KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI Pasitikėjimo ES ir JAV duomenų mainais atkūrimas /* COM/2013/0846 final */
1. Įžanga. ES ir
JAV duomenų tvarkymo aplinkos pokyčiai Europos
Sąjunga ir Jungtinės Amerikos Valstijos yra strateginės
partnerės, ir ši partnerystė yra itin svarbi mūsų bendroms
vertybėms, saugumui ir pirmavimui kartu sprendžiant pasaulinės
reikšmės klausimus. Tačiau pasitikėjimui partneryste suduotas
smūgis, tad šį pasitikėjimą teks vėl atkurti. ES,
valstybės narės ir Europos piliečiai išreiškė didžiulį
susirūpinimą, paviešinus informaciją apie JAV vykdytas
didelės apimties žvalgybos duomenų rinkimo programas, visų pirma
susijusias su asmens duomenų apsauga[1]. Masinis
privataus pobūdžio ryšių priemonių sekimas, kad ir kieno jos
būtų – piliečių, įmonių ar politinių
lyderių, nėra priimtinas. Plėtojant
transatlantinius ryšius, asmens duomenų perdavimas yra svarbus ir
būtinas. Tai neatsiejama nuo komercinių mainų abipus Atlanto , įskaitant naujas besivystančias skaitmeninio verslo
įmones, kaip antai socialinius tinklus arba debesijos kompiuteriją,
perduodant iš ES į JAV daugybę duomenų. Duomenų perdavimas
taip pat labai svarbus ES ir JAV bendradarbiavimui teisėsaugos srityje ir
valstybių narių bei JAV bendradarbiavimui nacionalinio saugumo
srityje. Siekdamos supaprastinti duomenų judėjimą ir užtikrinti
aukštą duomenų apsaugos lygį, kaip reikalaujama pagal ES teisę,
JAV ir ES priėmė keletą susitarimų ir tvarkų. Komercinius mainus
reglamentuoja Sprendimas 2000/520/EB[2] (toliau –
Sprendimas dėl saugaus uosto). Šis sprendimas – teisinis pagrindas, kuriuo
remiantis asmens duomenys iš ES perduodami JAV įsteigtoms ir „saugaus
uosto“ principus taikančioms bendrovėms. ES ir JAV asmens
duomenų mainus teisėsaugos tikslais, įskaitant terorizmo ir
kitų sunkių nusikaltimų prevenciją ir kovą su jais,
reglamentuoja keletas ES lygmens susitarimų: savitarpio teisinės
pagalbos susitarimas [3], susitarimas
dėl keleivio duomenų įrašų (PNR) naudojimo ir perdavimo [4], susitarimas
dėl finansinių pranešimų duomenų tvarkymo ir perdavimo
Terorizmo finansavimo sekimo programos (TFTP) tikslais[5] ir Europolo
ir JAV susitarimas. Šie susitarimai padeda spręsti svarbius saugumo
klausimus, atsižvelgti į bendrus ES ir JAV saugumo interesus ir užtikrinti
aukštą asmens duomenų apsaugos lygį. Be to, ES ir JAV šiuo metu
derasi dėl pagrindų susitarimo dėl duomenų apsaugos
policijos ir teisminio bendradarbiavimo srityje (toliau – pagrindų
susitarimas)[6]. Jais
siekiama užtikrinti aukštą piliečių duomenų, kuriais
keičiamasi, apsaugos lygį ir taip toliau plėtoti ES ir JAV
bendradarbiavimą kovojant su nusikalstamumu ir terorizmu, laikantis
bendrų vertybių ir taikant sutartas apsaugos priemones. Šios priemonės
taikomos aplinkoje, kurioje asmens duomenų teikimas įgyja vis
didesnę reikšmę. Viena vertus,
skaitmeninės ekonomikos plėtra lėmė drastišką
duomenų tvarkymo veiklos išaugimą kiekybės, kokybės,
įvairovės ir pobūdžio požiūriu. Kasdieniniame gyvenime
piliečiai vis dažniau naudoja elektroninių ryšių paslaugas.
Asmens duomenys tapo itin brangia vertybe: apytikrė ES piliečių
duomenų vertė 2011 m. buvo 315 mlrd. EUR, o iki 2020 m.
kasmet gali ūgtelėti kone 1 trln. EUR[7]. Kasmet
didelės apimties duomenų rinkinių analizės pasaulinė
rinka padidėja 40 proc.[8] Analogiškai
technologijų, pavyzdžiui, susijusių su debesų kompiuterija,
plėtra leidžia naujai pažvelgti į tarptautinį duomenų
perdavimą, duomenų judėjimui tarp valstybių tampant
kasdienybe.[9] Išaugus
elektroninių ryšių ir duomenų apdorojimo paslaugų,
įskaitant debesų kompiuteriją, paklausai, gerokai padidėjo
transatlantinio duomenų perdavimo apimtis ir svarba. Dar didesnę
reikšmę įgavo tokie elementai, kaip neeilinis JAV bendrovių
vaidmuo vystant skaitmeninę ekonomiką[10], didelės dalies
elektroninių ryšių maršrutizavimas abipus Atlanto ir
elektroninių ES ir JAV duomenų mainų apimtys. Kita vertus,
šiuolaikiniai asmens duomenų apdorojimo būdai kelia naujų
aktualių klausimų. Tai taikoma tiek naujoms plataus masto
vartotojų duomenų apdorojimo priemonėms, kurias privačios
bendrovės naudoja komerciniais tikslais, tiek didelio masto ryšių
duomenų stebėjimui, kurį vykdo žvalgybos tarnybos. Didelio masto JAV
žvalgybos duomenų rinkimo priemonės, pvz., PRISM, pažeidžia
europiečių pagrindines teises, ypač jų teisę į
privatumą ir į asmens duomenų apsaugą. Šios programos taip
pat įrodo, kad egzistuoja ryšys tarp vyriausybės vykdomos žvalgybos
ir privačių įmonių, visų pirma JAV interneto įmonių,
atliekamo duomenų tvarkymo. Todėl jos gali turėti poveikio
ekonomikai. Piliečiams kelia susirūpinimą dideliu mastu
privačių įmonių tvarkomi asmens duomenys ar jų
stebėjimas, kurį vykdo žvalgybos tarnybos, kai teikiamos paslaugos
internetu, o tai gali sumažinti piliečių pasitikėjimą
skaitmenine ekonomika ir turėti neigiamų pasekmių augimui. Įvykus šiems
pokyčiams, kilo naujų klausimų dėl ES ir JAV duomenų
teikimo. Šie klausimai nagrinėjami šiame komunikate. Jame analizuojamos
būsimos galimybės, remiantis specialios ES ir JAV darbo grupės
pirmininkų, atstovaujančių ES, ataskaita ir komunikatu „Saugus
uostas“. Komunikate bandoma rasti veiksmingą būdą, kaip atkurti
pasitikėjimą, sustiprinti ES ir JAV bendradarbiavimą šiose
srityse ir transatlantinius ryšius. Šis komunikatas pagrįstas prielaida, kad asmens duomenų
apsaugos standartai turi būti svarstomi tinkamame kontekste, nedarant
žalos kitoms ES ir JAV santykių sferoms, įskaitant vykstančias
derybas dėl transatlantinės prekybos ir investicijų partnerystės.
Dėl šios priežasties derybos duomenų apsaugos standartų klausimu
nebus įtrauktos į transatlantinės prekybos ir investicijų
partnerystės programą, o tai visiškai atitinka duomenų apsaugos
taisykles. Svarbu pažymėti, kad nors ES gali imtis veiksmų savo kompetencijos
ribose, visų pirma siekdama užtikrinti ES teisės taikymą[11],
atsakomybė už nacionalinį saugumą yra individuali kiekvienos
valstybės narės atsakomybė[12]. 2. Priemonių poveikis duomenų perdavimui Pirmiausia, kalbant
apie komerciniais tikslais perduodamus duomenis, pasitvirtino saugaus uosto
kaip ES ir JAV duomenų perdavimo priemonės svarba. Jo svarba
prekybai išaugo, nes padidėjo asmens duomenų teikimo reikšmė
plėtojant transatlantinius prekybos ryšius. Per pastaruosius 13 metų
saugaus uosto programa išsiplėtė ir pritraukė dar 3 000
įmonių, kurių didesnioji pusė prie jos prisijungė per
paskutinius penkerius metus. Nežiūrint to, išaugo susirūpinimas pagal
saugaus uosto principus JAV perduotų ES piliečių asmens
duomenų apsaugos lygiu. Savanoriškas ir deklaratyvus šios priemonės
pobūdis atkreipė dėmesį į jos skaidrumą ir
vykdymo užtikrinimą. Nors dauguma JAV bendrovių taiko schemos
principus, kai kurios savanoriškai pasitvirtinusios bendrovės to nedaro.
Kai kurių savanoriškai pasitvirtinusių bendrovių atsisakymas
paisyti saugaus uosto privatumo principų suteikia joms konkurencinio
pranašumo tose pačiose rinkose veikiančių Europos bendrovių
atžvilgiu. Be to, nors pagal
saugaus uosto nuostatas leidžiama taikyti apribojimus duomenų apsaugos
taisyklėms, jeigu to reikia nacionalinio saugumo tikslais[13], kyla
klausimas, ar didelio masto asmeninės informacijos rinkimas ir apdorojimas
naudojant JAV sekimo programas yra būtinas ir proporcingas nacionalinio
saugumo interesams užtikrinti. Be to, remiantis specialios ES ir JAV darbo
grupės išvadomis, tapo aišku, kad vykdant šias programas ES piliečiai
neturi tokių pat teisių ir procesinių garantijų kaip
amerikiečiai. Šių sekimo
programų mastas, taip pat nevienodas požiūris į ES
piliečius kelia abejonių dėl apsaugos lygio pagal
susitarimą dėl saugaus uosto. Pagal susitarimą dėl saugaus
uosto JAV nusiųstus ES piliečių asmens duomenis JAV valdžios
institucijos gali gauti ir toliau tvarkyti tokiu būdu, kuris yra
nesuderinamas su jų surinkimo ES pagrindais ir tikslais, kuriais jie buvo
perduoti JAV. Dauguma JAV interneto bendrovių, kurios yra kiek labiau
susijusios su šiomis programomis, yra sertifikuotos pagal saugaus uosto
schemą. Antra, kalbant apie
keitimąsi duomenimis teisėsaugos tikslais, pasitvirtino
galiojančių susitarimų (susitarimas dėl keleivio
duomenų įrašų naudojimo ir perdavimo, susitarimas dėl
finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo
finansavimo sekimo programos tikslais) nauda šalinant bendras saugumo
grėsmes, susijusias su sunkiais tarptautiniais nusikaltimais ir terorizmu,
ir tvirtinant apsaugos priemones, kuriomis užtikrinama aukšto lygio
duomenų apsauga[14]. Šios
apsaugos priemonės taikomos ir ES piliečiams, o susitarimuose yra
numatyti mechanizmai, kaip peržiūrėti jų įgyvendinimą
ir spręsti susijusius klausimus. Susitarimu dėl finansinių
pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo
programos tikslais taip pat sukurta priežiūros sistema, leidžianti
nepriklausomiems prižiūrėtojams iš ES tikrinti, kaip JAV vykdo duomenų,
kuriems taikomas šis susitarimas, paiešką. Atsižvelgdama
į ES kilusį susirūpinimą JAV sekimo programomis, Europos
Komisija, naudodamasi minėtomis priemonėmis, patikrino, kaip yra
taikomi susitarimai. Atlikdami bendrą susitarimo dėl keleivio
duomenų įrašų naudojimo ir perdavimo peržiūrą,
duomenų apsaugos specialistai iš ES ir JAV tyrė, kaip susitarimas
buvo įgyvendinamas[15]. Atlikus
šią peržiūrą, nenustatyta nieko, kas patvirtintų, kad JAV
sekimo programų objektu yra keleivių duomenys, kuriems taikomas susitarimas
dėl keleivio duomenų įrašų naudojimo ir perdavimo, arba kad
jos turi šiems duomenims poveikio. Kalbant apie susitarimą dėl
finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo
finansavimo sekimo programos tikslais, pasirodžius tvirtinimams, kad JAV
žvalgybos tarnybos gavo tiesioginę prieigą prie asmens duomenų
ES ir taip buvo pažeistos susitarimo nuostatos, Komisija pradėjo
oficialias konsultacijas. Per konsultacijas nepavyko rasti jokių
įrodymų, patvirtinančių, kad buvo pažeistos susitarimo
dėl finansinių pranešimų duomenų tvarkymo ir perdavimo
Terorizmo finansavimo sekimo programos tikslais nuostatos, o JAV raštu
patikino, kad duomenys tiesiogiai nebuvo renkami ir susitarimo nuostatos taip
nebuvo pažeistos. Tačiau tai,
kad pagal JAV sekimo programas vykdomas didelio masto asmeninės
informacijos rinkimas ir tvarkymas, reiškia, kad ir toliau būtina labai
atidžiai stebėti, kaip bus įgyvendinamas susitarimas dėl
keleivio duomenų įrašų naudojimo ir perdavimo ir susitarimas
dėl finansinių pranešimų duomenų tvarkymo ir perdavimo
Terorizmo finansavimo sekimo programos tikslais. Todėl ES ir JAV
sutarė paankstinti kitą bendrą susitarimo dėl
finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo
finansavimo sekimo programos tikslais peržiūrą, kuri įvyks 2014 m.
