EUROPOS KOMISIJA
Briuselis, 2018 12 19
COM(2018) 860 final
KOMISIJOS ATASKAITA EUROPOS PARLAMENTUI IR TARYBAI
dėl antrosios metinės ES ir JAV privatumo skydo veikimo peržiūros
{SWD(2018) 497 final}
EUROPOS KOMISIJA
Briuselis, 2018 12 19
COM(2018) 860 final
KOMISIJOS ATASKAITA EUROPOS PARLAMENTUI IR TARYBAI
dėl antrosios metinės ES ir JAV privatumo skydo veikimo peržiūros
{SWD(2018) 497 final}
1.ANTROJI METINĖ PERŽIŪRA. JOS TIKSLAS, RENGIMAS IR PROCESAS
2016 m. liepos 12 d. Komisija priėmė sprendimą (toliau – sprendimas dėl tinkamumo), kuriame nustatė, kad ES ir JAV privatumo skydas (toliau – privatumo skydas) užtikrina tinkamą asmens duomenų, kurie iš ES perduoti JAV organizacijoms, apsaugos lygį 1 . Sprendime dėl tinkamumo visų pirma pateikiamas metinis visų Komisijos sistemos aspektų veikimo vertinimas. Pirmoji metinė peržiūra atlikta 2017 m. rugsėjo 18–19 d. Vašingtone, o 2017 m. spalio 18 d. Komisija priėmė ataskaitą Europos Parlamentui ir Tarybai 2 , prie kurios pridedamas Komisijos tarnybų darbinis dokumentas (SWD(2017) 344 final) 3 .
Remdamasi per pirmąją peržiūrą nustatytais faktais Komisija padarė išvadą, kad JAV toliau užtikrino tinkamą asmens duomenų, perduotų pagal privatumo skydo sistemą iš Sąjungos JAV organizacijoms, apsaugos lygį. Komisija taip pat manė, kad praktinį privatumo skydo sistemos įgyvendinimą galima toliau tobulinti, kad atitinkamos garantijos bei apsaugos priemonės toliau veiktų, kaip numatyta. Šiuo tikslu Komisija pateikė dešimt rekomendacijų.
Šia ataskaita užbaigiama antroji metinė privatumo skydo veikimo peržiūra. Ši ataskaita ir prie jos pridedamas Komisijos tarnybų darbinis dokumentas (SWD(2018) 497) yra tokios pačios struktūros, kaip pirmosios metinės peržiūros ataskaita. Juose aptariami visi privatumo skydo veikimo aspektai, taip pat atsižvelgiama į praėjusiais metais įvykusius pokyčius. Komisija pirmiausia vertino, kaip įgyvendintos pirmosios metinės peržiūros rekomendacijos.
Rengdamasi atlikti antrąją metinę peržiūrą Komisija surinko informaciją iš atitinkamų suinteresuotųjų subjektų (visų pirma, pagal privatumo skydo sistemą sertifikuotų įmonių per jų atitinkamas prekybos asociacijas ir nevyriausybines organizacijas (NVO), veikiančias pagrindinių teisių, visų pirma skaitmeninių teisių ir privatumo, srityje), taip pat iš atitinkamų JAV valdžios institucijų, dalyvaujančių įgyvendinant šią sistemą.
Antrosios metinės peržiūros posėdis įvyko Briuselyje 2018 m. spalio 18–19 d. Jį pradėjo už teisingumą, vartotojų reikalus ir lyčių lygybę atsakinga Komisijos narė Věra Jourová, JAV prekybos sekretorius Wilburas Rossas, Federalinės prekybos komisijos pirmininkas Josephas Simonsas ir Europos duomenų apsaugos valdybos pirmininkė Andrea Jelinek. ES pusėje peržiūrą atliko Europos Komisijos Teisingumo ir vartotojų reikalų generalinio direktorato atstovai. ES delegacijai taip pat priklausė septyni atstovai, kuriuos paskyrė Europos duomenų apsaugos valdyba (nepriklausoma įstaiga, suburianti ES valstybių narių nacionalinių duomenų apsaugos institucijų ir Europos duomenų apsaugos priežiūros pareigūno atstovus).
