52013DC0846

1.           UVOD: OKRUŽJE OBRADE PODATAKA EU-a I SAD-a KOJE SE MIJENJA

Europska unija i Sjedinjene Države strateški su partneri, a to je partnerstvo ključno za promicanje naših vrijednosti koje dijelimo, naše sigurnosti i naše zajedničke vodeće uloge u globalnim pitanjima.

Međutim, povjerenje u partnerstvo narušeno je i treba ga ponovno uspostaviti. Europska unija, njezine države članice i europski građani izrazili su duboku zabrinutost u vezi s otkrićem opsežnih programa prikupljanja obavještajnih podataka koje provodi SAD, osobito u vezi sa zaštitom osobnih podataka[1]. Masovno nadziranje privatne komunikacije, bez obzira radi li se o građanima, poduzećima ili političkim vođama, neprihvatljivo je.

Prijenosi osobnih podataka važan su i nužan element transatlantskih odnosa. Oni čine sastavni dio trgovinskih razmjena preko Atlantika, uključujući nove i rastuće poslovne subjekte koji se bave digitalnom tehnologijom, poput društvenih medija i računalstva u oblaku, pri čemu velike količine podataka odlaze iz EU-a u SAD. Oni su isto tako ključna sastavnica suradnje EU-a i SAD-a u području provedbe zakona te suradnje između država članica i SAD-a u području nacionalne sigurnosti. Kako bi olakšali protok podataka, a istovremeno osigurali visoku razinu zaštite podataka kako je propisana pravom EU-a, SAD i EU uspostavili su niz sporazuma i aranžmana.

Trgovinske razmjene predmet su Odluke 2000/520/EZ[2] (dalje u tekstu „Odluka o ,sigurnoj luci’”). Tom se Odlukom pruža pravna osnova za prijenose osobnih podataka iz EU-a poduzećima s poslovnim nastanom u SAD-u koja poštuju načela privatnosti „sigurne luke”.

Razmjena osobnih podataka između EU-a i SAD-a za potrebe provedbe zakona, uključujući sprečavanje i borbu protiv terorizma i drugih oblika teškog kriminala, uređena je nizom sporazuma na razini EU-a. To su Sporazum o uzajamnoj pravnoj pomoći[3], Sporazum o uporabi i prijenosu podataka iz popisa imena putnika (PIP),[4], Sporazum o obradi i slanju podataka o izvješćima u vezi s financijskim plaćanjima za potrebe Programa za praćenje financiranja terorističkih djelatnosti (TFTP)[5] i Sporazum između Europola i SAD-a. Ti sporazumi predstavljaju odgovor na važne izazove u području sigurnosti i od zajedničkog su interesa za sigurnost EU-a i SAD-a, a njima se osigurava visoka razina zaštita osobnih podataka. Osim toga, EU i SAD trenutačno pregovaraju o okvirnom sporazumu o zaštiti podataka u području policijske i pravosudne suradnje („krovni sporazum”)[6]. Cilj je osigurati visoku razinu zaštite podataka za građane čiji se podatci razmjenjuju i time dodatno unaprijediti suradnju EU-a i SAD-a u borbi protiv kriminala i terorizma na temelju zajedničkih vrijednosti i usuglašenih zaštitnih mehanizama.

Ti instrumenti djeluju u okruženju u kojem protok osobnih podataka sve više dobiva na važnosti.

S jedne strane, razvoj digitalnog gospodarstva doveo je do eksponencijalnog rasta kvantitete, kvalitete, raznolikosti i prirode aktivnosti u vezi s obradom podataka. Građani u svakodnevnom životu sve više koriste usluge elektroničke komunikacije. Osobni podatci postali su vrlo vrijedna imovina: 2011. procijenjena vrijednost podataka građana EU-a iznosila je 315 milijardi EUR, uz potencijal da poraste do gotovo 1 bilijun EUR godišnje do 2020[7]. Tržište za analizu velikih skupova podataka rate za 40 % godišnje diljem svijeta [8]. Slično tome, tehnološki razvoj, na primjer povezan s računalstvom u oblaku, ukazao je na važnost pojma međunarodnog prijenosa podataka budući da prekogranični protok podataka postaje svakodnevna pojava.[9]

Povećanje uporabe elektroničkih komunikacija usluga obrade podataka, uključujući računalstvo u oblaku, isto je tako bitno proširilo područje primjene i značaj transatlantskih prijenosa podataka. Elementi poput središnje pozicije poduzeća iz SAD-a u digitalnom gospodarstvu[10], transatlantsko usmjeravanje elektroničkih komunikacija i obujam protoka elektroničkih podataka između EU-a i SAD-a postali su još važniji.

S druge strane, moderne metode obrade osobnih podataka otvaraju nova i važna pitanja. To se podjednako odnosi na nova sredstva opsežne obrade korisničkih podataka od strane privatnih poduzeća u komercijalne svrhe i na povećanu sposobnost opsežnog nadzora komunikacijskih podataka od strane obavještajnih agencija.

Opsežni programi prikupljanja obavještajnih podataka koje provodi SAD, kao što je PRISM, utječu na temeljna prava Europljana, a posebno na njihovo pravo na privatnost i na zaštitu osobnih podataka. Ti programi isto tako ukazuju na vezu između vladina nadzora i obrade podataka od strane privatnih poduzeća, osobito internetskih poduzeća iz SAD-a. Stoga posljedično mogu utjecati na gospodarstvo. Ako se građani brinu za opširnu obradu njihovih osobnih podataka od strane privatnih poduzeća ili nadzor njihovih podataka od strane obavještajnih agencija prilikom korištenja internetskih usluga, to može utjecati na njihovo povjerenje u digitalno gospodarstvo, što bi moglo imati negativne posljedice na rast.

Takvim se razvojem događaja protok podataka između EU-a i SAD-a izaže novim izazovima. U ovoj se Komunikaciji obrađuju ti izazovi. Istražuje se kako učiniti napredak na temelju nalaza koji su sadržani u Izvješću supredsjedatelja iz EU-a ad hoc Radne skupine EU-a i SAD-a o „sigurnoj luci”.

Nastoji se pružiti učinkovit putokaz prema napretku u ponovnoj uspostavi povjerenja i jačanju suradnje EU-a i SAD-a u tim područjima te osnaživanju širih transatlantskih odnosa.

Ova se Komunikacija temelji na pretpostavci da se standardom zaštite osobnih podataka treba baviti u njegovom pravom kontekstu, bez utjecaja na druge dimenzije odnosa EU-a i SAD-a, uključujući trenutačne pregovore o Partnerstvu za transatlantsku trgovinu i ulaganja. Zbog toga standardi zaštite podataka neće biti dio pregovora o Partnerstvu za transatlantsku trgovinu i ulaganja u kojem će se u cijelosti poštovati pravila o zaštiti podataka.

Važno je napomenuti da iako EU može poduzeti mjere u područjima nadležnosti EU-a, osobito kako bi zaštitio primjenu prava EU-a[11], nacionalna sigurnost ostaje isključiva odgovornost svake države članice[12].

2.         UTJECAJ NA INSTRUMENTE ZA PRIJENOSE PODATAKA

Prvo, što se tiče podataka prenesenih u komercijalne svrhe, „sigurna luka” dokazala se kao važno sredstvo za prijenose podataka između EU-a i SAD-a. Njezina je trgovačka važnost porasla nakon što je protok osobnih podataka zauzeo istaknuto mjesto u transatlantskim trgovinskim odnosima. U posljednjih se 13 godina, program „sigurne luke” razvio do toga da uključuje više od 3000 poduzeća, od kojih se polovina pridružila u posljednjih pet godina. Pa ipak, porasla je zabrinutost u vezi s razinom zaštite osobnih podataka građana EU-a prenesenih u SAD u okviru programa „sigurne luke”. Zbog dobrovoljne i deklaratorne prirode programa sve se veća pažnja pridaje njegovoj transparentnosti i provođenju. Iako većina poduzeća iz SAD-a primjenjuje njezina načela, neka samocertificirana poduzeća to ne čine. Činjenica da neka samocertificirana poduzeća ne poštuju načela „sigurne luke” koja se odnose na privatnost daje takvim poduzećima konkurentsku prednost u odnosu na europska poduzeća koja posluju na istim tržištima. 

Osim toga, iako su prema Odluci o „sigurnoj luci” ograničenja pravila o zaštiti podataka dopuštena ako je to potrebno zbog nacionalne sigurnosti[13], pojavilo se pitanje jesu li opširno prikupljanje i obrada osobnih informacija u okviru programa nadzora SAD-a potrebni i razmjerni kako bi se zadovoljili interesi nacionalne sigurnosti. Isto tako je jasno iz nalaza ad hoc Radne skupine EU-a i SAD-a da u okviru tih programa građani EU-a ne uživaju ista prava i postupovne zaštitne mjere kao Amerikanci.

Doseg tih programa nadzora, zajedno s nejednakim tretmanom građana EU-a, dovodi u pitanje razinu zaštite koja se pruža aranžmanom „sigurne luke”. Osobnim podatcima građana EU-a koji su poslani u SAD prema „sigurnoj luci” mogu pristupiti i dalje ih obrađivati tijela SAD-a na način koji nije u skladu s razlozima na temelju kojih su ti podatci izvorno prikupljeni u EU-u te svrhama zbog kojih su preneseni u SAD. Većina internetskih poduzeća iz SAD-a za koje se čini da se na njih ti programi izravnije odnose certificirana su prema programu „sigurne luke”.

Drugo, što se tiče razmjena podataka za potrebe provedbe zakona, postojeći sporazumi (PIP, TFTP) pokazali su se kao vrlo vrijedni alati za rješavanje zajedničkih sigurnosnih prijetnji koje su povezane s transnacionalnim kriminalom i terorizmom, a istovremeno su u njima utvrđeni zaštitni mehanizmi kojima se osigurava visoka razina zaštite podataka[14]. Ti se zaštitni mehanizmi odnose i na građane EU-a, a u sporazumima su predviđeni mehanizmi za preispitivanje njihove provedbe te rješavanje s tim povezanih pitanja koja izazivaju zabrinutost. Sporazumom o TFTP-u uspostavljen je i sustav nadzora s neovisnim nadzornicima EU-a koji provjeravaju kako se podatci obuhvaćeni Sporazumom pretražuju u SAD-u.

S obzirom na zabrinutosti koje su se pojavile u EU-u u vezi s programima nadzora SAD-a, Europska komisija upotrijebila je te mehanizme za provjeru kako se ti sporazumi primjenjuju. U slučaju Sporazuma o PIP-u, provedeno je zajedničko preispitivanje u kojem su sudjelovali stručnjaci za zaštitu podataka iz EU-a i SAD-a koji su proučavali kako se Sporazum provodi[15]. To preispitivanje nije rezultiralo nikakvim nalazima da su programi nadzora SAD-a prošireni ili utječu na podatke o putnicima obuhvaćene Sporazumom o PIP-u. U slučaju Sporazuma o TFTP-u Komisija je započela formalna savjetovanja nakon što su izneseni navodi da obavještajne agencije SAD-a izravno pristupaju osobnim podatcima u EU-u, što je suprotno Sporazumu. Tijekom tih savjetovanja nisu otkriveni nikakvi elementi kojima bi se dokazalo kršenje Sporazuma o TFTP-u, a SAD je dao pisano jamstvo da nije bilo izravnog prikupljanja podataka suprotno odredbama Sporazuma.

Međutim, zbog opširnog prikupljanja i obrade osobnih informacija u okviru programa nadzora SAD-a potrebno je nastaviti vrlo pomno praćenje provedbe sporazuma o PIP-u i TFTP-u u budućnosti. Stoga su se EU i SAD usuglasili o ranijem provođenju sljedećeg zajedničkog preispitivanja Sporazuma o TFTP-u koje će se održati u proljeće 2014. U okviru tog i budućih zajedničkih preispitivanja osigurat će se veća transparentnost načina na koji sustav nadzora djeluje i štiti podatke građana EU-a.  Usporedno, poduzet će se mjere kako bi se osiguralo da se u sustavu nadzora i dalje pomno pazi kako se obrađuju podatci preneseni u SAD na temelju Sporazuma, a posebno kako se takvi podatci dijele među tijelima SAD-a.

Treće, povećanje obujma obrade osobnih podataka naglašava važnost pravnih i administrativnih zaštitnih mehanizama koji se primjenjuju. Jedan od ciljeva ad hoc Radne skupine EU-a i SAD-a bio je utvrditi koji se zaštitni mehanizmi primjenjuju kako bi se na najmanju mjeru sveo utjecaj obrade na temeljna prava građana EU-a. Zaštitni mehanizmi potrebni su i za zaštitu poduzeća. Određeni zakoni SAD-a, poput Zakona o borbi protiv terorizma (Patriot Act), omogućuju tijelima SAD-a da izravno od poduzeća zatraže pristup podatcima pohranjenima u EU-u. Stoga se od europskih poduzeća te poduzeća iz SAD-a koja su prisutna u EU-u može zahtijevati da prenesu podatke u SAD protivno zakonima EU-a i država članica te su ta poduzeća stoga suočena sa suprotstavljenim zakonskim obvezama. Zbog pravne nesigurnosti koja proizlazi iz takvih izravnih zahtjeva mogao bi se zaustaviti razvoj novih digitalnih usluga, poput računalstva u oblaku, kojima se pojedincima i poslovnim subjektima mogu pružiti učinkovita rješenja po nižim cijenama.

 3.         OSIGURAVANJE UČINKOVITOSTI ZAŠTITE PODATAKA

Prijenosi osobnih podataka između EU-a i SAD-a bitna su sastavnica transatlantskih trgovinskih odnosa. Dijeljenje informacija isto je tako bitna sastavnica suradnje EU-a i SAD-a u području sigurnosti i od ključne je važnosti za zajednički cilj sprečavanja i suzbijanja teškog kriminala i terorizma. Međutim, nedavna otkrića u vezi s programima SAD-a za prikupljanje obavještajnih informacija negativno su utjecala na povjerenje na kojem se temelji ta suradnja. Osobito su utjecala na povjerenje u način na koji se osobni podatci obrađuju. Kako bi se ponovno uspostavilo povjerenje u postupak prijenosa podataka u korist digitalnog gospodarstva, sigurnost kako u EU-u, tako i u SAD-u te šire transatlantske odnose, treba poduzeti sljedeće mjere.

3.1.      Reforma zaštite podataka u EU-u

Reformom zaštite podataka koju je Komisija predložila u siječnju 2012.[16] osigurava se ključni odgovor u odnosu na zaštitu osobnih podataka. Od osobite je važnosti pet sastavnica predloženog paketa zaštite podataka.

Prvo, što se tiče teritorijalnog područja primjene, predloženom se uredbom pojašnjava da će poduzeća koja nemaju poslovni nastan u Uniji morati primjenjivati pravo EU-a u vezi sa zaštitom podataka kada nude robu i usluge europskim potrošačima ili prate njihovo ponašanje. Drugim riječima, temeljno pravo na zaštitu podataka poštovat će se neovisno o geografskoj lokaciji poduzeća ili njegova pogona za obradu[17].

Drugo, u pogledu međunarodnih prijenosa, predloženom se uredbom utvrđuju uvjeti prema kojima se podatci mogu prenositi izvan EU-a. Prijenosi se mogu dopustiti samo ako su ispunjeni ti uvjeti kojima se štite prava pojedinaca na visoku razinu zaštite[18].

Treće, što se tiče provedbe, predloženim se pravilima predviđaju proporcionalne i odvraćajuće sankcije (do 2 % godišnjega globalnog prometa poduzeća) kako bi se osiguralo da poduzeća postupaju u skladu s pravom EU-a[19]. Postojanje vjerodostojnih sankcija povećat će poticaj poduzećima da postupaju u skladu s pravom EU-a.

Četvrto, predložena Uredba sadržava jasna pravila o obvezama obrađivača podataka poput pružatelja usluga u oblaku, uključujući ona o sigurnosti[20]. Kao što se pokazalo otkrićima o programima SAD-a za prikupljanje obavještajnih podataka, to je ključno jer ti programi utječu na podatke pohranjene u oblaku. Isto tako, poduzeća koja osiguravaju prostor za pohranjivanje u oblaku od kojih se traži da pružaju osobne podatke stranim tijelima neće moći izbjeći svoju odgovornost upućujući na to da imaju status obrađivača podataka, a ne nadzornika podataka.

Peto, paket će dovesti do uspostave sveobuhvatnih pravila za zaštitu osobnih podataka obrađenih u sektoru provedbe zakona.

Očekuje se da će se o tom paketu pravovremeno postići suglasje tijekom 2014[21].

3.2.      Učiniti „sigurnu luku” sigurnijom

Program „sigurne luke” važna je sastavnica trgovinskih odnosa EU-a i SAD-a na koji se oslanjaju poduzeća s obje strane Atlantika.

U izvješću Komisije o funkcioniranju „sigurne luke” utvrđen je niz slabosti programa. Zbog nedostataka transparentnosti i provedbe neki samocertificirani članovi „sigurne luke” u praksi ne poštuju njezina načela. To ima negativan utjecaj na temeljna prava građana EU-a. Time se isto tako europska poduzeća stavlja u neravnopravan položaj u usporedbi s onim konkurentskim poduzećima iz SAD-a koja posluju prema tom programu, ali u praksi ne primjenjuju njegova načela. Taj nedostatak utječe i na većinu poduzeća iz SAD-a koja propisno primjenjuju program. „Sigurna luka” djeluje i kao posrednik za prijenos osobnih podataka građana EU-a iz EU-a prema SAD-u od strane poduzeća koja su dužna predati podatke obavještajnim agencijama SAD-a u okviru programa prikupljanja obavještajnih podataka koje provodi SAD. Ako se nedostatci ne isprave, time se poslovni subjekti iz EU-a dovode u konkurentski nepovoljan položaj i negativno utječe na temeljna prava građana EU-a na zaštitu podataka.

Nedostatci programa „sigurne luke” istaknuti su u odgovoru europskih tijela za zaštitu podataka na nedavnih otkrića u vezi s nadzorom. Člankom 3. Odluke o „sigurnoj luci” ta su tijela ovlaštena suspendirati, pod određenim uvjetima, protok podataka prema certificiranim poduzećima.[22] Njemački povjerenici za zaštitu podataka odlučili su da neće izdati nova dopuštenja za prijenose podataka zemljama koje nisu članice EU-a (na primjer, za korištenje određenih usluga u oblaku). Ispitat će i treba li suspendirati prijenose podataka na temelju „sigurne luke”.[23] Postoji rizik da će se takvim mjerama, poduzetima na nacionalnoj razini, stvoriti razlike u obuhvatu, što znači da „sigurna luka” više neće biti temeljni mehanizam za prijenos osobnih podataka između EU-a i SAD-a.

Komisija je na temelju Direktive 95/46/EZ ovlaštena suspendirati ili ukinuti Odluku o „sigurnoj luci” ako se tim programom više ne pruža primjerena razina zaštite. Nadalje, člankom 3. Odluke o „sigurnoj luci” propisano je da Komisija može ukinuti, suspendirati ili ograničiti područje primjene odluke, a prema članku 4. može izmijeniti odluku bilo kada uzimajući u obzir iskustva u njezinoj provedbi.

S obzirom na navedeno, može se razmotriti nekoliko mogućnosti za politiku, uključujući:

zadržavanje statusa quo, jačanje programa „sigurne luke” i temeljito preispitivanje njegova funkcioniranja, suspenziju ili ukidanje Odluke o „sigurnoj luci”.

S obzirom na utvrđene slabosti, trenutačnu provedbu „sigurne luke” nije moguće zadržati. Međutim, njezino bi ukidanje negativno utjecalo na interese poduzeća u EU-u i SAD-u koja su članovi tog programa. Komisija smatra da „sigurnu luku” treba ojačati.

Poboljšanjima treba riješiti strukturne nedostatke koji se odnose na transparentnost i provedbu, bitna načela „sigurne luke” i funkcioniranje iznimke u vezi s nacionalnom sigurnošću.

Konkretnije, da bi „sigurna luka” radila kako je zamišljeno, potrebno je učinkovitije i sustavnije praćenje i nadzor tijela SAD-a poštuju li certificirana poduzeća načela privatnosti „sigurne luke”. Potrebno je poboljšati transparentnost politika privatnosti certificiranih poduzeća. Isto je tako potrebno građanima EU-a osigurati dostupnost i pristupačnost mehanizama za rješavanje sporova. 

Komisija će hitno kontaktirati tijela SAD-a kako bi raspravili o utvrđenim nedostatcima. Načine poboljšanja treba utvrditi do ljeta 2014. i provesti ih što je prije moguće. Komisija će na temelju toga obaviti opsežno preispitivanje funkcioniranja „sigurne luke”. Taj širi proces preispitivanja treba uključivati otvorena savjetovanja i raspravu u Europskom parlamentu i Vijeću te razgovore s tijelima SAD-a. 

Isto je tako važno da se iznimka u vezi s nacionalnom sigurnošću predviđena Odlukom o „sigurnoj luci” koristi samo u mjeri u kojoj je to strogo potrebno i razmjerno.

3.3.      Jačanje zaštitnih mehanizama povezanih sa zaštitom podataka u suradnji u području provedbe zakona

EU i SAD trenutačno vode pregovore o „krovnom sporazumu” o prijenosu i obradi osobnih informacija u kontekstu policijske i pravosudne suradnje u kaznenim stvarima. Sklapanje takvog sporazuma kojim se predviđa visoka razina zaštite osobnih podataka predstavljalo bi veliki doprinos jačanju povjerenja s obje strane Atlantika. Unapređivanjem prava građana EU-a na zaštitu podataka pomoglo bi se jačanju transatlantske suradnje čiji je cilj sprečavanje i suzbijanje kriminala i terorizma.

Prema odluci kojom je Komisija ovlaštena za pregovore o krovnom sporazumu, cilj pregovora treba biti osiguravanje visoke razine zaštite u skladu s pravnom stečevinom EU-a u području zaštite podataka. To se treba odražavati u usuglašenim pravilima i zaštitnim mehanizmima za, između ostalog, ograničenja u pogledu svrhe, uvjete i trajanje zadržavanja podataka. U okviru pregovora, Komisija treba osigurati i preuzimanje obveza o izvršivim pravima, uključujući mehanizme pravne zaštite za građane EU-a koji nemaju boravište u SAD-u[24]. Bliska suradnja EU-a i SAD-a u rješavanju zajedničkih izazova u području sigurnosti treba se odražavati u naporima za osiguravanjem da građani s obje strane Atlantika uživaju ista prava prilikom obrade istih podataka u iste svrhe. Isto je tako važno točno definirati odstupanja koja se temelje na potrebama nacionalne sigurnosti. U tom pogledu treba usuglasiti zaštitne mehanizme i ograničenja.

Tim se pregovorima pruža prilika da se pojasni da osobnim podatcima koje čuvaju privatna poduzeća, a nalaze se u EU-u, tijela za provedbu zakona u SAD-u neće izravno pristupati niti će se njima prenositi izvan formalnih kanala suradnje, kao što su sporazumi o uzajamnoj pravnoj pomoći ili sektorski sporazumi između EU-a i SAD-a o odobravanju takvih prijenosa. Pristup drugim sredstvima treba isključiti, osim ako se odvija u jasno definiranim, iznimnim situacijama koji podliježu sudskoj reviziji. SAD u tom smislu treba preuzeti obveze[25].

„Krovnim sporazumom” usuglašenim na tim temeljima treba se uspostaviti opći okvir za osiguravanje visoke razine zaštite osobnih podataka prilikom njihova prijenosa prema SAD-u u svrhu sprečavanja ili suzbijanja kriminala i terorizma. Sektorskim sporazumima, kada je to potrebno zbog prirode predmetnog prijenosa podataka, treba utvrditi dodatna pravila i zaštitne mehanizme na temelju primjera iz sporazuma o PIP-u i TFTP-u između EU-a i SAD-a kojima se postavljaju strogi uvjeti za prijenos podataka i zaštitni mehanizmi za građane EU-a.       

3.4.      Rješavanje pitanja koja izazivaju zabrinutost u Europi u okviru aktualnog procesa reformi u SAD-u 

Predsjednik SAD-a Obama najavio je preispitivanje aktivnosti tijela koja su u SAD-u nadležna za nacionalnu sigurnost, uključujući primjenjivi pravni okvir. Ovaj aktualni proces pruža važnu priliku za rješavanje zabrinutosti EU-a koje su potaknute nedavnim otkrićima o programima prikupljanja obavještajnih podatka koje provodi SAD. Najvažnije promjene trebale bi biti proširenje primjene postojećih zaštitnih mehanizama koji su na raspolaganju građanima SAD-a i osobama koje imaju boravište u SAD-u i na građane EU-a koji nemaju boravište u SAD-u, veća transparentnost i bolji nadzor obavještajnih aktivnosti. Takvim bi se promjenama ponovno uspostavilo povjerenje u razmjene podataka između EU-a i SAD-a te promicalo korištenje interneta od strane Europljana.

U pogledu proširenja primjene zaštitnih mehanizama koji su na raspolaganju građanima SAD-a i osobama koje imaju boravište u SAD-u i na građane EU-a, treba preispitati pravne standarde u vezi s programima nadzora SAD-a koji različito postupaju s građanima SAD-a i EU-a, uključujući iz perspektive nužnosti i razmjernosti, vodeći računa o bliskom transatlantskom sigurnosnom partnerstvu koje se temelji na zajedničkim vrijednostima, pravima i slobodama. Time bi se smanjio opseg u kojem su Europljani obuhvaćeni programima prikupljanja obavještajnih podatka koje provodi SAD.

Potrebna je veća transparentnost pravnog okvira programa prikupljanja obavještajnih podatka koje provodi SAD te njegova tumačenja od strane sudova u SAD-u te kvantitativna dimenzija programa prikupljanja obavještajnih podatka koje provodi SAD. I građani EU-a imali bi koristi od takvih promjena.

Nadzor programa prikupljanja obavještajnih podatka koje provodi SAD poboljšao bi se jačanjem uloge Suda za nadzor stranih obavještajnih aktivnosti i uvođenjem mehanizama pravne zaštite za pojedince. Tim bi se mehanizmima moglo smanjiti obrađivanje osobnih podataka Europljana koji nisu važni za potrebe nacionalne sigurnosti.

3.5.        Promicanje standarda privatnosti na međunarodnoj razini

Pitanja koja se postavljaju u vezi sa suvremenim metodama zaštite podataka nisu ograničena na prijenos podataka između EU-a i SAD-a. Visoka razina zaštite osobnih podataka treba biti zajamčena i svakom pojedincu. Pravila EU-a o prikupljanju, obradi i prijenosu podataka treba promicati na međunarodnoj razini.

Nedavno je predložen niz inicijativa za promicanje zaštite privatnosti, osobito na internetu[26]. EU treba osigurati da se u takvim inicijativama, ako se provedu, u potpunosti uzmu u obzir načela zaštite temeljnih prava, slobode izražavanja, osobnih podataka i privatnosti kako su utvrđena u pravu EU-a i Strategiji kibernetičke sigurnosti EU-a. To uključuje demokratski i učinkovit model upravljanja od strane više dionika.

Aktualnim reformama zakona o zaštiti podataka s obje strane Atlantika pruža se jedinstvena prilika EU-u i SAD-u da odrede standarde na međunarodnoj razini. Razmjene podataka preko Atlantika i šire imale bi velike koristi od jačanja domaćeg pravnog okvira SAD-a, uključujući donošenje Povelje o pravima potrošača na privatnost (Consumer Privacy Bill of Rights) koju je predsjednik Obama najavio u veljači 2012. kao dio sveobuhvatnog plana za poboljšanje zaštite privatnosti potrošača. Postojanje skupa snažnih i provedivih pravila o zaštiti podataka u zakonima kako u EU-u, tako i u SAD-u predstavljalo bi čvrstu osnovu za prekogranični protok podataka.

S obzirom na promicanje standarda privatnosti na međunarodnoj razini, treba poticati i pristupanje Konvenciji Vijeća Europe za zaštitu pojedinaca s obzirom na automatsku obradu osobnih podataka („Konvencija 108”) koja je otvorena zemljama koje nisu članice Vijeća Europe[27]. Zaštitni mehanizmi i jamstva usuglašeni u međunarodnim forumima trebaju rezultirati visokom razinom zaštite koja je u skladu s onime što se zahtijeva prema pravu EU-a.

4.            ZAKLJUČCI I PREPORUKE

Pitanja utvrđena u ovoj Komunikaciji zahtijevaju poduzimanje mjera od strane SAD-a te EU-a i njegovih država članica.

Zabrinutosti u vezi s transatlantskim razmjenama podataka su, prije svega, upozorenje EU-u i njegovim državama članicama da brzo i ambiciozno započnu s reformom zaštite podataka. To pokazuje potrebu, sada više nego ikada prije, za snažnim zakonodavnim okvirom s jasnim pravilima koja su provediva i u situacijama kada se podatci prenose u inozemstvo. Stoga institucije EU-a trebaju nastaviti s radom na donošenju reforme zaštite podataka u EU-u do proljeća 2014. kako bi se osigurala učinkovita i sveobuhvatna zaštita osobnih podataka.

S obzirom na važnost transatlantskog protoka podataka, bitno je da se instrumentima na kojima se te razmjene temelje na odgovarajući način rješavaju izazovi i mogućnosti digitalnog doba i razvoja novih tehnologija poput računalstva u oblaku. Postojećim i budućim aranžmanima i sporazumima treba osigurati jamstvo daljnje visoke razine zaštite preko Atlantika.

Snažan program „sigurne luke” u interesu je građana i poduzeća iz EU-a i SAD-a. Kratkoročno, treba ga ojačati boljim praćenjem i provedbom te, na temelju toga, opsežnijim preispitivanjem njegova funkcioniranja. Potrebna su poboljšanja kako bi se osiguralo ispunjavanje izvornih ciljeva Odluke o „sigurnoj luci” – tj. kontinuitet zaštite podataka, pravna sigurnost i slobodan protok podataka između EU-a i SAD-a. 

Tim se poboljšanjima treba usredotočiti na potrebu da tijela SAD-a bolje nadziru i prate kako samocertificirana poduzeća poštuju načela privatnosti „sigurne luke” koja se odnose na privatnost.

Važno je i da se iznimka u vezi s nacionalnom sigurnošću predviđena Odlukom o „sigurnoj luci” koristi samo u mjeri u kojoj je to strogo potrebno i razmjerno.

U području provedbe zakona trenutačni pregovori o „krovnom sporazumu” trebaju rezultirati visokom razinom zaštite za građane s obje strane Atlantika. Takvim bi se sporazumom ojačalo povjerenja Europljana u razmjene podataka između EU-a i SAD-a te osigurao temelj za daljnji razvoj suradnje u području sigurnosti i partnerstva između EU-a i SAD-a. U okviru pregovora treba osigurati preuzimanje obveze s učinkom da postupovni zaštitni mehanizmi, uključujući pravnu zaštitu u pravosuđu, budu raspoloživi Europljanima koji nemaju boravište u SAD-u.

Treba tražiti da administracija SAD-a preuzme obvezu osigurati da osobnim podatcima koje čuvaju privatni subjekti u EU-u druge agencije SAD-a za provedbu zakona neće pristupati izvan formalnih kanala suradnje, kao što su sporazumi o uzajamnoj pravnoj suradnji i sektorski sporazumi između EU-a i SAD-a kao što su sporazumi o PIP-u i TFTP-u kojima se odobravaju takvi prijenosi pod strogim uvjetima, osim u jasno definiranim, iznimnim situacijama koji podliježu sudskoj reviziji.  

SAD treba proširiti primjenu zaštitnih mehanizama koji su na raspolaganju građanima SAD-a i osobama koje imaju boravište u SAD-u i na građane EU-a koji nemaju boravište u SAD-u, osigurati nužnost i razmjernost primjene programa te veću transparentnost i nadzor u pravnom okviru koji se primjenjuje na tijela u SAD-u nadležna za nacionalnu sigurnost.

Područja navedena u ovoj komunikaciji zahtijevat će konstruktivni angažman s obje strane Atlantika. Zajedno, kao strateški partneri, EU i SAD mogu nadvladati trenutačne napetosti u transatlantskim odnosima i ponovno uspostaviti povjerenje u protok podataka između EU-a i SAD-a. Preuzimanjem zajedničkih političkih i pravnih obveza u pogledu daljnje suradnje u tim područjima ukupni transatlantski odnosi će ojačati.

[1]               Za potrebe ove Komunikacije upućivanja na građane EU-a uključuju i osobe čiji se podatci obrađuju, a nisu građani EU-a, koji su obuhvaćeni područjem primjene prava Europske unije o zaštiti podataka.

[2]               Odluka Komisije 2000/520/EZ od 26. srpnja 2000. sukladno s Direktivom 95/46/EZ Europskog parlamenta i Vijeća o primjerenosti zaštite koju pružaju načela privatnosti „sigurne luke” i uz njih vezana često postavljana pitanja koje je izdalo Ministarstvo trgovine SAD-a, SL L 215, 25.8.2000., str. 7.

[3]               Odluka Vijeća 2009/820/ZVSP od 23. listopada 2009. o sklapanju, u ime Europske unije, Sporazuma o izručenju između Europske unije i Sjedinjenih Američkih Država te Sporazuma o uzajamnoj pravnoj pomoći između Europske unije i Sjedinjenih Američkih Država, SL L 291, 7.11. 2009., str. 40.

[4]               Odluka Vijeća 2012/472/EU od 26. travnja 2012. o sklapanju Sporazuma između Sjedinjenih Američkih Država i Europske unije o upotrebi i prijenosu podataka o imenima putnika Ministarstvu domovinske sigurnosti Sjedinjenih Američkih Država, SL L 215, 11.8.2012., str. 4.

[5]               Odluka Vijeća od 13. srpnja 2010. o sklapanju Sporazuma između Europske unije i Sjedinjenih Američkih Država o obradi i slanju podataka o izvješćima u vezi s financijskim plaćanjima iz Europske unije Sjedinjenim Američkim Državama za potrebe Programa za praćenje financiranja terorističkih djelatnosti, SL L 195, 27.7.2010., str. 3.

[6]               Vijeće je 3. prosinca 2010. donijelo Odluku kojom je ovlastilo Komisiju za pregovore o Sporazumu. Vidi IP/10/1661 od 3. prosinca 2010.

[7]               Vidi Boston Consulting Group, The Value of our Digital Identity, studeni 2012.

[8]               Vidi McKinsey, Big data: The next frontier for innovation, competition, and productivity, 2011.

[9]               Komunikacija o ostvarivanju potencijala računalstva u oblaku u Europi, COM(2012) 529 završna verzija

[10]             Na primjer, ukupni broj jedinstvenih posjetitelja servisima Microsoft Hotmail, Google Gmail i Yahoo! Mail iz europskih zemalja u lipnju 2012. iznosio je preko 227 milijuna, nadmašujući broj svih drugih pružatelja. Ukupni broj jedinstvenih europskih korisnika koji su pristupali servisima Facebook i Facebook Mobile u ožujku 2012. iznosio je 195 milijuna, što je Facebook učinilo najvećom društvenom mrežom u Europi. Google je vodeći internetski pretraživač s 90,2 % korisnika interneta diljem svijeta. U lipnju 2013. servis za slanje poruka na mobilni uređaj iz SAD-a What's App koristilo je 91 % korisnika Iphonea u Njemačkoj.

[11]             Vidi Presudu Suda Europske unije u predmetu C-300/11, ZZ protiv Secretary of State for the Home Department.

[12]             Članak 4. stavak 2. UEU-a.

[13]             Vidi npr. Odluku o „sigurnoj luci”, Prilog I.

[14]             Vidi Zajedničko izvješće Komisije i Ministarstva financija SAD-a o vrijednosti dostavljenih podataka TFTP-a na temelju članka 6. stavka 6. Sporazuma između Europske unije i Sjedinjenih Američkih Država o obradi i slanju podataka o izvješćima u vezi s financijskim plaćanjima iz Europske unije Sjedinjenim Američkim Državama za potrebe Programa za praćenje financiranja terorističkih djelatnosti.

[15]             Vidi izvješće Komisije „Zajedničko preispitivanje provedbe Sporazuma između Sjedinjenih Američkih Država i Europske unije o upotrebi i prijenosu podataka o imenima putnika Ministarstvu domovinske sigurnosti Sjedinjenih Američkih Država”.

[16]             COM(2012) 10 završna verzija: Prijedlog Direktive Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija i o slobodnom protoku takvih podataka, Bruxelles, 25.1.2012. i COM(2012) 11 završna verzija: Prijedlog Uredbe Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (Opća uredba o zaštiti podataka).

[17]             Komisija prima na znanje da je Europski parlament glasujući u Odboru za građanske slobode, pravosuđe i unutarnje poslove 21. listopada 2103. o izvješćima o reformi zaštite podataka koje su podnijeli članovi Europskog parlamenta Jan-Philipp Albrecht i Dimitrios Droutsas potvrdio i ojačao to važno načelo utvrđeno u članku 3. predložene Uredbe.

[18]             Komisija prima na znanje da je 21. listopada 2013. Odbor za građanske slobode, pravosuđe i unutarnje poslove Europskog parlamenta izglasao prijedlog za uključivanje odredbe u predloženu Uredbu da zahtjevi stranih tijela za pristup osobnim podatcima prikupljenima u EU-u podliježu prethodnom odobrenju nacionalnog tijela za zaštitu podataka u slučaju da se takav zahtjev izdaje izvan ugovora o uzajamnoj pravnoj pomoći ili drugog međunarodnog sporazuma. 

[19]             Komisija prima na znanje da je 21. listopada 2013. Odbor za građanske slobode, pravosuđe i unutarnje poslove Europskog parlamenta izglasao prijedlog o jačanju prijedloga Komisije određujući da kazne mogu biti do 5 godišnjeg globalnog prometa poduzeća.

[20]             Komisija prima na znanje da je 21. listopada 2013. Odbor za građanske slobode, pravosuđe i unutarnje poslove Europskog parlamenta izglasao da se podrži jačanje obveza obrađivača podataka, posebno u pogledu članka 26. predložene Uredbe.

[21]             U zaključcima iz listopada 2013. Europsko vijeće navodi: „Važno je potaknuti povjerenje građana i poslovnih subjekata u digitalno gospodarstvo. Pravodobno donošenje jakog okvira EU-a za opću zaštitu podataka i Direktive o kibernetičkoj sigurnosti ključno je za dovršetak jedinstvenog digitalnog tržišta do 2015.”

[22]             Konkretno, na temelju članka 3. Odluke o „sigurnoj luci”, takve se suspenzije mogu primijeniti u slučajevima gdje postoji stvarna vjerojatnost da se krše načela; ako postoje opravdani razlozi da se vjeruje da predmetni mehanizam provedbe ne poduzima ili neće poduzeti primjerene i pravovremene korake da razriješi predmetni slučaj; ako bi nastavak prijenosa stvorio trenutačnu opasnost da ozbiljno našteti osobama čiji se podatci obrađuju te ako su nadležna tijela država članica poduzela odgovarajuće napore da u tim okolnostima obavijeste organizaciju i dala joj mogućnost da se očituje.

[23]             Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, priopćenje za tisak od 24. srpnja 2013.

[24]             Vidi odgovarajući odlomak Zajedničke izjave za tisak nakon ministarskog sastanka između EU-a i SAD-a u području pravosuđa i unutarnjih poslova koji je održan 18. studenoga 2013. u Washingtonu: „Stoga smo se zbog žurnosti obvezali brzo unaprijediti pregovore o smislenom i sveobuhvatnom krovnom sporazumu o zaštiti podataka u području provedbe zakona. Sporazum bi bio osnova za olakšavanje prijenosa podataka u kontekstu policijske i pravosudne suradnje u kaznenim stvarima osiguravanjem visoke razine zaštite osobnih podataka građana EU-a i SAD-a. Predani smo radu na rješavanju preostalih pitanja koja su iznijele obje strane, uključujući mehanizme pravne zaštite (što je ključno pitanje za EU). Cilj nam je dovršiti pregovore o sporazumu prije ljeta 2014.”

[25]             Vidi odgovarajući odlomak Zajedničke izjave za tisak nakon ministarskog sastanka između EU-a i SAD-a u području pravosuđa i unutarnjih poslova koji je održan 18. studenoga 2013. u Washingtonu: „Isto tako naglašavamo vrijednost Sporazuma između EU-a i SAD-a o uzajamnoj pravnoj pomoći. Ponavljamo da smo predani osigurati njegovu široku i učinkovitu primjenu za potrebe iznošenja dokaza u kaznenim postupcima. Razgovaralo se i o potrebi pojašnjavanja da osobnim podatcima koje čuvaju privatni subjekti na državnom području druge strane agencije za provedbu zakona neće pristupati izvan zakonski odobrenih kanala. Isto smo tako suglasni preispitati funkcioniranje sporazuma o uzajamnoj pravnoj suradnji, kako je predviđeno Sporazumom te se međusobno savjetovati kada god je to potrebno.”

[26]          U tom smislu vidi nacrt rezolucije koji su Njemačka i Brazil predložili Općoj skupštini UN-a u kojem se poziva na zaštitu privatnosti na internetu i izvan njega.

[27]          SAD je već stranka druge konvencije Vijeća Europe: Konvencije o kibernetičkom kriminalu iz 2001. (poznate i kao „Budimpeštanska konvencija”).