EUROPSKA KOMISIJA
Bruxelles, 29.2.2016.
COM(2016) 117 final
KOMUNIKACIJA KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU
Transatlantski protok podataka: primjena jakih zaštitnih mjera radi vraćanja povjerenja
EUROPSKA KOMISIJA
Bruxelles, 29.2.2016.
COM(2016) 117 final
KOMUNIKACIJA KOMISIJE EUROPSKOM PARLAMENTU I VIJEĆU
Transatlantski protok podataka: primjena jakih zaštitnih mjera radi vraćanja povjerenja
1. Uvod: Uloga razmjene osobnih podataka u odnosu EU-a i SAD-a
Stabilno transatlantsko partnerstvo između Europske unije i Sjedinjenih Država danas je važnije nego ikad. Dijelimo zajedničke vrijednosti, slijedimo zajedničke političke i gospodarske ciljeve i blisko surađujemo u borbi protiv zajedničkih prijetnji našoj sigurnosti. Dokaz trajne izdržljivosti našeg odnosa jest opseg naše trgovinske razmjene i bliska suradnja u globalnim pitanjima.
Prijenos i razmjena osobnih podataka bitna su sastavnica na kojoj se temelje bliske veze Europske unije (EU) i Sjedinjenih Američkih Država (SAD) u području trgovine i u području provedbe zakona. Za razmjenu takvih podataka potrebni su visoka razina zaštite podataka i odgovarajuće zaštitne mjere.
Izvješća o opsežnim programima prikupljanja obavještajnih podataka koje provodi SAD izazvala su u lipnju 2013. veliku zabrinutost i na razini EU-a i na razini država članica u pogledu učinka opsežne obrade osobnih podataka koju provode javna tijela i privatna trgovačka društava u Sjedinjenim Američkim Državama na temeljna prava Europljana.
Komisija je 27. studenoga 2013. reagirala objavom Komunikacije o ponovnoj uspostavi povjerenja u protoku podataka između EU-a i SAD-a 1 u kojoj je utvrdila akcijski plan za ponovnu uspostavu povjerenja u prijenos podataka u korist digitalnog gospodarstva, zaštitu prava pojedinaca u Europi i širi transatlantski odnos. U Komunikaciji su utvrđene sljedeće ključne mjere za postizanje tog cilja:
i. donijeti paket reformi u području zaštite podataka koji je Komisija predložila 2012. 2 ;
ii. učiniti „sigurnu luku” sigurnijom na temelju 13 preporuka utvrđenih u Komunikaciji o sigurnoj luci 3 ; i
iii. ojačati zaštitne mjere povezane sa zaštitom podataka u suradnji u području provedbe zakona, posebno okončanjem pregovora o krovnom sporazumu između EU-a i SAD-a o zaštiti podataka. Taj je sporazum, među ostalim, obuhvaćao cilj da SAD preuzme obveze o izvršivim pravima pojedinaca, uključujući mehanizme pravne zaštite, posebno donošenjem Zakona o pravnoj zaštiti kojim se određena prava iz Zakona o privatnosti SAD-a iz 1974. koja su tada bila dostupna samo državljanima i rezidentima SAD-a proširuju na građane EU-a.
Ti su ciljevi ponovno potvrđeni u političkim smjernicama 4 Junckerove komisije: „Zaštita podataka temeljno je pravo koje je osobito važno u digitalnom dobu. Potrebno je brzo završiti zakonodavni rad u području zajedničkih pravila o zaštiti podataka u Europskoj uniji te to pravo zastupati i u vanjskim odnosima. U svjetlu nedavnih otkrića o masovnom nadziranju bliski partneri, poput Sjedinjenih Američkih Država, moraju nas uvjeriti da su trenutačni sporazumi o sigurnoj luci zaista sigurni ako žele da se ti sporazumi nastave. Isto tako SAD mora jamčiti da građani EU-a imaju pravo ostvariti prava o zaštiti podataka na sudovima SAD-a, živjeli oni na tlu SAD-a ili ne. To će biti osnova kako bi se vratilo povjerenje u transatlantske odnose.”
Komisija otad radi na postizanju tih ciljeva. Ona je ubrzala pregovore o krovnom sporazumu koji su stranke parafirale 8. rujna 2015. Pojačale su se rasprave među institucijama o paketu reformi u području zaštite podataka čija je posljedica bila postizanje političkog sporazuma između Vijeća i Europskog parlamenta 15. prosinca 2015. U pogledu transatlantskih prijenosa podataka u području trgovine, Komisija je u siječnju 2014. sa SAD-om počela razgovarati o jačanju „sigurne luke”. Proglašavanje nevaljanom Odluke o „sigurnoj luci” u presudi u predmetu Schrems od 6. listopada 2015. 5 Sud je potvrdio da je potrebno uspostaviti novi okvir i dao je daljnje smjernice o uvjetima koje bi okvir trebao ispunjivati. Nakon presude Komisija je 6. studenoga 2015. donijela smjernice za trgovačka društva u kojima su utvrđeni zamjenski alati kojima se omogućuje neprekinuti prijenos osobnih podataka u Sjedinjene Države 6 . Dana 2. veljače 2016. postignut je politički sporazum o novom okviru za transatlantski protok podataka, europsko-američkom sustavu zaštite privatnosti 7 , kojim će biti zamijenjen prethodni sporazum.
Ta će postignuća koristiti transatlantskom odnosu i njima bi se trebalo vratiti povjerenje Europljana u digitalno gospodarstvo te ojačati njihova temeljna prava. Njima će se također EU-u i njegovim državama članicama dati jači pravni okvir za zaštitu podataka kojim će se omogućiti bolja integracija unutarnjeg tržišta, posebno jedinstvenog digitalnog tržišta, a EU-u će se omogućiti da pojača svoje napore usmjerene na promicanje i razvoj međunarodnih standarda za zaštitu privatnosti i osobnih podataka.
Usporedno su pokrenute važne inicijative koje su dovele do važnih promjena u pravnom poretku SAD-a. Predsjednik Obama najavio je 17. siječnja 2014. 8 reforme aktivnosti prikupljanja informacija o sredstvima veze koje provodi SAD, a koje su potom utvrđene u Predsjedničkom ukazu 28 (PPD-28) 9 . Što je još važnije, tim reformama osigurano je proširenje određenih postupaka zaštite privatnosti na osobe koje nisu američki državljani te preusmjeravanje prikupljanja podataka s masovnog prikupljanja prema pristupu u kojem se prednost daje ciljanom prikupljanju i pristupu. Komisija je pozdravila to novo usmjerenje kao važan korak u pravom smjeru 10 . Ovaj postupak reforme imao je i važnu ulogu u oblikovanju rasprava sa SAD-om o europsko-američkom sustavu zaštite privatnosti. Otad su uvedene daljnje promjene. Na primjer, SAD je u lipnju 2015. donio Zakon SAD-a o slobodi 11 kojim su izmijenjeni određeni nadzorni programi SAD-a, pojačan je sudski nadzor i povećana transparentnost njihove primjene u javnosti. Naposljetku, američki Kongres donio je 10. veljače 2016. Zakon o pravnoj zaštiti koji je predsjednik Obama potpisao 24. veljače 2016. 12 .
U tom kontekstu u ovoj se Komunikaciji daje pregled ostvarenog napretka u ostvarenju ciljeva formuliranih u Komunikaciji iz 2013. Također će se istaknuti područja u kojima je potrebno još raditi u cilju učvršćivanja i potpunog vraćanja povjerenja u transatlantski protok podataka.
2. Reforma zaštite podataka u EU-u
2.1. Kontekst
Da bi se mogli iskoristiti prilike i svladati izazove u svijetu koji je sve više digitalno povezan, Europska komisija predstavila je u siječnju 2012. svoj Paket reformi u području zaštite podataka („reforma”). Reformom, kojom se jačaju unutarnja pravila EU-a i pojedincima daje više kontrole nad njihovim osobnih podatcima, nastoji se ojačati povjerenje u digitalno gospodarstvo bez obzira na to obrađuju li se osobni podaci u jednoj državi članici, u EU-u ili u trećim zemljama, kao što su Sjedinjene Države.
Paket reformi sadržava dva pravna instrumenta, Opću uredbu o zaštiti podataka 13 („Uredba”) u kojoj je utvrđen zajednički okvir EU-a za zaštitu podataka te Direktivu o zaštiti podataka u području policijske i pravosudne suradnje („Direktiva o policiji”) 14 . Predlaganjem uredbe koja će biti neposredno primjenjiva u državama članicama Komisija je nastojala uspostaviti jedan zajednički standard zaštite podataka za sve, čime bi uklonila razlike u razini zaštite među državama članicama. Isto tako, Direktivom o policiji prvi puta će se utvrditi zajednički skup pravila na razini EU-a uzimajući u obzir posebnosti pravosudne tradicije i tradicije provedbe zakona u državama članicama.
Europski parlament i Vijeće postigli su 15. prosinca 2015. politički dogovor o paketu reformi, čime su proveli jednu od ključnih mjera utvrđenih u Komunikaciji iz 2013.
2.2. Što se promijenilo?
Kako bi se zajamčila prava na privatnost, Uredbom se ažuriraju, moderniziraju i u nekim slučajevima jačaju načela zaštite podataka iz Direktive o zaštiti podatka iz 1995. 15 Uredba je usmjerena na jačanje prava pojedinaca, produbljivanje unutarnjeg tržišta EU-a, osiguravanje snažnije provedbe pravila, moderniziranje međunarodnih prijenosa osobnih podataka i utvrđivanje globalnih standarda za zaštitu podataka. Pravila su osmišljena tako da se osigura zaštita podataka pojedinaca u EU-u, bez obzira na to kamo se šalju te gdje se obrađuju ili pohranjuju, čak i izvan EU-a, što često može biti slučaj u digitalnom svijetu. Posebno je važno istaknuti neka obilježja reforme.
Prvo, teritorijalno područje primjene: u Uredbi se jasno navodi da se primjenjuje i na trgovačka društva s poslovnim nastanom u trećoj zemlji ako ona nude robu i usluge ili nadziru ponašanje pojedinaca u EU-u. Trgovačka društva s poslovnim nastanom izvan EU-a morat će primjenjivati ista pravila kao i ona s poslovnim nastanom u EU-u. Time se osigurava sveobuhvatna zaštita prava pojedinaca u EU-u. Uredbom se stvaraju i ravnopravni uvjeti za trgovačka društva iz EU-a i strana trgovačka društva, čime se izbjegava neravnoteža u tržišnom natjecanju između trgovačkih društava u EU-u i stranih trgovačkih društava kada posluju u EU-u ili posluju s potrošačima u EU-u.
Drugo, stroža provedba pravila o zaštiti podataka: u Uredbi je predviđen djelotvoran režim sankcija usklađivanjem ovlasti nacionalnih tijela za nadzor zaštite podataka (DPA). Tim će tijelima biti dodijeljene ovlasti za izricanje novčanih kazni u iznosu do 20 milijuna EUR ili do 4 % ukupnog svjetskog godišnjeg prometa trgovačkog društva. Tom će se ovlasti za izricanje odvraćajućih kazni za nepoštovanje pravila o zaštiti podataka zajedno s prethodno navedenim teritorijalnim područjem primjene osigurati da poduzeća koja posluju u EU-u budu potaknuta na poštovanje zakonodavstva EU-a. Novim pravilima uvodi se i jasniji i stroži režim odgovornosti za nadzornike i obrađivače podataka.
Treće, usklađena pravila za suradnju u području provedbe zakona: Direktivom o policiji primijenit će se opća načela i pravila o zaštiti podataka na obradu osobnih podataka koju izvršavaju policijska i pravosudna tijela u državama članicama u svrhe kaznenog progona. To uključuje usklađena pravila za međunarodne prijenose osobnih podataka u okviru suradnje u području kaznenog progona 16 . Novom direktivom povećat će se razina zaštite pojedinaca i osigurati da se podaci o žrtvama, svjedocima i osumnjičenicima za zločine propisno zaštite u okviru kaznene istrage ili radnje u okviru provedbe zakona. Neovisna nacionalna tijela nadležna za zaštitu podataka osiguravaju nadzor i pojedincima se moraju omogućiti učinkoviti mehanizmi pravne zaštite. Istovremeno će se usklađenijim zakonima policijskim i pravosudnim tijelima omogućiti učinkovitija suradnja među državama članicama i između država članica i njihovih međunarodnih partnera, u cilju djelotvornije borbe protiv kriminala i terorizma. To je ključan dio Europskog programa sigurnosti 17 .
Četvrto, snažna pravila za sigurnije međunarodne prijenose: u Uredbi i u Direktivi o policiji predviđena su transparentna, detaljna i sveobuhvatna pravila za prijenos osobnih podataka u treće zemlje. Njima su obuhvaćene sve vrste međunarodnih prijenosa, u svrhe trgovine ili u svrhe provedbe zakona, među privatnim osobama ili javnim tijelima ili između privatnih subjekata i javnih tijela. Iako je struktura pravila o međunarodnim prijenosima u suštini jednaka kao i na temelju postojeće Direktive o zaštiti podataka (npr. odluke o prikladnosti, standardne ugovorne odredbe i obvezujuća korporativna pravila te određena odstupanja od opće zabrane prijenosa osobnih podataka izvan EU-a), reformom se pojašnjavaju i pojednostavnjuju ta pravila na niz različitih načina te se smanjuje birokracija. Njome se uvode i neki novi alati za međunarodne prijenose.
