще
представлява
важен принос
за засилването
на доверието
от двете
страни на
Атлантика.
Посредством
подобряването
на защитата
на данните на
гражданите
на ЕС ще бъде
засилено
трансатлантическото
сътрудничество
в областта на
предотвратяването
и борбата с
престъпността
и тероризма. Съгласно
решението за
упълномощаване
на Комисията
да договори
рамковото
споразумение,
целта на
преговорите
следва да
бъде да се
осигури висока
степен на
защита в
съответствие
с достиженията
на правото на
ЕС в областта
на защита на
данните. Тази
цел следва да
намери отражение
в
договорените
правила и
гаранции
относно, inter alia,
ограничаването
в рамките на
целта, условията
и
продължителността
на
съхранение
на данните. В
контекста на
преговорите,
Комисията
следва да
получи ангажименти
за
противопоставими
права, включително
механизми за
съдебна
защита на граждани
на ЕС, които
не
пребивават в
САЩ[24].
Тясното
сътрудничество
между ЕС и
САЩ за справяне
с общите
предизвикателства
за сигурността
трябва да се
придружава
от усилия за
гарантиране
на еднакви
права за
гражданите
от двете
страни на
Атлантика,
когато еднакви
данни се
обработват
за еднакви
цели. Също
така е важно
дерогациите,
основаващи
се на нужди
на
националната
сигурност, да
бъдат стриктно
определени. В
това
отношение
следва да
бъдат
договорени
гаранции и
ограничения. Тези
преговори
дават
възможност
да се изясни,
че няма да
съществува
пряк достъп
до личните
данни, с
които
разполагат
частни компании,
намиращи се в
ЕС, или че
такива данни
не могат да
бъдат
предадени на
американските
правоприлагащи
органи извън
официалните
канали за
сътрудничество,
като например
споразумения
за правна
взаимопомощ или
секторни
споразумения
между ЕС и
САЩ, разрешаващи
такова
предаване.
Достъпът с
други средства
следва бъде
разрешен
само в
изключителни
случаи, които
са ясно
определени и
подлежат на
съдебен
контрол. САЩ
следва да поемат
ангажимент в
това
отношение[25]. С
едно рамково
споразумение,
договорено в тези
параметри,
следва да се
осигури обща
рамка, гарантираща
високо ниво
на защита на
личните данни,
когато те се
предават на
САЩ за целите
на
предотвратяването
и борба срещу
престъпността
и тероризма.
В секторни
споразумения
следва,
когато е
необходимо,
поради естеството
на
предаването
на данни, да
се установят
допълнителни
правила и
гаранции, като
се следва
примера на
Споразумението
PNR и Споразумението
за ППФТ между
ЕС и САЩ,
които установяват
строги
условия за
предаване на
данни и
гаранции за
гражданите
на ЕС. 3.4. Действия
в отговор на
опасенията
на Европа в
рамките на
текущия
процес на
реформа в САЩ
Американският
президент
Обама обяви,
че ще бъде
извършен
преглед на
дейностите
на органите
за
национална
сигурност на
САЩ, включително
на
приложимата
правна рамка.
Този
продължаващ
процес
предоставя
важна
възможност
за
предприемане
на действия в
отговор на
опасенията
на ЕС,
породени от
неотдавнашните
разкрития
относно програмите
на САЩ за
събиране на
разузнавателна
информация.
Най-важните
промени
следва да са
прилагането
на
гаранциите,
предвидени
за гражданите
на САЩ, и
спрямо
гражданите
на ЕС, които
не живеят в
САЩ, както и
осигуряването
на по-голяма
прозрачност
на
разузнавателните
дейности и
по-ефективен
надзор. Тези
промени ще
възстановят
доверието в
обмена на данни
между ЕС и
САЩ и ще
насърчат
използването
на интернет
услуги от
европейците. Във
връзка с
осигуряване
на
приложение
на гаранциите,
от които се
ползват
гражданите
на САЩ и
постоянно
пребиваващите
там лица, и по
отношение на
гражданите
на ЕС, правните
стандарти,
приложими за
американските
програми за
наблюдение и
третиращи по
различен
начин
гражданите
на САЩ и ЕС,
следва да бъдат
преразгледани,
включително
от гледна
точка на
необходимост
и
пропорционалност,
като в същото
време се
отчита
близкото трансатлантическо
партньорство
за сигурност,
основано на
общи
ценности,
права и
свободи. Това
ще намали
степента, в
която
европейците са
засегнати от
програми на
САЩ за
събиране на
разузнавателни
данни. Необходима
е повече
прозрачност
относно правната
рамка на програмите
на САЩ за
събиране на
разузнавателни
данни и
нейното
тълкуване от
съдилищата
на САЩ, както
и за
количествено
измерение на
програмите
на САЩ за
събиране на
разузнавателни
данни.
Гражданите
на ЕС също ще имат
полза от тези
промени. Контролът
върху програмите
на САЩ за
събиране на
разузнавателни
данни ще бъде
подобрен
чрез засилване
на ролята на
Съда за
наблюдение
на чуждите
разузнавателни
служби (Foreign Intelligence Surveillance
Court) и чрез въвеждане
на правни
средства за
защита на физическите
лица. Тези
механизми
биха могли да
намалят обработката
на лични
данни на
европейци,
които не са
от значение
за целите на
националната
сигурност. 3.5. Утвърждаване
в
международен
план на стандартите,
свързани с
неприкосновеността
на личния
живот Въпросите,
повдигнати
от модерните
методи за
защита на
данните, не
се
ограничават
до
предаването
на данни
между ЕС и
САЩ. Високо
ниво на защита
на личните
данни следва
да бъде
осигурено и
на всяко
физическо
лице.
Правилата на ЕС
относно
събирането,
обработката
и предаването
на данните,
следва да
бъдат
утвърждавани
в
международен
план. Неотдавна
бяха
предложени
редица
инициативи
за
насърчаване
на защитата
на неприкосновеността
на личния
живот,
особено в интернет[26].
ЕС следва да
гарантира, че
такива
инициативи,
ако те бъдат
предприети,
вземат
предвид
принципите на
защита на
основните
права,
свободата на изразяване,
личните
данни и
неприкосновеността
на личния
живот, както
са определени
в правото на
ЕС и в
стратегията
на ЕС за киберсигурност,
и не
накърняват
свободата, откритостта
и
сигурността
на
киберпространството.
Това включва
е един
демократичен
и ефективен
модел на
управление с
участието на
множество
заинтересовани
страни. Продължаващите
реформи на
законодателството
за защита на
данните от
двете страни на
Атлантика предоставят
на ЕС и САЩ
уникална
възможност да
установят
международен
стандарт.
Обменът на
данни от
двете страни
на Атлантика
и другаде по
света ще се
възползва от
засилването
на
националната
правна рамка
на САЩ, включително
чрез
приемането
на Хартата за
правата на
защита на
личния живот
на потребителите
(Consumer Privacy Bill of Rights),
обявена от
президента
Обама през
февруари 2012 г.
като част от
подробен
план за
подобряване
на защитата
на личния
живот на
потребителите.
Наличието на
набор от стриктни
и принудително
приложими
правила за
защита на
данните,
установени в
законодателствата
на ЕС и САЩ, ще
представлява
солидна
основа за
трансграничния
пренос на
данни. С
оглед
утвърждаването
в
международен
план на
стандартите,
свързани с
неприкосновеността
на личния
живот, също
следва да се
насърчи
присъединяването
към
Конвенцията
на Съвета на Европа
за защита на
лицата при
автоматизираната
обработка на
лични данни
(т.нар. „Конвенция
№ 108“), която е
открита за
присъединяване
на страни,
които не са
членки на
Съвета на
Европа[27].
Гаранциите,
договорени в
рамките на
международните
форуми,
следва да
доведат до
високо
равнище на
защита, което
е в
съответствие
с
изискванията
на правото на
ЕС. 4. Заключения
и препоръки Проблемите,
установени в
настоящото
съобщение,
изискват
предприемане
на действия
както от САЩ, така
и от ЕС и
неговите
държави
членки. Опасенията
във връзка с
трансатлантическия
обмен на
данни са на
първо място
сигнал за
осъзнаване
от страна на
ЕС и неговите
държави
членки на
необходимостта
от осъществяване
на бърз и
амбициозен
напредък по
реформата в
областта на
защитата на
данните. Те
показват, че
повече от
всякога е
необходима
една силна
законодателна
рамка с ясни
правила,
приложими и в
ситуации, в
които данни
се предават и
обработват в
чужбина. Ето
защо институциите
на ЕС трябва
да продължат
да работят за
приемането
на реформата
на ЕС в сферата
на защитата
на данните до
пролетта на 2014
г., за да се
гарантира
ефективна и
всеобхватна
защита на
личните
данни Като
се има
предвид
важността на
трансатлантическия
пренос на
данни, от
съществено
значение е
инструментите,
на които се
основава
този обмен,
да отговарят
адекватно на
предизвикателствата
и
възможностите
на цифровата
ера и новите
технологични
развития
като изчисленията
в облак.
Посредством
съществуващите
и бъдещите
договорености
и
споразумения
следва да се
осигури
непрекъснатостта
на високо
ниво на
защита от
двете страни
на Атлантика.
Една
солидна
схема за „сфера
на
неприкосновеност
на личния
живот“ (Safe Harbour) е в
интерес на
гражданите и
дружествата от
ЕС и САЩ. Тя
следва да
бъде
укрепена в
краткосрочен
план
посредством
подобряване на
контрола и
прилагането,
на чиято
основа впоследствие
да бъде
извършено
по-обстойно
преразглеждане
на нейното
функциониране.
За да се
гарантира
постигането
на първоначалните
цели на
Решението за
„сфера на
неприкосновеност
на личния
живот“ –
непрекъснатост
на защитата
на данните,
правна
сигурност и свободен
пренос на
данни между
ЕС и САЩ–, са необходими
подобрения. Тези
подобрения
следва да
бъдат
съсредоточени
върху необходимостта
органите на
САЩ да
осъществяват
по-добър
надзор и
контрол за
спазването на
принципите
на сфера на
неприкосновеност
на личния
живот от
страна на
самосертифицираните
дружества. Също
така е важно
изключението
на основание
национална
сигурност,
предвидено в
Решението за
сфера на
неприкосновеност
на личния
живот, да се
използва
само в
степен, която
е строго
необходима и
пропорционална.
В
областта на
правоприлагането
настоящите
преговори по
рамковото
споразумение
следва да
доведат до
по-високо
равнище на
защита на
гражданите
от двете
страни на Атлантическия
океан. Такова
споразумение
ще засили
доверието на
европейците
в обмена на
данни между
ЕС и САЩ, и ще
предостави основа
за
по-нататъшно
развитие на
сътрудничеството
и
партньорството
между ЕС и САЩ
в областта на
сигурността.
В контекста
на преговорите
следва да
бъдат
осигурени
ангажименти
за
предоставяне
на
процесуални
гаранции,
включително
съдебна
защита, на европейците,
които не
пребивават в
САЩ. Следва
да се поискат
ангажименти
от администрацията
на САЩ да
гарантира, че
личните
данни, с
които разполагат
частноправни
субекти в ЕС,
няма да бъдат
достъпни за
правоприлагащите
органи извън
законно
разрешените
канали, като
например
споразумения
за правна
взаимопомощ
и секторни
споразумения
между ЕС от
типа на
Споразумението
за PNR данните и
Споразумението
за ППФТ,
разрешаващи
такова
предаване
при строги
условия,
освен в
изключителни
случаи, които
са ясно
определени и
подлежат на
съдебен
контрол. САЩ
следва да
осигурят
прилагането
на гаранциите,
с които разполагат
гражданите
на САЩ, и по
отношение на
гражданите
на ЕС, които
не
пребивават в
САЩ, да
гарантират
необходимостта
и пропорционалността
на
програмите и
по-голяма прозрачност
и надзор в
правната
рамка, приложима
към органите
за
национална
сигурност на
САЩ. Областите,
посочени в
настоящото
съобщение, ще
изискват
конструктивен
ангажимент и
от двете
страни на
Атлантика.
Заедно, като
стратегически
партньори, ЕС
и САЩ могат
да преодолеят
сегашното
напрежение в
трансатлантическите
отношения и
да възстановят
доверието в обмена
на данни
между ЕС и
САЩ.
Поемането на
съвместни
политически
и правни
ангажименти
за по-нататъшно
сътрудничество
в тези области
ще укрепи
трансатлантическите
отношения
като цяло. [1] За
целите на
настоящото
съобщение,
когато се
говори за
гражданите
на ЕС се имат
предвид също
и субектите
на данни,
които не са
от ЕС, но
попадат в
обхвата на
законодателството
за защита на
личните
данни на
Европейския
съюз. [2] Решение
2000/520/ЕО на
Комисията от
26 юли 2000 г.
съгласно
Директива
95/46/ЕО на Европейския
парламент и
на Съвета
относно адекватността
на защитата,
гарантирана
от
принципите
за "сфера на
неприкосновеност
на личния
живот" и
свързаните с
това често
задавани
въпроси,
публикувани
от Департамента
по търговия
на САЩ (ОВ L 215, 25.8.2000 г.,
стр. 7). [3] Решение
2009/820/ОВППС на
Съвета от
23 октомври 2009
година за
сключване от
името на
Европейския съюз
на
Споразумение
за
екстрадиция
между
Европейския
съюз и
Съединените
американски
щати и на
Споразумение
за правна
взаимопомощ
между
Европейския
съюз и
Съединените
американски
щати (OВ L 291, 7.11.2009 г.,
стр. 40). [4] Решение
2012/472/EС на Съвета
от 26 април 2012 г.
за сключване
на
Споразумението
между
Съединените
американски
щати и
Европейския
съюз относно
използването
и
предаването
на резервационни
данни на
пътниците на
Министерството
на
вътрешната
сигурност на
Съединените
щати (OВ L 215, 11.8.2012 г.,
стр. 4.) [5] Решение
на Съвета от
13 юли 2010 г.
относно сключването
на
Споразумението
между
Европейския
съюз и
Съединените
американски
щати относно
обработката
и
изпращането
на данни за
финансови
съобщения от
ЕС до САЩ за
целите на
Програмата
за
проследяване
на финансирането
на тероризма
(OВ L 195, 27.7.2010 г., стр. 3) [6] Съветът
прие
решението за
упълномощаване
на Комисията
да започне
преговори по
споразумението
на 3 декември 2010
г. Вж. IP/10/1661 от 3
декември 2010 г. [7] Вж. Boston Consulting Group, “The Value of
our Digital Identity”(
„Стойността
на нашата
цифрова
самоличност“),
ноември 2012 г. [8] Вж.
McKinsey, „Big Data: The next frontier for innovation, competition, and
productivity", („Големите
данни:
следващата
граница за
иновации,
конкурентоспособност
и производителност“),
2011 г. [9] Оползотворяване
на
потенциала
на изчисленията
в облак в
Европа, COM(2012) 529 final [10] Например
общият брой
отделни
посетители
на Microsoft Hotmail, Google Gmail и Yahoo! Mail
от европейските
държави през
2012 г. бе над 227
милиона, надхвърляйки
този на
всички
останали доставчици,
взети заедно.
Комбинираният
брой на
отделните
европейски
потребители,
влезли във Facebook
и Facebook Mobile през
март 2012 г., бе 196,5
млн., което
прави Facebook най-голямата
социална
мрежа в
Европа. Google е водещата
интернет
търсачка с 90,2 %
от интернет потребителите
в световен
мащаб. През
юни 2013 г. американската
програма за текстови
съобщения What's App
бе
използвана
от 91 % от
притежателите
на iPhone в
Германия. [11] Вж.
Решение на
Съда на ЕС по
дело C-300/11, ZZ срещу
Secretary of State for the Home Department [12] Член 4,
параграф 2 от
ДЕС. [13] Вж. напр.
Решението за
„сфера на
неприкосновеност
на личния
живот“,
приложение I. [14] Вж.
Съвместния
доклад на
Комисията и
Министерството
на финансите
на САЩ
относно стойността
на
предоставените
данни по ППФТ
в съответствие
с член 6,
параграф 6 от
Споразумението
между
Европейския
съюз и Съединените
американски
щати относно
обработката
и
изпращането
на данни за
финансови
съобщения от
Европейския
съюз до Съединените
щати за
целите на
Програмата
за проследяване
на
финансирането
на тероризма.
[15] Вж.
доклада на
Комисията
„Съвместен
преглед на изпълнението
на
Споразумението
между Европейския
съюз и
Съединените
американски
щати относно
използването
и предаването
на
резервационни
данни на
пътниците (PNR
данни) на
Министерството
на
вътрешната
сигурност (DHS)
на
Съединените
щати. [16] COM(2012) 10 final:
Предложение
за директива
на
Европейския парламент
и на Съвета
относно
защитата на физическите
лица във
връзка с
обработването
на лични
данни от
компетентните
органи за
целите на
предотвратяването,
разследването,
разкриването
или
наказателното
преследване
на
престъпления
или
изпълнението
на наказателни
санкции и
относно
свободното движение
на такива
данни,
Брюксел, 25.1.2012 г., и
COM(2012) 11 final: Предложение
за регламент
на
Европейския
парламент и
на Съвета
относно
защитата на физическите
лица във връзка
с
обработването
на лични
данни и относно
свободното
движение на
такива данни
(общ
регламент
относно
защитата на
данните). [17] Комисията
отчита, че
Европейският
парламент
потвърди и
укрепи този
важен
принцип, заложен
в член 3 от
предложения
регламент, с
вота си от 21
октомври 2013 г.
по докладите
за реформа на
рамката за
защита на
данните на
депутатите
Jan-Philipp Albrecht и Dimitrios Droutsas в
Комисията за
граждански
свободи,
правосъдие и
вътрешни
работи (LIBE). [18] Комисията
отчита, че с
вота си от 21 октомври
2013 г., Комисията
за
граждански
свободи,
правосъдие и
вътрешни
работи (LIBE) на
Европейския
парламент
предложи да
се включи разпоредба
в бъдещия
регламент, с
която чужди
органи, които
искат да
получат
достъп до лични
данни,
събрани в ЕС,
ще трябва да
получат
предварително
разрешение
от национален
орган за
защита на
данните, когато
такова
искане се
прави извън
рамката на
договор за
правна
взаимопомощ
или друго международно
споразумение.
[19] Комисията
отчита, че с
вота си от 21
октомври 2013 г.,
Комисията за
граждански
свободи,
правосъдие и
вътрешни
работи (LIBE) на
Европейския
парламент
предложи да
се подсили
предложението
на Комисията,
като се
предвиди, че
глобите
могат да
достигнат до
5 % от
годишния
оборот на
дружеството. [20] Комисията
отчита, че с
вота си от 21
октомври 2013 г.,
Комисията за
граждански
свободи,
правосъдие и
вътрешни работи
(LIBE) прие
засилването
на
задълженията
и отговорностите
на
обработващите
данни, особено
по отношение
на член 26 от
предложения
регламент. [21] Заключенията
на Европейския
съвет от
срещата му
през октомври
2013 г. посочват,
че: „Важно е да
се укрепи доверието
на
гражданите и
предприятията
в цифровата
икономика.