JAV pusėje peržiūroje dalyvavo Prekybos departamento, Valstybės departamento, Federalinės prekybos komisijos, Transporto direktorato, Nacionalinės žvalgybos direktoriaus biuro ir Teisingumo departamento atstovai, Privatumo ir pilietinių laisvių priežiūros valdybos nariai, taip pat laikinai einantis pareigas ombudsmenas ir Žvalgybos bendruomenės generalinis inspektorius. Be to, per atitinkamas peržiūros sesijas informaciją pateikė pagal privatumo skydo sistemą ginčų sprendimo paslaugas teikiančios nepriklausomos organizacijos atstovai ir Amerikos arbitražo asociacijos atstovai. Galiausiai, vykdant peržiūrą, pagal privatumo skydo sistemą sertifikuotų organizacijų atstovai pristatė pranešimus apie tai, kaip įmonės laikosi sistemos reikalavimų.
Komisijos išvados taip pat buvo pagrįstos Komisijos užsakymu atliktu tyrimu ir viešai prieinama medžiaga, pavyzdžiui, teismo sprendimais, atitinkamų JAV valdžios institucijų įgyvendinimo taisyklėmis ir procedūromis, nevyriausybinių organizacijų ataskaitomis ir tyrimais, pagal privatumo skydo sistemą sertifikuotų įmonių parengtomis skaidrumo ataskaitomis, nepriklausomų teisių gynimo įstaigų metinėmis ataskaitomis ir žiniasklaidos pranešimais.
Šiemet peržiūra atlikta atsižvelgiant į duomenų privatumo problemas, kurios tampa vis labiau pasaulinės, kaip matyti iš „Facebook“ ir „Cambridge Analytica“ bylos. Tiek ES, tiek JAV žino, kad asmens duomenų apsaugos srityje jos susiduria su panašiomis problemomis. Atliekant peržiūrą abi šalys pabrėžė poreikį kovoti su tokiu piktnaudžiavimu asmens duomenimis, be kita ko, tokiomis priemonėmis, kaip ES duomenų apsaugos institucijos ir JAV Federalinės prekybos komisijos ryžtingi vykdymo užtikrinimo veiksmai.
Komisijos ataskaitoje taip pat atsižvelgiama į tebevykstančias diskusijas dėl JAV federalinių privatumo teisės aktų. Ilgalaikis šių dviejų sistemų suartėjimas taip pat sustiprintų pagrindą, kuriuo remiantis sukurta privatumo skydo sistema.
2.NUSTATYTI FAKTAI IR IŠVADOS
Antroji metinė peržiūra apėmė ir privatumo skydo komercinius aspektus, ir klausimus, susijusius su valdžios prieiga prie asmens duomenų.
Dėl komercinių aspektų, t. y. klausimų, susijusių su sertifikuotų įmonių įpareigojimų administravimu, priežiūra ir vykdymo užtikrinimu, Komisija pažymėjo, kad atsižvelgdamas į Komisijos rekomendacijas, pateiktas per pirmąją metinę peržiūrą, Prekybos departamentas toliau stiprino sertifikavimo procesą ir pradėjo taikyti naujas priežiūros procedūras. Visų pirma, Prekybos departamentas patvirtino naują procesą, pagal kurį pirmą kartą prašymą teikiantys asmenys neturėtų viešinti savo dalyvavimo privatumo skydo sistemoje, kol Prekybos departamentas nebaigs jų sertifikavimo peržiūros. Be to, Prekybos departamentas įdiegė naujas galimų atitikties problemų nustatymo priemones, pavyzdžiui, atsitiktinius patikrinimus vietoje (atliekant metinę peržiūrą tokie patikrinimai vietoje atlikti maždaug dėl 100 organizacijų) ir privatumo skydo sistemos dalyvių privatumo praktikos viešųjų ataskaitų stebėseną. Siekdamas nustatyti klaidingus teiginius apie dalyvavimą sistemoje Prekybos departamentas šiuo metu aktyviai naudoja įvairias priemones, pavyzdžiui, kas ketvirtį peržiūri įmones, kurios, kaip nustatyta, yra labiau linkusios pateikti klaidingus teiginius, ir taiko vaizdų ir teksto paieškos internete sistemą. Pradėjus taikyti šią naują praktiką ir procedūras, Prekybos departamentas nuo pirmosios metinės peržiūros Federalinei prekybos komisijai perdavė daugiau kaip 50 bylų, o ši savo ruožtu ėmėsi vykdymo užtikrinimo veiksmų tais atvejais, kai bylos perdavimo nepakako siekiant užtikrinti, kad atitinkama įmonė laikytųsi reikalavimų.
Dėl vykdymo užtikrinimo Komisija atkreipė dėmesį į tai, kad Federalinė prekybos komisija, aktyviai stebėdama, kaip laikomasi privatumo skydo principų, neseniai paskelbė administracinius teismo šaukimus, kad įvairių privatumo skydo sistemos dalyvių paprašytų pateikti informacijos. Federalinė prekybos komisija taip pat patvirtino, kad tebevykdo tyrimą „Facebook“ ir „Cambridge Analytica“ byloje. Komisija mano, kad naujas aktyvesnis Federalinės prekybos komisijos atitikties stebėsenos metodas svarbus pokytis, tačiau apgailestauja, kad šiame etape nebuvo įmanoma pateikti papildomos informacijos apie neseniai jos atliktus tyrimus ir Komisija atidžiai stebės tolesnius pokyčius šioje srityje.
Antrojoje metinėje peržiūroje taip pat atsižvelgta į svarbius JAV teisinės sistemos pokyčius privatumo srityje. Tai visų pirma susiję su Prekybos departamento pradėtomis konsultacijomis dėl federalinio požiūrio į duomenų privatumą, taip pat Federalinės prekybos komisijos svarstymais dėl jos dabartinių įgaliojimų privatumo srityje ir naudojimosi dabartiniais taisomųjų veiksmų įgaliojimais veiksmingumo.
Kaip matyti iš „Facebook“ ir „Cambridge Analytica“ bylos ir kitų paaiškėjusių faktų, svarbu, kad ES ir JAV dar labiau suderintų savo atsaką. Atsižvelgdama į tai Komisija su dideliu susidomėjimu stebėjo minėtas iniciatyvas ir prisidėjo prie Prekybos departamento konsultacijų pateikdama rašytinį pareiškimą 4 .
Kalbant apie aspektus, susijusius su JAV valdžios institucijų prieiga prie asmens duomenų ir jų naudojimu, antroje metinėje peržiūroje daugiausia dėmesio skirta atitinkamiems JAV teisinės sistemos pokyčiams, be kita ko, susijusiems su atitinkamų agentūrų politika ir procedūromis, naujausiomis stebėjimo veiklos tendencijomis ir svarbių priežiūros ir žalos atlyginimo mechanizmų struktūra ir veikimu.
Svarbiausias su valdžios prieiga susijęs teisinis pokytis – Užsienio žvalgybos informacijos sekimo akto (toliau – Aktas) 702 skirsnio galiojimo atnaujinimas 2018 m. pradžioje. Nors atnaujinus galiojimą į Aktą nebuvo įtrauktos 28-ojoje Prezidento politikos direktyvoje nustatytos apsaugos priemonės, kaip siūlė Komisija, taip pat nenustatyta jokių apribojimų dėl Akte išdėstytų apsaugos priemonių, kurios galiojo priimant sprendimą dėl privatumo skydo. Be to, šiais pakeitimais neišplėsti JAV žvalgybos bendruomenės įgaliojimai gauti užsienio žvalgybos informaciją iš ne JAV piliečių pagal 702 skirsnį. Vietoj to, 2017 m. Akte dėl pakeitimų galiojimo atnaujinimo, kuriuo iš dalies keičiamas 1978 m. Užsienio žvalgybos informacijos sekimo aktas, nustatyta papildomų privatumo apsaugos priemonių, pavyzdžiui, skaidrumo srityje.
