EUROPOS KOMISIJA
Briuselis, 2019 10 23
COM(2019) 495 final
KOMISIJOS ATASKAITA EUROPOS PARLAMENTUI IR TARYBAI
dėl trečiosios metinės ES ir JAV privatumo skydo peržiūros
{SWD(2019) 390 final}
EUROPOS KOMISIJA
Briuselis, 2019 10 23
COM(2019) 495 final
KOMISIJOS ATASKAITA EUROPOS PARLAMENTUI IR TARYBAI
dėl trečiosios metinės ES ir JAV privatumo skydo peržiūros
{SWD(2019) 390 final}
1.TREČIOJI METINĖ PERŽIŪRA. BENDROJI INFORMACIJA, RENGIMAS IR PROCESAS
2016 m. liepos 12 d. Komisija priėmė sprendimą (toliau – sprendimas dėl tinkamumo), kuriame nustatė, kad ES ir JAV privatumo skydu užtikrinamas tinkamas asmens duomenų, kurie iš ES perduoti JAV įsteigtoms organizacijoms, apsaugos lygis 1 . Sprendime dėl tinkamumo visų pirma reikalaujama, kad Komisija, siekdama įvertinti visus šios sistemos veikimo aspektus, atliktų metinę peržiūrą ir, remdamasi šia peržiūra, parengtų viešą ataskaitą ir ją pateiktų Europos Parlamentui ir Tarybai.
Pirmoji metinė peržiūra buvo atlikta 2017 m. rugsėjo mėn. Vašingtone, ir 2017 m. spalio mėn. Komisija priėmė ataskaitą Europos Parlamentui ir Tarybai 2 , prie kurios pridedamas Komisijos tarnybų darbinis dokumentas (SWD(2017) 344 final) 3 . Komisija padarė išvadą, kad Jungtinės Valstijos toliau užtikrina tinkamą iš ES į JAV pagal privatumo skydo sistemą perduotų duomenų apsaugą, tačiau pateikė dešimt rekomendacijų, kaip pagerinti praktinį šios sistemos veikimą.
Antroji metinė peržiūra buvo atlikta 2018 m. spalio mėn. Briuselyje, ir 2018 m. gruodžio mėn. Komisija priėmė ataskaitą Europos Parlamentui ir Tarybai 4 , prie kurios taip pat pridedamas Komisijos tarnybų darbinis dokumentas (SWD(2018) 487 final) 5 . Atliekant antrąją metinę peržiūrą surinkta informacija patvirtinti Komisijos sprendime dėl tinkamumo nustatyti faktai tiek dėl sistemos komercinių aspektų (t. y. aspektų, susijusių su tuo, kaip sertifikuotos įmonės laikosi privatumo skydo reikalavimų, taip pat su kompetentingų JAV valdžios institucijų atliekamu tokių reikalavimų taikymu, priežiūra ir vykdymo užtikrinimu), tiek dėl aspektų, susijusių su valdžios institucijų prieiga prie asmens duomenų, perduotų pagal privatumo skydo sistemą.
Visų pirma, veiksmais, kurių imtasi siekiant įgyvendinti Komisijos rekomendacijas, pateiktas atlikus pirmąją metinę peržiūrą, patobulinta keletas praktinio šios sistemos veikimo aspektų. Pavyzdžiui, Prekybos departamentas įdiegė naujas galimų atitikties problemų nustatymo priemones, Federalinė prekybos komisija ėmė aktyviau stebėti atitiktį reikalavimams ir užtikrinti jų vykdymą, taip pat buvo viešai paskelbta Privatumo ir pilietinių laisvių priežiūros valdybos ataskaita dėl 28-osios Prezidento politikos direktyvos 6 įgyvendinimo. Vis dėlto, kadangi kai kurių iš šių veiksmų buvo imtasi prieš pat antrąją metinę peržiūrą ir tam tikri procesai vis dar buvo vykdomi, Komisija padarė išvadą, kad reikia atidžiai stebėti tolesnius su šiais procesais ir priemonėmis susijusius pokyčius.
Be to, nors ombudsmeno funkcijas pagal privatumo skydo sistemą atliko laikinai pareigas einantis valstybės sekretorius, taigi ombudsmeno institucija veikė visapusiškai, Komisija pabrėžė, kad svarbu paskirti nuolatinį privatumo skydo ombudsmeną, ir visų pirma paragino JAV vyriausybę iki 2019 m. vasario 28 d. įvardyti kandidatą užimti šias pareigas.