pavasarį. Ši ir būsimos bendros peržiūros padės užtikrinti
didesnį priežiūros sistemos veikimo ir ES piliečių
duomenų apsaugos būdo skaidrumą. Be to, bus imtasi
priemonių siekiant užtikrinti, kad taikant priežiūros sistemą ir
toliau būtų atidžiai stebima, kaip tvarkomi pagal susitarimą JAV
perduoti duomenys, sutelkiant dėmesį į tai, kaip šiais
duomenimis keičiasi JAV valdžios institucijos. Trečia,
išaugus asmens duomenų tvarkymo apimčiai, tampa akivaizdi
taikomų teisinių ir administracinių apsaugos priemonių
svarba. Vienas iš specialios ES ir JAV darbo grupės tikslų buvo
nustatyti, kurios iš apsaugos priemonių gali kuo labiau sumažinti
duomenų tvarkymo poveikį pagrindinėms ES piliečių teisėms.
Apsaugos priemonės taip pat reikalingos bendrovėms apsaugoti. Kai
kuriais JAV įstatymais, pvz., Patriotiniu aktu, JAV valdžios institucijoms
suteikiama teisė tiesiogiai reikalauti, kad bendrovės suteiktų
prieigą prie ES saugomų duomenų. Todėl Europos bendrovės
ir ES veikiančios JAV bendrovės, pažeisdamos ES ir valstybių
narių įstatymus, gali būti priverstos persiųsti duomenis
į JAV ir taip susidurti su prieštaraujančiais teisiniais
įsipareigojimais. Teisinis netikrumas, atsirandantis dėl
tokių tiesioginių reikalavimų, gali kliudyti plėtoti naujas
skaitmenines paslaugas, tokias kaip debesijos kompiuterija, galinčias
tapti efektyviais ir iš asmenų ir įmonių mažai sąnaudų
reikalaujančiais sprendimais. 3. Duomenų apsaugos veiksmingumo
užtikrinimas Asmens duomenų
perdavimas tarp ES ir JAV yra esminis transatlantinių prekybos ryšių
elementas. Dalijimasis informacija taip pat yra esminis ES ir JAV
bendradarbiavimo saugumo srityje elementas, ypač svarbus siekiant bendro
tikslo – užkirsti kelią sunkiems nusikaltimams ir terorizmui ir su jais
kovoti. Tačiau neseniai paviešinta informacija apie JAV žvalgybos
duomenų rinkimo programas turėjo neigiamo poveikio
pasitikėjimui, kuriuo šis bendradarbiavimas yra grindžiamas. Visų
pirma, mažiau pasitikima metodais, kurie taikomi tvarkant asmens duomenis.
Siekiant atkurti pasitikėjimą duomenų perdavimu ir jo nauda
skaitmeninei ekonomikai, saugumui ES ir JAV ir platesnio masto
transatlantiniams ryšiams, reikėtų imtis toliau nurodytų
veiksmų. 3.1. ES duomenų apsaugos reforma 2012 m.
sausį Komisija pasiūlė įvykdyti duomenų apsaugos
reformą[16], kuri bus
pagrindinis atsakas asmens duomenų apsaugos klausimu. Itin svarbūs
penki siūlomo duomenų apsaugos paketo elementai. Pirmiausia,
dėl teritorinės taikymo srities siūlomame reglamente aiškiai
nurodyta, kad ne Sąjungoje įsteigtos įmonės, Europos
vartotojams siūlydamos prekes ir paslaugas arba stebėdamos jų
elgseną, turės taikyti ES duomenų apsaugos įstatymus.
Kitaip tariant, pagrindinės teisės į duomenų apsaugą
bus paisoma nepriklausomai nuo bendrovės arba jai priklausančios duomenų
apdorojimo vietos geografinės padėties[17]. Antra, dėl
tarptautinio duomenų perdavimo siūlomame reglamente nustatomos
sąlygos, kuriomis duomenis galima perduoti už ES ribų. Perduoti juos
galima tik tada, kai šios sąlygos, kuriomis užtikrinama asmenų teisė
į aukšto lygio apsaugą, yra įvykdytos [18]. Trečia,
kalbant apie vykdymo užtikrinimą, pagal siūlomas taisykles numatomos
proporcingos atgrasomosios sankcijos (iki 2 proc. visos bendrovės
metinės apyvartos), siekiant užtikrinti, kad bendrovės laikytųsi
ES teisės aktų[19].
Įtikinamos sankcijos skatins įmones paisyti ES teisės aktų. Ketvirta, į
siūlomą reglamentą įtrauktos aiškios taisyklės
dėl duomenų tvarkytojų, tokių kaip debesijos kompiuterijos
paslaugų teikėjai, įsipareigojimų ir atsakomybės,
įskaitant saugumą[20]. Remiantis
atskleista informacija apie JAV žvalgybos duomenų rinkimo programas, tai
yra itin svarbu, nes šių programų poveikis debesijos kompiuteriuose
saugomiems duomenims turi neigiamo poveikio. Be to, duomenų saugojimo
debesijos kompiuteriuose paslaugas teikiančios bendrovės, kurių
užsienio šalių valdžios institucijos prašo pateikti asmens duomenis,
negalės išvengti atsakomybės, remdamosi tuo, kad jos yra ne
duomenų valdytojai, o duomenų tvarkytojai. Penkta,
priėmus šį paketą, bus galima nustatyti išsamias taisykles
dėl teisėsaugos sferoje tvarkomų asmens duomenų apsaugos. Tikimasi, kad
dėl paketo bus susitarta laiku per 2014 m[21]. 3.2. Saugaus uosto saugumo padidinimas Saugaus uosto schema, kuria pasitiki bendrovės abipus Atlanto, yra
svarbi ES ir JAV prekybos ryšiams. Komisijos
ataskaitoje dėl saugaus uosto veikimo nurodyti keli schemos trūkumai.
Kadangi trūksta skaidrumo ir vykdymas užtikrinamas ne visuomet, kai kurios
savarankiškai pasitvirtinusios saugaus uosto schemos narės iš esmės
nesilaiko jos principų. Tai turi neigiamo poveikio ES piliečių
pagrindinėms teisėms. Be to, tokiu būdu nepalankioje
padėtyje atsiduria Europos bendrovės, konkuruojančios su JAV
bendrovėmis, kurios vykdo veiklą pagal schemą, tačiau
praktiškai jos principų netaiko. Dėl šio trūkumo taip pat
kenčia dauguma tinkamai schemą taikančių JAV
bendrovių. Saugus uostas taip pat veikia kaip laidininkas, kuriuo ES
piliečių asmens duomenys JAV žvalgybos tarnybų prašymu pagal JAV
žvalgybos duomenų rinkimo programas bendrovių perduodami iš ES į
JAV. Jeigu trūkumai nebus ištaisyti, ES verslas atsidurs konkurencingumo
požiūriu prastesnėje padėtyje, o pagrindinėms ES
piliečių teisėms į duomenų apsaugą bus padarytas
neigiamas poveikis. Saugaus uosto
schemos trūkumus pabrėžė Europos duomenų apsaugos
tarnybų atsakas į pastaruoju metu atskleistą informaciją
apie sekimą. Sprendimo dėl saugaus uosto 3 straipsnis nustato, kad
tam tikromis sąlygomis minėtos institucijos turi teisę
sustabdyti duomenų teikimą patvirtintai bendrovei.[22] Vokietijos
duomenų apsaugos priežiūros pareigūnai nusprendė neišduoti
naujų leidimų perduoti duomenis į ES nepriklausančias šalis
(pvz., jei jie bus naudojami teikiant tam tikras debesijos kompiuterijos
paslaugas). Jie taip pat nagrinės, ar nederėtų sustabdyti
duomenų perdavimo pagal saugaus uosto schemą.[23] Yra rizika,
kad nacionaliniu lygiu taikomų priemonių taikymo sritis gali
nesutapti, o tai reiškia, kad saugaus uosto sistema nustotų būti
pagrindinė asmens duomenų perdavimo tarp ES ir JAV priemonė. Pagal
Direktyvą 95/46/EB Komisijai suteikti įgaliojimai sustabdyti arba
atšaukti Sprendimo dėl saugaus uosto taikymą, jeigu schema nebeteikia
tinkamo lygio apsaugos. Be to, Sprendimo dėl saugaus uosto 3 straipsnyje
nustatyta, kad Komisija gali atšaukti, sustabdyti arba apriboti sprendimo
taikymo sritį, o pagal 4 straipsnį ji gali bet kada sprendimą
pakeisti, atsižvelgdama į jį vykdant sukauptą patirtį. Atsižvelgiant
į tai, galima svarstyti keletą politikos galimybių,
įskaitant:
status quo padėties išlaikymą;
saugaus
uosto schemos sustiprinimą ir nuodugnią jos veikimo
peržiūrą;
Sprendimo
dėl saugaus uosto sustabdymą arba panaikinimą.
Atsižvelgiant
į nustatytus trūkumus, saugaus uosto schemos įgyvendinimas
dabartinėmis aplinkybėmis negali būti tęsiamas. Tačiau
ją panaikinus būtų pažeisti schemą taikančių ES
ir JAV bendrovių interesai. Komisija mano, kad verčiau
reikėtų patobulinti saugaus uosto schemą. Tobulinant
reikėtų pašalinti struktūrinius trūkumus, susijusius su
skaidrumu ir vykdymo užtikrinimu, esminiais saugaus uosto principais ir
nacionalinio saugumo išimties taikymu. Konkrečiau,
tam, kad saugaus uosto schema veiktų kaip numatyta, reikia
veiksmingesnės ir sistematiškesnės JAV valdžios institucijų
vykdomos stebėsenos ir priežiūros, kurių tikslas –
įvertinti, kaip patvirtintos bendrovės laikosi saugaus uosto
privatumo principų. Reikia padidinti patvirtintų įmonių
privatumo politikos skaidrumą. ES piliečiams taip pat reikia
visapusiškai užtikrinti galimybę pasinaudoti ginčų sprendimo
mechanizmais. Komisija skubos tvarka
kreipsis į JAV valdžios institucijas, kad aptartų nustatytus
trūkumus. Iki 2014 m. vasaros reikėtų nustatyti
taisomuosius veiksmus ir kuo greičiau juos įgyvendinti. Šiuo pagrindu
Komisija atliks išsamų saugaus uosto schemos veikimo vertinimą.
Atliekant šį platesnio pobūdžio vertinimą, reikėtų
surengti viešas konsultacijas ir diskusijas Europos Parlamente ir Taryboje,
taip pat diskusijas su JAV valdžios institucijomis. Taip pat svarbu,
kad Sprendime dėl saugaus uosto numatyta nacionalinio saugumo išimtis
būtų taikoma tik tiek, kiek tai yra būtina, ir pagal
proporcingumo principą. 3.3. Bendradarbiaujant
teisėsaugos institucijoms taikomų duomenų apsaugos
priemonių stiprinimas ES ir JAV šiuo metu
derasi dėl duomenų apsaugos pagrindų susitarimo, kuris
reglamentuotų asmeninės informacijos perdavimą ir tvarkymą
policijai ir teismams bendradarbiaujant baudžiamosiose bylose. Sudarius
tokį susitarimą, kuriuo numatoma aukšto lygio asmens duomenų
apsauga, būtų gerokai prisidėta prie pasitikėjimo abipus
Atlanto padidinimo. Pagerinus ES piliečių teisių, susijusių
su duomenimis, apsaugą, būtų sustiprintas transatlantinis bendradarbiavimas,
kurio tikslas – užkirsti kelią nusikaltimams ir terorizmui ir su jais
kovoti. Pagal
sprendimą, kuriuo Komisija įgaliojama derėtis dėl
pagrindų susitarimo, derybomis turėtų būti užtikrinta
aukšto lygio apsauga, atitinkanti ES duomenų apsaugos acquis. Su
minėtu reikalavimu reikėtų suderinti sutartas taisyklės ir
apsaugos priemones, susijusias, inter alia, su tikslų apribojimu ir
duomenų laikymo sąlygomis ir trukme. Derėdamasi Komisija taip
pat turėtų išgauti įsipareigojimus dėl vykdytinų
teisių, įskaitant teisminio nuolat JAV negyvenančių ES
piliečių teisių gynimo mechanizmus[24]. Glaudus ES
ir JAV bendradarbiavimas bendro saugumo klausimais turėtų virsti
pastangomis užtikrinti, kad piliečiai galėtų naudotis tomis
pačiomis teisėmis, kai abipus Atlanto tais pačiais tikslais
tvarkomi tie patys duomenys. Taip pat svarbu, kad nacionalinio saugumo
interesais grindžiamos išimtys būtų aiškinamos siaurai. Atsižvelgiant
į tai, reikėtų susitarti dėl apsaugos priemonių ir
apribojimų. Šios derybos bus
proga patikslinti, kad JAV teisėsaugos institucijos neturės
tiesioginės prieigos prie privačių bendrovių ES
saugomų asmens duomenų arba negalės jų gauti jokiais kitais
bendradarbiavimo ryšių kanalais, išskyrus, pvz., pagal savitarpio
teisinės pagalbos sutartis arba ES ir JAV sektorių susitarimus,
leidžiančius taip perduoti duomenis. Reikėtų neleisti naudotis
kitomis priemonėmis, nebent perdavimo atvejai būtų aiškiai
apibrėžti, išimtiniai ir gali būti persvarstyti teismo. JAV
turėtų prisiimti įsipareigojimus, atsižvelgdamos į šias
sąlygas[25]. Taip suderintu
pagrindų susitarimu turėtų būti nustatyta bendroji sistema,
kuria būtų užtikrinta aukšto lygio apsauga, taikoma asmens duomenims,
kurie JAV perduodami siekiant užkirsti kelią nusikaltimams bei terorizmui
ir su jais kovoti. Atsižvelgiant į atitinkamą duomenų perdavimo
pobūdį, sektorių susitarimuose prireikus turėtų
būti nustatytos papildomos taisyklės ir apsaugos priemonės,
pvz., remiantis ES ir JAV susitarimu dėl keleivio duomenų
įrašų naudojimo ir perdavimo ir susitarimu dėl finansinių
pranešimų duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo
programos tikslais, kuriuose nustatyti griežti duomenų perdavimo
reikalavimai ir ES piliečių apsaugos priemones. 3.4. Kaip bus atsižvelgta į Europai rūpimus klausimus
vykstant dabartiniam reformos JAV procesui JAV prezidentas
B. Obama paskelbė, jog bus surengta JAV nacionalinių saugumo
institucijų veiklos, įskaitant taikomą teisinę
sistemą, peržiūra. Šis procesas – tai gera galimybė
išspręsti ES rūpimus klausimus, kilusius neseniai paviešinus
informaciją apie JAV vykdytas žvalgybos duomenų rinkimo programas.
