EUROPA-KOMMISSIONEN

Bruxelles, den 19.12.2018

COM(2018) 860 final

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om den anden årlige evaluering af EU's og USA's værn om privatlivets fred.

{SWD(2018) 497 final}

1.DEN ANDEN ÅRLIGE EVALUERING – FORMÅL, UDARBEJDELSE OG FREMGANGSMÅDE

Den 12. juli 2016 vedtog Kommissionen en afgørelse ("tilstrækkelighedsafgørelsen"), hvori den fastslog, at EU's og USA's værn om privatlivets fred sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til organisationer i USA 1 . Tilstrækkelighedsafgørelsen foreskriver navnlig, at Kommissionen foretager en årlig evaluering af alle aspekter af ordningen. Den første årlige evaluering fandt sted den 18. og 19. september 2017 i Washington D.C., og den 18. oktober 2017 vedtog Kommissionen sin rapport til Europa-Parlamentet og Rådet 2 , ledsaget af et arbejdsdokument fra Kommissionens tjenestegrene (SWD (2017) 344 final) 3 .

På grundlag af konklusionerne fra den første gennemgang konkluderede Kommissionen, at USA fortsat sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres under værnet fra EU til foretagender i USA. Samtidig fandt Kommissionen, at den praktiske gennemførelse af ordningen for værnet om privatlivets fred kan forbedres yderligere med henblik på at sikre, at garantierne og beskyttelsesforanstaltningerne heri fortsat fungerer efter hensigten. Med henblik herpå fremsatte Kommissionen ti anbefalinger.

Med denne rapport afsluttes den anden årlige gennemgang af værnet om privatlivets fred. Denne rapport og det ledsagende arbejdsdokument fra Kommissionens tjenestegrene (SWD(2018) 497) har samme struktur som rapporten om den første årlige evaluering. De dækker alle aspekter af værnet om privatlivets fred, også i lyset af den udvikling, der har fundet sted i det seneste år. Et centralt element i Kommissionens vurdering, var gennemførelsen af henstillingerne fra den første årlige gennemgang.

Med henblik på forberedelsen af den anden årlige evaluering indsamlede Kommissionen oplysninger fra relevante interessenter (navnlig selvcertificerede virksomheder under værnet om privatlivets fred, gennem deres respektive brancheorganisationer og ikkestatslige organisationer (NGO'er) med aktiviteter inden for grundlæggende rettigheder, især digitale rettigheder og privatlivets fred) samt fra de relevante amerikanske myndigheder, der er involveret i gennemførelsen af ordningen.

Det andet årlige evalueringsmøde fandt sted i Bruxelles den 18. og 19. oktober 2018. Evalueringen blev indledt af kommissæren med ansvar for retlige anliggender, forbrugere og ligestilling mellem mænd og kvinder, Věra Jourová, den amerikanske handelsminister, Wilbur Ross, formanden for den føderale handelskommission, Joseph Simons, og formanden for Det Europæiske Databeskyttelsesråd, Andrea Jelinek. Den blev foretaget for EU af repræsentanter for Europa-Kommissionens Generaldirektorat for Retlige Anliggender og Forbrugere. EU's delegation omfattede også syv repræsentanter udpeget af Det Europæiske Databeskyttelsesråd (den uafhængige instans, der samler repræsentanter for de nationale databeskyttelsesmyndigheder i EU-medlemsstaterne og Den Europæiske Tilsynsførende for Databeskyttelse).

På amerikansk side deltog repræsentanter fra handelsministeriet, udenrigsministeriet, den føderale handelskommission, transportministeriet, kontoret for direktøren for den nationale efterretningstjeneste, justitsministeriet og medlemmer af rådet for tilsyn med privatlivets fred og borgerlige rettigheder i evalueringen sammen med den fungerende ombudsperson og generalinspektøren for efterretningstjenesterne. Desuden fremlagde repræsentanter fra en organisation, der tilbyder uafhængig tvistbilæggelse under værnet om privatlivets fred, og den amerikanske voldgiftssammenslutning (American Arbitration Association) oplysninger under de relevante evalueringsmøder. Endelig nød evalueringen godt af præsentationer ved certificerede organisationer under værnet om privatlivets fred om, hvordan virksomheder overholder kravene under ordningen.

Kommissionens konklusioner hviler desuden på en undersøgelse bestilt af Kommissionen og offentligt tilgængeligt materiale såsom retsafgørelser, gennemførelsesbestemmelser og -procedurer fra relevante amerikanske myndigheder, rapporter og undersøgelser fra NGO'er, gennemsigtighedsrapporter udarbejdet af virksomheder certificeret under værnet om privatlivets fred, årlige rapporter fra uafhængige klageinstanser samt medieomtaler.