Trečiosios metinės peržiūros posėdis įvyko Vašingtone 2019 m. rugsėjo 12–13 d. Jį pradėjo Teisingumo ir vartotojų reikalų generalinio direktorato generalinė direktorė Tiina Astola, JAV prekybos sekretorius Wilburas Rossas, Federalinės prekybos komisijos pirmininkas Josephas Simonsas ir Europos duomenų apsaugos valdybos pirmininko pavaduotojas Ventsislavas Karadjovas. Iš ES pusės posėdžiui vadovavo Europos Komisijos Teisingumo ir vartotojų reikalų generalinio direktorato atstovai. Šiame posėdyje taip pat dalyvavo aštuoni Europos duomenų apsaugos valdybos 7 paskirti atstovai.
Kalbant apie JAV, atliekant šią peržiūrą dalyvavo Prekybos departamento, Valstybės departamento, Federalinės prekybos komisijos, Transporto departamento, Nacionalinės žvalgybos direktoriaus biuro ir Teisingumo departamento atstovai, Privatumo ir pilietinių laisvių priežiūros valdybos nariai, taip pat naujai paskirtas (nuolatinis, žr. toliau) ombudsmenas ir Žvalgybos bendruomenės generalinis inspektorius. Be to, per atitinkamas peržiūros sesijas informaciją pateikė dviejų pagal privatumo skydo sistemą nepriklausomas ginčų sprendimo paslaugas teikiančių organizacijų ir Amerikos arbitražo asociacijos, kuri prižiūri Privatumo skydo arbitražo komisijos veiklą, atstovai. Galiausiai atliekant šią metinę peržiūrą pagal privatumo skydo sistemą sertifikuotų organizacijų atstovai pristatė pranešimus apie veiksmus, kurių įmonės imasi siekdamos laikytis šios sistemos reikalavimų.
Rengdamasi atlikti trečiąją metinę peržiūrą, Komisija surinko informaciją iš atitinkamų suinteresuotųjų subjektų (visų pirma iš pagal privatumo skydo sistemą sertifikuotų įmonių, pasitelkdama atitinkamas prekybos asociacijas ir nevyriausybines organizacijas, vykdančias veiklą pagrindinių teisių, visų pirma skaitmeninių teisių ir privatumo, srityje). Be surinktos rašytinės informacijos, Komisija 2019 m. rugsėjo 9 d. surengė susitikimą su pramonės ir verslo asociacijomis, o 2019 m. rugsėjo 11 d. – su nevyriausybinėmis organizacijomis.
Komisijos nustatyti faktai taip pat grindžiami viešai prieinama medžiaga, pavyzdžiui, teismo sprendimais, atitinkamų JAV valdžios institucijų įgyvendinimo taisyklėmis ir procedūromis, nevyriausybinių organizacijų ataskaitomis ir tyrimais, pagal privatumo skydo sistemą sertifikuotų įmonių parengtomis skaidrumo ataskaitomis, nepriklausomų teisių gynimo įstaigų metinėmis ataskaitomis ir žiniasklaidos pranešimais.
Šia ataskaita užbaigiama trečioji metinė privatumo skydo veikimo peržiūra. Ši ataskaita, taip pat prie jos pridedamas Komisijos tarnybų darbinis dokumentas (SWD(2019) 390 final), yra tokios pat struktūros kaip ir ankstesnių dviejų peržiūrų ataskaitos. Joje nagrinėjami visi privatumo skydo veikimo aspektai, itin daug dėmesio skiriant tiems Komisijos antrosios metinės peržiūros metu nustatytiems aspektams, kuriuos reikia atidžiai stebėti.
Atlikdama vertinimą, Komisija taip pat atsižvelgė į kitus praėjusiais metais įvykusius pokyčius, įskaitant Europos Sąjungos Teisingumo Teisme nagrinėjamą teisinį ginčą, susijusį su privatumo skydu 8 . Todėl ši peržiūra buvo puiki proga Komisijai išgirsti JAV valdžios institucijų paaiškinimus dėl tam tikrų JAV teisinės sistemos, kuria reglamentuojamas užsienio žvalgybos informacijos rinkimas, aspektų, iškeltų nagrinėjant vadinamąją Schrems II bylą. Nepaisant to, kai Teismas priims sprendimus dėl nagrinėjamų bylų, Komisijai gali tekti iš naujo įvertinti padėtį.
2.NUSTATYTI FAKTAI
Trečiaisiais privatumo skydo sistemos veikimo metais pereita nuo pradinio etapo prie labiau į veiklą orientuoto etapo. Tuo metu, kai vyko metinės peržiūros posėdis, šioje sistemoje dalyvavo daugiau kaip 5 000 įmonių. Atliekant trečiąją metinę peržiūrą, kuri apėmė ir komercinius aspektus, ir klausimus, susijusius su valdžios institucijų prieiga prie asmens duomenų, daugiausia dėmesio skirta patirčiai, įgytai praktiškai taikant šią sistemą.
Nustatyti faktai, susiję su privatumo skydo sistemos veikimu pasibaigus tretiesiems jos veikimo metams, pateikiami Komisijos tarnybų darbiniame dokumente dėl trečiosios metinės ES ir JAV privatumo skydo veikimo peržiūros (SWD(2019) 390 final), kuris pridedamas prie šios ataskaitos.
2.1.Komerciniai aspektai
Atsižvelgiant į faktus, nustatytus per praėjusių metų metinę peržiūrą, Komisijos atliktame komercinių aspektų vertinime daugiausia dėmesio skiriama Prekybos departamento pažangai, padarytai tokiose srityse kaip: i) pakartotinio sertifikavimo procesas; ii) Prekybos departamento įdiegtų priemonių, kuriomis siekiama aktyviai stebėti, kaip sertifikuotos įmonės laikosi reikalavimų (vadinamųjų patikrinimų vietoje), veiksmingumas; iii) įdiegtos priemonės, kuriomis siekiama nustatyti klaidingus pareiškimus; iv) Federalinės prekybos komisijos vykdymo užtikrinimo veiksmų, susijusių su privatumo skydo pažeidimais, rezultatai ir pažanga šioje srityje; v) pokyčiai, susiję su žmogiškųjų išteklių duomenų gairėmis.
Kalbant apie pakartotinio sertifikavimo procesą, atlikus trečiąją metinę peržiūrą paaiškėjo, kad paprastai baigiantis (pakartotinio) sertifikavimo laikotarpiui, jei įmonė dar nėra užbaigusi pakartotinio sertifikavimo proceso, Prekybos departamentas, laikydamasis vidaus procedūros, tai įmonei suteikia gana ilgą lengvatinį laikotarpį. Šį laikotarpį, kuris trunka maždaug 3,5 mėnesio arba – kai kuriais atvejais ir atsižvelgiant į tai, kada Prekybos departamentas nustato, kad pakartotinio sertifikavimo procesas nebaigtas, – net ilgiau, įmonė tebebūna įtraukta į vadinamąjį aktyvų privatumo skydo sąrašą. Tol, kol įmonė yra įtraukta kaip dalyvaujanti privatumo skydo sistemoje, pagal šią sistemą taikomi įpareigojimai tebėra privalomi ir visapusiškai vykdytini. Vis dėlto dėl tokio ilgo laikotarpio, per kurį pasibaigia įmonės pakartotinio sertifikavimo terminas, tačiau ji tebėra įtraukta į aktyvių privatumo skydo sistemos dalyvių sąrašą, tiek ES įmonėms, tiek piliečiams mažėja privatumo skydo sąrašo skaidrumas ir aiškumas. Be to, taip dalyvaujančios įmonės neskatinamos griežtai laikytis metinio pakartotinio sertifikavimo reikalavimo.
Kalbant apie aktyvius patikrinimus, kaip įmonės laikosi privatumo skydo reikalavimų, 2019 m. balandžio mėn. Prekybos departamentas įdiegė sistemą, pagal kurią kiekvieną mėnesį patikrina 30 įmonių. Komisija palankiai vertina tai, kad Prekybos departamentas reguliariai ir sistemingai atlieka aktyvius atitikties patikrinimus vietoje, nes tai yra labai svarbu siekiant didinti bendrą atitiktį sistemos reikalavimams ir nustatyti atvejus, kai Federalinė prekybos komisija turi imtis vykdymo užtikrinimo veiksmų. Vis dėlto ji pažymi, kad atliekant šiuos patikrinimus vietoje paprastai apsiribojama tik formaliais reikalavimais, pavyzdžiui, susijusiais su atvejais, kai paskirti informacijos centrai nepateikia atsakymo, arba internetu neprieinama įmonės privatumo politika. Nors šie patikrinimai iš tikrųjų yra svarbūs atitikties privatumo skydo reikalavimams aspektai, juos atliekant taip pat turėtų būti tikrinami esminiai įsipareigojimai, pavyzdžiui, ar laikomasi atsakomybės už tolesnį duomenų perdavimą principo, visapusiškai naudojantis priemonėmis, kuriomis Prekybos departamentas gali remtis pagal šią sistemą. Privatumo skydo sistemoje gerokai sugriežtinti tolesnio duomenų perdavimo reikalavimai, nes jei tokiais atvejais trūktų apsaugos priemonių, sumažėtų šia sistema užtikrinamos apsaugos lygis. Kadangi patikrinimai vietoje ir toliau turėtų būti atliekami reguliariai ir sistemingai, laikytis šių svarbesnių reikalavimų taip pat labai svarbu norint užtikrinti privatumo skydo sistemos tęstinumą; JAV valdžios institucijos turėtų atidžiai stebėti, kaip laikomasi šių reikalavimų, ir užtikrinti jų vykdymą.
Dėl Prekybos departamento vykdomos klaidingų pareiškimų dėl dalyvavimo privatumo skydo sistemoje paieškos Komisija pažymėjo, kad Prekybos departamentas ir toliau kas ketvirtį vykdė tokias paieškas, todėl buvo nustatyta daug klaidingų pareiškimų atvejų; kai kuriais atvejais tokie klaidingi pareiškimai taip pat buvo perduoti Federalinei prekybos komisijai. Vis dėlto iki šiol vykdant šias paieškas buvo siekiama patikrinti tik tas įmones, kurios tam tikru būdu jau buvo sertifikuotos arba pateikė prašymą būti sertifikuotos pagal privatumo skydo sistemą (tačiau, pavyzdžiui, nebuvo pakartotinai sertifikuotos). Svarbu tai, kad į šias paieškas taip pat būtų įtraukiamos įmonės, kurios niekada nepateikė prašymo būti sertifikuotos pagal privatumo skydo sistemą. Iš visų rūšių klaidingų pareiškimų didžiausią žalą gali daryti įmonių, kurios niekada nepateikė prašymo būti sertifikuotos, klaidingi pareiškimai. Tai pasakytina apie asmenų privatumą, nes įmonės, kurios niekada nepateikė prašymo būti sertifikuotos, savo verslo praktikoje netaiko jokių privatumo skydu užtikrinamos apsaugos priemonių. Tai taip pat pasakytina apie įmones, nes jei sistemos reikalavimų nesilaikančios organizacijos gali reikalauti sertifikavimo teikiamos naudos, įmonėms nesudaromos vienodos sąlygos.
Komisija palankiai įvertino tai, kad vis daugiau ES duomenų subjektų naudojasi jiems pagal privatumo skydo sistemą suteiktomis teisėmis ir kad tinkamai veikia atitinkami teisių gynimo mechanizmai. Padaugėjo skundų, pateiktų nepriklausomoms teisių gynimo įstaigoms, ir jie buvo išspręsti atitinkamų ES piliečių naudai. Be to, dalyvaujančios įmonės tinkamai nagrinėjo ES piliečių pateiktus prašymus.
Dėl vykdymo užtikrinimo Komisija pažymėjo, kad nuo praėjusių metų Federalinė prekybos komisija užbaigė septynis vykdymo užtikrinimo veiksmus, susijusius su privatumo skydo pažeidimais, kurių imtasi, be kita ko, atlikus paskelbtus ex officio patikrinimus. Visi septyni atvejai buvo susiję su klaidingais pareiškimais dėl dalyvavimo sistemoje. Du iš šių atvejų taip pat buvo susiję su svarbesnių privatumo skydo reikalavimų pažeidimu, pavyzdžiui, nebuvo atliktas vidaus vertinimas arba išorės atitikties peržiūra ir nepatikrinta, ar įmonės pateikti patikinimai dėl jos privatumo skydo praktikos yra teisingi ir ar tokia praktika įgyvendinama. Komisija palankai vertina vykdymo užtikrinimo veiksmus, kurių Federalinė prekybos komisija ėmėsi trečiaisiais privatumo skydo veikimo metais. Be to, atsižvelgdama į šios agentūros praėjusių metų pranešimą ir per antrąją metinę peržiūrą pateiktas garantijas, Komisija tikėjosi, kad dėl esminių privatumo skydo principų pažeidimų bus ryžtingiau imamasi vykdymo užtikrinimo veiksmų.