Svarbiausi pakeitimai – JAV piliečiams ir rezidentams skirtos apsaugos
priemonės būtų taikomos ir nuolat JAV negyvenantiems ES
piliečiams, būtų didinamas žvalgybos veiklos skaidrumas ir
toliau stiprinama priežiūra. Tokie pokyčiai padėtų atkurti
pasitikėjimą ES ir JAV duomenų mainais ir skatinti
europiečius naudotis interneto paslaugomis. Kalbant apie JAV
piliečiams ir rezidentams skirtų apsaugos priemonių taikymą
ES piliečiams, reikėtų peržiūrėti teisės normas,
susijusias su JAV sekimo programomis, pagal kurias JAV ir ES piliečiai
traktuojami nevienodai, įskaitant būtinumo ir proporcingumo
principus, atsižvelgiant į glaudžią transatlantinio saugumo
partnerystę, paremtą bendromis vertybėmis, teisėmis ir
laisvėmis. Tai leistų sumažinti JAV žvalgybos duomenų rinkimo
programų poveikį europiečiams. JAV žvalgybos
duomenų rinkimo programas reglamentuojanti teisinė sistema, ją
interpretuojantys JAV teismų sprendimai, įskaitant JAV žvalgybos
duomenų rinkimo programų kiekybinį aspektą,
turėtų būti skaidresni. Tokie pakeitimai ES piliečiams taip
pat būtų naudingi. Padidinus Užsienio
žvalgybos priežiūros teismo vaidmenį ir nustačius asmenų
teisių gynimo priemones, pagerėtų JAV žvalgybos duomenų
rinkimo programų priežiūra. Įvedus šias priemones,
būtų tvarkoma mažiau nacionalinio saugumo požiūriu
nesvarbių europiečių asmens duomenų. 3.5. Privatumo
standartų paisymas tarptautiniu mastu Klausimai, kylantys
dėl šiuolaikinių duomenų apsaugos metodų, nėra
susiję tik su ES ir JAV duomenų mainais. Aukšto lygio asmens
duomenų apsauga taip pat turėtų būti užtikrinta bet kuriam
asmeniui. Reikėtų skatinti tarptautiniu mastu ES taisykles dėl
duomenų rinkimo, tvarkymo ir perdavimo. Neseniai
pasiūlyta ne viena iniciatyva, kuria siūloma stiprinti privatumo
apsaugą, visų pirma internete[26]. ES
turėtų užtikrinti, kad įgyvendinant tokias iniciatyvas
būtų visiškai atsižvelgiama į pagrindinių teisių,
žodžio laisvės, asmens duomenų ir privatumo apsaugos principus, kaip
nustatyta ES teisėje ir ES kibernetinio saugumo strategijoje, ir
nebūtų pažeista kibernetinės erdvės laisvė, atvirumas
ir saugumas. Tai reiškia, kad būtinas demokratinis ir veiksmingas
daugiašalis valdymo modelis. Vykstant su
duomenų apsaugos teisės aktais susijusioms reformoms abipus Atlanto,
ES ir JAV taip pat suteikiama neeilinė galimybė įvesti
tarptautinį standartą. Duomenų mainams abipus Atlanto daug
naudos duotų JAV vidaus teisės sistemos sustiprinimas, taip pat 2012
m. vasarį Prezidento B. Obamos paskelbto Vartotojų privatumo
teisių akto, kaip išsamaus plano kaip pagerinti vartotojų privatumo
apsaugą, priėmimas. Jeigu egzistuotų patikimos ir vykdytinos
duomenų apsaugos taisyklės ir jos būtų įtvirtintos
tiek ES, tiek JAV, tai būtų tvirtas pagrindas tarpvalstybiniam
duomenų teikimui. Siekiant skatinti
privatumo standartų taikymą tarptautiniu mastu, pirmenybė taip
pat turėtų būti teikiama prisijungimo prie Europos Tarybos
konvencijos dėl asmenų apsaugos ryšium su asmens duomenų
automatizuotu tvarkymu (108-oji konvencija) galimybei, kuria gali pasinaudoti
ir tos šalys, kurios nėra Europos Tarybos narės[27]. Tarptautiniuose
forumuose sutartos apsaugos priemonės ir garantijos turėtų
užtikrinti aukšto lygio apsaugą, atitinkančią ES teisės
reikalavimus. 4.
Išvados
ir rekomendacijos Šiame komunikate
nurodytus klausimus reikia spręsti veiksmais, kurių turi imtis JAV,
taip pat ES ir jos valstybės narės. Susirūpinimas
transatlantiniais duomenų mainais, visų pirma, yra
įspėjimas ES ir jos valstybėms narėms greitai ir ryžtingai
spartinti duomenų apsaugos reformą. Jis rodo, kad dabar kaip niekad
būtina patikima teisinė sistema su aiškiomis taisyklėmis, kurios
vykdytinos ir tais atvejais, kai duomenys perduodami svetur. Todėl ES
institucijos turėtų toliau dirbti, kad iki 2014 m. pavasario
būtų pritarta ES duomenų apsaugos reformai, siekiant užtikrinti,
kad asmens duomenys būtų saugomi veiksmingai ir visa apimtimi. Atsižvelgiant
į transatlantinio duomenų teikimo svarbą, priemonės,
kuriomis pagrįsti šie mainai, turi atitikti uždavinius ir galimybes,
susijusius su skaitmenine era ir naujų technologijų, pvz., debesijos
kompiuterijos, plėtra. Esamos ir būsimos priemonės ir
susitarimai turėtų užtikrinti, kad abipus Atlanto būtų
nuolat užtikrinama aukšto lygio apsauga. Patikima saugaus
uosto schema atitinka ES ir JAV piliečių ir bendrovių
interesus. Trumpuoju laikotarpiu ji turėtų būti sustiprinta
užtikrinant geresnę stebėseną bei įgyvendinimą ir,
atsižvelgiant į šias sąlygas, platesnę jos veikimo peržiūrą.
Reikalingi patobulinimai, kurie užtikrintų, kad tebebūtų
laikomasi pradinių Sprendimo dėl saugaus uosto tikslų, t. y.
