15.7.2016

Den Europæiske Unions Tidende

C 257/8

Resumé af udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's værn om privatlivets fred

(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på den tilsynsførendes websted www.edps.europa.eu)

(2016/C 257/05)

Datastrømme er globale. EU er bundet af traktaterne og Den Europæiske Unions charter om grundlæggende rettigheder, som beskytter alle fysiske personer i EU. EU er forpligtet til at træffe alle nødvendige foranstaltninger for at sikre, at retten til privatlivets fred og til beskyttelse af personoplysninger respekteres i forbindelse med alle behandlinger, herunder overførsler.

Siden afsløringerne i 2013 om overvågningsaktiviteter har EU og dens strategiske partner, De Forenede Stater, søgt at fastlægge et nyt sæt standarder, der er baseret på et selvcertificeringssystem, til overførslen til USA af personoplysninger sendt fra EU til kommercielle formål. Ligesom nationale databeskyttelsesmyndigheder i EU anerkender den tilsynsførende i en tid med globale, øjeblikkelige og uforudsigelige datastrømme værdien af bæredygtige retlige rammer for kommercielle overførsler af data mellem EU og USA, som udgør det største handelspartnerskab i verden. Disse rammer bør imidlertid fuldt ud afspejle de fælles demokratiske værdier, der er baseret på individuelle rettigheder, og som på EU's side kommer til udtryk i Lissabontraktaten og chartret om grundlæggende rettigheder og på amerikansk side i den amerikanske forfatning.

Udkastet til værn om privatlivets fred kan være et skridt i den rigtige retning, men i sin nuværende udformning omfatter det efter vores mening ikke i tilstrækkelig grad alle relevante sikkerhedsforanstaltninger til at beskytte retten til privatlivets fred og databeskyttelse i EU, også med hensyn til domstolsprøvelse. Der er behov for væsentlige forbedringer, hvis Europa-Kommissionen skulle ønske at vedtage en afgørelse om tilstrækkeligheden af beskyttelsesniveauet. EU bør navnlig få yderligere forsikringer med hensyn til nødvendighed og proportionalitet i stedet for at legitimere amerikanske myndigheders rutinemæssige adgang til overførte data på grundlag af kriterier, der har retsgrundlag i modtagerlandet, men ikke som sådant i EU, som bekræftet i traktaterne, EU-afgørelser og forfatningsmæssige traditioner, der er fælles for medlemsstaterne.

I en tid med en høj grad af hyperkonnektivitet og distribuerede netværk kan selvregulering fra private organisationers side samt udtalelser og tilsagn fra embedsmænd endvidere spille en rolle på kort sigt, mens det på længere sigt ikke vil være tilstrækkeligt til at beskytte fysiske personers rettigheder og interesser og fuldt ud opfylde behovene i en globaliseret digital verden, hvor mange lande nu har indført databeskyttelsesregler.

En mere langsigtet løsning ville derfor blive hilst velkommen i den transatlantiske dialog, således at den bindende føderale ret også kommer til at omfatte i det mindste de vigtigste principper med hensyn til retten til at blive identificeret klart og koncist, som det er tilfældet med andre ikke-EU-lande, hvor det er blevet »nøje vurderet«, om de har sikret et tilstrækkeligt beskyttelsesniveau, hvilket i Domstolens udlægning i Schrems-dommen betyder et niveau, der »i det væsentlige svarer« til de gældende standarder i henhold til EU-retten, og som ifølge Artikel 29-Gruppen omfatter »indholdet af de grundlæggende principper« i forbindelse med databeskyttelse.

Vi ser positivt på den øgede gennemsigtighed, som de amerikanske myndigheder har vist med hensyn til at anvende undtagelsen fra principperne til værn om privatlivets fred af hensyn til retshåndhævelsen, den nationale sikkerhed og den offentlige interesse.

Mens safe harbour-beslutningen fra 2000 formelt behandlede adgang af hensyn til den nationale sikkerhed som en undtagelse, viser den vægt, der i udkastet til afgørelse om værnet om privatlivets fred lægges på retshåndhævende myndigheders og efterretningstjenesters adgang til samt filtrering og analyse af personoplysninger, der overføres til kommercielle formål, at undtagelsen kan være blevet reglen. Den tilsynsførende bemærker navnlig på grundlag af udkastet til afgørelse og bilagene hertil, at trods de seneste tendenser til at gå fra udifferentieret overvågning på et generelt grundlag til mere målrettede og udvalgte tilgange kan omfanget af signalefterretning og mængden af data, der overføres fra EU, og som potentielt kan indsamles og bruges, når de er overført — og navnlig under fremsendelse, stadig kan være omfattende og derfor give anledning til bekymring.

Denne praksis kan ganske vist også vedrøre efterretninger i andre lande, og selv om vi glæder os over de amerikanske myndigheders gennemsigtighed i forbindelse med denne nye realitet, kan det nuværende udkast til afgørelse legitimere denne rutine. Vi opfordrer derfor Europa-Kommissionen til at give et stærkere signal: I betragtning af de forpligtelser, som påhviler EU i henhold til Lissabontraktaten, bør offentlige myndigheders adgang til og brug af data, der overføres til kommercielle formål, herunder under fremsendelse, kun finde sted under ekstraordinære omstændigheder, og når det er nødvendigt for specifikke formål i den offentlige interesse.

Med hensyn til bestemmelserne for overførsler til kommercielle formål bør det ikke forventes, at de registeransvarlige konstant ændrer overholdelsesmodeller. Og alligevel er udkastet til afgørelse blevet baseret på EU's nuværende retlige rammer, som vil blive erstattet af forordning (EU) 2016/679 (generel databeskyttelsesforordning) i maj 2018, mindre end ét år efter, at de registeransvarlige har gennemført værnet om privatlivets fred fuldt ud. Den generelle forordning om databeskyttelse skaber og styrker forpligtelser for de registeransvarlige, som går videre end de ni principper, der er udviklet i værnet om privatlivets fred. Uanset eventuelle endelige ændringer af udkastet henstiller vi, at Europa-Kommissionen foretager en omfattende vurdering af de fremtidige perspektiver siden dens første rapport og rettidigt identificerer relevante skridt til at finde mere langsigtede løsninger, der kan erstatte det eventuelle værn om privatlivets fred med mere robuste og stabile retlige rammer for at styrke det transatlantiske forhold.

Den tilsynsførende fremsætter derfor specifikke henstillinger vedrørende værnet om privatlivets fred.

I. Indledning

Den 6. oktober 2015 kendte (1) Den Europæiske Unions Domstol (herefter »Domstolen«) beslutningen om tilstrækkeligheden af beskyttelsesniveauet i safe harbour-ordningen (2) ugyldig. Europa-Kommissionen nåede den 2. februar 2016 til politisk enighed med USA om en ny ramme for overførsler af personoplysninger kaldet »EU's og USA's værn om privatlivets fred« (herefter »værnet om privatlivets fred«). Den 29. februar offentliggjorde Europa-Kommissionen et udkast til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i denne nye ramme (herefter »udkastet til afgørelse«) (3) og de syv bilag hertil, herunder principperne til værn om privatlivets fred og skriftlige udtalelser og tilsagn fra amerikanske embedsmænd og myndigheder. Den tilsynsførende modtog udkastet til afgørelse til høring den 18. marts i år.

Den tilsynsførende har flere gange (4) givet udtryk for sin holdning til overførsler af personoplysninger mellem EU og USA og har bidraget til Artikel 29-gruppens udtalelse om udkastet til afgørelse som medlem af denne gruppe (5). Artikel 29-Gruppen har givet udtryk for store betænkeligheder og anmodet Europa-Kommissionen om at finde løsninger, der kan afhjælpe dem. Medlemmerne af Artikel 29-Gruppen forventer, at alle de nærmere oplysninger, der kræves i udtalelsen, vil blive givet (6). Den 16. marts fremsatte 27 nonprofitorganisationer deres kritik af udkastet til afgørelse i et brev til myndigheder i EU og USA (7). Den 26. maj vedtog Europa-Parlamentet en beslutning om transatlantiske datastrømme (8), hvori Kommissionen opfordres til at forhandle sig frem til yderligere forbedringer af privacy shield-ordningen med den amerikanske regering i betragtning af dennes nuværende mangler (9).

Som uafhængig rådgiver for EU-lovgiverne i henhold til forordning (EF) nr. 45/2001 fremsætter den tilsynsførende nu henstillinger til de parter, der er involveret i processen, navnlig Kommissionen. Denne rådgivning tilsigter at være både principbaseret og pragmatisk med henblik på proaktivt at hjælpe EU med at nå sine målsætninger med passende foranstaltninger. Den supplerer og fremhæver nogle af, men ikke alle henstillingerne i Artikel 29-Gruppens udtalelse.

Udkastet til afgørelsen viser en række forbedringer i forhold til safe harbour-beslutningen, navnlig med hensyn til principperne for behandling af data til kommercielle formål. Med hensyn til offentlige myndigheders adgang til oplysninger overført under værnet om privatlivets fred glæder vi os også over, at det amerikanske justitsministerium og udenrigsministerium og Det Hvide Hus' direktør for nationale efterretninger for første gang er involveret i forhandlingerne. Fremskridt i forhold til den tidligere safe harbour-beslutning er imidlertid ikke i sig selv tilstrækkeligt. Den korrekte benchmark er ikke en beslutning, der tidligere er kendt ugyldig, da afgørelsen om tilstrækkeligheden af beskyttelsesniveauet skal baseres på EU's nuværende retlige rammer (navnlig selve direktivet, artikel 16 i traktaten om Den Europæiske Unions funktionsmåde samt artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, som fortolket af Domstolen). Artikel 45 i EU's generelle forordning om databeskyttelse (10) fastsætter nye krav til overførsler baseret på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet.

Sidste år bekræftede Domstolen, at tærsklen for vurderingen af tilstrækkeligheden af beskyttelsesniveauet er et »i det væsentlige« tilsvarende niveau, og krævede en nøje vurdering på grundlag af denne høje standard (11). Et tilstrækkeligt beskyttelsesniveau kræver ikke, at der vedtages rammer, som er identiske med dem, der findes i EU, men som helhed bør værnet om privatlivets fred og den amerikanske lovgivning dække alle de centrale elementer i EU's databeskyttelsesrammer. Dette kræver både en samlet vurdering af lovgivningen og en undersøgelse af de vigtigste elementer i EU's databeskyttelsesrammer (12). Vi formoder, at vurderingen skal foretages generelt ved at respektere det væsentligste indhold af disse elementer. På grund af traktaten og chartret vil der endvidere skulle ses nærmere på specifikke elementer såsom uafhængigt tilsyn og klagemuligheder.

I denne henseende er den tilsynsførende klar over, at mange organisationer på begge sider af Atlanterhavet venter på resultatet af denne afgørelse om tilstrækkeligheden af beskyttelsesniveauet. Konsekvenserne af en ny ugyldiggørelse fra Domstolens side kan imidlertid være høje med hensyn til manglende retssikkerhed for registrerede og byrden for navnlig SMV'er. Hvis udkastet til afgørelse endvidere vedtages og efterfølgende kendes ugyldigt af Domstolen, vil en eventuel ny ordning med hensyn til tilstrækkeligheden af beskyttelsesniveauet endvidere skulle forhandles i henhold til den generelle databeskyttelsesforordning. Vi anbefaler derfor en fremtidsorienteret tilgang i betragtning af den forestående dato for den fulde anvendelse af den generelle forordning om databeskyttelse to år fra nu.

Udkastet til afgørelse er afgørende for forholdet mellem EU og USA på et tidspunkt, hvor der også finder handels- og investeringsforhandlinger sted. Endvidere er mange af de elementer, vi behandler i udtalelsen, indirekte relevante for både værnet om privatlivets fred og andre overførselsværktøjer, f.eks. de bindende virksomhedsregler og standardkontraktbestemmelserne. Det har også en global relevans, da mange tredjelande vil følge det nøje i lyset af vedtagelsen af EU's nye databeskyttelsesrammer.

Vi ville derfor bifalde en generel løsning for overførsler mellem EU og USA, forudsat at den er tilstrækkelig omfattende og solid. Dette kræver betydelige forbedringer for at sikre en bæredygtig langsigtet respekt for vores grundlæggende rettigheder og frihedsrettigheder. Hvis afgørelsen vedtages efter Europa-Kommissionens første vurdering, skal den revideres rettidigt med henblik på at identificere relevante skridt til at finde mere langsigtede løsninger, der kan erstatte et værn om privatlivets fred med mere robuste og stabile retlige rammer for at styrke det transatlantiske forhold.

Den tilsynsførende bemærker også på grundlag af udkastet til afgørelse og bilagene hertil, at trods de seneste tendenser til at gå fra udifferentieret overvågning på et generelt grundlag til mere målrettede og udvalgte tilgange vil omfanget af signalefterretning og mængden af data, der overføres fra EU, og som potentielt kan indsamles, når de er overført og navnlig under fremsendelse, formentlig stadig være omfattende og derfor give anledning til bekymring.

Denne praksis kan ganske vist også vedrøre efterretninger i andre lande, og selv om vi glæder os over de amerikanske myndigheders gennemsigtighed i forbindelse med denne nye realitet, kan det nuværende udkast til afgørelse fortolkes således, at det legitimerer denne rutine. Spørgsmålet kræver en omfattende offentlig demokratisk kontrol. Vi opfordrer derfor Europa-Kommissionen til at give et stærkere signal: I betragtning af de forpligtelser, som påhviler EU i henhold til Lissabontraktaten, bør offentlige myndigheders adgang til og brug af data, der overføres til kommercielle formål, herunder under fremsendelse, kun finde sted som en undtagelse, og når det er nødvendigt for specifikke formål i den offentlige interesse.

Endvidere bemærker vi, at væsentlige udtalelser, der er relevante for den enkeltes privatliv i EU, kun synes at være uddybet i vigtige detaljer i interne breve til de amerikanske myndigheder (f.eks. i givet fald erklæringer vedrørende signalefterretningsaktiviteter via transatlantiske kabler) (13). Selv om vi ikke rejser tvivl om deres fremtrædende forfatteres autoritet og forstår, at når disse udtalelser er offentliggjort i EU-Tidende og det amerikanske Federal Register, vil de blive betragtet som »skriftlige garantier«, på grundlag af hvilke EU's vurdering foretages, bemærker vi generelt, at betydningen af nogle af dem bør tillægges højere retlig værdi.

Foruden lovgivningsmæssige ændringer og internationale aftaler (14) kan der ses nærmere på yderligere praktiske løsninger. Vores udtalelse har til formål at yde pragmatisk rådgivning i denne henseende.

IV. Konklusion

Den tilsynsførende ser med tilfredshed på den indsats, som parterne har udvist for at finde en løsning for overførsler af personoplysninger fra EU til USA til kommercielle formål på grundlag af et selvcertificeringssystem. Der er imidlertid behov for betydelige forbedringer for at opnå solide rammer, der er stabile på lang sigt.

Udfærdiget i Bruxelles, den 30. maj 2016.

Giovanni BUTTARELLI

Den Europæiske Tilsynsførende for Databeskyttelse

(1) Sag C-362/14, Maximillian Schrems mod Data Protection Commissioner, 6. oktober 2015 (herefter »Schrems«).

(2) Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbour-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (meddelt under nummer K(2000) 2441) (EFT L 215 af 25.8.2000, s. 7).

(3) »Commission Implementing Decision of XXX pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield«, findes på: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf.

(4) Se udtalelsen fra Den Europæiske Tilsynsførende for Databeskyttelse om Kommissionens meddelelse til Europa-Parlamentet og Rådet om genopbygning af tilliden til datastrømmene mellem EU og USA og om Kommissionens meddelelse til Europa-Parlamentet og Rådet om, hvordan safe harbour-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU, 20. februar 2014, og den tilsynsførendes mundtlige indlæg under retsmødet for Domstolen i Schrems-sagen, findes på: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Court/2015/15-03-24_EDPS_Pleading_Schrems_vs_Data_Commissioner_EN.pdf).

(5) Artikel 29-Gruppen i udtalelse 1/2016 om »the EU-U.S. Privacy Shield adequacy decision« (WP 238), findes på: http://ec.europa.eu/jus.tice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.

(6) Se også hovedtalen holdt af Det Forenede Kongeriges informationsansvarlige, Christopher Graham, i forbindelse med konferencen IAPP Europe Data Protection Intensive 2016 i London. Talen (på video) findes på: https://iapp.org/news/video/iapp-europe-data-protection-intensive-2016-christopher-graham-keynote/.

(7) Brev til Artikel 29-Gruppen og andre institutioner, underskrevet af Access Now og 26 andre NGO'er.

(8) Europa-Parlamentets beslutning af 26. maj 2016 om transatlantiske datastrømme (2016/2727(RSP)).

(9) Idem, punkt 14.

(10) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel databeskyttelsesforordning) (EUT L 119 af 4.5.2016, s. 1).

(11) Schrems-dommen, præmis 71, 73, 74 og 96.

(12) Denne tilgang blev allerede overvejet i et af Artikel 29-Gruppens første dokumenter om emnet videregivelse af oplysninger (WP12: »Arbejdsdokument — Videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv«, 24. juli 1998).

(13) Se f.eks. præciseringer i bilag VI.1. a) med hensyn til, at PPD-28 vil finde anvendelse på data indsamlet fra transatlantiske kabler af den amerikanske efterretningstjeneste.

(14) Under retsmødet for Domstolen i Schrems-sagen anførte den tilsynsførende: »The only effective solution is the negotiation of an international agreement providing adequate protection against indiscriminate surveillance, including obligations on oversight, transparency, redress and data protection rights« (den eneste effektive løsning er forhandling af en international aftale, der giver tilstrækkelig beskyttelse mod udifferentieret overvågning, herunder forpligtelser vedrørende tilsyn, gennemsigtighed, klagemuligheder og databeskyttelsesrettigheder), den tilsynsførendes mundtlige indlæg under retsmødet for Domstolen den 24. marts 2015 i sag C-362/14 (Schrems mod Data Protection Commissioner).