Šioje srityje Komisija atkreipė dėmesį į atliekant trečiąją metinę peržiūrą pateiktą paaiškinimą, kad kai kuriems vykdomiems tyrimams atlikti reikia daugiau laiko, nes Federalinė prekybos komisija nagrinėja visus galimus pažeidimus. Vis dėlto Federalinė prekybos komisija pateikė pernelyg mažai informacijos, kad būtų galima tinkamai įvertinti vykdymo užtikrinimo srityje padarytą pažangą. Nors galimybės susipažinti su tokia informacija gali būti ribojamos dėl teisėtų su konfidencialumu susijusių priežasčių, tai, kad Federalinė prekybos komisija, net ir apibendrinta ir anonimine forma, negali pateikti daugiau informacijos apie atliekamus ex officio patikrinimus, neatrodo pagrįsta. Toks požiūris neatitinka valdžios institucijų tarpusavio bendradarbiavimo principo, kuriuo grindžiama privatumo skydo sistema, todėl Federalinė prekybos komisija turėtų surasti būdų, kaip Komisijai ir ES duomenų apsaugos institucijoms, kurios yra bendrai atsakingos už šios sistemos veikimą, suteikti prasmingos informacijos apie vykdymo užtikrinimo veiklą.
Atliekant šią peržiūrą buvo dar kartą aptartas klausimas, kaip pagal privatumo skydo sistemą tvarkomi žmogiškųjų išteklių duomenys. Suinteresuotieji subjektai patvirtino, kad Prekybos departamento, Federalinės prekybos komisijos ir ES duomenų apsaugos institucijų parengtos bendros gairės būtų tikrai naudingos. Šioje srityje Komisija pažymi, kad neseniai buvo užmegzti atitinkami ryšiai ir, stengiantis suprasti šiuos klausimus, padaryta tam tikra pažanga, tačiau dar nepasiekta jokių konkrečių rezultatų.
2.2.JAV valdžios institucijų prieiga prie asmens duomenų ir jų naudojimas
Kalbant apie aspektus, susijusius su JAV valdžios institucijų prieiga prie asmens duomenų ir jų naudojimu, atliekant trečiąją metinę peržiūrą pirmiausia buvo siekiama patvirtinti, kad tebegalioja visi apribojimai ir apsaugos priemonės, kuriais grindžiamas sprendimas dėl tinkamumo. Be to, trečioji metinė peržiūra buvo puiki proga panagrinėti naujus pokyčius ir išsamiau pasiaiškinti tam tikrus teisinės sistemos aspektus, taip pat įvairius priežiūros mechanizmus ir teisių gynimo galimybes, ypač kiek tai sietina su ombudsmeno atliekamu skundų nagrinėjimu ir sprendimu.
Nors nebuvo jokių naujų teisinių pokyčių, susijusių su užsienio žvalgybos informacijos rinkimu pagal Užsienio žvalgybos informacijos sekimo akto 702 skirsnį, Komisija palankiai įvertino JAV valdžios institucijų pateiktus paaiškinimus dėl to, kaip žvalgybos informacija tikslingai renkama pagal žvalgybos programas, įgyvendinamas pagal Užsienio žvalgybos informacijos sekimo akto 702 skirsnį (t. y. pagal programas PRISM ir UPSTREAM). Šiais paaiškinimais patvirtinti Komisijos sprendime dėl tinkamumo nustatyti faktai, kad užsienio žvalgybos informacija pagal Užsienio žvalgybos informacijos sekimo akto 702 skirsnį visada tikslingai renkama naudojantis sekamais įrenginiais ir kad sekami įrenginiai pasirenkami vadovaujantis taikomais įstatymais, o pasirinkimo sprendimams taikoma nepriklausoma teisminė ir teisinė priežiūra.
Komisija taip pat pažymėjo, kad kai kurie įgaliojimai rinkti užsienio žvalgybos informaciją pagal Užsienio žvalgybos informacijos sekimo akto su pakeitimais, padarytais 2015 m. JAV laisvės aktu, 501 skirsnį, nustos galioti 2019 m. gruodžio 15 d. Kadangi informacijos rinkimas pagal Užsienio žvalgybos informacijos sekimo akto 501 skirsnį yra svarbus privatumo skydo sistemos aspektas ir todėl buvo vertinamas Komisijos sprendime dėl tinkamumo, svarbu, kad, jei bus atnaujinti šie įgaliojimai, ir toliau galiotų esami apribojimai ir apsaugos priemonės, pavyzdžiui, draudimas masiškai rinkti duomenis.
Dėl 28-osios Prezidento politikos direktyvos JAV valdžios institucijos aiškiai patvirtino, kad ji ir toliau visapusiškai galioja ir kad nepadaryta jokių jos pakeitimų. Taip pat nepadaryta jokių 28-osios Prezidento politikos direktyvos įgyvendinimo įvairiose žvalgybos bendruomenės agentūrose procedūrų pakeitimų. Be to, Komisija atkreipė dėmesį į JAV valdžios institucijų pateiktus paaiškinimus, kad į 28-ąją Prezidento politikos direktyvą įtrauktos nuostatos dėl masinio duomenų rinkimo, įskaitant nuostatas dėl laikino duomenų kaupimo, nėra taikomos užsienio žvalgybos informaciją renkant Jungtinėse Amerikos Valstijose (pavyzdžiui, kai informacija renkama iš sertifikuotos įmonės, kuri tvarko iš ES pagal privatumo skydo sistemą perduotus duomenis), pavyzdžiui, kai duomenys renkami pagal Užsienio žvalgybos informacijos sekimo akto 702 skirsnį įgyvendinant programas PRISM ir UPSTREAM, nes tokie duomenys visada renkami tikslingai.
Dėl Privatumo ir pilietinių laisvių priežiūros valdybos, kuri yra svarbi vyriausybės vykdomo stebėjimo priežiūros įstaiga, Komisija palankiai įvertino tai, kad, JAV Senatui neseniai patvirtinus dar du šios valdybos narius, Privatumo ir pilietinių laisvių priežiūros valdybą pirmą kartą nuo 2016 m. sudaro visi penki nariai. Komisija taip pat pažymėjo, kad nuo paskutinės metinės peržiūros šios valdybos darbuotojų skaičius padidėjo du kartus ir kad ji yra priėmusi plataus užmojo darbo programą, kurią sudaro dešimt šiuo metu įgyvendinamų priežiūros projektų; kai kurie iš jų yra labai svarbūs Komisijai atliekant periodinę privatumo skydo peržiūrą.
Kalbant apie privatumo skydo ombudsmeno instituciją, 2019 m. sausio 18 d. JAV prezidentas paskelbė, kad Keithą Krachą skiria valstybės sekretoriaus pavaduotoju, kuris taip pat eis ombudsmeno pareigas. 2019 m. birželio 20 d. K. Kracho kandidatūrą patvirtino Senatas. Komisija palankiai vertina tai, kad K. Krachas paskirtas privatumo skydo ombudsmenu, nes taip užtikrinama, kad šias pareigas eis nuolatinis darbuotojas.
Kalbant apie pirmąjį skundą ombudsmeno institucijai, pateiktą prieš pat pastarąją metinę peržiūrą pasitelkus Kroatijos duomenų apsaugos instituciją, šis skundas galiausiai buvo pripažintas nepriimtinu, nes jis susijęs su įvykiais, pasibaigusiais prieš priimant sprendimą dėl privatumo skydo. Nepaisant to, šis skundas buvo puiki proga patikrinti, kaip praktiškai veikia atitinkamos procedūros. Tiek atliekant metinę peržiūrą dalyvavę Europos duomenų apsaugos valdybos atstovai, tiek ombudsmenas patvirtino, kad buvo tinkamai pradėti ir užbaigti visi atitinkami šios procedūros etapai. Komisija palankiai vertina sėkmingą šio pirmojo prašymo nagrinėjimą, nes tai yra svarbus ženklas, kad ombudsmeno institucija gali tinkamai atlikti savo funkcijas.
