This document is an excerpt from the EUR-Lex website
Document 52013DC0847
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the Functioning of the Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU
KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE, mis käsitleb programmi Safe Harbor toimimist ELi kodanike ja ELis asutatud äriühingute seisukohast
KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE, mis käsitleb programmi Safe Harbor toimimist ELi kodanike ja ELis asutatud äriühingute seisukohast
/* COM/2013/0847 final */
52013DC0847
KOMISJONI TEATIS EUROOPA PARLAMENDILE JA NÕUKOGULE, mis käsitleb programmi Safe Harbor toimimist ELi kodanike ja ELis asutatud äriühingute seisukohast /* COM/2013/0847 final */
KOMISJONI TEATIS EUROOPA PARLAMENDILE JA
NÕUKOGULE, mis käsitleb programmi Safe Harbor toimimist
ELi kodanike ja ELis asutatud äriühingute seisukohast 1. Sissejuhatus 24. oktoobri 1995.
aasta direktiivis 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel
ja selliste andmete vaba liikumise kohta (edaspidi „andmekaitsedirektiiv”) on
kehtestatud isikuandmete edastamist ELi liikmesriikidest ELi mittekuuluvatesse
riikidesse käsitlevad eeskirjad[1]
ulatuses, mil selline edastamine kuulub käesoleva õigusakti reguleerimisalasse[2]. Direktiivi alusel
võib komisjon järeldada, et kolmas riik tagab andmekaitse piisava taseme oma
siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega, et
kaitsta üksikisikute õigusi, mille korral andmeedastuse eripiiranguid sellise
riigi suhtes ei kohaldata. Kõnealuseid otsuseid nimetatakse ühiselt „piisavusotsusteks”.
Komisjon võttis 26.
juulil 2000 vastu otsuse 520/2000/EÜ[3]
(edaspidi „programmi Safe Harbor käsitlev otsus”), millega tunnustatakse
programmi Safe Harbor põhimõtteid (edaspidi „põhimõtted”) ja sellega seotud
korduma kippuvaid küsimusi (edaspidi „KKK”), mille on välja andnud USA
kaubandusministeerium, et tagada isikuandmete EList edastamisele piisav kaitse.
Programmi Safe Harbor käsitlev otsus tehti pärast artikli 29 alusel loodud
töörühma ja artikli 31 alusel loodud komitee arvamuse avaldamist, mis esitati
liikmesriikide kvalifitseeritud häälteenamusega. Programmi Safe Harbor
käsitleva otsuse vaatas vastavalt nõukogu otsusele 1999/468 eelnevalt läbi Euroopa
Parlament. Selle tulemusena
võimaldab praegune programmi Safe Harbor käsitlev otsus isikliku teabe vaba
edastamist[4]
ELi liikmesriikidest[5]
USAs asuvatele äriühingutele, kes on kohustunud järgima põhimõtteid olukorras,
kus edastamine ei vastaks tavapäraselt piisava andmekaitse taseme suhtes
kehtestatud ELi standarditele, kuna Atlandi ida- ja läänekaldal esineb
suhtumises eraelu puutumatusse märkimisväärseid erinevusi. Kehtiva programmi
Safe Harbor toimimine toetub sellega liitunud äriühingute võetud kohustustele
ja nende vastavale kinnitusele. Nimetatud programmiga liitumine on vabatahtlik,
kuid eeskirjad on liitunute jaoks siduvad. Kõnealuse programmi aluspõhimõtted
on järgmised: a) põhimõtteid järgivate äriühingute eraelu
puutumatuse kaitse normide (edaspidi „eraelu puutumatuse normid”) läbipaistvus,
b) programmi Safe Harbor põhimõtete
inkorporeerimine äriühingute eraelu puutumatuse normidesse ning c) programmi täitmise kontrollimine,
sealhulgas riigiasutuste poolt. Programmi Safe Harbor põhialus tuleb läbi
vaadata uue konteksti raames, mis hõlmab: a) andmevoogude eksponentsiaalset kasvu, mis
oli varem kõrvalnähtus, kuid on nüüd digitaalmajanduse kiire kasvu keskne osa
ja täidab andmete kogumises, töötlemises ja kasutamises aset leidnud arengus
olulist rolli, b) andmevoogude väga suurt tähtsust
Atlandi-ülesele majandusele,[6] c) programmiga Safe Harbor liituvate USA
äriühingute arvu kiiret kasvu, mis on alates 2004. aastast kaheksakordistunud (2004.
aastal 400 äriühingut, 2013. aastal 3246 äriühingut), d) hiljuti USA järelevalveprogrammide kohta
avaldatud teavet, mis tekitab uusi küsimusi programmiga Safe Harbor tagatava
kaitsetaseme kohta. Selle taustal esitatakse käesolevas teatises
kokkuvõte programmi Safe Harbor toimimise kohta. Teatis põhineb komisjoni poolt
kogutud tõenditel, ELi-USA eraelu puutumatusega tegeleva kontaktrühma 2009.
aasta töötulemustel, 2008. aastal sõltumatu töövõtja teostatud uuringul[7] ja pärast USA
järelevalveprogrammide kohta paljastuste (vt kõrvaldokument) tegemist
loodud ELi ja USA ad hoc töörühmalt (edaspidi „töörühm”) saadud teabel.
Käesolev teatis järgneb programmi Safe Harbor käivitamisperioodi käsitlevale
kahele komisjoni hindamisaruandele, mis avaldati vastavalt 2002.[8] ja 2004.[9] aastal. 2. Programmi Safe Harbor struktuur ja toimimine 2.1. Programmi Safe
Harbor struktuur Programmi Safe
Harbor tingimusi täita sooviv USA äriühing peab: a) teatama oma avalikult
kättesaadavates eraelu puutumatuse normides, et järgib programmi põhimõtteid ja
tema tegevus on nendega ka tegelikult kooskõlas, ning b) kinnitama ise, st
teatama USA kaubandusministeeriumile, et tema tegevus on programmi põhimõtetega
kooskõlas. Põhimõtete järgimist tuleb igal aastal uuesti kinnitada. Programmi
Safe Harbor käsitleva otsuse I lisale lisatud isikuandmete kaitset käsitlevad
põhimõtted hõlmavad nii isikuandmete (andmeterviklus, turvalisus, valik ja
edasise edastamise põhimõtted) kui ka andmesubjektide menetlusõiguste
(teatamine, juurdepääs ja täitmise kontrollimise põhimõtted) tõhusat kaitset. Programmi Safe Harbor täitmise kontrollimisel
USAs mängivad olulist rolli kaks institutsiooni: USA kaubandusministeerium (US
Department of Commerce) ja USA föderaalne kaubanduskomisjon (US Federal
Trade Commission). Kaubandusministeerium vaatab läbi iga programmi Safe Harbor raames toimunud põhimõtete
järgimise kinnitamise ning selle iga-aastase uuestikinnitamise, mida äriühingud
esitavad, tagamaks, et kinnitus sisaldab kõiki tingimusi, mis on vajalikud
programmis osalemiseks[10].
Kaubandusministeerium ajakohastab loetelu äriühingutest, kes on esitanud
kinnitamist tõendavad kirjad, ning avaldab loetelu ja kirjad oma veebisaidil.
Lisaks sellele teostab ministeerium programmi Safe Harbor toimimise
järelevalvet ning kõrvaldab loetelust äriühingud, kes ei järgi programmi põhimõtteid.
Föderaalne
kaubanduskomisjon tarbijakaitse eest vastutajana
sekkub ebaõiglaste või ebaausate võtete kasutamise korral vastavalt
vabakaubanduskomisjoni akti (Free Trade Commission Act) artiklile 5.
Föderaalse kaubanduskomisjoni täitmise kontrollimise meetmed hõlmavad uurimisi,
mis käsitlevad programmi Safe Harbor põhimõtete järgimisel esitatud valeandmeid
ning kõnealuste põhimõtete mittejärgimist programmiga liitunud äriühingute
poolt. Kui programmi Safe Harbor põhimõtteid rakendatakse lennuettevõtjate
suhtes, on pädevaks ametiasutuseks USA transpordiministeerium[11]. Kehtiv programmi
Safe Harbor käsitlev otsus on osa ELi õigusest, mida liikmesriikide
ametiasutused peavad kohaldama. Otsuse kohaselt on ELi liikmesriikide
andmekaitseasutustel teatavatel juhtudel õigus peatada andmeedastus programmi
Safe Harbor raames kinnituse andnud äriühingutele[12]. Komisjoni andmetel ei
ole liikmesriikide andmekaitseasutused alates programmi Safe Harbor loomisest 2000.
aastal andmeedastust kordagi peatanud. ELi liikmesriikide andmekaitseasutustel
on sõltumata neile programmi Safe Harbor käsitleva otsusega antud volitustest
õigus sekkuda, sealhulgas rahvusvahelise andmeedastuse korral, et tagada
kooskõla 1995. aasta andmekaitsedirektiivis sätestatud andmekaitse üldpõhimõtetega. Nagu kehtivas programmi Safe Harbor käsitlevas otsuses on märgitud, on komisjoni
pädevuses – tegutsedes vastavalt määruses 182/2011 sätestatud
kontrollimenetlusele – otsust kohandada, peatada selle kehtivus või piirata
selle reguleerimisala mistahes ajahetkel, võttes arvesse otsuse rakendamisel
saadud kogemusi. See on eelkõige ette nähtud USA-poolse süsteemse puudulikkuse
korral, näiteks kui USAs programmi Safe Harbor põhimõtetega kooskõla eest
vastutav asutus ei täida oma ülesandeid või kui Safe Harbor põhimõtete alusel
antava kaitse tase on reguleeritud USA õigusaktides kehtestatud nõuetega. Nagu
kõigi komisjoni otsuste puhul, võib neid ka muudel põhjustel muuta või isegi
tühistada. 2.2. Programmi Safe
Harbor toimimine Nimetatud 3246[13] kinnituse andnud
äriühingu hulka kuuluvad nii väike- kui ka suurettevõtjad[14]. Kuigi finantsteenused
ja telekommunikatsioonitööstus jäävad väljapoole föderaalse kaubanduskomisjoni
täitmise kontrollimise pädevust ning seetõttu programmis Safe Harbor osaleda ei
saa, kuuluvad kinnituse andnud äriühingute hulka siiski mitmed tööstusharud ja
teenustesektorid , sealhulgas tuntud internetifirmad ning tööstusharud, mille
tegevusala ulatub infotehnoloogia- ja arvutiteenustest ravimi- ning reisi- ja
turismiteenuste, tervishoiu- või krediitkaarditeenusteni[15]. Tegemist on peamiselt
USA äriühingutega, kes osutavad teenuseid ELi siseturul. Samuti on nende hulgas
mõnede ELi äriühingute (nt Nokia ja Bayer) tütarettevõtjaid. Kõnealustest
äriühingutest 51 % töötleb Euroopas töötajate andmeid, mis edastatakse USAsse
inimressursse käsitlevatel eesmärkidel[16].
Mõnede ELi
andmekaitseasutuste seas tekitab ühe enam muret programmi Safe Harbor
raames toimuv andmeedastus. Mõnede liikmesriikide andmekaitseasutused on
kritiseerinud põhimõtete väga üldist sõnastust ning suurt sõltuvust
äriühingupoolsest kinnitamisest ning isereguleerimisest. Sarnast muret on väljendanud
ka tööstusharud, osutades täitmise kontrollimise puudulikkusest tulenevatele
konkurentsimoonutustele. Kehtiva programmi
Safe Harbor aluseks on põhimõtete vabatahtlik järgimine äriühingute poolt,
põhimõtete järgimise kinnitamine kõnealuste äriühingute endi poolt ning
kinnitamiskohustuste täitmise kontrollimine avalike ametiasutuste poolt.
Sellisel taustal kahjustab igasugune läbipaistvuse puudumine ja probleemid
täitmise kontrollimisel programmi Safe Harbor alustalasid. Juhul kui USA
poolel esineb mistahes probleeme läbipaistvuse või täitmise kontrollimisega
seoses, liigub vastutus selle tulemusena Euroopa andmekaitseasutustele ning
programmi kasutavatele äriühingutele. Saksamaa andmekaitseasutus võttis 29.
aprillil 2010 vastu otsuse, millega nõudis, et Euroopast USAsse andmeid
edastavad äriühingud kontrolliksid aktiivselt, kas USA andmeid importivad
äriühingud ka tegelikult programmi Safe Harbor isikuandmete kaitset käsitlevaid
põhimõtteid järgivad, ning soovitas, et „vähemalt eksportiv äriühing peaks
kindlaks tegema, kas importija poolt programmi Safe Harbor raames antud
kinnitus on veel kehtiv”[17].
24. juulil 2013,
pärast USA jälgimisprogrammide kohta tehtud paljastuste ilmnemist läksid
Saksamaa andmekaitseasutused kaugemale ning avaldasid arvamust, et „suure
tõenäosusega rikutakse komisjoni otsustes esitatud põhimõtteid”[18]. Mõned
andmekaitseasutused (nt Bremeni andmekaitseasutus) on nõudnud USA
teenuseosutajatele isikuandmeid edastavatelt äriühingutelt, et need teavitaksid
andmekaitseasutust, kas ja kuidas asjaomased teenuseosutajad takistavad
riikliku julgeolekuagentuuri juurdepääsu andmetele. Iirimaa andmekaitseasutus
teatas, et talle esitati hiljuti kaks kaebust, milles osutatakse USA
luureagentuuridega seotud uudiste valguses programmile Safe Harbor, kuid
andmekaitseasutus keeldus kaebusi uurimast, kuna isikuandmete edastamine
kolmandale riigile oli kooskõlas Iirimaa andmekaitseseaduse nõuetega. Sarnase
kaebuse saanud Luksemburgi andmekaitseasutus tegi kindlaks, et Microsoft ja
Skype järgisid USA-le andmeid edastades Luksemburgi andmekaitseseadust[19]. Iirimaa Ülemkohus on
siiski praeguseks rahuldanud kohtuliku läbivaatamise taotluse, mille raames
vaadatakse läbi Iirimaa andmekaitsevoliniku tegevusetus seoses USA
jälgimisprogrammidega. Ühe kaebuse esitas üliõpilasrühmitus Europe v Facebook
(„EvF”), kes esitas sarnase kaebuse ka Saksamaal Yahoo vastu. Kõnealust kaebust
vaatavad praegu läbi asjaomased andmekaitseasutused. Sellised
andmekaitseasutuste erinevad reageeringud jälgimisega seotud paljastustele
näitavad programmi Safe Harbor killustumise reaalset ohtu ning tõstatavad
küsimusi, millises ulatuses täitmist kontrollitakse. 3. Põhimõtteid järgima kohustunud äriühingute
eraelu puutumatuse normide läbipaistvus Programmi Safe
Harbor käsitlevale otsusele (II lisa) lisatud KKK nr 6 alusel peavad programmi
Safe Harbor raames kinnitamisest huvitatud äriühingud esitama
kaubandusministeeriumile oma eraelu puutumatuse normid ning need avalikustama.
See peab hõlmama ka kohustust põhimõtteid järgida. Nõue avalikustada
kinnituse andnud äriühingute eraelu puutumatuse normid ning avaldused
põhimõtete järgimise kohta on programmi toimimise seisukohast väga suure
tähtsusega. Ebapiisav
juurdepääs selliste äriühingute eraelu puutumatuse normidele kahjustab nende
isikute huve, kelle isikuandmeid kogutakse ja töödeldakse, ning see võib
kujutada endast teatamise põhimõtte eiramist. Sellisel juhul ei pruugi
isikud, kelle andmeid EList edastatakse, olla teadlikud oma õigustest ja
kohustustest, mida kinnituse andnud äriühingud täitma peavad. Lisaks sellele
kaasnevad äriühingute kohustusega järgida põhimõtteid föderaalse
kaubanduskomisjoni volitused kontrollida kõnealuste põhimõtete järgimist ja
võtta meetmeid äriühingute suhtes, kes neid põhimõtteid ei järgi, vaid
kasutavad ebaõiglaseid või ebaausaid võtteid. Äriühingute tegevuse vähene
läbipaistvus USAs muudab järelevalve tegemise föderaalse kaubanduskomisjoni
jaoks keerulisemaks ning kahjustab täitmise kontrollimise tõhusust. Aastate jooksul on
mitmed kinnituse andnud äriühingud jätnud oma eraelu puutumatuse normid ja/või
avaldused põhimõtete järgimise kohta avalikustamata. 2004. aasta aruandes
programmi Safe Harbor kohta juhiti tähelepanu asjaolule, et
kaubandusministeerium peab kõnealuse nõude täitmise kontrollimisel
kasutusele võtma senisest aktiivsema lähenemisviisi. Kaubandusministeerium
on alates 2004. aastast töötanud välja uued teabevahendid, mis aitavad
äriühingutel täita läbipaistvusega seotud kohustusi. Programmi käsitlev
asjaomane teave on kättesaadav kaubandusministeeriumi programmile Safe Harbor
pühendatud veebisaidil,[20]
kuhu ka äriühingud saavad oma eraelu puutumatuse norme üles laadida.
Kaubandusministeerium on teatanud, et äriühingud on seda võimalust kasutanud
ning laadinud programmiga Safe Harbor ühinemist taotledes oma eraelu
puutumatuse normid üles kaubandusministeeriumi veebisaidile[21]. Lisaks sellele
avaldas kaubandusministeerium ajavahemikus 2009–2013 programmiga Safe Harbor
ühineda soovivatele äriühingutele terve rea suuniseid, nagu näiteks “Guide
to Self-Certification” (Kinnitamist käsitlevad suunised) ja “Helpful
Hints on Self-Certifying Compliance” (Kasulikud nõuanded põhimõtete
järgimise kinnitamiseks)[22]. Läbipaistvust
käsitlevate kohustuste täitmise tase on äriühinguti erinev. Kui osa äriühinguid
piirduvad kinnitamisprotsessis vaid eraelu puutumatuse normide
kaubandusministeeriumile teatamisega, siis enamik äriühingutest avalikustab
lisaks kaubandusministeeriumi veebisaidile üleslaadimisele kõnealused normid ka
oma veebisaitidel. Kahjuks ei esitata kõnealuseid norme alati
tarbijasõbralikul ja kergesti loetaval kujul. Hüperlingid
puutumatusnormidele ei toimi alati korralikult ning ei viita alati õigetele
veebisaitidele. Otsusest ja selle
lisadest järeldub, et nõue, mille kohaselt peaksid äriühingud avalikustama oma
eraelu puutumatuse normid, hõlmab enamat, kui vaid kinnitamisest
kaubandusministeeriumi veebisaidil teatamine. KKKs esitatud kinnitamist
käsitlevad nõuded hõlmavad eraelu puutumatuse normide kirjeldust ning
läbipaistvat teavet selle kohta, kus need avalikult kättesaadavad on[23]. Puutumatusnorme
käsitlevad avaldused peavad olema selged ja avalikkusele lihtsalt
kättesaadavad. Avaldused peavad sisaldama hüperlinki kaubandusministeeriumi
programmi Safe Harbor veebisaidile, millel on loetletud kõik programmi
aktiivsed liikmed, ning esitatud link, mis suunab vaidluste kohtuvälise
lahendamise teenuse osutaja juurde. Mitmed programmis osalevad äriühingud ei
suutnud ajavahemikus 2000–2013 kõnealuseid nõudeid siiski täita. Tööalaste
kontaktide käigus komisjoniga avaldas kaubandusministeerium 2013. aasta
veebruaris arvamust, et võib-olla kuni 10 % kinnituse andnud äriühingutest ei
ole avaldanud avalikel veebisaitidel eraelu puutumatuse norme, mis sisaldavad
programmi Safe Harbor põhimõtete järgimise kohustuse kinnitamist. Hiljutine
statistika näitab, et jätkuvalt ei ole kadunud valeväited programmi Safe
Harbor põhimõtete järgimise kohta. Ligikaudu 10 % äriühingutest, kes
väidavad end olevat liitunud programmiga Safe Harbor, ei ole
kaubandusministeeriumi nimekirjas praeguste liikmetena loetletud[24]. Selliseid
valeväiteid esitavad nii äriühingud, kes ei ole programmis Safe Harbor kunagi
osalenud, kui ka äriühingud, kes on programmiga kunagi ühinenud, kuid ei ole
esitanud kaubandusministeeriumile uuesti iga-aastast kinnitust. Sellisel juhul
on nad nimetatud programmi Safe Harbor veebisaidil, kuid nende staatus ei ole
aktiivne, mis tähendab, et kõnealune äriühing on programmis osalenud ning tal
on seega kohustus jätkata juba töödeldud andmete kaitsmist. Föderaalsel
kaubanduskomisjonil on õigus sekkuda ebaausate võtete kasutamise korral ja kui
ei järgita programmi Safe Harbor põhimõtteid (vt punkt 5.1). Valeteateid
ümbritsev ebaselgus mõjutab programmi usaldusväärsust. Euroopa Komisjon
teatas 2012. ja 2013. aastal kaubandusministeeriumile regulaarselt, et
läbipaistvust käsitlevate kohustuste täitmiseks ei piisa sellest, kui
äriühingud esitavad kaubandusministeeriumile ainult eraelu puutumatuse normide
kirjelduse. Puutumatusnormid tuleb teha avalikult kättesaadavaks.
Kaubandusministeeriumil paluti ka tõhustada äriühingute veebisaitide
perioodilist kontrollimist pärast esimese kinnitamise või iga-aastase uuesti
kinnitamise raames teostatud kontrollimenetlust ning võtta meetmeid äriühingute
suhtes, kes ei täida läbipaistvusnõudeid. Esimese vastusena
ELi poolt esile tõstetud probleemidele on kaubandusministeerium muutnud
alates 2013. aasta märtsist kohustuslikuks programmis Safe Harbor
osalevatele avaliku veebisaidiga äriühingutele teha
tarbija/kasutaja andmete suhtes kohaldatavad eraelu puutumatuse normid oma
avalikul veebisaidil vabalt kättesaadavaks. Samal ajal hakkas
kaubandusministeerium teavitama kõiki äriühinguid, kelle eraelu puutumatuse
normid ei sisalda veel linki kaubandusministeeriumi programmi Safe Harbor
veebisaidile, et selline link tuleks lisada, muutes nii programmi Safe Harbor
ametliku nimekirja ja veebisaidi äriühingu veebisaiti külastavate tarbijate jaoks
otse kättesaadavaks. See võimaldab Euroopa
andmesubjektidel kohe ilma täiendavate internetiotsinguteta kontrollida
äriühingu kaubandusministeeriumile esitatud kohustusi. Lisaks sellele hakkas
kaubandusministeerium teavitama äriühinguid, et nende avaldatud eraelu
puutumatuse normid peaksid sisaldama ka nende sõltumatu vaidluste lahendamise
teenuse osutaja kontaktteavet[25]. Kõnealust
protsessi tuleb kiirendada, et oleks võimalik tagada,
et kõik kinnituse andnud äriühingud täidavad täielikult kõiki programmi Safe
Harbor tingimusi hiljemalt 2014. aasta märtsiks (st äriühingute iga-aastaseks
uuesti kinnitamise tähtajaks, alates uute nõuete kehtima hakkamisest 2013.
aasta märtsis). Siiski ei ole kindel, kas kõik kinnituse andnud äriühingud täidavad
täielikult läbipaistvusnõudeid. Kaubandusministeerium peaks rangemalt jälgima
ja uurima, kas algse kinnitamise ja iga-aastase uuesti kinnitamise ajal võetud
kohustused on omavahel kooskõlas. 4. Programmi Safe
Harbor põhimõtete integreerimine äriühingute eraelu puutumatuse normidesse Kinnituse andnud äriühingud peavad programmi
Safe Harbor võimaluste kasutamiseks praegu ja tulevikus järgima otsuse I lisas
esitatud põhimõtteid. Komisjon tuvastas 2004.
aasta aruandes, et märkimisväärne arv äriühinguid ei olnud programmi Safe
Harbor põhimõtteid oma andmetöötlusmenetlustesse korrektselt inkorporeerinud.
Näiteks ei antud üksikisikutele alati selget ja läbipaistvat teavet eesmärkide
kohta, milleks nende andmeid töödeldi, või ei võimaldatud neil töötlemisest
loobuda, kui nende andmed oleks avaldatud kolmandatele osapooltele või kui
andmeid oleks kasutatud eesmärkidel, mis ei ole kooskõlas andmete algse
kogumiseesmärgiga. Komisjoni 2004. aasta aruandes oldi seisukohal, et
kaubandusministeerium „peaks programmile Safe Harbor juurdepääsu ja
põhimõtete teadvustamisega seoses olema oma tegevuses senisest aktiivsem”[26]. Sellega seoses on
tehtud väheseid edusamme. Alates 1. jaanuarist 2009 peab iga äriühing, kes
soovib uuendada programmiga Safe Harbor seotud kinnitamist (mida tuleb teha
igal aastal), laskma kaubandusministeeriumil enne kinnitamise uuendamist
hinnata oma eraelu puutumatuse norme. Kõnealune hindamine on siiski piiratud
ulatusega. kinnituse andnud äriühingute puhul puudub tegeliku tegevuse
täielik hindamine, mis suurendaks märkimisväärselt kinnitamisprotsessi
usaldusväärsust. Lisaks komisjoni
taotlustele muuta kaubandusministeeriumi poolset kinnituse andnud äriühingute
järelevalvet rangemaks ja süstemaatilisemaks, suunatakse praegu rohkem
tähelepanu uutele kinnitustaotlustele. Uute heakskiitmata ja äriühingutele
eraelu puutumatuse normide täiustamiseks tagasi saadetud taotluste arv on
ajavahemikus 2010–2013 märkimisväärselt suurenenud: kinnitamist uuendavate
äriühingute puhul kahekordistunud ja programmiga ühinevate uute äriühingute
puhul kolmekordistunud[27].
Kaubandusministeerium on kinnitanud komisjonile, et kinnitamise või uuesti
kinnitamise saab lõpule viia ainult juhul, kui äriühingu eraelu puutumatuse
normid täidavad kõik nõuded ja sisaldavad eelkõige kohustust järgida programmi
Safe Harbor asjaomaseid põhimõtteid ning kohustust teha eraelu puutumatuse
normid avalikult kättesaadavaks. Äriühing peab asjaomaste normide asukoha
programmi Safe Harbor loetelus kindlaks määrama. Äriühing peab ka oma
veebisaidil selgelt kindlaks määrama vaidluste kohtuvälise lahendaja ning
lisama lingi programmi Safe Harbor kinnitamist käsitlevale osale
kaubandusministeeriumi veebisaidil. Siiski ei avalda hinnanguliselt üle 30 %
programmis Safe Harbor osalejatest oma veebisaidil eraelu puutumatuse normide
raames vaidluste lahendamisega seotud teavet[28]. Enamik
kaubandusministeeriumi poolt programmi Safe Harbor loetelust kustutatud
äriühingutest on eemaldatud asjaomaste äriühingute (nt äriühingud, kes ühinesid
või ära osteti, muutsid tegevusvaldkonda või läksid pankrotti) sõnaselge
taotluste alusel. Väiksem arv mitteaktiivseid äriühinguid kõrvaldati pärast
seda, kui selgus, et andmetes esinenud veebisaite ei kasutatud ning äriühingute
kinnitamist käsitlev staatus oli mitmendat aastat mitteaktiivne[29]. On oluline, et ühtegi
kõrvaldamist ei tehtud seetõttu, et kaubandusministeeriumi kontroll oleks
tuvastanud probleeme kooskõlaga. Programmi Safe Harbor andmeid kasutatakse
avaliku teabena äriühingu programmi Safe Harbor raames võetud kohustuste kohta.
Kohustus järgida programmi Safe Harbor põhimõtteid ei ole ajaliselt
piiratud andmete puhul, mis on saadud ajavahemikus, kui äriühing osales
programmis Safe Harbor, ning äriühing peab jätkama põhimõtete rakendamist
selliste andmete suhtes nii kaua, kui ta neid salvestab, kasutab või
avalikustab, isegi juhul, kui ta peaks mistahes põhjusel programmi Safe Harbor
kasutamisest loobuma. Programmis Safe
Harbor osalemist taotlejate arv, kes ei läbinud kaubandusministeeriumi haldusläbivaatamist
ning keda ei lisatud seetõttu programmi Safe Harbor loetellu, on järgmine: 2010.
aastal jäeti programmi Safe Harbor loetellu lisamata ainult 6 % (33)
513st esmakordsest kinnitajast, kuna nad ei olnud kooskõlas
kaubandusministeeriumi kinnitamisstandarditega. 2013. aastal jäeti programmi
Safe Harbor loetellu lisamata 12 % (75) 605st esmakordsest
kinnitajast, kuna nad ei olnud kooskõlas kaubandusministeeriumi
kinnitamisstandarditega. Järelevalve
läbipaistvuse suurendamise miinimumnõudena peaks kaubandusministeerium loetlema
oma kodulehel kõik äriühingud, kes on programmist Safe Harbor kõrvaldatud, ning
märkima põhjused, miks kinnitamist ei uuendatud. Programmis Safe Harbor
osalevate äriühingute kohta koostatud kaubandusministeeriumi loetelus tuleks
märget „mitteaktiivne” pidada mitte ainult teabeks, vaid sellele tuleks lisada selge
hoiatus nii sõnalises kui ka graafilises vormis, et kõnealune äriühing ei
täida programmi Safe Harbor tingimusi. Lisaks sellele ei
järgi mõned äriühingud siiani täielikult kõiki programmi Safe Harbor põhimõtteid.
Peale punktis 3 käsitletud läbipaistvuse küsimuse on kinnituse andnud
äriühingute eraelu puutumatuse normid sageli ebaselged seoses asjaoluga, miks
andmeid kogutakse, ning õigusega valida, kas andmeid võib kolmandatele
osapooltele avaldada või mitte, tekitades nii küsimusi, kas teatamise ja
valikuvõimaluse põhimõtetega ollakse kooskõlas. Teatamine ja valikuvõimalus on
olulise tähtsusega põhimõtted, et andesubjektid suudaksid tagada kontrolli
selle üle, mis juhtub nende isikuandmetega. Piisavalt ei ole tagatud kooskõlla viimise
esimene oluline samm ehk programmi Safe Harbor põhimõtete äriühingute eraelu
puutumatuse normidesse inkorporeerimine. Kaubandusministeerium peaks selle
küsimuse kõigepealt lahendama, töötades välja äriühingute tegevuse ja klientidega
suhtlemise kooskõlastamise metoodika. Kaubandusministeerium peab aktiivselt
jälgima programmi Safe Harbor põhimõtete tõhusat inkorporeerimist äriühingute
eraelu puutumatuse normidesse, mitte tegelema sellega ainult üksikisikute
esitatud kaebuste tulemusena. 5. Täitmise kontrollimine riigiasutuste poolt Programmi Safe
Harbor tõhusa täitmise kontrollimiseks ning pakkumaks kaebuste käsitlemise
võimalust üksikisikutele, kelle isikuandmeid põhimõtete eiramine on mõjutanud,
on olemas mitmeid mehhanisme. Vastavalt täitmise
kontrollimise põhimõttele peavad kinnituse andnud organisatsioonide eraelu
puutumatuse normid sisaldama tõhusaid põhimõtetele vastavuse mehhanisme.
Vastavalt täitmise kontrollimise põhimõttele ning KKKs nr 5, 6 ja 11
täpsustatule, saab kõnealust nõuet täita, liitudes sõltumatute kaebuste
käsitlemise mehhanismidega, mille eest vastutajad on avalikult teatanud oma
pädevusest kuulata ära põhimõtete täitmata jätmist käsitlevaid individuaalseid
kaebusi. Samuti on võimalik seda saavutada organisatsiooni kohustuste kaudu
teha koostööd ELi andmekaitsekoguga[30].
Lisaks sellele kuuluvad kinnituse andnud äriühingud föderaalse
kaubanduskomisjoni akti artikli 5 alusel föderaalse kaubanduskomisjoni
alluvusse. Kõnealuse seadusega keelatakse kaubanduses või seda mõjutavate
ebaõiglaste või ebaausate võtete kasutamine[31]. 2004. aasta
aruandes väljendati muret seoses programmi Safe Harbor täitmise
kontrollimisega, eelkõige seoses sellega, et föderaalne kaubanduskomisjon peaks
uurimiste algatamisel ja üksikisikute õiguste teadvustamisel olema oma
tegevuses senisest aktiivsem. Samuti valmistab muret selguse puudumine seoses
föderaalse kaubanduskomisjoni pädevusega jõustada inimressursse hõlmavaid
andmeid käsitlevaid põhimõtteid. Inimressursse
käsitlevate andmete eest vastutavale kaebuste käsitlemise asutusele – ELi
andmekogule – on inimressursse käsitlevate andmete kohta esitatud üks kaebus[32]. Kaebuste puudumine
ei luba siiski teha järeldusi programmi täieliku toimimise kohta.
Andmekaitsekohustuste tegeliku täitmise kontrollimiseks tuleks teha äriühingute
vastavuse ex officio kontrolle. Andmekogu olemasolu teadvustamiseks
peaksid meetmeid võtma ka ELi andmekaitseasutused. Probleemidele on
tähelepanu juhitud seoses viisiga, kuidas alternatiivsed kaebuste käsitlemise
mehhanismid kohustuste täitmist kontrollivate asutustena toimivad. Paljudel
kõnealustel asutustel puuduvad põhimõtete eiramise juhtumite lahendamiseks
vajalikud vahendid. See probleem tuleb lahendada. 5.1. Föderaalne
kaubanduskomisjon Föderaalne kaubanduskomisjon
võib võtta täitmise kontrollimiseks meetmeid juhul, kui on rikutud äriühingute
poolt programmi Safe Harbor raames võetud kohustusi. Programmi Safe Harbor
loomisel võttis föderaalne kaubanduskomisjon kohustuse vaadata prioriteetsuse
alusel läbi kõik ELi liikmesriikide ametiasutuste esitatud juhtumid[33]. Kuna programmi
esimese kümne aasta jooksul ei esitatud ühtegi kaebust, otsustas föderaalne
kaubanduskomisjon tuvastada programmi Safe Harbor põhimõtete mistahes eiramised
kõigis tema teostatud eraelu puutumatuse ja andmete turvalisuse uurimistes.
Föderaalne kaubanduskomisjon on alates 2009. aastast esitanud programmi Safe
Harbor põhimõtete eiramise alusel äriühingute suhtes 10 täitmise kontrollimise
meedet. Kõnealuste meetmete tulemusena keelati (märkimisväärsete karistuste
kohaldamisega) eraelu puutumatuse kohta valeandmete esitamine, sealhulgas
seoses programmi Safe Harbor põhimõtetele vastavusega, ning nähes äriühingutele
20 aastaks ette terviklikud eraelu puutumatuse programmid ja auditid. Äriühingud
peavad föderaalse kaubanduskomisjoni taotlusel nõustuma oma eraelu puutumatuse
kaitse programmide sõltumatu hindamisega. Kõnealuste hindamiste tulemused
teatatakse regulaarselt föderaalsele kaubanduskomisjonile. Föderaalne
kaubanduskomisjon keelab kõnealustel äriühingutel ka valeandmete esitamise oma
eraelu puutumatuse kaitsega seotud tavade ning programmis Safe Harbor või
sarnastes programmides osalemise kohta. Nii oli näiteks juhtumi puhul, kus
föderaalne kaubanduskomisjon uuris Google´i, Facebooki ja Myspace´i tegevust[34]. Google maksis 2012. aastal kokkuleppe korras 22,5 miljonit
USA dollarit trahvi, et lõpetada süüdistused, mille kohaselt ta rikkus
kokkuleppekohustust (consent order). Kõigis eraelu puutumatust
käsitlevates uurimistes kontrollib föderaalne kaubanduskomisjon ex officio,
kas programmi Safe Harbor põhimõtteid on eiratud. Föderaalne
kaubanduskomisjon kinnitas hiljuti taaskord oma deklaratsioone ja kohustust
vaadata prioriteetsuse alusel läbi eraelu puutumatusega tegelevate iseregulatsiooni
organite ja ELi liikmesriikide esildised, mis käsitlevad programmi Safe Harbor
põhimõtete väidetavaid eiramisi[35]. Föderaalne kaubanduskomisjon on viimase kolme aasta jooksul saanud
Euroopa andmekaitseasutustelt ainult mõned esildised. Andmekaitseasutuste Atlandi-ülene koostöö on
hakanud arenema viimaste kuude jooksul. Föderaalne kaubanduskomisjon
allkirjastas näiteks 26. juunil 2013 Iirimaa andmekaitse voliniku bürooga
vastastikuse mõistmise memorandumi vastastikuse abi kohta erasektoris
isikuandmete kaitset käsitlevate seaduste jõustamisel. Memorandumiga luuakse
raamistik ulatuslikumaks, ühtlustatumaks ja tõhusamaks koostööks eraelu
puutumatuse kaitse kontrollimise vallas[36].
2013.
aasta augustis teatas föderaalne kaubanduskomisjon, et tõhustatakse kontrolli
äriühingute üle, kelle alluvusse kuuluvad ulatuslikud isikuandmeid sisaldavad
andmebaasid. Föderaalne kaubanduskomisjon on loonud ka portaali, kus tarbijad
saavad esitada USA äriühingute kohta eraelu puutumatust käsitlevaid kaebusi[37]. Föderaalne kaubanduskomisjon peaks suurendama
ka jõupingutusi programmi Safe Harbor põhimõtete järgimise kohta esitatud
valeväidete uurimisel. Äriühing, kes väidab oma veebisaidil, et ta järgib
programmi Safe Harbor põhimõtteid, kuid kes ei ole loetletud kaubandusministeeriumi
nimekirjas programmi aktiivse liikmena, eksitab tarbijaid ning kuritarvitab
nende usaldust. Valeväited nõrgendavad süsteemi usaldusväärsust tervikuna ning
tuleks seetõttu äriühingute veebisaitidelt kohe kõrvaldada. Äriühingud peaksid
olema seotud õiguslikult jõustatava nõudega tarbijaid mitte eksitada.
Föderaalne kaubanduskomisjon peaks jätkama programmi Safe Harbor raames
valeväidete tuvastamist, nagu näiteks Karnani juhtumis, kus föderaalne
kaubanduskomisjon sulges Californias asuva veebisaidi, millel oli esitatud
valeväide programmis Safe Harbor osalemise kohta ning tegeleti Euroopa
tarbijatele suunatud e-kaubandusega seotud pettustega[38]. 29. oktoobril 2013 teatas föderaalne
kaubanduskomisjon, et on „viimastel kuudel algatanud mitmeid programmi Safe
Harbor põhimõtete järgimist käsitlevaid uurimisi” ning et „lähikuudel” on
sellega seoses oodata veelgi rohkem täitmise kontrollimise meetmeid. Föderaalne
kaubanduskomisjon teatas ka, et on „võtnud kohustuse otsida võimalusi tõhususe
suurendamiseks” ning „on jätkuvalt tänulik mistahes sisuliste juhtnööride eest,
nagu näiteks eelmisel kuul Euroopas asuvalt tarbijakaitsega tegelevalt
advokaadilt saadud kaebus, milles teatati mitmest väidetavast programmiga Safe
Harbor seotud rikkumisest”[39].
Kaubanduskomisjon võttis ka kohustuse „jälgida süstemaatiliselt programmi Safe
Harbor nõuete täitmist, nagu tehakse kõigi teiste nõuete puhul”[40]. 12. novembril 2013 teatas föderaalne
kaubanduskomisjon Euroopa Komisjonile, „et kui äriühingu eraelu puutumatuse
normides lubatakse programmiga Safe Harbor antavat kaitset, ei vabasta
äriühingu suutmatus ennast programmi registreerida või kinnitust uuendada
kõnealust äriühingut kohustusest täita programmi Safe Harbor raames võetud
kohustusi”[41].
2013. aasta novembris teatas kaubandusministeerium
Euroopa Komisjonile, et „kindlustamaks, et äriühingud ei esitaks valeväiteid
programmis Safe Harbor osalemise kohta, alustab kaubandusministeerium
programmis osalejatega kontakteerumist kuu aega enne uuesti kinnitamise
tähtaega, et kirjeldada samme, mida nad peaksid uuesti kinnitamisest loobumise
korral astuma”. Kaubandusministeerium „hoiatab kõnealuse kategooria
äriühinguid, et need kõrvaldaksid oma eraelu puutumatuse normidest ja
veebisaitidelt kõik viited programmis Safe Harbor osalemise kohta, sealhulgas
lõpetaks programmis Safe Harbor osalemist kinnitava märgise kasutamise, ning
teavitab neid selgesõnaliselt, et vastasel korral võtab föderaalne
kaubanduskomisjon nende suhtes täitmise kontrollimise meetmeid”[42]. Programmi Safe Harbor põhimõtete järgimise
kohta valeväidete esitamise vastu võitlemisel peaksid kinnituse andnud
äriühingute veebisaitidel esitatud eraelu puutumatuse normid sisaldama alati
linki kaubandusministeeriumi programmi Safe Harbor veebisaidile, kus on
loetletud kõik programmis osalevad aktiivsed liikmed. See võimaldab Euroopa
andmesubjektidel kohe ilma täiendavate otsinguteta kontrollida, kas teatav
äriühing osaleb programmis Safe Harbor. Kaubandusministeerium hakkas alates 2013.
aasta märtsist seda äriühingutelt nõudma, kuid protsessi tuleks tõhustada. Programmi korrektse ja tõhusa toimimise
tagamisel on jätkuvalt oluliseks prioriteediks programmi Safe Harbor põhimõtete
järgimise jätkuv järelevalve ja kontroll föderaalse kaubanduskomisjoni poolt
lisaks kaubandusministeeriumi võetud eespool nimetatud meetmetele. Eelkõige on
vaja laiendada äriühingute programmi Safe Harbor põhimõtetele vastavuse ex
officio kontrolle ja uurimist. Lihtsustada tuleks ka rikkumistega
seotud kaebuste esitamist föderaalsele kaubanduskomisjonile. 5.2. ELi
andmekaitsekogu ELi
andmekaitsekogu on programmi Safe Harbor käsitleva otsuse alusel loodud asutus.
Andmekaitsekogu pädevusse kuulub uurida üksikisikute esitatud kaebusi, mis
käsitlevad töösuhte kontekstis isikuandmete kogumist, ning juhtumeid, mis on
seotud kinnituse andnud äriühingutega, kes on valinud kõnealuse võimaluse
programmi Safe Harbor raames vaidluste lahendamiseks (53 % kõigist
äriühingutest). Andmekaitsekogu koosneb erinevate ELi andmekaitseasutuste
esindajatest. Praeguseni on
andmekaitsekogule esitatud neli kaebust (kaks 2010. aastal ja kaks 2013.
aastal). 2010. aastal edastati kaks kaebust siseriiklikele
andmekaitseasutustele (Ühendkuningriigis ja Šveitsis). Kolmas ja neljas kaebus
on praegu uurimisel. Kaebuste vähest arvu on võimalik seletada asjaoluga, et
andmekaitsekogu volitused hõlmavad vastavalt eespool nimetatule peamiselt
ainult teatavat liiki andmeid. Andmekaitsekogu
piiratud töökoormust saab osaliselt selgitada ka sellega, et väga vähesed on
andmekaitsekogu olemasolust teadlikud. Komisjon on alates 2004. aastast
teavitanud andmesidekogu olemasolust oma veebisaidil[43]. Andmekaitsekogu võimaluste paremaks ärakasutamiseks peaksid USA
äriühingud, kes on otsustanud andmekaitsekoguga koostööd teha ning tema
otsuseid täita, märkima teatavate või kõikide oma kinnituses käsitletavate
isikuandmete kategooriate kohta oma eraelu puutumatuse normides selgelt ja
arusaadavalt, et nad võimaldavad kaubandusministeeriumil kõnealust aspekti
kontrollida. Iga ELi andmekaitseasutuse programmi Safe Harbor käsitleval
veebisaidil tuleks luua vastav lehekülg, et suurendada Euroopa äriühingute ja
andmesubjektide seas teadlikkust programmist Safe Harbor. 5.3. täitmise
kontrollimise tõhustamine Eespool kindlaks
tehtud probleemid läbipaistvuses ja täitmise kontrollimises tekitavad Euroopa
äriühingute seas muret seoses programmi Safe Harbor negatiivse mõjuga Euroopa
äriühingute konkurentsivõimele. Kui Euroopa äriühing konkureerib USA
äriühinguga, kes tegutseb programmi Safe Harbor raames, kuid kes ei kohalda selle
põhimõtteid, on Euroopa äriühing võrreldes USA äriühinguga ebasoodsamas
konkurentsiolukorras. Lisaks sellele
hõlmab föderaalse kaubanduskomisjoni pädevusala kaubanduses või seda mõjutavate
ebaõiglaste või ebaausate võtete kasutamist. Föderaalse kaubanduskomisjoni akti
artiklis 5 on tehtud föderaalse kaubanduskomisjoni pädevusalas erand
ebaõiglaste või ebaausate võtete kasutamise suhtes, muu hulgas telekommunikatsiooni
sektoris. Kuna telekommunikatsiooniettevõtjad jäävad väljapoole föderaalse
kaubanduskomisjoni pädevusala, ei ole neil lubatud programmis Safe Harbor
osaleda. Tehnoloogiate ja teenuste üha suurema lähenemise käigus on paljud
nende otsestest konkurentidest USA IKT sektoris hakanud programmis Safe Harbor
osalema. Telekommunikatsiooniettevõtjate programmi Safe Harbor raames
andmevahetusest väljajätmine teeb muret mõnedele Euroopa
telekommunikatsioonioperaatoritele. Euroopa telekommunikatsioonioperaatorite
liidu (edaspidi „ETNO”) arvates on „see selges vastuolus
telekommunikatsioonioperaatorite kõige olulisema sooviga saavutada kõigile
võrdsed tingimused”[44]. 6. Programmi Safe Harbor põhimõtete tõhustamine 6.1. Vaidluste
kohtuväline lahendamine täitmise kontrollimise põhimõtte kohaselt peavad eksisteerima „käepärased
ja taskukohased kaebuste käsitlemise mehhanismid, millega iga üksikisiku
kaebusi ja vaidlusi uuritakse”. Selleks luuakse programmiga Safe Harbor
üksikisikutele kiirete lahenduste pakkumiseks vaidluste kohtuvälise lahendamise
süsteem, mida juhib sõltumatu kolmas osapool[45].
Kolm peamist kaebuste käsitlemise asutust on ELi andmekaitsekogu, BBB (Better
Business Bureaus) ja TRUSTe. Vaidluste kohtuvälise lahendamise kasutamine on alates 2004. aastast
sagenenud ning kaubandusministeerium on USA vaidluste kohtuvälise lahendamise
teenuse osutajate kontrolli tõhustanud, et tagada, et nende pakutav kaebuste
menetlemise korda käsitlev teave oleks selge, kättesaadav ja arusaadav.
Kõnealuse süsteemi tõhusus ei ole veel tõestatud, kuna siiani on käsitletud
liiga vähesel arvul juhtumeid[46].
Kuigi kaubandusministeerium
on olnud vaidluste kohtuvälise lahendamise teenuse osutajatele makstavate
tasude vähendamisel edukas, võtab seitsmest peamisest vaidluste kohtuvälise
lahendamise teenuse osutajast kaks siiani siiski üksikisikutelt kaebuse
esitamisel tasu[47].
See moodustab programmis Safe Harbor osalevate äriühingute poolt kasutatavatest
vaidluste kohtuvälise lahendamise teenuse osutajatest ligikaudu 20 %.
Kõnealused äriühingud on valinud vaidluste kohtuvälise lahendamise teenuse
osutaja, kes võtab tarbijatelt kaebuse esitamise eest tasu. See ei ole
kooskõlas programmi Safe Harbor täitmise kontrollimise põhimõttega, mis annab
üksikisikutele õiguse juurdepääsuks „käepärastele ja taskukohastele
sõltumatutele kaebuste käsitlemise mehhanismidele”. Euroopa Liidus on
juurdepääs ELi andmekaitsekogu poolt osutatavale sõltumatule vaidluste
lahendamise teenusele kõigile andmesubjektidele tasuta. 12. novembril 2013
kinnitas kaubandusministeerium, et „jätkab ELi kodanike eraelu puutumatuse
nimel tegutsemist ning teeb koostööd vaidluste kohtuvälise lahendamise teenuse
osutajatega, et teha kindlaks, kas tasusid on võimalik veelgi vähendada”. Karistustega
seoses ei ole kõigi vaidluste kohtuvälise lahendamise teenuse osutajate
käsutuses vajalikke vahendeid, millega lahendada põhimõtete eiramisega seotud
olukordi. Lisaks sellele tundub, et põhimõtete eiramise avalikustamine ei kuulu
kõigi vaidluste kohtuvälise lahendamise teenuse osutajate karistuste ja
meetmete hulka. Vaidluste
kohtuvälise lahendamise teenuse osutajad peavad teatama föderaalsele
kaubanduskomisjonile juhtumitest, kus äriühing ei täida vaidluste kohtuvälise
lahendamise menetluse lõppotsust või lükkab vaidluste kohtuvälise lahendamise
teenuse osutaja otsuse tagasi, nii et föderaalne kaubanduskomisjon saaks juhtumi
läbi vaadata ja seda uurida ning võtta vajaduse korral täitmise kontrollimise
meetmeid. Siiani ei ole vaidluste kohtuvälise lahendamise teenuse osutajad
föderaalsele kaubanduskomisjonile siiski ühtegi rikkumisjuhtumit edastanud[48]. Vaidluste
kohtuvälise lahendamise teenuse osutajad esitavad oma veebisaitidel loetelu
äriühingutest (Dispute Resolution Participants, vaidluste lahendamises
osalejad), kes kasutavad nende teenuseid. See võimaldab tarbijatel lihtsalt
kontrollida, kas äriühinguga vaidlusse astudes on üksikisikul võimalik esitada
kaebus kindlaks määratud vaidluste lahendamise teenuse osutajale. Seega näiteks
vaidluste lahendamise teenuse osutaja BBB loetleb kõik äriühingud, kes osalevad
tema vaidluste lahendamise süsteemis. Siiski leidub mitmeid äriühinguid, kes
väidavad end osalevat konkreetses vaidluste lahendamise süsteemis, kuid kes ei
ole loetletud vaidluste kohtuvälise lahendamise teenuse osutajate nimekirjades
osalejatena[49].
Vaidluste
kohtuvälise lahendamise teenuse osutajate mehhanismid peaksid olema lihtsalt
juurdepääsetavad, sõltumatud ning üksikisikutele taskukohased. Andmesubjekt
peaks olema suuteline esitama kaebuse ilma liigsete piiranguteta. Kõik
vaidluste kohtuvälise lahendamise teenuse osutajad peaksid avaldama oma
veebisaitidel statistika käsitletud kaebuste kohta ning konkreetse teabe nende
tulemuste kohta. Vaidluste kohtuvälise lahendamise teenuse osutajaid tuleks
täiendavalt kontrollida, et tagada, et teave, mida nad annavad menetluse kohta
ja selle kohta, kuidas kaebust esitada, oleks selge ja arusaadav, et vaidluste
lahendamine muutuks tõhusaks ja usaldusväärseks tulemusi saavutavaks
mehhanismiks. Tuleks veel kord kinnitada, et põhimõtete eiramise juhtumite
avaldamine tuleks lisada vaidluste kohtuvälise lahendamise teenuse osutajate
kohustuslike karistuste hulka. 6.2. Andmete edasine edastamine Koos andmevoogude eksponentsiaalse kasvuga on
vaja tagada isikuandmete jätkuv kaitse andmetöötluse kõigis etappides, eelkõige
juhul, kui andmed edastatakse programmi Safe Harbor põhimõtteid täitva
äriühingu poolt kolmandast osapoolest andmetöötlejale. Seetõttu ei hõlma
vajadus programmi Safe Harbor tõhusama jõustamise järele ainult programmiga
liitunuid, vaid ka alltöövõtjaid. Programm Safe Harbor võimaldab edasist
edastamist agendina tegutsevatele kolmandatele osapooltele, kui äriühing, kes
osaleb programmis Safe Harbor, „on teinud kindlaks, et kolmanda osapoole
suhtes kohaldatakse direktiivi või muud andmekaitse piisavuse tagatist või et
ta sõlmib kirjaliku kokkuleppe kolmanda osapoolega, milles nõuab kolmandalt
osapoolelt vähemalt samal tasemel eraelu puutumatuse kaitset, kui on nõutud
asjakohastes põhimõtetes”[50].
Näiteks nõuab kaubandusministeerium, et pilvteenuste osutaja sõlmiks lepingu
isegi juhul, kui tegemist on programmiga Safe Harbor seotud kaebusega ning ta
saab töötlemiseks isikuandmeid[51].
Siiski ei ole kõnealune säte programmi Safe Harbor käsitleva otsuse II lisas
selgelt sõnastatud. Kuna alltöövõtjate juures kaebuste käsitlemine
on viimaste aastate jooksul, eelkõige pilvandmetöötluse osas märkimisväärselt
suurenenud, peaks lepingut sõlmides programmis Safe Harbor osalev äriühing
teavitama kaubandusministeeriumi ning olema kohustatud avalikustama eraelu
puutumatust käsitlevad kaitsemeetmed[52].
Täiendavalt
tuleks selgitada kolme eespool nimetatud küsimust: vaidluste kohtuvälise
lahendamise mehhanism, tõhustatud järelevalve ja andmete edasine
edastamine. 7. Programmi Safe
Harbor raames edastatud andmetele juurdepääs USA
jälgimisprogrammide ulatust ja suurust käsitlev teave on 2013. aasta jooksul
tekitanud küsimusi seoses programmi Safe Harbor raames USAsse seaduslikult
edastatud isikuandmete kaitse järjepidevusega. Näiteks tundub, et kõik
programmis PRISM osalevad äriühingud, kes annavad USA ametiasutustele
juurdepääsu salvestatud ja töödeldud andmetele, on programmi Safe Harbor raames
kinnituse andnud. See on teinud programmist Safe Harbor ühe kanali, mille kaudu
antakse USA luureasutustele juurdepääs algselt ELis töödeldud isikuandmete
kogumisele. Programmi Safe
Harbor käsitleva otsuse I lisas on sätestatud, et põhimõtete järgimist võib
piirata riikliku julgeoleku, avaliku huvi või õiguskaitsega seotud vajaduste
täitmiseks vajalikus ulatuses või statuudi, valitsuse määruse või
pretsedendiõigusega. Selleks, et põhiõiguste teostamise suhtes kehtestatud
piirangud ja kitsendused oleksid kehtivad, peavad need olema kitsalt
tõlgendatud, esitatud avalikult kättesaadavas õigusaktis ning olema
demokraatlikus ühiskonnas vajalikud ja proportsionaalsed. Programmi Safe Harbor
käsitlevas otsuses on täpsustatud eelkõige, et sellised piirangud on lubatud
ainult riikliku julgeoleku, avaliku huvi või õiguskaitsega seotud vajaduste „täitmiseks
vajalikus ulatuses”[53].
Kuigi andmete erandlik töötlemine riikliku julgeoleku, avaliku huvi või õiguskaitsega
seotud vajaduste täitmiseks vajalikus ulatuses on programmiga Safe Harbor
lubatud, ei suudetud programmi Safe Harbor heaks kiites ette näha
luureagentuuridele ulatusliku juurdepääsu andmist USAsse kaubandustehingute
kontekstis edastatud andmetele. Lisaks
sellele peaks Euroopa Komisjon läbipaistvuse ja õiguskindluse eesmärgil
teavitama kaubandusministeeriumi kõigist statuutidest või valitsuse määrustest,
mis võivad mõjutada programmi Safe Harbor põhimõtete järgimist[54]. Erandite kasutamist
tuleks tähelepanelikult jälgida ning erandeid ei tohi kasutada viisil, mis
kahjustaks põhimõtetest tulenevat kaitset[55]. Eelkõige ohustab
elektrooniliste sidevahendite usaldusväärsust USA ametiasutuste ulatuslik
juurdepääs programmi Safe Harbor raames kinnituse andnud äriühingute poolt
töödeldud andmetele. 7.1. Proportsionaalsus ja vajalikkus
Andmekaitset käsitleva ELi-USA ad hoc
töörühma töötulemuste kohaselt võimaldab USA õiguse raames mitme õigusliku
aluse olemasolu USAs asuvate äriühingute poolt salvestatud või muul moel
töödeldud isikuandmete ulatuslikku kogumist ja töötlemist. See võib hõlmata
varem programmi Safe Harbor raames EList USAsse edastatud andmeid ning see
tekitab küsimusi seoses programmi Safe Harbor põhimõtete jätkuva järgimisega.
Kõnealuste programmide ulatuslikkuse tulemusena võib programmi Safe Harbor
raames edastatud andmetele tekkida juurdepääs USA ametiasutustel, kes saavad
neid andmeid ka töödelda ulatuses, mis on suurem kui otseselt vajalik ja
proportsionaalne programmi Safe Harbor käsitlevas otsuses sätestatud erandiga
ette nähtud riikliku julgeoleku kaitsmise eesmärgil. 7.2. Piirangud ja
õiguskaitsevahendid Andmekaitset
käsitleva ELi-USA ad hoc töörühma töötulemuste kohaselt on USA õigusega
ette nähtud kaitsemeetmed kättesaadavad peamiselt USA kodanikele või
seaduslikele residentidele. Lisaks sellele puudub nii ELi kui ka USA
andmesubjektidel võimalus saada andmetele juurdepääsu, teha neisse parandusi
või neid kustutada või kasutada halduslikke või kohtulikke õiguskaitsevahendeid
seoses nende isikuandmete kogumise või töötlemisega, mis leiab aset USA
jälgimisprogrammide raames. 7.3. Läbipaistvus Äriühingud ei märgi
põhimõtetesse erandite tegemist süstemaatiliselt oma eraelu puutumatuse
normides. Üksikisikud ja äriühingud ei ole seega teadlikud, mida nende
andmetega tehakse. See puudutab eriti kõnealuste USA jälgimisprogrammide
tegevust. Selle tulemusena võib juhtuda, et kõnealune äriühing jätab
eurooplastele, kelle andmed edastatakse USAs programmis Safe Harbor osalevale
äriühingule, teatamata, et nende andmetele võidakse anda juurdepääs[56]. See tekitab küsimusi
seoses programmi Safe Harbor läbipaistvust käsitlevate põhimõtete järgimisega.
Läbipaistvus tuleks tagada kõige suuremas võimalikus ulatuses, seadmata
seejuures ohtu riiklikku julgeolekut. Lisaks juba kehtivatele nõuetele, mille
kohaselt peavad äriühingud märkima oma eraelu puutumatuse normides, millal võib
põhimõtete järgimist piirata statuudi, valitsuse määruse või
pretsedendiõigusega, tuleks äriühinguid kutsuda üles märkima eraelu puutumatuse
normidesse, millal nad kohaldavad põhimõtete suhtes erandeid, et täita riikliku
julgeoleku, avaliku huvi või õiguskaitse vajadusi. 8. Järeldused ja soovitused Alates
heakskiitmisest 2000. aastal on programmist Safe Harbor saanud ELi ja USA
vaheliste isikuandmevoogude edastamise vahend. Tõhusa kaitse tähtsus
isikuandmete edastamisel on suurenenud tänu andmevoogude eksponentsiaalsele
kasvule, mis on digitaalmajanduse keskne osa, ning andmete kogumises,
töötlemises ja kasutamises aset leidnud olulisele arengule. Sellistel
veebifirmadel nagu Google, Facebook, Microsoft, Apple ja Yahoo on Euroopas sadu
miljoneid kliente ning isikuandmete töötlemiseks USAsse edastamine on jõudnud
tasemele, mis 2000. aastal programmi Safe Harbor luues oli kujutlematu. Programmi läbipaistvuse ja täitmise
kontrollimise puudujääkide tõttu esineb siiani teatavaid probleeme, mis tuleks
lahendada: a) programmis Safe Harbor osalejate eraelu
puutumatuse normide läbipaistvus, b) põhimõtete tõhus kohaldamine USA
äriühingute poolt ning c) täitmise kontrollimise tõhusus. Lisaks sellele tekitab luureagentuuride
ulatuslik juurdepääs programmi Safe Harbor raames kinnituse andnud äriühingute
poolt USAsse edastatud andmetele täiendavaid tõsiseid küsimusi seoses
eurooplaste andmekaitseõiguste järjepidevusega nende andmete edastamisel
USAsse. Eespool öeldu alusel on komisjon kindlaks
määranud järgmised soovitused: Läbipaistvus 1. Kinnituse andnud äriühingud peaksid
oma eraelu puutumatuse normid avalikult teatavaks tegema. Ei piisa, kui äriühingud
esitavad kaubandusministeeriumile oma eraelu puutumatuse normide kirjelduse.
Eraelu puutumatuse normid tuleb avalikustada äriühingute veebisaitidel selges
ja arusaadavas keeles. 2. Kinnituse andnud äriühingute
veebisaitidel esitatud eraelu puutumatuse normid peaksid alati sisaldama linki
kaubandusministeeriumi programmi Safe Harbor veebisaidile, kus on loetletud
kõik programmis osalevad aktiivsed liikmed. See
võimaldab Euroopa andmesubjektidel kohe ilma täiendavate otsinguteta
kontrollida, kas teatav äriühing osaleb programmis Safe Harbor. See aitaks
suurendada programmi usaldusväärsust, vähendades võimalusi esitada programmi
Safe Harbor põhimõtete järgimise kohta valeväiteid. Kaubandusministeerium
hakkas alates 2013. aasta märtsist seda äriühingutelt nõudma, kuid protsessi
tuleks tõhustada. 3. Kinnituse andnud äriühingud peaksid
avaldama iga alltöövõtjaga (nt pilvandmetöötluse teenuste pakkujaga) sõlmitud
lepingu eraelu puutumatusega seotud tingimused. Programm Safe Harbor
võimaldab andmete edasist edastamist programmi raames kinnituse andnud
äriühingutelt agendina tegutsevatele kolmandatele osapooltele, näiteks
pilvteenuse osutajatele. Meie arusaama kohaselt nõuab kaubandusministeerium
kinnituse andnud äriühingutelt lepingu sõlmimist. Sellist lepingut sõlmides
peaks programmis Safe Harbor osalev äriühing siiski teavitama ka
kaubandusministeeriumit ning olema kohustatud avalikustama eraelu puutumatust
käsitlevad kaitsemeetmed. 4. Kaubandusministeeriumi veebisaidil
tuleks selgelt ära märkida kõik programmis praegu mitteosalevad äriühingud.
Programmis Safe Harbor osalevate äriühingute kohta kaubandusministeeriumi
koostatud loetelus tuleks märkele „mitteaktiivne” lisada selge hoiatus, et
kõnealune äriühing ei täida programmi Safe Harbor tingimusi. Märke „mitteaktiivne”
puhul on äriühing kohustatud jätkama programmi Safe Harbor tingimuste
kohaldamist andmete suhtes, mis on saadud programmi raames. Õiguskaitsevahendid 5. Äriühingute veebisaitidel esitatud
eraelu puutumatuse normid peaksid sisaldama linki, mis suunab vaidluste
kohtuvälise lahendamise teenuse osutaja ja/või ELi andmekaitsekogu juurde.
See võimaldaks Euroopa andmesubjektidel võtta probleemide korral kohe ühendust
vaidluste kohtuvälise lahendamise teenuse osutaja ja/või ELi andmekaitsekoguga.
Kaubandusministeerium hakkas alates 2013. aasta märtsist seda äriühingutelt
küsima, kuid protsessi tuleks tõhustada. 6. Vaidluste kohtuvälise lahendamise
teenus peaks olema käepärane ja taskukohane. Mõned programmis Safe Harbor
osalevad vaidluste kohtuvälise lahendamise teenuse osutajad võtavad
üksikisikutelt jätkuvalt tasu, mis võib olla üksikisiku jaoks kaebuse esitamise
eest üsna kulukas (200–250 USA dollarit). Euroopas võib aga programmi Safe
Harbor raames kaebuste lahendamisega tegeleva andmekaitsekogu poole pöörduda
tasuta. 7. Kaubandusministeerium peaks senisest
süstemaatilisemalt jälgima, kas vaidluste kohtuvälise lahendamise teenuse
osutajate poolt nende kasutatavate menetluste ja kaebuse esitajatele antava
tagasiside kohta esitatav teave on läbipaistev ja kättesaadav. See muudab
vaidluste lahendamise tõhusaks ja usaldusväärseks tulemusi saavutavaks
mehhanismiks. Tuleks veel kord kinnitada, et põhimõtete eiramist käsitlevate
tulemuste avaldamine tuleks lisada vaidluste kohtuvälise lahendamise teenuse
osutajate kohustuslike karistuste hulka. Täitmise
kontrollimine 8. Äriühingute programmi Safe Harbor
raames kinnitamise või uuesti kinnitamise tulemusena tuleks teatavat osa
kõnealustest äriühingutest uurida ex officio seoses nende eraelu puutumatuse
normidele (mis läheb kaugemale kui formaalsete tingimustega vastavuse
kontroll). 9. Iga kord, kui kaebuse või uurimise
tulemusel tuvastatakse mittevastavusi, tuleks asjaomase äriühingu suhtes ühe
aasta pärast korraldada konkreetne järeluurimine. 10. Juhul kui teatava äriühingu vastavuse
suhtes on kahtlusi või kui kaebuse uurimine on pooleli, peaks
kaubandusministeerium sellest teavitama pädevat ELi andmekaitseasutust. 11. Tuleks jätkata programmi Safe Harbor
põhimõtete järgimise kohta esitatud valeväidete uurimist. Äriühing, kes
väidab oma veebisaidil, et ta järgib programmi Safe Harbor põhimõtteid, kuid
kes ei ole loetletud kaubandusministeeriumi nimekirjas programmi aktiivse
liikmena, eksitab tarbijaid ning kuritarvitab nende usaldust. Valeväited
nõrgendavad süsteemi usaldusväärsust tervikuna ning tuleks seetõttu äriühingute
veebisaitidelt kohe kõrvaldada. USA
ametiasutuste juurdepääs 12. Kinnituse andnud äriühingute eraelu
puutumatuse normid peaksid sisaldama teavet sellises ulatuses, nagu
ametiasutustel on USA õigusaktide alusel lubatud koguda ja töödelda programmi
Safe Harbor raames edastatud andmeid. Eelkõige tuleks äriühinguid kutsuda üles
märkima oma eraelu puutumatuse normidesse, millal nad kohaldavad põhimõtete
suhtes erandeid, et täita riikliku julgeoleku, avaliku huvi või õiguskaitsega
seotud vajadusi. 13. On oluline, et programmi Safe Harbor
käsitlevas otsuses ettenähtud riikliku julgeoleku erandit kasutatakse ainult
rangelt vajalikus või proportsionaalses ulatuses. [1] Andmekaitsedirektiivi
artiklites 25 ja 26 on esitatud isikuandmete edastamist EList EMPsse
mittekuuluvatesse kolmandatesse riikidesse käsitlev õigusraamistik. [2] Täiendavad
eeskirjad on kehtestatud 27. novembri 2008. aasta raamotsuse 2008/977/JSK
(kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate
isikuandmete kaitse kohta) artiklis 13, mis käsitleb olukorda, kus selline
edastamine hõlmab isikuandmete edastamist või kättesaadavaks tegemist ühe
liikmesriigi poolt teisele liikmesriigile, kes kavatseb edastada kõnealused
andmed hiljem kolmandale riigile või rahvusvahelisele organisatsioonile
kuritegude ennetamiseks, uurimiseks, avastamiseks või kuritegude eest
vastutusele võtmiseks või kriminaalkaristuste täideviimiseks. [3] Komisjoni
otsus 520/2000/EÜ, 26. juuli 2000, vastavalt Euroopa Parlamendi ja nõukogu
direktiivile 95/46/EÜ piisava kaitse kohta, mis on ette nähtud programmi Safe
Harbor põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on
välja andnud USA kaubandusministeerium (EÜT L 215, 25.8.2000, lk 7). [4] Eespool
öeldu ei välista andmetöötluse suhtes muude nõuete kohaldamist, mis võivad
kuuluda siseriiklikku õigusesse, mille alusel rakendatakse ELi
andmekaitsedirektiivi. [5] Ka
andmeedastus kolmest EMPsse kuuluvast lepinguosalisest riigist on mõjutatud,
arvestades, et direktiivi 95/46/EÜ on EMP lepinguga laiendatud (25. juuni 1999.
aasta otsus 38/1999 (EÜT L 296/41, 23.11.2000)). [6] Mõningate
uuringute kohaselt ulatuks siduvate kontsernisiseste eeskirjade, mudellepingu
klauslite ja programmi Safe Harbor vahelise järjepidevuse puudumise tulemusena
teenuste ja piiriüleste andmevoogude katkemise korral negatiivne mõju ELi
SKP-le -0,8 kuni -1,3 %ni ning ELi teenuste eksport USAsse kahaneks
konkurentsivõime kahanemise tõttu 6,7 % võrra. Vt.: “The Economic Importance of
Getting Data Protection Right”, ECIPE (European Centre for International
Political Economy) USA kaubanduskoja jaoks koostatud uuring, märts 2013. [7] 2008.
aastal Namuri Ülikooli keskuse Centre de Recherche Informatique et Droit
(„CRID”) poolt komisjoni jaoks koostatud mõju hindamise uuring. [8] Komisjoni
talituste töödokument „Komisjoni 26. juuli 2000. aasta otsuse 520/2000/EÜ
kohaldamine vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ
isikuandmete piisava kaitse kohta, mis on ette nähtud programmi Safe Harbor
põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja
andnud USA kaubandusministeerium (SEK (2002) 196, 13.12.2002). [9] Komisjoni
talituste töödokument „Komisjoni 26. juuli 2000. aasta otsuse 520/2000/EÜ rakendamine
isikuandmete piisava kaitse kohta, mis on ette nähtud programmi Safe Harbor
põhimõtetega ja sellega seotud korduma kippuvate küsimustega, mille on välja
andnud USA kaubandusministeerium (SEK (2004) 1323, 13.12.2002). [10] Juhul kui
äriühingupoolne kinnitamine või uuesti kinnitamine ei ole kooskõlas programmi
Safe Harbor nõuetega, teavitab kaubandusministeerium äriühingut ning nõuab
meetmete võtmist (nt selgitused, muudatused menetluse kirjeldamisel), enne kui
äriühingu kinnitamise saab lõpule viia. [11] USA
seadustiku jaotise 49 artikkel 41712. [12] Andmeedastuse
peatamine võib vajalikuks osutuda kahel juhul: a) USA valitsusasutus on kindlaks teinud, et teatav
äriühing ei järgi programmi Safe Harbor põhimõtteid või b) on suur tõenäosus, et programmi Safe Harbor
isikuandmete kaitset käsitlevaid põhimõtteid ei järgita; on piisavalt põhjust
arvata, et asjaomase täitmise kontrollimise mehhanismi raames ei võeta ega
kavatseta võtta aegsasti asjakohaseid meetmeid kõnealuse olukorra
lahendamiseks; andmeedastuse jätkamine võib kujutada andmesubjektide jaoks
vältimatut tõsise kahju ohtu ning liikmesriikide pädevad ametiasutused on
asjaolusid arvestades võtnud piisavaid meetmeid äriühingu teavitamiseks ja
andnud talle võimaluse vastata. [13] 26. septembri
2013. aasta seisuga olid programmi Safe Harbor loetelus nimetatud
organisatsioonidest 3246 aktiivsed ning 935 mitteaktiivsed. [14] Programmis
Safe Harbor osalevad organisatsioonid, kus on 250 või vähem töötajat: 60 %
(1925 äriühingut 3246st). Programmis Safe Harbor osalevad organisatsioonid, kus
on 251 või rohkem töötajat: 40 % (1295 äriühingut 3246st). [15] MasterCard
teeb koostööd näiteks tuhandete pankadega ning kõnealune äriühing on selge
näide juhtumist, kus programmi Safe Harbor ei ole võimalik isikuandmete
edastamisel mõne muu õigusliku vahendiga (nt siduvad kontsernisisesed eeskirjad
või lepingulised kokkulepped) asendada. [16] Safe Harbori
organisatsioonid, kes tegelevad Safe Harbori kinnituse raames organisatsiooni
inimressursse käsitlevate andmetega (ning on seega nõustunud tegema koostööd ja
järgima ELi andmekaitseasutuste eeskirju): 51 % (1671 äriühingut 3246st).
[17] Vt Düsseldorfi maakonna 28.–29. aprilli 2010.
aasta otsus. Vt: Beschluss der obersten Aufsichtsbehörden für den
Datenschutz im nicht-öffentlichen Bereich am 28./29. Aprill 2010, Hannover: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/290410_SafeHarbor.pdf?__blob=publicationFile Euroopa andmekaitseinspektor Peter Hustinx
väljendas 7. oktoobril 2013 Euroopa Parlamendi kodanikuvabaduste, justiits- ja
siseasjade (LIBE) komisjoni ärakuulamisel programmiga Safe Harbor seoses
arvamust, et „tehtud on olulisi edusamme ning enamik probleeme on praeguseks
lahendatud”: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2013/13-10-07_Speech_LIBE_PH_EN.pdf [18] Vt Saksamaa andmekaitsevolinike konverentsi
resolutsioon, milles rõhutatakse, et luureteenistused kujutavad endast Saksamaa
ja väljaspool Euroopat asuvate riikide vahelisele andmeliiklusele suurt ohtu: http://www.bfdi.bund.de/EN/Home/homepage_Kurzmeldungen/PMDSK_SafeHarbor.html?nn=408870 [19] Vt
Luksemburgi andmekaitseasutuse 18. novembri 2013. aasta pressiteade. [20] http://www.export.gov/SafeHarbor/ [21] https://SafeHarbor.export.gov/list.aspx [22] Suunised on kättesaadaval programmi
veebisaidil: http://export.gov/SafeHarbor/ Kasulikud nõuanded: http://export.gov/SafeHarbor/eu/eg_main_018495.asp [23] Kaubandusministeerium
kinnitas 12. novembril 2013, et „tänasest peavad äriühingud, kellel on avalikud
veebisaidid, mis hõlmavad tarbijate, klientide ja külastajate andmeid, lisama
oma veebisaitidele programmiga Safe Harbor kooskõlas olevad eraelu puutumatuse
normid (dokument: USA-ELi koostöö programmi Safe Harbor raamistiku
rakendamisel, 12. november 2013). [24] 2013. aasta
septembris võrdles Austraalia konsultatsioonifirma Galexia ajavahemikus 2008–2013
programmis Safe Harbor osalemisega seoses esitatud valeteateid. Võrdluse
peamise tulemusena tuvastati, et paralleelselt programmis Safe Harbor osalejate
suurenemisega aastatel 2008–2013 (1109-lt 3246-le), suurenes ka valeteadete arv
206-lt 427-le. http://www.galexia.com/public/about/news/about_news-id225.html [25] Ajavahemikus märtsist septembrini 2013 on
kaubandusministeerium: • teatanud 101 äriühingule, kes
olid juba laadinud programmi Safe Harbor veebisaidile programmiga kooskõlas
olevad eraelu puutumatuse normid, et nad peavad laadima eraelu puutumatuse
normid üles ka enda veebisaidile; • teatanud 154 äriühingule, kes ei
olnud seda veel teinud, et nad peaksid lisama oma eraelu puutumatuse normidesse
lingi programmi Safe Harbor veebisaidile; • teatanud rohkem
kui 600 äriühingule, et nad peaksid eraelu puutumatuse normidesse lisama
sõltumatu vaidluste lahendamise teenuse osutaja kontaktteabe. [26] Vt 2004.
aasta aruanne SEK(2004) 1323, lk 8. [27] Kaubandusministeeriumi
poolt 2013. aasta septembris esitatud statistika andmetel teavitas ministeerium
2010. aastal 18 % (93) 512st esmakordsest kinnitajast ning 16 % (231) 1417st
mitmekordsest kinnitajast, et nende eraelu puutumatuse normidesse ja/või
programmi Safe Harbor taotlustesse on vaja teha parandusi. Pärast komisjoni
taotlusi rangema, järjekindlama ja süstemaatilisema kontrolli kehtestamiseks
kõigi taotluste suhtes, teavitas kaubandusministeerium 2013. aasta septembri
jooksul 56 % (340) 602st esmakordsest kinnitajast ning 27 % (493) 1809st
mitmekordsest kinnitajast, paludes neil teha parandusi oma eraelu puutumatuse
normidesse. [28] Chris
Connolly (Galexia) esinemine Euroopa Parlamendi kodanikuvabaduste, justiits- ja
siseasjade (LIBE) komisjoni ärakuulamisel 7. oktoobril 2013. [29] USA
kaubandusministeerium on alates 2011. aasta detsembrist kõrvaldanud programmi
Safe Harbor loetelust 323 äriühingut: 94 äriühingut kõrvaldati loetelust
tegevuse lõpetamise tõttu, 88 äriühingut ostmise või ühinemise tõttu, 95
äriühingut valdusettevõtja taotlusel, 41 äriühingut uuesti kinnitamise
taotlemise korduva ebaõnnestumise tõttu ning 5 äriühingut muudel põhjustel. [30] ELi
andmekaitsekogu on kogu, mille ülesandeks on uurida ja lahendada üksikisikute
poolt esitatud kaebusi, mis käsitlevad programmi Safe Harbor põhimõtete
väidetavaid eiramisi programmiga ühinenud USA äriühingute poolt. Äriühingud,
kes järgivad programmi Safe Harbor põhimõtteid, peavad ühinema sõltumatu
kaebuste käsitlemise mehhanismiga või tegema koostööd ELi andmekaitsekoguga, et
leida lahendus probleemidele, mis tekivad programmi Safe Harbor põhimõtete
eiramisest. Koostöö ELi andmekaitsekoguga on sellegipoolest kohustuslik juhul,
kui USA äriühing töötleb EList edastatud inimressursse käsitlevaid isikuandmeid
töösuhte kontekstis. Kui äriühing võtab ise kohustuse teha ELi andmekoguga
koostööd, võtab ta ka kohustuse järgida andmekogu antud nõuandeid, juhul kui
andmekogu on seisukohal, et äriühing peab võtma programmi Safe Harbor
põhimõtete järgimiseks erimeetmeid, mis hõlmavad ka parandus- või
kompensatsioonimeetmeid. [31] Transpordiministeeriumil
on USA seadustiku jaotise 49 artikli 41712 alusel samalaadne pädevus
lennuettevõtjate suhtes. [32] Kaebuse
esitas Šveitsi kodanik ning ELi andmekaitsekogu on selle edastanud Šveitsi
andmekaitseasutusele (USA-l on Šveitsiga eraldi programm Safe Harbor). [33] Vt komisjon 26.
juuli 2000. aasta otsuse 2000/520/EÜ V lisa. [34] Ajavahemikus 2009–2012 viis
föderaalne kaubanduskomisjon lõpule 10 programmi Safe Harbor kohustustega
seotud täitmise kontrollimise meedet. FTC vs. Javian Karnani ja Balls of
Kryptonite, LLC (2009), World Innovators, Inc. (2009), Expat Edge Partners, LLC
(2009), Onyx Graphics, Inc. (2009), Directors Desk LLC (2009), Progressive
Gaitways LLC (2009), Collectify LLC (2009), Google Inc. (2011), Facebook, Inc. (2011), Myspace LLC (2012). Vt. “Federal Trade
Commission of Safe Harbor Commitments”:
http://export.gov/build/groups/public/@eg_main/@SafeHarbor/documents/webcontent/eg_main_052211.pdf
Vt ka: “Case Highlights”: http://business.ftc.gov/us-eu-Safe-Harbor-framework.
Enamik nendest juhtumitest hõlmasid probleeme äriühingutega, kes ühinesid
programmiga Safe Harbor, kuid jätkasid siis end liikmena esitlemist, jättes
iga-aastase kinnitamise tegemata. [35] Kõnealust kohustust taaskinnitati
föderaalse kaubanduskomisjoni voliniku Julie Brilli ja ELi andmekaitseasutuste
(artikli 29 töörühm) kohtumisel 17. aprillil 2013 Brüsselis. [36] http://www.dataprotection.ie/viewdoc.asp?Docid=1317&Catid=66&StartDate=1+January+2013&m=n [37] Tarbijad
saavad kaebusi esitada föderaalse kaubanduskomisjoni spetsiaalse veebisaidi
kaudu (https://www.ftccomplaintassistant.gov/) ja tarbijad välismaal saavad kaebusi esitada
veebisaidi econsumer.gov kaudu (http://www.econsumer.gov). [38] http://www.ftc.gov/os/caselist/0923081/090806karnanicmpt.pdf [39] http://www.ftc.gov/speeches/brill/131029europeaninstituteremarks.pdf ja http://www.ftc.gov/speeches/ramirez/131029tacdremarks.pdf [40] Föderaalse
kaubanduskomisjoni esinaise Edith Ramirezi kiri asepresident Viviane Redingile. [41] Föderaalse
kaubanduskomisjoni esinaise Edith Ramirezi kiri asepresident Viviane Redingile. [42] „USA-ELi
koostöö programmi Safe Harbor raamistiku rakendamisel”, 12. november 2013. [43] Tulenevalt 2004. aasta aruandest avaldati komisjoni
(õigusküsimuste peadirektoraadi) veebisaidil ELi andmekaitsekogu küsimuste ja
vastuste vormis teatis, mille eesmärk on suurendada üksikisikute teadlikkust
ning aidata neil esitada kaebusi, kui neile tundub, et nende isikuandmeid on
töödeldud programmi Safe Harbor tingimusi rikkudes: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/information_Safe_harbour_en.pdf Kaebuse standardvorm on kättesaadav järgmise lingi
kaudu: http://ec.europa.eu/justice/policies/privacy/docs/adequacy/
complaint_form_en.pdf [44] Komisjonile 4.
oktoobril 2013 esitatud „ETNO järeldustes” käsitletakse ka järgmist: 1)
isikuandmete määratlus programmis Safe Harbor, 2) programmi Safe Harbor
ebapiisav järelevalve, 3) asjaolu, et „USA äriühingud edastavad andmeid palju
vähemate piirangutega kui Euroopa äriühingud”, mis „kujutab endast selget
Euroopa äriühingute diskrimineerimist, mis mõjutab Euroopa äriühingute
konkurentsivõimet”. Programmi Safe Harbor eeskirjade kohaselt peavad
organisatsioonid kolmandatele osapooltele teabe avaldamisel kohaldama teatamise
ja valikuvõimaluse põhimõtteid. Kui organisatsioon soovib teavet edastada
agendina tegutsevale kolmandale osapoolele, võib ta seda teha, kui ta on teinud
eelnevalt kindlaks, et kolmas osapool järgib põhimõtteid või tema suhtes
kohaldatakse direktiivi või muud andmekaitse piisavuse tagatist või et ta
sõlmib kirjaliku kokkuleppe kolmanda osapoolega, milles nõuab kolmandalt
osapoolelt vähemalt samal tasemel eraelu puutumatuse kaitset, kui on nõutud
asjakohastes põhimõtetes. [45] ELi
direktiivis 2013/11/EL
tarbijavaidluste kohtuvälise lahendamise kohta on rõhutatud sõltumatute,
erapooletute, läbipaistvate, tõhusate, kiirete ja õiglaste vaidluste
kohtuvälise lahendamise menetluste olulisust. [46] Näiteks üks
suuremaid teenuseosutajaid (TRUSTe) teatas, et talle esitati 2010. aastal 881
taotlust, kuid ainult kolm neist tunnistati vastuvõetavaks ning põhjendatuks,
mille tulemusena pidi asjaomane äriühing muutma oma eraelu puutumatuse norme ja
veebisaiti. 2011. aastal esitati 879 kaebust ning ühel juhul pidi äriühing
muutma oma eraelu puutumatuse norme. Kaubandusministeeriumi andmeil on valdav
enamus vaidluste kohtuvälise lahendamise kaebustest esitatud tarbijate poolt,
kes on näiteks kasutajad, kes on unustanud oma salasõna ning ei ole saanud seda
internetiteenuse kaudu taastada. Komisjoni taotluste tulemusena töötas
kaubandusministeerium välja uued statistika aruandluskriteeriumid, mida
kasutavad kõik vaidluste kohtuvälise lahendamise teenuse osutajad. Nendes eristatakse taotlusi ja kaebusi ning
esitatakse täpsustusi esitatud kaebuste tüübi kohta. Kõnealuseid uusi
kriteeriume tuleb siiski edasi arutada, et olla kindel, et uued statistilised
andmed 2014. aastal hõlmaksid kõiki vaidluste kohtuvälise lahendamise teenuse
osutajaid, et need oleksid võrreldavad ning annaksid olulist teavet, et hinnata
kaebuste käsitlemise mehhanismi tõhusust. [47] Vaidluste
lahendamise rahvusvaheline keskus / Ameerika Vahekohtu Assotsiatsioon
(ICDR/AAA) võtab 200 USA dollari ja JAMS 250 USA dollari suurust esitamistasu.
Kaubandusministeerium teatas komisjonile, et töötas üksikisikute jaoks kõige
kulukama vaidluste kohtuvälise lahendamise teenuse osutajaga AAA välja
spetsiaalselt programmile Safe Harbor mõeldud programmi, mis vähendas kulusid
üksikisikute jaoks mitmelt tuhandelt USA dollarilt 200 USA dollari suuruseks
kindlasummaliseks makseks. [48] Vt KKK nr 11. [49] Näited:
Amazon teatas kaubandusministeeriumile, et kasutab vaidluste lahendamisel BBB
teenuseid. BBB aga ei loetle Amazoni vaidluste lahendamises osalejana.
Vastupidise näitena on pilvemajutuse teenuse osutaja Arsalon Technologies
(www.arsalon.net) loetletud BBB Safe Harbori vaidluste lahendamise nimekirjas,
kuid kõnealune äriühing ei osale praegu aktiivselt programmis Safe Harbor (1.
oktoobri 2013. aasta seisuga). BBB, TRUSTe ja teised vaidluste kohtuvälise
lahendamise teenuse osutajad peaksid kinnitamist käsitlevates andmetes esinevad
vead kõrvaldama või parandama. Nad peaksid olema seotud täitmisele pööratava
nõudega anda kinnitus ainult äriühingutele, kes osalevad programmis Safe
Harbor. [50] Vt komisjoni
otsus 2000/520/EÜ, lk 7 (edasine edastamine). [51] Vt:
“Clarifications Regarding the U.S.-EU Safe Harbor Framework and Cloud
Computing”: http://export.gov/static/Safe%20Harbor%20and%20Cloud%20Computing%20Clarification_April%2012%202013_Latest_eg_main_060351.pdf [52] Kõnealused
märkused hõlmavad pilvteenuste osutajaid, kes ei osale programmis Safe Harbor.
Konsultatsioonifirma Galexia andmeil „on programmis Safe Harbor osalemise (ja
selle põhimõtete järgimise) tase pilvteenuste osutajate seas üpris kõrge.
Pilvteenuse osutajatel on tavaliselt mitmekihiline eraelu puutumatuse kaitse,
milles on sageli ühendatud otselepingud klientidega ja laiahaardelised eraelu
puutumatuse normid. Välja arvatud üks või kaks olulist erandit, täidavad programmis
Safe Harbor osalevad pilvteenuste osutajad peamisi vaidluste lahendamise ja
täitmise kontrollimisega seotud sätteid. Programmis osalemise kohta valeväiteid esitanute loetelus ei ole praegu
olulisi pilvteenuse osutajaid.” (Galexia esindaja Chris Connolly esinemine
kodanikuvabaduste, justiits- ja siseasjade (LIBE) komisjoni ärakuulamisel, mis
käsitles ELi kodanike elektroonilist massjälgimist. [53] Vt programmi
Safe Harbor käsitleva otsuse I lisa. Nende põhimõtete järgimist võib piirata:
a) riikliku julgeoleku, avaliku huvi või õiguskaitsega seotud vajaduste
täitmiseks vajalikus ulatuses; b) statuudi, valitsuse määruse või
pretsedendiõigusega, mis loovad vasturääkivaid kohustusi või annavad otseseid
volitusi, tingimusel et selliste volituste kasutamisel suudab organisatsioon
demonstreerida, et põhimõtete mittejärgimine tema poolt piirdub ulatusega, mis
on vajalik selliste volitustega seotud ülekaaluka õigustatud huvi järgimiseks;
või c) kui direktiiv või liikmesriigi seadus lubab erandeid ja kõrvalekaldeid,
tingimusel et selliseid erandeid või kõrvalekaldeid rakendatakse võrreldavates
tingimustes. Vastavalt eraelu puutumatuse kaitse suurendamise eesmärgile
peaksid organisatsioonid püüdma neid põhimõtteid täielikult ja läbipaistvalt
rakendada, sealhulgas sätestama oma eraelu puutumatuse normides, millistel
juhtudel rakendatakse eespool toodud punkti b erandeid regulaarselt. Samal
põhjusel eeldatakse, et kui on võimalik teha valik põhimõtete ja/või USA
seaduste alusel, valivad organisatsioonid võimalusel kõrgema kaitse taseme. [54] Artikli 29
alusel asutatud andmekaitse töörühma poolt 16. mail 2000 vastu võetud arvamus 4/2000,
mis käsitleb programmi Safe Harbor põhimõtetega antava kaitse taset. [55] Artikli 29
alusel asutatud andmekaitse töörühma poolt 16. mail 2000 vastu võetud arvamus 4/2000,
mis käsitleb programmi Safe Harbor põhimõtetega antava kaitse taset. [56] Mõned
programmis Safe Harbor osalevad Euroopa äriühingud esitavad sellega seoses
suhteliselt läbipaistvat teavet. Näiteks Nokia, kes tegutseb USAs ning kes osaleb
ka programmis Safe Harbor, esitab oma eraelu puutumatuse normides järgmise
teate: „Vajaduse korral oleme seaduse alusel kohustatud avaldama Teid
käsitlevad isikuandmed teatavatele ametiasutustele või muudele kolmandatele
osapooltele, näiteks õiguskaitseasutustele riikides, kus me tegutseme või kus
kolmandad osapooled meie nimel tegutsevad.”