Taip pat padaryta svarbių pokyčių, susijusių su Privatumo ir pilietinių laisvių priežiūros valdyba, kuri per pirmąją metinę peržiūrą turėjo tik vieną valdybos narį. Todėl Komisija rekomendavo skubiai paskirti trūkstamus valdybos narius. 2018 m. spalio 11 d. JAV Senatas patvirtino Privatumo ir pilietinių laisvių priežiūros valdybos pirmininko ir kitų dviejų valdybos narių kandidatūras, taigi valdyba vėl yra visos sudėties ir gali vykdyti visas savo funkcijas. Po pirmosios metinės peržiūros Komisija taip pat rekomendavo viešai paskelbti valdybos ataskaitą dėl 28-osios Prezidento politikos direktyvos. Ataskaita paskelbta 2018 m. spalio 16 d. 5 ir joje patvirtinta, kad 28-oji Prezidento politikos direktyva visapusiškai taikoma žvalgybos bendruomenėje. Visų pirma, joje patvirtinta, kad remdamiesi priimta 28-ąja Prezidento politikos direktyva, atitinkami žvalgybos bendruomenės nariai priėmė išsamias tos direktyvos įgyvendinimo taisykles ir pakeitė savo praktiką, kad ji atitiktų 28-osios Prezidento politikos direktyvos reikalavimus.
Galiausiai, nors Komisija rekomendavo greitai paskirti privatumo skydo ombudsmeną, kai buvo rengiama ši ataskaita, į Valstybės departamento, kuriam paskirta ombudsmeno tarnyba, sekretoriaus pavaduotojo postą nuolatinis pareigūnas dar nebuvo paskirtas. Taigi Komisija atkreipė dėmesį į tai, kad per antrąją metinę peržiūrą JAV vyriausybė pripažino, kad būtina greičiau paskirti nuolatinį sekretoriaus pavaduotoją, ir patvirtino, kad šis procesas yra gerokai pažengęs į priekį.
Tuo metu, kai buvo rengiama ši ataskaita, ombudsmenas dar nebuvo gavęs jokių prašymų. Tačiau ombudsmenui pateiktas skundas dėl Kroatijos duomenų apsaugos institucijos ir buvo atliekami atitinkami patikrinimai.
Išsamūs visų privatumo skydo sistemos aspektų veikimo rezultatai praėjus antriesiems jos taikymo metams išdėstyti Komisijos tarnybų darbiniame dokumente dėl antrosios metinės ES ir JAV privatumo skydo veikimo peržiūros (SWD(2018) 497), pateikiamame kartu su šia ataskaita.
Remiantis per antrąją metinę peržiūrą surinkta informacija galima patvirtinti Komisijos sprendime dėl tinkamumo nustatytus faktus tiek dėl sistemos komercinių aspektų, tiek dėl aspektų, susijusių su JAV valdžios institucijų prieiga prie asmens duomenų, perduotų pagal privatumo skydo sistemą.
Remdamasi šiais nustatytais faktais, Komisija daro išvadą, kad Jungtinės Valstijos ir toliau užtikrina tinkamą pagal privatumo skydo sistemą iš Sąjungos organizacijoms Jungtinėse Valstijose perduotų asmens duomenų apsaugą.
Visų pirma, veiksmais, kurių imtasi siekiant įgyvendinti Komisijos rekomendacijas po pirmosios metinės peržiūros, pagerinti kai kurie sistemos praktinio veikimo aspektai siekiant užtikrinti, kad nebūtų sumažintas sprendimu dėl tinkamumo garantuotas fizinių asmenų apsaugos lygis.