Uredbom se nadalje jačaju ovlasti tijela EU-a nadležnih za zaštitu podataka, među ostalim u pogledu međunarodnih prijenosa. Za razliku od postojeće Direktive o zaštiti podataka, odredbe o neovisnosti, funkcijama i ovlastima tijela EU-a nadležnih za zaštitu podataka detaljnije su opisana i bitno proširene. To izričito uključuje ovlast za obustavu protoka podataka prema primatelju u trećoj zemlji ili međunarodnoj organizaciji. Direktiva o policiji sadržava slične odredbe o međunarodnim prijenosima i ovlastima tijela nadležnih za zaštitu podataka u sektoru provedbe zakona.
Drugim riječima, u pogledu pravila o odlukama Komisije o prikladnosti, u Uredbi je naveden precizan i detaljni katalog elemenata koje Komisija mora uzeti u obzir kada procjenjuje razinu zaštite podataka osiguranu u pravnom poretku treće zemlje. Taj se postupak sastoji od sveobuhvatne procjene koju Komisija mora provesti i koja bi trebala obuhvaćati pravila kojima se uređuje pristup javnih tijela treće zemlje osobnim podacima, a taj je element također u skladu s presudom u predmetu Schrems. Još jedna ključna značajka te procjene jest da pojedinci imaju učinkovita i izvršiva prava na zaštitu podataka i imaju na raspolaganju djelotvorne mehanizme upravne i pravne zaštite.
Nadalje, u Uredbi je izričito propisano da Komisija mora povremeno preispitati, barem svake četiri godine, sve svoje odluke o prikladnosti kako bi uzela u obzir sva relevantna kretanja u trećoj zemlji koja mogu imati izravni i čak negativni učinak na razinu zaštite u njezinu pravnom poretku. Ovo trajno praćenje prikladnosti bit će dinamičniji postupak jer će uključivati i dijalog s nadležnim tijelima predmetne treće zemlje.
U pogledu prijenosa u treće zemlje za koje ne postoji odluka o prikladnosti, Uredbom su predviđeni uvjeti kojima se uređuje uporaba alternativnih alata za prijenos kao što su standardne ugovorne odredbe i obvezujuća korporativna pravila. Njome se uvode i drugi instrumenti za prijenose, kao što su odobreni kodeksi ponašanja i odobreni mehanizmi certificiranja. Naposljetku, u njoj se pojašnjava situacija u kojoj se mogu primijeniti odstupanja.
2.3. Daljnji postupci
Reforma zaštite podataka nužan je korak za jačanje temeljnih prava građana u digitalnom dobu i olakšavanje poslovanja pojednostavnjivanjem pravila za trgovačka društva na jedinstvenom digitalnom tržištu. Povjerenjem potrošača u subjekte iz EU-a i trećih zemalja poticat će se europsko gospodarstvo i globalno digitalno gospodarstvo, kojima će to povjerenje, dakle, koristiti. Povjerenje potrošača imat će pozitivan učinak na naše trgovinske odnose sa SAD-om, našim najvećim trgovinskim partnerom. Ono će pridonijeti jasnoći i stabilnom okruženju za poslovanje poduzeća iz EU-a i stranih poduzeća. Poduzeća iz SAD-a imat će koristi od pravne sigurnosti koja proizlazi iz poslovanja s integriranim gospodarskim područjem u kojem se primjenjuje jedinstveni skup pravila o zaštiti podataka.
Zajedničkim pravilima u sektoru provedbe zakona osigurat će se bolja zaštita podataka pojedinaca i njihovo pravo na učinkovite pravne lijekove. Olakšavanjem prekogranične suradnje između policijskih i pravosudnih tijela u državama članicama povećat će se učinkovitost provedbe kaznenog prava i tako će se stvoriti uvjeti za učinkovitije suzbijanje kriminala u EU-u. Time će se istovremeno omogućiti nesmetana suradnja s istovjetnim tijelima u trećim zemljama.
Očekuje se da će Europski parlament i Vijeće službeno donijeti paket reformi u prvom polugodištu 2016. Uredba će se primjenjivati dvije godine nakon donošenja, a u Direktivi o policiji predviđeno je dvogodišnje razdoblje provedbe. Svi uključeni dionici unutar EU-a i izvan njega trebali bi iskoristiti dvogodišnje prijelazno razdoblje kako bi se pripremili za nova pravila. Komisija će u tome imati svoju ulogu. U tom prijelaznom razdoblju blisko će surađivati s državama članicama, tijelima nadležnima za zaštitu podataka i drugim zainteresiranim strankama kako bi osigurala ujednačenu primjenu pravila i promicala okruženje koje je spremno za usklađivanje.
3. Europsko-američki sustav zaštite privatnosti: novi transatlantski okvir za protok osobnih podataka
3.1. Kontekst
Kako bi olakšala protok osobnih podataka između EU-a i SAD-a u svrhe trgovinskih razmjena i pritom osigurala zaštitu tih podataka, Komisija je 2000. potvrdila da se okvirom „sigurne luke” pruža prikladna razina zaštite 18 . Zbog toga su se, unatoč tome što u SAD-u nije postojao opći zakon o zaštiti podataka, osobni podaci mogli slobodno prenositi iz država članica EU-a u trgovačka društva u SAD-u koja su prihvatila načela privatnosti na kojima se temelji okvir.