duomenų apsaugos tęstinumo, teisinio tikrumo ir laisvo ES ir JAV
duomenų teikimo. Šie patobulinimai
turėtų atkreipti JAV valdžios institucijų dėmesį
į būtinybę geriau prižiūrėti ir stebėti, ar
savarankiškai pasitvirtinusios bendrovės laikosi saugaus uosto privatumo
principų. Taip pat svarbu,
kad Sprendime dėl saugaus uosto numatyta nacionalinio saugumo išimtis
būtų naudojama tik tiek, kiek tai yra būtina, ir pagal
proporcingumo principą. Teisėsaugos
srityje šiuo metu vyksta derybos dėl pagrindų susitarimo, po
kurių abipus Atlanto piliečiams turėtų būti užtikrinta
aukšto lygio apsauga. Toks susitarimas sustiprintų europiečių
pasitikėjimą ES ir JAV duomenų mainais ir taptų pagrindu
toliau plėtoti ES ir JAV saugumo bendradarbiavimą ir
partnerystę. Derantis reikėtų užtikrinti, kad būtų
prisiimti įsipareigojimai dėl procesinių apsaugos
priemonių, įskaitant teisminį teisių gynimą, taikymo europiečiams,
neturintiems nuolatinės gyvenamosios vietos JAV. Reikėtų
gauti JAV vyriausybės įsipareigojimus, kad ji užtikrins, jog JAV
teisėsaugos tarnyboms tiesioginė prieiga prie ES privačių
subjektų saugomų asmens duomenų nebus suteikta kitaip nei
neoficialiais bendradarbiavimo kanalais, pvz., pagal savitarpio teisinės
pagalbos sutartis ir ES ir JAV sektorių susitarimus, kaip antai
susitarimą dėl keleivio duomenų įrašų naudojimo ir
perdavimo ir susitarimą dėl finansinių pranešimų
duomenų tvarkymo ir perdavimo Terorizmo finansavimo sekimo programos
tikslais, išskyrus aiškiai apibrėžtus, išimtinius atvejus, kuriuos gali
persvarstyti teismas. JAV savo
piliečiams ir rezidentams skirtas apsaugos priemones turėtų
taikyti ir nuolatinės gyvenamosios vietos JAV neturintiems ES
piliečiams, JAV taip pat turėtų užtikrinti programų poreikį
ir proporcingumą ir didinti JAV nacionalinio saugumo institucijoms
taikomos teisinės sistemos skaidrumą ir priežiūrą. Šiame komunikate
išvardytose srityse reikės konstruktyvių veiksmų abejose Atlanto
pusėse. Kaip strateginės partnerės ES ir JAV drauge turi
galimybių pašalinti dabar kilusią įtampą transatlantiniuose
ryšiuose ir atkurti pasitikėjimą ES ir JAV duomenų mainais.
Jeigu būtų prisiimti bendri politiniai ir teisiniai
įsipareigojimai dėl tolesnio bendradarbiavimo šiose srityse, tai
sustiprintų bendrus transatlantinius ryšius. [1] Šiame komunikate nuorodos į ES piliečius taip
pat apima ne ES duomenų subjektus, kuriems taikomi Europos Sąjungos
duomenų apsaugos teisės aktai. [2] 2000 m. liepos 26 d. Komisijos sprendimas 2000/520/EB
dėl Europos Parlamento ir Tarybos direktyvos 95/46/EB dėl saugaus
uosto privatumo principų teikiamos apsaugos pakankamumo ir su tuo
susijusių JAV komercijos departamento pateiktų dažnai užduodamų
klausimų (OL L 215, 2000 8 25, p. 7). [3] 2009 m. spalio 23 d. Tarybos sprendimas 2009/820/BUSP
dėl Europos Sąjungos ir Jungtinių Amerikos Valstijų
susitarimo dėl ekstradicijos bei Europos Sąjungos ir Jungtinių
Amerikos Valstijų susitarimo dėl savitarpio teisinės pagalbos
sudarymo Europos Sąjungos vardu (OL L 291, 2009 11 7, p. 40). [4] 2012 m. balandžio 26 d. Tarybos sprendimas
dėl Jungtinių Amerikos Valstijų ir Europos Sąjungos
susitarimo dėl keleivio duomenų įrašų naudojimo ir
perdavimo Jungtinių Valstijų Vidaus saugumo departamentui sudarymo
(OL L 215, 2012 8 11, p. 4). [5] 2010 m. liepos 13 d. Tarybos sprendimas
dėl Europos Sąjungos ir Jungtinių Amerikos Valstijų
susitarimo dėl finansinių mokėjimų pranešimų
duomenų tvarkymo ir perdavimo iš Europos Sąjungos į Jungtines
Valstijas Terorizmo finansavimo sekimo programos tikslais sudarymo (OL L 195, 2010
7 27, p. 3). [6] 2010 m. gruodžio 3 d. Taryba priėmė
sprendimą, kuriuo įgaliojo Komisiją derėtis dėl
susitarimo. Žr. IP/10/1661, 2010 m. gruodžio 3 d. [7] Žr. „Boston Consulting Group“ parengtą
dokumentą „The Value of our Digital Identity“, 2012 m. lapkritis. [8] Žr.
McKinsey parengtą dokumentą „Big Data: The next frontier for
innovation, competition, and productivity", 2011 m. [9] Komunikatas „Nuotolinės kompiuterijos
galimybių naudojimas Europoje“, COM(2012) 529 final. [10] Pvz., bendras atskirų „Microsoft Hotmail“, „Google
Gmail“ ir „Yahoo! Mail“ naudotojų Europos šalyse skaičius 2012 m.
birželį siekė daugiau nei 227 mln. ir viršijo visų
kitų tiekėjų turimų naudotojų bendrą sumą.
Bendras atskirų „Facebook“ ir „Facebook Mobile“ naudotojų
skaičius 2012 m. kovą buvo 196,5 mln., o „Facebook“ buvo
didžiausias socialinis tinklas Europoje. „Google“ – pirmaujanti interneto
paieškos programa, kuria visame pasaulyje naudojasi 90,2 proc.
internautų. JAV mobiliojo ryšio pranešimų mainų paslauga „What's
App“ 2013 m. birželį Vokietijoje naudojosi 91 proc. „iPhone“
turėtojų. [11] Žr. Europos Sąjungos Teisingumo Teismo sprendimą
byloje C-300/11 ZZ prieš Valstybės vidaus reikalų departamento
sekretorių. [12] Europos Sąjungos sutarties 4 straipsnio 2 dalis. [13] Žr., pvz., Sprendimo dėl saugaus uosto I
priedą. [14] Žr. Komisijos ir JAV iždo departamento bendrą
ataskaitą apie duomenų, pateiktų pagal susitarimą dėl
finansinių pranešimų duomenų tvarkymo ir perdavimo Terorizmo
finansavimo sekimo programos tikslais vertę, remiantis Europos
Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl
finansinių mokėjimų pranešimų duomenų tvarkymo ir
perdavimo iš Europos Sąjungos į Jungtines Valstijas terorizmo
finansavimo sekimo programos tikslais 6 straipsnio 6 dalimi. [15] Žr. Komisijos ataskaitą „Bendra Europos Sąjungos
ir Jungtinių Amerikos Valstijų susitarimo dėl keleivio
duomenų įrašo duomenų naudojimo ir perdavimo Jungtinių
Valstijų Vidaus saugumo departamentui įgyvendinimo peržiūra“. [16] COM(2012) 10 final: Europos Parlamento ir Tarybos
direktyvos dėl fizinių asmenų apsaugos kompetentingoms
institucijoms tvarkant asmens duomenis nusikalstamų veikų
prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas
arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo
tokių duomenų judėjimo pasiūlymas (Briuselis, 2012 1 25) ir
COM(2012) 11 final: Europos Parlamento ir Tarybos reglamento dėl
fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo
tokių duomenų judėjimo (Bendrasis duomenų apsaugos
reglamentas) pasiūlymas. [17] Komisija atkreipė dėmesį, kad Europos
Parlamentas patvirtino ir pabrėžė šį svarbų principą,
įtvirtintą siūlomo reglamento 3 straipsnyje, kai 2013 m.
