1.           Įžanga. ES ir JAV duomenų tvarkymo aplinkos pokyčiai

Europos Sąjunga ir Jungtinės Amerikos Valstijos yra strateginės partnerės, ir ši partnerystė yra itin svarbi mūsų bendroms vertybėms, saugumui ir pirmavimui kartu sprendžiant pasaulinės reikšmės klausimus. Tačiau pasitikėjimui partneryste suduotas smūgis, tad šį pasitikėjimą teks vėl atkurti. ES, valstybės narės ir Europos piliečiai išreiškė didžiulį susirūpinimą, paviešinus informaciją apie JAV vykdytas didelės apimties žvalgybos duomenų rinkimo programas, visų pirma susijusias su asmens duomenų apsauga[1]. Masinis privataus pobūdžio ryšių priemonių sekimas, kad ir kieno jos būtų – piliečių, įmonių ar politinių lyderių, nėra priimtinas.

Plėtojant transatlantinius ryšius, asmens duomenų perdavimas yra svarbus ir būtinas. Tai neatsiejama nuo komercinių mainų abipus Atlanto , įskaitant naujas besivystančias skaitmeninio verslo įmones, kaip antai socialinius tinklus arba debesijos kompiuteriją, perduodant iš ES į JAV daugybę duomenų. Duomenų perdavimas taip pat labai svarbus ES ir JAV bendradarbiavimui teisėsaugos srityje ir valstybių narių bei JAV bendradarbiavimui nacionalinio saugumo srityje. Siekdamos supaprastinti duomenų judėjimą ir užtikrinti aukštą duomenų apsaugos lygį, kaip reikalaujama pagal ES teisę, JAV ir ES priėmė keletą susitarimų ir tvarkų.

Komercinius mainus reglamentuoja Sprendimas 2000/520/EB[2] (toliau – Sprendimas dėl saugaus uosto). Šis sprendimas – teisinis pagrindas, kuriuo remiantis asmens duomenys iš ES perduodami JAV įsteigtoms ir „saugaus uosto“ principus taikančioms bendrovėms.

ES ir JAV asmens duomenų mainus teisėsaugos tikslais, įskaitant terorizmo ir kitų sunkių nusikaltimų prevenciją ir kovą su jais, reglamentuoja keletas ES lygmens susitarimų: savitarpio teisinės pagalbos susitarimas [3], susitarimas dėl keleivio duomenų įrašų (PNR) naudojimo ir perdavimo [4], susitarimas dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos (TFTP) tikslais[5] ir Europolo ir JAV susitarimas. Šie susitarimai padeda spręsti svarbius saugumo klausimus, atsižvelgti į bendrus ES ir JAV saugumo interesus ir užtikrinti aukštą asmens duomenų apsaugos lygį. Be to, ES ir JAV šiuo metu derasi dėl pagrindų susitarimo dėl duomenų apsaugos policijos ir teisminio bendradarbiavimo srityje (toliau – pagrindų susitarimas)[6]. Jais siekiama užtikrinti aukštą piliečių duomenų, kuriais keičiamasi, apsaugos lygį ir taip toliau plėtoti ES ir JAV bendradarbiavimą kovojant su nusikalstamumu ir terorizmu, laikantis bendrų vertybių ir taikant sutartas apsaugos priemones.

Šios priemonės taikomos aplinkoje, kurioje asmens duomenų teikimas įgyja vis didesnę reikšmę.

Viena vertus, skaitmeninės ekonomikos plėtra lėmė drastišką duomenų tvarkymo veiklos išaugimą kiekybės, kokybės, įvairovės ir pobūdžio požiūriu. Kasdieniniame gyvenime piliečiai vis dažniau naudoja elektroninių ryšių paslaugas. Asmens duomenys tapo itin brangia vertybe: apytikrė ES piliečių duomenų vertė 2011 m. buvo 315 mlrd. EUR, o iki 2020 m. kasmet gali ūgtelėti kone 1 trln. EUR[7]. Kasmet didelės apimties duomenų rinkinių analizės pasaulinė rinka padidėja 40 proc.[8] Analogiškai technologijų, pavyzdžiui, susijusių su debesų kompiuterija, plėtra leidžia naujai pažvelgti į tarptautinį duomenų perdavimą, duomenų judėjimui tarp valstybių tampant kasdienybe.[9]

Išaugus elektroninių ryšių ir duomenų apdorojimo paslaugų, įskaitant debesų kompiuteriją, paklausai, gerokai padidėjo transatlantinio duomenų perdavimo apimtis ir svarba. Dar didesnę reikšmę įgavo tokie elementai, kaip neeilinis JAV bendrovių vaidmuo vystant skaitmeninę ekonomiką[10], didelės dalies elektroninių ryšių maršrutizavimas abipus Atlanto ir elektroninių ES ir JAV duomenų mainų apimtys.

Kita vertus, šiuolaikiniai asmens duomenų apdorojimo būdai kelia naujų aktualių klausimų. Tai taikoma tiek naujoms plataus masto vartotojų duomenų apdorojimo priemonėms, kurias privačios bendrovės naudoja komerciniais tikslais, tiek didelio masto ryšių duomenų stebėjimui, kurį vykdo žvalgybos tarnybos.

Didelio masto JAV žvalgybos duomenų rinkimo priemonės, pvz., PRISM, pažeidžia europiečių pagrindines teises, ypač jų teisę į privatumą ir į asmens duomenų apsaugą. Šios programos taip pat įrodo, kad egzistuoja ryšys tarp vyriausybės vykdomos žvalgybos ir privačių įmonių, visų pirma JAV interneto įmonių, atliekamo duomenų tvarkymo. Todėl jos gali turėti poveikio ekonomikai. Piliečiams kelia susirūpinimą dideliu mastu privačių įmonių tvarkomi asmens duomenys ar jų stebėjimas, kurį vykdo žvalgybos tarnybos, kai teikiamos paslaugos internetu, o tai gali sumažinti piliečių pasitikėjimą skaitmenine ekonomika ir turėti neigiamų pasekmių augimui.