Tačiau kai kurių iš šių veiksmų buvo imtasi tik visai neseniai, o atitinkami procesai tebevyksta. Todėl būtina atidžiai stebėti bet kokius tolesnius su šiais procesais susijusius pokyčius, visų pirma dėl to, kad jie daro poveikį elementas, kurie yra būtini išvados dėl tinkamumo tęstinumui užtikrinti. Visų pirma, tai susiję su:
1.Prekybos departamento antraisiais sistemos veikimo metais įdiegtų mechanizmų, kuriais siekiama aktyviai stebėti, kaip sertifikuotos įmonės laikosi privatumo skydo principų, visų pirma, esminių reikalavimų ir prievolių, veiksmingumu;
2.Prekybos departamento nuo pirmosios metinės peržiūros įdiegtų priemonių, kuriomis siekiama nustatyti klaidingus pareiškimus apie dalyvavimą sistemoje, veiksmingumu, ypač daug dėmesio skiriant įmonių, kurios niekada nepateikė prašymo būti sertifikuotos, klaidingų prašymų paieškai;
3.Federalinės prekybos komisijos antraisiais privatumo skydo veikimo metais pasitelkiant administracinius teismo šaukimus atliktų ex officio patikrinimų, siekiant nustatyti esminius privatumo skydo pažeidimus, pažanga ir rezultatais;
4.Prekybos departamento, Federalinė prekybos komisijos ir ES duomenų apsaugos institucijos kartu parengtomis papildomomis gairėmis dėl elementų, kuriuos reikia išsamiau paaiškinti (pvz., žmogiškųjų išteklių duomenų);
5.nuolatinio privatumo skydo ombudsmeno paskyrimu;
6.ombudsmenui pateiktų skundų nagrinėjimo ir sprendimo veiksmingumu.
Visų pirma, Komisija dar kartą ragina JAV administraciją patvirtinti savo politinį įsipareigojimą dėl ombudsmeno mechanizmo – skubiai paskirti nuolatinį privatumo skydo ombudsmeną. Ombudsmeno mechanizmas – svarbi privatumo skydo sistemos dalis, ir, nors laikinai einantis pareigas ombudsmenas toliau vykdo atitinkamas funkcijas, netenkina tai, kad nėra paskirtas nuolatinis ombudsmenas, ir tokia padėtis turėtų būti kuo greičiau ištaisyta. Komisija tikisi, kad JAV vyriausybė iki 2019 m. vasario 28 d. ras kandidatą į nuolatinį ombudsmeno postą ir informuos Komisiją apie paskirtą asmenį. Jei iki tos datos tai nebus padaryta, Komisija svarstys galimybę imtis atitinkamų priemonių pagal Bendrąjį duomenų apsaugos reglamentą 6 . Komisija taip pat tikisi gauti tikslią ir išsamią informaciją apie visus pirmiau minėtus aspektus, kad galėtų įvertinti, ar priemonės, kurių imtasi, yra praktiškai veiksmingos.
Be to, Komisija toliau atidžiai stebės vykstančias diskusijas dėl JAV federalinių privatumo teisės aktų. Atsižvelgdama į transatlantinių duomenų srautų svarbą Komisija ragina JAV patvirtinti išsamią privatumo ir duomenų apsaugos sistemą ir tapti Europos Tarybos konvencijos Nr. 108 šalimi. Laikantis tokio visapusiško požiūrio galima ilgainiui suartinti šias dvi sistemas, o tai taip pat sustiprintų pagrindą, kuriuo remiantis sukurta privatumo skydo sistema.
2016 m. liepos 12 d. Komisijos įgyvendinimo sprendimas (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (OL L 2017, 2016 8 1, p. 1).
Komisijos ataskaita Europos Parlamentui ir Tarybai dėl pirmosios metinės ES ir JAV privatumo skydo veikimo peržiūros (COM(2017) 611 final), žr.
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
Komisijos tarnybų darbinis dokumentas, pridedamas prie Komisijos ataskaitos Europos Parlamentui ir Tarybai dėl pirmosios metinės ES ir JAV privatumo skydo veikimo peržiūros (SWD(2017) 344 final), žr. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
Paskelbta adresu https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf
Ataskaita Prezidentui „28-osios Prezidento politikos direktyvos įgyvendinimas. Signalų žvalgybos veikla” paskelbta adresu https://www.pclob.gov/reports/report-PPD28/ .
2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas).