Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52018DC0860

KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE ELi-USA isikuandmete kaitse raamistiku Privacy Shield toimimise teise iga-aastase läbivaatamise kohta

COM/2018/860 final

Brüssel,19.12.2018

COM(2018) 860 final

KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE

ELi-USA isikuandmete kaitse raamistiku Privacy Shield toimimise teise iga-aastase läbivaatamise kohta

{SWD(2018) 497 final}


1.TEINE IGA-AASTANE LÄBIVAATAMINE – EESMÄRK, ETTEVALMISTAMINE JA PROTSESS

12. juulil 2016 võttis komisjon vastu otsuse (edaspidi „kaitse piisavuse otsus“), milles ta leidis, et ELi ja USA isikuandmete kaitse raamistik Privacy Shield (edaspidi „raamistik Privacy Shield“) tagab piisava kaitse isikuandmetele, mis on edastatud EList USAs asuvatele organisatsioonidele 1 . Kaitse piisavuse otsuse kohaselt peab komisjon igal aastal analüüsima raamistiku toimimise kõiki aspekte. Esimene iga-aastane läbivaatamine toimus 18. ja 19. septembril 2017 Washingtonis. 18. oktoobril 2017 võttis komisjon vastu aruande Euroopa Parlamendile ja nõukogule, 2 millele on lisatud komisjoni talituste töödokument (SWD(2017) 344 final) 3 .

Esimese läbivaatamise tähelepanekute põhjal järeldas komisjon, et Ameerika Ühendriigid tagavad endiselt piisava kaitsetaseme isikuandmetele, mis edastatakse raamistiku Privacy Shield alusel liidust Ameerika Ühendriikides asuvatele organisatsioonidele. Samas leidis komisjon, et raamistiku Privacy Shield praktilist rakendamist saaks veelgi parandada, et selles sätestatud tagatised ja kaitsemeetmed toimiksid nii, nagu ette nähtud. Seda silmas pidades esitas komisjon kümme soovitust.

Käesoleva aruande esitamisega lõpetatakse raamistiku Privacy Shield toimimise teine iga-aastane läbivaatamine. Käesolev aruanne ja sellele lisatud komisjoni talituste töödokument (SWD(2018) 497) on üles ehitatud esimese iga-aastase aruande eeskujul. Neis dokumentides on käsitletud raamistiku Privacy Shield toimimise kõiki aspekte, sealhulgas viimase aasta sündmusi. Komisjoni analüüsis on keskendutud eelkõige sellele, kuidas on rakendatud soovitusi, mille ta esitas esimese iga-aastase läbivaatamise tulemusel.

Teise iga-aastase läbivaatamise ettevalmistamise käigus kogus komisjon teavet asjaomastelt sidusrühmadelt (eelkõige raamistiku Privacy Shield kohaselt sertifitseeritud äriühingutelt nende majandusorganisatsioonide kaudu ning põhiõiguste, eelkõige digitaalsete õiguste ja eraelu puutumatuse valdkonnas tegutsevatelt valitsusvälistelt organisatsioonidelt), ning raamistiku rakendamisse kaasatud asjaomastelt Ameerika Ühendriikide ametiasutustelt.

Teine iga-aastane läbivaatamiskoosolek toimus Brüsselis 18. ja 19. oktoobril 2018. Läbivaatamise juhatasid sisse õigus- ja tarbijaküsimuste ning soolise võrdõiguslikkuse volinik Věra Jourová, Ameerika Ühendriikide kaubandusminister Wilbur Ross, föderaalse kaubanduskomisjoni esimees Joseph Simons ja Euroopa Andmekaitsenõukogu esimees Andrea Jelinek. Koosolekut juhatasid ELi esindavad Euroopa Komisjoni õigus- ja tarbijaküsimuste peadirektoraadi töötajad. Euroopa Liidu delegatsiooni kuulusid ka seitse esindajat, kelle oli määranud Euroopa Andmekaitsenõukogu, mis on sõltumatu organ, kuhu kuuluvad ELi liikmesriikide isikuandmete kaitse asutuste esindajad ja Euroopa Andmekaitseinspektor.

Ameerika Ühendriikide poolt osalesid läbivaatamises kaubandusministeeriumi, välisministeeriumi, föderaalse kaubanduskomisjoni, transpordiministeeriumi, föderaalse luureteenistuse direktori büroo, justiitsministeeriumi ning eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoni esindajad, samuti ombudsmani kohusetäitja ja luureteenistuste peainspektor. Läbivaatamise käigus esitasid teavet raamistiku Privacy Shield jaoks sõltumatut vaidluste lahendamise teenust pakkuva organisatsiooni ja Ameerika Vahekohtu Assotsiatsiooni esindajad. Läbivaatamise käigus kasutati ka raamistiku Privacy Shield kohaselt sertifitseeritud organisatsioonide ettekandeid selle kohta, kuidas äriühingud täidavad raamistiku nõudeid.

Lisaks on komisjoni järelduste väljatöötamiseks saadud teavet komisjoni tellitud uuringust ja üldsusele kättesaadavatest allikatest, mille hulka kuuluvad kohtuotsused, asjaomaste Ameerika Ühendriikide ametiasutuste rakenduseeskirjad ja menetlused, valitsusväliste organisatsioonide aruanded ja nende tehtud uuringud, raamistiku Privacy Shield kohaselt sertifitseeritud ettevõtete läbipaistvusaruanded, sõltumatute vaidluste lahendamise mehhanismide aastaaruanded ning ajakirjanduses ilmunud artiklid.

Seekord toimus läbivaatamine ajal, mil isikuandmete kaitse valdkonnas ilmnevad üha üleilmsemat laadi probleemid, näiteks Facebooki ja Cambridge Analytica juhtum. Nii EL kui ka USA on nendest isikuandmete kaitse valdkonna probleemidest teadlikud. Läbivaatamise käigus rõhutasid mõlemad pooled vajadust lõpetada isikuandmete kuritarvitamine, muu hulgas ELi isikuandmete kaitse asutuse ja USA föderaalse kaubanduskomisjoni jõuliste täitemeetmete kaudu.

Komisjoni aruanne kajastab ka Ameerika Ühendriikides toimuvat arutelu föderaalsete eraelu puutumatust käsitlevate õigusaktide üle. Kahe süsteemi lähendamine pikas perspektiivis aitaks tugevdada aluseid, millel põhineb raamistik Privacy Shield.

2.TÄHELEPANEKUD JA JÄRELDUSED

Teine iga-aastane läbivaatamine hõlmas raamistiku Privacy Shield kaubandusaspekte ja valitsuse juurdepääsu isikuandmetele.

Kaubandusaspektid hõlmavad sertifitseeritud äriühingute suhtes kohaldatavate kohustuste haldamist, järelevalvet ja täitmist. Nende kohta märkis komisjon, et vastavalt soovitustele, mille ta esitas esimese iga-aastase läbivaatamise tulemusel, on kaubandusministeerium sertifitseerimisprotsessi tugevdanud ja kehtestanud uued järelevalvemenetlused. Eelkõige kehtestas kaubandusministeerium korra, mille kohaselt ei tohi esmakordsed taotlejad esitada avalikke kinnitusi seoses osalemisega raamistikus Privacy Shield enne, kui kaubandusministeerium on nende sertifitseerimise menetluse lõpule viinud. Lisaks on kaubandusministeerium võtnud kasutusele uued mehhanismid nõuete täitmise alaste probleemide avastamiseks. Nii näiteks tehakse pistelist kohapealset kontrolli, mida iga-aastase läbivaatamise ajaks oli tehtud umbes 100 organisatsioonis, ning jälgitakse meedias ilmuvaid teateid selle kohta, kuidas raamistikus Privacy Shield osalejad tagavad eraelu puutumatust. Et leida üles valeväited raamistikus osalemise kohta, on kaubandusministeerium kasutusele võtnud mitmesugused vahendid. Näiteks kontrollib ta kord kvartalis äriühinguid, kelle puhul valeväidete esitamise oht on suurem, ning on juurutanud internetist kujutiste ja teksti otsingu süsteemi. Nende uute võtete ja menetluste tulemusel on kaubandusministeerium pärast esimest iga-aastast läbivaatamist andnud üle 50 juhtumi menetlemiseks föderaalsele kaubanduskomisjonile, kes omakorda on võtnud täitemeetmeid juhtudel, kui pelgast juhtumi üleandmisest asjaomase äriühingu korralekutsumiseks ei piisanud.

Täitmise tagamise küsimuses märkis Euroopa Komisjon, et föderaalne kaubanduskomisjon, kes tegeleb ennetava tegevusega rikkumiste ärahoidmiseks, esitas hiljuti teabenõude mitmele raamistikus Privacy Shield osalevale äriühingule. Föderaalne kaubanduskomisjon on samuti kinnitanud, et uurib Facebooki ja Cambridge Analytica juhtumit. Kuigi komisjon on seisukohal, et föderaalse kaubanduskomisjoni uus, senisest ennetavam lähenemisviis nõuetele vastavuse kontrollimisele on oluline edasiminek, avaldab ta kahetsust, et föderaalne kaubanduskomisjon ei saanud esialgu esitada rohkem teavet uute uurimiste kohta. Komisjon jälgib tähelepanelikult sündmuste arengut selles valdkonnas.

Teise iga-aastase läbivaatamise käigus on arvesse võetud ka Ameerika Ühendriikide õigussüsteemi arengut eraelu puutumatuse valdkonnas. Eelkõige peetakse silmas kaubandusministeeriumi algatatud konsulteerimist föderaalse isikuandmete kaitse küsimuses ning föderaalses kaubanduskomisjonis toimuvat arutelu, mis käsitleb föderaalse kaubanduskomisjoni pädevust eraelu puutumatuse kaitse valdkonnas ja tema korrigeerimisvolituste kasutamise tulemuslikkust.

Facebooki ja Cambridge Analytica juhtumist ning muudest paljastustest saab järeldada, et EL ja USA peaksid ühtlustama oma tegevust selles valdkonnas. Seda silmas pidades on komisjon jälginud eespool nimetatud algatusi suure huviga ja on osalenud kaubandusministeeriumi konsultatsiooniprotsessis, esitades kirjalikult oma seisukoha 4 .

Teise iga-aastase läbivaatamise käigus käsitleti ka küsimust, milline on Ameerika Ühendriikide ametiasutuste juurdepääs isikuandmetele ja kuidas nad isikuandmeid kasutavad. Keskenduti õigusraamistiku, eelkõige asutuste tegevuspõhimõtete ja -korra arengule, uuematele suundumustele järelevalve teostamises ning oluliste järelevalve- ja heastamismehhanismide loomisele ja toimimisele.

Olulisim sündmus valitsuse juurdepääsuõiguse küsimuses oli see, et 2018. aasta alguses saadi luba taas kohaldada välisluure jälitustegevuse seaduse (Foreign Intelligence Surveillance Act, edaspidi „seadus“) paragrahvi 702. Loa saamisest hoolimata ei inkorporeeritud seadusesse presidendi poliitikasuunist nr 28, mida oli soovitanud komisjon. See ei takistanud siiski kohaldamast ühtki seaduses sisalduvat kaitsemeedet, mis kehtisid isikuandmete kaitse raamistikku Privacy Shield käsitleva otsuse vastuvõtmise ajal. Lisaks sellele ei laiendatud muudatustega Ameerika Ühendriikide luureteenistuste õigust saada välisluureteavet, kogudes paragrahvile 702 toetudes andmeid muude riikide kodanike kohta. Seevastu kehtestati 2017. aasta muudatuste taaslubamise seadusega (Amendments Reauthorization Act), millega muudeti 1978. aasta välisluure jälitustegevuse seadust, mõningad väiksemad eraelu puutumatuse kaitsemeetmed näiteks läbipaistvuse valdkonnas.

Olulisi sündmusi on toimunud ka eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoni (Privacy and Civil Liberties Oversight Board) tegevuses. Esimese iga-aastase läbivaatamise ajal oli sellesse jäänud ainult üks liige, mistõttu soovitas Euroopa Komisjon kiires korras nimetada sellesse uusi liikmeid. 11. oktoobril 2018 nimetas Ameerika Ühendriikide senat ametisse eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoni esimehe ning kaks liiget. Nüüd tegutseb komisjon täies koosseisus ja tal on võimalik täita kõiki ülesandeid. Esimese iga-aastase läbivaatamise tulemusel soovitas Euroopa Komisjon ka avalikustada selle komisjoni aruande presidendi poliitikasuunise nr 28 kohta. Aruanne avaldati 16. oktoobril 2018 5 . Sellest selgub, et presidendi poliitikasuunist nr 28 kohaldavad kõik luureteenistused. Eelkõige kinnitatakse aruandes, et pärast presidendi poliitikasuunise nr 28 avaldamist on kõik asjaomased luureteenistused võtnud vastu üksikasjalikud eeskirjad kõnealuse suunise rakendamiseks ning teinud sellest tulenevalt oma tegevuses muudatusi.

Mis aga puudutab Euroopa Komisjoni soovitust kiiresti ametisse nimetada raamistiku Privacy Shield ombudsman, oli käesoleva aruande koostamise ajal endiselt alaliselt ametisse nimetamata see välisministeeriumi asekantsler, kellele allub ombudsmani büroo. Sellega seoses võttis komisjon teadmiseks asjaolu, et Ameerika Ühendriikide valitsus tunnistas teise iga-aastase läbivaatamise ajal vajadust asekantsler kiiresti ametisse nimetada ja kinnitas, et see protsess on käimas.

Käesoleva aruande koostamise ajal ei olnud ombudsmani mehhanismile veel esitatud ühtki taotlust, kuid ombudsmanile mõeldud kaebus oli esitatud Horvaatia isikuandmete kaitse asutusele ning sellest tulenev kontroll oli alanud.

Üksikasjalikud järeldused raamistiku Privacy Shield toimimise kõigi aspektide kohta pärast teist tegevusaastat on esitatud komisjoni talituste töödokumendis ELi-USA isikuandmete kaitse raamistiku Privacy Shield toimimise teise iga-aastase läbivaatamise kohta (SWD(2018) 497 final), mis on lisatud käesolevale aruandele.

Teise iga-aastase läbivaatamise käigus kogutud teave kinnitab komisjoni poolt kaitse piisavuse otsuses esitatud järeldusi nii raamistiku kaubandusaspektide kohta kui ka seoses Ameerika Ühendriikide ametiasutuste juurdepääsuga isikuandmetele, mida edastatakse raamistiku Privacy Shield alusel.

Nende järelduste põhjal järeldab komisjon, et Ameerika Ühendriigid tagavad endiselt piisava kaitse isikuandmetele, mis edastatakse raamistiku Privacy Shield alusel liidust Ameerika Ühendriikides asuvatele organisatsioonidele.

Eelkõige on pärast esimest iga-aastast läbivaatamist võetud komisjoni soovituste kohaselt meetmeid raamistiku praktilise toimimise parandamiseks, tagades füüsilistele isikutele kogu kaitse, millele neil on õigus vastavalt kaitse piisavuse otsusele.

Mõned nimetatud meetmed on aga võetud alles hiljuti ja sellest tingitud protsessid ei ole veel lõpule jõudnud. Neid protsesse tuleb hoolikalt jälgida, kuna need mõjutavad elemente, mis on olulised isikuandmete kaitse järjekindluse tagamiseks. Eelkõige puudutab see järgmist:

1.Kaubandusministeeriumi poolt raamistiku teisel kehtimisaastal kasutusele võetud selliste mehhanismide tõhusus, millega teostatakse ennetavat järelevalvet raamistiku Privacy Shield põhimõtete järgimise üle. Eelkõige tuleb jälgida seda, kuidas sertifitseeritud äriühingud täidavad sisulisi nõudeid ja kohustusi.

2.Nende vahendite tulemuslikkus, mille kaubandusministeerium võttis pärast esimest iga-aastast läbivaatamist kasutusele raamistikus osalemist käsitlevate valeväidete avastamiseks, pöörates erilist tähelepanu selliste äriühingute valeväidetele, kes ei ole sertifitseerimist isegi mitte taotlenud.

3.Föderaalse kaubanduskomisjoni poolt raamistiku Privacy Shield teisel tegevusaastal raamistiku Privacy Shield suurte rikkumiste väljaselgitamiseks teabenõuete abil läbi viidud ex officio lauskontrolli käik ja tulemused.

4.Kaubandusministeeriumi, föderaalse kaubanduskomisjoni ja ELi isikuandmete kaitse asutuste ühiste juhiste väljatöötamine suuremat selgust vajavate elementide (nt ettevõtete töötajaid käsitlevad andmed) kohta.

5.Raamistiku Privacy Shield ombudsmani kiire ametissenimetamine.

6.Ombudsmani poolne kaebuste läbivaatamise ja lahendamise tõhusus.

Eelkõige kordab komisjon oma üleskutset Ameerika Ühendriikide valitsusele kinnitada oma poliitilist pühendumust ombudsmani mehhanismile, käsitades raamistiku Privacy Shield ombudsmani ametissenimetamist esmatähtsa ülesandena. Ombudsmani mehhanism on raamistiku Privacy Shield oluline koostisosa ja kuigi asjaomaseid ülesandeid täidab praegu ombudsmani kohusetäitja, on alalise ombudsmani puudumine vastuvõetamatu ja ta tuleks ametisse nimetada nii kiiresti kui võimalik. Komisjon loodab, et Ameerika Ühendriikide valitsus nimetab alalise ombudsmani kandidaadi 28. veebruariks 2019 ja teavitab sellest ka komisjoni. Vastasel korral kaalub komisjon isikuandmete kaitse üldmäärusest 6 tulenevate asjakohaste meetmete võtmist. Komisjon loodab ka saada täpset ja üksikasjalikku teavet kõigi eespool nimetatud küsimuste kohta, et ta saaks analüüsida meetmete tegelikku toimimist.

Komisjon jälgib eraelu puutumatust käsitlevate föderaalsete õigusaktide üle toimuvat arutelu tähelepanelikult. Pidades silmas Atlandi-üleste andmevoogude olulisust, soovitab komisjon Ameerika Ühendriikidel kehtestada terviklik eraelu ja isikuandmete kaitse süsteem ning ühineda Euroopa Nõukogu konventsiooniga nr 108. Ainult tervikliku lähenemisviisiga saab kahte süsteemi pikemas perspektiivis lähendada ja ühtlasi tugevdada raamistiku Privacy Shield põhialuseid.

(1)

Komisjoni 12. juuli 2016. aasta rakendusotsus (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ (ELT L 2017, 1.8.2016, lk 1).

(2)

Komisjoni aruanne Euroopa Parlamendile ja nõukogule ELi-USA andmekaitseraamistiku Privacy Shield toimimise esimese iga-aastase läbivaatamise kohta (COM(2017) 611 final), vt http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(3)

Komisjoni talituste töödokument, mis on lisatud dokumendile „Komisjoni aruanne Euroopa Parlamendile ja nõukogule ELi-USA andmekaitseraamistiku Privacy Shield toimimise esimese iga-aastase läbivaatamise kohta“ (SWD(2017) 344 final), vt http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(4)

Kättesaadav aadressil https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf

(5)

Aruanne presidendile presidendi poliitikasuunise nr 28 rakendamise kohta signaaliluure valdkonnas, kättesaadav aadressil https://www.pclob.gov/reports/report-PPD28/ .

(6)

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus).

Top