52019DC0495

EUROPA-KOMMISSIONEN

Bruxelles, den 23.10.2019

COM(2019) 495 final

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om den tredje årlige evaluering af EU-USA-privatlivsskjoldet

{SWD(2019) 390 final}

1.DEN TREDJE ÅRLIGE EVALUERING – BAGGRUND, UDARBEJDELSE OG FREMGANGSMÅDE

Den 12. juli 2016 vedtog Kommissionen en afgørelse ("tilstrækkelighedsafgørelsen"), ifølge hvilken den fandt, at EU's og USA's værn om privatlivets fred ("EU-USA-privatlivsskjoldet") sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til foretagender i USA 1 . Afgørelsen om et tilstrækkeligt beskyttelsesniveau kræver bl.a., at Kommissionen foretager en årlig evaluering af alle aspekter af, hvordan ordningen fungerer, og på grundlag heraf udarbejder en offentlig rapport til Europa-Parlamentet og Rådet.

Den første årlige evaluering fandt sted i september 2017 i Washington D.C., og i oktober 2017 vedtog Kommissionen sin rapport til Europa-Parlamentet og Rådet 2 , ledsaget af et arbejdsdokument fra Kommissionens tjenestegrene (SWD(2017) 344 final) 3 . Kommissionen konkluderede, at USA fortsat sikrede et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EU til USA under privatlivsskjoldet, men fremsatte ti anbefalinger med henblik på forbedring af ordningens funktion i praksis.

Den anden årlige evaluering foregik i oktober 2018 i Bruxelles, og Kommissionen vedtog sin rapport til Europa-Parlamentet og Rådet i december 2018 4 , igen ledsaget af et arbejdsdokument fra Kommissionens tjenestegrene (SWD(2018) 487 final) 5 . De oplysninger, der blev indsamlet i forbindelse med den anden årlige evaluering, bekræftede Kommissionens konklusioner i tilstrækkelighedsafgørelsen, både med hensyn til ordningens "kommercielle aspekter" (dvs. aspekter af certificerede virksomheders overholdelse af kravene i henhold til EU-USA-privatlivsskjoldet og de kompetente amerikanske myndigheders forvaltning af, tilsyn med og håndhævelse af sådanne krav) og aspekter vedrørende offentlige myndigheders adgang til personoplysninger, som overføres under privatlivsskjoldet.

Navnlig havde de skridt, der blev taget for at gennemføre Kommissionens henstillinger efter den første årlige evaluering, medført forbedring af adskillige aspekter af ordningens praktiske funktion. Således havde det amerikanske handelsministerium indført nye metoder til afsløring af eventuelle overholdelsesproblemer, den føderale handelskommission havde vedtaget en mere proaktiv tilgang til overvågning af overholdelse og håndhævelse, og rådet for tilsyn med privatlivets fred og borgerlige rettigheder (Privacy and Civil Liberties Oversight Board) havde offentliggjort sin rapport om gennemførelsen af præsidentielt politisk direktiv 28 6 . Da nogle af disse skridt imidlertid blev taget lige før den anden årlige evaluering, og visse processer stadig pågik, konkluderede Kommissionen, at yderligere udvikling vedrørende disse processer og mekanismer krævede nøje overvågning.

Selv om funktionen som ombudsmand for EU-USA-privatlivsskjoldet blev varetaget af den fungerende statssekretær i det amerikanske udenrigsministerium, og ombudsmandsmekanismen således var fuldt fungerende, understregede Kommissionen endvidere, at det var vigtigt at besætte stillingen som ombudsmand for EU-USA-privatlivsskjoldet fast, og opfordrede navnlig den amerikanske regering til at udpege en kandidat til stillingen inden den 28. februar 2019.

Det tredje årlige evalueringsmøde fandt sted i Washington D.C. den 12. og 13. september 2019. Evalueringen blev indledt af generaldirektøren for GD for Retlige Anliggender og Forbrugere, Tiina Astola, den amerikanske handelsminister, Wilbur Ross, formanden for den føderale handelskommission, Joseph Simons, og formanden for Det Europæiske Databeskyttelsesråd, Ventsislav Karadjov. Evalueringsmødet blev for EU's vedkommende varetaget af repræsentanter for Europa-Kommissionens Generaldirektorat for Retlige Anliggender og Forbrugere. Otte repræsentanter udpeget af Det Europæiske Databeskyttelsesråd 7 deltog også i mødet.

På amerikansk side deltog repræsentanter fra handelsministeriet, udenrigsministeriet, den føderale handelskommission, transportministeriet, kontoret for direktøren for den nationale efterretningstjeneste, justitsministeriet og medlemmer af rådet for tilsyn med privatlivets fred og borgerlige rettigheder i evalueringen sammen med den nyligt udpegede ombudsmand (fast, jf. nedenfor) og generalinspektøren for efterretningstjenesterne. Desuden fremlagde repræsentanter fra to organisationer, der tilbyder uafhængig tvistbilæggelse under EU-USA-privatlivsskjoldet, og den amerikanske voldgiftssammenslutning (American Arbitration Association), som forvalter voldgiftspanelet for EU-USA-privatlivsskjoldet, oplysninger under de relevante evalueringsmøder. Endelig bidrog en række organisationer, der er certificeret i henhold til EU-USA-privatlivsskjoldet, til oplysningen af den årlige evaluering med deres præsentationer om, hvordan virksomheder overholder kravene ifølge ordningen.

Med henblik på forberedelsen af den tredje årlige evaluering havde Kommissionen indsamlet oplysninger fra relevante interessenter (navnlig virksomheder, der er certificeret i henhold til EU-USA-privatlivsskjoldet gennem deres respektive brancheorganisationer, og ikkestatslige organisationer, som har aktiviteter på området grundlæggende rettigheder, især digitale rettigheder og privatlivets fred). Ud over indsamlingen af skriftlige bidrag holdt Kommissionen møder med branche- og erhvervssammenslutninger den 9. september 2019 og med ikkestatslige organisationer den 11. september 2019.

Kommissionens konklusioner er blevet yderligere underbygget af offentligt tilgængeligt materiale såsom retsafgørelser, gennemførelsesbestemmelser og -procedurer fra relevante amerikanske myndigheder, rapporter og undersøgelser fra ikkestatslige organisationer, gennemsigtighedsrapporter udarbejdet af virksomheder certificeret i henhold til EU-USA-privatlivsskjoldet, årlige rapporter fra uafhængige klageinstanser samt medieomtaler.

Med denne rapport afsluttes den tredje årlige evaluering af EU-USA-privatlivsskjoldet. Rapporten og det ledsagende arbejdsdokument fra Kommissionens tjenestegrene (SWD(2019) 390 final) har samme struktur som dokumenterne fra de to tidligere evalueringer. Den dækker alle aspekter af, hvordan EU-USA-privatlivsskjoldet fungerer, og har især fokus på de elementer, som Kommissionen havde identificeret under den anden årlige evaluering og udpeget til nøje overvågning.

I sin vurdering har Kommissionen også taget hensyn til den videreudvikling, som er sket gennem det seneste år, herunder den verserende sag for Den Europæiske Unions Domstol om EU-USA-privatlivsskjoldet 8 . I denne henseende har evalueringen givet Kommissionen anledning til at indhente præciseringer fra de amerikanske myndigheder om visse specifikke aspekter af den amerikanske retlige ramme for indsamling af udenlandske efterretninger, som blev efterlyst i forbindelse med den såkaldte Schrems II-sag. Ikke desto mindre kan Kommissionen blive nødt til at revurdere situationen, når Domstolen har afgjort de verserende sager.

2.RESULTATER AF UNDERSØGELSEN

I det tredje driftsår for EU-USA-privatlivsskjoldet, som på tidspunktet for evalueringsmødet havde over 5 000 deltagende virksomheder, har man forladt den indledende fase og er nået over i driftsfasen. Da den tredje årlige evaluering dækker både kommercielle aspekter og problemer med myndighedernes adgang til personoplysninger, er den blevet rettet mod erfaringer med den praktiske anvendelse af ordningen.

De detaljerede undersøgelsesresultater vedrørende driften af EU-USA-privatlivsskjoldet efter dets tredje funktionsår fremlægges i det arbejdsdokument fra Kommissionens tjenestegrene om den tredje årlige evaluering af EU-USA-privatlivsskjoldet (SWD(2019) 390 final), som ledsager denne rapport.

2.1.Kommercielle aspekter

I lyset af undersøgelsesresultaterne fra sidste års evaluering har Kommissionen i sin vurdering af de kommercielle aspekter navnlig rettet blikket mod de fremskridt, der er gjort hos handelsministeriet med hensyn til i) recertificeringsprocessen, ii) effektiviteten af de ordninger, som det amerikanske handelsministerium har indført til proaktivt at overvåge de certificerede virksomheders regeloverholdelse (de såkaldte "kontroller på stedet"), iii) redskaberne til afsløring af falske påstande, iv) fremskridt med og resultater af den føderale handelskommissions håndhævelsesindsats vedrørende overtrædelser af EU-USA-privatlivsskjoldet og v) udviklingen inden for retningslinjer for oplysninger om menneskelige ressourcer.

Med hensyn til recertificeringsprocessen kom det frem under den tredje årlige evaluering, at det ved udløbet af (re)certificeringsperioden er normal praksis, hvis en virksomhed endnu ikke har fuldført recertificeringsprocessen, at handelsministeriet efter en intern procedure tildeler virksomheden en betydelig "henstandsperiode". I denne periode (ca. 3,5 måneder eller i visse tilfælde og afhængigt af, hvornår handelsministeriet finder ud af, at recertificeringsprocessen ikke er fuldført, endda længere), figurerer virksomheden fortsat på den "aktive" liste vedrørende EU-USA-privatlivsskjoldet. Så længe virksomheden er på listen som deltager i EU-USA-privatlivsskjoldet, er ordningens forpligtelser fortsat bindende og kan håndhæves fuldt ud. En så lang periode, hvor fristen for et selskabs recertificering er overskredet, mens selskabet fortsat står på listen som aktiv deltager i EU-USA-privatlivsskjoldet, mindsker imidlertid denne listes gennemsigtighed og læselighed for både virksomheder og borgere i EU. Det giver heller ikke de deltagende virksomheder incitament til nøje at overholde kravet om årlig recertificering.

Med hensyn til proaktiv overvågning af virksomheders overholdelse af kravene ifølge EU-USA-privatlivsskjoldet indførte handelsministeriet i april 2019 et system med kontrol af 30 virksomheder hver måned. Kommissionen hilser det velkomment, at handelsministeriet regelmæssigt og systematisk udfører proaktive kontroller på stedet, hvilket er meget betydningsfuldt for forbedringen af den samlede overholdelse af ordningen og for at påvise tilfælde, som kræver den føderale handelskommissions håndhævelsesindsats. Den bemærker imidlertid, at disse kontroller på stedet som oftest er begrænset til formelle krav såsom manglende svar fra udpegede kontaktpunkter, eller at en virksomheds databeskyttelsespolitik ikke er tilgængelig online. Selv om der her er tale om absolut relevante aspekter af overholdelsen af kravene ifølge EU-USA-privatlivsskjoldet, bør sådanne kontroller også omfatte materielle forpligtelser, f.eks. overholdelse af princippet om ansvar for videreoverførsel, idet handelsministeriet bør anvende de instrumenter fuldt ud, som det har til rådighed i henhold til ordningen. Kravene vedrørende videreoverførsel er blevet skærpet betydeligt i forbindelse med EU-USA-privatlivsskjoldet, idet manglende beskyttelsesforanstaltninger i sådanne situationer ville underminere ordningens garanti for beskyttelse. Selv om kontrollerne på stedet bør fortsætte på regelmæssig og systematisk vis, er overholdelsen af disse mere materielle krav også afgørende for kontinuiteten i EU-USA-privatlivsskjoldet og bør være omfattet af streng overvågning og håndhævelse fra de amerikanske myndigheders side.

Med hensyn til handelsministeriets søgning efter falske påstande om deltagelse i EU-USA-privatlivsskjoldet bemærkede Kommissionen, at handelsministeriet fortsatte med at foretage søgninger hvert kvartal, hvilket har resulteret i afdækning af et betydeligt antal falske påstande, som i visse tilfælde også blev henvist til den føderale handelskommission. Disse søgninger har imidlertid foreløbig kun været rettet mod virksomheder, som på en eller anden måde allerede var blevet certificeret eller havde ansøgt om certificering i henhold til EU-USA-privatlivsskjoldet (men f.eks. ikke var blevet recertificeret). Det er vigtigt, at de også er målrettet mod virksomheder, som aldrig har ansøgt om certificering i henhold til EU-USA-privatlivsskjoldet. Af alle typer falske påstande er dem, der fremsættes af virksomheder, der aldrig har ansøgt om certificering, de potentielt mest skadelige. Dette gælder i henseende til privatlivets fred for privatpersoner, idet virksomheder, som aldrig har ansøgt om certificering, ikke i deres forretningspraksis har indført nogen af de foranstaltninger til beskyttelse, som EU-USA-privatlivsskjoldet garanterer. Det gælder også i henseende til andre virksomheder, eftersom de ensartede spilleregler for erhvervslivet svækkes, hvis virksomheder, der ikke overholder ordningens krav, kan gøre krav på fordelene ved certificeringen.

Kommissionen bemærkede på den positive side, at et stigende antal registrerede i EU benytter sig af deres rettigheder i henhold til EU-USA-privatlivsskjoldet, og at de relevante søgsmålsmekanismer fungerer godt. Antallet af klager indgivet til uafhængige klageinstanser steg, og de blev løst til de berørte EU-borgeres tilfredshed. Desuden blev anmodninger fra EU-borgere håndteret korrekt af de deltagende virksomheder.

For så vidt angår håndhævelse bemærkede Kommissionen, at den føderale handelskommission siden sidste år havde afsluttet syv håndhævelsesindsatser i forbindelse med overtrædelser af EU-USA-privatlivsskjoldet, herunder som følge af de varslede ex officio-kontrolaktioner. Alle syv sager vedrørte falske påstande om deltagelse i ordningen. To af disse sager omhandlede også overtrædelse af mere materielle krav ifølge EU-USA-privatlivsskjoldet, såsom manglende kontrol gennem egenkontrol eller ved hjælp af en ekstern overholdelsesevaluering af, at virksomhedens påstande om sin praksis i henhold til EU-USA-privatlivsskjoldet er sandfærdige, og at denne praksis er blevet indført. Kommissionen bifalder den føderale handelskommissions håndhævelsesindsats i det tredje driftsår for EU-USA-privatlivsskjoldet. Set i lyset af dette organs udtalelser sidste år og de forsikringer, det er kommet med i løbet af den anden årlige evaluering, havde Kommissionen samtidig forventet en mere effektiv tilgang til håndhævelsesindsatsen vedrørende materielle overtrædelser af principperne for EU-USA-privatlivsskjoldet.

I den henseende noterede Kommissionen sig den forklaring, som blev givet under den tredje årlige evaluering, om, at en række igangværende efterforskninger trækker ud, idet den føderale handelskommission gennemgår den fulde vifte af mulige overtrædelser. Den føderale handelskommission gav dog for begrænsede oplysninger til, at fremskridtene med håndhævelsen kunne evalueres ordentligt. Om end sådanne oplysninger kan være begrænset af legitime fortrolighedshensyn, forekommer det ubegrundet, at den føderale handelskommission ikke kan videregive flere oplysninger, endda i aggregeret og anonymiseret form, om de ex officio-kontrolaktioner, som den udfører. Denne tilgang er ikke i overensstemmelse med ånden i det samarbejde mellem myndigheder, som EU-USA-privatlivsskjoldet er baseret på, og den føderale handelskommission bør finde en måde at udveksle meningsfyldte oplysninger om sin håndhævelsesaktivitet på med Kommissionen og EU's databeskyttelsesmyndigheder, som er medansvarlige for håndhævelsen af ordningen.

Spørgsmålet om, hvordan oplysninger om menneskelige ressourcer håndteres i henhold til EU-USA-privatlivsskjoldet, blev atter drøftet under evalueringen. Som bekræftet af interessenterne ville udformningen af fælles retningslinjer mellem handelsministeriet, den føderale handelskommission og EU's databeskyttelsesmyndigheder sikre reel merværdi. I denne henseende bemærker Kommissionen, at der er blevet taget kontakt for nylig, og at dette til en vis grad har øget forståelsen af problemerne, men uden at det har givet konkrete resultater endnu.

2.2.De amerikanske offentlige myndigheders adgang til og brug af personoplysninger

Med hensyn til aspekterne af de amerikanske offentlige myndigheders adgang til og brug af personoplysninger var den tredje årlige evaluering først og fremmest rettet mod en bekræftelse af, at alle begrænsninger og beskyttelsesforanstaltninger, som tilstrækkelighedsafgørelsen hviler på, fortsat fungerer. Endvidere gav den tredje årlige evaluering anledning til at se nærmere på ny udvikling og foretage en yderligere klarlægning af visse aspekter af den retlige ramme samt de forskellige tilsynsmekanismer og klagemuligheder, navnlig med hensyn til ombudsmandens håndtering af klager og bilæggelse af tvister.

Selv om der ikke skete noget nyt på det retlige område vedrørende indsamling af udenlandske efterretninger i henhold til Sec. 702 i Foreign Intelligence Surveillance Act (FISA) bifaldt Kommissionen de klarlægninger, som de amerikanske myndigheder fremsendte om den måde, hvorpå indsamlingen af efterretninger er målrettet ifølge de efterretningsprogrammer, som gennemføres i henhold til Sec. 702 i FISA (dvs. Prism og Upstream). Disse klarlægninger bekræftede Kommissionens konklusion i tilstrækkelighedsafgørelsen om, at indsamling af udenlandske efterretninger i henhold til Sec. 702 i FISA altid er målrettet gennem brug af selektorer, og at valget af selektorer reguleres ved lov med forbehold af uafhængigt retsligt og retligt tilsyn.

Kommissionen bemærkede også, at nogle af de tilladelser til indsamling af udenlandske efterretninger, der er udstedt i henhold til Sec. 501 i FISA, som ændret ved USA FREEDOM Act fra 2015, efter planen ville udløbe den 15. december 2019. Eftersom indsamlingen i henhold til Sec. 501 i FISA er relevant i forbindelse med EU-USA-privatlivsskjoldet og derfor er blevet vurderet i Kommissionens tilstrækkelighedsafgørelse, er det vigtigt, at de eksisterende begrænsninger og beskyttelsesforanstaltninger, f.eks. forbud mod masseindsamling, fortsat er gældende, hvis tilladelserne fornys.

Med hensyn til præsidentielt politisk direktiv 28 bekræftede de amerikanske myndigheder, at det fortsat har fuld virkning og ikke er blevet ændret. Der er heller ikke foretaget ændringer af procedurerne for gennemførelse af præsidentielt politisk direktiv 28 i efterretningstjenesternes forskellige agenturer. Endvidere noterede Kommissionen sig de forklaringer, som de amerikanske myndigheder fremsendte til klarlægning af, at bestemmelserne i præsidentielt politisk direktiv 28 om masseindsamling, herunder om midlertidig indsamling, ikke finder anvendelse på indsamling af udenlandske efterretninger i USA (f.eks. indhentning af oplysninger hos en certificeret virksomhed, der behandler oplysninger overført fra EU i henhold til EU-USA-privatlivsskjoldet), såsom indsamling udført i henhold til Sec. 702 i FISA i forbindelse med Prism- eller Upstreamprogrammet, da denne indsamling altid er målrettet.

For så vidt angår rådet for tilsyn med privatlivets fred og borgerlige rettigheder, som er et vigtigt tilsynsorgan inden for statslig overvågning, hilste Kommissionen det velkomment, at rådet nu for første gang siden 2016 er fuldt besat med fem medlemmer efter det amerikanske senats nylige bekræftelse af to yderligere rådsmedlemmer. Kommissionen bemærkede også, at rådet har fordoblet sit personale siden den seneste årlige evaluering, og at det har vedtaget et ambitiøst arbejdsprogram bestående af ti løbende tilsynsprojekter, hvoraf nogle har særlig relevans for Kommissionens periodiske gennemgang af EU-USA-privatlivsskjoldet.

Med hensyn til ombudsmandsmekanismen i EU-USA-privatlivsskjoldet bekendtgjorde den amerikanske præsident den 18. januar 2019, at Keith Krach var udnævnt til statssekretær i det amerikanske udenrigsministerium og dermed også til at varetage ombudsmandsfunktionen. Den 20. juni 2019 blev Keith Krach godkendt af senatet. Kommissionen hilste udnævnelsen af Keith Krach velkommen som EU-USA-privatlivsskjoldets ombudsmand, hvilket sikrer, at funktionen nu er fast bemandet.

For så vidt angår den første klage, der blev fremsendt til ombudsmandsmekanismen via den kroatiske databeskyttelsesmyndighed kort før den årlige evaluering, blev denne klage i sidste ende afvist på formaliteten, idet den vedrørte faktiske forhold, som var afsluttet før vedtagelsen af afgørelsen om privatlivsskjoldet Ikke desto mindre gav klagen anledning til at afprøve, hvordan de relevante procedurer fungerer i praksis. Både Det Europæiske Databeskyttelsesråds repræsentanter i den årlige evaluering og ombudsmanden bekræftede, at alle relevante etaper i proceduren var gennemført på tilfredsstillende vis. Kommissionen bifalder den vellykkede behandling af denne første klage som en vigtig indikation på, at ombudsmandsmekanismen kan fungere efter hensigten.

De amerikanske myndigheder gav også yderligere forklaringer på, hvordan ombudsmanden skulle samarbejde med andre uafhængige tilsynsorganer, og hvilke retsmidler han skulle iværksætte over for overtrædelser. De bekræftede navnlig, at den uafhængige generalinspektør for efterretningstjenesterne ville blive holdt systematisk underrettet om enhver klage, der blev fremsendt til ombudsmanden, og ville foretage sin egen vurdering. Endvidere forklarede de, at hvis en klage til ombudsmanden afdækkede en overtrædelse af målretningsprocedurerne i henhold til Sec. 702 i FISA, ville en sådan overtrædelse blive indberettet til Foreign Intelligence Surveillance Court, som ville foretage en uafhængig gennemgang og i fornødent omfang pålægge det pågældende efterretningsagentur at iværksætte afhjælpende foranstaltninger. Sådanne afhjælpende foranstaltninger kan spænde fra individuelle til strukturelle, f.eks. fra sletning af ulovligt indsamlede personoplysninger til en ændring i indsamlingspraksis, herunder med hensyn til retningslinjer for og uddannelse af personale.

Endelig blev det bekræftet, at hvis der under gennemgangen af en klage til ombudsmanden blev påvist en overtrædelse af amerikansk lovgivning (herunder en overtrædelse af præsidentielle dekreter (executive orders), præsidentielle direktiver (presidential directives) og agenturernes regler og procedurer, f.eks. målretnings- og minimeringsprocedurerne, som er godkendt af Foreign Intelligence Surveillance Court), ville alle statslige databaser blive renset for de ulovligt indsamlede oplysninger, og enhver henvisning til disse oplysninger ville blive fjernet fra efterretningsrapporterne. En person i EU ville dermed kunne opnå sletning af sine personoplysninger, hvis de var blevet ulovligt indsamlet eller behandlet af de amerikanske efterretningstjenester.

Kommissionen bifalder disse yderligere forklaringer, som viser, hvordan samarbejdet mellem de forskellige uafhængige tilsynsorganer skærper ombudsmandsmekanismens effektivitet. Det var også vigtigt at klarlægge, at personer i EU ved at benytte ombudsmandsmekanismen faktisk kan udøve deres ret til sletning, hvilket er et grundlæggende element i retten til beskyttelse af personoplysninger.

3.KONKLUSION

De oplysninger, der er indsamlet i forbindelse med den tredje årlige evaluering, bekræfter Kommissionens konklusioner i tilstrækkelighedsafgørelsen, både med hensyn til ordningens kommercielle aspekter og aspekter vedrørende offentlige myndigheders adgang til personoplysninger, som overføres i henhold til privatlivsskjoldet. I denne henseende bemærkede Kommissionen en række forbedringer af ordningens funktion og udnævnelserne til centrale tilsynsorganer.

På baggrund af en række problemer, der har vist sig undervejs i det daglige arbejde eller er blevet mere relevante i forbindelse med den praktiske gennemførelse af ordningen, konkluderer Kommissionen imidlertid, at der skal træffes en række konkrete foranstaltninger med henblik på bedre sikring af privatlivsskjoldets effektive funktion i praksis:

1.Handelsministeriet bør forkorte de forskellige tidsfrister, som virksomhederne får til at gennemføre recertificeringsprocessen. En periode på maksimalt 30 dage i alt forekommer rimeligt med henblik på at give alle virksomheder tilstrækkelig tid til recertificeringen, herunder til at afhjælpe ethvert problem, der måtte blive påvist i forbindelse med recertificeringsprocessen, og samtidig kunne sikre processens effektivitet. Hvis recertificeringsprocessen ikke er fuldført ved udløbet af denne periode, bør handelsministeriet sende advarselsskrivelsen uden yderligere forsinkelse.

2.I forbindelse med sine kontroller på stedet bør handelsministeriet vurdere virksomhedernes overholdelse af princippet om ansvar for videreoverførsel, herunder ved at benytte den mulighed, som privatlivsskjoldet giver for at anmode om et sammendrag eller en repræsentativ kopi af databeskyttelsesbestemmelserne i den kontrakt, som er indgået af en virksomhed, der er certificeret i henhold til privatlivsskjoldet, med henblik på videreoverførsel.

3.Handelsministeriet bør prioritere at udvikle redskaber til påvisning af falske påstande om deltagelse i EU-USA-privatlivsskjoldet fremsat af virksomheder, som aldrig har ansøgt om certificering, og anvende disse redskaber regelmæssigt og systematisk.

4.Den føderale handelskommission bør prioritere at finde en måde at udveksle meningsfyldte oplysninger om igangværende efterforskninger på med Kommissionen og EU's databeskyttelsesmyndigheder, som er medansvarlige for håndhævelsen af ordningen for EU-USA-privatlivsskjoldet.

5.EU's databeskyttelsesmyndigheder, handelsministeriet og den føderale handelskommission bør udarbejde fælles retningslinjer om definition og behandling af oplysninger om menneskelige ressourcer i de kommende måneder.

Kommissionen vil fortsat nøje følge udviklingen inden for specifikke elementer af ordningen for EU-USA-privatlivsskjoldet, især i) ombudsmandsmekanismens funktion, navnlig i tilfælde af en ny klage, ii) resultatet af de igangværende tilsynsprojekter, som er blevet iværksat af rådet for tilsyn med privatlivets fred og borgerlige rettigheder, og som er særlig relevante for privatlivsskjoldet (f.eks. om søgning af personoplysninger, som er indsamlet af FBI i henhold til Sec. 702 i FISA, gennemførelsen af rådets anbefalinger om præsidentielt politisk direktiv 28 osv.), iii) fornyelse af tilladelser i henhold til Sec. 501 i FISA, navnlig at de eksisterende beskyttelsesforanstaltninger fortsat gælder, og iv) udviklingen i amerikansk retspraksis for domstolsprøvelse på området for statslig overvågning, navnlig med hensyn til problemet med søgsmålskompetence for domstolene.

Endelig vil Kommissionen fortsat nøje følge den igangværende debat om føderal lovgivning om privatlivets fred i USA. En omfattende tilgang til privatlivets fred og databeskyttelse ville øge konvergensen mellem EU's og USA's systemer, hvilket vil styrke det fundament, som ordningen for privatlivsskjoldet er bygget på.

(1)

Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred (EUT L 207 af 1.8.2016, s. 1).

(2)

Rapport fra Kommissionen til Europa-Parlamentet og Rådet om den første årlige evaluering af EU's og USA's værn om privatlivets fred (COM(2017) 611 final), se: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619) .

(3)

Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the first annual review of the functioning of the EU-U.S. Privacy Shield (Arbejdsdokument fra Kommissionens tjenestegrene, som ledsager rapporten fra Kommissionen til Europa-Parlamentet og Rådet om den første årlige evaluering af EU's og USA's værn om privatlivets fred) (SWD(2017) 344 final), se: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(4)

Rapport fra Kommissionen til Europa-Parlamentet og Rådet om den anden årlige evaluering af EU's og USA's værn om privatlivets fred (COM(2018) 860 final), se: https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .

(5)

Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the second annual review of the functioning of the EU-U.S. Privacy Shield (Arbejdsdokument fra Kommissionens tjenestegrene, som ledsager rapporten fra Kommissionen til Europa-Parlamentet og Rådet om den anden årlige evaluering af EU's og USA's værn om privatlivets fred) (SWD(2018) 497 final), se: https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .

(6)

"Presidential Policy Directive 28: Signals Intelligence Activities", 17. januar 2014, som fastlægger vigtige begrænsninger og beskyttelsesforanstaltninger for ikkeamerikanske personer på området for signalefterretningsaktiviteter.

(7)

Den uafhængige instans, der samler repræsentanter for de nationale databeskyttelsesmyndigheder i EU-medlemsstaterne og Den Europæiske Tilsynsførende for Databeskyttelse.

(8)

Jf. sag T‑738/16, La Quadrature du Net mod Kommissionen. Der er også stillet spørgsmål ved EU-USA-privatlivsskjoldet i forbindelse med sag C‑311/18, Facebook Ireland og Schrems ("Schrems II"), hvor der fandt et retsmøde sted ved Domstolens Store Afdeling den 9. juli 2019.