U Komunikaciji o „sigurnoj luci” iz 2013. 19 Komisija je istaknula niz nedostataka u funkcioniranju tog rješenja tijekom godina, posebno nedovoljnu transparentnost trgovačkih društava u pogledu njihova postupanja u skladu s tim sustavom i nepostojanje učinkovitog načina kojim bi američka nadležna tijela osigurala da ta trgovačka društva poštuju načela privatnosti predmetnog sustava. Nadalje, zbog otkrića o nadzoru koja su objavljena ranije te godine, javila se zabrinutost u pogledu raspona i opsega određenih američkih obavještajnih programa SAD-a te razine pristupa javnih tijela SAD-a osobnih podacima Europljana koji se prenose u okviru „sigurne luke”. Uzimajući u obzir te i druge elemente 20 , Komisija je zaključila da „sigurnu luku” treba preispitati. U tom kontekstu Komisija je izradila 13 preporuka 21 za jačanje i nadogradnju jamstava zaštite podataka ugrađenih u okvir. Te su preporuke bile usmjerene na sljedeće: i. jačanje materijalnih načela privatnosti i povećavanje transparentnosti politika privatnosti samostalno certificiranih trgovačkih društava u SAD-u u koje su ugrađena ta načela; ii. bolji i učinkoviti nadzor, praćenje i provedbu usklađenosti trgovačkih društava s tim načelima koje provode nadležna tijela SAD-a; iii. dostupnost pristupačnih mehanizama rješavanja sporova u slučaju pojedinačnih tužbi i iv. potrebu osigurati da primjena izuzeća radi nacionalne sigurnosti i provedbe zakona predviđena u Odluci o „sigurnoj luci” iz 2000. bude ograničena samo na ono što je strogo nužno i razmjerno.
Na temelju tih 13 preporuka Komisija je u siječnju 2014. počela razgovore s nadležnim tijelima SAD-a. Kada je Sud nakon toga poništio Odluku o „sigurnoj luci” 6. listopada 2015., to je bila potvrda da je potreban snažniji i novi okvir za transatlantski trgovinski protok podataka. Iako se presuda Suda temelji na preporukama Komisije iz 2013., u njoj se dalje naglašava potreba za ograničenjima, zaštitnim mjerama i mehanizmima sudske kontrole kako bi se osigurala trajna zaštita osobnih podataka pojedinaca u EU-u, uključujući slučajeve kada podacima pristupaju javna tijela i upotrebljavaju ih u svrhe nacionalne sigurnosti, javnog interesa ili provedbe zakona.
Nakon dvije godine intenzivnih rasprava EU i SAD postigli su 2. veljače 2016. politički dogovor o novom okviru, europsko-američkom sustavu zaštite privatnosti. Taj novi sporazum sadržava važne nove zaštitne mjere i njime će se zajamčiti visok stupanj zaštite temeljnih prava pojedinaca u EU-a. Njime će se osigurati nužna pravna sigurnost za trgovačka društva s obje strane Atlantskog oceana koja žele zajedno poslovati. Osim toga, sporazumom će se dati novi uzlet transatlantskom partnerstvu.
Nakon okončanja pregovora sa SAD-om, Komisija će novi sporazum dostaviti „Radnoj skupini prema članku 29.” (koja se sastoji od tijela EU-a nadležnih za zaštitu podataka) i zatražiti mišljenje o razini osigurane zaštite. Nadalje, odluka o prikladnosti mora prije donošenja proći kroz postupak komitologije. Provest će se savjetovanje i s Europskim nadzornikom za zaštitu podataka.
3.2. Što se promijenilo?
Europsko-američkim sustavom zaštite privatnosti osigurava se čvrst i učinkovit odgovor na 13 preporuka Komisije i na presudu u predmetu Schrems. On sadržava niz važnih poboljšanja u odnosu na prethodni okvir u pogledu obveza koje moraju preuzeti trgovačka društva iz SAD-a. Također sadržava važne nove obveze i detaljna objašnjenja relevantnih zakona i prakse u SAD-u koja su dala nadležna tijela te zemlje. Za razliku od prethodnog sustava, europsko-američki sustav zaštite privatnosti ne obuhvaća samo obveze u sektoru trgovine već je važno napomenuti da prvi put u odnosima EU-a i SAD-a sadržava i obveze u području pristupa javnih tijela osobnim podacima, među ostalim u svrhe nacionalne sigurnosti. To je ključan i potreban element u svjetlu sudske prakse Suda za vraćanje povjerenja u transatlantske odnose nakon otkrića o nadzoru.
Najvažnija postignuća ovog novog sporazuma mogu se razvrstati u četiri glavne kategorije:
Prvo, čvrste obveze za poduzeća i stroga provedba pravila:: novi sporazum bit će transparentniji i sadržavat će djelotvorne nadzorne mehanizme kojim će se osigurati da trgovačka društva poštuju pravila koja su se zakonski obvezala poštovati. Trgovačka društva iz SAD-a koja žele uvoziti osobne podatke iz Europe u okviru sustava zaštite privatnosti morat će prihvatiti stroge obveze o načinu obrade osobnih podataka i jamčenju prava pojedinaca. To uključuje pooštrene uvjete i strože odredbe o odgovornosti za trgovačka društva u sustavu zaštite privatnosti koja prenose podatke iz EU-a, primjerice za aktivnosti podobrade, trećim strankama izvan okvira bez obzira nalaze li se one u SAD-u ili u nekoj drugoj trećoj zemlji („daljnji prijenosi”). U pogledu nadzora Ministarstvo trgovine SAD-a obvezalo se redovito i strogo pratiti kako trgovačka društva ispunjuju svoje obveze i iskorijeniti „prevarante”, odnosno trgovačka društva koja lažno tvrde da su usklađena sa sustavom. Obveze trgovačkih društava pravno su obvezujuće i Savezna trgovinska komisija može osigurati njihovo izvršenje u skladu sa zakonodavstvom SAD-a. Trgovačkim društvima koja ne ispunjuju obveze odredit će se stroge kazne.
Drugo, jasna ograničenja i zaštitne mjere u pogledu pristupa američke vlade: vlada SAD-a prvi je puta posredstvom Ministarstva pravosuđa i Ureda Direktora nacionalne obavještajne agencije, tijela koje nadzire cijelu američku obavještajnu zajednicu, EU-u dostavila pisane izjave i jamstva da će se na pristup javnih tijela u svrhe provedbe zakona, nacionalne sigurnosti i drugih javnih interesa primjenjivati jasna ograničenja, zaštitne mjere i mehanizmi nadzora. SAD će uspostaviti i novi mehanizam pravne zaštite za građane EU-a čiji se podaci obrađuju u području nacionalne sigurnosti u obliku pravobranitelja koji će biti neovisan od nacionalnih sigurnosnih tijela. Pravobranitelj će imati zadaću pratiti pritužbe i odgovarati na upite pojedinaca iz EU-a o pristupu zbog nacionalne sigurnosti te će pojedincu morati potvrditi da se poštovalo relevantne zakone ili da su ispravljeni svi slučajevi nepoštovanja zakona. To je važna promjena koja će se primjenjivati ne samo na prijenose u okviru sustava zaštite privatnosti već i na sve osobne podatke koji se prenose u SAD u svrhe trgovine, neovisno o tome na kojoj se osnovi oni prenose.