JAV valdžios institucijos taip pat pateikė išsamesnių paaiškinimų dėl to, kaip ombudsmenas bendradarbiaus su kitomis nepriklausomomis priežiūros įstaigomis ir kaip taisys pažeidimus. Visų pirma, jos patvirtino, kad nepriklausomas Žvalgybos bendruomenės generalinis inspektorius bus sistemingai informuojamas apie visus ombudsmenui pateiktus skundus ir atliks savo vertinimą. Be to, jos paaiškino, kad, jei pateikus skundą ombudsmenui bus nustatyta, kad padarytas sekimo procedūrų pagal Užsienio žvalgybos informacijos sekimo akto 702 skirsnį pažeidimas, apie tokį pažeidimą bus pranešama Užsienio žvalgybos priežiūros teismui, o jis atliks nepriklausomą peržiūrą ir prireikus nurodys atitinkamai žvalgybos agentūrai imtis taisomųjų veiksmų. Šie taisomieji veiksmai gali apimti įvairias sritis: pradedant individualiomis ir baigiant struktūrinėmis priemonėmis, pvz., pradedant neteisėtai gautų duomenų ištrynimu ir baigiant duomenų rinkimo praktikos pokyčiais, įskaitant darbuotojų profesinį orientavimą ir mokymą.
Galiausiai buvo patvirtinta, kad, jei atliekant ombudsmenui pateikto skundo peržiūrą bus nustatyta, kad pažeisti JAV įstatymai (įskaitant vykdomųjų įsakų, prezidento politikos ir agentūrų taisyklių ir procedūrų, pvz., Užsienio žvalgybos priežiūros teismo patvirtintų sekimo ir minimalios informacijos procedūrų pažeidimus), iš visų vyriausybės duomenų bazių bus pašalinami neteisėtai surinkti duomenys, o iš žvalgybos ataskaitų bus pašalinamos visos nuorodos į tokius duomenis. Taigi ES pilietis galės reikalauti, kad būtų ištrinti jo (-s) asmens duomenys, jeigu JAV žvalgybos bendruomenė juos neteisėtai surinko ir tvarkė.
Komisija palankiai vertina šiuos papildomus paaiškinimus, iš kurių matyti, kaip įvairioms nepriklausomoms priežiūros įstaigoms bendradarbiaujant tarpusavyje didinamas ombudsmeno institucijos veiksmingumas. Taip pat buvo svarbu paaiškinti, kad, pasitelkdami ombudsmeno instituciją, ES piliečiai iš tikrųjų gali pasinaudoti savo teise reikalauti, kad jų asmens duomenys būtų ištrinti, o tai yra vienas iš pagrindinių teisės į asmens duomenų apsaugą aspektų.
3.IŠVADA
Remiantis atliekant trečiąją metinę peržiūrą surinkta informacija, galima patvirtinti Komisijos sprendime dėl tinkamumo nustatytus faktus tiek dėl sistemos komercinių aspektų, tiek dėl aspektų, susijusių su valdžios institucijų prieiga prie asmens duomenų, perduotų pagal privatumo skydo sistemą. Šiuo atžvilgiu Komisija atkreipė dėmesį į keletą šios sistemos veikimo patobulinimų, taip pat į tai, kad buvo paskirti pagrindinių priežiūros įstaigų darbuotojai.
Vis dėlto, atsižvelgdama į kai kuriuos klausimus, kurie susiję su kasdiene patirtimi arba tapo aktualesni praktiškai įgyvendinant šią sistemą, Komisija daro išvadą, kad, siekiant praktiškai geriau užtikrinti veiksmingą privatumo skydo veikimą, reikia imtis keleto konkrečių veiksmų:
1.Prekybos departamentas turėtų sutrumpinti įvairius laikotarpius, kurie įmonėms suteikiami pakartotinio sertifikavimo procesui užbaigti. Kad įmonėms būtų suteikiama pakankamai laiko pakartotiniam sertifikavimui atlikti, taip pat bet kokioms pakartotinio sertifikavimo proceso metu nustatytoms problemoms pašalinti, kartu užtikrinant šio proceso veiksmingumą, atrodo, kad būtų pagrįsta nustatyti ne ilgesnį kaip 30 dienų laikotarpį. Jei pasibaigus šiam laikotarpiui pakartotinis sertifikavimas neužbaigiamas, Prekybos departamentas turėtų nedelsdamas išsiųsti įspėjamąjį raštą;
2.atlikdamas patikrinimo vietoje procedūrą, Prekybos departamentas turėtų įvertinti, ar įmonės laikosi atsakomybės už tolesnį duomenų perdavimą principo, be kita ko, pasinaudodamas privatumo skydo sistemoje suteikiama galimybe prašyti pagal privatumo skydo sistemą sertifikuotos įmonės pateikti tolesnio duomenų perdavimo tikslais sudarytos sutarties privatumo nuostatų santrauką arba patvirtintą kopiją;
3.Prekybos departamentas pirmiausia turėtų sukurti priemones, kuriomis būtų siekiama nustatyti įmonių, kurios niekada nepateikė prašymo būti sertifikuotos, klaidingus pareiškimus dėl dalyvavimo privatumo skydo sistemoje, ir reguliariai bei sistemingai tomis priemonėmis naudotis;
4.Federalinė prekybos komisija pirmiausia turėtų rasti būdų, kaip Komisijai, taip pat ES duomenų apsaugos institucijoms, kurios pagal privatumo skydo sistemą taip pat yra prisiėmusios vykdymo užtikrinimo įsipareigojimų, pateikti prasmingos informacijos apie vykdomus tyrimus;
5.ES duomenų apsaugos institucijos, Prekybos departamentas ir Federalinė prekybos komisija ateinančiais mėnesiais turėtų parengti bendras gaires dėl žmogiškųjų išteklių duomenų apibrėžties ir tvarkymo.
Komisija ir toliau atidžiai stebės tolesnius pokyčius, susijusius su konkrečiais privatumo skydo sistemos aspektais, visų pirma: i) tai, kaip veikia ombudsmeno institucija, ypač gavusi naują skundą; ii) Privatumo ir pilietinių laisvių priežiūros valdybos pradėtų ir šiuo metu įgyvendinamų priežiūros projektų, kurie itin svarbūs privatumo skydo sistemai (pavyzdžiui, susijusių su Federalinio tyrimų biuro teikiamomis užklausomis dėl duomenų, surinktų pagal Užsienio žvalgybos informacijos sekimo akto 702 skirsnį, taip pat su Valdybos rekomendacijų dėl 28-osios Prezidento politikos direktyvos įgyvendinimu ir kt.), rezultatus; iii) Užsienio žvalgybos informacijos sekimo akto 501 skirsnio galiojimo atnaujinimą, visų pirma tai, ar toliau taikomos esamos apsaugos priemonės, ir iv) plėtojamą JAV teismų praktiką, susijusią su teisminėmis teisių gynimo priemonėmis vyriausybės vykdomo stebėjimo srityje, ypač stojimo prieš teismus klausimą.
Galiausiai Komisija toliau atidžiai stebės vykstančias diskusijas dėl JAV federalinių privatumo teisės aktų. Visapusiškas požiūris į privatumą ir duomenų apsaugą padėtų didinti ES ir JAV sistemų konvergenciją, ir taip būtų stiprinami pagrindai, kuriais remiantis sukurta privatumo skydo sistema.
2016 m. liepos 12 d. Komisijos įgyvendinimo sprendimas (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB, OL L 207, 2016 8 1, p. 1.
Komisijos ataskaita Europos Parlamentui ir Tarybai dėl pirmosios metinės ES ir JAV privatumo skydo veikimo peržiūros (COM(2017) 611 final), žr. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Komisijos tarnybų darbinis dokumentas, pridedamas prie Komisijos ataskaitos Europos Parlamentui ir Tarybai dėl pirmosios metinės ES ir JAV privatumo skydo veikimo peržiūros (SWD(2017) 344 final), žr. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Komisijos ataskaita Europos Parlamentui ir Tarybai dėl antrosios metinės ES ir JAV privatumo skydo veikimo peržiūros (COM(2018) 860 final), žr. https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .
Komisijos tarnybų darbinis dokumentas, pridedamas prie Komisijos ataskaitos Europos Parlamentui ir Tarybai dėl antrosios metinės ES ir JAV privatumo skydo veikimo peržiūros (SWD(2018) 497 final), žr. https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
2014 m. sausio 17 d. 28-oji Prezidento politikos direktyva dėl signalų žvalgybos veiklos (angl. Presidential Policy Directive 28: Signals Intelligence Activities), kuria signalų žvalgybos duomenų rinkimo srityje ne JAV piliečiams nustatomi svarbūs apribojimai ir apsaugos priemonės.
Nepriklausoma įstaiga, kurioje suburiami ES valstybių narių nacionalinių duomenų apsaugos institucijų ir Europos duomenų apsaugos priežiūros pareigūno atstovai.
Žr. bylą La Quadrature du Net / Komisija, T-738/16. Su privatumo skydu susiję klausimai taip pat iškelti nagrinėjant bylą Data Protection Commissioner / Facebook Ireland, Maximilian Schrems, C-311/18 („Schrems II“), dėl kurios 2019 m. liepos 9 d. įvyko Teisingumo Teismo didžiosios kolegijos posėdis.