This document is an excerpt from the EUR-Lex website
Document 52013DC0846
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Rebuilding Trust in EU-US Data Flows
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Genopbygning af tilliden til datastrømmene mellem EU og USA
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Genopbygning af tilliden til datastrømmene mellem EU og USA
/* COM/2013/0846 final */
MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET Genopbygning af tilliden til datastrømmene mellem EU og USA /* COM/2013/0846 final */
1. Indledning: det
ændrede forhold mellem EU og USA med hensyn til databehandling Den
Europæiske Union og De Forenede Stater er strategiske partnere. Partnerskabet er
helt afgørende for at fremme fælles værdier, sikkerhed og fælles lederskab i
globale anliggender. Der er imidlertid
rokket ved tilliden til partnerskabet, og tilliden skal derfor genopbygges.
Både EU, medlemsstater og borgere i EU har udtrykt dyb bekymring i forbindelse
med afsløringer af omfattende amerikanske programmer for indsamling af
efterretninger, særlig med hensyn til beskyttelsen af personoplysninger[1]. Masseovervågning
af private samtaler, uanset om det er borgeres, virksomheders eller politiske
lederes, er uacceptabel. Overførsler af
personoplysninger udgør et vigtigt og nødvendigt element i det transatlantiske
forhold. De er en uadskillelig del af samhandelen på tværs af Atlanten,
herunder i de nye digitale vækstvirksomheder, f.eks. inden for sociale medier
og cloud computing. Derfor overføres store datamængder fra EU til USA. De udgør
også et vigtigt element i samarbejdet mellem EU og USA på
retshåndhævelsesområdet og i samarbejdet mellem medlemsstaterne og USA om
national sikkerhed. For at lette datastrømmene og samtidig sikre det høje
databeskyttelsesniveau, som kræves i EU-retten, har USA og EU indgået en række
aftaler og indført en række ordninger. Samhandelen er
omfattet af Kommissionens beslutning 2000/520/EF[2] (i det
følgende benævnt "safe harbor-beslutningen"). Beslutningen er
retsgrundlag for overførsler af personoplysninger fra EU til virksomheder i
USA, som har tilsluttet sig safe harbor-principperne. Udveksling af
personoplysninger mellem EU og USA med henblik på retshåndhævelse, herunder
forebyggelse og bekæmpelse af terrorisme og andre alvorlige former for grov
kriminalitet, er omfattet af en række aftaler på EU-plan. Det drejer sig om:
aftalen om gensidig retshjælp[3], aftalen om
anvendelse og overførsel af passagerlisteoplysninger ("PNR")[4], aftalen om
behandling og overførsel af oplysninger om finansielle transaktioner med
henblik på bekæmpelse af terrorisme ("TFTP")[5] og aftalen
mellem Europol og USA. Aftalerne tager sigte på at løse vigtige
sikkerhedsproblemer og varetage EU's og USA's fælles sikkerhedsinteresser,
samtidig med at de sikrer et højt beskyttelsesniveau for personoplysninger.
Hertil kommer, at EU og USA i øjeblikket forhandler om en rammeaftale om
databeskyttelse inden for politisamarbejdet og det retlige samarbejde
("paraplyaftalen")[6]. Målet er at
sikre et højt databeskyttelsesniveau for borgere, hvis personoplysninger
udveksles, og dermed yderligere styrke samarbejdet mellem EU og USA om
bekæmpelse af kriminalitet og terrorisme på grundlag af fælles værdier og
aftalte garantier. Disse instrumenter
anvendes i en situation, hvor overførsel af personoplysninger bliver stadig
vigtigere. På den ene side har
den digitale økonomis udvikling medført eksponentiel vækst i
databehandlingsaktiviteterne, både hvad angår kvantitet, kvalitet, diversitet
og art. Borgernes anvender i stigende grad elektroniske kommunikationstjenester
i deres dagligliv. Personoplysninger er blevet et særdeles værdifuldt aktiv.
Det vurderes således, at EU-borgernes personoplysninger havde en værdi af 315
mia. EUR i 2011, og at den kan vokse til næsten 1 trillion om året i 2020.[7] Markedet for analyse
af store datasæt vokser i øjeblikket med 40 % om året på verdensplan[8]. Tilsvarende
sætter visse aspekter af den teknologiske udvikling, f.eks. i forbindelse med
cloud computing, begrebet internationale datastrømme i perspektiv, idet
udveksling af data på tværs af grænserne er ved at blive en daglig foreteelse[9]. Den øgede brug af
elektronisk kommunikation og databehandlingstjenester, herunder cloud
computing, har også udvidet omfanget og betydningen af de transatlantiske
dataoverførsler. En række elementer er derfor blevet endnu mere relevante,
f.eks. de amerikanske virksomheders centrale stilling i den digitale økonomi[10], det forhold, at en
stor del af den elektroniske kommunikation dirigeres over Atlanten, og mængden
af elektroniske datastrømme mellem EU og USA. På den anden side
rejser moderne metoder til behandling af personoplysninger nye og vigtige
spørgsmål. Det gælder både for så vidt angår større virksomheders omfattende
behandling af forbrugsdata til kommercielle formål, og for så vidt angår efterretningstjenesters
øgede muligheder for omfattende overvågning af kommunikationsdata. Omfattende
amerikanske programmer for indsamling af efterretninger som PRISM har
indvirkning på europæernes grundlæggende rettigheder, særlig retten til
privatlivets fred og til beskyttelse af personoplysninger. Programmerne tyder
også på, at der består en forbindelse mellem regeringsovervågning og den
databehandling, som foretages af private virksomheder, særlig
internetvirksomheder i USA. De kan derfor have økonomiske konsekvenser. Hvis
borgerne er bekymrede for, at deres personoplysninger i stor stil underkastes
behandling af private virksomheder, eller for at deres personoplysninger
overvåges af efterretningstjenester, når de benytter internettjenester, kan det
rokke ved deres tillid til den digitale økonomi, hvilket kan have negative
konsekvenser for væksten. Denne udvikling
skaber nye problemer for datastrømmene mellem EU og USA. Denne meddelelse
omhandler disse problemer. I meddelelsen undersøges det, hvordan vi kommer
videre ud fra konklusionerne i rapporten fra EU's medformænd for EU's og USA's
ad hoc-arbejdsgruppe og ud fra safe harbor-meddelelsen. Det undersøges, hvordan vi reelt kommer videre med genopbygningen af
tilliden og styrkelsen af samarbejdet mellem EU og USA på disse områder samt
det transatlantiske forhold generelt. Meddelelsen bygger på den forudsætning, at spørgsmålet om standarden
for beskyttelsen af personoplysninger skal behandles i sin rette sammenhæng, og
uden at det har indvirkning på andre aspekter af forholdet mellem EU og USA,
herunder de igangværende forhandlinger om et transatlantisk handels- og
investeringspartnerskab. Derfor vil forhandlingerne om
databeskyttelsesstandarder ikke foregå inden for rammerne af det transatlantisk
handels- og investeringspartnerskab, som fuldt ud overholder
databeskyttelsesreglerne. Det er vigtigt at bemærke, at skønt EU kan træffe foranstaltninger på
områder, hvor EU har kompetence, særlig med henblik på at sikre anvendelsen af
EU-retten[11], er national
sikkerhed fortsat den enkelte medlemsstats eneansvar[12]. 2. Indvirkningen på instrumenter til
dataoverførsel For det første har
safe harbor, for så vidt angår dataoverførsler til kommercielle formål, vist
sig at være et vigtigt redskab til dataoverførsler mellem EU og USA. Dets
kommercielle vigtighed er vokset, efterhånden som persondatastrømme har fået en
mere fremtrædende plads i de transatlantiske handelsforbindelser. De seneste 13
år har safe harbor-ordningen udviklet sig til at omfatte mere end 3 000
virksomheder, hvoraf mere end halvdelen har tilmeldt sig ordningen inden for de
seneste fem år. Alligevel er der stigende bekymring over beskyttelsesniveauet
for EU-borgeres personoplysninger, der overføres til USA under safe
harbor-ordningen. Ordningens frivillige og deklaratoriske karakter har i
stigende grad rejst spørgsmålet om dens gennemsigtighed og håndhævelse. De
fleste amerikanske virksomheder anvender dens principper, men visse
selvcertificerede virksomheder gør ikke. Det forhold, at visse virksomheder
ikke overholder safe harbor-principperne, giver de pågældende virksomheder en
konkurrencemæssig fordel i forhold til europæiske virksomheder, der driver
forretning på de samme markeder. Under safe harbor
er det tilladt at begrænse databeskyttelsesreglerne af hensyn til national
sikkerhed[13], men
spørgsmålet er, om den omfattende indsamling og behandling af personoplysninger
som led i de amerikanske overvågningsprogrammer er nødvendig og har et rimeligt
omfang i forhold til hensynet til national sikkerhed. EU's og USA's ad
hoc-arbejdsgruppe har konkluderet, at EU-borgerne ikke nyder samme rettigheder
og retssikkerhedsgarantier som amerikanerne. Rækkevidden af de
nævnte overvågningsprogrammer rejser, i kombination med at EU-borgerne er
ringere stillet, tvivl om, hvor højt beskyttelsesniveau safe harbor-ordningen
egentlig skaber. De amerikanske myndigheder kan skaffe sig adgang til og
behandle EU-borgeres personoplysninger, der overføres til USA under safe
harbor, på en måde, som er uforenelig med det grundlag, på hvilket
oplysningerne oprindeligt blev indsamlet i EU, og med det formål, til hvilket
de blev overført til USA. Flertallet af de amerikanske internetvirksomheder,
der synes at være direkte berørt af de pågældende programmer, er certificeret
under safe harbor-ordningen. For det andet, for
så vidt angår udveksling af data med henblik på retshåndhævelse, har de
gældende aftaler (PNR og TFTP) vist sig at være særdeles værdifulde redskaber
til at imødegå almindelige trusler mod sikkerheden i forbindelse med alvorlig
grænseoverskridende kriminalitet og terrorisme, samtidig med at de sikrer et
højt databeskyttelsesniveau[14]. EU-borgerne
er omfattet af garantierne, og aftalerne indeholder mekanismer med henblik på
at kontrollere gennemførelsen af aftalerne og at løse problemer, der måtte
opstå i den forbindelse. Ved TFTP-aftalen oprettedes også et tilsynssystem,
hvor uafhængige EU-overvågere kontrollerer, hvilke søgninger USA foretager i
data, der er omfattet af aftalen. I lyset af den
bekymring over de amerikanske overvågningsprogrammer, som der er givet udtryk
for i EU, har Europa-Kommissionen anvendt mekanismerne til at kontrollere,
hvordan aftalerne anvendes. For PNR-aftalens vedkommende er der foretaget en
fælles gennemgang med deltagelse af databeskyttelseseksperter fra EU og USA. De
undersøgte, hvordan aftalen er blevet gennemført[15].
Gennemgangen tyder ikke på, at de amerikanske overvågningsprogrammer omfatter
eller har indvirkning på passageroplysninger omfattet af PNR-aftalen. Med
hensyn til TFTP-aftalen har Kommissionen indledt formelle konsultationer, efter
at der er blevet fremsat beskyldninger om, at amerikanske
efterretningstjenester direkte har skaffet sig adgang til personoplysninger i
EU i modstrid med aftalen. Konsultationerne har ikke afdækket noget, der
godtgør, at der sket brud på TFTP-aftalen, og de har foranlediget USA til
skriftligt at erklære, at der ikke har fundet nogen direkte dataindsamling sted
i strid med aftalen. Den omfattende
indsamling og behandling af personoplysninger inden for rammerne af de
amerikanske overvågningsprogrammer gør det nødvendigt fortsat at overvåge
gennemførelsen af PNR- og TFTP-aftalerne tæt i fremtiden. Derfor er EU og USA
nået til enighed om at fremrykke den næste fælles gennemgang af TFTP-aftalen.
Den vil blive foretaget i foråret 2014. I forbindelse med gennemgangen og
fremtidige gennemgange vil der blive sikret større gennemsigtighed om, hvordan
tilsynssystemet fungerer, og hvordan det beskytter EU-borgernes data. Parallelt
hermed vil der blive taget skridt til at sikre, at tilsynssystemet fortsat
følger tæt, hvordan data, der overføres til USA under aftalen, behandles, med
særligt fokus på hvordan de amerikanske myndigheder deler de pågældende data
med hinanden. For det tredje
understreger den øgede mængde af personoplysninger, der behandles, vigtigheden
af de gældende retssikkerhedsgarantier og administrative garantier. Et af
formålene med EU's og USA's ad hoc-arbejdsgruppe var at finde frem til, hvilke
garantier der gælder, med henblik på at minimere den indvirkning, som
databehandling har på EU-borgernes grundlæggende rettigheder. Det er også
nødvendigt med garantier, der beskytter virksomhederne. Visse amerikanske love,
f.eks. Patriot Act, giver de amerikanske myndigheder mulighed for direkte at
anmode virksomhederne om adgang til data, der opbevares i EU. Derfor kan
europæiske virksomheder og amerikanske virksomheder, der driver forretning i
EU, blive anmodet om at overføre data til USA i strid med EU-retten og retten i
medlemsstaterne. Dermed kommer de i klemme mellem modstridende retlige
forpligtelser. Den manglende retssikkerhed, som sådanne direkte anmodninger
afføder, kan bremse udviklingen af nye digitale tjenester, f.eks. cloud
computing, som ellers kunne tilbyde effektive og billigere løsninger til fysiske
personer og erhvervsliv. 3. Sikkerhed for effektiv databeskyttelse Videregivelse af
personoplysninger mellem EU og USA udgør et afgørende element i de
transatlantiske handelsforbindelser. Udvekslingen af oplysninger er også et
vigtigt element i sikkerhedssamarbejdet mellem EU og USA, og den er af helt
afgørende betydning for at nå det fælles mål om at forhindre og bekæmpe grov
kriminalitet og terrorisme. Nylige afsløringer af amerikanske programmer for
indsamling af efterretninger har imidlertid rokket ved den tillid, som dette
samarbejde bygger på. Særlig har det rokket ved tilliden til den måde,
personoplysninger behandles på. Derfor bør der tages nedenstående skridt med
henblik på at genopbygge tilliden til dataoverførsler, til gavn for den digitale
økonomi, sikkerheden både i EU og USA og det transatlantiske forhold generelt. 3.1. EU's databeskyttelsesreform Den
databeskyttelsesreform, som Kommissionen i januar 2012 fremlagde forslag til[16], er en
vigtig del af svaret på, hvordan personoplysninger skal beskyttes. Fem af
databeskyttelsespakkens elementer er særligt vigtige. For det første slås
det i forslaget til forordning fast, at for så vidt angår territorialt
anvendelsesområde, skal virksomheder, som ikke er hjemmehørende i EU, anvende
EU's databeskyttelsesret, når de udbyder varer og tjenesteydelser til
forbrugere i EU eller overvåger deres adfærd. Med andre ord vil den
grundlæggende ret til databeskyttelse blive overholdt, uafhængigt af hvor en
virksomhed eller dens databehandlingsfacilitet befinder sig[17]. For det andet, for
så vidt angår de internationale overførsler, fastsættes det i forslaget til
forordning, hvilke betingelser der skal være opfyldt, for at data kan overføres
til lande uden for EU. Overførsler kan kun tillades, hvis betingelserne er
opfyldt. De garanterer fysiske personers ret til et højt beskyttelsesniveau[18]. For det tredje, for
så vidt angår retshåndhævelsen, vil de foreslåede regler omfatte sanktioner,
som står i et rimeligt forhold til overtrædelsen og har afskrækkende karakter
(op til 2 % af en virksomheds årlige omsætning på verdensplan), således at
det sikres, at virksomhederne overholder EU-retten[19]. Troværdige
sanktioner øger virksomhedens incitament til at overholde EU-retten. For det fjerde
indeholder forslaget til forordning klare regler om de forpligtelser og det
ansvar, der påhviler registerførere, f.eks. cloud-udbydere, herunder vedrørende
sikkerhed[20]. Som
afsløringerne af de amerikanske programmer for indsamling af efterretninger har
vist, er dette helt afgørende, fordi programmerne har indvirkning på data, der
lagres ved cloud computing. Desuden vil virksomheder, der tilbyder
oplagringsplads i clouden, og som af fremmede myndigheder anmodes om
personoplysninger, ikke kunne unddrage sig deres ansvar med henvisning til, at
de har status af registerførere snarere end registeransvarlige. For det femte vil
databeskyttelsespakken medføre et samlet regelsæt for beskyttelse af
personoplysninger, der behandles på retshåndhævelsesområdet. Det forventes, at
der opnås enighed om databeskyttelsespakken i rette tid i 2014[21]. 3.2. En endnu sikrere safe
harbor-ordning Safe harbor-ordningen er et vigtigt element i handelsforbindelserne
mellem EU og USA, og virksomheder på begge sider af Atlanten sætter deres lid
til den. I Kommissionens
rapport om, hvordan safe harbor fungerer, peges der på en række svagheder ved
ordningen. På grund af manglende gennemsigtighed og retshåndhævelse overholder
visse virksomheder i realiteten ikke safe harbor-principperne. Det har negative
konsekvenser for EU-borgerens grundlæggende rettigheder. Det stiller også
europæiske virksomheder ringere i forhold til konkurrerende amerikanske
virksomheder, der nok er tilsluttet ordningen, men i praksis ikke anvender dens
principper. Denne svaghed går også ud over det flertal af amerikanske
virksomheder, som anvender ordningen korrekt. Safe harbor kommer også til at
virke som en kanal, hvorigennem virksomheder, der i henhold til de amerikanske
programmer for indsamling af efterretninger skal udlevere data til amerikanske
efterretningstjenester, overfører personoplysninger om EU-borgere fra EU til
USA. Medmindre manglerne afhjælpes, udgør de derfor en konkurrencemæssig ulempe
for erhvervslivet i EU og indvirker negativt på EU-borgernes grundlæggende ret
til databeskyttelse. Safe
harbor-ordningens brister understreges af de europæiske
databeskyttelsesmyndigheders svar på de nylige afsløringer af overvågning. I
medfør af safe harbor-beslutningens artikel 3 kan databeskyttelsesmyndighederne
på visse betingelser suspendere datastrømmene til certificerede virksomheder[22].Tyske
databeskyttelsesmyndigheder har besluttet ikke at udstede nye tilladelser til
dataoverførsler til lande uden for EU (f.eks. til at anvende visse
cloud-tjenester). De vil også undersøge, om dataoverførsler på grundlag af safe
harbor skal suspenderes[23]. Risikoen
er, at sådanne foranstaltninger truffet i medlemsstaterne skaber forskelle i
dækning, hvilket vil indebære, at safe harbor ikke længere vil være en
nøglemekanisme for overførsel af personoplysninger mellem EU og USA. Kommissionen har
hjemmel i direktiv 95/46/EF til at suspendere eller ophæve safe
harbor-beslutningen, hvis den ikke længere sikrer et tilstrækkeligt
beskyttelsesniveau. I medfør af artikel 3 i safe harbor-beslutningen kan
Kommissionen ophæve eller suspendere beslutningen eller begrænse dens
anvendelsesområde. I henhold til artikel 4 kan beslutningen til enhver tid
blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse. På den baggrund kan
en række politiske valgmuligheder overvejes, bl.a.:
fastholdelse
af status quo
styrkelse
af safe harbor-ordningen, hvor der foretages en grundig revision af,
hvordan den fungerer
suspension
eller ophævelse af safe harbor-beslutningen.
I betragtning af de
svagheder, der er blevet påpeget, er fastholdelse af den nuværende
gennemførelse af safe harbor urealistisk. Hvis beslutningen blev ophævet, ville
det imidlertid indvirke negativt på de virksomheder i EU og USA, der er tilmeldt
ordningen. Kommissionen finder derfor, at safe harbor snarere bør styrkes. Der bør sker
forbedringer, både med hensyn til de strukturelle brister og med hensyn til
gennemsigtighed og håndhævelse, de materielle safe harbor-principper og den
måde, undtagelsesbestemmelsen vedrørende national sikkerhed fungerer på. Konkret skal de
amerikanske myndigheders overvågning af og tilsyn med de certificerede
virksomheders overholdelse af safe harbor-principperne gøres mere effektiv og
systematisk, hvis safe harbor skal komme til at fungere efter hensigten. De
certificerede virksomheders retningslinjer for beskyttelse af privatlivets fred
skal gøres mere gennemsigtige. EU-borgerne skal også sikres tilgængelige og
prismæssigt overkommelige mekanismer til bilæggelse af tvister. Det har høj
prioritet for Kommissionen hurtigt at rette henvendelse til de amerikanske
myndigheder med henblik på at drøfte de brister, der har kunnet konstateres.
Senest i sommeren 2014 bør det afklares, hvordan problemerne kan løses, og
arbejdet hermed bør påbegyndes hurtigst muligt. På grundlag heraf vil
Kommissionen gøre status over, hvordan safe harbor fungerer. Denne omfattende
revision bør omfatte åbne høringer og drøftelser i Europa-Parlamentet og Rådet
samt drøftelser med de amerikanske myndigheder. Det er også
vigtigt, at safe harbor-beslutningens undtagelsesbestemmelse vedrørende
national sikkerhed kun anvendes i strengt nødvendigt og forholdsmæssigt omfang.
3.3. Styrkede garantier vedrørende
databeskyttelse på retshåndhævelsesområdet EU og USA
forhandler i øjeblikket om en "paraplyaftale" vedrørende overførsler
og behandling af personoplysninger inden for politisamarbejdet og det retlige
samarbejde i kriminalsager. Indgåelse af en sådan aftale, hvorved der sikres et
højt beskyttelsesniveau for personoplysninger, vil udgøre et stort bidrag til
tillidsskabelsen på tværs af Atlanten. En styrkelse af EU-borgernes rettigheder
på dataområdet vil bidrage til at styrke det transatlantiske samarbejde om at
bekæmpe kriminalitet og terrorisme. Det fremgår af
afgørelsen om bemyndigelse af Kommissionen til at forhandle om paraplyaftalen,
at målet med forhandlingerne bør være et sikre et højt beskyttelsesniveau i
overensstemmelse med gældende EU-regler om databeskyttelse. Dette bør afspejles
i de regler og garantier, der aftales, f.eks. begrænsninger i, betingelser for
og varigheden af lagringen af data. I forbindelse med forhandlingerne bør
Kommissionen også opnå tilsagn om rettigheder, der kan håndhæves, herunder
adgang til at søge retlig oprejsning for EU-borgere, der ikke er bosiddende i
USA[24]. Et nært
samarbejde mellem EU og USA om at løse fælles sikkerhedsproblemer bør afspejles
i bestræbelser på at sikre, at borgerne nyder samme rettigheder, når de samme
data behandles til samme formål på begge sider af Atlanten. Det er også
vigtigt, at undtagelser, der bygger på hensynet til national sikkerhed,
defineres snævert. Derfor bør der opnås enighed om garantier og begrænsninger
desangående. Forhandlingerne
giver mulighed for at præcisere, at personoplysninger som private virksomheder
ligger inde med, og som befinder sig EU, ikke må tilgås direkte af eller
overføres direkte til amerikanske retshåndhævende myndigheder uden om de
sædvanlige samarbejdskanaler, f.eks. aftaler om gensidig retlig bistand eller
sektoraftaler mellem EU og USA, der tillader sådanne overførsler. Det bør ikke
være muligt at skaffe sig adgang på anden vis, med mindre det sker i
velafgrænsede undtagelsestilfælde, der kan gøres til genstand for retlig
prøvelse. USA bør i den forbindelse påtage sig de nødvendige forpligtelser[25]. En "paraplyaftale"
i overensstemmelse hermed bør skabe en generel ramme, der sikrer et højt
beskyttelsesniveau for personoplysninger, der overføres til USA med henblik på
at forebygge eller bekæmpe kriminalitet og terrorisme. I sektoraftalerne bør
der, i de tilfælde hvor dataoverførslens karakter nødvendiggør det, fastsættes
supplerende regler og garantier, som har PNR- og TFTP-aftalerne mellem EU og
USA som forlæg, og de bør indeholde strenge betingelser for overførsel af data
samt garantier for EU-borgerne. 3.4. Løsning af de problemer i den amerikanske reformproces, der
vækker bekymring i EU Den amerikanske
præsident, Barack Obama, har tilkendegivet, at der skal foretages en revision
af de amerikanske sikkerhedsmyndigheders aktiviteter, herunder af de gældende
regler. Den igangværende proces giver en vigtig mulighed for at rejse
spørgsmålet om de bekymringer, som de nylige afsløringer om de amerikanske
programmer for indsamling af efterretninger har vakt. Den vigtigste ændring bør
være, at de garantier, som amerikanske statsborgere og personer med bopæl i USA
nyder, udstrækkes til EU-borgere, der ikke har bopæl i USA, at
gennemsigtigheden i forbindelse med efterretningsvirksomhed øges, og at
tilsynet styrkes yderligere. Sådanne ændringer vil genopbygge tilliden til
dataudvekslingen mellem EU og USA og fremme europæernes anvendelse af
internettjenester. Med hensyn til at
udstrække de garantier, som amerikanske statsborgere og personer med bopæl i
USA nyder, til EU-borgere, bør der ske en revision af retsreglerne vedrørende
de amerikanske overvågningsprogrammer, som i øjeblikket medfører, at
amerikanske statsborgere og EU-borgere behandles forskelligt, herunder ud fra
et nødvendigheds- og forholdsmæssighedsperspektiv, med det tætte
transatlantiske sikkerhedsmæssige partnerskab på grundlag af fælles værdier,
rettigheder og frihedsrettigheder in mente. Det vil betyde, at amerikanske
programmer for indsamling af efterretninger i mindre grad vil have indvirkning
på europæerne. Der er behov for
større gennemsigtighed om det retsgrundlag, som de amerikanske programmer for
indsamling af efterretninger hviler på, om de amerikanske domstoles fortolkning
af programmernes retsgrundlag og om det kvantitative aspekt ved de
programmerne. Sådanne ændringer vil også være til gavn for EU-borgerne. Tilsynet med de
amerikanske programmer for indsamling af efterretninger vil blive forbedret,
idet domstolen Foreign Intelligence Surveillance Court tildeles en stærkere
rolle, og idet der indføres retsmidler, som fysiske personer kan gøre brug af.
Disse mekanismer kan begrænse den behandling af europæeres personoplysninger,
som ikke er relevant for den nationale sikkerhed. 3.5. Fremme
af standarder for beskyttelse af privatlivets fred De spørgsmål, som
moderne metoder til databeskyttelse rejser, begrænser sig ikke til
dataoverførsel mellem EU og USA. Enhver fysisk person bør være garanteret
beskyttelse af sine personoplysninger. EU-reglerne vedrørende indsamling,
behandling og overførsel af data bør udbredes internationalt. For nylig er der
blevet foreslået en række initiativer til beskyttelse af privatlivets fred,
særlig på internettet[26]. EU bør
sikre, at de af initiativerne, der følges op på, fuldt ud tager hensyn til
principperne om beskyttelse af de grundlæggende rettigheder, ytringsfrihed,
personoplysninger og privatlivets fred, jf. EU-retten og EU's strategi for
cybersikkerhed, og ikke undergraver friheden, åbenheden og sikkerheden i
cyberspace. Det indbefatter en demokratisk og effektiv forvaltningsmodel med
deltagelse af en lang række interessenter. De igangværende
reformer af databeskyttelsesretten på begge sider af Atlanten giver EU og USA
en enestående mulighed for at lægge standarden internationalt. Dataudveksling
på tværs af og hinsides Atlanten vil have stor gavn af en styrkelse af det
amerikanske retsgrundlag, herunder vedtagelsen af loven "Consumer Privacy
Bill of Rights", som præsident Obama bebudede i februar 2012 som led i en
omfattende plan for bedre beskyttelse af forbrugernes privatliv. Et sæt af
stærke databeskyttelsesregler, som kan håndhæves, og som er knæsat i både EU og
USA, vil udgøre et solidt grundlag for datastrømmene på tværs af grænserne. Med henblik på at
fremme standarder for beskyttelse af privatlivets fred bør tiltrædelse af
Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse
med elektronisk databehandling af personoplysninger ("konvention nr.
108") også nyde fremme. Konventionen er åben for tiltrædelse af lande, der
ikke er medlemmer af Europarådet [27]. De
garantier, der opnås enighed om i internationale fora, bør medføre et
sikkerhedsniveau, som er højt og foreneligt med EU-rettens krav. 4. Konklusioner og
anbefalinger De problemer, som
denne meddelelse peger på, kræver handling både fra USA's, EU's og EU's
medlemsstaters side. Bekymringerne
vedrørende transatlantisk dataudveksling bør først og fremmest tjene som en
advarsel til EU og medlemsstaterne om, at der hurtigt skal skabes fremdrift hen
imod en ambitiøs databeskyttelsesreform. De viser, at en stærk lovgivningsramme
med klare regler, der kan håndhæves, herunder i de tilfælde hvor data overføres
til lande uden for EU, aldrig har været mere påkrævet. Derfor bør EU's
institutioner fortsat arbejde hen imod vedtagelsen af EU's
databeskyttelsesreform i foråret 2014, således at personoplysninger kan nyde
effektiv og omfattende beskyttelse. I lyset af hvor
vigtige de transatlantiske datastrømme er, er det afgørende, at de
instrumenter, på hvilke en sådan dataudveksling bygger, på passende vis takler
de udfordringer og udnytter de muligheder, som den digitale tidsalder og de
teknologiske nybrud som cloud computing frembyder. De nuværende og fremtidige
ordninger og aftaler bør indeholde garanti for et fortsat højt
beskyttelsesniveau tværs over Atlanten. En solid safe
harbor-ordning er både i europæiske og amerikanske borgeres og virksomheders
interesse. Den bør styrkes, på kort sigt gennem bedre overvågning og
gennemførelse, og på grundlag heraf gennem en omfattende revision af, hvordan
den fungerer. Det er nødvendigt med forbedringer, der sikrer, at safe
harbor-beslutningens oprindelig mål, dvs. kontinuitet i databeskyttelsen,
retssikkerhed og fri dataudveksling mellem EU og USA, nås. Forbedringerne bør
fokusere på behovet for, at de amerikanske myndigheder fører bedre tilsyn med
og overvåger, at selvcertificerede virksomheder overholder safe
harbor-principperne til beskyttelse af privatlivets fred. Det er også
vigtigt, at anvendelsen af safe harbor-beslutningens undtagelse vedrørende
national sikkerhed begrænses til det strengt nødvendige og forholdsmæssige. På
retshåndhævelsesområdet bør de igangværende forhandling om en
"paraplyaftale" munde ud i et højt beskyttelsesniveau for borgerne på
begge sider af Atlanten. En sådan aftale vil styrke europæernes tillid til
dataudvekslingen mellem EU og USA og lægge grunden til en yderligere udbygning
af sikkerhedssamarbejdet og partnerskabet mellem EU og USA. Under
forhandlingerne bør der skaffes tilsagn om, at europæere, der ikke har bopæl i
USA gives retssikkerhedsgarantier, herunder adgang til at søge retlig
oprejsning. Den amerikanske
regering bør forpligte sig til, at personoplysninger, som private virksomheder
ligger inde med i EU, ikke må tilgås direkte af eller overføres direkte til
amerikanske retshåndhævende myndigheder uden om de formelle samarbejdskanaler,
f.eks. aftaler om gensidig retlig bistand eller sektoraftaler mellem EU og USA,
som PNR-aftalen og TFTP-aftalen, der tillader sådanne overførsler på strenge
betingelser, undtagen i velafgrænsede undtagelsestilfælde, der kan gøres til genstand
for retlig prøvelse. USA bør også
udstrække de garantier, som amerikanske statsborgere og personer med bopæl i
USA nyder, til EU-borgere, der ikke har bopæl i USA, samt sikre, at
programmerne udelukkende har et nødvendigt og forholdsmæssigt omfang, og at der
er større gennemsigtighed i og tilsyn retsgrundlaget for de amerikanske
sikkerhedsmyndigheder. De spørgsmål, der
behandles i denne meddelelse, fordrer, at der fra begge sider af Atlanten
samarbejdes konstruktivt. I fællesskab, som strategiske partnere, kan EU og USA
overvinde de øjeblikkelige spændinger i det transatlantiske forhold og
genopbygge tilliden til datastrømmene mellem EU og USA. Ved i fællesskab at
forpligte sig til yderligere samarbejde på disse områder vil det
transatlantiske forhold blive styrket generelt. [1] I denne meddelelse forstås ved EU-borgere også
registrerede personer, der ikke er EU-borgere, men som er omfattet af Den
Europæiske Unions forskrifter om databeskyttelse. [2] Kommissionens beslutning 2000/520/EF af 26. juli 2000 i
henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om
tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe
harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende
hyppige spørgsmål fra det amerikanske handelsministerium, EFT L 215 af
25.8.2000, s. 7. [3] Rådets afgørelse 2009/820/FUSP af 23. oktober 2009
om indgåelse på Den Europæiske Unions vegne af aftalen mellem Den Europæiske
Union og Amerikas Forenede Stater om udlevering og aftalen mellem Den Europæiske
Union og Amerikas Forenede Stater om gensidig retshjælp, EUT L 291 af 7.11.
2009, s. 40. [4] Rådets afgørelse 2012/472/EU af 26. april 2012 om
indgåelse af aftalen mellem Amerikas Forenede Stater og Den Europæiske Union om
anvendelse og overførsel af passagerlisteoplysninger til United States
Department of Homeland Security, EUT L 215 af 11.8.2012, s. 4. [5] Rådets afgørelse af 13. juli 2010 om indgåelse af
aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om behandling
og overførsel af finansielle betalingsdata fra Den Europæiske Union til USA til
brug for programmet til sporing af finansiering af terrorisme, EUT L 195 af
27.7.2010, s. 3. [6] Rådet vedtog en afgørelse om at bemyndige Kommissionen
til at føre forhandlinger om aftalen den 3. december 2010. Se IP/10/1661
af 3. december 2010. [7] Se Boston Consulting Group: “The Value of our Digital
Identity”, november 2012. [8] Se
McKinsey: "Big data: The next frontier for innovation, competition, and
productivity", 2011. [9] Meddelelsen "Udnyttelse af potentialet ved cloud
computing i Europa", COM(2012) 529 final. [10] Eksempelvis det samlede antal besøg på Microsoft Hotmail,
Google Gmail ogYahoo! Der blev således sendt over 227 mio. e-mails fra
europæiske lande i juni 2012. Det er mere end fra alle andre udbydere
tilsammen. Europæiske brugere besøgte i alt Facebook og Facebook Mobile 196,5
mio. gange i marts 2012. Dermed er Facebook det største sociale netværk i
Europa. Google er den førende internetsøgemaskine (90 % af
internetbrugerne på verdensplan). I juni 2013 anvendte 91 % af
IPhone-brugerne i Tyskland den amerikanske beskedtjeneste til mobilt udstyr
What's App. [11] Se Den Europæiske Unions Domstols dom i sag C-300/11, ZZ
mod Secretary of State for the Home Department. [12] Artikel 4, stk. 2 i traktaten om Den Europæiske Union. [13] Se eksempelvis safe harbor-beslutningens bilag I. [14] Se den fælles rapport fra Kommissionen og det amerikanske
finansministerium om værdien af de data, som tilvejebringes som følge af
aftalen om behandling og overførsel af oplysninger om finansielle transaktioner
med henblik på bekæmpelse af terrorisme (TFTP) i henhold til artikel 6, stk. 6,
i aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om behandling
og overførsel af finansielle betalingsdata fra Den Europæiske Union til USA til
brug for programmet til sporing af finansiering af terrorisme. [15] Se Kommissionens rapport om den fælles gennemgang:
"Joint review of the implementation of the Agreement between the European
Union and the United States of America on the processing and transfer of
passenger name records to the United States Department of Homeland
Security". [16] COM(2012) 10 final: Forslag til Europa-Parlamentets og
Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de
kompetente myndigheders behandling af personoplysninger med henblik på at
forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser
eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne
oplysninger, Bruxelles, den 25.1.2012, COM(2012) 11 final: Forslag til
Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i
forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger (generel forordning om databeskyttelse). [17] Kommissionen har bemærket sig, at Europa-Parlamentet
bekræftede og styrkede dette vigtige princip, der er fastsat i artikel 3 i
forslaget til forordning, ved afstemningen den 21. oktober 2013 om MEP
Jan-Philipp Albrecht og Dimitrios Droutsas betænkninger om databeskyttelsesreformen. [18] Kommissionen har bemærket sig, at Europa-Parlamentets
Udvalg om Borgernes Rettigheder og Retlige og Indre Anliggender ved
afstemningen den 21. oktober 2013 foreslog at indsætte en bestemmelse i den
kommende forordning, der vil forpligte fremmede myndigheder, der anmoder om
adgang til personoplysninger, der er indsamlet i EU, til at indhente
forudgående tilladelse fra en national databeskyttelsesmyndighed, når en sådan
anmodning fremsættes uden for rammerne af en aftale om gensidig retlig bistand
eller en anden international aftale. [19] Kommissionen har bemærket sig, at Udvalget om Borgernes
Rettigheder og Retlige og Indre Anliggender ved afstemningen den 21. oktober
2013 foreslog at skærpe Kommissionens forslag ved at foreskrive bøder på op til
5 % af en virksomheds årlige omsætning på verdensplan. [20] Kommissionen bemærker sig, at Udvalget om Borgernes
Rettigheder og Retlige og Indre Anliggender ved afstemningen den 21. oktober
2013 gav sin tilslutning til en skærpelse af de forpligtelser og det ansvar,
der påhviler registerførere, særlig i artikel 26 i forslaget til forordning. [21] I konklusionerne fra Det Europæiske Råds møde i oktober
2013 hedder det: "Det er vigtigt at fremme borgernes og virksomhedernes
tillid til den digitale økonomi. Rettidig vedtagelse af nogle stærke, generelle
EU-rammebestemmelser for databeskyttelse og af direktivet om cybersikkerhed er
afgørende for gennemførelsen af det digitale indre marked senest i 2015." [22] Konkret kan sådanne suspensioner i henhold til artikel 3 i
safe harbor-beslutningen ske i tilfælde, hvor der er stor sandsynlighed for, at
principperne overtrædes, når der er tilstrækkelig grund til at antage, at det
pågældende organ ikke træffer eller ikke agter at træffe passende og betimelige
foranstaltninger for at løse den pågældende sag, når der ved fortsat overførsel
af personoplysninger er stor risiko for på betydelig vis at skade de
registrerede, eller når de kompetente myndigheder i medlemsstaterne forholdene
taget i betragtning på passende vis har bestræbt sig på at underrette det
pågældende foretagende og give det mulighed for at svare. [23] Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit, pressemeddelelse af 24. juli 2013. [24] Se de relevante afsnit af den fælles pressemeddelelse i
forbindelse med møderne på ministerplan (retlige og indre anliggender) mellem
EU og USA den 18. november 2013 i Washington: "Vi er derfor fast besluttet på hurtigt at skabe
hurtig fremdrift i forhandlingerne om en betydningsfuld og omfattende
paraplyaftale om databeskyttelse på retshåndhævelsesområdet. Aftalen vil udgøre
grundlaget for smidigere overførsler af data inden for politisamarbejde og
retligt samarbejde i kriminalsager ved at sikre amerikanske borgere og
EU-borgere et højt beskyttelsesniveau for personoplysninger. Vi er fast
besluttet på at løse alle udestående spørgsmål, som er blevet rejst af en af
parterne, herunder adgang til at søge retlig oprejsning (et afgørende spørgsmål
for EU). Det er vores mål at afslutte forhandlingerne om aftalen inden sommeren
2014." [25] Se de relevante afsnit af den fælles pressemeddelelse i
forbindelse med møderne på ministerplan (retlige og indre anliggender) mellem
EU og USA den 18. november 2013 i Washington: "Vi vil også gerne
understrege, hvor vigtig aftalen om gensidig retlig bistand er. Vi gentager,
at vi er fast besluttede på at sikre, at aftalen anvendes bredt og effektivt
med henblik på bevisførelse i straffesager. Vi drøftede også behovet for at
præcisere, at retshåndhævende myndigheder ikke må skaffe sig adgang til
personoplysninger, som private enheder ligger inde med i den anden parts
område, uden om de lovlige kanaler. Vi er endvidere enige om at foretage en
revision af, hvordan aftalen om gensidig retlig bistand fungerer, således som
aftalen lægger op til, og at konsultere hinanden, når som helst det er
påkrævet." [26] Se i den forbindelse det forslag til resolution om
beskyttelse af privatlivets fred online og offline, som Tyskland og Brasilien
har fremsat i FN's Generalforsamling. [27] USA er allerede part i en anden af
Europarådets konventioner, nemlig konvention om IT-kriminalitet fra 2001 (også
kaldet Budapestkonventionen).