Treće, učinkovita zaštita prava pojedinaca u EU-u na privatnost s nekoliko mogućnosti pravne zaštite: svatko u Europi tko smatra da su njegovi ili njezini podaci zlouporabljeni na temelju novog sporazuma imat će na raspolaganju nekoliko dostupnih i cjenovno pristupačnih mehanizama pravne zaštite, među ostalim besplatna tijela za alternativno rješavanje sporova. Trgovačka društva obvezuju se odgovoriti na pritužbe u propisanom roku. Nadalje, svako trgovačko društvo koje postupa s podacima o ljudskim potencijalima iz Europe mora se obvezati da će poštovati odluke tijela EU-a nadležnog za zaštitu podataka, a druga trgovačka društva mogu takvu obvezu preuzeti dobrovoljno. Pojedinci mogu podnijeti pritužbu i svom „domaćem” tijelu nadležnom za zaštitu podataka koje će imati na raspolaganju službeni postupak upućivanja pritužbi Ministarstvu trgovine i Saveznoj trgovinskoj komisiji u cilju olakšavanja istrage i rješavanja pritužbi u razumnom roku. Ako predmet svejedno nije riješen primjenom nekog od navedenih mehanizama, pojedinci će se, kao posljednje rješenje, moći obratiti Odboru za sustav zaštite privatnosti koji je mehanizam za rješavanje sporova ovlašten za donošenje obvezujućih i izvršnih odluka protiv trgovačkih društava iz SAD-a obuhvaćenih sustavom zaštite privatnosti. Nadalje, tijela EU-a nadležna za zaštitu podataka moći će pojedincima pružati pomoć u pripremi njihovih predmeta. Kako je prethodno navedeno, za potrebe pritužbi o mogućem pristupu nacionalnih obavještajnih tijela bit će uspostavljen novi pravobranitelj koji će služiti kao dodatni mehanizam pravne zaštite.
Četvrto i posljednje, mehanizam zajedničkog godišnjeg pregleda: time će se Komisiji omogućiti da redovito prati funkcioniranje svih aspekata sustava zaštite privatnosti, uključujući ograničenja i zaštitne mjere koji se odnose na pristup za potrebe nacionalne sigurnosti. Komisija i Ministarstvo trgovine SAD-a provodit će pregled i u njega će uključiti tijela EU-a nadležna za zaštitu podataka, tijela SAD-a za nacionalnu sigurnost te pravobranitelja. Time će se osigurati odgovornost SAD-a za preuzete obveze. Ali Komisija neće stati na tome: ona će iskoristiti i sve druge dostupne izvore informacija, među ostalim i dobrovoljna izvješća trgovačkih društava o transparentnosti u pogledu razine zahtjeva vlade za pristup 22 . Godišnjim pregledom nadilaze se obveze iz nove Uredbe u kojoj je propisano da se takvi pregledi moraju provoditi najmanje svake četiri godine, čime se pokazuje odlučnost EU-a i SAD-a za strogo osiguravanje punog poštovanja zakonodavstva.
Ovaj pregled neće biti samo formalnost bez ikakvih posljedica. Ako trgovačka društva ili javna tijela SAD-a ne ispunjuju svoje obveze, Komisija će pokrenuti postupak obustave sustava zaštite privatnosti. Kako je Sud naglasio u presudi u predmetu Schrems, odluka o prikladnosti ne smije biti samo mrtvo slovo na papiru. Naprotiv, trgovačka društva i nadležna tijela SAD-a moraju oživjeti okvir i stalno ga održavati ispunjujući svoje obveze. Ako to ne budu činili, posebna korist prijenosa podataka koja se temelji na nalazu prikladnosti više nije opravdana i bit će povučena.
3.3. Daljnji postupci
Obveze koje je SAD preuzeo u okviru sustava zaštite privatnosti služit će kao osnova za novu odluku Komisije o prikladnosti koja će se na njima i temeljiti. Potiče se trgovačka društva da već počnu s pripremama kako bi mogla pristupiti novom okviru čim prije moguće nakon što bude uspostavljen donošenjem odluke Komisije. Vlada SAD-a objavit će svoje izjave u saveznom registru i tako javno potvrditi da će poštovati svoje obveze.
U europsko-američkom sustavu zaštite privatnosti moraju djelovati mnogi dionici:
uključena trgovačka društava SAD-a koja moraju ispuniti svoje obveze u skladu s okvirom potpuno svjesna da će se okvir strogo provoditi i da će u slučaju njegova nepoštovanja biti kažnjena. U cilju jačanja povjerenja potrošača potiče se trgovačka društva da za rješavanje pritužbi u okviru sustava zaštite privatnosti odaberu tijela EU-a nadležna za zaštitu podatka jer će se pojedinci u Europi najvjerojatnije obratiti tim tijelima. Slično tome, onoliko koliko će nadležna tijela biti spremna iskoristiti mogućnost objave izvješća o transparentnosti nacionalne sigurnosti predviđenu u zakonodavstvu SAD-a i o zaprimljenim zahtjevima tijela za provedbu zakona za pristup podacima EU-a, toliko će se pridonijeti održavanju povjerenja da je takav pristup ograničen na ono što je nužno i razmjerno 23 ,
različita nadležna tijela SAD-a kojima je povjeren nadzor i provedba okvira uz poštovanje ograničenja i zaštitnih mjera u pogledu pristupa podacima u svrhe provedbe zakona i nacionalne sigurnosti i tijela kojima je povjereno pravovremeno i smisleno odgovaranje na pritužbe pojedinaca u EU-u o mogućoj zlouporabi njihovih osobnih podataka,
tijela EU-a nadležna za zaštitu podataka koja imaju važnu ulogu osigurati da pojedinci mogu učinkovito ostvarivati svoja prava u okviru sustava zaštite privatnosti, među ostalim prosljeđivanjem svojih pritužbi odgovarajućim nadležnim tijelima SAD-a i suradnjom s njima, pokretanjem mehanizma pravobranitelja, pomaganjem podnositeljima pritužbi s podnošenjem pritužbe Odboru za sustav zaštite privatnosti i nadziranjem prijenosa podataka o ljudskim potencijalima i
Komisija koja je odgovorna donijeti nalaz prikladnosti i redovito ga preispitivati: ti redoviti pregledi znatno se razlikuju od prethodne statične situacije jer se nalaz prikladnosti sustava zaštite privatnosti pretvara u živi okvir koji se budno prati.
Zajedničkim godišnjim pregledom i sljedećim izvješćem Komisije, te mogućnošću suspenzije sporazuma u slučaju njegova nepoštovanja, u najvećoj mjeri osigurat će se trajnost sustava zaštite privatnosti. Trebala bi postojati zajednička transatlantska želja razvoja snažne kulture poštovanja zakonodavstva u području privatnosti i zaštite prava osoba kojom će se vratiti i održavati povjerenje.
