EUROOPA KOMISJON
Brüssel,23.10.2019
COM(2019) 495 final
KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE
ELi-USA andmekaitseraamistiku Privacy Shield toimimise kolmanda iga-aastase läbivaatamise kohta
{SWD(2019) 390 final}
EUROOPA KOMISJON
Brüssel,23.10.2019
COM(2019) 495 final
KOMISJONI ARUANNE EUROOPA PARLAMENDILE JA NÕUKOGULE
ELi-USA andmekaitseraamistiku Privacy Shield toimimise kolmanda iga-aastase läbivaatamise kohta
{SWD(2019) 390 final}
1.KOLMAS IGA-AASTANE LÄBIVAATAMINE – TAUST, ETTEVALMISTAMINE JA PROTSESS
12. juulil 2016 võttis komisjon vastu otsuse (edaspidi „kaitse piisavuse otsus“), milles ta leidis, et ELi ja USA andmekaitseraamistik Privacy Shield tagab piisava kaitse isikuandmetele, mis on edastatud EList USAs asuvatele organisatsioonidele 1 . Kaitse piisavuse otsuse kohaselt peab komisjon igal aastal korraldama läbivaatamise, et hinnata raamistiku toimimise kõiki aspekte, ning koostama selle alusel avaliku aruande Euroopa Parlamendile ja nõukogule.
Esimene iga-aastane läbivaatamine toimus 2017. aasta septembris Washingtonis ning 2017. aasta oktoobris võttis komisjon vastu aruande Euroopa Parlamendile ja nõukogule, 2 millele on lisatud komisjoni talituste töödokument (SWD(2017) 344 final) 3 . Komisjon jõudis järeldusele, et Ameerika Ühendriigid tagasid jätkuvalt piisaval tasemel kaitse isikuandmetele, mis edastatakse raamistiku Privacy Shield alusel EList USAsse, kuid esitas kümme soovitust, et parandada raamistiku praktilist toimimist.
Teine iga-aastane läbivaatamine toimus 2018. aasta oktoobris Brüsselis ning 2018. aasta detsembris võttis komisjon vastu aruande Euroopa Parlamendile ja nõukogule, 4 millele oli taas lisatud komisjoni talituste töödokument (SWD(2018) 487 final) 5 . Teise iga-aastase läbivaatamise käigus kogutud teave kinnitas kaitse piisavuse otsuses esitatud komisjoni järeldusi nii seoses raamistiku kaubandusaspektidega (mis hõlmavad raamistiku Privacy Shield põhimõtete järgimist kinnitanud ettevõtjate poolset raamistiku nõuete täitmist ning nende nõuete USA pädevate asutuste poolset haldamist, järelevalvet ja jõustamist) kui ka seoses ametiasutuste juurdepääsuga raamistiku alusel edastatud isikuandmetele.
Sammud, mis astuti komisjoni soovituste elluviimiseks pärast esimest iga-aastast läbivaatamist, olid mitmeti parandanud raamistiku praktilist toimimist. Näiteks kaubandusministeerium oli kasutusele võtnud uued mehhanismid nõuete täitmise alaste võimalike probleemide avastamiseks, föderaalne kaubanduskomisjon oli rakendanud nõuetelevastavuse kontrollimisel ja nõuete täitmise tagamisel ennetavamat lähenemisviisi ning avalikustatud oli eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoni aruanne presidendi poliitikasuunise nr 28 6 rakendamise kohta. Ent kuna mõni neist sammudest oli astutud vahetult enne teist iga-aastast läbivaatamist ja teatud protsessid olid alles pooleli, leidis komisjon, et nende protsesside ja mehhanismide edasist arengut tuleb tähelepanelikult jälgida.
Ehkki raamistiku Privacy Shield ombudsmani ülesandeid täitis ametis olev aseriigisekretär ja ombudsmani mehhanism toimis seega täielikult, rõhutas komisjon, et on oluline täita ombudsmani ametikoht alaliselt, ja kutsus USA valitsust üles nimetama kandidaadi sellele ametikohale enne 28. veebruari 2019.