Dette års evaluering fandt sted i en tid, hvor udfordringerne for databeskyttelse i stigende grad er af global karakter, hvilket Facebook/Cambridge Analytica-sagen er et eksempel på. Både EU og USA er opmærksomme på, at de står over for ensartede farer, når det gælder beskyttelse af personoplysninger. Under evalueringen understregede begge sider behovet for at håndtere sådanne misbrug af personoplysninger, bl.a. gennem håndfaste håndhævelsesforanstaltninger foretaget af EU's databeskyttelsesmyndighed og den amerikanske føderale handelskommission.

Kommissionens rapport afspejler også den igangværende debat om føderal lovgivning om privatlivets fred i USA. Konvergensen mellem vores to systemer på lang sigt vil forstærke det fundament, som ordningen for værnet om privatlivets fred bygger på.

2.UNDERSØGELSESRESULTATER OG KONKLUSION

Den anden årlige evaluering omfattede både de "kommercielle aspekter" af ordningen for værnet om privatlivets fred og problemer vedrørende regeringsadgang til personoplysninger.

Med hensyn til de "kommercielle aspekter", dvs. problemer vedrørende forvaltningen af, tilsynet med og håndhævelsen af de forpligtelser, der gælder for certificerede virksomheder, fandt Kommissionen, at handelsministeriet i overensstemmelse med henstillingerne i den første årlige evaluering yderligere har styrket certificeringsproceduren og indført nye tilsynsprocedurer. Handelsministeriet vedtog navnlig en ny procedure, ifølge hvilken førstegangsansøgere skal undlade offentligt at omtale deres deltagelse i værnet om privatlivets fred, indtil handelsministeriet har færdiggjort deres certificeringsevaluering. Handelsministeriet har desuden indført nye metoder til afsløring af eventuelle overholdelsesproblemer, herunder vilkårlige stikprøvekontroller (da den årlige evaluering blev gennemført, havde der været udført sådanne stikprøvekontroller af ca. 100 organisationer) og overvågning af offentlige rapporter om praksis vedrørende privatlivets fred hos deltagere i værnet om privatlivets fred. Under søgningen efter falske påstande om deltagelse i ordningen benytter det amerikanske handelsministerium nu aktivt en række forskellige instrumenter, f.eks. kvartalskontrol af virksomheder, der er blevet identificeret som værende mere tilbøjelige til at fremsætte falske påstande, og et system til billed- og tekstsøgninger på internettet. Som følge af disse nyligt indførte praksisser og metoder har det amerikanske handelsministerium siden den første årlige evaluering forelagt flere end 50 sager for den føderale handelskommission, som derefter traf håndhævelsesforanstaltninger i de tilfælde, hvor det ikke i sig selv var tilstrækkeligt at forelægge en sag for at få den pågældende virksomhed til at efterleve reglerne.

Med hensyn til håndhævelse bemærkede Kommissionen, at den føderale handelskommission som led i sin indsats for proaktivt at overvåge overholdelsen af principperne for værnet om privatlivets fred for nylig udstedte administrative pålæg for at indhente oplysninger fra en række deltagere i værnet om privatlivets fred. Den føderale handelskommission har også bekræftet, at dens undersøgelse af Facebook/Cambridge Analytica-sagen er igangværende. Selv om Kommissionen finder, at den føderale handelskommissions nye, mere proaktive tilgang til overvågning af overholdelse af principperne udgør et vigtigt fremskridt, beklager den, at det på nuværende tidspunkt ikke er muligt for handelskommissionen at give yderligere oplysninger om sine nylige undersøgelser og vil nøje følge den videre udvikling i denne henseende.

Under den anden årlige evaluering blev der også taget hensyn til relevant udvikling i det amerikanske retssystem på området privatlivets fred. Dette drejer sig navnlig om den høring, der blev indledt af det amerikanske handelsministerium, om en føderal tilgang til databeskyttelse samt den føderale handelskommissions overvejelser over dens nuværende beføjelser på området privatlivets fred og effektiviteten af anvendelsen af dets nuværende beføjelser til at gennemføre afhjælpende foranstaltninger.

Som Facebook/Cambridge Analytica-sagen og andre afsløringer har vist, er det vigtigt, at konvergensen mellem EU's og USA's reaktioner styrkes yderligere. I denne ånd har Kommissionen med stor interesse bemærket de ovennævnte initiativer og har bidraget til handelsministeriets høringsproces med et skriftligt indlæg 4 .

Med hensyn til de amerikanske offentlige myndigheders adgang til og brug af personoplysninger fokuserede den anden årlige evaluering på relevant udvikling i USA's retlige rammer, herunder med hensyn til agenturernes relevante politikker og procedurer, de seneste tendenser inden for overvågningsaktiviteter og udvikling inden for oprettelsen og funktionen af vigtige tilsyns- og klageordninger.

Den vigtigste retlige udvikling med hensyn til regeringsadgang var fornyelsen af sektion 702 i loven om overvågning af udenlandske efterretningstjenester (Foreign Intelligence Surveillance Act) ("loven") i begyndelsen af 2018. Selv om fornyelsen ikke førte til indarbejdelse af beskyttelsen i præsidentielt politisk direktiv 28 i loven, som det var blevet foreslået af Kommissionen, medførte den heller ikke begrænsninger af nogen af de i loven fastsatte garantier, som var gældende, da beslutningen om at vedtage værnet om privatlivets fred blev truffet. Desuden omfattede ændringerne ikke en udvidelse af de amerikanske efterretningstjenesters beføjelser til at indsamle udenlandske efterretninger ved målrettet at gå efter ikke-amerikanske personer efter sektion 702. I stedet blev der med loven om fornyelse af ændringer (Amendments Reauthorization Act) fra 2017, hvorved loven om overvågning af udenlandske efterretningstjenester fra 1978 ændres, indført visse begrænsede yderligere sikkerhedsforanstaltninger, f.eks. med hensyn til gennemsigtighed.

Der har også fundet en vigtig udvikling sted vedrørende rådet for tilsyn med privatlivets fred og borgerlige rettigheder (Privacy and Civil Liberties Oversight Board), der på tidspunktet for den første årlige evaluering kun havde ét bestyrelsesmedlem tilbage. Kommissionen havde derfor henstillet til, at de manglende bestyrelsesmedlemmer hurtigt blev udpeget. Den 11. oktober 2018 bekræftede det amerikanske senat udnævnelsen af rådets formand samt to andre rådsmedlemmer, hvorved rådet igen blev fuldt beslutningsdygtigt og kunne udøve sine funktioner. Efter den første årlige undersøgelse henstillede Kommissionen også til, at rådets rapport om præsidentielt direktiv 28 blev offentliggjort. Rapporten blev offentliggjort den 16. oktober 2018 5 og udgør bekræftelse på, at præsidentielt direktiv 28 anvendes fuldt ud på tværs af de amerikanske efterretningstjenester. Navnlig bekræftes det, at relevante dele af efterretningsmiljøet efter udstedelsen af præsidentielt direktiv 28 har vedtaget detaljerede regler om gennemførelsen af direktivet og har ændret deres praksisser for at bringe dem i overensstemmelse med kravene i direktivet.

Endelig var stillingen som viceminister i udenrigsministeriet, der er blevet pålagt rollen som ombudsperson for værnet om privatlivets fred, endnu ikke blevet besat endeligt på det tidspunkt, hvor nærværende rapport blev udfærdiget, selv om Kommissionen havde henstillet til en hurtig udnævnelse af ombudspersonen. I den forbindelse noterede Kommissionen, at den amerikanske regering i forbindelse med den anden årlige evaluering erkendte behovet for hurtige fremskridt med udpegelsen af en fast viceminister og bekræftede, at denne proces er godt i gang.

På tidspunktet for udfærdigelsen af nærværende rapport var der endnu ikke tilgået ombudspersonsordningen nogen anmodninger. Dog var en klage til ombudspersonen blevet indgivet til de kroatiske databeskyttelsesmyndigheder, og de relevante kontroller var sat i gang.

De detaljerede konklusioner vedrørende funktionen af alle aspekter af værnet om privatlivets fred efter dets andet funktionsår fremlægges i det arbejdsdokument fra Kommissionens tjenestegrene om den anden årlige evaluering af EU's og USA's værn om privatlivets fred (SWD(2018) 497), som ledsager denne rapport.

De oplysninger, der er indsamlet i forbindelse med den anden årlige evaluering, bekræfter Kommissionens konklusioner i tilstrækkelighedsafgørelsen, både med hensyn til ordningens "handelsrelaterede aspekter" og aspekter vedrørende adgang til personoplysninger, som USA's myndigheder har overført under værnet om privatlivets fred.

På grundlag af disse konstateringer konkluderer Kommissionen, at USA fortsat sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til organisationer i USA under ordningen for værnet om privatlivets fred.

Navnlig har de skridt, der er taget for at gennemføre Kommissionens anbefalinger efter den første årlige evaluering, medført forbedring af adskillige aspekter af ordningens praktiske funktion for at sikre, at det beskyttelsesniveau, som fysiske personer garanteres i kraft af tilstrækkelighedsafgørelsen, ikke undergraves.

Nogle af disse skridt er imidlertid først blevet taget for nylig, og de relevante processer er stadig i gang. Enhver yderligere udvikling vedrørende disse processer skal derfor overvåges nøje, navnlig da de påvirker elementer, der er afgørende for opretholdelse af konklusionen om tilstrækkelighed. Det drejer sig navnlig om:

1.Effektiviteten af de ordninger, som det amerikanske handelsministerium har indført i det andet år, hvor ordningen for proaktiv overvågning af certificerede virksomheders overholdelse af principperne for værnet om privatlivets fred har været i funktion, navnlig overholdelse af væsentlige krav og forpligtelser.

2.Effektiviteten af de værktøjer, som handelsministeriet indførte efter den første årlige evaluering for at afsløre falske påstande om deltagelse i ordningen, med særligt fokus på eftersøgning af falske ansøgninger fra virksomheder, der aldrig har ansøgt om certificering.

3.Fremskridtet med og resultaterne af den føderale handelskommissions ex officio-kontrolaktioner i værnet om privatlivets freds andet funktionsår, idet den ved hjælp af administrative pålæg søger at afsløre væsentlige krænkelser af værnet om privatlivets fred.

4.Udvikling af yderligere vejledning i fællesskab af handelsministeriet, den føderale handelskommission og EU's databeskyttelsesmyndigheder vedrørende elementer, der kræver yderligere afklaring (f.eks. HR-data).

5.Udnævnelsen af en fast ombudsperson for værnet om privatlivets fred.

6.Effektiviteten af ombudspersonens håndtering af klager og bilæggelse af tvister.

Kommissionen gentager navnlig sin opfordring til den amerikanske regering om at bekræfte sit politiske tilsagn om ombudspersonsordningen ved at prioritere udpegelsen af en fast ombudsperson for værnet om privatlivets fred. Ombudspersonsordningen er et vigtigt element i ordningen for værnet om privatlivets fred, og selv om den fungerende ombudsperson fortsætter med at udføre de relevante funktioner, er manglen på en fast udpeget person stærkt utilfredsstillende og bør afhjælpes snarest muligt. Kommissionen forventer, at den amerikanske regering udpeger en kandidat til fast at besætte ombudspersonsstillingen senest den 28. februar 2019, og at den underretter Kommissionen om den udpegede kandidat. Sker dette ikke inden denne dato, vil Kommissionen overveje at træffe passende foranstaltninger i overensstemmelse med den generelle forordning om databeskyttelse 6 . Kommissionen forventer også at modtage nøjagtige og detaljerede oplysninger om alle ovennævnte aspekter for at kunne vurdere, om de trufne foranstaltninger er virkningsfulde i praksis.

Endelig vil Kommissionen fortsat nøje følge den igangværende debat om den føderale lovgivning om privatlivets fred i USA. I betragtning af vigtigheden af de transatlantiske datastrømme opfordrer Kommissionen USA til at vedtage et omfattende system for beskyttelse af privatlivets fred og personoplysninger og til at blive part i Europarådets konvention 108. Det er gennem en sådan samlet tilgang, at der kan opnås konvergens mellem vores to systemer på længere sigt, hvilket også vil styrke det grundlag, som værnet om privatlivets fred hviler på.

(1)

Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred (EUT L 2017 af 1.8.2016, s. 1).

(2)

Rapport fra Kommissionen til Europa-Parlamentet og Rådet om den første årlige evaluering af EU's og USA's værn om privatlivets fred (COM 2017/611 final, se  http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 ).

(3)

Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the first annual review of the functioning of the EU-U.S. Privacy Shield (Arbejdsdokument fra Kommissionens tjenestegrene som ledsager rapporten fra Kommissionen til Europa-Parlamentet og Rådet om den første årlige evaluering af EU's og USA's værn om privatlivets fred) (SWD(2017)344 final), se http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(4)

Tilgængeligt på https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf

(5)

Rapport til præsidenten om gennemførelsen af præsidentielt politisk direktiv 28: Signalefterretningsaktiviteter (Report to the President on the Implementation of Presidential Policy Directive 28: Signals Intelligence Activities) findes på https://www.pclob.gov/reports/report-PPD28/

(6)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).