4. Krovni sporazum: Jačanje zaštitnih mjera za zaštitu podataka u području suradnje u provedbi zakona
4.1. Kontekst
Važna dimenzija našeg transatlantskog odnosa jest sposobnost EU-a, država članica i SAD-a da učinkovito odgovaraju na zajedničke sigurnosne prijetnje i izazove na temelju suradnje i koordinacije. Ovaj zajednički odgovor znatno ovisi o našoj sposobnosti razmjene osobnih podataka u okviru policijske i pravosudne suradnje u kaznenim stvarima. Radi ostvarenja ovoga cilja sklopljen je niz bilateralnih sporazuma između država članica i SAD-a te između EU-a i SAD-a 24 . Istovremeno je jednako važno da se tim sporazumima o provedbi zakona osiguraju učinkovite mjere za zaštitu podataka. Zbog dvostrukog cilja koji se sastoji od uspješne suradnje s našim partnerima iz SAD-a na suzbijanju teškog kriminala i terorizma uz jačanje razine zaštite Europljana u skladu s njihovim temeljnim pravima i pravilima EU-a o zaštititi podataka kada se izvršavaju prijenosi u te svrhe u ožujku 2011. pokrenuti su pregovori o međunarodnom sporazumu o zaštiti podataka u području provedbe zakona, odnosno o „krovnom sporazumu” između EU-a i SAD-a o zaštiti podataka 25 .
EU i SAD završili su pregovore u ljeto 2015. Dvije stranke parafirale su krovni sporazum 8. rujna 2015. u Luxembourgu 26 i sada se čeka ratifikacija sporazuma s obje strane Atlantskog oceana. Međutim, potpisivanje krovnog sporazuma ovisilo je o donošenju Zakona o pravnoj zaštiti u američkom Kongresu kako bi se prvi put osiguralo jednako postupanje prema građanima EU-a kao i prema državljanima SAD-a u skladu sa Zakonom SAD-a o privatnosti iz 1974. 27 Kongres je odobrio prijedlog zakona 10. veljače 2016. koji je potpisom postao zakon 24. veljače 2016.
4.2 Što se promijenilo?
Krovni sporazum obuhvaćat će, po prvi puta, usklađeni i sveobuhvatni skup zaštitnih mjera za zaštitu podataka koje će se primjenjivati na sve transatlantske razmjene između nadležnih tijela u području kaznenog progona. To je zapravo sporazum o temeljnim pravima u kojem se utvrđuje visok stupanj zaštite i koji mora poslužiti kao referentna točka za sve razmjene podataka u postojećim i budućim sporazumima.
Prvo, zaštite i zaštitne mjere predviđene u krovnom sporazumu horizontalno će se primjenjivati na sve razmjene podataka koje se izvršavaju u okviru transatlantske suradnje u području kaznenog progona. To uključuje prijenose na temelju domaćih zakona, sporazuma između EU-a i SAD-a, sporazuma između država članica i SAD-a (npr. ugovore o uzajamnoj pravnoj pomoći) te posebnih sporazuma kojima je predviđen prijenos osobnih podataka koji obavljaju privatni subjekti u svrhe provedbe zakona. Dogovorenim odredbama tako će se odmah povećati razina zaštite zajamčena građanima EU-a čiji se podaci obrađuju pri prenošenju tih podataka u SAD. Također će se povećati pravna sigurnost u pogledu transatlantske suradnje u provedbi zakona osiguravajući da svi postojeći sporazumi sadržavaju sve nužne zaštite i tako mogu izdržati moguće pravne izazove.
Drugo, odredbama su obuhvaćena sva osnovna pravila EU-a o zaštiti podataka u pogledu standarda obrade (npr. kvaliteta i cjelovitost podataka, sigurnost podataka, odgovornost i nadzor), zaštitnih mjera i ograničenja (npr. ograničenja svrhe i uporabe, zadržavanje podataka, daljnji prijenosi, obrada osjetljivih podataka) te pojedinačnih prava (pristup, ispravljanje, upravna i sudska pravna zaštita).
Treće, sporazumom će se osigurati dostupnost prava na pravnu zaštitu za slučajeve uskraćivanja pristupa, uskraćivanja ispravljanja i nezakonite objave. To je veliko poboljšanje i znatno će pridonijeti obnovi povjerenja u transatlantske razmjene. Ovaj ključni zahtjev koji je EU dugo tražio i koji godinama nije zadovoljen već je uključen u Zakon o pravnoj zaštiti koji je podnesen američkom Kongresu u ožujku 2015. i donesen 10. veljače 2016. Tim će se zakonom na građane EU-a 28 proširiti tri ključna mehanizma pravne zaštite iz Zakona SAD-a o privatnosti iz 1974. koja trenutačno imaju samo državljani i rezidenti SAD-a. Stoga će građani EU-a po prvi puta moći iskoristiti prava opće primjene svakog transatlantskog prijenosa podataka u području kaznenog progona. Time se uklanja ključna razlika u postupanju prema građanima EU-a i građanima SAD-a.
Četvrto, krovnim sporazumom poopćuje se načelo neovisnog nadzora kao ključnog zahtjeva zaštite podataka koji ne postoji u mnogim postojećim bilateralnim sporazumima i proširuje na cijeli sektor provedbe zakona. To uključuje izvršne ovlasti istrage i rješavanja pojedinačnih pritužbi o usklađenosti sa Sporazumom.
Peto, učinkovita provedba krovnog sporazuma podliježe povremenim zajedničkim pregledima. Tijekom tih pregleda posebna pozornost posvećivat će se odredbama koje se odnose na prava pojedinaca (pristup, ispravak, administrativna i sudska pravna zaštita).
Samim krovnim sporazumom ne odobravaju se prijenosi podataka niti on predstavlja odluku o prikladnosti.