Своевременното
приемане на
солидна обща
рамка на ЕС
за защита на
данните и
директивата
за
сигурността
на
киберпространството
е от
първостепенно
значение за
завършване
на
изграждането
на единния
цифров пазар
до 2015 г.“ [22] По-конкретно,
в
съответствие
с член 3 от
Решението за
„сфера на
неприкосновеност
на личния
живот“,
такова
спиране може
да се осъществи
в случаите,
когато има
значителна
вероятност
принципите
да са
нарушени;
когато
всичко сочи,
че
съответната
инстанция за
прилагане не
взима или
няма да вземе
в
необходимите
срокове
мерките,
които се
налагат с цел
решаване на
въпросното
дело; когато
продължаването
на предаване
на данни
представлява
неминуем
риск от
сериозни
вреди за
съответните
лица; и
когато
компетентните
органи на държавите-членки
са направили
достатъчно
последователни
усилия, в
зависимост
от обстоятелствата,
за да
предупредят
организацията
и да ѝ дадат
възможност
да отговори. [23] Bundesbeauftragten für den Datenschutz und die
informationsfreiheit,
Съобщение за
медиите от 24
юли 2013 г. [24] Вж.
съответния
пасаж от
съвместното
изявление за
медиите след
срещата на
министрите
на
правосъдието
и вътрешните
работи на ЕС
и на САЩ на 18
ноември 2013 г. във
Вашингтон: "Ето
защо поемаме
неотложния
ангажимент да
осъществим
бърз
напредък в
преговорите относно
едно
конструктивно
и всеобхватно
рамково
споразумение
за защита на
данните в
областта на
правоприлагането.
Гарантирайки
висока
степен на
защита на
личните
данни за
гражданите
на САЩ и ЕС,
споразумението
ще служи като
основа за улесняване
на
предаването
на лични
данни в рамките
на
полицейското
и съдебното
сътрудничество
по
наказателноправни
въпроси. Ние
сме поели
ангажимент
да работим за
разрешаване
на
оставащите
въпроси,
повдигнати
от двете
страни,
включително
съдебната
защита
(въпрос от
съществено
значение за
ЕС). Целта ни е
да приключим
преговорите
по споразумението
преди лятото
на 2014 г." [25] Вж. съответния
пасаж от
съвместното
изявление за
печата след
срещата на
министрите
на правосъдието
и вътрешните
работи на ЕС
и на САЩ на 18
ноември 2013 г.
във
Вашингтон:
„Ние
подчертаваме
значението
на
Споразумението
за правна
взаимопомощ
между ЕС и
САШ.
Повтаряме
нашия
ангажимент
да
гарантираме,
че то се използва
широко и
ефективно за
доказателствени
цели в
наказателното
производство.
Имаше също
така
дискусии
относно
необходимостта
да се изясни,
че личните
данни, с които
разполагат
частноправни
субекти на територията
на другата
страна по
споразумението,
няма да бъдат
достъпни за
правоприлагащите
органи извън
законно
разрешените
канали.
Постигнахме
съгласие да
преразгледаме
функционирането
на
споразумението
за правна
взаимопомощ,
както е
предвидено в
споразумението,
и да се
консултираме,
когато това е
необходимо.“ [26] Вж. в тази
връзка
проекта за
резолюция,
предложен от
Германия и
Бразилия
пред Общото събрание
на ООН и
съдържащ
призив за
защита на
неприкосновеността
на личния
живот както
онлайн, така
и офлайн. [27] САЩ вече
са страна по
друга
Конвенция на
Съвета на
Европа:
Конвенция за
престъпления
в кибернетичното
пространство
( известна още
като
“Будапещенска
конвенция„).