Įvykus šiems pokyčiams, kilo naujų klausimų dėl ES ir JAV duomenų teikimo. Šie klausimai nagrinėjami šiame komunikate. Jame analizuojamos būsimos galimybės, remiantis specialios ES ir JAV darbo grupės pirmininkų, atstovaujančių ES, ataskaita ir komunikatu „Saugus uostas“.

Komunikate bandoma rasti veiksmingą būdą, kaip atkurti pasitikėjimą, sustiprinti ES ir JAV bendradarbiavimą šiose srityse ir transatlantinius ryšius.

Šis komunikatas pagrįstas prielaida, kad asmens duomenų apsaugos standartai turi būti svarstomi tinkamame kontekste, nedarant žalos kitoms ES ir JAV santykių sferoms, įskaitant vykstančias derybas dėl transatlantinės prekybos ir investicijų partnerystės. Dėl šios priežasties derybos duomenų apsaugos standartų klausimu nebus įtrauktos į transatlantinės prekybos ir investicijų partnerystės programą, o tai visiškai atitinka duomenų apsaugos taisykles.

Svarbu pažymėti, kad nors ES gali imtis veiksmų savo kompetencijos ribose, visų pirma siekdama užtikrinti ES teisės taikymą[11], atsakomybė už nacionalinį saugumą yra individuali kiekvienos valstybės narės atsakomybė[12].

2.         Priemonių poveikis duomenų perdavimui

Pirmiausia, kalbant apie komerciniais tikslais perduodamus duomenis,  pasitvirtino saugaus uosto kaip ES ir JAV duomenų perdavimo priemonės svarba.  Jo svarba prekybai išaugo, nes padidėjo asmens duomenų teikimo reikšmė plėtojant transatlantinius prekybos ryšius. Per pastaruosius 13 metų saugaus uosto programa išsiplėtė ir pritraukė dar 3 000 įmonių, kurių didesnioji pusė prie jos prisijungė per paskutinius penkerius metus. Nežiūrint to, išaugo susirūpinimas pagal saugaus uosto principus JAV perduotų ES piliečių asmens duomenų apsaugos lygiu. Savanoriškas ir deklaratyvus šios priemonės pobūdis atkreipė dėmesį į jos skaidrumą ir vykdymo užtikrinimą. Nors dauguma JAV bendrovių taiko schemos principus, kai kurios savanoriškai pasitvirtinusios bendrovės to nedaro. Kai kurių savanoriškai pasitvirtinusių bendrovių atsisakymas paisyti saugaus uosto privatumo principų suteikia joms konkurencinio pranašumo tose pačiose rinkose veikiančių Europos bendrovių atžvilgiu. 

Be to, nors pagal saugaus uosto nuostatas leidžiama taikyti apribojimus duomenų apsaugos taisyklėms, jeigu to reikia nacionalinio saugumo tikslais[13], kyla klausimas, ar didelio masto asmeninės informacijos rinkimas ir apdorojimas naudojant JAV sekimo programas yra būtinas ir proporcingas nacionalinio saugumo interesams užtikrinti.  Be to, remiantis specialios ES ir JAV darbo grupės išvadomis, tapo aišku, kad vykdant šias programas ES piliečiai neturi tokių pat teisių ir procesinių garantijų kaip amerikiečiai.

Šių sekimo programų mastas, taip pat nevienodas požiūris į ES piliečius kelia abejonių dėl apsaugos lygio pagal susitarimą dėl saugaus uosto. Pagal susitarimą dėl saugaus uosto JAV nusiųstus ES piliečių asmens duomenis JAV valdžios institucijos gali gauti ir toliau tvarkyti tokiu būdu, kuris yra nesuderinamas su jų surinkimo ES pagrindais ir tikslais, kuriais jie buvo perduoti JAV. Dauguma JAV interneto bendrovių, kurios yra kiek labiau susijusios su šiomis programomis, yra sertifikuotos pagal saugaus uosto schemą.

Antra, kalbant apie keitimąsi duomenimis teisėsaugos tikslais, pasitvirtino galiojančių susitarimų (susitarimas dėl keleivio duomenų įrašų naudojimo ir perdavimo, susitarimas dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais) nauda šalinant bendras saugumo grėsmes, susijusias su sunkiais tarptautiniais nusikaltimais ir terorizmu, ir tvirtinant apsaugos priemones, kuriomis užtikrinama aukšto lygio duomenų apsauga[14]. Šios apsaugos priemonės taikomos ir ES piliečiams, o susitarimuose yra numatyti mechanizmai, kaip peržiūrėti jų įgyvendinimą ir spręsti susijusius klausimus. Susitarimu dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais taip pat sukurta priežiūros sistema, leidžianti nepriklausomiems prižiūrėtojams iš ES tikrinti, kaip JAV vykdo duomenų, kuriems taikomas šis susitarimas, paiešką.

Atsižvelgdama į ES kilusį susirūpinimą JAV sekimo programomis, Europos Komisija, naudodamasi minėtomis priemonėmis, patikrino, kaip yra taikomi susitarimai. Atlikdami bendrą susitarimo dėl keleivio duomenų įrašų naudojimo ir perdavimo peržiūrą, duomenų apsaugos specialistai iš ES ir JAV tyrė, kaip susitarimas buvo įgyvendinamas[15]. Atlikus šią peržiūrą, nenustatyta nieko, kas patvirtintų, kad JAV sekimo programų objektu yra keleivių duomenys, kuriems taikomas susitarimas dėl keleivio duomenų įrašų naudojimo ir perdavimo, arba kad jos turi šiems duomenims poveikio.  Kalbant apie susitarimą dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais, pasirodžius tvirtinimams, kad JAV žvalgybos tarnybos gavo tiesioginę prieigą prie asmens duomenų ES ir taip buvo pažeistos susitarimo nuostatos, Komisija pradėjo oficialias konsultacijas. Per konsultacijas nepavyko rasti jokių įrodymų, patvirtinančių, kad buvo pažeistos susitarimo dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais nuostatos, o JAV raštu patikino, kad duomenys tiesiogiai nebuvo renkami ir susitarimo nuostatos taip nebuvo pažeistos.

Tačiau tai, kad pagal JAV sekimo programas vykdomas didelio masto asmeninės informacijos rinkimas ir tvarkymas, reiškia, kad ir toliau būtina labai atidžiai stebėti, kaip bus įgyvendinamas susitarimas dėl keleivio duomenų įrašų naudojimo ir perdavimo ir susitarimas dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais. Todėl ES ir JAV sutarė paankstinti kitą bendrą susitarimo dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais peržiūrą, kuri įvyks 2014 m. pavasarį. Ši ir būsimos bendros peržiūros padės užtikrinti didesnį priežiūros sistemos veikimo ir ES piliečių duomenų apsaugos būdo skaidrumą.  Be to, bus imtasi priemonių siekiant užtikrinti, kad taikant priežiūros sistemą ir toliau būtų atidžiai stebima, kaip tvarkomi pagal susitarimą JAV perduoti duomenys, sutelkiant dėmesį į tai, kaip šiais duomenimis keičiasi JAV valdžios institucijos.

Trečia, išaugus asmens duomenų tvarkymo apimčiai, tampa akivaizdi taikomų teisinių ir administracinių apsaugos priemonių svarba. Vienas iš specialios ES ir JAV darbo grupės tikslų buvo nustatyti, kurios iš apsaugos priemonių gali kuo labiau sumažinti duomenų tvarkymo poveikį pagrindinėms ES piliečių teisėms. Apsaugos priemonės taip pat reikalingos bendrovėms apsaugoti. Kai kuriais JAV įstatymais, pvz., Patriotiniu aktu, JAV valdžios institucijoms suteikiama teisė tiesiogiai reikalauti, kad bendrovės suteiktų prieigą prie ES saugomų duomenų. Todėl Europos bendrovės ir ES veikiančios JAV bendrovės, pažeisdamos ES ir valstybių narių įstatymus, gali būti priverstos persiųsti duomenis į JAV ir taip susidurti su prieštaraujančiais teisiniais įsipareigojimais.    Teisinis netikrumas, atsirandantis dėl tokių tiesioginių reikalavimų, gali kliudyti plėtoti naujas skaitmenines paslaugas, tokias kaip debesijos kompiuterija, galinčias tapti efektyviais ir iš asmenų ir įmonių mažai sąnaudų reikalaujančiais sprendimais.

 3.         Duomenų apsaugos veiksmingumo užtikrinimas

Asmens duomenų perdavimas tarp ES ir JAV yra esminis transatlantinių prekybos ryšių elementas. Dalijimasis informacija taip pat yra esminis ES ir JAV bendradarbiavimo saugumo srityje elementas, ypač svarbus siekiant bendro tikslo – užkirsti kelią sunkiems nusikaltimams ir terorizmui ir su jais kovoti. Tačiau neseniai paviešinta informacija apie JAV žvalgybos duomenų rinkimo programas turėjo neigiamo poveikio pasitikėjimui, kuriuo šis bendradarbiavimas yra grindžiamas. Visų pirma, mažiau pasitikima metodais, kurie taikomi tvarkant asmens duomenis. Siekiant atkurti pasitikėjimą duomenų perdavimu ir jo nauda skaitmeninei ekonomikai, saugumui ES ir JAV ir platesnio masto transatlantiniams ryšiams, reikėtų imtis toliau nurodytų veiksmų.

3.1.      ES duomenų apsaugos reforma

2012 m. sausį Komisija pasiūlė įvykdyti duomenų apsaugos reformą[16], kuri bus pagrindinis atsakas asmens duomenų apsaugos klausimu. Itin svarbūs penki siūlomo duomenų apsaugos paketo elementai.

Pirmiausia, dėl teritorinės taikymo srities siūlomame reglamente aiškiai nurodyta, kad ne Sąjungoje įsteigtos įmonės, Europos vartotojams siūlydamos prekes ir paslaugas arba stebėdamos jų elgseną, turės taikyti ES duomenų apsaugos įstatymus. Kitaip tariant, pagrindinės teisės į duomenų apsaugą bus paisoma nepriklausomai nuo bendrovės arba jai priklausančios duomenų apdorojimo vietos geografinės padėties[17].

Antra, dėl tarptautinio duomenų perdavimo siūlomame reglamente nustatomos sąlygos, kuriomis duomenis galima perduoti už ES ribų. Perduoti juos galima tik tada, kai šios sąlygos, kuriomis užtikrinama asmenų teisė į aukšto lygio apsaugą, yra įvykdytos [18].

Trečia, kalbant apie vykdymo užtikrinimą, pagal siūlomas taisykles numatomos proporcingos atgrasomosios sankcijos (iki 2 proc. visos bendrovės metinės apyvartos), siekiant užtikrinti, kad bendrovės laikytųsi ES teisės aktų[19]. Įtikinamos sankcijos skatins įmones paisyti ES teisės aktų.

Ketvirta, į siūlomą reglamentą įtrauktos aiškios taisyklės dėl duomenų tvarkytojų, tokių kaip debesijos kompiuterijos paslaugų teikėjai, įsipareigojimų ir atsakomybės, įskaitant saugumą[20]. Remiantis atskleista informacija apie JAV žvalgybos duomenų rinkimo programas, tai yra itin svarbu, nes šių programų poveikis debesijos kompiuteriuose saugomiems duomenims turi neigiamo poveikio. Be to, duomenų saugojimo debesijos kompiuteriuose paslaugas teikiančios bendrovės, kurių užsienio šalių valdžios institucijos prašo pateikti asmens duomenis, negalės išvengti atsakomybės, remdamosi tuo, kad jos yra ne duomenų valdytojai, o duomenų tvarkytojai.

Penkta, priėmus šį paketą, bus galima nustatyti išsamias taisykles dėl teisėsaugos sferoje tvarkomų asmens duomenų apsaugos.

Tikimasi, kad dėl paketo bus susitarta laiku per 2014 m[21].

3.2.      Saugaus uosto saugumo padidinimas

Saugaus uosto schema, kuria pasitiki bendrovės abipus Atlanto, yra svarbi ES ir JAV prekybos ryšiams.

Komisijos ataskaitoje dėl saugaus uosto veikimo nurodyti keli schemos trūkumai. Kadangi trūksta skaidrumo ir vykdymas užtikrinamas ne visuomet, kai kurios savarankiškai pasitvirtinusios saugaus uosto schemos narės iš esmės nesilaiko jos principų. Tai turi neigiamo poveikio ES piliečių pagrindinėms teisėms. Be to, tokiu būdu nepalankioje padėtyje atsiduria Europos bendrovės, konkuruojančios su JAV bendrovėmis, kurios vykdo veiklą pagal schemą, tačiau praktiškai jos principų netaiko. Dėl šio trūkumo taip pat kenčia dauguma tinkamai schemą taikančių JAV bendrovių. Saugus uostas taip pat veikia kaip laidininkas, kuriuo ES piliečių asmens duomenys JAV žvalgybos tarnybų prašymu pagal JAV žvalgybos duomenų rinkimo programas bendrovių perduodami iš ES į JAV. Jeigu trūkumai nebus ištaisyti, ES verslas atsidurs konkurencingumo požiūriu prastesnėje padėtyje, o pagrindinėms ES piliečių teisėms į duomenų apsaugą bus padarytas neigiamas poveikis.

Saugaus uosto schemos trūkumus pabrėžė Europos duomenų apsaugos tarnybų atsakas į pastaruoju metu atskleistą informaciją apie sekimą. Sprendimo dėl saugaus uosto 3 straipsnis nustato, kad tam tikromis sąlygomis minėtos institucijos turi teisę sustabdyti duomenų teikimą patvirtintai bendrovei.[22] Vokietijos duomenų apsaugos priežiūros pareigūnai nusprendė neišduoti naujų leidimų perduoti duomenis į ES nepriklausančias šalis (pvz., jei jie bus naudojami teikiant tam tikras debesijos kompiuterijos paslaugas). Jie taip pat nagrinės, ar nederėtų sustabdyti duomenų perdavimo pagal saugaus uosto schemą.[23] Yra rizika, kad nacionaliniu lygiu taikomų priemonių taikymo sritis gali nesutapti, o tai reiškia, kad saugaus uosto sistema nustotų būti pagrindinė asmens duomenų perdavimo tarp ES ir JAV priemonė. 

Pagal Direktyvą 95/46/EB Komisijai suteikti įgaliojimai sustabdyti arba atšaukti Sprendimo dėl saugaus uosto taikymą, jeigu schema nebeteikia tinkamo lygio apsaugos. Be to, Sprendimo dėl saugaus uosto 3 straipsnyje nustatyta, kad Komisija gali atšaukti, sustabdyti arba apriboti sprendimo taikymo sritį, o pagal 4 straipsnį ji gali bet kada sprendimą pakeisti, atsižvelgdama į jį vykdant sukauptą patirtį.

Atsižvelgiant į tai, galima svarstyti keletą politikos galimybių, įskaitant:

status quo padėties išlaikymą; saugaus uosto schemos sustiprinimą ir nuodugnią jos veikimo peržiūrą; Sprendimo dėl saugaus uosto sustabdymą arba panaikinimą.

Atsižvelgiant į nustatytus trūkumus, saugaus uosto schemos įgyvendinimas dabartinėmis aplinkybėmis negali būti tęsiamas. Tačiau ją panaikinus būtų pažeisti schemą taikančių ES ir JAV bendrovių interesai. Komisija mano, kad verčiau reikėtų patobulinti saugaus uosto schemą.

Tobulinant reikėtų pašalinti struktūrinius trūkumus, susijusius su skaidrumu ir vykdymo užtikrinimu, esminiais saugaus uosto principais ir nacionalinio saugumo išimties taikymu.

Konkrečiau, tam, kad saugaus uosto schema veiktų kaip numatyta, reikia veiksmingesnės ir sistematiškesnės JAV valdžios institucijų vykdomos stebėsenos ir priežiūros, kurių tikslas – įvertinti, kaip patvirtintos bendrovės laikosi saugaus uosto privatumo principų. Reikia padidinti patvirtintų įmonių privatumo politikos skaidrumą. ES piliečiams taip pat reikia visapusiškai užtikrinti galimybę pasinaudoti ginčų sprendimo mechanizmais. 

