2000/520/EF: Kommissionens beslutning af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (meddelt under nummer K(2000) 2441) (EØS-relevant tekst.)
EF-Tidende nr. L 215 af 25/08/2000 s. 0007 - 0047
Kommissionens beslutning af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (meddelt under nummer K(2000) 2441) (EØS-relevant tekst) (2000/520/EF) KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HAR - under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995, om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1), særlig artikel 25, stk. 6, og ud fra følgende betragtninger: (1) Medlemsstaterne skal i henhold til direktiv 95/46/EF fastsætte bestemmelser om, at overførsel af personoplysninger til et tredjeland kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, og hvis den pågældende medlemsstats lovgivning til gennemførelse af direktivets andre bestemmelser overholdes forud for overførslen. (2) Kommissionen kan fastslå, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau. I så fald kan der overføres personoplysninger fra medlemsstaterne, uden at det er nødvendigt, at der stilles yderligere garantier. (3) Vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, skal i henhold til direktiv 95/46/EF ske på grundlag af samtlige de forhold, der har indflydelse på en overførsel eller en type overførsel af oplysninger og med hensyn til situationen. Den ved direktivet nedsatte gruppe(2) har udgivet vejledninger om, hvorledes disse vurderinger skal foretages(3). (4) På grund af tredjelandenes forskellige fremgangsmåder med hensyn til databeskyttelse bør man foretage vurderingen af, om beskyttelsesniveauet er tilstrækkeligt, og gennemføre enhver beslutning, der træffes i medfør af artikel 25, stk. 6, på en sådan måde, at der ikke vilkårligt eller uberettiget diskrimineres mod eller mellem tredjelande, hvor forholdene er de samme, eller skabes skjulte handelshindringer under hensyntagen til Fællesskabets nuværende internationale forpligtelser. (5) Et foretagende skal for at opnå anerkendelse og forblive anerkendt som et foretagende, der sikrer et tilstrækkeligt beskyttelsesniveau for overførslen af oplysninger fra EF til USA i overensstemmelse med denne beslutning, overholde disse principper og hyppige spørgsmål (FAQ) (som giver vejledning for implementeringen af principperne udsendt af USA's regering 21.7.2000), gøre dets foranstaltninger til beskyttelse af privatlivets fred offentligt tilgængelige og være underlagt Federal Trade Commissions (FTC) kompetence i henhold til paragraf 5 i Federal Trade Commission Act om forbud mod illoyal og vildledende adfærd eller praksis i forbindelse med handel eller være underlagt ethvert andet ved lov etableret organ, der kan sikre overholdelse af principperne, som gennemføres i overensstemmelse med FAQ. (6) Denne beslutning finder ikke anvendelse på de sektorer og/eller databehandlinger, der ikke er underlagt et af de amerikanske regeringsorganer, der nævnes i bilag VII. (7) For at sikre, at denne beslutning anvendes korrekt, bør det være muligt for berørte parter, herunder dataafsendere og databeskyttelsesmyndigheder, at identificere de foretagender, der tilslutter sig principperne og FAQ. Det amerikanske handelsministerium eller dets repræsentant har til dette formål påtaget sig at oprette, ajourføre og offentliggøre en liste over foretagender, der på grundlag af selvevaluering har tilsluttet sig principperne, der gennemføres i henhold til FAQ, og som er underlagt mindst et af de regeringsorganer, der nævnes i bilag VII. (8) Af hensyn til princippet om gennemsigtighed og for at beskytte de kompetente myndigheders muligheder for i medlemsstaterne at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger bør det i beslutningen specificeres, under hvilke særlige omstændigheder det er muligt at suspendere specifikke dataoverførsler, uanset om det pågældende databeskyttelsesniveau anses for tilstrækkeligt. (9) Safe harbor-ordningen og FAQ er resultatet af en helt ny fremgangsmåde, som derfor i givet fald bør tages op til fornyet overvejelse i lyset af erfaringerne, udviklingen inden for beskyttelse af privatlivets fred i en verden, hvor teknologien hele tiden gør det nemmere at overføre og behandle personoplysninger, og rapporterne om de involverede kompetente myndigheders gennemførelse af ordningen. (10) Denne beslutning tager højde for de udtalelser, som den ved direktivets artikel 29 nedsatte gruppe om beskyttelse af personoplysninger har afgivet om det beskyttelsesniveau, der sikres på grundlag af safe harbor-ordningen i USA(4). (11) De i denne beslutning fastsatte foranstaltninger er i overensstemmelse med udtalelse fra det i artikel 31 i direktiv 95/46/EF nedsatte udvalg - VEDTAGET FØLGENDE BESLUTNING: Artikel 1 1. Med henblik på artikel 5, stk. 2, i direktiv 95/46/EF og for så vidt angår alle de aktiviteter, der er omfattet af direktivet, formodes safe harbor-principperne, i det følgende benævnt "principperne", som omhandlet i bilag I, der finder anvendelse i overensstemmelse med de normgivende hyppige spørgsmål (FAQ), som blev udstedt den 21. juli 2000 af det amerikanske handelsministerium og er vedlagt som bilag II til denne beslutning, at sikre et tilstrækkeligt beskyttelsesniveau for personoplysninger, der overføres fra EF til i USA etablerede foretagender, i betragtning af følgende dokumenter fra USA's handelsministerium: a) oversigt over håndhævelse af safe harbor-principperne i bilag III b) memorandum om erstatning for krænkelse af privatlivets fred og udtrykkelige tilladelser i USA's lovgivning i bilag IV c) brev fra Federal Trade Commission, bilag V d) brev fra det amerikanske handelsministerium, bilag VI. 2. I forbindelse med overførsel af personoplysninger skal følgende betingelser opfyldes: a) foretagendet, der modtager oplysningerne, skal utvetydigt og offentligt have angivet, at det forpligter sig til at overholde principperne, der anvendes i overensstemmelse med FAQ b) foretagendet skal være underlagt et af de i bilag VII anførte regeringsorganers lovbestemte beføjelser til at behandle klager og udstede forbud eller påbud i forbindelse med illoyal eller vildledende praksis og opnå, at et retstilstand genoprettes for fysiske personer, uden hensyn til nationalitet eller bopælsland, i tilfælde af manglende overholdelse af principperne, der gennemføres i overensstemmelse med FAQ. 3. Et foretagende, der på grundlag af selvcertificering tilslutter sig principperne, der gennemføres i overensstemmelse med FAQ, formodes at opfylde de i stk. 2 anførte betingelser fra den dato, hvor det meddeler det amerikanske handelsministerium (eller dets repræsentant), at det offentligt har forpligtet sig i henhold til stk. 2, litra a), og opgiver navnet på det i stk. 2, litra b), anførte regeringsorgan. Artikel 2 Denne beslutning vedrører kun tilstrækkeligheden af den beskyttelse, der opnås i USA, i kraft af principperne, der gennemføres i overensstemmelse med FAQ, med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF, og den har ingen indvirkning på gennemførelsen af de andre bestemmelser i direktivet, som vedrører behandlingen af personoplysninger i medlemsstaterne, navnlig artikel 4. Artikel 3 1. De kompetente myndigheder i medlemsstaterne kan, uden at dette berører deres beføjelser til at træffe foranstaltninger for at sikre overholdelse af de nationale bestemmelser, der vedtages i overensstemmelse med andre bestemmelser end artikel 25 i direktiv 95/46/EF, gøre brug af deres beføjelser med henblik på at suspendere overførslen af oplysninger til et foretagende, der på grundlag af selvcertificering tilslutter sig principperne, der gennemføres i overensstemmelse med FAQ, for at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger. a) når det amerikanske regeringsorgan, som anført i bilag VII, eller en uvildig klageinstans, som anført i a) under princippet om håndhævelse som anført i bilag I, fastslår, at det pågældende foretagende overtræder principperne, der gennemføres i overensstemmelse med FAQ, eller b) når der er stor sandsynlighed for, at principperne overtrædes; når der er tilstrækkelig grund til at antage, at det pågældende organ ikke træffer eller ikke agter at træffe passende og betimelige foranstaltninger for at løse den pågældende sag, når der ved fortsat overførsel af personoplysninger er stor risiko for på betydelig vis at skade de registrerede, og når de kompetente myndigheder i medlemsstaterne forholdene taget i betragtning på passende vis har bestræbt sig på at underrette det pågældende foretagende og give det mulighed for at svare. Suspenderingen skal straks ophøre, når principperne, der gennemføres i overensstemmelse med FAQ, igen overholdes, og når den kompetente myndighed i EU er blevet underrettet derom. 2. Medlemsstaterne skal straks underrette Kommissionen, når der træffes foranstaltninger i medfør af stk. 1. 3. Medlemsstaterne og Kommissionen skal ligeledes underrette hinanden om tilfælde, hvor de organer, som er ansvarlige for håndhævelsen af de principper, der gennemføres i overensstemmelse med FAQ i USA, ikke er i stand til at sikre, at principperne overholdes. 4. Hvis det fremgår af de oplysninger, der skal udveksles i henhold til stk. 1, 2 og 3, at et organ, der er ansvarlig for håndhævelse af principperne, der gennemføres i overensstemmelse med FAQ i USA, ikke opfylder sin rolle effektivt, skal Kommissionen underrette det amerikanske handelsministerium og, hvis det er nødvendigt, forelægge et udkast til foranstaltninger i overensstemmelse med den i direktivets artikel 31 fastsatte procedure med henblik på at ophæve eller suspendere nærværende beslutning eller begrænse dens anvendelsesområde. Artikel 4 1. Denne beslutning kan til enhver tid blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse, og/eller hvis der i den amerikanske lovgivning stilles krav om samme beskyttelsesniveau som det, der opnås ved hjælp af principperne og FAQ. Kommissionen skal under alle omstændigheder evaluere gennemførelsen af denne beslutning på grundlag af alle tilgængelige oplysninger tre år efter, at den pågældende medlemsstat har fået meddelelse derom, og rapportere om ethvert relevant forhold til det ved artikel 31 i direktiv 95/46/EF nedsatte udvalg, herunder om ethvert forhold, der kan påvirke den i artikel 1 i nærværende beslutning anførte vurdering, hvor bestemmelserne vurderes som værende i stand til at tilvejebringe en tilstrækkelig beskyttelse i henhold til artikel 25 i direktiv 95/46/EF, samt om ethvert forhold, hvoraf det fremgår, at beslutningen gennemføres på en diskriminerende måde. 2. Kommissionen skal, hvis det er nødvendigt, fremlægge forslag til foranstaltninger i henhold til proceduren i direktivets artikel 31. Artikel 5 Medlemsstaterne træffer de nødvendige foranstaltninger for at efterkomme denne beslutning senest 90 dage efter, at den er meddelt. Artikel 6 Denne beslutning er rettet til medlemsstaterne. Udfærdiget i Bruxelles, den 26. juli 2000. På Kommissionens vegne Frederik Bolkestein Medlem af Kommissionen (1) EFT L 281 af 23.11.1995, s. 31. (2) Se web-adresse http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm (3) WP 12: Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv, vedtaget af arbejdsgruppen den 24.6.1998. (4) WP 15: Udtalelse 1/99 om databeskyttelsesniveauet i USA og de igangværende forhandlinger mellem Europa-Kommissionen og den amerikanske regering WP 19: Udtalelse 2/99 vedrørende tilstrækkeligheden af de internationale safe harbor-principper udstedt af Amerikas Forenede Staters handelsministerium den 19. april 1999 WP 21: Udtalelse 4/99 vedrørende listen over FAQ, der udstedes af Amerikas Forenede Staters handelsministerium i forbindelse med de foreslåede safe harbor-principper WP 23: Arbejdsdokument om de foreløbige resultater af de igangværende drøftelser mellem Europa-Kommissionen og den amerikanske regering vedrørende de internationale safe harbor-principper WP 27: Udtalelse 7/99 vedrørende databeskyttelsesniveauet, der opnås ved hjælp af safe harbor-principperne, som sammen med listen over FAQ og andre beslægtede dokumenter blev offentliggjort af Amerikas Forenede Staters handelsministerium den 15. og 16. november 1999 WP 31: Udtalelse 3/2000 om dialogen mellem EU og USA vedrørende safe harbor-ordningen WP 32: Udtalelse 4/2000 om beskyttelsesniveauet, der opnås ved hjælp af safe harbor-principperne. BILAG I SAFE HARBOR-PRINCIPPER udstedt af Amerikas Forenede Staters handelsministerium den 21. juli 2000 Den Europæiske Unions omfattende regelsæt om beskyttelse af privatlivets fred, nemlig direktivet om databeskyttelse (i det følgende benævnt "direktivet"), trådte i kraft den 25. oktober 1998. Overførsel af personoplysninger til et land uden for EU må ifølge dette direktiv udelukkende finde sted, såfremt det pågældende land kan sikre et "tilstrækkeligt" databeskyttelsesniveau. Selvom USA og EU begge har som målsætning at fremme beskyttelsen af privatlivets fred for deres borgere, har de ikke valgt samme fremgangsmåde. I USA anvendes således en fremgangsmåde på sektorplan med en kombination af lovgivning, administrative bestemmelser og selvregulering. En lang række amerikanske foretagender har på grund af denne forskel udtrykt tvivl om konsekvenserne af EU-kravet om "tilstrækkelig beskyttelse" ved overførsel af personoplysninger fra Den Europæiske Union til USA. For at undgå denne usikkerhed og opstille nogle fastere rammer for disse datooverførsler har det amerikanske handelsministerium i medfør af sine lovbestemte beføjelser udstedt dette dokument og de hyppige spørgsmål (FAQ) (principperne) med henblik på at fremme og udvikle den internationale handel. Principperne er udviklet i samarbejde med industrien og offentligheden for at fremme handlen mellem USA og EU. De er udelukkende beregnet på at blive anvendt af amerikanske foretagender, der modtager personoplysninger fra EU, og som ønsker at leve op til kravene i safe harbor-ordningen og således drage fordel af den formodning om "tilstrækkelighed", dette medfører. Principperne er udelukkende udformet med henblik på disse specifikke formål og kan derfor ikke uden videre anvendes til andre formål. Principperne kan ikke træde i stedet for nationale bestemmelser til gennemførelse af direktivet, som finder anvendelse på behandlingen af personoplysninger i medlemsstaterne. Et foretagende kan frit vælge, om det vil tilslutte sig safe harbor-ordningen, og der findes forskellige måder, hvorpå et foretagende kan kvalificere sig til at deltage i denne ordning. Et foretagende, der beslutter sig for at deltage, skal efterleve principperne for at opnå og opretholde fordelene ved denne ordning og offentligt erklære sin hensigt i den henseende. Et foretagende er f.eks. kvalificeret til at deltage i safe harbor-ordningen, hvis det deltager i en ordning til beskyttelse af privatlivets fred, der bygger på selvregulering, og som er i overensstemmelse med safe harbor-principperne. Et foretagende kan ligeledes opfylde kravene ved at udvikle sine egne retningslinjer til beskyttelse af privatlivets fred på grundlag af selvregulering, såfremt de er i overensstemmelse med safe harbor-principperne. Hvis overholdelsen af principperne helt eller delvist bygger på selvregulering, skal foretagendet ligeledes kunne drages til ansvar efter paragraf 5 i Federal Trade Commission Act, der forbyder illoyal eller vildledende praksis, eller en anden lov derom, såfremt det ikke overholder denne selvregulering. (Se bilaget for listen over de ved lov etablerede amerikanske organer, der er godkendt af EU). Hertil kommer, at et foretagende, der er underlagt lovbestemmelser, administrative forskrifter eller andre regler (eller bestemmelser), der effektivt beskytter privatlivets fred, ligeledes kan drage fordel af safe harbor-ordningen. Et foretagende, der ønsker at deltage i safe harbor-ordningen, kan under alle omstændigheder drage fordel af denne ordning allerede fra den dag, det erklærer sin tilslutning til principperne til det amerikanske handelsministerium (eller dets repræsentant) i overensstemmelse med vejledningen i FAQ om selvcertificering. Overholdelsen af disse principper kan være begrænset a) til et niveau, der er tilstrækkeligt for at opfylde kravene med hensyn til statens sikkerhed, almenvellet eller opretholdelsen af lov og orden, b) af love, administrative bestemmelser eller retspraksis, der medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme, eller c) i det omfang, direktivet eller medlemsstaternes lovgivning tillader undtagelser eller dispensationer, såfremt sådanne undtagelser eller dispensationer også finder anvendelse i sammenlignelig kontekst. I overensstemmelse med det overordnede mål om at fremme beskyttelsen af privatlivets fred bør foretagenderne bestræbe sig på at gennemføre disse principper på fuldstændig og gennemskuelig vis, hvilket omfatter, at de i deres program til beskyttelse af privatlivets fred angiver, på hvilke punkter eventuelle undtagelser fra principperne i henhold til ovenstående punkt b) finder generel anvendelse. Når principperne og/eller den amerikanske lovgivning giver mulighed derfor, forventes foretagenderne af samme årsag at vælge et højere beskyttelsesniveau. Foretagender kan af praktiske eller andre årsager eventuelt ønske at anvende principperne i forbindelse med alle deres databehandlinger, men de er kun forpligtede til at lade principperne gælde for oplysninger, der overføres, efter at de er blevet tilsluttet safe harbor-ordningen. Et foretagende, der ønsker at kvalificere sig til safe harbor-ordningen, behøver ikke at anvende disse principper for personoplysninger i registre, der behandles manuelt. Et foretagende, der ønsker at drage fordel af safe harbor-ordningen med henblik på at modtage oplysninger fra manuelt behandlede registre i EU, skal overholde disse principper for alle personoplysninger, der overføres, efter at det er blevet tilsluttet ordningen. Et foretagende, der ønsker at udvide sin safe harbor-dækning til også at omfatte personoplysninger om menneskelige ressourcer, der overføres fra EU med henblik på anvendelse inden for rammerne af et ansættelsesforhold, skal oplyse om dette, når det foretager selvcertificering til handelsministeriet (eller dets repræsentant), og opfylde de krav, der er fastsat i FAQ om selvcertificering. Et foretagende kan ligeledes garantere den sikkerhed, der er nødvendig i henhold til direktivets artikel 26, hvis det med hensyn til de væsentligste bestemmelser om beskyttelse af privatlivets fred anvender principperne i skriftlige aftaler med de parter, der overfører oplysninger fra EU, når først Kommissionen og medlemsstaterne har godkendt de øvrige bestemmelser for sådanne standardaftaler. Amerikansk lovgivning finder anvendelse med hensyn til fortolkningen og overholdelsen af safe harbor-principperne (herunder FAQ) samt safe harbor-foretagendernes relevante retningslinjer for beskyttelse af privatlivets fred, undtagen når foretagender har forpligtet sig til at samarbejde med de europæiske databeskyttelsesmyndigheder. Medmindre andet er fastsat, finder alle bestemmelser i safe harbor-principperne og FAQ anvendelse, når det er relevant. Personoplysninger er oplysninger, som kan henføres til en bestemt identificeret eller identificerbar person, som er omfattet af direktivet, som modtages fra EU af et foretagende i USA, og som er registreret på en hvilken som helst måde. OPLYSNINGSPLIGT Et foretagende skal oplyse fysisk personer om, hvilke formål der ligger til grund for indsamlingen og anvendelsen af personoplysninger om de pågældende, hvorledes foretagendet kan kontaktes i tilfælde af forespørgsler eller klager, til hvilken type tredjemand oplysningerne videregives, samt hvilke valgmuligheder og midler foretagendet tilbyder disse fysiske personer med henblik på at begrænse anvendelsen eller videregivelsen af personoplysninger. Oplysningen skal formidles klart og tydeligt, når fysiske personer første gang anmodes om at levere personoplysninger til foretagendet, eller så hurtigt som muligt derefter, dog under alle omstændigheder inden foretagendet anvender de pågældende personoplysninger til et andet formål end det, hvortil de oprindeligt blev indsamlet eller behandlet af det foretagende, der har overført oplysningerne, eller videregiver dem for første gang til tredjemand(1). VALGFRIHED Et foretagende skal give fysiske personer mulighed for at vælge (opt out), hvorvidt deres personoplysninger skal a) videregives til tredjemand(2) eller b) anvendes til et formål, der er uforeneligt med det, hvortil personoplysningerne oprindeligt blev indsamlet, eller hvortil de fysiske personer efterfølgende har givet tilladelse. Fysiske personer skal kunne anvende denne valgfrihed på en klar og åbenlys, let tilgængelig og økonomisk overkommelig måde. I tilfælde af følsomme oplysninger (dvs. personoplysninger om helbredsforhold, race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmedlemsskab eller oplysninger om seksuelle forhold) skal de pågældende fysiske personer udtrykkeligt give deres godkendelse (opt in), hvis oplysningerne skal videregives til tredjemand eller anvendes til et andet formål end det, hvortil de oprindeligt er blevet indsamlet, eller som de fysiske personer på grundlag af deres valgfrihed efterfølgende har givet tilladelse til. Et foretagende skal under alle omstændigheder behandle enhver oplysning, som det modtager fra tredjemand, som følsom, når oplysningen af den pågældende tredjemand betegnes og behandles som sådan. VIDERE OVERFØRSEL Et foretagende må udelukkende videregive personoplysninger til tredjemand, hvis det overholder principperne om oplysningspligt og valgfrihed. Hvis det foretagende ønsker at overføre oplysninger til tredjemand, der som beskrevet i fodnoten fungerer som mellemmand, kan det gøre dette, hvis det først sikrer sig, at tredjemand overholder safe harbor-principperne, er omfattet af direktivet eller af en anden konstatering af tilstrækkelig beskyttelse, eller indgår en skriftlig aftale med tredjemand, hvormed denne forpligter sig til at sikre mindst samme beskyttelse af privatlivets fred som i de relevante principper. Et foretagende, der opfylder disse krav, vil ikke blive draget til ansvar (medmindre foretagendet aftaler noget andet), hvis tredjemand, hvortil det overfører sådanne oplysninger, behandler dem i strid med eventuelle begrænsninger eller tilladelser, medmindre foretagendet vidste eller burde have vidst, at tredjemanden agtede at behandle oplysningerne på denne forkerte måde, og foretagendet undlod at træffe de nødvendige foranstaltninger for at forebygge eller standse denne behandling. SIKKERHED Et foretagende, der opretter, vedligeholder, anvender eller spreder personoplysninger, skal træffe passende foranstaltninger for at beskytte disse oplysninger mod tab, misbrug, uautoriseret adgang, videregivelse, ændring eller ødelæggelse. DATA-INTEGRITET Personoplysninger skal i medfør af principperne være relevante i forhold til det formål, hvortil de anvendes. Et foretagende må ikke behandle personoplysninger på en måde, der ikke er i overensstemmelse med det formål, hvortil de oprindeligt er blevet indsamlet, eller det formål, der efterfølgende er blevet godkendt af de fysiske personer. Et foretagende skal i det omfang, det er nødvendigt, træffe passende foranstaltninger for at sikre, at oplysningerne er pålidelige, nøjagtige, fuldstændige og ajourførte. INDSIGT Fysiske personer skal have adgang til de personoplysninger, som et foretagende er i besiddelse af om dem, og de skal have mulighed for at ændre eller fjerne ukorrekte oplysninger, medmindre arbejdet eller omkostningerne ved at give indsigt i det enkelte tilfælde er uforholdsmæssig store i forhold til risikoen for disse fysiske personers privatliv, eller medmindre andre fysiske personers rettigheder herved krænkes. HÅNDHÆVELSE En effektiv beskyttelse af privatlivets fred forudsætter en række mekanismer til at sikre, at safe harbor-principperne overholdes, at de fysiske personer, som personoplysningerne vedrører, kan gøre indsigelse, hvis principperne ikke overholdes, og at det får konsekvenser for et foretagende, hvis det ikke overholder principperne. Disse mekanismer må som minimum omfatte a) let tilgængelige, overkommelige og uafhængige indsigelsesprocedurer, der gør det muligt under henvisning til principperne at undersøge og afgøre klager fra hver enkelt fysiske person samt give erstatning, når der i medfør af loven eller private ordninger er mulighed derfor, b) kontrolprocedurer med henblik på at undersøge, om et foretagender lever op til de erklæringer og løfter, det har afgivet, samt om det overholder sit program til beskyttelse af privatlivets fred, og c) en forpligtelse til at afhjælpe eventuelle problemer, som skyldes, at et foretagende, der har erklæret at ville tilslutte sig safe harbor-ordningen, ikke overholder principperne, samt bestemmelser om sanktioner for disse foretagender. Disse sanktioner skal være af en sådan karakter, at foretagenderne tilskyndes til at overholde principperne. (1) Princippet om oplysningspligt eller valgfrihed finder ikke anvendelse ved videregivelse til tredjemand, som fungerer som mellemmand og udfører opgaver på vegne af foretagendet og i henhold til dets instrukser. Til gengæld finder princippet om videre overførsel anvendelse i sådanne tilfælde. (2) Princippet om oplysningspligt eller valgfrihed finder ikke anvendelse ved videregivelse til tredjemand, som fungerer som mellemmand og udfører opgaver på vegne af foretagendet og i henhold til dets instrukser. Til gengæld finder princippet om videre overførsel anvendelse i sådanne tilfælde. Bilag Liste over amerikanske ved lov etablerede organer, der er godkendt af Den Europæiske Union Den Europæiske Union godkender nedenstående amerikanske regeringsorganers kompetence til at behandle klager, opnå forbud eller påbud i forbindelse med illoyal eller vildledende praksis og opnå, at en retstilstand genoprettes for fysiske personer i tilfælde af manglende overholdelse af principperne, der gennemføres i overensstemmelse med FAQ: - Federal Trade Commission på grundlag af de beføjelser, dette organ tillægges i henhold til paragraf 5 i Federal Trade Commission Act - det amerikanske transportministerium på grundlag af de beføjelser, dette organ tillægges i henhold til kapitel 49 i United States Code, paragraf 41712. BILAG II HYPPIGE SPØRGSMÅL (FAQ) FAQ nr. 1: Følsomme oplysninger Spørgsmål: Skal et foretagende altid give en udtrykkelig valgfrihed (opt-in) i forbindelse med følsomme oplysninger? Svar: Nej. Denne valgfrihed kræves ikke, hvis behandlingen 1) er nødvendig for at beskytte den registreredes eller andre personers vitale interesser, 2) er nødvendig for at fastlægge eller forsvare et retskrav, 3) er nødvendig i forbindelse med medicinsk behandling eller diagnosticering, 4) foretages som led i en fonds, en forenings eller enhver anden nonprofit-institutions lovlige aktiviteter i et politisk, filosofisk, religiøst eller fagforeningsmæssigt øjemed, såfremt behandlingen kun vedrører den pågældende organisations medlemmer eller personer, der har regelmæssigt kontakt dermed i forbindelse med dens aktiviteter, og såfremt oplysningerne ikke videregives til tredjemand unden den registreredes tilladelse, 5) er nødvendig som led i et foretagendes arbejdsretlige forpligtelser, eller 6) vedrører oplysninger, som tydeligt offentliggøres af den registrerede selv. FAQ nr. 2: Journalistiske undtagelser Spørgsmål: Finder safe harbor-principperne anvendelse på personoplysninger, der indsamles, opbevares eller offentliggøres i journalistisk øjemed, når der tages højde for beskyttelsen af pressefriheden i henhold til den amerikanske forfatning og direktivets undtagelser for journalistisk materiale? Svar: Når princippet om pressefrihed som nedfældet i den amerikanske forfatnings First Amendment strider imod beskyttelsen af privatlivets fred, skal afvejningen af disse interesser foretages i henhold til First Amendment, når det drejer sig om amerikanske borgeres eller foretagenders aktiviteter. Personoplysninger, der indsamles med henblik på offentliggørelse, radio- eller tv-udsendelser eller andre former for offentlig kommunikation af journalistisk materiale, uanset om de anvendes, og oplysninger, der stammer fra tidligere offentliggjort materiale, der opbevares i et pressearkiv, er ikke underlagt safe harbor-principperne. FAQ nr. 3: Subsidiært ansvar Spørgsmål: Er Internetudbydere, teleselskaber eller andre foretagender underlagt safe harbor-principperne, når de på vegne af andre foretagender blot sender, dirigerer, omstiller eller lagrer oplysninger, der kan være i strid med disse principper? Svar: Nej. Hverken direktivet eller safe harbor-principperne danner grundlag for subsidiært ansvar. Et foretagende kan ikke drages til ansvar, når det udelukkende formidler oplysninger, der overføres af tredjemand, uden hverken at bestemme formålet med eller metoderne til behandling af de pågældende personoplysninger. FAQ nr. 4: Investeringsbanker og revisorer Spørgsmål: Investeringsbankers og revisorers aktiviteter kan omfatte behandling af personoplysninger, uden at de registrerede har givet tilladelse dertil eller er vidende derom. På hvilke betingelser er dette tilladt i henhold til principperne om oplysningspligt (notice), valgfrihed (choice) og indsigt (access)? Svar: Investeringsbanker og revisorer kan kun behandle oplysninger, uden at den registrerede er vidende derom, i det omfang og i den periode, som er nødvendig for at overholde lovbestemte krav eller tilgodese vigtige samfundsinteresser, samt i andre situationer, hvor anvendelsen af disse principper vil være til skade for foretagendets legitime interesser. Disse legitime interesser omfatter overvågningen af virksomheders overholdelse af deres retlige forpligtelser og legitime regnskabsaktiviteter samt behovet for fortrolighed i forbindelse med eventuelle opkøb, fusioner, joint ventures eller lignende aktiviteter, der udøves af investeringsbanker eller revisorer. FAQ nr. 5(1): Databeskyttelsesmyndighedernes rolle Spørgsmål: Hvorledes vil de foretagender, der forpligter sig til at samarbejde med databeskyttelsesmyndigheder i EU, indgå disse forpligtelser, og hvorledes vil de blive gennemført? Svar: Amerikanske foretagender, der modtager personoplysninger fra EU, er i medfør af safe harbor-principperne forpligtede til at iværksætte effektive metoder, der gør dem i stand til at overholde safe harbor-principperne. Mere specifikt skal de som fastsat i princippet om håndhævelse (enforcement) a) give de registrerede mulighed for at gøre indsigelse, b) iværksætte kontrolprocedurer med henblik på at undersøge, om de lever op til deres erklæringer og løfter med hensyn til deres program til beskyttelse af privatlivets fred, og c) forpligte sig til at afhjælpe eventuelle problemer, som skyldes, at de ikke overholder safe harbor-principperne, og bære konsekvenserne af eventuelle foranstaltninger i denne henseende. Et foretagende kan opfylde punkt a) og c) i princippet om håndhævelse, hvis det opfylder kravene i dette FAQ med hensyn til samarbejde med databeskyttelsesmyndighederne. Et foretagende kan forpligte sig til at samarbejde med databeskyttelsesmyndighederne ved i sin safe harbor-anmeldelse til det amerikanske handelsministerium (jf. FAQ nr. 6 om selvcertificering) at erklære, at det agter: 1) at overholde kravene i punkt a) og c) i safe harbor-princippet om håndhævelse ved at forpligte sig til at samarbejde med databeskyttelsesmyndighederne 2) at samarbejde med databeskyttelsesmyndighederne med henblik på at undersøge og afgøre eventuelle klager, der modtages inden for rammerne af safe harbor-ordningen, og 3) at rette sig efter enhver anbefaling fra databeskyttelsesmyndighederne, når de vurderer, at foretagendet skal træffe specifikke foranstaltninger for at overholde safe harbor-principperne, herunder foretage udbedrende foranstaltninger eller betale skadeserstatning til de fysiske personer, der er berørt af den manglende overholdelse af disse principper, og at det vil give databeskyttelsesmyndigheden en skriftlig bekræftelse på, at disse foranstaltninger er truffet. Samarbejdet med databeskyttelsesmyndighederne vil omfatte information og anbefalinger på følgende vis: - Databeskyttelsesmyndighedernes anbefalinger vil blive formidlet gennem et uformelt panel af databeskyttelsesmyndigheder på EU-niveau, som bl.a. vil bidrage til at sikre en ensartet og sammenhængende fremgangsmåde på området. - Panelet vil give de berørte amerikanske foretagender anbefalinger om endnu ikke afgjorte klager fra fysiske personer vedrørende behandlingen af personoplysninger, der er blevet overført fra EU inden for rammerne af safe harbor-ordningen. Disse anbefalinger vil blive udformet med henblik på at sikre en korrekt anvendelse af safe harbor-principperne og skal indeholde oplysninger om de retsmidler, som de pågældende fysiske personer kan gøre brug af, og som databeskyttelsesmyndighederne finder passende. - Panelet vil fremsætte anbefalinger, når det får henvist en sag fra et foretagende, og/eller når det direkte fra fysiske personer modtager en klage over foretagender, der har forpligtet sig til at samarbejde med databeskyttelsesmyndighederne inden for rammerne af safe harbor-ordningen, og det vil opfordre og i givet fald hjælpe sådanne fysiske personer til i første omgang at anvende de interne klagemuligheder, som det pågældende foretagende tilbyder. - Anbefalingerne vil først blive afgivet, når begge parter i sagen har haft passende mulighed for at fremsætte bemærkninger og fremlægge enhver dokumentation, som de finder relevant. Panelet vil bestræbe sig på at afgive sine anbefalinger så hurtigt som muligt under hensyntagen til dette krav om behørig behandling. Panelet vil have som målsætning generelt at afgive sine anbefalinger senest 60 dage efter at have modtaget en klage eller en henvisning, og om muligt endnu hurtigere. - Panelet vil, såfremt det finder det formålstjenligt, offentliggøre resultaterne af sin behandling af klager. - Panelet eller de enkelte databeskyttelsesmyndigheder kan ikke drages til ansvar for panelets anbefalinger. Som beskrevet ovenfor skal et foretagende, der vælger denne mulighed for bilæggelse af tvister, forpligte sig til at rette sig efter databeskyttelsesmyndighedernes anbefalinger. Hvis et foretagende ikke har rettet sig efter en anbefaling senest 25 dage efter anbefalingens afgivelse og ikke har givet nogen tilfredsstillende forklaring på denne forsinkelse, vil panelet meddele, at det agter at indbringe sagen for Federal Trade Commission eller et andet amerikansk organ med lovbestemte håndhævelsesbeføjelser i sager om illoyal eller vildledende praksis, eller at det vurderer, at der er sket en væsentligt overtrædelse af samarbejdsaftalen, der således skal betragtes som ugyldig. Panelet vil i sidstnævnte tilfælde underrette handelsministeriet (eller dets repræsentant) med henblik på at få ændret listen over safe harbor-deltagere. Enhver misligholdelse af forpligtelsen til at samarbejde med databeskyttelsesmyndighederne og enhver overtrædelse af safe harbor-principperne vil kunne retsforfølges som illoyal praksis i henhold til paragraf 5 i Federal Trade Commission Act eller en lignende lovgivning. Foretagender, der vælger denne løsning, vil blive anmodet om at betale et årligt gebyr til dækning af panelets driftsomkostninger, og de kan derudover blive anmodet om at dække eventuelle udgifter til oversættelse, som opstår som følge af panelets behandling af henviste sager eller klager. Det årlige gebyr vil ikke overstige 500 USD og vil være mindre for små foretagender. Foretagender, der tilslutter sig safe harbor-ordningen, vil i en periode på tre år have mulighed for at vælge at samarbejde med databeskyttelsesmyndighederne. Databeskyttelsesmyndighederne vil tage denne ordning op til fornyet overvejelse inden periodens udløb, hvis alt for mange amerikanske foretagender benytter sig af denne løsning. FAQ nr. 6: Selvcertificering Spørgsmål: Hvorledes skal et foretagende selvcertificere, at det tilslutter sig safe harbor-principperne? Svar: Et foretagende kan drage fordel af safe harbor-ordningen allerede fra det tidspunkt, hvor det over for det amerikanske handelsministerium eller dets repræsentant i henhold til nedenstående vejledning foretager selvcertificering om tilslutning til principperne. Et foretagende kan foretage selvcertificering om tilslutning til safe harbor-ordningen ved et fremsende en skrivelse til det amerikanske handelsministerium (eller dets repræsentant). Denne skrivelse skal underskrives af en ledende medarbejder på vegne af det foretagende, der tilslutter sig safe harbor-ordningen, og mindst indeholde følgende oplysninger: 1. foretagendets navn, postadresse, e-post-adresse, telefon- og faxnumre 2. en beskrivelse af foretagendets aktiviteter, der vedrører personoplysninger, som modtages fra EU, og 3. en beskrivelse af foretagendets program til beskyttelse af privatlivets fred med hensyn til disse personoplysninger, herunder: a. hvor dette program stilles til rådighed for offentligheden, b. datoen for iværksættelse af dette program, c. en kontaktadresse for behandlingen af eventuelle klager, anmodninger om indsigt og andre anliggender i forbindelse med safe harbor-ordningen, d. det specifikke lovbestemte organ, der har kompetence til at behandle klager over foretagender på grund af illoyal eller vildledende praksis, eller hvis de overtræder de gældende love eller bestemmelser vedrørende beskyttelse af privatlivets fred (og som er anført på listen i bilaget til principperne), e. betegnelsen på enhver ordning til beskyttelse af privatlivets fred, som foretagendet deltager i, f. den pågældende kontrolmetode (f.eks. intern kontrol, tredjemandskontrol)(2), og g. eventuelle uvildige klageinstanser, der kan behandle uløste sager. Hvis et foretagende ønsker, at fordelene ved safe harbor-ordningen også skal dække oplysninger om menneskelige ressourcer, der overføres fra EU til brug inden for rammerne af et ansættelsesforhold, kan det foretage sådanne overførsler, hvis der findes et lovbestemt organ, der har kompetence til at behandle klager over det pågældende foretagende vedrørende oplysninger om menneskelige ressourcer, og som er anført på listen i bilaget til principperne. Desuden skal det i sin erklæring om selvcertificering angive, at det ønsker, at oplysninger om menneskelige ressourcer skal være omfattet af ordningen, at det forpligter sig til i overensstemmelse med FAQ nr. 9 og 5 at samarbejde med myndighederne i EU, og at det agter at følge disse myndigheders anbefalinger. Det amerikanske handelsministerium (eller dets repræsentant) vil føre en liste over de foretagender, der har fremsendt sådanne skrivelser, hvorved de sikres fordelene ved safe harbor-ordningen, og det vil ajourføre denne liste på grundlag af de årlige skrivelser og meddelelser, der modtages i overenssstemmelse med FAQ nr. 11. Sådanne selvcertificeringsskrivelser skal fremsendes mindst én gang om året. I modsat fald vil foretagendet blive slettet fra listen, og det vil ikke længere kunne påberåbe sig fordelene ved safe harbor-ordningen. Både listen og foretagendernes selvcertificeringsskrivelser vil være offentligt tilgængelige. Alle foretagender, der foretager selvcertificering, skal i deres relevante program til beskyttelse af privatlivets fred, som de offentliggør, angive, at de tilslutter sig safe harbor-principperne. Tilslutningen til safe harbor-principperne er ikke tidsbegrænset med hensyn til de oplysninger, der modtages i den periode, hvor foretagendet drager fordel af ordningen. Hvis et foretagende først har tilsluttet sig principperne, skal det fortsætte med at anvende dem for sådanne oplysninger, så længe det lagrer, anvender eller videregiver oplysningerne, også selvom det af en hvilken som helst grund efterfølgende forlader safe harbor-ordningen. Et foretagende, der som følge af en fusion eller en overtagelse ophører med at eksistere som særskilt retlig enhed, skal på forhånd underrette det amerikanske handelsministerium (eller dets repræsentant). Foretagendet skal i denne meddelelse ligeledes angive, om den enhed, der overtager foretagendet, eller den enhed, der opstår som følge af fusionen, 1) i henhold til de gældende lovbestemmelser om overtagelser eller fusioner fortsat vil være bundet af safe harbor-principperne eller 2) vælger på grundlag af selvcertificering at tilslutte sig safe harbor-principperne eller iværksætter andre sikkerhedsforanstaltninger, herunder skriftlige aftaler, der sikrer overholdelse af safe harbor-principperne. Hvis hverken punkt 1) eller 2) finder anvendelse, skal enhver oplysning, som foretagendet har modtaget inden for rammerne af safe harbor-ordningen, straks slettes. Alle de personoplysninger, som et foretagende er i besiddelse af, behøver ikke at være underlagt safe harbor-principperne. Principperne skal gælde de personoplysninger, som foretagendet modtager fra EU, efter at det har tilsluttet sig safe harbor-ordningen. Et foretagende, der angiver urigtige oplysninger til offentligheden vedrørende dets tilslutning til safe harbor-principperne, kan indbringes for Federal Trade Commission eller andre kompetente federale instanser. Et foretagende, der afgiver urigtige oplysninger til det amerikanske handelsministerium (eller dets repræsentant), skal kunne drages til ansvar efter False Statements Act (United States Code, afsnit 18, paragraf 1001). FAQ nr. 7: Kontrol (verifikation) Spørgsmål: Hvorledes kontrollerer foretagender, at de lever op til deres erklæringer og løfter med hensyn til foranstaltninger til safe harbor-beskyttelse af privatlivets fred, og at disse foranstaltninger er blevet iværksat som beskrevet og i overensstemmelse med safe harbor-principperne? Svar: For at opfylde kravene til kontrol i princippet om håndhævelse kan et foretagende kontrollere sådanne erklæringer og løfter ved hjælp af selvevaluering eller ekstern overensstemmelsesevaluering. Det skal i tilfælde af selvevaluering kontrolleres, om foretagendets offentliggjorte program til beskyttelse af privatlivets fred vedrørende personoplysninger, der modtages fra EU, er i overensstemmelse med de faktiske forhold, og om det er dækkende, fuldstændigt iværksat og tilgængeligt samt offentliggjort i tilstrækkeligt omfang. Det skal ligeledes fremgå af denne kontrol, om programmet til beskyttelse af privatlivets fred er i overensstemmelse med safe harbor-principperne, om de fysiske personer er informeret om eksterne og eventuelle interne muligheder for klagebehandling, om det pågældende foretagende har udarbejdet procedurer for at uddanne de ansatte i at gennemføre disse foranstaltninger og for at gribe ind, hvis de ikke overholder foranstaltningerne, samt om det har interne procedurer for regelmæssigt og objektivt at kontrollere ovenstående. Mindst én gang om året skal en ledende medarbejder eller en anden bemyndiget repræsentant for virksomheden underskrive en erklæring om, at der er foretaget kontrol af selvevalueringen, og denne erklæring skal gøres offentlig tilgængelig efter fysiske personers anmodning derom eller i forbindelse med en undersøgelse eller en klage over overtrædelse af reglerne. Foretagenderne skal føre protokol over iværksættelsen af deres safe harbor-program til beskyttelse af privatlivets fred og gøre denne protokol tilgængelig efter anmodning derom i forbindelse med en undersøgelse eller en klage over overtrædelse af reglerne til det uafhængige organ, som er ansvarlig for at undersøge klager, eller til den myndighed, der har kompetence i sager om illoyal eller vildledende praksis. Hvis et foretagende har valgt at anvende ekstern overensstemmelsesevaluering, skal denne evaluering påvise, at foretagendets program til beskyttelse af privatlivets fred vedrørende personoplysninger, der modtages fra EU, er i overensstemmelse med safe harbor-principperne, at foretagendet efterlever dette, og at de fysiske personer oplyses om klagemulighederne. Kontrolmetoderne kan uden begrænsning omfatte revision, uvarslet evaluering, anvendelsen af fiktive oplysninger (decoys) eller passende teknologiske midler. Mindst én gang om året skal kontrollanten, en ledende medarbejder eller en anden bemyndiget repræsentant for foretagendet underskrive en erklæring, om, at der er foretaget en ekstern overensstemmelsesevaluering, og der skal gives adgang til denne erklæring efter anmodning fra en fysisk person eller i forbindelse med en undersøgelse eller en klage over overtrædelse af reglerne. FAQ nr. 8: Indsigt (access) Princippet om indsigt Fysiske personer skal have indsigt i de personoplysninger, som et foretagende er i besiddelse af om dem, og være i stand til at rette, ændre eller slette ukorrekte oplysninger, medmindre meromkostningerne eller meradministrationen ved at give indsigt i disse oplysninger er uforholdsmæssig store i forhold til risikoen for de pågældende fysiske personers privatliv, eller medmindre det ville medføre en overtrædelse af andre personers legitime rettigheder. 1. spørgsmål: Er retten til indsigt ubetinget? 1. svar: Nej. Selvom retten til indsigt i forbindelse med safe harbor-principperne er af afgørende betydning for beskyttelsen af privatlivets fred, især fordi den giver fysiske personer mulighed for at kontrollere de oplysninger, der vedrører dem selv, er et foretagendes forpligtelse til at give indsigt i de personoplysninger, som det har om en fysisk person, imidlertid underlagt proportionalitets- eller rimelighedsprincippet, og denne ret finder således ikke ubetinget anvendelse i alle tilfælde. Det fremgår klart af de forklarende bemærkninger til OECD-retningslinjerne af 1980 om beskyttelse af privatlivets fred (Explanatory Memorandum to the 1980 OECD Privacy Guidelines), at et foretagendes forpligtelse til at give indsigt ikke er absolut. Retten til indsigt kræver ikke lige så grundig en undersøgelse som f.eks. i tilfælde af en indstævning (subpoena), og den giver heller ikke adgang til alle de forskellige medier, hvormed de pågældende oplysninger opbevares af et foretagende. Erfaringen viser dog, at foretagender, der modtager en anmodning om indsigt fra en fysisk person, først og fremmest bør koncentrere sig om det, som i første omgang har ført til denne anmodning. Hvis en anmodning om indsigt er for vag eller for bredt defineret, kan det pågældende foretagende f.eks. indgå i en dialog med den fysiske person for bedre at kunne forstå motiverne for anmodningen og give de relevante oplysninger. Foretagendet kan anmode om at få oplyst, hvilke(n) del(e) af foretagendet den fysiske person har haft med at gøre, og/eller hvilken slags oplysninger (eller anvendelse) der er genstand for anmodningen om indsigt. Fysiske personer skal dog ikke begrunde en anmodning om indsigt i oplysninger om sig selv. Meromkostninger og meradministration er vigtige faktorer, der bør tages i betragtning, men de er ikke afgørende for, om det er rimeligt at give indsigt. Hvis f.eks. de pågældende oplysninger danner grundlag for beslutninger, der har afgørende betydning for den fysiske person (f.eks. afgørelser i økonomiske anliggender, herunder vedrørende forsikringer, lån eller ansættelse), skal foretagendet i overensstemmelse med de øvrige bestemmelser i disse FAQ give indsigt i de pågældende oplysninger, selvom det giver anledning til uforholdsmæssig meradministration eller uforholdsmæssig store meromkostninger. Hvis de oplysninger, der anmodes om, hverken er følsomme oplysninger eller danner grundlag for beslutninger, der har afgørende betydning for den fysiske person (f.eks. ikke-følsomme markedsføringsoplysninger, der anvendes til at afgøre, om den fysiske person skal have tilsendt et katalog), men er let tilgængelige og med få omkostninger kan stilles til rådighed, skal et foretagende give indsigt i de faktuelle oplysninger, som det er i besiddelse af om den fysiske person. Disse oplysninger kan omfatte data, der er afgivet af den fysiske person selv, eller data, som stammer fra en transaktion eller fra data fra andre fysiske personer, men som vedrører den pågældende fysiske person. Foretagender skal i overensstemmelse med selve princippet om indsigt altid udvise imødekommenhed i deres bestræbelser på at give indsigt. Hvis visse oplysninger f.eks. skal beskyttes og nemt kan adskilles fra andre oplysninger, hvori der anmodes om indsigt, skal foretagendet bortredigere de beskyttede oplysninger og give indsigt i de andre oplysninger. Hvis et foretagende beslutter i særlige tilfælde at nægte indsigt i personoplysninger, skal den redegøre for sin beslutning over for den fysiske person, der har anmodet om indsigt, og oplyse, hvor den pågældende kan henvende sig for yderligere oplysninger. 2. spørgsmål: Hvad er fortroliger forretningsoplysninger, og kan foretagender nægte at give indsigt for at beskytte sådanne oplysninger? 2. svar: Fortrolige forretningsoplysninger (således som begrebet anvendes i den amerikanske retspleje om edition (Federal Rules of Civil Procedure on discovery)) er oplysninger, som et foretagende har truffet foranstaltninger for at beskytte imod videregivelse, fordi en sådan videregivelse ville være til fordel for en konkurrent på markedet. Navnet på det særlige computerprogram, som et foretagende anvender, f.eks. et designprogram, eller detaljer fra dette program kan være fortrolige forretningsoplysninger. Hvis fortrolige forretningsoplysninger nemt kan adskilles fra andre oplysninger, hvori der anmodes om indsigt, skal foretagendet bortredigere de fortrolige forretningsoplysninger og give indsigt i de ikke-fortrolige oplysninger. Foretagender kan nægte at give indsigt eller give begrænset indsigt, hvis de risikerer at afsløre deres egne fortrolige forretningsoplysninger som defineret overfor, f.eks. markedsføringsparametre eller -klassifikationer, som foretagendet har udarbejdet, eller andres fortrolige forretningsoplysninger, når disse oplysninger i henhold til en aftale skal behandles fortroligt, såfremt foretagender normalt tager eller er underlagt sådanne hensyn. 3. spørgsmål: Kan et foretagende nøjes med at give fysiske personer indsigt i personoplysninger ved at hente de pågældende oplysninger fra sine databaser, eller skal det give adgang til selve databasen? 3. svar: Et foretagende kan give indsigt ved at aflevere de relevante oplysninger til de pågældende fysiske personer, som således ikke skal have adgang til foretagendets database. 4. spørgsmål: Skal et foretagende omstrukturere sine databaser for at kunne give indsigt? 4. svar: Der skal kun gives indsigt i det omfang, et foretagende lagrer oplysningerne. Princippet om indsigt forpligter i sig selv ikke et foretagende til at opbevare, vedligeholde, organisere eller omstrukturere registre med personoplysninger. 5. spørgsmål: Det fremgår tydeligt af disse besvarelser, at der i visse tilfælde kan nægtes indsigt. I hvilke andre tilfælde kan et foretagende nægte at give fysiske personer indsigt i personoplysninger om dem selv? 5. svar: Disse tilfælde er meget begrænsede, og enhver begrundelse for at nægte indsigt skal tage udgangspunkt i specifikke forhold. Et foretagende kan nægte at give indsigt i oplysninger, hvis en sådan videregivelse kan antages at vanskeliggøre beskyttelsen af vigtige altovervejende offentlige interesser, herunder den nationale sikkerhed, forsvaret eller den offentlige sikkerhed. Det er desuden muligt at nægte indsigt, når personoplysningerne udelukkende behandles med henblik på forskning eller i statistisk øjemed. Der kan f.eks. også nægtes indsigt eller gives begrænset indsigt, når denne indsigt: a) vanskeliggør lovens gennemførelse eller håndhævelse, herunder forebyggelse, undersøgelse eller opklaring af lovovertrædelser eller retten til en retfærdig rettergang b) vanskeliggør private søgsmål, herunder forebyggelse, undersøgelse eller opklaring af påstande eller retten til en retfærdig rettergang c) medfører videregivelse af personoplysninger om andre fysiske personer, når sådanne referencer ikke kan bortredigeres d) er et brud på lovbestemte eller andre erhvervsbetingede fortrinsrettigheder eller forpligtelser e) er et brud på den nødvendige fortrolighed omkring kommende eller igangværende forhandlinger, f.eks. i forbindelse med køb af børsnoterede virksomheder f) vanskeliggør sikkerhedsundersøgelser eller behandlingen af personalesager g) er til skade for den fortrolige behandling af oplysninger, der kan være nødvendig i begrænsede perioder i forbindelse med personaleplanlægning og -omstrukturering h) er til skade for den fortrolige behandling af oplysninger, der kan være nødvendig i forbindelse med overvågning, kontrol eller regulering i forbindelse med god økonomisk eller finansiel styring, eller i) medfører uforholdsmæssigt store meromkostninger eller meradministration eller krænkelse af andre personers legitime rettigheder eller interesser. Et foretagende, der påberåber sig et undtagelsestilfælde for at kunne nægte indsigt, har bevisbyrden for anvendelsen af denne undtagelse (hvilket også er normal praksis i sådanne sager). De fysiske personer skal som anført ovenfor oplyses om årsagerne til, at der nægtes indsigt eller kun gives begrænset indsigt, og de skal oplyses om, hvor de kan henvende sig for at gå videre med sagen. 6. spørgsmål: Kan et foretagende opkræve et gebyr for at dække omkostningerne til indsigt? 6. svar: Ja, et foretagende må i henhold til OECD-retningslinjerne gerne opkræve et gebyr, såfremt det ikke er uforholdsmæssigt stort. Opkrævningen af gebyr kan være et nyttigt adfærdsregulerende instrument, der gør det muligt at begrænse gentagne og chikanerende anmodninger om indsigt. Foretagender, der beskæftiger sig med salg af offentligt tilgængelige oplysninger, kan således opkræve et gebyr efter deres normale takst for at besvare anmodninger om indsigt. Fysiske personer kan også vælge at søge om indsigt i deres oplysninger hos det foretagende, der oprindeligt har indsamlet de pågældende oplysninger. Der må ikke nægtes indsigt under henvisning til omkostningerne, hvis den registrerede tilbyder selv at afholde disse. 7. spørgsmål: Skal et foretagende give indsigt i personoplysninger, der stammer fra offentlige registre? 7. svar: Det skal først og fremmest præciseres, at offentlige registre er registre hos myndighederne på regeringsniveau eller ethvert andet niveau, som er offentligt tilgængelige. Det er ikke nødvendigt at anvende princippet om indsigt (access) på sådanne oplysninger, sålænge de ikke er sammenført med andre personoplysninger, undtagen når små mængder oplysninger fra registre, der ikke er offentligt tilgængelige, anvendes til at indeksere eller strukturere oplysninger fra offentlige registre. Enhver betingelse for indsigt i sådanne oplysninger, der fastsættes af den kompetente myndighed, skal dog overholdes. Når oplysninger fra offentlige registre sammenføres med andre oplysninger, der ikke er offentligt tilgængelige (andre end de specifikt anførte ovenfor), skal et foretagende dog give indsigt i alle disse oplysninger, såfremt de ikke er underlagt andre tilladte undtagelser. 8. spørgsmål: Finder princippet om indsigt anvendelse på offentligt tilgængelige personoplysninger? 8. svar: Ligesom for offentligt tilgængelige oplysninger (jf. 7. spørgsmål) er det ikke nødvendigt at anvende princippet om indsigt i tilfælde af oplysninger, der allerede er offentligt tilgængelige, såfremt disse oplysninger ikke er sammenført med oplysninger, der ikke er offentligt tilgængelige. 9. spørgsmål: Hvorledes kan et foretagende beskytte sig mod gentagne eller chikanerende anmodninger om indsigt? 9. svar: Foretagender er ikke forpligtede til at besvare sådanne anmodninger om indsigt. Foretagenderne kan således opkræve et passende gebyr og fastsætte en passende maksimumsgrænse for det antal gange, anmodninger om indsigt fra en bestemt fysisk person inden for en bestemt periode vil blive behandlet. Foretagender skal ved fastsættelsen af disse kriterier tage højde for, hvor hyppigt oplysningerne opdateres, til hvilket formål de anvendes, og hvilken slags oplysninger det drejer sig om. 10. spørgsmål: Hvorledes kan foretagender beskytte sig mod svigagtige anmodninger om indsigt? 10. svar: Foretagender er ikke forpligtede til at give indsigt, medmindre de fra rekvirenten modtager tilstrækkelige oplysninger til at kontrollere vedkommendes identitet. 11. spørgsmål: Findes der en frist for behandling af anmodninger om indsigt? 11. svar: Ja, foretagender bør besvare sådanne anmodninger uden unødig forsinkelse og inden for en rimelig frist. Som angivet i de forklarende bemærkninger til OECD-retningslinjerne af 1980 kan disse krav opfyldes på flere måder. En registeransvarlig, der regelmæssigt leverer oplysninger til registrerede, kan f.eks. være fritaget fra forpligtelsen til straks at besvare individuelle anmodninger. FAQ nr. 9: Menneskelige ressourcer 1. spørgsmål: Er overførslen fra EU til USA af personoplysninger, der er indsamlet inden for rammerne af et ansættelsesforhold, underlagt safe harbor-principperne? 1. svar: Ja, når en virksomhed i EU overfører personoplysninger om sine (forhenværende eller nuværende) ansatte, der er indsamlet inden for rammerne af ansættelsesforholdet, til en serviceudbyder i USA, det være sig et moderselskab, et associeret foretagende eller et ikke-associeret foretagende, som deltager i safe harbor-ordningen, er overførslen underlagt denne ordning. I disse tilfælde finder både indsamlingen og behandlingen af oplysninger forud for overførslen typisk sted i overensstemmelse med den nationale lovgivning i den EU-medlemsstat, hvor oplysningerne er indsamlet, og enhver betingelse eller begrænsning for overførsel i henhold til denne lovgivning skal overholdes. Safe harbor-principperne finder kun anvendelse ved overførsel af eller indsigt i individuelt identificerbare personoplysninger. Statistisk materiale, der bygger på en sammenføring af ansættelsesoplysninger og/eller anvendelsen af data, der registreres anonymt eller under et pseudonym, er ikke omfattet af spørgsmålet om beskyttelse af privatlivets fred. 2. spørgsmål: Hvorledes finder principperne om oplysningspligt (notice) og valgfrihed (choice) anvendelse på sådanne oplysninger? 2. svar: Et amerikansk foretagende, der inden for rammerne af safe harbor-ordningen har modtaget ansættelsesoplysninger fra EU, må kun videregive disse oplysninger til tredjemand og/eller anvende dem til andre formål, såfremt det sker i overensstemmelse med principperne om oplysningspligt (notice) og valgfrihed (choice). Når et amerikansk foretagende f.eks. agter at anvende personoplysninger, der er indsamlet i forbindelse med et ansættelsesforhold, til ikke-ansættelsesrelaterede formål, f.eks. til markedsføringshenvendelser, skal det først give de berørte fysiske personer valgfrihed, medmindre de allerede har tilladt anvendelsen af oplysningerne til sådanne formål. De ansattes valg må desuden ikke give anledning til forskelsbehandling eller til at straffe de pågældende. Det skal bemærkes, at visse bestemmelser, der generelt finder anvendelse på overførsel af personoplysninger fra visse medlemsstater, kan forhindre andre anvendelser af disse oplysninger, selv efter overførsel til et land uden for EU, og sådanne bestemmelser skal overholdes. Arbejdsgiverne skal endvidere bestræbe sig på så vidt muligt at respektere de ansattes ønsker om hemmeligholdelse af personoplysninger. Det kan bl.a. omfatte, at der kun gives begrænset indsigt i oplysninger, at visse oplysninger gøres anonyme, eller at der anvendes koder eller pseudonymer, når de rigtige navne ikke er nødvendige for de pågældende formål. Et foretagende er ikke forpligtet til at anvende principperne om oplysningspligt (notice) eller valgfrihed (choice) i det omfang og i den periode, det er nødvendigt for ikke at skade det pågældende foretagendes legitime interesser i forbindelse med forfremmelser, udnævnelser eller andre personaleanliggender af lignende karakter. 3. spørgsmål: Hvorledes finder princippet om indsigt (access) anvendelse? 3. svar: Begrundelserne for at nægte at give indsigt eller for at give begrænset indsigt i oplysninger om menneskelige ressourcer efter anmodning derom fremgår af FAQ om indsigt. Arbejdsgivere i EU skal naturligvis overholde de nationale regler på området og sikre, at arbejdstagere i EU gives indsigt i sådanne oplysninger, således som det er påbudt af loven i deres hjemland, uanset i hvilket land oplysningerne behandles og lagres. Et foretagende, der behandler denne type oplysninger i USA, er i henhold til safe harbor-principperne forpligtet til at samarbejde med henblik på at give indsigt enten direkte eller gennem arbejdsgiveren i EU. 4. spørgsmål: Hvorledes vil safe harbor-principperne blive håndhævet med hensyn til ansættelsesoplysninger? 4. svar: I det omfang, hvor oplysninger udelukkende anvendes inden for rammerne af et ansættelsesforhold, er foretagendet i EU hovedansvarlig for oplysningerne over for den enkelte ansatte. Hvis europæiske arbejdstagere klager på grund af en overtrædelse af deres ret til databeskyttelse og ikke er tilfredse med resultaterne af de forskellige interne evaluerings-, klage- eller appelprocedurer (eller enhver anden klageprocedure inden for rammerne af en kontrakt med en fagforening), skal de som følge heraf henvises til de kompetente nationale databeskyttelses- eller arbejdsmarkedsmyndigheder. Dette gælder også i sager, hvor den formodede forkerte behandling af deres personoplysninger har fundet sted i USA og er foretaget af det amerikanske foretagende, der har modtaget oplysningerne fra arbejdsgiveren, og ikke af arbejdsgiveren selv, hvilket således først og fremmest medfører et formodet brud på safe harbor-principperne og ikke så meget de nationale lovbestemmelser til gennemførelse af direktivet. Dette vil være den mest effektive fremgangsmåde for at behandle de ofte overlappende rettigheder og forpligtelser, som er fastsat i arbejdsretten og arbejdsoverenskomster samt loven om databeskyttelse. Et amerikansk foretagende, der deltager i safe harbor-ordningen, og som anvender EU-oplysninger om menneskelige ressourcer, der er overført fra Den Europæiske Union inden for rammerne af et ansættelsesforhold, og som ønsker, at disse overførsler skal være omfattet af safe harbor-principperne, skal således forpligte sig til at samarbejde i undersøgelser eller til at rette sig efter de anbefalinger, der henholdsvis foretages eller afgives af de kompetente EU-myndigheder i disse sager. De databeskyttelsesmyndigheder, der har accepteret at samarbejde på denne måde, skal underrette Europa-Kommissionen og det amerikanske handelsministerium. Hvis et amerikansk foretagende, der deltager i safe harbor-ordningen, ønsker at overføre oplysninger om menneskelige ressourcer fra en medlemsstat, hvis databeskyttelsesmyndighed ikke har accepteret at indgå i dette samarbejde, finder bestemmelserne i FAQ nr. 5 anvendelse. FAQ nr. 10: Artikel 17-aftaler Spørgsmål: Er det uanset databehandlerens deltagelse i safe harbor-ordningen nødvendigt med en aftale, når oplysninger videregives fra EU til USA udelukkende med henblik på behandling? Svar: Ja, de registreringsansvarlige i EU skal altid indgå en aftale, selv når oplysninger kun videregives med henblik på behandling, og dette uanset, om denne behandling foregår i eller uden for EU. Formålet med denne aftale er at beskytte den registeransvarliges interesse, det vil sige den person eller det organ, der bestemmer formålet med behandlingen og midlerne dertil, og som bærer det fulde ansvar for oplysningerne over for de(n) pågældende fysiske person(er). Den specifikke behandling, der skal foretages, og enhver foranstaltning, som er nødvendig for at beskytte oplysningerne, skal således fremgå af aftalen. Et amerikansk foretagende, der deltager i safe harbor-ordningen, og som udelukkende modtager personoplysninger fra EU med henblik på behandling, skal således ikke anvende principperne for disse oplysninger, fordi den registeransvarlige i EU forbliver ansvarlig for disse oplysninger over for de fysiske personer i overensstemmelse med de gældende EU-bestemmelser (der kan være strengere end de tilsvarende safe harbor-principper). Fordi safe harbor-deltagerne anses for at give en tilstrækkelig beskyttelse, kræver aftaler med sådanne deltagere, der udelukkende vedrører behandling af oplysninger, ingen forudgående tilladelse (eller også gives sådanne tilladelser automatisk af medlemsstaterne), hvilket til gengæld kræves i forbindelse med aftaler med modtagere, der ikke deltager i safe harbor-ordningen, eller som på anden vis ikke giver en tilstrækkelig beskyttelse. FAQ nr. 11: Bilæggelse af tvister og håndhævelse Spørgsmål: Hvorledes skal de krav til bilæggelse af tvister, der er fastsat i princippet om håndhævelse, gennemføres, og hvorledes skal et foretagendes vedvarende overtrædelse af principperne håndteres? Svar: Kravene til håndhævelse af safe harbor-ordningen fastsættes i princippet om håndhævelse. Det fastsættes i FAQ nr. 7 om kontrol, hvorledes kravene i princippets punkt b) skal overholdes. FAQ nr. 11 omhandler punkt a) og c), der begge kræver uafhængige klageinstanser. Ordningen kan håndhæves ved hjælp af forskellige mekanismer, der dog alle skal være i overensstemmelse med kravene i princippet om håndhævelse. Et foretagende kan opfylde kravene 1) ved at overholde et program til beskyttelse af privatlivets fred, som er udviklet inden for den private sektor, som tager udgangspunkt i safe harbor-principperne, og som omfatter nogle effektive håndhævelsesmekanismer af den type, der er beskrevet i princippet om håndhævelse, 2) ved at være underlagt tilsynsmyndigheder, der er oprettet ved lov eller administrativt, og som varetager behandlingen af individuelle klager og bilæggelsen af tvister, eller 3) ved at forpligte sig til at samarbejde med databeskyttelsesmyndighederne i EU eller deres repræsentanter. Denne liste er blot beskrivende og ikke udtømmende, eftersom der i den private sektor kan oprettes andre håndhævelsesmekanismer, når blot kravene i princippet om håndhævelse og FAQ overholdes. Bemærk venligst, at kravene i princippet om håndhævelse supplerer kravene i 3. afsnit i princippernes indledning, nemlig at et foretagende i tilfælde af selvregulering skal kunne retsforfølges efter paragraf 5 i Federal Commission Act eller en anden lignende lov. Klageinstanser: Forbrugerne skal opfordres til først at klage til det pågældende foretagende, inden de indbringer deres klage til de uvildige klageinstanser. Det kan bevises på forskellige måder, at en klageinstans er uvildig, f.eks. ved indsigt i dens sammensætning og finansiering eller på grundlag af dokumenteret erfaring. De klagemuligheder, som fysiske personer har adgang til, skal i henhold til princippet om håndhævelse være let tilgængelige og økonomisk overkommelige. Instanserne med kompetence inden for bilæggelse af tvister skal behandle hver enkelt klage, som de modtager fra fysiske personer, medmindre klagerne tydeligt er ubegrundede eller chikanerende. Dette udelukker ikke, at klageinstansen kan fastsætte kriterier for modtagelse af klager, men sådanne kriterier skal være gernnemskuelige og begrundede (og have til formål f.eks. at udelukke klager, der ikke er omfattet af programmet, eller som skal behandles i et andet forum), og de må ikke have som konsekvens at underminere forpligtelsen til at behandle legitime klager. Disse klageinstanser skal desuden ved modtagelsen af en klage give de fysiske personer fuldstændige og let tilgængelige oplysninger om, hvorledes proceduren til bilæggelse af tvister fungerer. Disse oplysninger skal i overensstemmelse med safe harbor-principperne omfatte en meddelelse om klageinstansens foranstaltninger til beskyttelse af privatlivets fred(3). Klageinstanserne skal desuden medvirke til at udvikle forskellige værktøjer, herunder standardklageformularer, der skal gøre det nemmere at behandle klager. Retsmidler og sanktioner: Anvendelsen af de retsmidler, som instanserne med kompetence inden for bilæggelse af tvister giver adgang til, bør resultere i, at det pågældende foretagende så vidt muligt udbedrer konsekvenserne af den manglende overholdelse, og at foretagendets fremtidige behandlinger sker i overensstemmelse med principperne, samt at behandlingen af personoplysningerne om den person, der har indbragt klagen, i påkommende tilfælde ophører. Sanktionerne skal være tilstrækkelig strenge til at få et eventuelt foretagende til at overholde principperne. Instanserne med kompetence inden for bilæggelse af tvister vil ved hjælp af en række sanktioner af forskellig strenghedsgrad have mulighed for på passende vis at reagere på forskellige grader af manglende overholdelse. Disse sanktioner bør omfatte offentliggørelse af konstateringerne af manglende overholdelse og påbud om i visse tilfælde at slette oplysninger(4). Andre sanktioner kan være suspendering eller tilbagestrækning af en godkendelse, betaling af skadeserstatning til fysiske personer for tab som følge af en overtrædelse af principperne, samt forbud eller påbud. Instanser med kompetence inden for bilæggelse af tvister eller inden for selvregulering i den private sektor skal afhængigt af det enkelte tilfælde underrette domstolene eller den kompetente federale myndighed om safe harbor-foretagenders manglende overholdelse af deres afgørelser samt underrette det amerikanske handelsministerium (eller dets repræsentant). Søgsmål ved Federal Trade Commission (FTC): FTC har forpligtet sig til først og fremmest at behandle sager om påstået overtrædelse af safe harbor-principperne, som den får henvist fra selvreguleringsforetagender med kompetence inden for beskyttelse af privatlivets fred, f.eks. BBBOnline og TRUSTe, eller EU-medlemsstaterne, for at fastslå, om paragraf 5 i Federal Trade Commission Act, der forbyder illoyal eller vildledende praksis inden for handel, er blevet overtrådt. Hvis FTC konkluderer, at der er grund til at antage, at paragraf 5 er blevet overtrådt, kan den løse sagen ved at forsøge at opnå et administrativt forbud mod den pågældende praksis eller ved at indgive en klage til en federal domstol, hvilket, såfremt klageren får medhold, kan resultere i en dom med samme indhold. FTC kan opnå, at overtræderen idømmes civilretlige sanktioner, hvis et administrativt forbud ikke overholdes, og den kan indlede civilretlige eller strafferetlige sager for undladelse af at efterkomme en retsafgørelse, der er truffet af en federal domstol. FTC skal underrette handelsministeriet om ethvert søgsmål, som den iværksætter. Handelsministeriet opfordrer de øvrige federale myndigheder til at underrette handelsministeriet om den endelige afgørelse i sådanne sager eller andre afgørelser om deltagelse i safe harbor-ordningen. Vedvarende misligholdelse af principperne: Hvis et foretagende på vedvarende vis ikke overholder principperne, er det ikke længere berettiget til at påberåbe sig fordelene ved safe harbor-ordningen. En vedvarende misligholdelse af principperne forekommer, når et foretagende, der har foretaget selvcertificering over for handelsministeriet (eller dets repræsentant), nægter at rette sig efter den endelige afgørelse fra en instans med kompetence inden for selvregulering eller en federal instans, eller når en sådan instans fastslår, at et foretagende hyppigt har misligholdt principperne i et sådant omfang, at det ikke længere er rimeligt at påstå, at det overholder principperne. Foretagendet skal i så fald straks underrette handelsministeriet (eller dets repræsentant) derom. Et foretagende, der ikke opfylder denne forpligtelse, kan retsforfølges efter False Statements Act. Handelsministeriet (eller dets repræsentant) vil på den offentligt tilgængelige liste, som det udarbejder over foretagender, der deltager i safe harbor-ordningen på grundlag af selvcertificering, notere ethvert forhold om vedvarende misligholdelse, uanset om det modtager denne meddelelse fra foretagendet selv, en instans med kompetence inden for selvregulering eller fra en federal instans, dog først efter at have givet det pågældende foretagende en frist på tredive (30) dage og en mulighed for at svare. Det vil således tydeligt fremgå af den offentligt tilgængelige liste fra handelsministeriet (eller dets repræsentant), hvilke foretagender der er eller ikke er dækket af safe harbor-ordningen. Et foretagende, der ansøger om at deltage i en selvreguleringsordning med henblik på igen at kvalificere sig til safe harbor-ordningen, skal give denne ordning fuldstændige oplysninger om sin tidligere deltagelse i safe harbor-ordningen. FAQ nr. 12: Valgfrihed (choice) og tidsfristen for at vælge fra (opt-out) Spørgsmål: Giver princippet om valgfrihed kun fysiske personer mulighed for at vælge fra i starten af registreringsforholdet, eller kan de gøre dette til enhver tid? Svar: Formålet med princippet om valgfrihed er generelt at sikre, at personoplysninger anvendes og videregives i overensstemmelse med den fysiske persons forventninger og valg. Fysiske personer skal således til enhver tid kunne vælge (opt-out) ikke at lade deres personoplysninger anvende til direkte markedsføring. Det pågældende foretagende kan dog fastsætte passende tidsfrister for denne valgfrihed, f.eks. for at have tid til at indføre dette fravalg i systemet. Et foretagende kan ligeledes anmode om tilstrækkelige oplysninger for at bekræfte identiteten på den person, der ønsker at vælge fra. I USA kan fysiske personer gøre brug af denne valgfrihed ved hjælp af en central fravalgsordning, f.eks. Direct Marketing Association's Mail Preference Service. Foretagender, der deltager i denne Direct Marketing Association's Mail Preference Service, skal oplyse forbrugere, der ikke ønsker at modtage kommercielle oplysninger, om denne mulighed. De fysiske personer skal under alle omstændigheder nemt og uden uforholdsmæssig store omkostninger kunne gøre brug af denne valgfrihed. På samme måde kan et foretagende anvende oplysninger til visse direkte markedsføringsformål, når det i praksis er umuligt at give den fysiske person mulighed for at vælge fra, inden oplysningerne anvendes, dog kun såfremt foretagendet straks giver den fysiske person mulighed for samtidig (eller efter anmodning til enhver tid) (uden omkostninger for den fysiske person) at afslå at modtage yderlige direkte markedsføringshenvendelser, og såfremt foretagendet overholder den fysiske persons ønsker. FAQ nr. 13: Passageroplysninger Spørgsmål: I hvilke tilfælde kan oplysninger om pladsreservation for flypassagerer og andre passageroplysninger, f.eks. oplysninger om hyppige flyvninger (frequent flyer) eller hotelreservation eller om særlige behov, herunder religiøst betingede krav til måltider eller fysisk assistance, overføres til foretagender uden for EU? Svar: Sådanne oplysninger kan overføres i flere forskellige tilfælde. Personoplysninger kan i henhold til direktivets artikel 26 "videregives til et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau i overensstemmelse med artikel 25, stk. 2", , hvis 1) det er nødvendigt for at kunne yde de tjenester, kunden anmoder om, eller for at honorere en aftale, f.eks. en "frequent flyer"-aftale, eller hvis 2) kunden har givet udtrykkelig tilladelse dertil. Amerikanske foretagender, der tilslutter sig safe harbor-ordningen, giver en tilstrækkelig beskyttelse af personoplysninger og kan derfor modtage dataoverførsler fra EU uden at opfylde disse krav eller andre krav i direktivets artikel 26. Eftersom safe harbor-ordningen omfatter specifikke regler for følsomme oplysninger, kan denne type oplysninger (som f.eks. indsamles i forbindelse med kundernes behov for fysisk assistance) være omfattet af overførsler til safe harbor-deltagere. Det foretagende, der overfører oplysninger, skal dog under alle omstændigheder overholde lovgivningen i de EU-medlemsstater, hvor det udøver sine aktiviteter, hvilket bl.a. kan medføre særlige krav til behandlingen af følsomme oplysninger. FAQ nr. 14: Farmaceutiske og medicinske produkter 1. spørgsmål: Finder medlemsstaternes lovgivning eller safe harbor-principperne anvendelse på personoplysninger, der indsamles i EU og overføres til USA med henblik på farmaceutisk forskning og/eller andre formål? 1. svar: Medlemsstaternes lovgivning finder anvendelse på indsamlingen af personoplysninger og på enhver behandling, der foretages forud for overførslen til USA. Safe harbor-principperne finder først anvendelse på oplysningerne, efter at de er blevet overført til USA. Oplysninger, der anvendes til farmaceutisk forskning og andre formål, skal i passende omfang anonymiseres. 2. spørgsmål: Personoplysninger, der opnås gennem specifik medicinsk eller farmaceutisk forskning, spiller ofte en vigtig rolle for fremtidig videnskabelig forskning. Må et foretagende i USA inden for rammerne af safe harbor-ordningen anvende personoplysninger til ny videnskabelig forskning, når disse oplysninger er indsamlet til et bestemt forskningsprojekt i EU og overført til USA? 2. svar: Ja, hvis principperne om oplysningspligt og valgfrihed i starten af forløbet er blevet overholdt. Eventuelle fremtidige specifikke anvendelser af de pågældende personoplysninger, f.eks. regelmæssig kontrol, beslægtede undersøgelser eller markedsføring, skal fremgå af den meddelelse, der gives i medfør af princippet om oplysningspligt. Det er naturligvis ikke muligt at specificere alle fremtidige anvendelser af oplysningerne, eftersom anvendelsen i et nyt forskningsprojekt eventuelt kan bygge på ny viden, som er opnået ved hjælp af de oprindelige personoplysninger, nye medicinske opdagelser eller fremskridt eller udviklingen inden for offentlig sundhed eller lovgivningen på sundhedsområdet. Meddelelsen skal derfor i givet fald omfatte en forklaring om, at personoplysninger kan anvendes i fremtidige, men uforudsigelige medicinske eller farmaceutiske forskningsprojekter. Hvis anvendelsen ikke er forenelig med de(t) generelle forskningsformål, hvortil oplysningerne oprindeligt blev indsamlet, eller som den fysiske person efterfølgende har godkendt, skal der indhentes en ny tilladelse. 3. spørgsmål: Hvad sker der med en fysisk persons personoplysninger, hvis en deltager efter eget ønske eller efter anmodning fra forskningssponsoren trækker sig ud af det kliniske forsøg? 3. svar: Deltagere kan til enhver tid beslutte eller blive anmodet om at trække sig ud af et klinisk forsøg. Enhver oplysning, der indsamles forud for tilbagetrækningen, må stadig behandles sammen med de øvrige oplysninger, der indsamles i forbindelse med det kliniske forsøg, dog kun såfremt den pågældende deltager klart har fået meddelt dette i forbindelse med tilmeldingen til forsøget. 4. spørgsmål: Virksomheder, der fremstillet farmaceutiske eller medicinske anordninger, må levere personoplysninger, der er opnået i forbindelse med kliniske forsøg i EU, til tilsynsmyndighederne i USA med henblik på regulering og kontrol. Er det tilladt at foretage lignende overførsler til andre end tilsynsmyndighederne, f.eks. virksomheder eller andre forskere? 4. svar: Ja, hvis det sker i overensstemmelse med principperne om oplysningspligt og valgfrihed. 5.spørgsmål: For at gøre de kliniske forsøg så objektive som muligt har deltagerne og til tider undersøgerne selv ikke adgang til oplysninger om den specifikke behandling, som hver deltager modtager. En sådan indsigt ville skade forskningsprojektet og resultaterne. Har deltagerne i sådanne kliniske forsøg (også kaldet blindundersøgelser) adgang til oplysninger om deres behandling under forsøget? 5. svar: Nej, en deltager skal ikke gives en sådan indsigt, hvis vedkommende fik oplyst denne begrænsning ved tilmeldingen til forsøget, og hvis videregivelsen af sådanne oplysninger vil være til skade for forskningsarbejdet. Man anses ved at acceptere at deltage i forsøget på disse betingelser for at give afkald på retten til indsigt. Deltagerne skal, såfremt de anmoder derom, have indsigt i deres personoplysninger, når forsøget er overstået, og når resultaterne er blevet analyseret. De skal først henvende sig til den læge eller behandler, som de er blevet behandlet af i forbindelse med det kliniske forsøg, hvorefter de eventuelt kan henvende sig til det sponsorerende firma. 6. spørgsmål: Skal en virksomhed, der fremstiller farmaceutiske eller medicinske anordninger, anvende safe harbor-principperne om oplysningspligt, valgfrihed, videre overførsel og indsigt i sine produktsikkerheds- og kontrolaktiviteter, herunder meddelelse om negative konstateringer og registreringen af patienter/registrerede, der anvender bestemte lægemidler eller medicinske anordninger (f.eks. en pacemaker)? 6. svar: Nej, i det omfang princippernes anvendelse kolliderer med overholdelsen af de gældende lovkrav. Det gælder både med hensyn til f.eks. rapporteringen fra behandlere til virksomheder, der fremstiller farmaceutiske eller medicinske anordninger, og med hensyn til rapporteringen fra disse virksomheder til myndighederne, f.eks. Food and Drug Administration. 7. spørgsmål: Som regel koder undersøgeren forskningsoplysningerne entydigt ved kilden for ikke at afsløre de registreredes identitet. De farmaceutiske virksomheder, der sponsorerer en sådan forskning, modtager ikke en nøgle til denne kode. Det er udelukkende forskeren, der er i besiddelse af den entydige nøgle, således at han/hun under særlige forhold er i stand til at identificere den enkelte forskningsdeltager (f.eks. hvis der er behov for efterfølgende medicinsk kontrol). Skal en overførsel fra EU til USA af oplysninger, der er kodet på denne måde, betragtes som en overførsel af personoplysninger, der er underlagt safe harbor-principperne? 7. svar: Nej, det vil ikke kunne karakteriseres som en overførsel af personoplysninger, der kræver overholdelse af safe harbor-principperne. FAQ nr. 15: Oplysninger i offentlige registre og offentligt tilgængelige oplysninger Spørgsmål: Er det nødvendigt at anvende princippet om oplysningspligt (notice), valgfrihed (choice) eller videre overførsel (onward transfer) på oplysninger i offentlige registre eller offentligt tilgængelige oplysninger? Svar: Det er ikke nødvendigt at anvende princippet om oplysningspligt, valgfrihed eller videre overførsel på oplysninger i offentlige registre, såfremt de ikke sammenføres med oplysninger i ikke-offentlige registre, og såfremt alle betingelser for indsigt i offentlige registre i den gældende lovgivning overholdes. Det er generelt heller ikke nødvendigt at anvende princippet om oplysningspligt, valgfrihed eller videre overførsel på offentligt tilgængelige oplysninger, medmindre den europæiske dataafsender meddeler, at de pågældende oplysninger er underlagt begrænsninger, der kræver, at det pågældende foretagende anvender disse principper til de formål, hvortil det agter at anvende oplysningerne. Foretagender er ikke ansvarlige for den måde, hvorpå disse oplysninger anvendes af andre, der indhenter oplysningerne fra offentliggjort materiale. Foretagender vil blive udelukket fra safe harbor-ordningen, hvis det konstateres, at de med fuldt overlæg og i strid med principperne har offentliggjort personoplysninger, således at de selv eller andre kan drage fordel af disse undtagelser. (1) Dette FAQ vil kun blive tilføjet pakken, hvis databeskyttelsmyndighederne er enige derom. De har drøftet teksten inden for rammerne af artikel 29-gruppen, og det fremgik, at et flertal kunne godkende teksten. De agter dog først at give udtryk for deres endelige holdning i forbindelse med den generelle udtalelse, som gruppen vil udstede om den endelige pakke. (2) Se FAQ nr. 7 om kontrol. (3) Instanser med kompetence inden for bilæggelse af tvister er ikke forpligtede til at overholde princippet om håndhævelse. De kan ligeledes fravige principperne, når der i forbindelse med deres specifikke opgaver opstår modstridende forpligtelser eller gives udtrykkelige tilladelser. (4) Instanser med kompetence inden for bilæggelse af tvister skønner selv, under hvilke omstændigheder disse sanktioner skal anvendes. Spørgsmålet om de pågældende oplysningers følsomhed og spørgsmålet om, hvorvidt et foretagende har indsamlet, anvendt eller videregivet oplysninger i åbenlys strid med principperne, er nogle af de faktorer, der skal tages i betragtning, når det skal besluttes, hvorvidt der skal kræves sletning af data. BILAG III Oversigt over håndhævelsen af safe harbor-principperne De federale myndigheders og enkeltstatsmyndighedernes kompetence med hensyn til illoyale eller vildledende praksiser og til beskyttelse af privatlivets fred Formålet med dette memorandum er at redegøre for Federal Trade Commissions (FTC) kompetence i henhold til paragraf 5 i Federal Trade Commission Act (United States Code, afsnit 15, paragraf 41-58, som ændret) til at gribe ind over for foretagender, der ikke beskytter privatlivets fred med hensyn til personoplysninger til trods for deres erklæringer og/eller forpligtelser i denne henseende. Der redegøres ligeledes for de undtagelser, hvor FTCs kompetence ikke finder anvendelse, og for de muligheder, som andre organer på federalt niveau eller enkeltstatsniveau har for at gribe ind, når FTC ikke har nogen kompetence(1). FTC's kompetence i sager om illoyal eller vildledende praksis Paragraf 5 i Federal Trade Commission Act forbyder "illoyale eller vildledende handlinger eller praksiser i forbindelse med handel". United States Code, afsnit 15, paragraf 45(a)(1). Paragraf 5 giver FTC fuld beføjelse til at bekæmpe sådanne handlinger og praksiser. United States Code, afsnit 15, paragraf 45(a)(2). FTC har således kompetence til at udstede forbud eller påbud (cease and desist) for at bringe den ulovlige adfærd til ophør, efter at have foretaget en formel høring i sagen. United States Code, afsnit 15, paragraf 45(b). Hvis det tjener offentlighedens interesse, kan FTC ligeledes anmode en amerikansk domstol (district court) om at foretage foreløbig arrest (temporary restraining order) eller om at udstede foreløbigt eller endeligt forbud eller påbud (temporary or permanent injunction). United States Code, afsnit 15, paragraf 53(b). Når der kan konstateres et generelt adfærdsmønster med illoyale eller vildledende handlinger eller praksiser, eller når FTC allerede har udstedt et forbud eller påbud (cease and desist) i den pågældende sag, kan FTC fastsætte en administrativ bestemmelse, der forbyder de pågældende handlinger eller praksiser. United States Code, afsnit 15, paragraf 57a. Enhver, der ikke retter sig efter en afgørelse fra FTC, kan idømmes en bøde på 11 000 USD, idet det vil blive betragtet som en særskilt overtrædelse, hver dag overtrædelsen fortsætter(2). United States Code, afsnit 15, paragraf 45 (1). Enhver, der bevidst overtræder en afgørelse fra FTC, kan ligeledes idømmes en bøde på 11000 USD for hver overtrædelse. United States Code, afsnit 15 paragraf 45(m). Justitsministeriet kan træffe foranstaltninger til håndhævelse af disse afgørelser, medmindre det afviser dette, hvor FTC i så fald kan træffe disse foranstaltninger. United States Code, afsnit 15, paragraf 56. FTC's kompetence med hensyn til beskyttelsen af privatlivets fred FTC har i forbindelse med udøvelsen af sine beføjelser i henhold til paragraf 5 valgt at fortolke det som en vildledende praksis, hvis man afgiver urigtige omlysninger om årsagen eller formålet med indsamlingen af forbrugeres personoplysninger(3). FTC anlagde således i 1998 sag mod GeoCities, fordi dette foretagende havde videregivet oplysninger, der var blevet indsamlet på dets websted, til tredjemand med henblik på markedsføring, og dette uden nogen forudgående tilladelse, hvilket var i strid med dets hensigtserklæring med hensyn til beskyttelse af privatlivets fred(4). FTC har ligeledes fastslået, at indsamlingen af personoplysninger fra børn og salg eller videregivelse af sådanne oplysninger uden forældrenes tilladelse kan betragtet som illoyal praksis(5). FTC's formand, Robert Pitofsky, har i en skrivelse til Generaldirektør John Mogg fra Europa-Kommissionen redegjort for begrænsningerne i FTC's beføjelser til at beskytte privatlivets fred, når der ikke er afgivet urigtige oplysninger (eller slet ikke afgivet oplysninger) om, hvorledes de indsamlede oplysninger vil blive anvendt, jf. skrivelse fra FTC's formand, Robert Pitofsky, til John Mogg af 23. september 1998. Foretagender, der ønsker at deltage i den foreslåede safe harbor-ordning, skal imidlertid erklære, at de vil beskytte de oplysninger, som de indsamler, i overenssstemmelse med de fastsatte retningslinjer. Når et foretagende således erklærer, at det vil beskytte personoplysninger, men ikke lever op til dette, vil dette blive betragtes som en "misrepresentation" (afgivelse af urigtige oplysninger eller fortielse af sandheden) og som en vildledende praksis i henhold til paragraf 5. Eftersom FTC's kompetence kun omfatter illoyale eller vildledende handlinger eller praksiser, hvis de er handelsrelaterede, har FTC ikke kompetence med hensyn til indsamling og anvendelse af personoplysninger til ikke-kommercielle formål, f.eks. velgørenhedsformål. Jf. skrivelse fra Robert Pitofsky, side 3. Dette krav anses dog for opfyldt, når personoplysningerne anvendes i en hvilken som helst kommerciel transaktion, og det vil således være omfattet af paragraf 5, hvis en arbejdsgiver f.eks. sælger personoplysninger om sine ansatte til et foretagende, der foretager direkte markedsføring. Undtagelser i paragraf 5 Paragraf 5 indeholder en række begrænsninger af FTC's kompetence i sager om illoyale eller vildledende handlinger eller praksiser i forbindelse med: - finansielle institutter, herunder banker, opsparings- og udlåns- samt kreditforeninger - kollektive formidlere (common carriers) af telekommunikation og interstatslig transport - luftfartsselskaber, og - forsynings- og kreaturvirksomheder (packers and stockyard operators). Jf. United States Code, afsnit 15, paragraf 45(a)(2). I det efterfølgende beskrives hver undtagelse og den tilsynsførende myndighed, der træder i stedet for FTC. Finansielle institutter(6) Den første undtagelse gælder "banker samt opsparings- og udlånsforeninger som beskrevet i paragraf 18(f)(3) (United States Code, afsnit 15, paragraf 57a(f)(3))" og "federale kreditforeninger som beskrevet i paragraf 18(f)(4) (United States Code, afsnit 15, paragraf 57a(f)(4))"(7). Disse finansielle institutter er i stedet underlagt bestemmelser, der udstedes af henholdsvis Federal Reserve Board, Office of Thrift Supervision(8) og National Credit Union Administration Board. Jf. United States Code, afsnit 15, paragraf 57a(f). Disse lovbestemte myndigheder har til opgave at fastsætte de nødvendige bestemmelser med henblik på at bekæmpe finansielle institutters(9) anvendelse af illoyale eller vildledende praksiser samt at nedsætte et særskilt organ, der kan behandle forbrugerklager. United States Code, afsnit 15, paragraf 57a(f)(1). Endelig er håndhævelsesbeføjelserne fastsat i paragraf 8 i Federal Deposit Insurance Act (United States Code, afsnit 12, paragraf 1818) for banker samt opsparings- og indlånsforeninger og i paragraf 120 og 206 i Federal Credit Union Act for federale kreditforeninger. United States Code, afsnit 15, paragraf 57a(f)(2)-(4). Selvom forsikringsbranchen ikke er specifikt omfattet af undtagelserne i paragraf 5, påhviler det i henhold til McCarran-Ferguson Act (United States Code, afsnit 15, paragraf 1011 ff.) som regel enkeltstaterne at udstede regler på dette område(10). I henhold til paragraf 2(b) i McCarran-Ferguson Act kan enkeltstaternes regler desuden ikke omstødes, forringes eller fortrænges af federale lovbestemmelser, "medmindre sådanne regler specifikt vedrører forsikringsbranchen". United States Code, afsnit 15, paragraf 1012(b). Bestemmelserne i FTC Act finder dog anvendelse på forsikringsselskaber "i det omfang, hvor de ikke er omfattet af enkeltstaternes lovgivning". Idem. Det skal ligeledes bemærkes, at McCarran-Ferguson Act kun fortrænges af enkeltsstatslovgivningerne med hensyn til "forsikringsforretninger" (business of insurance). Når intet andet udtrykkeligt er fastsat i enkeltstaternes lovgivning, har FTC således kompetence i sager om forsikringsselskabers illoyal eller vildledende praksiser i forbindelse med andet end forsikringsrelaterede aktiviteter. Dette kan således være tilfældet, når forsikringsselskaber sælger personoplysninger om deres forsikringstagere til foretagender, der foretager direkte markedsføring for andet end forsikringsrelaterede produkter(11). Kollektive formidlere (common carriers) Den anden undtagelse i paragraf 5 gælder de kollektive formidlere, der er "underlagt den handelsregulerende lovgivning". United States Code, afsnit 15, paragraf 45(a)(2). Med "handelsregulerede lovgivning" henvises der til afdeling IV i kapitel 49 i United States Code og Communications Act af 1934 (United States Code, afsnit 47, paragraf 151 ff.) (Communications Act). Jf. United States Code, afsnit 15, paragraf 44. Bestemmelserne i United States Code, afdeling IV, afsnit 49 (interstatslig transport) finder anvendelse på jernbaneselskaber, vognmænd, flodtransportører, speditører, transportmæglere og pipeline-operatører). United States Code, afsnit 49, paragraf 10101 ff. Disse forskellige kollektive transportformidlere er underlagt Surface Transportation Board, som er et uvildigt organ under transportministeriet. United States Code, afsnit 49, paragraf 10501, 13501 og 15301. Det gælder generelt, at formidlerne forbydes at videregive oplysninger om fragtens art, bestemmelesstedet eller om andre aspekter af fragten, der kan anvendes til skade for afsenderen. Jf. United States Code, afsnit 49, paragraf 11904, 14908 og 16103. Det skal bemærkes, at disse bestemmelser finder anvendelse på oplysninger om afsenderens fragt og således ikke på personoplysninger om afsender, som ikke vedrører den pågældende fragt. Federal Communications Commission (FCC) er i henhold til Communications Act det regulerende organ med hensyn til "interstatslig handel og udenrigshandel med kommunikation via kabel eller radio". Jf. United States Code, afsnit 47, paragraf 151 og 152. Communications Act finder ikke alene anvendelse på kollektive telekommunikationsformidlere, men også på foretagender som tv- og radioselskaber og kabeloperatører, som ikke betragtes som kollektive formidlere. Sidstnævnte selskaber er som sådan ikke omfattet af undtagelsen i paragraf 5 i FTC Act. FTC har således kompetence til at undersøge sager om illoyal eller vildledende praksis, begået af disse selskaber, mens FCC har konkurrerende kompetence til at gøre sine beføjelser gældende på dette område som beskrevet nedenfor. I henhold til Communications Act er "enhver telekommunikationsformidler", herunder de lokale telefoncentraler (local exchange carriers), forpligtede til at beskytte deres kunders privatliv(12). United States Code, afsnit 47, paragraf 222(a). Communications Act er desuden blevet ændret i kraft af Cable Communications Policy Act af 1984 (Cable Act), United States Code, afsnit 47, paragraf 521 ff., således at der ud over denne generelle forpligtelse til at beskytte privatlivets fred er fastsat specifikke bestemmelser om, at kabeloperatører skal beskytte privatlivets fred med hensyn til deres abonnenters "personligt identificerbare oplysninger". United States Code, afsnit 47, paragraf 551(13). Cable Act indeholder bestemmelser, der begrænser kabeloperatørers indsamling af personoplysninger, og som kræver, at kabeloperatører underretter abonnenterne om arten af de personoplysninger, der indsamles, og om hvorledes de vil blive anvendt. Cable Act giver abonnenterne ret til indsigt i deres personoplysninger og pålægger kabeloperatører at slette oplysninger, der ikke længere er nødvendige. Communications Act giver FCC beføjelse til at håndhæve disse to bestemmelser til beskyttelse af privatlivets fred, enten på eget initiativ eller som følge af en ekstern klage(14). United States Code, afsnit 47, paragraf 205, 208 og 403. FCC kan, efter at have konstateret, at en telekommunikationsformidler (herunder en kabeloperatør) har overtrådt bestemmelserne til beskyttelse af privatlivets fred i paragraf 222 eller 551, træffe tre forskellige retshåndhævende foranstaltninger. FCC kan for det første, efter at have foretaget en høring og fastslået, at der er sket en overtrædelse, pålægge formidleren at betale en økonomisk erstatning (monetary damages)(15). United States Code, afsnit 47, paragraf 209. FCC kan for det andet udstede forbud eller påbud (cease and desist) mod formidlerens ulovlige praksis eller undladelse. United States Code, afsnit 47, paragraf 205(a). FCC kan for det tredje ligeledes pålægge den formidler, der overtræder loven, at "overholde og følge (enhver) bestemmelse eller praksis", som FCC foreskriver. Idem. Fysiske personer, der mener, at en telekommunikationsformidler eller kabeloperatør har overtrådt de relevante bestemmelser i Communications Act eller Cable Act, kan enten indgive en klage til FCC eller anlægge sag ved en federal domstol (federal district court). United States Code, afsnit 47, paragraf 207. En klager, der får medhold i et søgsmål ved en federal domstol mod en telekommunikationsformidler på grund af mangelfuld beskyttelse af kundernes personoplysninger i henhold til det mere bredt definerede afsnit 222 i Communications Act, kan få tilkendt en direkte erstatning (actual damages) og få dækket advokatsalæret. United States Code, afsnit 47, paragraf 206. En klager, der anlægger sag med påstand om overtrædelse af privatlivets fred i henhold til afsnit 551 i Cable Act, der specifikt gælder for kabel-operatører, kan ud over at få tilkendt en direkte erstatning og få dækket advokatsalæret også få tilkendt en pønalt begrundet forhøjet erstatning (punitive damages) og få dækket begrundede sagsomkostninger. United States Code, afsnit 47 paragraf 551(f). FCC har udstedt detaljerede regler til gennemførelse af paragraf 222. Jf. Code of Federal Regulations, afsnit 47, paragraf 64.2001-2009. Disse regler indeholder specifikke bestemmelser, der beskytter mod uautoriseret adgang til oplysninger om netværkskunder (customer proprietary network information). Bestemmelserne pålægger telekommunikationsformidlere: - at udvikle og implementere softwaresystemer, der automatisk viser ("flag") en kundes status med hensyn til oplysning (notice) og godkendelse (approval), når den pågældende kundes "generalieblad" første gang kommer frem på skærmen - at foretage en elektronisk adgangsregistrering (audit trail), der gør det muligt at spore, når en kundes "generalieblad" har været benyttet, herunder tidspunkt og formålet med den pågældende anvendelse samt den ansvarlige person - at uddanne deres personale til at foretage autoriseret anvendelse af oplysninger om netværkskunder og implementere passende sanktionsprocedurer - at etablere en kontrolprocedure for at sikre, at reglerne overholdes i forbindelse med udgående marketing - en gang om året at erklære til FCC, hvorledes reglerne overholdes. Luftfartsselskaber Amerikanske og udenlandske luftfartsselskaber, som er underlagt Federal Aviation Act af 1958, er ligeledes undtaget fra paragraf 5 i FTC Act. Jf. United States Code, afsnit 15, paragraf 45(a)(2). Dette gælder enhver, der foretager gods- eller passagertransport mellem enkeltstaterne eller til udlandet, eller som transporterer post med fly. Jf. United States Code, afsnit 49, paragraf 40102. Luftfartsselskaber er underlagt transportministeriet, og transportministeren har i denne forbindelse kompetence til at træffe foranstaltninger med henblik på at "bekæmpe illoyal, vildledende, agressiv eller konkurrencebegrænsende praksis inden for lufttransport". United States Code, afsnit 49, paragraf 40101(a)(9). Hvis det tjener offentlighedens interesse, kan transportministeren undersøge, om et amerikansk eller et udenlandsk luftfartsselskab eller et rejsebureau har anvendt en illoyal eller vildledende praksis. United States Code, afsnit 49, paragraf 41712. Transportministeren kan efter at have foretaget en høring udstede et forbud for at stoppe den ulovlige praksis. Idem. Vi har ikke kendskab til sager, hvor transportministeren har gjort brug af denne beføjelse til at beskytte privatlivets fred i forbindelse med personoplysninger om flypassagerer(16). Der findes to bestemmelser til beskyttelse af privatlivets fred med hensyn til personoplysninger, som finder anvendelse på luftfartsselskaber i specifikke situationer. For det første beskytter Federal Aviation Act pilotansøgeres privatliv. Jf. United States Code, afsnit 49, paragraf 44936(f). Federal Aviation Act giver luftfartsselskaberne lov til at indhente en ansøgers ansættelsesoplysninger, men loven giver også ansøgerne ret til at blive underrettet om, at der er blevet anmodet om disse oplysninger, til at give deres tilladelse til at imødekomme denne anmodning, til at rette fejl og til at begrænse videregivelsen af disse oplysninger til de personer, der er involveret i den pågældende beslutning om ansættelse. For det andet skal passagerlisteoplysninger, der indsamles af de offentlige myndigheder med henblik på anvendelse i forbindelse med flyulykker, i henhold til bestemmelser fra transportministeriet "bevares fortroligt og kun videregives til det amerikanske udenrigsministerium, National Transportation Board (efter anmodningen fra NTSB) og det amerikanske transportministerium". Code of Federal Regulations, afsnit 14, afdeling 243, paragraf 243.9(c) (som tilføjet i henhold til 63 FR 8258). Forsynings- og kreaturvirksomheder (Packers and Stockyard operators) Packers and Stockyards Act af 1921 (United States Code, afsnit 7, paragraf 181 ff.) forbyder "enhver forsyningsvirksomhed, der beskæftiger sig med husdyr, slagtekød, kødprodukter eller husdyrprodukter i uforarbejdet form, eller enhver fjerkræforhandler med hensyn til levende fjerkræ at anvende en illoyal, en ubegrundet diskriminerende eller en vildledende praksis eller foranstaltning". United States Code, afsnit 7, paragraf 192(a). Jf. ligeledes United States Code, afsnit 7, paragraf 213(a) (der forbyder "enhver illoyal, ubegrundet diskriminerende eller vildledende praksis eller foranstaltning" i forbindelse med husdyr). Det påhviler først og fremmest den amerikanske landbrugsminister at gennemføre disse bestemmelser, mens FTC har kompetence med hensyn til detailtransaktioner og transaktioner inden for fjerkræindustrien. United States Code, afsnit 7, paragraf 227(b)(2). Det er usikkert, hvorvidt landbrugsministeren vil fortolke det som en "vildledende" praksis i henhold til Packers and Stockyards Act, hvis en forsynings- eller kreaturvirksomhed misligholder sin forpligtelse til at beskytte privatlivets fred i henhold til det program, som virksomheden har offentliggjort i denne henseende. Undtagelsen i paragraf 5 finder dog kun anvendelse på personer, interessentskaber eller selskaber i det omfang "de er underlagt Packers and Stockyards Act". Undtagelsen i paragraf 5 finder således sandsynligvis ikke anvendelse, hvis der i en sag om beskyttelse af privatlivets fred således ikke kan henvises til lovbestemmelserne i Packers and Stockyards Act, og forsynings- og kreaturvirksomheder vil i så fald være underlagt FTC's kompetence. Enkeltstaternes kompetence med hensyn til illoyale eller vildledende praksiser I henhold til en analyse udarbejdet af FTC har "samtlige 50 enkeltstater samt District of Columbia, Guam, Puerto Rico og De Amerikanske Jomfruøer vedtaget en lovgivning, der svarer til Federal Trade Commission Act (FTCA) med henblik på at bekæmpe illoyal eller vildledende praksis". FTC fact sheet, gentrykt i Comment, Consumer Protection: The Practical Effectiveness of State Deceptive Trade Practices Legislation, 59 Tul. L. Rev. 427 (1984). De tilsynsførende myndigheder har under alle omstændigheder beføjelse "til at foretage undersøgelser ved hjælp af indstævninger (subpoenas) eller editionspålæg (civil investigative demands), opnå tilsagn om frivillig overholdelse af loven, udstede forbud eller påbud samt opnå, at en domstol udsteder forbud eller påbud med henblik på at bekæmpe anvendelsen af illoyale, urimelige eller vildledende handelspraksiser". Idem. Der kan i 46 forskellige jurisdictioner anlægges private søgsmål for direkte eller pønalt begrundede forhøjede erstatninger (actual, double, treble or punitive damages), og sagsøger kan i visse tilfælde få dækket sagsomkostninger og advokatsalæret. Idem. Floridas Deceptive and Unfair Trade Practices Act giver f.eks. den offentlige anklager (attorney general) beføjelse til at foretage en undersøgelse og anlægge civilt søgsmål i tilfælde af "illoyale konkurrencemetoder eller illoyale, urimelige eller vildledende handelspraksiser", herunder forkert eller vildledende reklame, vildledende oplysninger om enerettigheder eller forretningsmuligheder, svigagtigt telefonsalg og salg gennem pyramideordninger. Jf. ligeledes N.Y. General Business Law, paragraf 349 (der forbyder illoyale handlinger og vildledende praksiser i forbindelse med handel). Disse forhold bekræftes af en undersøgelse fra i år foretaget af National Association of Attorneys General (NAAG). Samtlige 43 enkeltstater, der svarede på det pågældende spørgsmål, har en "mini-FTC Act" eller andre bestemmelser, der giver en lignende beskyttelse. 39 enkeltstater oplyste ligeledes i forbindelse med denne NAAG-undersøgelse, at der har kompetence til at behandle klager fra personer, der ikke er hjemmehørende i den pågældende enkeltstat. Hvad angår især beskyttelsen af forbrugernes privatliv oplyste 37 af de 41 enkeltstater, der besvarende det pågældende spørgsmål, at de ville behandle klager over foretagender i deres jurisdiktion, som ikke overholder det program til beskyttelse af privatlivets fred, som de selv har offentliggjort. (1) Vi agter ikke her at redegøre for samtlige federale lovbestemmelser om beskyttelse af privatlivets fred, der finder anvendelse i specifikke tilfælde, eller for de enkeltstatsbestemmelser eller den sædvaneret (common law), som måtte finde anvendelse. Lovbestemmelserne på federalt niveau, der regulerer den kommercielle indsamling og anvendelse af personoplysninger, omfatter bl.a. Cable Communications Policy Act (United States Code, afsnit 47, paragraf 551), Driver's Privacy Protection Act (United States Code, afsnit 18, paragraf 2721), Electronic Communications Privacy Act (United States Code, afsnit 18, paragraf 2701 ff.), Eletronic Funds Transfer Act (United States Code, afsnit 15, paragraf 1693 og 1693m), Fair Credit Reporting Act (United States Code, afsnit 15, paragraf 1681 ff.), Right to Financial Privacy Act (United States Code, afsnit 12, paragraf 3401 ff.), Telephone Consumer Protection Act (United States Code, afsnit 47, paragraf 227) og Video Privacy Protection Act (United States Code, afsnit 18, paragraf 2710). Mange enkeltstater har lignende lovbestemmelser på disse områder. Jf. f.eks. Massachusetts General Laws, kapitel 167B, paragraf 16 (der forbyder finansielle institutter at videregive kunders finansielle oplysninger til tredjemand uden kundernes tilsagn, eller uden at der foreligger retslige skridt), N.Y. Public Health Law paragraf 17 (der forbyder anvendelse og videregivelse af oplysninger om patienters fysiske eller mentale helbred, og som giver patienterne aktindsigt). (2) Den amerikanske domstol (district court) kan i sådanne sager også udstede forbud eller påbud eller give passende oprejsning med henblik på at håndhæve en FTC-afgørelse. United States Code, afsnit 15, paragraf 45(1). (3) En "vildledende praksis" defineres som en erklæring, en udeladelse eller en praksis, der antages på afgørende vis at kunne vildlede en bonus pater. (4) Jf. www.ftc.gov/opa/1998/9808/geocitie.htm. (5) Jf. skrivelse til Center for Media Education, www.ftc.gov/os/1997/9707/cenmed.htm. Hertil kommer, at Children's Online Privacy Protection Act af 1998 giver FTC specifik retlig kompetence til at regulere indsamlingen af personoplysninger fra børn, der foretages af operatører af websteder og onlinetjenester. Jf. United States Code, afsnit 15, paragraf 6501-6506. Især pålægger denne lov online-operatører at underrette forældrene og opnå en verificerbar tilladelse, inden børnenes personoplysninger indsamles, anvendes eller videregives. Jf. ligeledes paragraf 6502(b). Loven giver ligeledes forældrene ret til indsigt og til at forbyde en fortsat anvendelse af de pågældende oplysninger. Idem. (6) Gramm-Leach-Bliley Act blev stadfæstet af præsident Clinton den 12. november 1999 (Pub. L. 106-102, kodificeret i United States Code, afsnit 15, paragraf 6801 ff.). Denne lov begrænser finansielle institutters videregivelse af deres kunders personoplysninger. De finansielle institutter skal i henhold til denne lov bl.a. underrette samtlige kunder om deres program og praksis til beskyttelse af privatlivets fred med hensyn til videregivelse af personoplysninger til associerede eller ikke-associerede foretagender. Loven giver FTC, de federale bankmyndigheder og andre myndigheder kompetence til at udstede regler med henblik på at gennemføre de foranstaltninger til beskyttelse af privatlivets fred, der er fastsat i loven. Myndighederne har fremsat forslag til regler til dette formål. (7) Denne undtagelse er formuleret således, at den ikke finder anvendelse på værdipapirer, hvorfor mæglere, vekselerer og andre inden for handel med investeringsobjekter er underlagt Securities and Exchange Commissions og FTC's konkurrerende kompetence med hensyn til illoyale og vildledende handlinger og praksiser. (8) Undtagelsen i paragraf 5 henviste oprindeligt til Federal Home Loan Bank Board, der blev nedlagt i august 1989 i kraft af Financial Institutions Reform, Recovery and Enforcement Act af 1989. Dette organs opgaver blev fordelt mellem Office of Thrift Supervision, Resolution Trust Corporation, Federal Deposit Insurance Corporation og Housing Finance Board. (9) Det fastsættes i paragraf 5, at de finansielle institutter ikke er underlagt FTC's kompetence, men det fastsættes samtidig, at de finansielle tilsynsmyndigheder (financial regulatory Boards) bør fastsætte tilsvarende bestemmelser inden 60 dage, når FTC fastsætter en regel med hensyn til illoyale eller vildledende handlinger eller praksiser. Jf. United States Code, afsnit 15, paragraf 57a(f)(1). (10) "Forsikringsbranchen og enhver person, der er beskæftiget inden for dette område, er underlagt flere forskellige enkeltstaters lovbestemmelser om regulering eller beskatning af sådanne aktiviteter". United States Code, afsnit 15, paragraf 1012(a). (11) FTC har i forskellige situationer udøvet sin kompetence over forsikringsselskaber. I et tilfælde greb FTC ind over for et foretagende, der havde anvendt vildledende reklame i en enkeltstat, hvor det ikke havde tilladelse til at drive forretning. FTC's kompetence byggede på det faktum, at der ikke fandtes nogen relevant enkeltstatsbestemmelse, fordi virksomheden var uden for statens rækkevidde. Jf. FTC v. Travelers Health Association, 362 U.S. 293 (1960). 17 enkeltstater har anvendt modellen "Insurance Information and Privacy Protection Act", som er udarbejdet af National Association of Insurance Commissioners (NAIC). Denne lov indeholder bestemmelser om oplysningspligt, anvendelse, videregivelse og indsigt. Desuden har de fleste enkeltstater anvendt NAIC's model "Unfair Insurance Practices Act", der specifikt vedrører illoyal handelspraksis inden for forsikringsbranchen. (12) Begrebet "oplysninger om netværkskunder" (customer proprietary network information) dækker information om en kundes "anvendelse af teletjenester, kvantitet, teknisk konfiguration, type og modtagere" samt faktureringsinformationer. United States Code, afsnit 47, paragraf 222(f)(1). Dette begreb omfatter dog ikke abonnentlisteinformationer. Idem. (13) Begrebet "personligt identificerbare informationer" defineres ikke udtrykkeligt i lovgivningen. (14) Denne beføjelse omfatter retten til at give oprejsning for krænkelse af privatlivets fred i henhold til både paragraf 222 i Communications Act eller med hensyn til kabelabonnenter i henhold til ændringen til loven i henhold til paragraf 551 i Cable Act. Jf. ligeledes United States Code, afsnit 47, paragraf 551(f)(3) (et civilt søgsmål ved en federal domstol (federal district court) udelukker ikke andre retsmidler, men tilbydes som "supplement til ethvert andet retsmiddel, som kabelabonnenter har adgang til"). (15) En klage kan dog ikke afvises under henvisning til, at klageren ikke har lidt nogen direkte skade. United States Code, afsnit 47, paragraf 208(a). (16) Vi har dog forstået, at der inden for denne branche er iværksat foranstaltninger med henblik på at beskytte privatlivets fred. Brancherepræsentanter har drøftet de foreslåede safe harbor-principper og deres eventuelle anvendelse på luftfartsselskaber. Drøftelserne har også omfattet et forslag om at vedtage et samlet program til beskyttelse af privatlivets fred for hele branchen med deltagelse af de virksomheder, der udtrykkeligt underkaster sig transportministeriets kompetence. BILAG IV Beskyttelse af privatlivets fred og erstatningsansvar, lovbestemte tilladelser samt fusioner og overtagelser i den amerikanske lovgivning Dette dokument er udarbejdet med henblik på over for Europa-Kommissionen at redegøre for den amerikanske lovgivning vedrørende a) erstatningskrav for krænkelse af privatlivets fred, b) "udtrykkelige tilladelser" (explicit authorizations) i den amerikanske lovgivning til anvendelse af personoplysninger på en måde, der er i uoverensstemmelse med safe harbor-principperne, og c) konsekvensen af fusioner og overtagelser for de forpligtelser, der indgås inden for rammerne af safe harbor-ordningen. A. Erstatning for krænkelse af privatlivets fred En overtrædelse af safe harbor-principperne kan afhængigt af omstændighederne afstedkomme et antal private erstatningskrav. Især kan safe harbor-foretagender gøres ansvarlige for "misrepresentation" (afgivelse af urigtige oplysninger eller fortielse af sandheden), hvis de ikke overholder det program til beskyttelse af privatlivets fred, som de selv har offentliggjort. Den amerikanske sædvaneret (common law) giver ligeledes mulighed for private erstatningssøgsmål for krænkelse af privatlivets fred, og en lang række bestemmelser i den federale lovgivning og i enkeltstatslovgivningerne om beskyttelse af privatlivets fred giver fysiske personer mulighed for at kræve erstatning for krænkelse af privatlivets fred. Retten til at kræve erstatning for krænkelse af privatlivets fred er fast forankret i den amerikanske sædvaneret (common law). I retsvidenskaben gøres det fra flere sider gældende, at anvendelse af personoplysninger, der ikke er i overensstemmelse med safe harbor-principperne, er ansvarspådragende. F.eks. kan både den registeransvarlige, der overfører oplysningerne, og de berørte fysiske personer sagsøge det safe harbor-foretagende, der begår "misrepresentation" og således misligholder sine safe harbor-forpligtelser. Der står således i den amerikanske lovsamling Second Restatement of the Law om erstatninger (torts)(1): Enhver person, der begår svigagtig "misrepresentation" om faktiske eller juridiske forhold eller om et standpunkt eller en hensigt med det formål at få en anden person til at handle eller afstå fra at handle på grundlag af disse urigtige eller manglende oplysninger, er erstatningspligtig over for den anden person for det økonomiske tab, som denne i tillid til "misrepresentationen" måtte have haft. Restatement, paragraf 525. "Misrepresentation" anses "svigagtig" (fraudulent), hvis ophavsmanden ved eller tror, at oplysningerne er urigtige. Jf. ligeledes paragraf 526. Generelt er den person, der begår svigagtig "misrepresentation", potentielt erstatningspligtig over for enhver, som han har til hensigt eller forventer at misinformere, for enhver økonomisk skade, som disse personer måtte have som et resultat heraf. Jf. ligeledes paragraf 531. En person, der begår svigagtig "misrepresentation" over for en anden, er desuden erstatningspligtig over for tredjemand, hvis skadevolderens hensigt eller forventning er, at "misrepresentationen" vil blive gentaget over for tredjemand, der efterfølgende handler i tillid hertil. Jf. ligeledes paragraf 533. I forbindelse med safe harbor-ordningen fremsættes der typisk oplysninger, når det enkelte foretagende offentligt erklærer at ville tilslutte sig safe harbor-principperne. Når denne forpligtelse er indgået, vil en bevidst misligholdelse af principperne kunne danne grundlag for et søgsmål for "misrepresentation" fra de personer, der havde tillid hertil. Fordi en forpligtelse om at tilslutte sig principperne er offentlig, vil de fysiske personer, der er genstand for denne oplysning, og den registeransvarlige i EU, der overfører personoplysninger til det amerikanske foretagende, alle have grund til at sagsøge det amerikanske foretagende for "misrepresentation"(2). Det amerikanske foretagende forbliver desuden erstatningspligtig over for disse for "fortsat misrepresentation" (continuing misrepresentation, sålænge de til skade for sig selv handler på grundlag af denne "misrepresentation". Jf. Restatement, paragraf 535. Personer, der stoler på en svigagtig "misrepresentation", har ret til erstatning. Restatement lyder således: Enhver person, der er genstand for svigagtig "misrepresentation", kan anlægge sag for bedrageri mod ophavsmanden og kræve erstatning for ethvert økonomisk tab, som beviseligt er opstået som følge af denne "misrepresentation". Restatement, paragraf 549. Den erstatning, der kan tilkendes, omfatter det direkte, kontante tab, men også tabt fortjeneste i forbindelse med kommercielle transaktioner. Jf. ligeledes Boling v. Tennessee State Bank, 890 S.W.2d 32 (1994). (Banken var i denne sag erstatningspligtig over for låntagerne for 14825 USD som kompensation for at have videregivet låntagernes personoplysninger og forretningsplaner til bankens formand, der havde modstridende interesser). "Misrepresentation" kan kun betragtes som svigagtig, hvis ophavsmanden klart havde kendskab til eller i det mindste troede, at oplysningerne var urigtige, men uagtsom (negligent) "misrepresentation" er ligeledes ansvarspådragende. Enhver, der afgiver falske erklæringer i forbindelse med sine forretningsaktiviteter, sit erhverv eller sin ansættelse eller inden for rammerne af enhver økonomisk transaktion, kan i henhold til Restatement gøres ansvarlig, "hvis vedkommende ikke indhenter eller videregiver oplysningerne med passende agtpågivenhed eller duelighed", Restatement, paragraf 552(1). I modsætning til erstatningsansvaret i forbindelse med svigagtig "misrepresentation" begrænser erstatningsansvaret ved uagtsom "misrepresentation" sig til det direkte kontante tab. Jf. Restatement, paragraf 552B(1). Højesteretten i Connecticut afgjorde f.eks. i en sag for nylig, at et elselskab, der havde undladt at oplyse, at det videregav oplysninger om forbrugernes betaling til de nationale kreditbureauer, kunne sagsøges for "misrepresentation", jf. Brouillard v. United Illuminating Co., 1999 Conn. Super. LEXIS 1754. I denne sag blev sagsøgeren nægtet kredit, fordi sagsøgte havde oplyst, at sagsøgers betaling var forsinkede, fordi der blev modtaget 30 dage efter faktureringsdato. Sagsøger gjorde gældende, at han ikke var blevet informeret om denne praksis, da han blev tilsluttet det sagsøgte selskab. Retten gjorde specifikt gældende, at "en klage over uagtsom 'misrepresentation' kan være begrundet i, at sagsøgte har undladt at udtale sig til trods for sin forpligtelse i denne henseende". Denne sag viser ligeledes, at der for søgsmålsgrundlaget for uagtsomt "misrepresentation" ikke stilles krav om forsæt eller svigagtig hensigt. Et amerikansk foretagende, der uagtsomt undlader på fyldestgørende vis at oplyse, hvorledes det agter at anvende personoplysninger, der modtages inden for rammerne af safe harbor-ordningen, kan således gøres ansvarlig for "misrepresentation". Hvis en overtrædelse af safe harbor-principperne medfører en forkert anvendelse af personoplysninger, kan det ligeledes danne grundlag for et erstatningskrav i henhold til sædvaneretten vedrørende krænkelse af privatlivets fred. Krænkelse af privatlivets fred har længe været godkendt som søgsmålsgrundlag i den amerikanske lovgivning. I en sag fra 1905(3) fandt højesteretten i Georgia, at retten til privatlivets fred var rodfæstet i både naturretten og sædvaneretten, idet den afsagde kendelse til fordel for en borger, hvoraf et fotografi var blevet anvendt til reklameformål af et livsforsikringsselskab uden den pågældende borgers tilladelse eller viden. Retten, der allerede dengang gjorde brug af en række begreber, der i dag har vundet indpas inden for den amerikanske retspraksis med hensyn til beskyttelse af privatlivets fred, fandt, at fotografiet var blevet anvendt "i ond hensigt" og "uretmæssigt" og "latterliggjorde sagsøger over for omverdenen"(4). Grundlaget for Panesich-afgørelsen har med en række mindre variationer gjort sig gældende frem til i dag, hvor det udgør fundamentet for den amerikanske lovgivning på området. Domstolene i enkeltstaterne har konsekvent taget sager, hvor søgsmålsgrundlaget var krænkelse af privatlivets fred, til følge, og mindst 48 stater anerkender i dag denne form for søgsmålsgrundlag(5). Desuden findes der i mindst 12 stater forfatningssikrede bestemmelser, der beskytter deres borgere mod indgreb i privatlivets fred(6), hvilket i visse tilfælde kan omfatte beskyttelsen mod indgreb begået af ikke-offentlige organer. Jf. f.eks. Hill v. NCAA, 865 P.2d 633 (Ca. 1994); jf. ligeledes S. Ginder, Lost and Found in Cyberspace: Informational Privacy in the Age of the Internet, 34 S.D. L. Rev. 1153 (1997): "Visse enkeltstaters forfatning indeholder bestemmelser om beskyttelse af privatlivets fred, der går længere end bestemmelserne i den amerikanske forfatning. Alaska, Arizona, Californien, Florida, Hawaii, Illinois, Louisiana, Montana, South Carolina og Washington har således en mere omfattende beskyttelse af privatlivets fred." Second Restatement vedrørende erstatningsret giver en pålidelig oversigt over lovbestemmelserne på dette område. Det forklares således i Restatement med udgangspunkt i den almindelige retspraksis, at "retten til privatlivets fred" omfatter fire forskellige søgsmålsgrunde for erstatning. Jf. Restatement, paragraf 652A. Der kan for det første anlægges sag på grund af "krænkelse af privatlivets fred" (intrusion upon seclusion) mod enhver, der forsætligt på fysisk eller anden vis krænker en anden persons privatliv eller private anliggender eller krænker en person, der ønsker at leve tilbagetrukket eller ensomt(7). Der kan for det andet anlægges sag på grund af "uretmæssig tilegnelse" (appropriation) mod enhver, der til eget brug eller egen gevinst anvender en anden persons navn eller billede(8). Den tredje søgsmålsgrund er "offentliggørelse af private oplysninger" (publication of private facts), når det offentliggjorte materiale kan virke krænkende for enhver bonus pater og ikke vedrører offentligheden(9). Den fjerde og sidste søgsmålsgrund er "ærekrænkelse" (false light publicity), når en person forsætligt eller uagtsomt offentligt omtaler en anden person på en måde, der vil virke krænkende for enhver bonus pater(10). "Krænkelse af privatlivets fred" (intrusion upon seclusion) vil inden for rammerne af safe harbor-principperne omfatte uautoriseret indsamling af personoplysninger, mens en uautoriseret anvendelse af personoplysninger til kommercielle formål kan danne grundlag for et erstatningskrav på grund af "uretmæssig tilegnelse" (appropriation). Videregivelsen af ukorrekte personoplysninger vil på tilsvarende vis kunne danne grundlag for et erstatningskrav på grund af "ærekrænkelse" (false light publicity), hvis oplysninger kan betegnes som krænkende for enhver bonus pater. Endelig vil den krænkelse af privatlivets fred, der skyldes offentliggørelse eller videregivelse af følsomme personoplysninger, kunne danne grundlag for et søgsmål for "offentliggørelse af private oplysninger" (publication of private facts) (Jf. nedenstående eksempler.) Med hensyn til erstatningsansvar giver en krænkelse af privatlivets fred den forurettede ret til at kræve erstatning for: a) enhver skade, som den pågældende krænkelse har medført for hans privatliv b) enhver psykisk overlast, som det kan bevises, at vedkommende har lidt, hvis dette under normale omstændigheder forårsages af en sådan krænkelse, og c) enhver særlig erstatning, der begrundes med den pågældende krænkelse. Restatement, paragraf 652H. Fordi erstatningsretten finder generel anvendelse, og fordi der findes en lang række søgsmålsgrunde, der dækker de forskellige aspekter af beskyttelsen af privatlivets fred, har de personer, hvis privatliv krænkes som følge af en overtrædelse af safe harbor-principperne, som regel ret til økonomisk erstatning. Domstolene i enkeltstaterne har således en stor mængde lignende sager om krænkelse af privatlivets fred. I sagen Ex Parte AmSouth Bancorporation et al., 717 So. 2d 357 blev der f.eks. indbragt et kollektivt søgsmål, hvor det blev gjort gældende, at sagsøgte havde "misbrugt den tillid, som kunderne havde til banken, ved at videregive fortrolige oplysninger vedrørende bankens indskydere og deres konti" for således at give en associeret bank mulighed for at sælge andele i investeringsforeninger og andre investeringsprodukter. Der tilkendes ofte erstatning i sådanne sager. I sagen Vassiliades v. Garfinckel's, Brooks Bros., 492 A.2d 580 (D.C.App. 1985) omstødte en appeldomstol en dom fra en lavere domstol og fastslog, at anvendelsen af billeder af sagsøger før og efter en plastisk operation med henblik på markedsføring i et stormagasin var en krænkelse af privatlivets fred, fordi det var en offentliggørelse af private oplysninger. I sagen Candebat v. Flanagan, 487 So.2d 207 (Miss. 1986) anvendte det sagsøgte forsikringsselskab materiale fra en ulykke, hvor sagsøgers kone var blevet alvorligt kvæstet, i en reklamekampagne. Sagsøger anlagde sag for krænkelse af privatlivets fred. Domstolen fastslog, at sagsøger skulle tilkendes erstatning for psykisk overlast og tilegnelse af identitet. Selv personer, der ikke er offentligt kendte, kan anlægge sag for uretmæssig tilegnelse (misappropriation), jf. f.eks. Staruski v. Continental Telephone Co., 154 Vt. 568 (1990) (sagsøgte anvendte en af sine ansattes navn og billede til kommercielle formål i en avisreklame). I sagen Pulla v. Amoco Oil Co., 882 F.Supp. 836 (S.D Iowa 1995) krænkede en arbejdsgiver en af sine ansattes privatliv ved at få en anden af sine ansatte til at undersøge sagsøgers kreditkortoplysninger for at kontrollere vedkommendes sygedage. Domstolen stadfæstede en jurys tilkendelse af 2 USD i almindelig erstatning for det faktisk lidte tab og 500000 USD i forhøjet erstatning. En anden arbejdsgiver blev pålagt at betale erstatning, fordi der i virksomhedens avis var blevet offentliggjort en artikel om en ansat, der var blevet opsagt på grund af en mistanke om forfalskning af sine ansættelsespapirer, jf. Zinda v. Louisiana-Pacific Corp., 140 Wis.2d 277 (Wis.App. 1987). Artiklen krænkede sagsøgers privatliv, fordi den indeholdt private oplysninger, og fordi avisen cirkulerede i lokalsamfundet. Endelig blev en skole kendt skyldig i krænkelse af privatlivets fred (intrusion upon seclusion), fordi den testede eleverne for hiv-smitte efter at have fortalt dem, at formålet med blodprøverne udelukkende var at teste for smitte med røde hunde. Jf. Doe v. High-Tech Institute, Inc., 972 P.2d 1060 (Colo.App. 1998). (For andre sager jf. Restatement, paragraf 652H, Appendix.) USA kritiseres ofte for at være alt for proceslysten, men denne praksis betyder også, at fysiske personer har mulighed for at anlægge sag - og gør dette - når de mener, at deres rettigheder er blevet krænket. Det amerikanske retssystem gør det på mange måder nemt at anlægge sag, enten individuelt eller kollektivt. Advokatstanden, der er forholdsmæssig større end i de fleste andre lande, gør det nemt at søge professionel bistand. Sagsøgernes advokater, der repræsenterer fysiske personer i forbindelse med private søgsmål, får typisk et salær, hvis udbetaling og størrelse er afhængig af sagens udfald (contingency fee basis), hvilket giver selv ubemidlede personer mulighed for at anlægge sag. Dette fører til et vigtigt aspekt, nemlig at det i USA typisk er sådan, at hver part afholder egne omkostninger til advokatsalær og andet. Denne praksis kontrasterer med forholdene i Europa, hvor den gældende regel er, at den tabende part ud over sine egne også skal afholde den anden parts omkostninger. Uden at ville kommentere de to systemers fordele og ulemper må det konstateres, at det amerikanske system i mindre grad afholder personer, der ikke vil være i stand til at betale den anden parts omkostninger, fra at anlægge sag. Fysiske personer kan anlægge sag, selvom deres erstatningskrav er forholdsvis beskedent. De fleste, hvis ikke alle, retskredse i USA har domstole, der behandler små erstatningssager, og som giver mulighed for mere enkle og mindre bekostelige procedurer for bilæggelse af tvister under den lovbestemte grænse(11). Muligheden for at få tilkendt en forhøjet erstatning, der er pønalt begrundet, virker ligeledes som en finansiel tilskyndelse for de fysiske personer, der kun har lidt en beskeden direkte skade, til at anlægge sag på grund af ulovlig adfærd. Endelig kan fysiske personer, der alle har lidt samme form for skade, forene deres ressourcer og deres krav for at anlægge et kollektivt søgsmål. Den verserende sag mod Amazon.com for krænkelse af privatlivets fred er et udmærket eksempel på fysiske personers mulighed for at anlægge sag med henblik på at få oprejsning. Der er i denne sag anlagt kollektivt søgsmål mod Amazon.com, som er en stor online-detailhandler, hvor sagsøgerne gør gældende, at de ikke var blevet informeret om eller havde givet tilladelse til, at deres personoplysninger blev indsamlet, når de brugte edb-programmet "Alexa", der tilhørte Amazon. Sagsøgerne har i denne sag gjort gældende, at der er sket en overtrædelse af Computer Fraud and Abuse Act, fordi sagsøgte på ulovlig vis har skaffet sig adgang til deres lagrede kommunikationer, og af Electronic Communications Privacy Act, fordi man på ulovlig vis har skaffet sig adgang til deres elektroniske og trådbårne kommunikationer. De gør ligeledes gældende, at der i henhold til sædvaneretten er sket en krænkelse af privatlivets fred. Denne henvisning til sædvaneretten bygger på en klage, der i december blev indgivet mod en Internet-sikkerhedsekspert. Der blev i denne sag fremsat et erstatningskrav på 1000 USD for hver sagsøger i det kollektive søgsmål foruden advokatomkostninger og tilbagebetaling af den fortjeneste, der kan tilskrives lovovertrædelsen. Erstatningen kan beløbe sig til flere milliarder dollars, eftersom der kan være flere millioner kollektive sagsøgere. Federal Trade Commission undersøger ligeledes denne sag. Den federale lovgivning og enkeltstatslovgivningerne om beskyttelse af privatlivets fred giver ofte mulighed for private søgsmål for økonomisk erstatning. Ud over at være ansvarspådragende i henhold til erstatningsretten kan en overtrædelse af safe harbor-principperne samtidig udgøre en overtrædelse af en eller flere af de mange hundrede bestemmelser i den federale lovgivning eller enkeltstatslovgivningerne. Mange af disse lovbestemmelser, der vedrører den behandling af personoplysninger, der foretages både inden for den offentlige og private sektor, giver fysiske personer mulighed for at søge om erstatning, hvis deres rettigehder krænkes, f.eks.: Electronic Communications Privacy Act af 1986: Denne lov forbyder uautoriseret tapning af mobilopkald og transmissioner fra computer til computer. Overtrædelser af denne lov kan medføre erstatningsansvar på ikke mindre end 100 USD for hver dag, overtrædelsen finder sted. Loven beskytter ligeledes mod uautoriseret adgang eller videregivelse af lagrede elektroniske kommunikationer. Lovovertræderne er erstatningspligtige for den skade, de har forvoldt, eller kan få konfiskeret den gevinst, der kan tilskrives overtrædelsen. Telecommunications Act af 1996: Oplysninger om netværkskunder (customer proprietary network information - CPNI) må i henhold til paragraf 702 i denne lov ikke anvendes til andre formål end til at yde teletjenester. Abonnenter kan enten indgive en klage til Federal Communications Commission eller anlægge sag ved en underret (federal district court) for at få tilkendt erstatning og få dækket advokatsalæret. Consumer Credit Reporting Reform Act af 1996: Loven af 1996 har i forhold til Fair Credit Reporting Act af 1970 (FCRA) ført til en række forbedringer med hensyn til oplysningspligt og ret til indsigt for personer, der er genstand for kreditrapportering med henblik på vurdering af kreditværdighed (credit reporting). Med denne nye lov af 1996 blev der også indført nye begrænsninger for videresalg af forbrugerkreditrapporter (consumer credit reports). Forbrugere kan i tilfælde af krænkelse af deres rettigheder få tilkendt erstatning og få dækket advokatsalæret. Enkeltstatslovgivningerne beskytter også privatlivets fred i en lang række forskellige situationer. Enkeltstaterne har således grebet ind på mange forskellige områder, herunder med hensyn til bankoplysninger, oplysninger vedrørende kabelfjernsynsabonnementer, kreditoplysninger, personaleoplysninger, offentlige oplysninger, genetiske oplysninger og helbredsoplysninger, forsikringsoplysninger, skoleoplysninger, oplysninger om elektronisk kommunikation og leje af video(12) B. Udtrykkelige lovbestemte tilladelser Safe harbor-principperne indeholder en undtagelse i det tilfælde, hvor love, administrative bestemmelser eller retspraksis "medfører modstridende forpligtelser eller udtrykkelige tilladelser, såfremt foretagender i forbindelse med anvendelsen af sådanne tilladelser kan påvise, at de kun overtræder principperne i det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme". De amerikanske foretagender skal uanset deres deltagelse i safe harbor-ordningen helt klart overholde loven, når der i den amerikanske lovgivning forekommer modstridende forpligtelser. Mens safe harbor-principperne har til formål at kæde det amerikanske og det europæiske system for beskyttelse af privatlivets fred sammnen, skal vi med hensyn til de udtrykkelige tilladelser tage hensyn til vores folkevalgte lovgiveres prærogativer. Denne meget begrænsede undtagelse fra en streng overholdelse af safe harbor-principperne har til formål at tilgodese begge parters legitime interesser. Undtagelsen er begrænset til tilfælde, hvor der foreligger en udtrykkelig tilladelse (explicit authorization). Den pågældende lov, administrative bestemmelse eller domstolsafgørelse skal derfor først og fremmest udtrykkeligt tillade safe harbor-foretagendernes adfærd(13). Undtagelsen vil med andre ord ikke finde anvendelse, når der ikke udtrykkeligt står noget i loven. Undtagelsen finder desuden kun anvendelse, hvis den udtrykkelige tilladelse er i konflikt med safe harbor-principperne. Selv i disse tilfælde er undtagelsen begrænset til "det omfang, som er nødvendigt for at tilgodese de altovervejende legitime interesser, som den pågældende tilladelse har til hensigt at fremme". I tilfælde af en generel lovbestemmelse, der giver et foretagende mulighed for at give personoplysninger til offentlige myndigheder, vil undtagelsen eksempelvis ikke finde anvendelse. Når loven til gengæld giver et foretagende specifik tilladelse til at give personoplysninger videre til offentlige myndigheder uden den registreredes tilladelse, er der tale om en "udtrykkelig tilladelse" til at handle på en måde, der er i strid med safe harbor-principperne. Alternativt vil specifikke undtagelser fra udtrykkelige krav om oplysningspligt og samtykke være omfattet af undtagelsen (eftersom det ville være at sidestille med en specifik tilladelse til at videregive oplysningerne uden principperne om oplysningspligt om samtykke). En lovbestemmelse, der giver læger tilladelse til at give deres patienters journal videre til sundhedsmyndighederne uden patienternes forudgående tilladelse, vil f.eks. medføre en undtagelse fra principperne om oplysningspligt (notice) og valgfrihed (choice). Denne tilladelse giver ikke læger mulighed for at videregive samme helbredsoplysninger til sundhedsorganisationer eller kommercielle farmaceutiske forskningslaboratorier, hvilket ville falde uden for lovens formål og således uden for undtagelsens rækkevidde(14). Det retlige grundlag kan være en enkeltstående (stand alone) tilladelse til at foretage specifikke handlinger med personoplysninger, men som eksemplerne viser, vil det sandsynligvis være en undtagelse fra en mere generel lov, der forbyder indsamling, anvendelse eller videregivelse af personoplysninger. Telecommunications Act af 1996 I de fleste tilfælde er de tilladte anvendelser enten i overensstemmelse med kravene i direktivet og principperne, eller også ville de være tilladt i henhold til en af de andre undtagelser. Paragraf 702 i Telecommunications Act (kodificeret i United States Code, afsnit 47, paragraf 222) pålægger eksempelvis teleoperatører at behandle personoplysninger, som de kommer i besiddelse af i forbindelse med deres tjenesteydelser til forbrugerne, fortroligt. Denne bestemmelse giver specifikt teleoperatører tilladelse til: 1. at anvende kundeoplysninger til at yde teletjenesteydelser, herunder offentliggørelse af telefonbøger 2. at give kundeoplysninger til tredjemand efter skriftlig anmodning fra de pågældende kunder, og 3. at give kundeoplysninger i sammenfattet form. Jf. United States Code, afsnit 47, paragraf 222(c)(1)-(3). Loven indeholder ligeledes en undtagelse, der giver teleoperatører mulighed for at anvende kundeoplysninger: 1. til at iværksætte og yde deres tjenester samt fakturere og opkræve betaling for disse 2. til at beskytte mod svigagtig, lyssky eller ulovlig adfærd, og 3. til at foretage telemarketing, give oplysninger eller yde administrative tjenester under opkald foretaget af kunden(15). Jf. ligeledes paragraf 222(d)(1)-(3). Endelig pålægges teleoperatører at forsyne udgivere af telefonbøger med abonnentlister, der udelukkende må indeholde navne, adresser, telefonnumre og forretningsnumre. Jf. ligeledes paragraf 222(e). Undtagelsen vedrørende "udtrykkelige tilladelser" kan finde anvendelse, når teleoperatører anvender oplysninger om netværkskunder (CPNI) for at forebygge svig eller anden ulovlig praksis. Selv i sådanne tilfælde kan det betegnes som værende i "offentlighedens interesse" (public interest) og således i overensstemmelse med principperne. Forslag til regler fra Department of Health and Human Services Departement of Health and Human Services (HHS) har foreslået en række regler for beskyttelse af privatlivets fred med hensyn til personligt identificerbare helbredsoplysninger. Jf. 64 Fed. Reg. 59,918 (3. november 1999) (skal kodificeres til afsnit 45 i Code of Federal Regulations, paragraf 160-164). Med disse regler vil kravene med hensyn til beskyttelse af privatlivets fred i Health Insurance Portability and Accountability Act af 1996, Pub. L. 104-191 således blive indført. De foreslåede regler vil generelt forbyde de foretagender, der er omfattet af disse regler (dvs. sundhedsforetagender, datacentraler vedrørende sundhedsoplysninger og sundhedsformidlere, som overfører helbredsoplysninger i elektronisk format), at anvende eller videregive beskyttede helbredsoplysninger uden individuel tilladelse. Jf. forslag til afsnit 45 i Code of Federal Regulations, paragraf 164.506. Med disse regler må beskyttede helbredsoplysninger således kun videregives til to specifikke formål, nemlig 1) for at give fysiske personer mulighed for at kontrollere og kopiere helbredsoplysninger om dem selv, jf. ligeledes paragraf 164.514, og 2) for at håndhæve reglerne, jf. ligeledes paragraf 164.522. De foreslåede regler vil i begrænsede tilfælde tillade anvendelse eller videregivelse af beskyttede helbredsoplysninger uden specifik tilladelse fra de pågældende fysiske personer. Disse særlige tilfælde omfatter f.eks. tilsyn med sundhedssystemet, håndhævelse af loven og nødstilfælde. Jf. ligeledes paragraf 164.510. De foreslåede regler indeholder en meget detaljeret beskrivelse af begrænsningerne for disse anvendelser og videregivelser. De tilladte anvendelser og videregivelser af beskyttede helbredsoplysninger vil desuden være begrænset til det nødvendige minimum af oplysninger. Jf. ligeledes paragraf 164.506. De anvendelser, som de foreslåede regler udtrykkeligt tillader, er generelt i overensstemmelse med safe harbor-principperne, eller også tillades de i henhold til en anden undtagelse. Undtagelserne gælder således i forbindelse med håndhævelse af loven og justitsforvaltning ligesom i forbindelse med medicinsk forskning. Andre anvendelser, herunder tilsyn med sundhedssystemet, den offentlige sundhedssektor og myndighedernes databaser med helbredsoplysninger, er i offentlighedens interesse. Videregivelser med henblik på behandling af sygekassebetalinger og -præmier er nødvendige inden for sundhedssektoren. Anvendelser i forbindelse med nødsituationer med henblik på sammen med de nærmeste pårørende at drøfte behandlingen, når det "hverken rent praktisk eller med rimelighed" kan lade sig gøre at få patientens tilladelse, med henblik på at fastslå afdødes identitet eller dødsårsagen eller med henblik på at beskytte den registreredes eller andres vitale interesser. Anvendelsen i forbindelse med administration af værnepligtige eller andre særlige grupper af fysiske personer fremmer militærets opgave eller er nødvendig i andre krævende situationer. Sådanne anvendelser vil under alle omstændigheder sjældent finde anvendelse på forbrugere generelt. Det eneste, der er tilbage, er sundhedsforetagenders anvendelse af personoplysninger til fremstilling af patientlister. Selvom en sådan anvendelse ikke kan kvalificeres som værende af "vital" interesse, er disse patientlister til gavn for både patienter, venner og bekendte. Anvendelsesområdet for denne undtagelse er således ifølge sagens natur begrænset. Der er således en meget begrænset risiko for krænkelse af patienternes privatliv, når en undtagelse i henhold til en lovbestemt "udtrykkelig tilladelse" anvendes til dette formål. Fair Credit Reporting Act (FCRA) Europa-Kommissionen har udtrykt bekymring over, at en undtagelse i henhold til en "udtrykkelig tilladelse" (explicit authorization) vil medføre, at det beskyttelsesniveau, der opnås ved hjælp af Fair Credit Reporting Act (FCRA), betragtes som tilstrækkeligt (konstatering af tilstrækkelighed). Det vil dog ikke være tilfældet. Uden nogen specifik konstatering af et tilstrækkelig beskyttelsesniveau for FCRA vil de amerikanske foretagender, der ellers ville tage udgangspunkt i en sådan konstatering, være nødsaget til at tilslutte sig safe harbor-principperne i alle henseender. Det betyder, at de amerikanske foretagender blot behøver overholde FCRA, når beskyttelsesniveauet, der opnås ved hjælp af FCRA, overstiger princippernes. Derimod skal foretagenderne bringe deres praksis for behandling af personoplysninger i overensstemmelse med principperne, når beskyttelsesniveauet med FCRA ikke er på højde med princippernes. Undtagelsen vil ikke påvirke denne grundlæggende regel. Undtagelsen finder kun anvendelse, når den gældende lovgivning udtrykkeligt tillader en adfærd, som normalt ville være i strid med safe harbor-principperne. Undtagelsen vil ikke gælde på områder, hvor FCRA-kravene ikke lever op til safe harbor-principperne(16). Det er med andre ord ikke vores hensigt, at undtagelsen skal betyde, at alt det, som ikke kræves, derfor er "udtrykkeligt tilladt". Desuden finder undtagelsen kun anvendelse, når det, der udtrykkeligt tillades i henhold til den amerikanske lovgivning, er i strid med kravene i safe harbor-principperne. Den pågældende lovgivning skal opfylde begge disse krav, før det vil være tilladt at tilsidesætte principperne. F.eks. findes der i paragraf 604 i FCRA en udtrykkelig tilladelse, der giver forbrugerrapporteringsbureauer (consumer reporting agencies) mulighed for at udstede forbrugerrapporter i en lang række anførte tilfælde. Jf. paragraf 604 i FCRA. Hvis paragraf 604 således giver kreditrapporteringsbureauer (credit reporting agencies) tilladelse til at handle i strid med safe harbor-principperne, vil disse kreditrapporteringsbureauer påberåbe sig denne undtagelse (naturligvis medmindre en anden undtagelse finder anvendelse). Kreditrapporteringsbureauer skal rette sig efter domstolenes afgørelser og indstævninger for anklagejuryen (grand jury subpoenas), og offentlige bevillingsmyndigheders, sociale myndigheders og børnetilsynsmyndigheders anvendelse af kreditrapporter skal være i offentlighedens interesse. Jf. ligeledes paragraf 604(a)(1), (3)(D), og (4). Kreditrapporteringsbureauet behøver således til disse formål ikke påberåbe sig undtagelsen i henhold til den "udtrykkelige tilladelse". Et forbrugerrapporteringsbureau overholder safe harbor-principperne, når det handler i overensstemmelse med forbrugerens skriftlige instrukser. Jf. ligeledes paragraf 604(a)(2). Forbrugerrapporter kan ligeledes kun rekvireres til ansættelsesrelaterede formål, hvis forbrugeren har givet skriftlig tilladelse dertil (jf. ligeledes paragraf 604(a)(3)(B) og (b)(2)(A)(ii)), og det er kun tilladt i forbindelse med kredit- eller forsikringstransaktioner, der ikke foretages på forbrugerens initiativ, hvis forbrugeren ikke har fravalgt (opt-out) sådanne muligheder (jf. ligeledes paragraf 604(c)(1)(B)). FCRA forbyder således kreditrapporteringsbureauer at formidle helbredsoplysninger til ansættelsesrelaterede formål uden forbrugerens tilladelse. Jf. ligeledes paragraf 604(g). Sådanne anvendelser stemmer overens med principperne om oplysningspligt (notice) og valgfrihed (choice). Andre formål, der tillades i henhold til paragraf 604, omfatter transaktioner, der involverer forbrugeren, og derfor ville være tilladt i henhold til principperne. Jf. ligeledes paragraf 604(a)(3)(A) og (F). Den sidste anvendelse, der "tillades" i henhold til paragraf 604, vedrører de sekundære kreditmarkeder (secondary credit markets). Jf. ligeledes paragraf 604(a)(3)(E). Der er ingen konflikt mellem anvendelsen af forbrugerrapporter til dette formål og safe harbor-principperne per se. Det er rigtigt, at der i FCRA ikke er noget krav om, at kreditrapporteringsbureauer f.eks. skal underrette forbrugerne og indhente deres tilladelse, når de udsteder rapporter til dette formål. Vi vil dog gerne igen understrege det faktum, at et manglende krav ikke er ensbetydende med en "udtrykkelig tilladelse" til at handle på en anden måde end påkrævet. På tilsvarende vis må kreditrapporteringsbureauer i henhold til paragraf 608 formidle visse personoplysninger til offentlige myndigheder. Denne "tilladelse" giver ikke et kreditrapporteringsbureau lov til at tilsidesætte sin forpligtelse til at overholde safe harbor-principperne. Dette står således i kontrast med vores andre eksempler, hvor undtagelser fra principperne om oplysningspligt og valgfrihed medfører en udtrykkelig tilladelse til at anvende personoplysninger uden at overholde disse to principper. Konklusion Selv denne meget summariske gennemgang af de gældende regler giver alligevel et tydeligt billede: - En "udtrykkelig tilladelse" i loven giver generelt mulighed for anvendelse eller videregivelse af personoplysninger uden den registreredes forudgående tilladelse, men undtagelsen vil som regel være begrænset til principperne om oplysningspligt og valgfrihed. - De lovbestemte undtagelser er i de fleste tilfælde nøje beskrevet med henblik på kun at finde anvendelse i særlige situationer og til specifikke formål. Under alle omstændigheder forbyder loven uautoriseret anvendelse eller videregivelse af personoplysninger, der ikke falder inden for disse specifikke grænser. - Den tilladte anvendelse eller videregivelse afspejler i de fleste tilfælde lovens ønske om at tjene offentlighedens interesse. - Den tilladte anvendelse eller videregivelse er i næsten alle tilfælde enten i fuld overensstemmelse med safe harbor-principperne eller omfattet af en af de andre tilladte undtagelser. Det kan konkluderes, at en undtagelse i henhold til en lovbestemt "udtrykkelig tilladelse" i sagens natur har et begrænset anvendelsesområde. C. Fusioner og overtagelser Artikel 29-gruppen har udtrykt bekymring for de situationer, hvor et foretagende, der deltager i safe harbor-ordningen, overtages eller fusionerer med et foretagende, der ikke har forpligtet sig til at overholde disse principper. Gruppen antager tilsyneladende, at det fortsættende foretagende ikke vil være forpligtet til at anvende safe harbor-principperne på personoplysninger fra det ophørende foretagende, hvilket dog ikke nødvendigvis er tilfældet i henhold til den amerikanske lovgivning. Den overordnede regel i USA med hensyn til fusioner og overtagelser er, at et foretagende, der erhverver et andet foretagendes aktier, generelt overtager de forpligtelser og det ansvar, der påhviler det ophørende foretagende. Jf. 15 Fletcher Cyclopedia of the Law of Private Corporations, paragraf 7117 (1990); jf. ligeledes Model Bus. Corp. Act, paragraf 11.06(3) (1979) ("det fortsættende selskab overtager alle de forpligtelser, som de ophørende selskaber havde inden fusionen"). Med denne metode vil det "overlevende" foretagende ved fusion med eller overtagelse af et safe harbor-foretagende med andre ord være bundet af sidstnævntes safe harbor-forpligtelser. Selvom en fusion eller overtagelse finder sted gennem køb af et andet foretagendes aktiver, kan de forpligtelser, der påhvilede det opkøbte foretagende, desuden i visse tilfælde alligevel forpligte det foretagende, der køber. Jf. 15 Fletcher, paragraf 7122. Selv når forpligtelserne ikke følger med i fusionen, er det dog værd at bemærke, at de heller ikke ville følge med i en fusion, når oplysningerne er blevet overført fra Europa i henhold til en aftale, hvilket er det eneste holdbare alternativ til safe harbor-principperne for dataoverførsel til USA. Hertil kommer, at det i safe harbor-dokumenternes nuværende udgave nu kræves, at alle safe harbor-foretagender underretter det amerikanske handelsministerium om enhver overtagelse og kun giver mulighed for fortsat at overføre oplysninger til det overtagende foretagende, såfremt det tilslutter sig safe harbor-ordningen, jf. FAQ nr. 6. USA har nemlig ændret safe harbor-bestemmelserne, således at de amerikanske foretagender i denne situation pålægges at slette de oplysninger, som de har modtaget inden for rammerne af safe harbor-ordningen, såfremt deres safe harbor-deltagelse ikke fortsætter, eller der ikke iværksættes andre passende sikkerhedsforanstaltninger. (1) Second Restatement of the Law - Torts (erstatningsretten); American Law Institute (1997). (2) Dette kan f.eks. være tilfældet, når fysiske personer i tillid til det amerikanske foretagendes safe harbor-forpligtelse har givet den registeransvarlige tilladelse til at overføre deres personoplysninger til USA. (3) Pavesich v. New England Life Ins. Co., 50 S.E. 68 (Ga. 1905). (4) Jf. ligeledes 69. (5) En elektronisk søgning i Westlaw-databasen har vist, at der siden 1995 er blevet anlagt 2703 civile søgsmål ved enkeltstatsretterne vedrørende privatlivets fred. Vi har tidligere givet Kommissionen oplysninger om denne søgning. (6) Jf. f.eks. forfatningen i Alaska, artikel 1, afsnit 22; Arizona, artikel 2, afsnit 8; Californien, artikel 1, afsnit 1; Florida, artikel 1, afsnit 23; Hawaii, artikel 1, afsnit 5; Illinois, artikel 1, afsnit 6; Louisiana, artikel 1, afsnit 5; Montana, artikel 2, afsnit 10; New York, artikel 1, afsnit 12; Pennsylvania, artikel 1, afsnit 1; South Carolina, artikel 1, afsnit 10; og Washington, artikel 1, afsnit 7. (7) Jf. ligeledes kapitel 28, afsnit 652B. (8) Jf. ligeledes kapitel 28, afsnit 652C. (9) Jf. ligeledes kapitel 28, afsnit 652D. (10) Jf. ligeledes kapitel 28, afsnit 652E. (11) Vi har tidligere givet Kommissionen oplysninger om søgsmål af begrænset værdi. (12) En nyere søgning i Westlaw-databasen gav 994 registrerede sager på enkeltstatsniveau, der vedrørte erstatningskrav på grund af krænkelse af privatlivets fred. (13) Det skal præciseres, at der i det retlige grundlag ikke behøver være nogen specifik reference til safe harbor-principperne. (14) På tilsvarende vis kan lægen i dette eksempel ikke under henvisning til det retlige grundlag tilsidesætte fysiske personers ret i henhold til FAQ nr. 12 til at vælge fra (opt-out) med hensyn til direkte marketing. Anvendelsesområdet for enhver "udtrykkelig tilladelse" er nødvendigvis begrænset til tilladelsens anvendelsesområde i henhold til loven. (15) Denne begrænsning har et meget begrænset anvendelsesområde. Teleoperatører kan i henhold til bestemmelsen kun anvende oplysninger om netværkskunder (customer proprietary network information) under et opkald foretaget af kunden selv. FCC har desuden oplyst, at teleoperatører ikke må anvende oplysninger om netværkskunder til at markedsføre tjenesteydelser ud over det, som kunden selv har anmodet om. Endelig må det konstateres, at denne bestemmelse ikke er nogen rigtig "undtagelse", eftersom kunden skal tillade anvendelsen af disse oplysninger til dette formål. (16) Vores drøftelser på dette område skal ikke betragtes som en indrømmelse af, at FCRA ikke giver en "tilstrækkelig" beskyttelse. Enhver vurdering af FCRA skal tage højde for den beskyttelse, der opnås ved hjælp af loven i sin helhed, og ikke fokusere på undtagelserne, således som det er tilfældet her. BILAG V Den 14. juli 2000 John Mogg Generaldirektør GD for Det Indre Marked Europa-Kommissionen Kontor C 107-6/72 Rue de la Loi/Wetstraat 200 B - 1049 Bruxelles/Brussel Hr. John Mogg Min skrivelse af 29. marts i år har tilsyneladende givet anledning til en række spørgsmål, hvorfor jeg henvender mig igen for at redegøre for vores kompetence på de berørte områder. Desuden vil denne skrivelse, der supplerer og sammenfatter nogle af de tidligere skrivelser, fremover med fordel kunne fungere som referencedokument. De har i forbindelse med Deres besøg her på stedet og i Deres skrivelser stillet en række spørgsmål omkring den amerikanske Federal Trade Commissions (FTC) beføjelser inden for beskyttelse af privatlivets fred ved onlinetjenester, og jeg har derfor vurderet, at det ville være nyttig at sammenfatte mine tidligere besvarelser og give Dem yderligere oplysninger om FTC's kompetence vedrørende de aspekter af beskyttelsen af privatlivets fred, som De har fremhævet i Deres seneste skrivelse. Mere specifikt spørger De 1) om FTC har kompetence i sager om overførsel af ansættelsesrelaterede oplysninger, der foregår i strid med de amerikanske safe harbor-principper, 2) om FTC har kompetence i forbindelse med nonprofit-mærkningsordninger til beskyttelse af privatlivets fred, 3) om FTC Act finder ensartet anvendelse på offline- og onlinetjenester samt 4) hvad der sker i tilfælde af sammenfald mellem FTC's og andre retshåndhævende organers kompetence. Anvendelse af FTC Act til beskyttelse af privatlivets fred FTC's retlige beføjelser på dette område har hjemmel i paragraf 5 i FTC Act, der forbyder "illoyal eller vildledende handelspraksis"(1). En vildledende praksis defineres som en erklæring, en udeladelse eller en adfærd, der antages på afgørende vis at kunne vildledende en bonus pater. En praksis betegnes som illoyal, hvis den medfører eller kan antages at ville medføre en betydelig skade for forbrugerne, der ikke på rimelig vis kan undgås, og som ikke opvejes af andre fordele for forbrugerne eller den almindelige konkurrencesituation(2). Visse former for indsamling af oplysninger kan således antages at være i strid med FTC Act. Hvis det f.eks. i forbindelse med et websted urigtigt påstås, at det er i overensstemmelse med et erklæret program til beskyttelse af privatlivets fred eller et sæt retningslinjer for selvregulering, er der i paragraf 5 i FTC Act hjemmel for at gøre indsigelse mod en sådan praksis med påstand om, at den er vildledende. Det er således lykkedes os at håndhæve loven på en måde, der har gjort det muligt at fastslå dette princip(3). FTC har desuden besluttet i henhold til paragraf 5 at gøre indsigelse mod enhver illoyal praksis inden for beskyttelse af privatlivets fred, hvis den involverer børn eller anvendelsen af meget følsomme oplysninger, herunder finansielle oplysninger(4) og helbredsoplysninger. FTC har allerede og agter fortsat at håndhæve loven gennem aktiv overvågning og undersøgelse samt på grundlag af de sager, som bliver henvist fra selvreguleringsforetagender og andre, herunder EU-medlemsstater. FTC støtter selvregulering FTC vil give højeste prioritet til sager vedrørende manglende overholdelse af retningslinjerne for selvregulering, der henvises fra foretagender som f.eks. BBBOnline og TRUSTe(5). Denne fremgangsmåde vil være i overensstemmelse med vores mangeårige samarbejde med National Advertising Review Board (NARB) under Better Business Bureau, der henviser klager vedrørende reklamer til FTC. National Advertising Division (NAD) under NARB træffer afgørelse i klager vedrørende landsdækkende reklamesager ved en form for påkendelse (adjudicative process). Når en part nægter at rette sig efter en afgørelse, truffet af NAD, henvises sagen til FTC, hvor den får fortrinsret og undersøges af FTC's sagsbehandlere med henblik på at fastslå, om den anfægtede reklame er i strid med FTC Act, og FTC opnår ofte at stoppe den anfægtede adfærd eller at overbevise parten om at genoptage NARB-proceduren. FTC giver ligeledes højeste prioritet til sager om manglende overholdelse af safe harbor-principperne, der henvises fra EU-medlemsstaterne. Ligesom det er tilfældet med sager, der henvises fra de amerikanske selvreguleringsforetagender, vil FTC's sagsbehandlere tage enhver oplysning om, hvorvidt den anfægtede praksis er i strid med paragraf 5 i FTC Act eller ej, til efterretning. Denne forpligtelse fremgår ligeledes af safe harbor-principperne under FAQ nr. 11 om håndhævelse. GeoCities: FTC's første sag om beskyttelse af privatlivets fred ved onlinetjenester FTC's første sag om beskyttelse af privatlivets fred på Internet - GeoCities - blev indledt på grundlag af FTC's beføjelser i henhold til paragraf 5(6). FTC's påstand i denne sag var, at GeoCities misinformerede både børn og voksne om, hvorledes deres personoplysninger ville blive anvendt. Ifølge FTC's klage oplyste GeoCities, at visse personoplysninger, som foretagendet indsamlede gennem sit websted, kun var beregnet til intern brug eller til at give forbrugerne reklamer for de specifikke varer eller tjenester, som de havde anmodet om, samt at visse supplerende og "valgfri" oplysninger ikke ville blive videregivet til tredjemand uden forbrugerens tilladelse. Oplysningerne blev imidlertid videregivet til tredjemand, der anvendte dem til målrettede henvendelser, hvortil forbrugeren ikke havde givet sin tilladelse. Et af klagepunkterne var ligeledes, at GeoCities' praksis med hensyn til indsamlingen af oplysninger fra børn var vildledende. I henhold til FTC's klage oplyste GeoCities, at de på deres websted havde et område for børn, og at de oplysninger, der blev indsamlet her, blev administreret af GeoCities. I virkeligheden blev disse områder på webstedet drevet af tredjemand, der indsamlede og opbevarede oplysningerne. Afgørelsen i denne sag forbyder GeoCities at misinformere om formålet for indsamlingen eller anvendelsen af personoplysninger fra eller om kunder, herunder børn. Foretagendet pålægges at anbringe en klar og tydelig meddelelse om beskyttelse af privatlivets fred (Privacy Notice) på sin hjemmeside, således at forbrugerne informeres om, hvilke oplysninger der indsamles, til hvilket formål de indsamles, til hvem de vil blive videregivet, og om hvorledes forbrugerne kan få indsigt i og eventuelt fjerne disse oplysninger. For at sikre forældrekontrol pålægges GeoCities ligeledes at indhente tilladelse fra forældrene, inden de indsamler personoplysninger fra børn under 13 år. GeoCities pålægges desuden at underrette sine abonnenter og give dem mulighed for at få deres personoplysninger slettet fra GeoCities' og enhver tredjemands database, og helt specifikt skal GeoCities underrette forældre til børn under 13 år og slette deres personoplysninger, medmindre en af forældrene udtrykkeligt giver sin tilladelse til, at oplysningerne opbevares og anvendes. Endelig pålægges GeoCities at kontakte enhver tredjemand, hvortil foretagendet tidligere har videregivet oplysninger, for at anmode om, at også disse oplysninger slettes(7). ReverseAuction.com I januar 2000 accepterede FTC at tage en klage under påkendelse og indgik efterfølgende forlig med ReverseAuction.com, som er et websted, der beskæftiger sig med onlineauktioner, og som i henhold til klagen indhentede personoplysninger om forbrugerne fra et konkurrerende websted (eBay.com) for derefter at fremsende vildledende og uønsket e-post for at markedsføre sig selv over for de pågældende forbrugere(8). Vi gjorde gældende i vores klage, at ReverseAuction overtrådte paragraf 5 i FTC Act ved at indhente personoplysninger, der omfattede eBay-brugernes e-post-adresser og brugeridentifikation (user ID), og ved at fremsende vildledende e-post. Som beskrevet i klagen lod ReverseAuction sig registrere som eBay-bruger, inden foretagendet indhentede oplysningerne, og det forpligtede sig til at overholde eBays brugeraftale og retningslinjer for beskyttelse af privatlivets fred. Brugeraftalen og retningslinjerne beskytter forbrugernes privatliv ved at forbyde eBay-brugerne at indsamle og anvende personoplysninger til uautoriserede formål, herunder fremsendelse af uønsket kommerciel e-post. Den principale påstand i vores klage var, at ReverseAuction havde misinformeret om, hvorvidt de ville overholde eBays brugeraftale og retningslinjer for beskyttelse af privatlivets fred, hvilket udgør en vildledende praksis i henhold til paragraf 5 i FTC Act. Subsidiært gjorde vi i vores klage gældende, at ReverseAuctions anvendelse af oplysningerne til fremsendelse af uønsket kommerciel e-post i strid med brugeraftalen og retningslinjerne for beskyttelse af privatlivets fred udgjorde en illoyal handelspraksis i henhold til paragraf 5 i FTC Act. Det blev desuden gjort gældende i klagen, at e-posten til brugerne indeholdt en vildledende sætning, der informerede dem om, at deres bruger-id til eBay "snart ville udløbe". Endelig blev det gjort gældende, at e-posten urigtigt informerede om, at eBay direkte eller indirekte forsynede ReverseAuction med eBay-brugernes personoplysninger eller på anden vis deltog i fremsendelsen af den uønskede e-post. Afgørelsen, der blev afsagt i denne sag, forhindrer ReverseAuction i fremover at begå disse overtrædelser. ReverseAuction pålægges ligeledes at fremsende en meddelelse til de brugere, der som følge af ReverseAuctions e-post lod sig registrere eller agter at lade sig registrere hos ReverseAuction. Det skal af denne meddelelse til brugerne fremgå, at deres bruger-id til eBay ikke var ved at udløbe, og at eBay ikke var bekendt med eller havde tilladt ReverseAuctions fremsendelse af uønsket e-post. Meddelelsen skal ligeledes give disse brugere mulighed for at annullere deres registrering hos ReverseAuction og for at få deres personoplysninger slettet fra ReverseAuctions database. Desuden pålægges ReverseAuction med denne afgørelse at slette samt afstå fra at anvende eller videregive personoplysninger om eBay-abonnenter, der modtog ReverseAuctions e-post, men ikke lod sig registrere hos ReverseAuction. Ligesom i tidligere afgørelser i sager, om FTC har rejst vedrørende beskyttelsen af privatlivets fred, blev ReverseAuction endeligt pålagt at offentliggøre deres eget program til beskyttelse af privatlivets fred på deres websted, og afgørelsen indeholder omfattende bestemmelser, der giver FTC mulighed for at overvåge, om afgørelsen overholdes. ReverseAuction-sagen viser, at FTC bestræber sig på at anvende retshåndhævelse til at understøtte industriens selvregulering inden for beskyttelse af privatlivets fred ved onlinetjenester. Der blev således i denne sag gjort direkte indsigelse mod en praksis, der underminerede en brugeraftale og et program til beskyttelse af privatlivets fred, og som kunne forringe brugernes tillid til online-firmaers foranstaltninger til beskyttelse af privatlivets fred. Fordi denne sag omfattede et foretagendes uretmæssige tilegnelse af brugeroplysinger, der var beskyttet af et andet foretagendes program til beskyttelse af privatlivets fred, kan den være særlig relevant med hensyn til beskyttelse af personoplysninger, der overføres mellem foretagender i forskellige lande. Til trods for FTC's retshåndhævende tiltag i sagerne vedrørende GeoCities, Liberty Financial Cos. og ReverseAuction er styrelsens beføjelser på visse områder inden for beskyttelse af privatlivets fred ved onlinetjenester mere begrænsede. Som anført ovenfor finder FTC Act kun anvendelse på indsamling og anvendelse af personoplysninger, der foregår uden tilladelse, men kun såfremt den pågældende handelspraksis er enten vildledende eller illoyal. FTC Act vil således ikke finde anvendelse på websteder, der indsamler personoplysninger fra brugere, hvis der ikke er blevet misinformeret om formålet for den pågældende indsamling, eller hvis oplysningerne ikke er blevet anvendt eller videregivet på en måde, der kan medføre betydelig skade for brugerne. FTC har således ikke i øjeblikket kompetence til at kræve, at foretagender, der indsamler oplysninger via Internet, generelt tilslutter sig et program til beskyttelse af privatlivets fred, eller at et foretagende tilslutter sig et specifikt program(9). Som anført ovenfor kan et foretagendes manglende overholdelse af et beskyttelsesprogram, som det har erklæret at ville overholde, dog betragtes som en vildledende praksis. FTC's kompetence på dette område omfatter desuden kun illoyale eller vildledende handlinger eller praksiser, hvis de er handelsrelaterede (in or affecting commerce). Indsamling af oplysninger, der foretages af kommercielle foretagender, der markedsfører produkter eller tjenester, herunder indsamling og anvendelse af oplysninger til kommercielle formål, vil sandsynligvis opfylde kravet om "handelsrelateret" aktivitet. På den anden side kan mange fysiske personer eller foretagender indsamle onlineoplysninger uden noget kommercielt formål, hvorfor de ikke vil være omfattet af FTC's kompetence. Et eksempel på denne begrænsning er "chat rooms", der drives af ikke-kommercielle foretagender, f.eks. velgørende organisationer. Endelig er det er antal fuldstændige eller delvise lovbestemte undtagelser fra FTC's grundlæggende kompetence med hensyn til handelspraksiser, der begrænser FTC's evne til på fyldestgørende vis at behandle alle anliggender vedrørende beskyttelse af privatlivets fred på Internet. Det gælder således undtagelser for mange informationsintensive forbrugerorienterede foretagender som banker, forsikringsselskaber og flyselskaber. Som bekendt vil disse foretagender være underlagt andre federale eller statslige styrelser, herunder de federale bankstyrelser (federal banking agencies) eller transportministeriet. I de sager, hvor FTC har kompetence, accepterer og, i det omfang ressourcerne tillader det, behandler styrelsen klager fra forbrugerne, der indgives via e-post eller telefon til styrelsens forbrugertjeneste (Consumer Response Center) og på det seneste på sit websted(10). Forbrugertjenesten accepterer klager fra alle forbrugere, herunder forbrugere bosiddende i EU-medlemsstaterne. FTC Act giver FTC passende beføjelse til at udstede forbud eller påbud mod nye overtrædelser af FTC Act samt til at give genoprettelse til forbrugerne, der har lidt skade. Vi vil dog undersøge, om der for det pågældende foretagende tegner sig et mønster af ulovlig adfærd, eftersom vi ikke behandler individuelle forbrugerklager. FTC har i løbet af årene givet genoprettelse til borgere både i USA og i andre lande(11). FTC vil fortsat gøre sine beføjelser gældende med henblik på i de relevante sager at give genoprettelse til borgere fra andre lande, der har lidt skade som følge af en vildledende praksis, der er omfattet af styrelsens kompetence. Ansættelsesrelaterede oplysninger De bad i Deres seneste skrivelse om en yderligere redegørelse for FTC's kompetence med hensyn til ansættelsesrelaterede oplysninger. Det første spørgsmål lyder på, om FTC i henhold til paragraf 5 kan gribe ind over for et foretagende, der påstår, at det overholder de amerikanske safe harbor-principper, men overfører eller anvender ansættelsesrelaterede oplysninger på en måde, der er i strid med disse principper. Vi vil gerne forsikre Dem om, at vi efter nøje at have gennemgået den for FTC relevante lovgivning, de dermed forbundne tekster og den relevante retspraksis har konkluderet, at FTC har samme kompetence med hensyn til ansættelsesrelaterede oplysninger som generelt i henhold til paragraf 5 i FTC Act(12). Dette viser således, at vi, såfremt en sag opfylder vores gældende krav (illoyal eller vildledende handelspraksis) for at indlede et søgsmål vedrørende beskyttelse af privatlivets fred, også vil gribe ind i forbindelse med ansættelsesrelaterede oplysninger. Vi ønsker ligeledes at afvise enhver påstand om, at FTC's evne til at træffe håndhævelsesforanstaltninger med hensyn til beskyttelse af privatlivets fred skulle være begrænset til situationer, hvor et foretagende har vildledt individuelle forbrugere. Som FTC's sag mod ReverseAuction(13) tydeligt viser, agter FTC at anlægge sag for krænkelse af privatlivets fred i sager, der vedrører dataoverførsler mellem foretagender, når det gøres gældende, at et af foretagenderne har optrådt ulovligt over for et andet foretagende og således har forårsaget skade for både forbrugere og foretagender. Vi forventer, at problemerne omkring ansættelsesrelaterede oplysninger oftest vil opstå i disse situationer, eftersom ansættelsesrelaterede oplysninger om EU-borgere overføres fra europæiske til amerikanske foretagender, der har forpligtet sig til at overholde safe harbor-principperne. Vi vil gerne gøre opmærksom på et særligt tilfælde, hvor FTC's muligheder dog vil være begrænsede, nemlig i situationer, hvor sagen allerede behandles inden for rammerne af en traditionel arbejdsretlig procedure, som oftest i forbindelse med en klage eller voldgift eller en klage over illoyal arbejdspraksis ved National Labor Relations Board. Det kan f.eks. være tilfældet, hvis en arbejdsgiver har forpligtet sig til at overholde en fælles overenskomst vedrørende anvendelsen af personoplysninger, og en ansat eller en fagforening gør gældende, at den pågældende arbejdsgiver har misligholdt overenskomsten. FTC vil sandsynligvis afvise en sådan sag(14). Kompetence med hensyn til mærkningsordninger Deres andet spørgsmål lyder på, om FTC har kompetence med hensyn til amerikanske mærkningsordninger med kompetence inden for bilæggelse af tvister, der har fejlfortolket deres rolle med hensyn til håndhævelsen af safe harbor-principperne og behandlingen af individuelle klager, selv når disse enheder teknisk set ikke var profitsøgende. For at finde ud af, om FTC har kompetence over et foretagende, der erklærer at være nonprofitsøgende, undersøger vi nøje, om det pågældende foretagende derimod er profitsøgende på vegne af sine medlemmer. Styrelsen har konstateret at have kompetence over sådanne foretagender, og så sent som den 24. maj 1999 bekræftede den amerikanske højesteret i sagen mellem California Dental Association og Federal Trade Commission ensstemmigt, at FTC i en sag om monopol havde kompetence over en frivillig nonprofitsøgende sammenslutning af lokale tandklinikker. Retten udtalte således: "FTC Act omfatter ikke alene foretagender, der 'har til formål at drive erhvervsvirksomhed for egen vindings skyld' (United States Code, afsnit 15, paragraf 44), men også foretagender, der søger at opnå en økonomisk fordel 'for sine medlemmer'. (...) Det er således usandsynligt, at kongressen har haft til hensigt i denne grad at begrænse anvendelsesområdet for 'støtteforetagender' og dermed give mulighed for at omgås loven, når formålet med FTC Act netop er at gøre loven gældende." For at fastslå, om FTC har kompetence over et bestemt nonprofitforetagende, der varetager en mærkningsordning, vil det således kræve en faktuel gennemgang af, i hvilket omfang det pågældende foretagende har skaffet økonomiske fordele for sine profitsøgende medlemmer. Hvis et sådant foretagende har forvaltet mærkningsordningen på en måde, der har medført en økonomisk fordel for sine medlemmer, vil FTC antageligt gøre sin kompetence gældende. Som et separat punkt vil FTC antageligt have kompetence over en svigagtig mærkningsordning, der ikke som ellers oplyst er nonprofitsøgende. Beskyttelse af privatlivets fred ved offlinetjenester De bemærker for det tredje, at vi i vores tidligere korrespondancer har fokuseret på beskyttelse af privatlivets fred i forbindelse med onlinetjenester. FTC har lagt størst vægt på beskyttelsen af privatlivets fred ved onlinetjenester som en afgørende faktor for udviklingen af den elektroniske handel, men FTC Act stammer fra 1914 og finder således også anvendelse på offlinetjenester. Vi kan således sagsøge foretagender, der tilbyder offlinetjenester, og som anvender en illoyal eller vildledende handelspraksis med hensyn til forbrugernes privatliv(15). I en sag, der blev rejst af FTC sidste år (FTC v. TouchTone Information, Inc.(16)), blev en "informationsformidler" således anklaget for uretmæssigt at have indhentet og solgt forbrugeres private økonomiske oplysninger. FTC gjorde gældende, at TouchTone skaffede sig adgang til forbrugernes oplysninger "under foregivende" (pretexting), hvilket er en teknisk betegnelse, der anvendes af private opdagere for at beskrive, at man skaffer sig adgang til personoplysninger om andre under falsk påskud, typisk pr. telefon. Der er i sagen, der blev anmeldt den 21. april 1999, ved retten i Colorado, nedlagt påstand om forbud og tilbagebetaling af den uretmæssige økonomiske gevinst. Disse erfaringer med håndhævelse af loven og den voksende bekymring på grund af oprettelsen af offline- og onlinedatabaser, den udflydende sondring mellem online- og offlineoperatører og det faktum, at en betydelig mængde personoplysninger indsamles og anvendes offline, gør det klart, at der kræves en særlig indsats med hensyn til beskyttelsen af privatlivets fred i forbindelse med offlinetjenester. Sammenfaldende kompetence Endelig stiller De spørgsmålet om samspillet mellem FTC's og andre retshåndhævende organers kompetence, især i sager med potentielt sammenfaldende kompetence. Vi har udviklet et stærkt samarbejde med en lang række andre retshåndhævende organer, herunder federale bankstyrelser og de offentlige anklagere. Vi koordinerer ofte vores undersøgelser for at anvende vores ressourcer optimalt i sager med sammenfaldende kompetence. Vi kan ligeledes henvise sager til den relevante styrelse på federalt eller statsligt niveau med henblik på undersøgelse. Jeg håber, De vil kunne drage nytte af denne skrivelse, og står naturligvis til rådighed, såfremt De måtte ønske yderligere oplysninger. Med venlig hilsen Robert Pitofsky (1) United States Code, afsnit 15, paragraf 45. Fair Credit Reporting Act finder ligeledes anvendelse på indsamling og salg af Internetoplysninger, der er omfattet af lovdefinitionerne af "forbrugerrapport" (consumer report) og "forbrugerrapportbureau" (consumer reporting agency). (2) United States Code, afsnit 15, paragraf 45(n). (3) Jf. GeoCities, sagsnr. C-3849, Final order af 12. februar 1999, tilgængelig på www.ftc.gov/os/1999/9902/9823015d%26o.htm; Liberty Financial Cos., sagsnr. C-3891, Final order af 12. august 1999, tilgængelig på www.ftc.gov/opa/1999/9905/younginvestor.htm. Jf. ligeledes Children's Online Privacy Protection Act Rule (COPPA), 16 C.F.R. del 312, tilgængelig på www.ftc.gov/opa/1999/9910/childfinal.htm. Det kræves i henhold til COPPA-reglen, der trådte i kraft forrige måned, at operatører af websteder, der henvender sig til børn under 13 år, eller som bevidst indsamler personoplysninger fra børn under 13 år, følger de principper for god informationspraksis (fair information practice standards), der er fastsat i reglen. (4) Jf. FTC v. Touch Tone, Inc., civilt søgsmål nr. 99-WM-783 (D.Co.), anmeldt den 21. april 1999, tilgængelig på www.ftc.gov/opa/1999/9904/touchtone.htm. Udtalelse (Staff Opinion Letter) af 17. juli 1997, udstedt som svar på en anmodning om retsmøde fra Center for Media Education, tilgængelig på www.ftc.gov/os/1997/9707/cenmed.htm. (5) FTC anlagde således for nylig sag ved en federal domstol (district court) mod et TRUSTe-godkendt foretagende, Toysmart.com, for at opnå et forbud og en anerkendelsesdom med henblik på at forhindre salget af fortrolige, personlige kundeoplysninger, der var blevet indsamlet på foretagendets websted i strid med dets egne retningslinjer til beskyttelse af privatlivets fred. FTC fik kendskab til denne eventuelle lovovertrædelse direkte fra TRUSTe. Jf. FTC v. Toysmart.com, LLC, civilt søgsmål nr. 00-11341-RGS (D.Ma.), anmeldt den 11. juli 2000, tilgængelig på www.ftc.gov/opa/2000/07/toysmart.htm. (6) GeoCities, sagsnr. C-3849, Final order af 12. februar 1999, tilgængelig på www.ftc.gov/os/1999/9902/9823015d%26o.htm. (7) FTC havde senere en anden sag, der vedrørte onlineindsamling af personoplysninger fra børn foretaget af Liberty Financial Companies, Inc., der drev webstedet Young Investor, som henvendte sig til børn og teenagere og fokuserede på penge- og investeringsrelaterede emner. FTC gjorte gældende, at webstedet urigtigt oplyste, at de personoplysninger, der blev indsamlet fra børn i forbindelse med en undersøgelse, ville blive behandlet anonymt, og at deltagerne ville modtage et elektronisk nyhedsbrev og gaver. Personoplysningerne om børnene og familiens økonomiske forhold blev i virkeligheden ikke opbevaret anonymt, og der blev ikke fremsendt hverken nyhedsbrev eller gaver. Liberty Financial forbydes med dette forlig fremover at afgive sådanne misvisende oplysninger, og foretagendet pålægges på sine websteder for børn at anbringe en meddelelse vedrørende beskyttelse af privatlivets fred samt at indhente verificerbar godkendelse fra forældrene, inden der indsamles personoplysninger fra børn. Liberty Financial Cos., sagnr. C-3891, Final order af 12. august 1999, tilgængelig på www.ftc.gov/opa/1999/9905/younginvestor.htm. (8) Jf. ReverseAuction.com, Inc., civilt søgsmål nr. 000032 (D.D.C.), anmeldt den 6. januar 2000, pressemeddelelse og processkrifter: www.ftc.gov/opa/2000/01/reverse4.htm. (9) FTC har af denne årsag over for den amerikanske kongres tilkendegivet, at det sandsynligvis ville blive nødvendigt at vedtage yderligere lovgivning for at gøre det lovpligtigt for alle amerikanske kommercielle websteder, der henvender sig direkte til forbrugerne, at overholde specifikke krav om loyal information - "Consumer Privacy on the World Wide Web" fremlagt for Subcommittee on Telecommunications, Trade and Consumer Protection of the House, Committee on Commerce, United States House of Representatives, 21. juli 1998, tilgængelig på www.ftc.gov/os/9807/privac98.htm. FTC har udsat sin anmodning om en sådan lovgivning, for at der skal være tid til at opnå resultater med selvreguleringsbestræbelserne i form af en generel anvendelse af praksiser for loyal information på webstederne. I FTC's rapport til kongressen vedrørende beskyttelse af privatlivets fred ved onlinetjenester (Privacy Online: A Report to Congress) af juni 1998 (tilgængelig på www.ftc.gov/reports/privacy3/toc.htm) anbefalede FTC, at der i lovgivningen skulle være et krav om, at kommercielle websteder skal indhente forældrenes tilladelse, inden der indsamles personoplysninger fra børn under 13 år. Jf. ligeledes fodnote 3 ovenfor. Det blev i FTC's rapport (Self-Regulation and Privacy Online: A Federal Trade Commission Report to Congress), af juli 1999 (tilgængelig på www.ftc.gov/os/1999/9907/index.htm 13) konstateret, at der var sket tilstrækkelige fremskridt inden for selvregulering, og at FTC således dengang valgte ikke at anbefale yderligere lovgivning på dette område. FTC aflagde i maj 2000 en tredje rapport til kongressen om "Privacy Online: Fair Information Practices in the Electronic Marketplace" (rapporten kan læses på www.ftc.gov/os/2000/05/index.htm 22), der behandler FTC's seneste undersøgelse af kommercielle websteder og deres overholdelse af god informationspraksis. I rapporten anbefales det ligeledes (af et flertal i udvalget), at kongressen vedtager en lovgivning, der gør det muligt at etablere et minimumsniveau med hensyn til beskyttelse af privatlivets fred i forbindelse med kommercielle, kundeorienterede websteder. (10) Jf. http://www.ftc.gov/ftc/complaint.htm for FTC's online-klageformular. (11) For eksempel i en sag af nyere dato, der vedrørte et pyramidespil på Internet, opnåede FTC en erstatning til 15622 forbrugere for i alt omkring 5,5 millioner USD. Forbrugerne var bosiddende i USA og 70 andre lande. Jf. www.ftc.gov/opa/9807/fortunar.htm; www.ftc.gov/opa/9807/ftcrefund01.htm. (12) Bortset fra de helt specifikke undtagelser, der er fastsat i lovgrundlaget for FTC's kompetence, er FTC's kompetence i henhold til FTC Act med hensyn til "handelsrelaterede" praksiser sammenfaldende med kongressens forfatningsmæssige rettigheder i henhold til Commerce Clause, jf. United States v. American Building Maintenance Industries, 422 U.S. 271, 277 nr. 6 (1975). FTC's kompetence vil således omfatte foretagenders ansættelsesrelaterede praksiser inden for international handel. (13) Jf. "Online Auction Site Settles FTC Privacy Charges", FTC pressemeddelelse af 6. januar 2000, tilgængelig på http://www.ftc.gov/opa/2000/01/reverse4.htm. (14) Afgørelsen om, hvorvidt en praksis er en "illoyal arbejdspraksis" eller en overtrædelse af en fælles overenskomst, er et teknisk spørgsmål, der som regel overlades til arbejdsretterne, der hører parterne, herunder voldgiftsretter og NRLB. (15) Som De ved fra tidligere drøftelser, giver Fair Credit Reporting Act i sin operative del ligeledes FTC beføjelse til at beskytte forbrugernes "økonomiske privatliv", og FTC afsagde for nylig en afgørelse på dette område. Jf. In the Matter of Trans Union, sagsnr. 9255 (1. marts 2000) (presseudtalelse og afgørelse tilgængelige på: www.ftc.gov/os/2000/03/index.htm 1). (16) Civilt søgsmål 99-WM-783 (D. Colo.), tilgængelig på http://www.ftc.gov/opa/1999/9904/touchtone.htm, afventer foreløbig dom ifølge forlig. BILAG VI John Mogg Generaldirektør, GD XV Europa-Kommissionen Kontor C 107-6/72 Rue de la Loi/Wetstraat 200 B - 1049 Bruxelles/Brussel Hr. Generaldirektør Mogg Jeg fremsender denne skrivelse efter anmodning fra det amerikanske handelsministerium for at redegøre for transportministeriets rolle i forbindelse med beskyttelsen af forbrugernes privatliv med hensyn til de oplysninger, som de afgiver til flyselskaberne. Transportministeriet går ind for selvregulering som det mindst indgribende og mest effektive middel til at beskytte de oplysninger, som forbrugerne afgiver til flyselskaberne, og det støtter derfor etableringen af en safe harbor-ordning, som vil give flyselskaberne mulighed for at opfylde kravene i EU's databeskyttelsesdirektiv for så vidt angår dataoverførsler uden for EU. Ministeriet erkender dog, at en selvreguleringsordning kun kan fungere, hvis de flyselskaber, der forpligter sig til at overholde de principper for beskyttelse af privatlivets fred, som er fastsat i safe harbor-ordningen, i virkeligheden også overholder disse principper. Selvreguleringen bør i denne henseende kombineres med retshåndhævelse. Ministeriet vil derfor gøre brug af sine nuværende lovbestemte beføjelser med hensyn til forbrugerbeskyttelse til at sikre, at flyselskaberne overholder deres offentlige erklæringer om beskyttelse af privatlivets fred, og til at behandle sager om påstået manglende overholdelse, som det får henvist fra selvreguleringsforetagender og andre, herunder EU-medlemsstaterne. Ministeriets håndhævelsesbeføjelser på dette område har hjemmel i United States Code, afsnit 49, paragraf 41712, der forbyder transportører i forbindelse med markedsføring af lufttransportydelser at "udøve illoyal eller vildledende praksis eller anvende illoyale konkurrencemetoder", der er eller kan være til skade for forbrugerne. Paragraf 41712 er udformet efter paragraf 5 i Federal Trade Commission Act (United States Code, afsnit 15, paragraf 45). Flyselskaber er i henhold til United States Code, afsnit 15, paragraf 45(a)(2), dog ikke underlagt Federal Trade Commissions regulering efter paragraf 5. Ministeriet behandler og forfølger sager under United States Code, afsnit 49, paragraf 41712 (jf. f.eks. transportministeriets afgørelse 99-11-5 af 9. november 1999; 99-8-23 af 26. august 1999; 99-6-1 af 1. juni 1999; 98-6-24 af 22. juni 1998; 98-6-21 af 19. juni 1998; 98-5-31 af 22. maj 1998 og 97-12-23 af 18. december 1997.) Vi indleder retsforfølgning i sådanne sager på grundlag af vores egne undersøgelser eller som følge af formelle og uformelle klager fra fysiske personer, rejsebureauer, flyselskaber samt amerikanske eller udenlandske offentlige myndigheder. Jeg vil gerne understrege, at det ikke automatisk bliver betragtet som en overtrædelse af paragraf 41712, når en transportør undlader at beskytte passageroplysninger. Hvis en transportør formelt og offentligt har forpligtet sig til at overholde safe harbor-principperne og således beskytte de forbrugeroplysninger, som han kommer i besiddelse af, kan ministeriet dog gøre brug af sine lovbestemte beføjelser i henhold til paragraf 41712 for at sikre, at disse principper overholdes. Når en passager afgiver oplysninger til en transportør, der har forpligtet sig til at overholde safe harbor-principperne, kan det derfor være til skade for forbrugeren, hvis denne forpligtelse ikke overholdes, og således være en overtrædelse af paragraf 41712. Ministeriet agter at give højeste prioritet til behandlingen af enhver påstand om sådanne forhold og til retsforfølgelsen af enhver sag, hvor der foreligger beviser for sådanne forhold. Vi vil ligeledes underrette handelsministeriet om udfaldet af sådanne sager. Overtrædelser af paragraf 41712 kan medføre, at der udstedes forbud og idømmes civilretlige sanktioner, hvis disse forbud overtrædes. Selvom vi ikke har beføjelse til at tilkende erstatning eller give økonomisk godtgørelse til individuelle klagere, kan vi godkende forlig, der indgås på baggrund af undersøgelser og sager, som er rejst af ministeriet, og som giver forbrugerne en vis kompensation enten i form af en nedsættelse eller til udligning af de gebyrer eller lignende, der ellers skulle betales. Det har tidligere været sådan, og ministeriet kan og vil, når det er berettiget, fortsætte denne praksis inden for rammerne af safe harbor-ordningen. Hvis et amerikansk flyselskab gentagne gange overtræder paragraf 41712, vil der også opstå tvivl om selskabets evne til i det hele taget at overholde loven, hvilket i ekstreme sager vil medføre, at det findes uegnet til at drive erhvervsmæssig virksomhed og dermed mister sin tilladelse hertil (jf. transportministeriets afgørelse 93-6-34 af 23. juni 1993 og 93-6-11 af 9. juni 1993; selvom disse sager ikke var omfattet af paragraf 41712, blev den pågældende transportør frataget sin tilladelse til at udøve erhvervsaktiviteter som følge af en fuldstændig tilsidesættelse af bestemmelserne i Federal Aviation Act, der er en bilateral aftale, og ministeriets regler og forskrifter). Jeg håber, at De kan drage fordel af disse oplysninger, og står naturligvis til rådighed, såfremt De måtte have spørgsmål eller ønske yderligere oplysninger. Med venlig hilsen Samuel Podberesky Assistant General Counsel for Aviation Enforcement and Proceeding BILAG VII De amerikanske regeringsorganer, der under henvisning til artikel 1, stk. 2, litra b), har beføjelse til at behandle klager og udstede forbud eller påbud i forbindelse med illoyal eller vildledende praksis og opnå, at en retstilstand genoprettes for fysiske personer, uden hensyn til bopælsland eller nationalitet, i tilfælde af manglende overholdelse af principperne, der gennemføres i overensstemmelse med FAQ, er følgende: 1) Federal Trade Commission 2) det amerikanske transportministerium. Federal Trade Commission udøver sine beføjelser i henhold til paragraf 5 i Federal Trade Commission Act. Federal Trade Commission har i henhold til paragraf 5 ikke beføjelser med hensyn til banker, opsparings-, udlånings- og kreditforeninger, kollektive formidlere (common carriers) af telekommunikation og interstatslig transport, luftfartsselskaber samt forsynings- og kreaturvirksomheder (stockyard operators). Selvom forsikringsbranchen ikke udtrykkeligt er opført på listen over undtagelser i paragraf 5, overlades det i henhold til McCarran-Ferguson Act(1) de enkelte stater at regulere forsikringsbranchen. FTC Act finder anvendelse på forsikringsbranchen, for så vidt den ikke omfattes af enkeltstaternes lovgivning. FTC har kompetence i forbindelse med forsikringsvirksomheders illoyale eller vildledende praksis, i det omfang de ikke udøver forsikringsvirksomhed. Det amerikanske transportministerium udøver sine beføjelser i henhold til kapitel 49 i United States Code paragraf 41712. Det amerikanske transportministerium behandler sager på grundlag af egne undersøgelser så vel som på grundlag af formelle og uformelle klager fra borgere, rejsebureauer, luftfartsselskaber samt amerikanske og udenlandske regeringsorganer. (1) United States Code, afsnit 15, paragraf 1011 ff.