spalio 21 d. vyko balsavimas dėl EP narių Jan-Philippo Albrechto
ir Dimitrios Droutsaso iš Piliečių laisvių, teisingumo ir vidaus
reikalų komiteto (toliau – LIBE komitetas) parengtų duomenų
apsaugos reformos ataskaitų. [18] Komisija atkreipė dėmesį, kad per 2013 m.
spalio 21 d. balsavimą Europos Parlamento LIBE komitetas
pasiūlė į būsimą reglamentą įtraukti nuostatą,
reikalaujančią, kad užsienio šalių valdžios institucijos,
prašančios prieigos prie ES surinktų asmens duomenų, prieš tai
gautų nacionalinės duomenų apsaugos institucijos leidimą,
kai toks prašymas pateikiamas ne pagal savitarpio teisinės pagalbos sutartį
arba kitą tarptautinį susitarimą. [19] Komisija atkreipė dėmesį, kad per 2013 m.
spalio 21 d. balsavimą LIBE komitetas pasiūlė sustiprinti
Komisijos pasiūlymo poveikį, numatant baudas, galinčias atitikti
5 proc. metinės pasaulinės bendrovės apyvartos. [20] Komisija atkreipė dėmesį, kad per 2013 m.
spalio 21 d. balsavimą LIBE komitetas pritarė, kad
būtų sugriežtinti duomenų tvarkytojų įsipareigojimai
ir atsakomybė, visų pirma dėl siūlomo reglamento 26
straipsnio. [21] 2013 m. spalio mėn. Europos Vadovų Tarybos
išvadose tvirtinama: „Svarbu skatinti piliečių ir įmonių
pasitikėjimą skaitmenine ekonomika. Tam, kad iki 2015 m.
būtų sukurta bendroji skaitmeninė rinka, būtina laiku
nustatyti patikimą ES bendrąją duomenų apsaugos
sistemą ir priimti Kibernetinio saugumo direktyvą.“ [22] Sprendimo dėl saugaus uosto 3 straipsnyje
konkrečiai nustatyta, kad duomenų perdavimas gali būti
sustabdytas, jeigu yra didelė tikimybė, kad principai yra pažeisti;
yra pakankamas pagrindas manyti, kad naudojant atitinkamą vykdymo priežiūros
mechanizmą nesiimama ar nebus imtasi pakankamų ir savalaikių
priemonių išspręsti iškilusią problemą; tęsiant
duomenų perdavimą susidarytų neišvengiamas pavojus rimtai
pakenkti duomenų subjektams; valstybės narės kompetentingos
institucijos ėmėsi pagrįstų pastangų tokiomis
aplinkybėmis pranešti apie tai organizacijai ir suteikti jai galimybę
nurodyti priežastis. [23] Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit, 2013 m. liepos 24 d. pranešimas spaudai. [24] Žr. atitinkamą bendro pranešimo spaudai po 2013 m.
lapkričio 18 d. ES ir JAV teisingumo ir vidaus reikalų
ministrų susitikimo Vašingtone pastraipą: „Todėl skubos tvarka įsipareigojame kuo
skubiau derėtis dėl svarbaus ir išsamaus duomenų apsaugos
pagrindų susitarimo teisėsaugos klausimais. Remiantis šiuo susitarimu
būtų galima palengvinti duomenų perdavimą policijai ir
teismams bendradarbiaujant baudžiamosiose bylose ir užtikrinti aukšto lygio JAV
ir ES piliečių asmens duomenų apsaugą. Esame pasirengę
imtis veiksmų ir išspręsti likusias abiem pusėms svarbias
problemas, įskaitant teisminio teisių gynimo klausimą (labai
svarbu ES). Mūsų tikslas – derybas dėl susitarimo baigti prieš 2014 m.
vasarą.“ [25] Žr. atitinkamą bendro pranešimo spaudai po 2013 m.
lapkričio 18 d. ES ir JAV teisingumo ir vidaus reikalų
ministrų susitikimo Vašingtone pastraipą: „Be to, pabrėžiame,
kokia svarbi yra ES ir JAV savitarpio teisinės pagalbos sutartis. Mes
pakartotinai įsipareigojame užtikrinti, kad ji būtų plačiai
ir veiksmingai naudojama renkant įrodymus baudžiamosiose bylose. Taip pat
diskutuota apie būtinybę patikslinti, kad teisėsaugos
institucijos negalės turėti prieigos prie kitos šalies teritorijoje
privačių subjektų saugomų asmens duomenų, jeigu ryšių
kanalai bus neteisėti. Taip pat sutarėme peržiūrėti
savitarpio teisinės pagalbos sutartį, kaip nurodyta susitarime, ir
prireikus vienas su kitu konsultuotis.“ [26] Šiuo klausimu žr. JT Generalinei Asamblėjai
Vokietijos ir Brazilijos pasiūlytą rezoliucijos projektą,
kuriama prašoma užtikrinti privatumo internete ir realioje erdvėje
apsaugą. [27] JAV jau yra prisijungusi prie kitos Europos Tarybos
konvencijos – 2001 m. Konvencijos dėl elektroninių
nusikaltimų (vadinamoji Budapešto konvencija).