Komisija skubos tvarka kreipsis į JAV valdžios institucijas, kad aptartų nustatytus trūkumus. Iki 2014 m. vasaros reikėtų nustatyti taisomuosius veiksmus ir kuo greičiau juos įgyvendinti. Šiuo pagrindu Komisija atliks išsamų saugaus uosto schemos veikimo vertinimą. Atliekant šį platesnio pobūdžio vertinimą, reikėtų surengti viešas konsultacijas ir diskusijas Europos Parlamente ir Taryboje, taip pat diskusijas su JAV valdžios institucijomis. 

Taip pat svarbu, kad Sprendime dėl saugaus uosto numatyta nacionalinio saugumo išimtis būtų taikoma tik tiek, kiek tai yra būtina, ir pagal proporcingumo principą.

3.3.      Bendradarbiaujant teisėsaugos institucijoms taikomų duomenų apsaugos priemonių stiprinimas

ES ir JAV šiuo metu derasi dėl duomenų apsaugos pagrindų susitarimo, kuris reglamentuotų asmeninės informacijos perdavimą ir tvarkymą policijai ir teismams bendradarbiaujant baudžiamosiose bylose. Sudarius tokį susitarimą, kuriuo numatoma aukšto lygio asmens duomenų apsauga, būtų gerokai prisidėta prie pasitikėjimo abipus Atlanto padidinimo. Pagerinus ES piliečių teisių, susijusių su duomenimis, apsaugą, būtų sustiprintas transatlantinis bendradarbiavimas, kurio tikslas – užkirsti kelią nusikaltimams ir terorizmui ir su jais kovoti.

Pagal sprendimą, kuriuo Komisija įgaliojama derėtis dėl pagrindų susitarimo, derybomis turėtų būti užtikrinta aukšto lygio apsauga, atitinkanti ES duomenų apsaugos acquis. Su minėtu reikalavimu reikėtų suderinti sutartas taisyklės ir apsaugos priemones, susijusias, inter alia, su tikslų apribojimu ir duomenų laikymo sąlygomis ir trukme. Derėdamasi Komisija taip pat turėtų išgauti įsipareigojimus dėl vykdytinų teisių, įskaitant teisminio nuolat JAV negyvenančių ES piliečių teisių gynimo mechanizmus[24]. Glaudus ES ir JAV bendradarbiavimas bendro saugumo klausimais turėtų virsti pastangomis užtikrinti, kad piliečiai galėtų naudotis tomis pačiomis teisėmis, kai abipus Atlanto tais pačiais tikslais tvarkomi tie patys duomenys. Taip pat svarbu, kad nacionalinio saugumo interesais grindžiamos išimtys būtų aiškinamos siaurai. Atsižvelgiant į tai, reikėtų susitarti dėl apsaugos priemonių ir apribojimų.

Šios derybos bus proga patikslinti, kad JAV teisėsaugos institucijos neturės tiesioginės prieigos prie privačių bendrovių ES saugomų asmens duomenų arba negalės jų gauti jokiais kitais bendradarbiavimo ryšių kanalais, išskyrus, pvz., pagal savitarpio teisinės pagalbos sutartis arba ES ir JAV sektorių susitarimus, leidžiančius taip perduoti duomenis. Reikėtų neleisti naudotis kitomis priemonėmis, nebent perdavimo atvejai būtų aiškiai apibrėžti, išimtiniai ir gali būti persvarstyti teismo. JAV turėtų prisiimti įsipareigojimus, atsižvelgdamos į šias sąlygas[25].

Taip suderintu pagrindų susitarimu turėtų būti nustatyta bendroji sistema, kuria būtų užtikrinta aukšto lygio apsauga, taikoma asmens duomenims, kurie JAV perduodami siekiant užkirsti kelią nusikaltimams bei terorizmui ir su jais kovoti. Atsižvelgiant į atitinkamą duomenų perdavimo pobūdį, sektorių susitarimuose prireikus turėtų būti nustatytos papildomos taisyklės ir apsaugos priemonės, pvz., remiantis ES ir JAV susitarimu dėl keleivio duomenų įrašų naudojimo ir perdavimo ir susitarimu dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais, kuriuose nustatyti griežti duomenų perdavimo reikalavimai ir ES piliečių apsaugos priemones.  

3.4.      Kaip bus atsižvelgta į Europai rūpimus klausimus vykstant dabartiniam reformos JAV procesui 

JAV prezidentas B. Obama paskelbė, jog bus surengta JAV nacionalinių saugumo institucijų veiklos, įskaitant taikomą teisinę sistemą, peržiūra. Šis procesas – tai gera galimybė išspręsti ES rūpimus klausimus, kilusius neseniai paviešinus informaciją apie JAV vykdytas žvalgybos duomenų rinkimo programas. Svarbiausi pakeitimai – JAV piliečiams ir rezidentams skirtos apsaugos priemonės būtų taikomos ir nuolat JAV negyvenantiems ES piliečiams, būtų didinamas žvalgybos veiklos skaidrumas ir toliau stiprinama priežiūra. Tokie pokyčiai padėtų atkurti pasitikėjimą ES ir JAV duomenų mainais ir skatinti europiečius naudotis interneto paslaugomis.

Kalbant apie JAV piliečiams ir rezidentams skirtų apsaugos priemonių taikymą ES piliečiams, reikėtų peržiūrėti teisės normas, susijusias su JAV sekimo programomis, pagal kurias JAV ir ES piliečiai traktuojami nevienodai, įskaitant būtinumo ir proporcingumo principus, atsižvelgiant į glaudžią transatlantinio saugumo partnerystę, paremtą bendromis vertybėmis, teisėmis ir laisvėmis. Tai leistų sumažinti JAV žvalgybos duomenų rinkimo programų poveikį europiečiams.

JAV žvalgybos duomenų rinkimo programas reglamentuojanti teisinė sistema, ją interpretuojantys JAV teismų sprendimai, įskaitant JAV žvalgybos duomenų rinkimo programų kiekybinį aspektą, turėtų būti skaidresni. Tokie pakeitimai ES piliečiams taip pat būtų naudingi.

Padidinus Užsienio žvalgybos priežiūros teismo vaidmenį ir nustačius asmenų teisių gynimo priemones, pagerėtų JAV žvalgybos duomenų rinkimo programų priežiūra. Įvedus šias priemones, būtų tvarkoma mažiau nacionalinio saugumo požiūriu nesvarbių europiečių asmens duomenų.

3.5.        Privatumo standartų paisymas tarptautiniu mastu

Klausimai, kylantys dėl šiuolaikinių duomenų apsaugos metodų, nėra susiję tik su ES ir JAV duomenų mainais. Aukšto lygio asmens duomenų apsauga taip pat turėtų būti užtikrinta bet kuriam asmeniui. Reikėtų skatinti tarptautiniu mastu ES taisykles dėl duomenų rinkimo, tvarkymo ir perdavimo.

Neseniai pasiūlyta ne viena iniciatyva, kuria siūloma stiprinti privatumo apsaugą, visų pirma internete[26]. ES turėtų užtikrinti, kad įgyvendinant tokias iniciatyvas būtų visiškai atsižvelgiama į pagrindinių teisių, žodžio laisvės, asmens duomenų ir privatumo apsaugos principus, kaip nustatyta ES teisėje ir ES kibernetinio saugumo strategijoje, ir nebūtų pažeista kibernetinės erdvės laisvė, atvirumas ir saugumas. Tai reiškia, kad būtinas demokratinis ir veiksmingas daugiašalis valdymo modelis.

Vykstant su duomenų apsaugos teisės aktais susijusioms reformoms abipus Atlanto, ES ir JAV taip pat suteikiama neeilinė galimybė įvesti tarptautinį standartą. Duomenų mainams abipus Atlanto daug naudos duotų JAV vidaus teisės sistemos sustiprinimas, taip pat 2012 m. vasarį Prezidento B. Obamos paskelbto Vartotojų privatumo teisių akto, kaip išsamaus plano kaip pagerinti vartotojų privatumo apsaugą, priėmimas. Jeigu egzistuotų patikimos ir vykdytinos duomenų apsaugos taisyklės ir jos būtų įtvirtintos tiek ES, tiek JAV, tai būtų tvirtas pagrindas tarpvalstybiniam duomenų teikimui.

Siekiant skatinti privatumo standartų taikymą tarptautiniu mastu, pirmenybė taip pat turėtų būti teikiama prisijungimo prie Europos Tarybos konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (108-oji konvencija) galimybei, kuria gali pasinaudoti ir tos šalys, kurios nėra Europos Tarybos narės[27]. Tarptautiniuose forumuose sutartos apsaugos priemonės ir garantijos turėtų užtikrinti aukšto lygio apsaugą, atitinkančią ES teisės reikalavimus.

4.            Išvados ir rekomendacijos

Šiame komunikate nurodytus klausimus reikia spręsti veiksmais, kurių turi imtis JAV, taip pat ES ir jos valstybės narės.

Susirūpinimas transatlantiniais duomenų mainais, visų pirma, yra įspėjimas ES ir jos valstybėms narėms greitai ir ryžtingai spartinti duomenų apsaugos reformą. Jis rodo, kad dabar kaip niekad būtina patikima teisinė sistema su aiškiomis taisyklėmis, kurios vykdytinos ir tais atvejais, kai duomenys perduodami svetur. Todėl ES institucijos turėtų toliau dirbti, kad iki 2014 m. pavasario būtų pritarta ES duomenų apsaugos reformai, siekiant užtikrinti, kad asmens duomenys būtų saugomi veiksmingai ir visa apimtimi.

Atsižvelgiant į transatlantinio duomenų teikimo svarbą, priemonės, kuriomis pagrįsti šie mainai, turi atitikti uždavinius ir galimybes, susijusius su skaitmenine era ir naujų technologijų, pvz., debesijos kompiuterijos, plėtra. Esamos ir būsimos priemonės ir susitarimai turėtų užtikrinti, kad abipus Atlanto būtų nuolat užtikrinama aukšto lygio apsauga.

Patikima saugaus uosto schema atitinka ES ir JAV piliečių ir bendrovių interesus.  Trumpuoju laikotarpiu ji turėtų būti sustiprinta užtikrinant geresnę stebėseną bei įgyvendinimą ir, atsižvelgiant į šias sąlygas, platesnę jos veikimo peržiūrą. Reikalingi patobulinimai, kurie užtikrintų, kad tebebūtų laikomasi pradinių Sprendimo dėl saugaus uosto tikslų, t. y. duomenų apsaugos tęstinumo, teisinio tikrumo ir laisvo ES ir JAV duomenų teikimo. 

Šie patobulinimai turėtų atkreipti JAV valdžios institucijų dėmesį į būtinybę geriau prižiūrėti ir stebėti, ar savarankiškai pasitvirtinusios bendrovės laikosi saugaus uosto privatumo principų.

Taip pat svarbu, kad Sprendime dėl saugaus uosto numatyta nacionalinio saugumo išimtis būtų naudojama tik tiek, kiek tai yra būtina, ir pagal proporcingumo principą.

Teisėsaugos srityje šiuo metu vyksta derybos dėl pagrindų susitarimo, po kurių abipus Atlanto piliečiams turėtų būti užtikrinta aukšto lygio apsauga. Toks susitarimas sustiprintų europiečių pasitikėjimą ES ir JAV duomenų mainais ir taptų pagrindu toliau plėtoti ES ir JAV saugumo bendradarbiavimą ir partnerystę. Derantis reikėtų užtikrinti, kad būtų prisiimti įsipareigojimai dėl procesinių apsaugos priemonių, įskaitant teisminį teisių gynimą, taikymo europiečiams, neturintiems nuolatinės gyvenamosios vietos JAV.

Reikėtų gauti JAV vyriausybės įsipareigojimus, kad ji užtikrins, jog JAV teisėsaugos tarnyboms tiesioginė prieiga prie ES privačių subjektų saugomų asmens duomenų nebus suteikta kitaip nei neoficialiais bendradarbiavimo kanalais, pvz., pagal savitarpio teisinės pagalbos sutartis ir ES ir JAV sektorių susitarimus, kaip antai susitarimą dėl keleivio duomenų įrašų naudojimo ir perdavimo ir susitarimą dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais, išskyrus aiškiai apibrėžtus, išimtinius atvejus, kuriuos gali persvarstyti teismas.  

JAV savo piliečiams ir rezidentams skirtas apsaugos priemones turėtų taikyti ir nuolatinės gyvenamosios vietos JAV neturintiems ES piliečiams, JAV taip pat turėtų užtikrinti programų poreikį ir proporcingumą ir didinti JAV nacionalinio saugumo institucijoms taikomos teisinės sistemos skaidrumą ir priežiūrą.

Šiame komunikate išvardytose srityse reikės konstruktyvių veiksmų abejose Atlanto pusėse. Kaip strateginės partnerės ES ir JAV drauge turi galimybių pašalinti dabar kilusią įtampą transatlantiniuose ryšiuose ir atkurti pasitikėjimą ES ir JAV duomenų mainais. Jeigu būtų prisiimti bendri politiniai ir teisiniai įsipareigojimai dėl tolesnio bendradarbiavimo šiose srityse, tai sustiprintų bendrus transatlantinius ryšius.

[1]               Šiame komunikate nuorodos į ES piliečius taip pat apima ne ES duomenų subjektus, kuriems taikomi Europos Sąjungos duomenų apsaugos teisės aktai.

[2]               2000 m. liepos 26 d. Komisijos sprendimas 2000/520/EB dėl Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl saugaus uosto privatumo principų teikiamos apsaugos pakankamumo ir su tuo susijusių JAV komercijos departamento pateiktų dažnai užduodamų klausimų (OL L 215, 2000 8 25, p. 7).

[3]               2009 m. spalio 23 d. Tarybos sprendimas 2009/820/BUSP dėl Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl ekstradicijos bei Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl savitarpio teisinės pagalbos sudarymo Europos Sąjungos vardu (OL L 291, 2009 11 7, p. 40).

[4]               2012 m. balandžio 26 d. Tarybos sprendimas dėl Jungtinių Amerikos Valstijų ir Europos Sąjungos susitarimo dėl keleivio duomenų įrašų naudojimo ir perdavimo Jungtinių Valstijų Vidaus saugumo departamentui sudarymo (OL L 215, 2012 8 11, p. 4).

[5]               2010 m. liepos 13 d. Tarybos sprendimas dėl Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl finansinių mokėjimų pranešimų duomenų tvarkymo ir perdavimo iš Europos Sąjungos į Jungtines Valstijas Terorizmo finansavimo sekimo programos tikslais sudarymo (OL L 195, 2010 7 27, p. 3).

[6]               2010 m. gruodžio 3 d. Taryba priėmė sprendimą, kuriuo įgaliojo Komisiją derėtis dėl susitarimo. Žr. IP/10/1661, 2010 m. gruodžio 3 d.

[7]               Žr. „Boston Consulting Group“ parengtą dokumentą „The Value of our Digital Identity“, 2012 m. lapkritis.

[8]               Žr. McKinsey parengtą dokumentą „Big Data: The next frontier for innovation, competition, and productivity", 2011 m.

[9]               Komunikatas „Nuotolinės kompiuterijos galimybių naudojimas Europoje“, COM(2012) 529 final.

[10]             Pvz., bendras atskirų „Microsoft Hotmail“, „Google Gmail“ ir „Yahoo! Mail“ naudotojų Europos šalyse skaičius 2012 m. birželį siekė daugiau nei 227 mln. ir viršijo visų kitų tiekėjų turimų naudotojų bendrą sumą. Bendras atskirų „Facebook“ ir „Facebook Mobile“ naudotojų skaičius 2012 m. kovą buvo 196,5 mln., o „Facebook“ buvo didžiausias socialinis tinklas Europoje. „Google“ – pirmaujanti interneto paieškos programa, kuria visame pasaulyje naudojasi 90,2 proc. internautų. JAV mobiliojo ryšio pranešimų mainų paslauga „What's App“ 2013 m. birželį Vokietijoje naudojosi 91 proc. „iPhone“ turėtojų.

[11]             Žr. Europos Sąjungos Teisingumo Teismo sprendimą byloje C-300/11 ZZ prieš Valstybės vidaus reikalų departamento sekretorių.

[12]             Europos Sąjungos sutarties 4 straipsnio 2 dalis.

[13]              Žr., pvz., Sprendimo dėl saugaus uosto I priedą.

[14]             Žr. Komisijos ir JAV iždo departamento bendrą ataskaitą apie duomenų, pateiktų pagal susitarimą dėl finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos tikslais vertę, remiantis Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl finansinių mokėjimų pranešimų duomenų tvarkymo ir perdavimo iš Europos Sąjungos į Jungtines Valstijas terorizmo finansavimo sekimo programos tikslais 6 straipsnio 6 dalimi.

[15]             Žr. Komisijos ataskaitą „Bendra Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl keleivio duomenų įrašo duomenų naudojimo ir perdavimo Jungtinių Valstijų Vidaus saugumo departamentui įgyvendinimo peržiūra“.

[16]             COM(2012) 10 final: Europos Parlamento ir Tarybos direktyvos dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo pasiūlymas (Briuselis, 2012 1 25) ir COM(2012) 11 final: Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas) pasiūlymas.

[17]             Komisija atkreipė dėmesį, kad Europos Parlamentas patvirtino ir pabrėžė šį svarbų principą, įtvirtintą siūlomo reglamento 3 straipsnyje, kai 2013 m. spalio 21 d. vyko balsavimas dėl EP narių Jan-Philippo Albrechto ir Dimitrios Droutsaso iš Piliečių laisvių, teisingumo ir vidaus reikalų komiteto (toliau – LIBE komitetas) parengtų duomenų apsaugos reformos ataskaitų.

[18]             Komisija atkreipė dėmesį, kad per 2013 m. spalio 21 d. balsavimą Europos Parlamento LIBE komitetas pasiūlė į būsimą reglamentą įtraukti nuostatą, reikalaujančią, kad užsienio šalių valdžios institucijos, prašančios prieigos prie ES surinktų asmens duomenų, prieš tai gautų nacionalinės duomenų apsaugos institucijos leidimą, kai toks prašymas pateikiamas ne pagal savitarpio teisinės pagalbos sutartį arba kitą tarptautinį susitarimą.  

[19]             Komisija atkreipė dėmesį, kad per 2013 m. spalio 21 d. balsavimą LIBE komitetas pasiūlė sustiprinti Komisijos pasiūlymo poveikį, numatant baudas, galinčias atitikti 5 proc. metinės pasaulinės bendrovės apyvartos.

[20]             Komisija atkreipė dėmesį, kad per 2013 m. spalio 21 d. balsavimą LIBE komitetas pritarė, kad būtų sugriežtinti duomenų tvarkytojų įsipareigojimai ir atsakomybė, visų pirma dėl siūlomo reglamento 26 straipsnio.

[21]             2013 m. spalio mėn. Europos Vadovų Tarybos išvadose tvirtinama: „Svarbu skatinti piliečių ir įmonių pasitikėjimą skaitmenine ekonomika. Tam, kad iki 2015 m. būtų sukurta bendroji skaitmeninė rinka, būtina laiku nustatyti patikimą ES bendrąją duomenų apsaugos sistemą ir priimti Kibernetinio saugumo direktyvą.“

[22]             Sprendimo dėl saugaus uosto 3 straipsnyje konkrečiai nustatyta, kad duomenų perdavimas gali būti sustabdytas, jeigu yra didelė tikimybė, kad principai yra pažeisti; yra pakankamas pagrindas manyti, kad naudojant atitinkamą vykdymo priežiūros mechanizmą nesiimama ar nebus imtasi pakankamų ir savalaikių priemonių išspręsti iškilusią problemą; tęsiant duomenų perdavimą susidarytų neišvengiamas pavojus rimtai pakenkti duomenų subjektams; valstybės narės kompetentingos institucijos ėmėsi pagrįstų pastangų tokiomis aplinkybėmis pranešti apie tai organizacijai ir suteikti jai galimybę nurodyti priežastis.

[23]             Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, 2013 m. liepos 24 d. pranešimas spaudai.

[24]             Žr. atitinkamą bendro pranešimo spaudai po 2013 m. lapkričio 18 d. ES ir JAV teisingumo ir vidaus reikalų ministrų susitikimo Vašingtone pastraipą: „Todėl skubos tvarka įsipareigojame kuo skubiau derėtis dėl svarbaus ir išsamaus duomenų apsaugos pagrindų susitarimo teisėsaugos klausimais. Remiantis šiuo susitarimu būtų galima palengvinti duomenų perdavimą policijai ir teismams bendradarbiaujant baudžiamosiose bylose ir užtikrinti aukšto lygio JAV ir ES piliečių asmens duomenų apsaugą. Esame pasirengę imtis veiksmų ir išspręsti likusias abiem pusėms svarbias problemas, įskaitant teisminio teisių gynimo klausimą (labai svarbu ES). Mūsų tikslas – derybas dėl susitarimo baigti prieš 2014 m. vasarą.“

[25]             Žr. atitinkamą bendro pranešimo spaudai po 2013 m. lapkričio 18 d. ES ir JAV teisingumo ir vidaus reikalų ministrų susitikimo Vašingtone pastraipą: „Be to, pabrėžiame, kokia svarbi yra ES ir JAV savitarpio teisinės pagalbos sutartis. Mes pakartotinai įsipareigojame užtikrinti, kad ji būtų plačiai ir veiksmingai naudojama renkant įrodymus baudžiamosiose bylose. Taip pat diskutuota apie būtinybę patikslinti, kad teisėsaugos institucijos negalės turėti prieigos prie kitos šalies teritorijoje privačių subjektų saugomų asmens duomenų, jeigu ryšių kanalai bus neteisėti. Taip pat sutarėme peržiūrėti savitarpio teisinės pagalbos sutartį, kaip nurodyta susitarime, ir prireikus vienas su kitu konsultuotis.“

[26]          Šiuo klausimu žr. JT Generalinei Asamblėjai Vokietijos ir Brazilijos pasiūlytą rezoliucijos projektą, kuriama prašoma užtikrinti privatumo internete ir realioje erdvėje apsaugą.

[27]          JAV jau yra prisijungusi prie kitos Europos Tarybos konvencijos – 2001 m. Konvencijos dėl elektroninių nusikaltimų (vadinamoji Budapešto konvencija).