Kolmas iga-aastane läbivaatamiskoosolek toimus Washingtonis 12. ja 13. septembril 2019. Läbivaatamise juhatasid sisse õigus- ja tarbijaküsimuste peadirektoraadi peadirektor Tiina Astola, USA kaubandusminister Wilbur Ross, föderaalse kaubanduskomisjoni esimees Joseph Simons ja Euroopa Andmekaitsenõukogu aseesimees Ventsislav Karadjov. ELi poolt juhatasid koosolekut Euroopa Komisjoni õigus- ja tarbijaküsimuste peadirektoraadi esindajad. Koosolekul osales ka kaheksa Euroopa Andmekaitsenõukogu 7 määratud esindajat.
Ameerika Ühendriikide poolt osalesid läbivaatamises kaubandusministeeriumi, välisministeeriumi, föderaalse kaubanduskomisjoni, transpordiministeeriumi, föderaalse luureteenistuse direktori büroo, justiitsministeeriumi ning eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoni esindajad, samuti hiljuti (alaliselt, vt allpool) ametisse nimetatud ombudsman ja luureühenduse peainspektor. Lisaks esitasid asjaomastel läbivaatamisistungitel teavet esindajad kahest organisatsioonist, mis pakuvad raamistikus Privacy Shield sõltumatuid vaidluste lahendamise teenuseid, ning Ameerika Vahekohtu Assotsiatsioonist, mis haldab raamistiku vahekohust. Iga-aastasel läbivaatamisel saadi teavet ka Privacy Shieldi sertifikaadiga organisatsioonidelt, kes tutvustasid samme, mida ettevõtjad astuvad raamistiku nõuete täitmiseks.
Kolmandat iga-aastast läbivaatamist ette valmistades kogus komisjon teavet asjaomastelt sidusrühmadelt (eelkõige Privacy Shield sertifikaadiga ettevõtjatelt nende kutseorganisatsioonide kaudu ning põhiõiguste, eeskätt digitaalsete õiguste ja eraelu puutumatuse valdkonnas tegutsevatelt valitsusvälistelt organisatsioonidelt). Kirjaliku teabe kogumise kõrval kohtus komisjon 9. septembril 2019 tööstusliitude ja ettevõtjate ühendustega ning 11. septembril 2019 valitsusväliste organisatsioonidega.
Komisjon tugines järelduste tegemisel lisaks teabele, mis on pärit avalikkusele kättesaadavatest materjalidest, nagu kohtuotsused, asjaomaste USA ametiasutuste rakenduseeskirjad ja menetlused, valitsusväliste organisatsioonide aruanded ja uuringud, Privacy Shield sertifikaadiga ettevõtjate läbipaistvusaruanded, sõltumatute vaidluste lahendamise mehhanismide aastaaruanded ning ajakirjanduses ilmunud artiklid.
Käesoleva aruande esitamisega lõpeb raamistiku Privacy Shield toimimise kolmas iga-aastane läbivaatamine. Aruanne ja sellele lisatud komisjoni talituste töödokument (SWD(2019) 390 final) on üles ehitatud kahe eelmise iga-aastase aruande eeskujul. Selles käsitletakse raamistiku Privacy Shield toimimise kõiki aspekte, keskendudes eeskätt nendele elementidele, mille puhul komisjon oli teise iga-aastase läbivaatamise käigus leidnud, et neid tuleb tähelepanelikult jälgida.
Hindamisel võttis komisjon arvesse ka viimase aasta jooksul toimunud arengut, sealhulgas raamistikuga Privacy Shield seotud pooleliolevat vaidlust Euroopa Liidu Kohtus 8 . Läbivaatamine andis komisjonile võimaluse saada USA ametiasutustelt selgitusi välisluure andmete kogumist reguleeriva USA õigusraamistiku teatavate aspektide kohta, mida käsitleti kohtuasja Schrems II raames. Kui kohus teeb pooleliolevates kohtuasjades otsuse, võib komisjon siiski olla sunnitud olukorra ümber hindama.
2.TÄHELEPANEKUD
Raamistikus Privacy Shield, milles osales iga-aastase läbivaatamiskoosoleku ajal üle 5 000 ettevõtja, liiguti kolmandal aastal algetapist rakendusetappi. Kolmas iga-aastane läbivaataminehõlmas nii kaubandusaspekte kui ka küsimusi, mis on seotud valitsuse juurdepääsuga isikuandmetele, ning selle käigus keskenduti raamistiku praktilisel kohaldamisel saadud kogemustele ja õppetundidele.
Üksikasjalikud tähelepanekud raamistiku Privacy Shield toimimise kohta pärast raamistiku kolmandat rakendusaastat esitatakse käesolevale aruandele lisatud komisjoni talituste töödokumendis ELi-USA andmekaitseraamistiku Privacy Shield toimimise kolmanda iga-aastase läbivaatamise kohta (SWD(2019) 390 final).
2.1.Kaubandusaspektid
Võttes arvesse mulluse iga-aastase läbivaatamise käigus tehtud tähelepanekuid, keskendus komisjon kaubandusaspektide hindamisel eeskätt i) kaubandusministeeriumi edusammudele seoses ümbersertifitseerimise protsessiga, ii) nende mehhanismide tulemuslikkusele, mille kaubandusministeerium oli kasutusele võtnud sertifitseeritud ettevõtjate nõuetelevastavuse ennetavaks kontrollimiseks (nn kohapealsed kontrollid); iii) valeväidete avastamiseks kasutusele võetud vahenditele; iv) raamistiku põhimõtete rikkumise suhtes kohaldatud föderaalse kaubanduskomisjoni täitemeetmetega tehtud edusammudele ja saavutatud tulemustele ning v) muudatustele personaliandmeid käsitlevates juhistes.
Seoses ümbersertifitseerimise protsessiga ilmnes kolmandal iga-aastasel läbivaatamisel, et juhul kui ettevõtja ei ole (ümber)sertifitseerimistähtaja lõppedes ümbersertifitseerimise protsessi veel lõpule viinud, on kaubandusministeeriumil tavaks anda ettevõtjale pärast sisemenetlust märkimisväärne ajapikendus. Selleks ajaks (ligikaudu 3,5 kuuks või mõnel juhul ja sõltuvalt sellest, millal kaubandusministeerium avastab, et ümbersertifitseerimise protsessi ei ole lõpule viidud, isegi pikemaks ajaks) jääb ettevõtja raamistikus Privacy Shield aktiivselt osalevate ettevõtjate nimekirja. Seni kuni ettevõtja on selles nimekirjas, on raamistikus sätestatud kohustused talle siduvad ja neid tuleb täielikult täita. Nii pikk aeg, mil ettevõtja ümbersertifitseerimise tähtaeg on küll möödunud, kuid ta jääb raamistikus aktiivselt osalevate ettevõtjate nimekirja, vähendab selle nimekirja läbipaistvust ja loetavust nii ELi ettevõtjate kui ka üksikisikute jaoks. Samuti ei innusta see osalevaid ettevõtjaid rangelt täitma iga-aastase ümbersertifitseerimise nõuet.
Mis puudutab ettevõtjate nõuetelevastavuse ennetavat kontrollimist, siis kaubandusministeerium võttis 2019. aasta aprillis kasutusele süsteemi, kus ta kontrollib iga kuu 30 ettevõtjat. Komisonil on hea meel, et kaubandusministeerium teeb kohapeal korrapäraselt ja süstemaatiliselt ennetavaid nõuetelevastavuse kontrolle, mis on väga oluline, et parandada raamistiku üldist järgimist ja avastada juhtumid, mille suhtes föderaalne kaubanduskomisjon peab võtma täitemeetmeid. Samas märgib komisjon, et üldjuhul hõlmavad need kohapealsed kontrollid vaid vorminõudeid, näiteks tehakse kindlaks kontaktpunktide puudulik reageerimine või asjaolu, et ettevõtja eraelu puutumatuse põhimõtted ei ole veebis kättesaadavad. Ehkki need aspektid on raamistiku Privacy Shield nõuete täitmisel kahtlemata olulised, peaksid sellised kontrollid hõlmama ka sisulisi kohustusi, nagu vastutus kolmandale osapoolele andmete edastamise eest, ning nende tegemisel tuleks kasutada täiel määral ära vahendid, mida kaubandusministeerium saab raamistiku kohaselt kasutada. Nõuded, mis käsitlevad andmete edastamist kolmandale isikule, on raamistikus märksa rangemaks muudetud, kuna kaitsemeetmete puudumine sellises olukorras kahjustaks raamistikuga tagatud kaitset. Kuigi kohapealseid kontrolle tuleks teha ka edaspidi korrapäraselt ja süstemaatiliselt, on raamistiku järjepidevuse jaoks olulised ka sisulisemad nõuded, mille täitmise peaksid USA ametiasutused range järelevalve alla võtma ja tagama.
Seoses kaubandusministeeriumi püüdlustega leida valeväiteid raamistikus Privacy Shield osalemise kohta täheldas komisjon, et ministeerium on jätkanud otsingute tegemist kord kvartalis ning selle tulemusena on avastatud suur hulk valeväiteid, millest mõnel juhul teavitati ka föderaalset kaubanduskomisjoni. Samas on nende otsingute tegemisel seni piirdutud vaid ettevõtjatega, kes on raamistiku alusel mingil moel juba sertifitseeritud või sertifitseerimist taotlenud (kuid ümbersertifitseerimine näiteks ei õnnestunud). On oluline, et sihikule võetaks ka ettevõtjad, kes ei ole raamistiku alusel sertifitseerimist kunagi taotlenud. Just selliste ettevõtjate valeväited võivad olla igat liiki valeväidetest kõige kahjulikumad. See on tõsi üksikisikute eraelu puutumatuse vaatenurgast, kuna ettevõtjad, kes ei ole sertifitseerimist taotlenud , ei ole rakendanud oma äritegevuses ühtki raamistikuga tagatud kaitsemeedet. See on tõsi ka ettevõtjate vaatenurgast, sest ettevõtjate tingimused muutuvad ebavõrdsemaks, kui organisatsioonid, kes ei täida raamistiku nõudeid, saavad nõuda sertifitseerimisest tulenevaid hüvesid.
Komisjonil oli hea meel täheldada, et üha suurem arv ELi andmesubjekte kasutab oma raamistikust Privacy Shield tulenevaid õigusi ja et asjakohased õiguskaitsemehhanismid toimivad hästi. Sõltumatutele vaidluste lahendamise mehhanismidele esitatud kaebuste arv suurenes ja kaebused lahendati nii, et asjaomased ELi kodanikud olid rahul. ELi üksikisikute taotlusi menetlesid asjakohaselt ka osalevad ettevõtjad.
Raamistiku Privacy Shield põhimõtete järgimise tagamise kohta märkis komisjon, et föderaalne kaubanduskomisjon on viinud alates eelmisest aastast seoses raamistiku põhimõtete rikkumisega lõpule seitse täitemeedet, sealhulgas väljakuulutatud ex officio lauskontrollide tulemusel. Kõik seitse juhtumit olid seotud valeväidetega raamistikus osalemise kohta. Neist kahe puhul oli rikutud ka raamistiku sisulisemaid nõudeid, näiteks ei oldud enesehindamise või välise vastavuskontrolli kaudu kontrollitud, et ettevõtja väited oma raamistikukohaste tavade kohta on õiged ja et neid tavasid on rakendatud. Komisjon kiidab heaks täitemeetmed, mille föderaalne kaubanduskomisjon on raamistiku kolmandal rakendusaastal võtnud. Samas – võttes arvesse agentuuri möödunud aasta teadannet ja kinnitusi, mis anti teise iga-aastase läbivaatamise raames – oleks komisjon oodanud raamistiku põhimõtete sisulise rikkumise korral jõulisemaid täitemeetmeid.
Komisjon võttis sellega seoses teadmiseks kolmandal iga-aastasel läbivaatamisel esitatud selgituse, et mitu pooleliolevat uurimist võtavad rohkem aega, kuna föderaalne kaubanduskomisjon vaatleb kõiki võimalikke rikkumisi. Föderaalse kaubanduskomisjoni esitatud teave oli paraku liiga piiratud, et asjakohaselt hinnata raamistiku põhimõtete järgimise tagamisel tehtud edusamme. Ehkki sellise teabe kättesaadavus võib olla piiratud konfidentsiaalsusega seotud õigustatud kaalutlustel, ei tundu olevat põhjendatud, et föderaalne kaubanduskomisjon ei saa esitada tehtavate ex officio lauskontrollide kohta rohkem teavet isegi koondatud ja anonüümses vormis. See lähenemisviis ei ole kooskõlas ametiasutuste koostöövaimuga, millele raamistik Privacy Shield tugineb, ning föderaalne kaubanduskomisjon peaks leidma viise, kuidas jagada komisjoniga ja ELi andmekaitseasutustega, kes kaasvastutavad raamistiku põhimõtete järgimise tagamise eest, sisukat teavet oma jõustamistegevuse kohta.
Läbivaatamisel vaadeldi taas küsimust, kuidas käsitletakse raamistikus Privacy Shield personaliandmeid. Nagu kinnitasid sidusrühmad, tooks kaubandusministeeriumi, föderaalse kaubanduskomisjoni ja ELi andmekaitseasutuste ühiste juhiste väljatöötamine tõelist lisaväärtust. Sellega seoses märgib komisjon, et hiljuti on sel teemal suheldud, mis on kaasa toonud mõningased edusammud küsimuste mõistmisel, kuid konkreetne tulemus praegu veel puudub.
2.2.USA ametiasutuste juurdepääs isikuandmetele ja viis, kuidas nad isikuandmeid kasutavad
Seoses küsimusega, milline on USA ametiasutuste juurdepääs isikuandmetele ja kuidas nad isikuandmeid kasutavad, võeti kolmandal iga-aastasel läbivaatamisel eelkõige eesmärgiks leida kinnitust sellele, et kõik kaitse piisavuse otsuse aluseks olevad piirangud ja kaitsemeetmed kehtivad endiselt. Peale selle võimaldas kolmas iga-aastane läbivaatamine vaadelda uusi suundumusi ning veelgi selgitada teatavaid õigusraamistiku aspekte, erinevaid järelevalvemehhanisme ja õiguskaitsevõimalusi, eeskätt ombudsmani poolset kaebuste käsitlemist ja lahendamist.
Kuigi välisluure jälitustegevuse seaduse paragrahvi 702 kohase välisluure andmete kogumise osas ei ilmnenud uusi õiguslikke suundumusi, valmistasid komisjonile heameelt USA ametiasutuste selgitused selle kohta, kuidas toimub luureandmete kogumine selle paragrahvi kohaselt ellu viidavate luureprogrammide (Prism ja Upstream) raames. Need selgitused kinnitasid kaitse piisavuse otsuses esitatud komisjoni järeldusi, et välisluure andmeid kogutakse kõnealuse paragrahvi alusel alati sihipäraselt, kuna kohaldatakse valikutingimusi, mille valimine on reguleeritud seadusega ja toimub seadusandliku ja kohtuvõimu sõltumatu järelevalve all.
Komisjon täheldas ka seda, et kava kohaselt peaksid mõned volitused hankida välisluure andmeid välisluure jälitustegevuse seaduse paragrahvi 501 alusel (seadust on muudetud 2015. aastal jõustunud USA vabaduse seadusega (USA FREEDOM Act)) lõppema 15. detsembril 2019. Kuna välisluure andmete kogumine selle paragrahvi alusel on raamistikus Privacy Shield asjakohane ning seetõttu on komisjon seda kaitse piisavuse otsuses hinnanud, on tähtis, et olemasolevad piirangud ja kaitsemeetmed, nagu andmete laiaulatusliku kogumise keeld, jääksid uute volituste andmisel kehtima.
Seoses presidendi poliitikasuunisega nr 28 kinnitasid USA ametiasutused sõnaselgelt, et suunis jääb täielikult jõusse ja kehtima ning seda ei ole muudetud. Muudetud ei ole ka selle suunise rakendamise korda luureühenduse eri asutustes. Peale selle võttis komisjon teadmiseks USA ametiasutuste selgitused selle kohta, et presidendi poliitikasuunise nr 28 sätteid, mis käsitlevad andmete laiaulatuslikku kogumist, sealhulgas ajutist omandamist, ei kohaldata välisluure andmete kogumisel USAs, näiteks kui andmeid kogutakse sertifitseeritud ettevõtjalt, kes töötleb EList edastatud andmeid Privacy Shield raamistiku alusel, või kui andmeid kogutakse välisluure jälitustegevuse seaduse paragrahvi 702 alusel programmi Prism või Upstream raames, kuna selline andmete kogumine on alati sihipärane.
Eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjoni kui valitsusasutuste poolse jälgimise üle järelevalvet teostava olulise organi puhul oli komisjonil hea meel selle üle, et pärast seda, kui USA senat kinnitas hiljuti veel kaks järelevalvekomisjoni liiget, on sel komisjonil esmakordselt alates 2016. aastast olemas kõik viis liiget. Komisjon täheldas ka seda, et järelevalvekomisjoni töötajate arv on pärast viimast iga-aastast läbivaatamist kahekordistunud ning et järelevalvekomisjon on vastu võtnud kõrgelennulise tööprogrammi, mis koosneb kümnest käimasolevast järelevalveprojektist, millest mõni on komisjoni jaoks raamistiku Privacy Shield korrapärasel läbivaatamisel eriti oluline.
Mis puudutab raamistiku Privacy Shield ombudsmani mehhanismi, siis USA president teatas 18. jaanuaril 2019 Keith Krachi nimetamisest aseriigisekretäriks, kes täidab ka ombudsmani ülesandeid. Senat kinnitas Keith Krachi ametisse 20. juunil 2019. Komisjonil on hea meel Keith Krachi nimetamise üle raamistiku Privacy Shield ombudsmaniks, millega on tagatud, et see ametikoht on alaliselt täidetud.
Esimene kaebus, mis esitati ombudsmanile Horvaatia andmekaitseasutuse kaudu vahetult enne viimast iga-aastast läbivaatamist, tunnistati lõppkokkuvõttes vastuvõetamatuks, kuna see oli seotud asjaoludega, mis pärinesid raamistikku Privacy Shield käsitleva otsuse vastuvõtmise eelsest ajast. Kaebus andis sellegipoolest võimaluse katsetada asjakohase menetluse toimimist praktikas. Nii iga-aastasel läbivaatamisel osalenud Euroopa Andmekaitsenõukogu esindajad kui ka ombudsman kinnitasid, et menetluse kõik asjakohased etapid läbiti ja lõpetati rahuldavalt. Komisjon rõõmustab selle esimese taotluse eduka töötlemise üle, mis on oluline märk sellest, et ombudsmani mehhanism suudab nõuetekohaselt täita oma ülesandeid.
USA ametiasutused esitasid ka lisaselgitusi selle kohta, kuidas ombudsman teeb koostööd teiste sõltumatute järelevalveorganitega ja kuidas ta heastab rikkumised. Ametiasutused kinnitasid, et luureühenduse sõltumatut peainspektorit teavitatakse süstemaatiliselt kõikidest ombudsmanile esitatud kaebustest ja ta teeb oma hindamise. Lisaks selgitasid ametiasutused, et kui ombudsmanile esitatud kaebusest ilmneb välisluure jälitustegevuse seaduse paragrahvi 702 kohase suunamismenetluse rikkumine, teatatakse sellest vastuluurekohtule, mis teostab sõltumatu läbivaatamise ja vajaduse korral annab asjakohasele luureagentuurile korralduse võtta parandusmeetmeid. Need parandusmeetmed ulatuvad individuaalsetest meetmetest struktuurimeetmeteni, näiteks ebaseaduslikult hangitud andmete kustutamisest kuni kogumistavade, sealhulgas töötajatele antavate juhiste ja pakutava koolituse muutmiseni.
Lõpetuseks kinnitati, et kui ombudsmanile esitatud kaebuse läbivaatamisel tehakse kindlaks mõne USA õigusakti rikkumine (sh korralduse, presidendi poliitikasuunise või agentuuri eeskirjade ja menetluste, nt vastuluurekohtu heakskiidetud suunamis- ja minimeerimismenetluste rikkumine), eemaldatakse ebaseaduslikult kogutud andmed kõikidest valitsuse andmebaasidest ja luurearuannetes kustutatakse kõik viited nendele andmetele. Seega on ELi kodanikel võimalik saavutada oma isikuandmete kustutamine, kui USA luureühendus on kogunud ja töödelnud neid ebaseaduslikult.
Komisjonile valmistavad heameelt need lisaselgitused, millest on näha, kuidas erinevate sõltumatute järelevalveorganite vaheline koostöö suurendab ombudsmani mehhanismi tõhusust. Oluline oli selgitada ka seda, et ombudsmani mehhanismi rakendamisel saavad üksikisikud ELis kasutada oma õigust andmete kustutamisele, mis on isikuandmete kaitse õiguse oluline element.
3.KOKKUVÕTE
Kolmanda iga-aastase läbivaatamise käigus kogutud teave kinnitab kaitse piisavuse otsuses esitatud komisjoni järeldusi nii seoses raamistiku Privacy Shield kaubandusaspektidega kui ka seoses ametiasutuste juurdepääsuga raamistiku alusel edastatud isikuandmetele. Komisjon täheldas, et raamistiku toimimine ja peamiste järelevalveorganite liikmete ametisse nimetamine on mitmel moel paranenud.
Võttes arvesse probleeme, mis ilmnesid igapäevaste kogemuste omandamisel või muutusid olulisemaks raamistiku Privacy Shield praktilisel rakendamisel, on komisjon jõudnud siiski järeldusele, et tuleb astuda hulk konkreetseid samme, et paremini tagada raamistiku tõhus toimimine praktikas.
1.Kaubandusministeerium peaks lühendama aega, mis antakse ettevõtjatele ümbersertifitseerimisprotsessi lõpuleviimiseks. Kokku kuni 30 päeva tundub olevat piisav, et ettevõtjatel oleks piisavalt aega ümbersertifitseeruda ning lahendada selle protsessi käigus ilmnenud probleemid; samal ajal oleks tagatud ka protsessi tulemuslikkus. Kui selle ajavahemiku lõpuks ei ole ümbersertifitseerimist lõpule viidud, peaks kaubandusministeerium saatma viivitamata hoiatuskirja.
2.Kohapealsete kontrollide tegemisel peaks kaubandusministeerium hindama, kuidas ettevõtjad järgivad põhimõtet, mis seisneb vastutuses kolmandale osapoolele andmete edastamise eest, sealhulgas kasutades raamistikus Privacy Shield pakutavat võimalust nõuda kokkuvõtet või koopiat eraelu puutumatust käsitlevatest sätetest, mis sisalduvad lepingus, mille raamistiku sertifikaadiga ettevõtja on sõlminud andmete edastamiseks kolmandale osapoolele.
3.Kaubandusministeerium peaks esmajärjekorras välja töötama vahendid, et avastada valeväited, mille on esitanud raamistikus Privacy Shield osalemise kohta ettevõtjad, kes ei ole Privacy Shieldi sertifikaati kunagi taotlenud, ning kasutama neid vahendeid korrapäraselt ja süstemaatiliselt.
4.Föderaalne kaubanduskomisjon peaks esmajärjekorras leidma viisid, kuidas jagada komisjoniga ja ELi andmekaitseasutustega, kellel on raamistiku Privacy Shield alusel ka jõustamisülesanded, sisukat teavet pooleliolevate uurimiste kohta.
5.ELi andmekaitseasutused, kaubandusministeerium ja föderaalne kaubanduskomisjon peaksid lähikuudel koostama ühised juhised personaliandmete määratlemise ja käsitlemise kohta.
Komisjon jälgib ka tulevikus tähelepanelikult raamistiku Privacy Shield konkreetsete elementide edasist arengut, nimelt i) ombudsmani mehhanismi toimimist, eelkõige uue kaebuse korral; ii) tulemusi, mis saavutatakse pooleliolevate järelevalveprojektidega, mille on algatanud eraelu puutumatuse ja kodanikuvabaduste järelevalve komisjon ning mis on raamistiku Privacy Shield jaoks iseäranis olulised (projektid, mis on seotud näiteks föderaalse juurdlusbüroo päringutega välisluure jälitustegevuse seaduse paragrahvi 702 alusel saadud andmete kohta, presidendi poliitikasuunist nr 28 käsitlevate järelevalvekomisjoni soovituste elluviimisega jne); iii) uute volituste andmist välisluure jälitustegevuse seaduse paragrahvi 501 alusel, eriti et olemasolevad kaitsemeetmed jääksid kehtima, ning iv) arengut USA kohtupraktikas seoses õiguskaitsega valitsusasutuste poolse jälgimise valdkonnas, eriti seoses kaebeõigusega kohtus.
Komisjon jälgib tähelepanelikult ka USAs toimuvat arutelu eraelu puutumatust käsitlevate föderaalsete õigusaktide üle. Terviklik lähenemisviis eraelu puutumatuse ja isikuandmete kaitsmisel aitaks lähendada ELi ja USA süsteeme ning see tugevdaks põhialuseid, millele raamistik Privacy Shield on rajatud.
Komisjoni 12. juuli 2016. aasta rakendusotsus (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ (ELT L 207, 1.8.2016, lk 1).
Komisjoni aruanne Euroopa Parlamendile ja nõukogule ELi-USA andmekaitseraamistiku Privacy Shield toimimise esimese iga-aastase läbivaatamise kohta (COM(2017) 611 final), vt http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Komisjoni talituste töödokument, mis on lisatud dokumendile „Komisjoni aruanne Euroopa Parlamendile ja nõukogule ELi-USA andmekaitseraamistiku Privacy Shield toimimise esimese iga-aastase läbivaatamise kohta“ (SWD(2017) 344 final), vt http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Komisjoni aruanne Euroopa Parlamendile ja nõukogule ELi-USA isikuandmete kaitse raamistiku Privacy Shield toimimise teise iga-aastase läbivaatamise kohta (COM(2018) 860 final), vt https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2018:0860:FIN:ET:PDF .
Komisjoni talituste töödokument, mis on lisatud dokumendile „Komisjoni aruanne Euroopa Parlamendile ja nõukogule ELi-USA isikuandmete kaitse raamistiku Privacy Shield toimimise teise iga-aastase läbivaatamise kohta“, (SWD(2018) 497 final), vt https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
Presidendi 17. jaanuari 2014. aasta poliitikasuunis nr 28 signaaliluure kohta, millega nähakse ette olulised piirangud ja kaitsemeetmed muude riikide kodanikele signaaliluure andmete kogumisel.
Sõltumatu organ, kuhu kuuluvad ELi liikmesriikide andmekaitseasutuste esindajad ja Euroopa Andmekaitseinspektor.
Vt kohtuasi T-738/16: La Quadrature du Net vs. komisjon. Raamistikuga Privacy Shield seotud küsimusi on tõstatatud ka seoses kohtuasjaga C-311/18: Data Protection Commissioner vs. Facebook Ireland, Maximilian Schrems („Schrems II“), mida arutati Euroopa Kohtu suurkojas 9. juulil 2019.