Bruxelles, 19.12.2018.

COM(2018) 860 final

IZVJEŠĆE KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU

o drugom godišnjem preispitivanju funkcioniranja europsko-američkog sustava zaštite privatnosti

{SWD(2018) 497 final}


1.DRUGO GODIŠNJE PREISPITIVANJE – SVRHA, PRIPREMA I POSTUPAK

Komisija je 12. srpnja 2016. donijela Odluku („odluka o primjerenosti”) u kojoj je utvrdila da se europsko-američkim sustavom zaštite privatnosti („sustav zaštite privatnosti”) osigurava odgovarajuća razina zaštite osobnih podataka koji se prenose iz EU-a organizacijama u SAD-u. 1 U toj odluci o primjerenosti Komisija ponajprije daje godišnju ocjenu svih aspekata funkcioniranja okvira. Prvo godišnje preispitivanje održano je 18. i 19. rujna 2017. u Washingtonu, a 18. listopada 2017. Komisija je donijela izvješće Europskom parlamentu i Vijeću 2 , kojemu je priložen Radni dokument službi Komisije (SWD(2017) 344 final) 3 .

Na temelju rezultata prvog preispitivanja Komisija je zaključila da Sjedinjene Američke Države i dalje osiguravaju odgovarajuću razinu zaštite osobnih podataka koji se u okviru sustava zaštite privatnosti prenose iz Unije organizacijama u Sjedinjenim Američkim Državama. Istodobno, Komisija je smatrala da se provedba okvira sustava zaštite privatnosti u praksi može dodatno poboljšati kako bi se osiguralo da jamstva i zaštitne mjere obuhvaćeni sustavom funkcioniraju kako je predviđeno. U tu je svrhu Komisija donijela deset preporuka.

Ovim izvješćem zaključuje se drugo godišnje preispitivanje funkcioniranja sustava zaštite privatnosti. Ovo izvješće i popratni Radni dokument službi (SWD(2018) 497) strukturirani su kao i izvješće o prvom godišnjem preispitivanju. Njima su obuhvaćeni svi aspekti funkcioniranja sustava zaštite privatnosti, među ostalim i s obzirom na zbivanja tijekom prošle godine. Glavni predmet preispitivanja Komisije bila je provedba njezinih preporuka iz prvoga godišnjeg preispitivanja.

Pripremajući se za drugo godišnje preispitivanje, Komisija je prikupila informacije od relevantnih dionika (osobito od poduzeća certificiranih u okviru sustava zaštite privatnosti, preko njihovih trgovinskih udruženja, i od nevladinih organizacija aktivnih u području temeljnih prava, posebice digitalnih prava i privatnosti) te od relevantnih tijela SAD-a uključenih u provedbu okvira.

Drugi godišnji sastanak za preispitivanje održan je u Bruxellesu 18. i 19. listopada 2018. Preispitivanje su otvorili povjerenica za pravosuđe, zaštitu potrošača i ravnopravnost spolova Věra Jourová, ministar trgovine SAD-a Wilbur Ross, predsjednik Savezne trgovinske komisije Joseph Simons i predsjednica Europskog odbora za zaštitu podataka Andrea Jelinek. Nadalje, preispitivanje za EU proveli su predstavnici Glavne uprave Europske komisije za pravosuđe i zaštitu potrošača. U delegaciji EU-a bilo je i sedmero predstavnika koje je imenovao Europski odbor za zaštitu podataka (neovisno tijelo koje okuplja predstavnike nacionalnih tijela za zaštitu podataka država članica EU-a i Europskog nadzornika za zaštitu podataka).

SAD su u preispitivanju zastupali predstavnici Ministarstva trgovine, Ministarstva vanjskih poslova, Savezne trgovinske komisije, Ministarstva prometa, Ureda direktora Nacionalne obavještajne službe, Ministarstva pravosuđa i članovi Nadzornog odbora za zaštitu privatnosti i građanskih sloboda te vršitelj dužnosti pravobranitelja i glavni inspektor obavještajne zajednice. Nadalje, na sastancima za preispitivanje informacije su pružili predstavnici organizacije koja nudi usluge neovisnog rješavanja sporova u okviru sustava zaštite privatnosti te Američko udruženje za arbitražu. Konačno, preispitivanje je dopunjeno informacijama iz izlaganja organizacija certificiranih u okviru sustava zaštite privatnosti o tome kako se poduzeća usklađuju s obvezama definiranima okvirom.

Zaključci Komisije dodatno su dopunjeni informacijama iz studije koju je naručila Komisija i iz javno dostupnih materijala, kao što su sudske presude, provedbena pravila i postupci relevantnih tijela SAD-a, izvješća i studije nevladinih organizacija, izvješća o transparentnosti koja su izradila poduzeća certificirana u okviru sustava zaštite privatnosti, godišnja izvješća neovisnih mehanizama pravne zaštite i druga medijska izvješća.

Ovogodišnje preispitivanje provedeno je u kontekstu problema u području privatnosti podataka koji sve više poprimaju globalni karakter, kao što je vidljivo na primjeru slučaja Facebook / Cambridge Analytica. I EU i SAD svjesni su sličnih problema s kojima se suočavaju kad je riječ o zaštiti osobnih podataka. Tijekom preispitivanja obje strane naglasile su potrebu rješavanja takvih slučajeva zlouporabe osobnih podataka, među ostalim oštrim mjerama tijela EU-a za zaštitu podataka i Savezne trgovinske komisije SAD-a.

Komisija se u izvješću osvrće i na aktualnu raspravu o saveznom zakonodavstvu SAD-a u području zaštite privatnosti. Konvergencijom naših dvaju sustava dugoročno će se ojačati temelji na kojima je razvijen okvir sustava zaštite privatnosti.

2.NALAZI I ZAKLJUČAK

Drugim godišnjim preispitivanjem obuhvaćeni su i „komercijalni aspekti” okvira sustava zaštite privatnosti i pitanja povezana s vladinim pristupom osobnim podacima.

Kad je riječ o „komercijalnim aspektima”, odnosno pitanjima koja se odnose na upravljanje obvezama te nadzor i provedbu obveza koje se primjenjuju na certificirana poduzeća, Komisija je napomenula da je Ministarstvo trgovine u skladu s njezinim preporukama iz prvoga godišnjeg preispitivanja dodatno poboljšalo postupak certifikacije i uvelo nove postupke nadzora. Konkretno, Ministarstvo trgovine donijelo je novi postupak prema kojemu su novi podnositelji zahtjeva dužni odgoditi davanje javnih izjava o svojem sudjelovanju u sustavu zaštite privatnosti sve dok Ministarstvo trgovine ne dovrši postupak pregleda zahtjeva za certifikaciju. Nadalje, Ministarstvo trgovine uvelo je nove mehanizme za otkrivanje potencijalnih problema s usklađenosti, kao što su nasumične provjere na licu mjesta (u trenutku godišnjeg preispitivanja takve su provjere provedene u stotinjak organizacija) i praćenje javnih izvješća o praksama zaštite privatnosti sudionika u sustavu zaštite privatnosti. U potrazi za lažnim tvrdnjama o sudjelovanju u okviru Ministarstvo trgovine sada aktivno upotrebljava različite alate, primjerice tromjesečni pregled poduzeća za koja je utvrđeno da će vjerojatnije iznositi lažne tvrdnje te sustav za pretraživanje slika i teksta na internetu. Kao rezultat tih novih praksi i postupaka od prvoga godišnjeg preispitivanja Ministarstvo trgovine uputilo je više od 50 slučajeva Saveznoj trgovinskoj komisiji, koja je zatim poduzela provedbene mjere u onim slučajevima u kojima samo upućivanje nije bilo dovoljno da predmetno poduzeće poduzme mjere za usklađivanje.

S obzirom na provedbu Komisija je utvrdila da je Savezna trgovinska komisija, u okviru napora koje ulaže u proaktivno praćenje poštovanja načela zaštite privatnosti, nedavno izdala administrativne naloge kojima traži dostavljanje informacija od brojnih sudionika u sustavu zaštite privatnosti. Savezna trgovinska komisija potvrdila je i da je u tijeku istraga o slučaju Facebook / Cambridge Analytica. Iako Komisija smatra da je novi, proaktivniji pristup Savezne trgovinske komisije praćenju usklađenosti važna promjena, izrazila je žaljenje što Savezna komisija u ovoj fazi nije mogla pružiti dodatne informacije o svojim novijim istragama te će u tom pogledu pomno pratiti daljnja događanja.

Drugim godišnjim preispitivanjem obuhvaćene su i relevantne promjene u američkom pravnom sustavu u području privatnosti. To se osobito odnosi na savjetovanja o saveznom pristupu privatnosti podataka koja je pokrenulo Ministarstvo trgovine te na postupak u kojem Savezna trgovinska komisija razmatra svoje trenutačne ovlasti u području privatnosti i djelotvornost primjene svoje trenutačne korektivne ovlasti.