4.3. Daljnji postupci
Stupanjem na snagu Zakona o pravnoj zaštiti 29 pripremit će se teren za potpisivanje krovnog sporazuma. Komisija će uskoro podnijeti Vijeću prijedlog odluke o odobravanju potpisivanja krovnog sporazuma. Nakon potpisivanja i kada dobije suglasnost Europskog parlamenta, Vijeće će morati donijeti odluku o sklapanju sporazuma Krovnim sporazumom znatno će se poboljšati današnje stanje koje obilježavaju rascjepkana, neusklađena i često nedostatna pravila o zaštiti podataka u nizu različitih multilateralnih, bilateralnih, nacionalnih i sektorskih instrumenata. Krovni sporazum ima retroaktivnu funkciju jer će se njime nadopuniti jamstva zaštite podataka u postojećim sporazumima kada u njima ne postoji tražena razina zaštite i u mjeri u kojoj ne postoji. U tom smislu njime će se ostvariti znatna dodana vrijednost jednostavnim „popunjavanjem praznina” u postojećim sporazumima koji sadržavaju niže standarde zaštite podataka od onih iz krovnog sporazuma. Time će se omogućiti nastavak suradnje u području provedbe zakona i osigurati veća pravna sigurnost pri prijenosima. Kada je riječ o budućim sporazumima, krovni sporazum služit će kao donja granica razine sigurnosti. To je vrlo važno jamstvo za budućnost i velika promjena u odnosu na sadašnje stanje u kojem se za svaki pojedini novi sporazum mora ponovno pregovarati o zaštitnim mjerama, zaštiti i pravima. Krovni sporazum stoga je predložak koji sadržava standardne zaštitne mjere o čijem smanjenju nije moguće pregovarati. To je vrlo važan presedan ne samo za odnose EU-a i SAD-a već i općenito za sve buduće sporazume o zaštiti podataka ili razmjeni podataka na međunarodnoj razini.
Krovni sporazum o kojem se pregovara usporedno s reformom usklađen je s pravnom stečevinom EU-a o zaštiti podataka. Odnos krovnog sporazuma i Direktive o policiji posebno je bitan s obzirom na važnost postojanja visoke i zajedničke razine zaštite podataka bez obzira na to obrađuju li se podaci na nacionalnoj razini ili se razmjenjuju preko granica unutar EU-a ili s trećim zemljama. U tom pogledu krovnim sporazumom poduprijet će se opći zahtjevi reforme u transatlantskom kontekstu.
Okončanje pregovora o krovnom sporazumu u kojem su utvrđeni zajednički standardi u složenom području prava i politike važno je postignuće. Budućim krovnim sporazumom vratit će se i povećati povjerenje, osigurat će se jamstva zakonitosti prijenosa podataka i olakšati suradnja u tom području između EU-a i SAD-a.
Kao daljnji korak treba zajednički svladati zajedničke izazove u području policijske i pravosudne suradnje. Jedno važno otvoreno pitanje jest izravni pristup tijela za provedbu zakona osobnim podacima koje posjeduju privatna trgovačka društva u inozemstvu. Takav bi se pristup u načelu trebao odvijati u okviru formalnih oblika suradnje, kao što su sporazumi o uzajamnoj pravnoj pomoći ili drugi sektorski sporazumi. Privatna poduzeća trenutačno se suočavaju s rizikom pravne nesigurnosti koja bi mogla utjecati na njihovu sposobnost poslovanja u različitim jurisdikcijama kada se od njih traži da u skladu sa zakonima jedne zemlje omoguće pristup elektroničkim dokazima s osobnim podacima na koje se primjenjuju zakoni druge zemlje. Usporedno s budućim preispitivanjem sporazuma o uzajamnoj pravnoj pomoći između EU-a i SAD-a 30 EU bi pozdravio daljnje razmjene sa SAD-om o tome pitanju, među ostalim razmatranje razvoja zajedničkih i učinkovitijih pravila o prikupljanju elektroničkih dokaza.
5. Zaključak
Uspješno okončanje provedbe ključnih mjera navedenih u Komunikaciji iz 2013. dokaz je sposobnosti EU-a da rješava probleme na pragmatičan i usredotočen način bez žrtvovanja svojih snažnih temeljnih prava, vrijednosti i tradicija. Ono je također dokaz da EU i SAD mogu usuglasiti svoje razlike i donijeti teške odluke u cilju očuvanja strateškog odnosa koji je uspješan godinama. Istovremeno, dok prelazimo na novo poglavlje u bilateralnim odnosima moramo i dalje biti oprezni jer se i dalje suočavamo sa zajedničkim prijetnjama i izazovima u nesigurnom svijetu.
Nakon uspostave sustava zaštite privatnosti i krovnog sporazuma obje stranke dužne su osigurati učinkovito i trajno funkcioniranje tih dvaju važnih okvira za prijenos podataka. Njihov uspjeh u velikoj mjeri ovisi o učinkovitoj provedbi i poštovanju prava pojedinaca predviđenih zakonom. Također ovisi i o trajnoj procjeni njihova funkcioniranja. Za to je potrebna promjena načina razmišljanja sa statičnog na dinamično.
U tom kontekstu važan element ovog postupka odnosi se na trenutačnu reformu obavještajnih programa SAD-a. Komisija će stoga pažljivo pratiti buduća izvješća Odbora za nadzor privatnosti i građanske slobode (PCLOB) i reviziju odjeljka 702. programa FISA koji se odnosi na strani obavještajni nadzor koja će se provesti 2017. S posebnom će se pozornošću pratiti daljnje reforme koje se odnose na transparentnost, nadzor i proširenje zaštitnih mjera na osobe koje nisu državljani SAD-a.
S obzirom na važnost prekograničnog protoka podataka za transatlantsku trgovinu, EU će pažljivo pratiti daljnji zakonodavni napredak na strani SAD-a u području privatnosti. Sad kad se Europa opremila jedinstvenim, dosljednim i čvrstim skupom pravila, nadamo se da će SAD nastaviti ulagati napore u sveobuhvatan sustav zaštite privatnosti i podataka. Takvim sveobuhvatnim pristupom mogla bi se dugoročno ostvariti konvergencija dvaju sustava. U tu će svrhu Komisija održati godišnji sastanak na vrhu o privatnosti sa zainteresiranim NVO-ima i drugim zainteresiranim dionicima s obje strane Atlantskog oceana.
Partnerstvo EU-a i SAD-a može biti pokretač razvoja i promicanja međunarodnih pravnih standarda za zaštitu privatnosti i osobnih podataka. U tom području važnu ulogu mogu imati i inicijative na razini UN-a, uključujući rad posebnog izvjestitelja o pravu na privatnost. Sljedećih godina, s obzirom na sve veću centraliziranost tih pitanja na globalnoj razini, EU i SAD trebali bi iskoristiti tu priliku za promicanje zajedničkih vrijednosti sloboda i prava pojedinaca u globaliziranom digitalnom svijetu.
Komunikacija Komisije Europskom parlamentu i Vijeću: Ponovna uspostava povjerenja u protoku podataka između EU-a i SAD-a, COM(2013) 846 završna verzija, 27.11.2013. (dalje u tekstu: „Komunikacija iz 2013.” ili „Komunikacija”), dostupna na: http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf .
Prijedlog Direktive Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija te slobodnom kretanju takvih podataka, COM(2012) 10 završna verzija, 25.1.2012. i Prijedlog Uredbe Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka), COM(2012) 11 završna verzija, 25.1.2012, dostupno na: http://ec.europa.eu/justice/data-protection/reform/index_en.htm
Komunikacija Komisije Europskom parlamentu i Vijeću o funkcioniranju „sigurne luke” iz perspektive građana EU-a i poduzeća s poslovnim nastanom u Europskoj uniji, COM(2013) 847 završna verzija 27.11.2013., str. 18. – 19. (dalje u tekstu: „Komunikacija o sigurnoj luci”), dostupna na: http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf .
Novi početak za Europu: moj program za zapošljavanje, rast, pravednost i demokratske promjene – Političke smjernice za sljedeću Europsku komisiju
Presuda od 6. listopada 2015. u predmetu C-362/14, Maximilian Schrems protiv Povjerenika za zaštitu podataka, EU:C:2015:650.
Vidjeti Komunikaciju Komisije Europskom parlamentu i Vijeću o prijenosu osobnih podataka iz EU-a u Sjedinjene Američke Države u skladu s Direktivom 95/46/EZ nakon presude Suda u predmetu C-362/14 (Schrems), COM(2015) 566 završna verzija, 6.11.2015. Vidjeti isto Izjavu Radne skupine prema članku 29. o posljedicama presude u predmetu Schrems od 3. veljače 2016. dostupnu na: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf
Vidjeti http://europa.eu/rapid/press-release_IP-16-216_en.htm?locale=en
https://www.whitehouse.gov/the-press-office/2014/01/17/remarks-president-review-signals-intelligence
Zakon SAD-a o slobodi iz 2015., pub. L., br. 114-23, § 401, 129 Stat. 268.
H.R.1428 - Zakon o pravnoj zaštiti iz 2015. On će stupiti na snagu 90 dana nakon donošenja.
COM(2012) 11 završna verzija, 25.1.2012. vidjeti bilješku 2.
COM(2012) 10 završna verzija, 25.1.2012. vidjeti bilješku 2.
Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka, SL L 281, 23.11.1995., str. 31. („Direktiva o zaštiti podataka”).
Za razliku od Okvirne Direktive Vijeća 2008/977/PUP od 27. studenoga 2008. o zaštiti osobnih podataka obrađenih u okviru policijske i pravosudne suradnje u kaznenim stvarima, kojom je obuhvaćena samo prekogranična razmjena podataka između nadležnih tijela država članica, primjena takvih pravila u okviru Direktive o policiji više neće ovisiti o tome jesu li se ti podaci prethodno razmjenjivali među tijelima država članica nadležnima za kazneni progon.
Vidjeti Komunikaciju Komisije Europskom parlamentu, Vijeću, Europskom gospodarskom i socijalnom odboru i Odboru regija, Europski program sigurnosti, COM(2015) 185 završna verzija, 28.4.2015.
Odluka Komisije 2000/520/EC od 20. srpnja 2000. Na temelju članka 25. stavka 6. Direktive o zaštiti podataka, Komisija je tom odlukom potvrdila da se načelima privatnosti „sigurne luke” i pratećim često postavljanim pitanjima koja je izdalo američko Ministarstvo trgovine osigurava dovoljna zaštita u svrhe prijenosa osobnih podataka iz EU-a. Funkcioniranje sporazuma o „sigurnoj luci” oslanjalo se na preuzimanje obveza i samostalno certificiranje uključenih trgovačkih društava. U skladu sa zakonodavstvom SAD-a, pravila su za te subjekte bila obvezujuća i izvršavala ih je američka Savezna trgovinska komisija.
Vidjeti bilješku 3.
Ti elementi uključivali su eksponencijalno povećanje protoka podataka i njihovu ključnu važnost za transatlantsko gospodarstvo te brzi rast broja trgovačkih društava u SAD-u koja postupaju u skladu sa sustavom „sigurne luke”. Vidjeti Komunikaciju o sigurnoj luci, str. 37.
Komunikacija o „sigurnoj luci”, str. 18. – 19.
Glavna internetska poduzeća SAD-a već sastavljaju takva izvješća kako bi ponovno pridobila povjerenje svojih potrošača. U američkom Zakonu o slobodi iz 2015. dopuštena je objava dobrovoljnih izvješća o zahtjevima za pristup, barem unutar određenih granica radi zaštite interesa nacionalne sigurnosti.
Takvo izvješćivanje provodilo bi se u skladu s odredbama američkog Zakona o slobodi iz 2015. Vidjeti bilješku 22.
Posebno Sporazum EU-a i SAD-a o podacima o imenima putnika (PNR) i Program EU-a i SAD-a za praćenje financiranja terorizma (TFTP).
Sporazum između EU-a i SAD-a o zaštiti osobnih podataka proslijeđenih i obrađenih u svrhu sprečavanja, istrage, otkrivanja i progona kaznenih djela, uključujući terorizam, u okviru policijske i pravosudne suradnje u kaznenim stvarima.
http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm
Zakonom o pravnoj zaštiti građanima „obuhvaćenih zemalja” jamče se prava koja je odredila vlada SAD-a. To ovisi o sljedećim kriterijima: (a) zemlja [ili regionalna organizacija] sklopila je sporazum sa Sjedinjenim Državama o zaštiti privatnosti podataka koji se razmjenjuju u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela: (b) zemlja ili [regionalna organizacija] dopušta prijenos osobnih podataka u komercijalne svrhe između sebe i Sjedinjenih Američkih Država i (c) politike o prijenosu osobnih podataka u komercijalne svrhe i povezane mjere zemlje ili regionalne organizacije ne ugrožavaju znatno interese nacionalne sigurnosti Sjedinjenih Američkih Država.
Prema Zakonu o pravnoj zaštiti, druge zemlje izvan EU-a ili „organizacije za regionalnu gospodarsku integraciju” mogu se jednako imenovati „obuhvaćenim zemljama” na temelju čega će njihovi građani imati korist od pravne zaštite.
Zakon o pravnoj zaštiti stupa na snagu 90 dana nakon donošenja.
Odluka Vijeća 2009/820/ZVSP od 23. listopada 2009. o sklapanju, u ime Europske unije, Sporazuma o izručenju između Europske unije i Sjedinjenih Američkih Država te Sporazuma o uzajamnoj pravnoj pomoći između Europske unije i Sjedinjenih Američkih Država, SL L 291, 7.11.2009., str. 40. – 41.