Kao što je vidljivo iz slučaja Facebook / Cambridge Analytica i drugih saznanja, važno je da EU i SAD usuglase daljnje postupanje. U skladu s time Komisija je s velikim zanimanjem pratila prethodno navedene inicijative i dala svoj doprinos savjetovanju Ministarstva trgovine u obliku pisanog podneska 4 .

Kad je riječ o aspektima povezanima s pristupom američkih javnih tijela osobnim podacima i njihovom upotrebom, drugo godišnje preispitivanje bilo je usmjereno na relevantne promjene u američkom pravnom okviru, uključujući promjene koje se odnose na relevantne politike i postupke agencija, najnovije trendove u području aktivnosti nadzora te promjene u uspostavljanju i funkcioniranju važnih mehanizama nadzora i pravne zaštite.

Najvažnija pravna promjena u području vladina pristupa bila je ponovno odobrenje odjeljka 702. Zakona o nadzoru stranih obavještajnih službi („Zakon”) početkom 2018. Iako u okviru ponovnog odobrenja u Zakon nisu uvrštene zaštite iz Predsjedničkog ukaza br. 28, što je Komisija bila predložila, nisu ograničene ni zaštitne mjere definirane u Zakonu koje su bile na snazi kad je donesena odluka o sustavu zaštite privatnosti. Štoviše, izmjenama nisu proširene ovlasti američke obavještajne zajednice kako bi mogla ciljano prikupljati strane obavještajne informacije o osobama koje nisu državljani SAD-a u skladu s odjeljkom 702. Umjesto toga, Zakonom o ponovnom odobrenju izmjena (Amendments Reauthorization Act) iz 2017., kojim se izmjenjuje Zakon o nadzoru stranih obavještajnih službi iz 1978., uvedene su neke ograničene dodatne mjere za zaštitu privatnosti, primjerice u području transparentnosti.

Nadalje, došlo je do važnih promjena u Nadzornom odboru za zaštitu privatnosti i građanskih sloboda, koji je u vrijeme prvoga godišnjeg preispitivanja imao samo jednog člana. Komisija je stoga preporučila da se brzo imenuju članovi tog odbora koji nedostaju. Američki Senat potvrdio je 11. listopada 2018. imenovanja predsjednika Nadzornog odbora za zaštitu privatnosti i građanskih sloboda i još dva člana tog odbora, čime je u odboru ponovno postignut kvorum i time omogućeno obavljanje svih njegovih funkcija. Nakon prvoga godišnjeg preispitivanja Komisija je preporučila i da Odbor za nadzor privatnosti i građanske slobode javno objavi izvješće o Predsjedničkom ukazu br. 28. Izvješće je objavljeno 16. listopada 2018. 5 i potvrđuje da je Predsjednički ukaz br. 28 u potpunosti primijenjen u cijeloj obavještajnoj zajednici. Konkretno, izvješće potvrđuje da su nakon donošenja Predsjedničkog ukaza br. 28 relevantni subjekti obavještajne zajednice donijeli detaljna pravila o provedbi tog ukaza i promijenili svoje prakse kako bi ih uskladili sa zahtjevima Predsjedničkog ukaza br. 28.

Konačno, iako je Komisija preporučila brzo imenovanje pravobranitelja za sustav zaštite privatnosti, u trenutku izrade ovog izvješća na položaju zamjenika ministra u Ministarstvu vanjskih poslova, kojemu je dodijeljen ured pravobranitelja, još nitko nije obnašao stalnu dužnost pravobranitelja. U tom pogledu Komisija je primila na znanje da je tijekom drugoga godišnjeg preispitivanja američka vlada prepoznala potrebu za brzim imenovanjem stalnog zamjenika ministra i potvrdila da je postupak već u tijeku.

U trenutku izrade ovog izvješća mehanizam pravobranitelja još nije zaprimio nijedan zahtjev. Međutim, pritužba pravobranitelju bila je dostavljena hrvatskom tijelu za zaštitu podataka, a relevantne provjere bile su u tijeku.

Detaljni nalazi o funkcioniranju svih aspekata okvira sustava zaštite privatnosti nakon druge godine primjene predstavljeni su u Radnom dokumentu službi Komisije o drugom godišnjem preispitivanju funkcioniranja europsko-američkog sustava zaštite privatnosti (SWD(2018) 497), koji je priložen ovom Izvješću.

Informacije prikupljene u kontekstu drugoga godišnjeg preispitivanja potvrđuju nalaze Komisije iz odluke o primjerenosti s obzirom na „komercijalne aspekte” okvira i na aspekte povezane s pristupom američkih tijela osobnim podacima koji se prenose u okviru sustava zaštite privatnosti.

Na temelju tih nalaza Komisija zaključuje da Sjedinjene Američke Države i dalje osiguravaju odgovarajuću razinu zaštite osobnih podataka koji se prenose iz Unije organizacijama u Sjedinjenim Američkim Državama u okviru sustava zaštite privatnosti.

Konkretno, mjerama poduzetim za provedbu preporuka Komisije nakon prvoga godišnjeg preispitivanja poboljšano je nekoliko aspekata praktičnog funkcioniranja okvira kako bi se osigurala razina zaštite fizičkih osoba zajamčena odlukom o primjerenosti.

Međutim, neke od tih mjera poduzete su tek nedavno pa su relevantni postupci još u tijeku. Sve buduće promjene u tim postupcima potrebno je pomno pratiti, osobito zato što utječu na elemente koji su neophodni za kontinuirano utvrđivanje primjerenosti. To se posebice odnosi na:

1.djelotvornost mehanizama koje je Ministarstvo trgovine uvelo u drugoj godini primjene okvira kako bi proaktivno pratilo usklađenost certificiranih poduzeća s načelima sustava zaštite privatnosti, a osobito usklađenost s materijalnim zahtjevima i obvezama;

2.djelotvornost alata koje je Ministarstvo trgovine uvelo od prvoga godišnjeg preispitivanja za utvrđivanje lažnih tvrdnji o sudjelovanju u okviru, s posebnim naglaskom na traženje lažnih tvrdnji poduzeća koja nikada nisu podnijela zahtjev za certifikaciju;

3.napredak i ishod provjera koje je po službenoj dužnosti provela Savezna trgovinska komisija u drugoj godini primjene sustava zaštite privatnosti putem administrativnih naloga kako bi otkrila materijalne povrede sustava zaštite privatnosti;

4.razvoj dodatnih smjernica u suradnji Ministarstva trgovine, Savezne trgovinske komisije i tijela EU-a za zaštitu podataka o elementima za koje su potrebna dodatna pojašnjenja (npr. podaci o ljudskim resursima);

5.imenovanje stalnog pravobranitelja za sustav zaštite privatnosti;

6.učinkovitost pravobranitelja u postupanju s pritužbama i njihovu rješavanju.

Komisija ponovno poziva vladu SAD-a da potvrdi preuzetu političku obvezu u pogledu mehanizma pravobranitelja tako da što prije imenuje pravobranitelja za sustav zaštite privatnosti. Mehanizam pravobranitelja važan je element okvira sustava zaštite privatnosti. Iako vršitelj dužnosti pravobranitelja nastavlja obavljati odgovarajuće funkcije, nepostojanje stalnog pravobranitelja velik je problem koji je potrebno što prije riješiti. Komisija od američke vlade očekuje da do 28. veljače 2019. odredi kandidata za stalnu dužnost pravobranitelja i da je obavijesti o imenovanoj osobi. Ako se to ne dogodi do navedenog datuma, Komisija će razmotriti poduzimanje odgovarajućih mjera u skladu s Općom uredbom o zaštiti podataka 6 . Komisija ujedno očekuje precizne i detaljne informacije o svim prethodno navedenim aspektima kako bi mogla procijeniti jesu li poduzete mjere učinkovite u praksi.

Naposljetku, Komisija će nastaviti pozorno pratiti raspravu koja je u tijeku u SAD-u o saveznom zakonodavstvu o zaštiti privatnosti. S obzirom na važnost transatlantskih tokova podataka Komisija potiče SAD da donese sveobuhvatni sustav zaštite privatnosti i podataka te postane stranka Konvencije br. 108 Vijeća Europe. Upravo s pomoću takvoga sveobuhvatnog pristupa može se ostvariti dugoročna konvergencija naših dvaju sustava, čime bi se također ojačali temelji na kojima je razvijen okvir sustava zaštite privatnosti.

(1)

Provedbena odluka Komisije (EU) 2016/1250 od 12. srpnja 2016. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća, SL L 2017, 1.8.2016., str. 1.

(2)

Izvješće Komisije Europskom parlamentu i Vijeću o prvom godišnjem preispitivanju funkcioniranja europsko-američkog sustava zaštite privatnosti (COM(2017) 611 final), vidjeti http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(3)

Radni dokument službi Komisije priložen Izvješću Komisije Europskom parlamentu i Vijeću o prvom godišnjem preispitivanju funkcioniranja europsko-američkog sustava zaštite privatnosti (SWD(2017) 344 final), vidjeti http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(4)

Dostupno na https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf .

(5)

 Report to the President on the Implementation of Presidential Policy Directive 28: Signals Intelligence Activities, dostupno na https://www.pclob.gov/reports/report-PPD28/ .

(6)

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka).