EUROPOS KOMISIJA
Briuselis, 2016 02 29
COM(2016) 117 final
KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI
Transatlantiniai duomenų srautai. Pasitikėjimo sugrąžinimas taikant griežtas apsaugos priemones
EUROPOS KOMISIJA
Briuselis, 2016 02 29
COM(2016) 117 final
KOMISIJOS KOMUNIKATAS EUROPOS PARLAMENTUI IR TARYBAI
Transatlantiniai duomenų srautai. Pasitikėjimo sugrąžinimas taikant griežtas apsaugos priemones
1. Įvadas. Keitimosi asmens duomenimis vaidmuo ES IR JAV tarpusavio santykių srityje
Šiandien tvirta Europos Sąjungos ir Jungtinių Amerikos Valstijų transatlantinė partnerystė gyvybiškai svarbi kaip niekad anksčiau. Mes puoselėjame bendras vertybes, siekiame bendrų politinių ir ekonominių tikslų ir glaudžiai bendradarbiaujame kovodami su bendromis grėsmėmis mūsų saugumui. Mūsų tarpusavio prekybos mainų mastas ir glaudus bendradarbiavimas sprendžiant pasaulinius klausimus – ilgalaikio mūsų santykių tvirtumo įrodymai.
Asmens duomenų perdavimas ir keitimasis jais yra esminis glaudžių Europos Sąjungos (ES) ir Jungtinių Amerikos Valstijų (JAV) ryšių prekybos srityje, taip pat teisėsaugos sektoriuje, pagrindas. Norint keistis tokiais duomenimis, reikia užtikrinti aukšto lygio duomenų apsaugą ir atitinkamas apsaugos priemones.
2013 m. birželio mėn., pasirodžius pranešimams apie JAV įgyvendinamas didelio masto žvalgybos duomenų rinkimo programas, tiek ES, tiek valstybių narių lygmeniu kilo didelių nuogąstavimų dėl didelio masto Jungtinių Amerikos Valstijų valdžios institucijose ir privačiose įmonėse atliekamo asmens duomenų tvarkymo poveikio pagrindinėms europiečių teisėms.
Reaguodama į tai, 2013 m. lapkričio 27 d. Komisija paskelbė komunikatą „Pasitikėjimo ES ir JAV duomenų mainais atkūrimas“ 1 , kuriame nustatytas veiksmų planas, skirtas pasitikėjimui duomenų perdavimu ir jo nauda skaitmeninei ekonomikai atkurti, Europos Sąjungos piliečių teisėms apsaugoti ir platesniems transatlantiniams ryšiams plėtoti. Šiame komunikate nustatyti toliau išvardyti pagrindiniai veiksmai šiems tikslams pasiekti:
i) patvirtinti 2012 m. Komisijos pasiūlytą duomenų apsaugos reformos priemonių rinkinį 2 ;
ii) didinti „saugaus uosto“ saugumą remiantis trylika „Saugaus uosto“ komunikate 3 išdėstytų rekomendacijų;
iii) stiprinti teisėsaugos bendradarbiavimo srityje taikomas duomenų apsaugos priemones, visų pirma baigiant derybas dėl ES ir JAV bendrojo susitarimo dėl duomenų apsaugos. Į šį veiksmą taip pat įtrauktas tikslas užtikrinti, kad JAV įsipareigotų suteikti fiziniams asmenims įgyvendinamų teisių, įskaitant galimybes naudotis teisminėmis teisių gynimo priemonėmis, visų pirma patvirtindamos Teisminio teisių gynimo įstatymą, kuriuo tam tikros 1974 m. JAV privatumo įstatyme įtvirtintos teisės, kuriomis tuomet galėjo naudotis tik JAV piliečiai ir nuolatiniai gyventojai, būtų suteikiamos ES piliečiams.
Šie tikslai dar kartą patvirtinti J.-C. Junckerio vadovaujamos Komisijos politinėse gairėse 4 : „skaitmeniniame amžiuje duomenų apsauga yra labai svarbi pagrindinė teisė. Reikia ne tik greitai baigti teisėkūros darbus kuriant bendras Europos Sąjungos duomenų apsaugos taisykles, bet ir taikyti šią teisę išorės santykių srityje. Atsižvelgiant į pastaruoju metu atskleistus masinio sekimo atvejus, artimi partneriai, pavyzdžiui, Jungtinės Amerikos Valstijos, norėdami toliau taikyti dabartines „saugaus uosto“ nuostatas, turi mus įtikinti, kad jos iš tikrųjų saugios. JAV taip pat turi užtikrinti, kad visi ES piliečiai turėtų teisę JAV teismuose naudotis teisėmis į duomenų apsaugą, neatsižvelgiant į tai, ar jie yra JAV gyventojai. Tai bus labai svarbu siekiant atkurti pasitikėjimą transatlantiniais santykiais.“
Nuo tada Komisija stengiasi pasiekti šiuos tikslus. Komisija aktyviau vedė derybas dėl bendrojo susitarimo dėl duomenų apsaugos, kurį šalys parafavo 2015 m. rugsėjo 8 d. Buvo aktyviau vedamos institucijų derybos duomenų apsaugos reformos priemonių rinkinio klausimu ir 2015 m. gruodžio 15 d. sudarytas Tarybos ir Europos Parlamento politinis susitarimas. Kalbant apie transatlantinį duomenų perdavimą komercinėje srityje, 2014 m. sausio mėn. Komisija, siekdama didinti „saugaus uosto“ saugumą, pradėjo diskusijas su JAV. 2015 m. spalio 6 d. Europos Sąjungos Teisingumo Teismui sprendime Schrems 5 sprendimą dėl „saugaus uosto“ paskelbus negaliojančiu, patvirtinta būtinybė sukurti atnaujintą sistemą ir pateiktos tolesnės rekomendacijos dėl sąlygų, kurias tokia sistema turėtų atitikti. Teismui priėmus šį sprendimą, 2015 m. lapkričio 6 d. Komisija paskelbė įmonėms skirtas gaires, kuriose nustatomos alternatyvios priemonės, suteikiančios galimybę nuolat perduoti asmens duomenis Jungtinėms Amerikos Valstijoms 6 . 2016 m. vasario 2 d. pasiektas politinis susitarimas dėl naujos transatlantinių duomenų srautų sistemos – ES ir JAV „privatumo skydo“ 7 , kuriuo pakeistas ankstesnis susitarimas.
Šie laimėjimai bus naudingi transatlantiniams santykiams ir turėtų padėti atkurti europiečių pasitikėjimą skaitmenine ekonomika ir kartu stiprinti jų pagrindines teises. Jie taip pat suteiks ES ir jos valstybėms narėms tvirtesnę duomenų apsaugos teisinę sistemą, kuri padės užtikrinti didesnę vidaus rinkos, visų pirma bendrosios skaitmeninės rinkos, integraciją, taip pat galimybę ES aktyviau skatinti ir plėtoti tarptautinius privatumo ir asmens duomenų apsaugos standartus.
Kartu imtasi svarbių iniciatyvų, dėl kurių padaryta nemažų JAV teisinės tvarkos pokyčių. 2014 m. sausio 17 d. prezidentas B. Obama paskelbė 8 apie JAV signalų žvalgybos veiklos reformas, kurios vėliau buvo išdėstytos Prezidento politikos direktyvoje Nr. 28 (PPD-28) 9 . Svarbu tai, kad atliekant šias reformas numatyta tam tikras privatumo apsaugos nuostatas taikyti neamerikiečiams, taip pat, renkant duomenis, mažiau dėmesio skirti didelio masto duomenų rinkimui, bet vadovautis požiūriu, pagal kurį pirmenybė teikiama tiksliniam duomenų rinkimui ir prieigai prie jų. Komisija palankiai įvertino šias naujas veiklos kryptis ir jas laikė svarbiu žingsniu teisinga kryptimi 10 . Šis reformų procesas taip pat padėjo daryti įtaką per diskusijas su JAV ES ir JAV „privatumo skydo“ klausimu. Nuo tada padaryta ir kitų pokyčių. Pavyzdžiui, 2015 m. birželio mėn. JAV patvirtintas JAV laisvės įstatymas 11 , kuriuo iš dalies pakeistos tam tikros JAV sekimo programos, sustiprinta teisminė kontrolė ir užtikrintas didesnis viešas jų naudojimo skaidrumas. Galiausiai 2016 m. vasario 10 d. JAV Kongresas patvirtino Teisminio teisių gynimo įstatymą, kurį prezidentas B. Obama pasirašė 2016 m. vasario 24 d. 12
Atsižvelgiant į šias aplinkybes, šiame komunikate kritiškai įvertinama, kokia pažanga pasiekta įgyvendinant 2013 m. komunikate nustatytus tikslus. Taip pat pabrėžiamos sritys, kuriose dar reikia nemažai nuveikti, kad būtų sutvirtintas ir visapusiškai atkurtas pasitikėjimas transatlantiniais duomenų srautais.
2. ES duomenų apsaugos reforma
2.1 Aplinkybės
Europos Komisija, siekdama pasinaudoti vis labiau skaitmeninio tarpusavyje susieto pasaulio teikiamomis galimybėmis ir išspręsti su juo susijusias problemas, 2012 m. sausio mėn. pateikė duomenų apsaugos reformos priemonių rinkinį (toliau – reforma). Įgyvendinant šią reformą – stiprinant ES vidaus taisykles ir suteikiant fiziniams asmenims daugiau galimybių kontroliuoti savo asmens duomenis – siekiama skatinti pasitikėti skaitmenine ekonomika, nesvarbu, ar asmens duomenys tvarkomi vienoje valstybėje narėje, ES, ar trečiosiose šalyse, pavyzdžiui, Jungtinėse Amerikos Valstijose.
Šį reformos priemonių rinkinį sudaro dvi teisinės priemonės: Bendrasis duomenų apsaugos reglamentas 13 (toliau – Reglamentas), kuriame nustatyta bendra ES duomenų apsaugos sistema, ir Duomenų apsaugos policijos ir teisminio bendradarbiavimo srityje direktyva (toliau – Policijos direktyva) 14 . Teikdama pasiūlymą dėl reglamento, kuris bus tiesiogiai taikomas valstybėse narėse, Komisija siekė nustatyti vieną bendrą visiems taikytiną duomenų apsaugos standartą ir taip panaikinti valstybių narių suteikiamos apsaugos lygio skirtumus. Be to, Policijos direktyvoje, atsižvelgiant į teismų ir teisėsaugos tradicijų valstybėse narėse ypatumus, ES lygmeniu bus pirmą kartą nustatytas bendras taisyklių rinkinys.
2015 m. gruodžio 15 d. Europos Parlamentas ir Taryba pasiekė politinį susitarimą dėl šio reformos priemonių rinkinio ir taip įgyvendino vieną iš pagrindinių 2013 m. komunikate nustatytų veiksmų.
2.2 Kas pasikeitė?
Reglamentu, siekiant užtikrinti teises į privatumą, atnaujinami, modernizuojami ir tam tikrais atvejais sustiprinami 1995 m. Duomenų apsaugos direktyvoje 15 įtvirtinti duomenų apsaugos principai. Jame daugiausia dėmesio skiriama fizinių asmenų teisių ir ES vidaus rinkos stiprinimui, griežtesniam taisyklių vykdymo užtikrinimui, tarptautinio asmens duomenų perdavimo procesų supaprastinimui ir pasaulinių duomenų apsaugos standartų nustatymui. Šių taisyklių paskirtis – užtikrinti ES piliečių asmens duomenų apsaugą, nesvarbu, kur tie duomenys būtų siunčiami, tvarkomi ar saugomi, net už ES ribų, kaip dažnai gali nutikti skaitmeniniame pasaulyje. Reikia pabrėžti keletą labai svarbių šios reformos aspektų.
Pirmasis aspektas – teritorinė taikymo sritis. Reglamente aiškiai pasakyta, kad jo nuostatos taip pat taikomos trečiojoje šalyje įsteigtoms įmonėms, jeigu jos ES siūlo prekes ir paslaugas arba stebi asmenų elgesį. Už ES ribų įsteigtos įmonės turės taikyti tokias pačias taisykles, kokias taiko ES įsteigtos įmonės. Taip užtikrinama visapusė ES piliečių teisių apsauga. Reglamentu taip pat nustatomos vienodos ES ir užsienio įmonių veiklos sąlygos, taip užkertant kelią ES ir užsienio įmonių, vykdančių veiklą ES arba norinčių pasiekti ES vartotojus, konkurencinės pusiausvyros sutrikimams.
Antrasis aspektas – griežtesnio duomenų apsaugos taisyklių vykdymo užtikrinimas. Reglamente, suderinant nacionalinių duomenų apsaugos priežiūros institucijų įgaliojimus, nustatyta veiksminga sankcijų tvarka. Tokioms institucijoms bus suteikti įgaliojimai skirti iki 20 mln. EUR, arba iki 4 proc. visos įmonės metinės apyvartos visame pasaulyje, baudas. Šie įgaliojimai už duomenų apsaugos taisyklių nesilaikymą skirti atgrasomas sankcijas ir pirmiau minėta teritorinė taikymo sritis padės užtikrinti, kad ES verslą plėtojančioms įmonėms būtų suteikiama kuo daugiau paskatų laikytis ES teisės aktų. Naujosiomis taisyklėmis taip pat nustatoma aiškesnė ir griežtesnė duomenų valdytojų ir duomenų tvarkytojų atsakomybės tvarka.
Trečiasis aspektas – suderintos teisėsaugos bendradarbiavimo taisyklės. Taikant Policijos direktyvą, bendrieji duomenų apsaugos principai ir taisyklės bus taikomi valstybių narių policijos ir teisminėms institucijoms tvarkant asmens duomenis baudžiamosios teisės vykdymo bylose. Tai reiškia, kad, be kita ko, bus nustatytos suderintos tarptautinio asmens duomenų perdavimo bendradarbiaujant baudžiamosios teisės vykdymo srityje taisyklės 16 . Pagal naująją direktyvą bus nustatytas aukštesnis fizinių asmenų apsaugos lygis, kartu užtikrinant, kad, atliekant baudžiamųjų veikų tyrimus arba imantis teisėsaugos veiksmų, būtų tinkamai apsaugomi nusikaltimų aukų, liudytojų ir įtariamųjų duomenys. Priežiūrą užtikrina nepriklausomos nacionalinės duomenų apsaugos institucijos, o fiziniams asmenims turi būti suteikiamos veiksmingos teisminės teisių gynimo priemonės. Kartu labiau suderinti teisės aktai suteiks galimybę policijos ir teisminėms institucijoms veiksmingiau bendradarbiauti tarpvalstybiniu lygmeniu, taip pat valstybėms narėms bendradarbiauti su savo tarptautiniais partneriais, siekiant veiksmingiau kovoti su nusikalstamumu ir terorizmu. Tai – labai svarbi Europos saugumo darbotvarkės dalis 17 .
Ketvirtasis aspektas – griežtos saugesnio tarptautinio duomenų perdavimo taisyklės. Ir Reglamente, ir Policijos direktyvoje nustatytos skaidrios, išsamios ir visapusiškos asmens duomenų perdavimo trečiosioms šalims taisyklės. Jos taikomos visų rūšių tarptautiniam duomenų perdavimui: tiek komerciniais ar teisėsaugos tikslais vykdomam privačių subjektų ar valdžios institucijų tarpusavio duomenų perdavimui, tiek privačių subjektų ir valdžios institucijų vieni kitiems perduodamiems duomenims. Nors tarptautinio duomenų perdavimo taisyklių struktūra iš esmės lieka tokia pati, kokia nustatyta dabartinėje Duomenų apsaugos direktyvoje (t. y. taikomi sprendimai dėl tinkamumo, standartinės sutarčių sąlygos ir įmonėms privalomos taisyklės, taip pat tam tikros nukrypti nuo bendrojo draudimo perduoti asmens duomenis už ES ribų leidžiančios nuostatos), reformos dokumentuose šios taisyklės keliais būdais išaiškinamos ir supaprastinamos, kartu mažinant biurokratiją. Juose taip pat pristatytos kelios naujos tarptautinio duomenų perdavimo priemonės.
Be to, Reglamentu sustiprinami ES duomenų apsaugos institucijų įgaliojimai, įskaitant susijusiuosius su tarptautiniu duomenų perdavimu. Palyginti su dabartine Duomenų apsaugos direktyva, nuostatos dėl ES duomenų apsaugos institucijų nepriklausomumo, funkcijų ir įgaliojimų išdėstytos išsamiau ir gerokai sustiprintos. Jos visų pirma apima įgaliojimus stabdyti duomenų srautus duomenų gavėjui trečiojoje šalyje arba tarptautinei organizacijai. Į Policijos direktyvą įtrauktos panašios nuostatos, susijusios su tarptautiniu duomenų perdavimu ir duomenų apsaugos institucijų įgaliojimais kontroliuoti teisėsaugos sektorių.
Tiksliau, kalbant apie Komisijos sprendimų dėl tinkamumo taisykles, Reglamente nustatytas tikslus ir išsamus aspektų, į kuriuos Komisija, vertindama pagal trečiosios šalies teisinę tvarką suteikiamos duomenų apsaugos lygį, turi atsižvelgti, sąrašas. Šis procesas yra išsamus vertinimas, kurį turi atlikti Komisija ir į kurį turėtų būti įtrauktos taisyklės, kuriomis reglamentuojama trečiosios šalies valdžios institucijų prieiga prie asmens duomenų; šis aspektas taip pat atitinka sprendimo Schrems nuostatas. Kitas labai svarbus šio vertinimo ypatumas yra tai, kad fiziniams asmenims suteikiama veiksmingų ir įgyvendinamų duomenų apsaugos teisių ir kad jie gali naudotis veiksmingomis administracinėmis ir teisminėmis teisių gynimo priemonėmis.
Be to, Reglamente aiškiai reikalaujama, kad Komisija nuolat, ne rečiau kaip kas ketverius metus, peržiūrėtų visus savo sprendimus dėl tinkamumo, kad neatsiliktų nuo jokių svarbių trečiojoje šalyje vykstančių pokyčių, kurie gali daryti tiesioginį arba net neigiamą poveikį pagal jos teisinę tvarką nustatytos apsaugos lygiui. Tokia nuolatinė tinkamumo stebėsena bus dinamiškesnis procesas, nes į jį bus įtrauktas ir dialogas su atitinkamos trečiosios šalies valdžios institucijomis.
Kalbant apie duomenų perdavimą trečiosioms šalims tais atvejais, kai nepriimtas sprendimas dėl tinkamumo, Reglamente nustatytos sąlygos, kuriomis reglamentuojamas naudojimasis alternatyviomis duomenų perdavimo priemonėmis, pavyzdžiui, standartinės sutarčių sąlygos ir įmonėms privalomos taisyklės. Į jį taip pat įtrauktos kitos duomenų perdavimo priemonės, pavyzdžiui, patvirtinti elgesio kodeksai ir patvirtinti sertifikavimo mechanizmai. Galiausiai jame išaiškinami atvejai, kada galima taikyti nukrypti leidžiančias nuostatas.
2.3 Tolesni veiksmai
Duomenų apsaugos reforma yra svarbus žingsnis siekiant skaitmeniniame amžiuje stiprinti pagrindines piliečių teises ir sudaryti palankesnes sąlygas vykdyti verslo veiklą supaprastinant bendrojoje skaitmeninėje rinkoje įmonėms taikomas taisykles. Vartotojai bus skatinami pasitikėti ES ir trečiųjų šalių ekonominės veiklos vykdytojais, o tai bus naudinga Europos ir pasaulio skaitmeninei ekonomikai. Tai darys teigiamą poveikį mūsų komerciniams santykiams su JAV – didžiausia mūsų prekybos partnere. Taip pat bus užtikrinta aiški ir stabili aplinka, kurioje ES ir užsienio įmonės galės vykdyti veiklą. JAV įmonėms bus naudingas teisinis tikrumas, kuris bus užtikrinamas vykdant verslo veiklą integruotoje ekonominėje erdvėje, kurioje taikomos vienodos duomenų apsaugos taisyklės.
Teisėsaugos sektoriuje taikomos bendros taisyklės padės užtikrinti, kad būtų geriau apsaugomi fizinių asmenų duomenys ir kad fiziniai asmenys turėtų teisę naudotis veiksmingomis teisminėmis teisių gynimo priemonėmis. Palengvinus tarpvalstybinį valstybių narių policijos ir teisminių institucijų bendradarbiavimą, padidės baudžiamosios teisės vykdymo veiksmingumas ir taip bus sudarytos sąlygos ES užtikrinti veiksmingesnę nusikalstamumo prevenciją. Kartu tai padės tokioms institucijoms sklandžiau bendradarbiauti su savo kolegomis trečiosiose šalyse.
Tikimasi, kad Europos Parlamentas ir Taryba šį reformos priemonių rinkinį oficialiai patvirtins per pirmąjį 2016 m. pusmetį. Reglamentas bus taikomas praėjus dvejiems metams nuo jo patvirtinimo, o Policijos direktyvoje nustatytas dvejų metų įgyvendinimo laikotarpis. Visi suinteresuotieji subjektai – tiek ES, tiek už jos ribų – turėtų pasinaudoti dvejų metų pereinamuoju laikotarpiu ir pasirengti naujosioms taisyklėms. Komisija atliks savo vaidmenį. Šiuo pereinamuoju laikotarpiu Komisija, siekdama užtikrinti vienodą taisyklių taikymą ir skatinti sukurti jų laikymuisi palankią aplinką, glaudžiai bendradarbiaus su valstybėmis narėmis, duomenų apsaugos institucijomis ir kitomis suinteresuotosiomis šalimis.
3. ES ir JAV „privatumo skydas“. Nauja transatlantinė asmens duomenų srautų sistema
3.1 Aplinkybės
Siekdama palengvinti asmens duomenų srautus tarp ES ir JAV komercinių sandorių tikslais, kartu užtikrinti tokių duomenų apsaugą, Komisija 2000 m. pripažino, kad „saugaus uosto“ sistema užtikrinamas tinkamas apsaugos lygis 18 . Todėl, nors JAV ir nepatvirtintas bendrasis duomenų apsaugos įstatymas, ES valstybės narės galėjo laisvai perduoti asmens duomenis JAV įmonėms, sutikusioms taikyti privatumo principus, kuriais grindžiama ši sistema.
2013 m. „Saugaus uosto“ komunikate 19 Komisija atkreipė dėmesį į keletą ilgainiui nustatytų šios sistemos veikimo trūkumų, visų pirma į tai, kad nepakanka skaidrumo įmonėse, kiek tai sietina su šios sistemos reikalavimų laikymusi, ir kad JAV valdžios institucijos nepakankamai veiksmingai užtikrina, kad tokios įmonės laikytųsi sistemos privatumo principų. Be to, dėl anksčiau tais metais atskleistų sekimo atvejų kilo susirūpinimas dėl tam tikrų JAV žvalgybos programų masto ir apimties ir dėl JAV valdžios institucijų prieigos prie pagal „saugaus uosto“ sistemą perduotų europiečių asmens duomenų lygio. Komisija, atsižvelgusi į šiuos ir kitus aspektus 20 , padarė išvadą, kad „saugaus uosto“ sistemą reikia peržiūrėti. Šiomis aplinkybėmis Komisija parengė trylika rekomendacijų 21 , kaip būtų galima sustiprinti ir atnaujinti į šią sistemą įtrauktas duomenų apsaugos garantijas. Šiose rekomendacijose daugiausia dėmesio skiriama šiems tikslams: i) stiprinti esminius privatumo principus ir didinti JAV autosertifikuotų įmonių privatumo politikos skaidrumą įtraukiant šiuos principus; ii) užtikrinti, kad JAV valdžios institucijos geriau ir veiksmingiau prižiūrėtų ir stebėtų, kaip įmonės laikosi šių principų, ir užtikrintų jų vykdymą; iii) sukurti prieinamus ginčų sprendimo mechanizmus pavieniams skundams nagrinėti ir iv) užtikrinti, kad 2000 m. sprendime dėl „saugaus uosto“ nustatyta nacionalinio saugumo ir teisėsaugos sričių išimtimi būtų naudojamasi tik tada, kai tai iš tikrųjų būtina ir proporcinga.
2014 m. sausio mėn. Komisija, remdamasi šiomis trylika rekomendacijų, pradėjo diskusijas su JAV valdžios institucijomis. Vėliau 2015 m. spalio 6 d. Europos Sąjungos Teisingumo Teismui paskelbus sprendimą dėl „saugaus uosto“ negaliojančiu, patvirtinta būtinybė sukurti stipresnę ir naują transatlantinių komercinių duomenų srautų sistemą. Nors Teismo sprendimas grindžiamas 2013 m. Komisijos rekomendacijomis, jame taip pat pabrėžiama būtinybė nustatyti apribojimus, apsaugos priemones ir teisminės peržiūros mechanizmus, kad būtų galima užtikrinti nuolatinę ES piliečių asmens duomenų apsaugą, įskaitant atvejus, kai valdžios institucijos tokius duomenis gauna ir jais naudojasi nacionalinio saugumo, viešojo intereso ar teisėsaugos tikslais.
2016 m. vasario 2 d., po dvejų metų aktyvių diskusijų, ES ir JAV pasiekė politinį susitarimą dėl naujosios sistemos – ES ir JAV „privatumo skydo“. Šis naujas susitarimas apima naujas svarbias apsaugos priemones ir padės užtikrinti aukšto lygio ES piliečių pagrindinių teisių apsaugą. Jis padės užtikrinti būtiną teisinį tikrumą abiejose Atlanto vandenyno pusėse veikiančioms įmonėms, norinčioms kartu vykdyti verslo veiklą. Taip pat jis suteiks naują pagreitį transatlantinei partnerystei.
Komisija, baigusi derybas su JAV, pateiks naująjį susitarimą 29 straipsnio darbo grupei (kurią sudaro ES duomenų apsaugos institucijos), kad ji pateiktų nuomonę dėl juo suteikiamos apsaugos lygio. Be to, prieš priimant sprendimą dėl tinkamumo, jam turės būti taikoma komiteto procedūra. Taip pat bus pasikonsultuota su Europos duomenų apsaugos priežiūros pareigūnu.
3.2 Kas pasikeitė?
ES ir JAV „privatumo skydas“ yra tvirtas ir veiksmingas atsakas tiek į trylika Komisijos rekomendacijų, tiek į sprendimą Schrems. Palyginti su ankstesne sistema, į naująją sistemą įtraukta keletas svarbių patobulinimų, susijusių su įsipareigojimais, kuriuos turi prisiimti JAV įmonės. Į ją taip pat įtraukta naujų svarbių JAV valdžios institucijų įpareigojimų ir išsamių atitinkamų JAV įstatymų bei JAV valdžios institucijų praktikos išaiškinimų. Kitaip nei ankstesnėje sistemoje, į „privatumo skydą“ įtraukti ne tik prekybos sektoriaus, bet ir – iš esmės ir pirmą kartą ES ir JAV santykių istorijoje – valdžios institucijų prieigos prie asmens duomenų, be kita ko, nacionalinio saugumo tikslais, srities įpareigojimai. Atsižvelgiant į Europos Sąjungos Teisingumo Teismo jurisprudenciją, tai – labai svarbus ir būtinas aspektas, siekiant po atskleistų sekimo atvejų atkurti pasitikėjimą transatlantiniais santykiais.
Svarbiausius šio naujo susitarimo laimėjimus galima suskirstyti į keturias pagrindines kategorijas.
Pirma, griežti įmonių įpareigojimai ir patikimas vykdymo užtikrinimas. Naujasis susitarimas bus skaidresnis, be to, į jį įtraukti veiksmingi priežiūros mechanizmai, skirti užtikrinti, kad įmonės laikytųsi taisyklių, kurių yra teisiškai įsipareigojusios laikytis. JAV įmonės, norinčios pagal „privatumo skydą“ importuoti asmens duomenis iš Europos, turės prisiimti griežtus įsipareigojimus, susijusius su asmens duomenų tvarkymo ir fizinių asmenų teisių užtikrinimo būdais. Tai apima griežtesnes sąlygas ir atsakomybės nuostatas, taikytinas „privatumo skydo“ įmonėms, kurios, pavyzdžiui, vykdydamos pagalbinio tvarkymo veiklą, ES duomenis perduoda šiai sistemai nepriklausančioms trečiosioms šalims tiek JAV, tiek kitose trečiosiose šalyse (vadinamasis tolesnis duomenų perdavimas). Kalbant apie priežiūrą, JAV komercijos departamentas įsipareigojo nuolat ir atidžiai stebėti, kaip įmonės vykdo prisiimtus įsipareigojimus, ir šalinti vadinamąsias keleives be bilieto, t. y. įmones, kurios melagingai teigia griežtai besilaikančios sistemos reikalavimų. Įmonių įsipareigojimai yra teisiškai privalomi; jų vykdymą pagal JAV teisės aktus užtikrina JAV federalinė prekybos komisija. Įsipareigojimų nevykdančioms įmonėms bus taikomos griežtos sankcijos.
Antra, aiškūs apribojimai ir apsaugos priemonės, susijusios su JAV valdžios institucijų prieiga prie duomenų. Pirmą kartą JAV valdžios institucijos per Teisingumo departamentą ir Nacionalinės žvalgybos direktoriaus biurą, kaip visą JAV žvalgybos bendruomenę prižiūrintį organą, pateikė ES rašytinius pareiškimus ir garantijas, kad valdžios institucijų prieigai prie duomenų teisėsaugos, nacionalinio saugumo ir kitais viešojo intereso tikslais bus taikomi aiškūs apribojimai, apsaugos priemonės ir priežiūros mechanizmai. JAV taip pat bus sukurtas naujas teisių gynimo mechanizmas, kuriuo ES duomenų subjektai galės naudotis nacionalinio saugumo srityje, pasitelkdami nuo nacionalinio saugumo institucijų nepriklausomą kontrolieriaus tarnybą. Šiam kontrolieriui bus pavesta toliau tirti ES piliečių skundus ir užklausas, susijusius su prieiga prie duomenų nacionalinio saugumo tikslais, ir jis turės asmeniui patvirtinti, kad buvo laikomasi atitinkamų įstatymų arba kad bet kokia neatitiktis buvo ištaisyta. Tai – svarbi naujovė, kuri bus taikoma ne tik pagal „privatumo skydą“ perduodamiems duomenims, bet visiems JAV komerciniais tikslais perduodamiems asmens duomenims, neatsižvelgiant į tų duomenų perdavimo pagrindą.
Trečia, veiksminga ES piliečių teisių į privatumą apsauga, numatant keletą teisių gynimo galimybių. Bet kuris asmuo Europoje, manantis, kad pagal naująjį susitarimą jo arba jos duomenys buvo naudojami netinkamai, galės naudotis keliais prieinamais ir įperkamais individualaus teisių gynimo būdais, įskaitant nemokamą alternatyvaus ginčų sprendimo institucijų pagalbą. Įmonės įsipareigoja per nustatytą terminą atsakyti į skundus. Be to, bet kuri įmonė, tvarkanti Europos kilmės žmogiškųjų išteklių duomenis, turi įsipareigoti laikytis kompetentingos ES duomenų apsaugos institucijos sprendimų, o kitos įmonės tokį įsipareigojimą gali prisiimti savanoriškai. Fiziniai asmenys savo skundą taip pat gali pateikti savo šalies duomenų apsaugos institucijai, kuriai bus pasiūlyta formalizuota skundų perdavimo Komercijos departamentui ir Federalinei prekybos komisijai procedūra, kad būtų galima paprasčiau per pagrįstą laikotarpį išnagrinėti ir išspręsti atitinkamą skundą. Jei vis dėlto ginčas neišsprendžiamas nė vienu iš šių būdų, fiziniai asmenys kraštutiniu atveju galės kreiptis į „Privatumo skydo“ komisiją, t. y. pasinaudoti ginčų sprendimo mechanizmu, pagal kurį galima priimti „privatumo skydo“ sistemoje dalyvaujančioms JAV įmonėms privalomus ir vykdytinus sprendimus. Be to, ES duomenų apsaugos institucijos galės padėti fiziniams asmenims parengti jų bylas. Kaip minėta pirmiau, skundams dėl galimos nacionalinių žvalgybos institucijų prieigos prie duomenų nagrinėti bus sukurta nauja kontrolieriaus tarnyba ir taip bus numatyta tolesnių teisių gynimo būdų.
Galiausiai, ketvirta, bendros metinės peržiūros mechanizmas. Šis mechanizmas suteiks galimybę Komisijai nuolat stebėti visų „privatumo skydo“ aspektų, įskaitant su prieiga prie duomenų nacionalinio saugumo tikslais susijusius apribojimus ir apsaugos priemones, veikimą. Komisija ir JAV komercijos departamentas atliks peržiūrą, į šį procesą įtraukdami ES duomenų apsaugos institucijas, JAV nacionalinio saugumo institucijas ir kontrolierių. Taip JAV bus atskaitinga už prisiimtų įsipareigojimų vykdymą. Tačiau Komisija tuo neapsiribos – ji taip pat remsis visais kitais turimos informacijos šaltiniais, įskaitant įmonių savanoriškai teikiamas skaidrumo ataskaitas apie valdžios institucijų prašymų susipažinti su duomenimis lygį 22 . Metinės peržiūros reikalavimai griežtesni už naujojo Reglamento nuostatas, pagal kurias tokią peržiūrą reikalaujama atlikti ne rečiau kaip kas ketverius metus, o iš to matyti, kad tiek ES, tiek JAV yra pasiryžusios griežtai užtikrinti visapusę atitiktį reikalavimams.
Ši peržiūra nebus tik formali praktika, neturinti jokių pasekmių. Tais atvejais, kai JAV įmonės arba valdžios institucijos nesilaikys prisiimtų įsipareigojimų, Komisija pradės „privatumo skydo“ veikimo stabdymo procesą. Kaip Europos Sąjungos Teisingumo Teismas pabrėžė sprendime Schrems, sprendimas dėl tinkamumo neturi būti neįgyvendinama taisyklė; JAV įmonės ir valdžios institucijos, laikydamosi prisiimtų įsipareigojimų, verčiau turėtų įpūsti gyvybės šiai sistemai ir nuolat ją palaikyti. Jei jos nesugebės to padaryti, konkreti sprendimo dėl tinkamumo teikiama nauda duomenų perdavimo procesui nebebus pagrįsta ir ją reikės panaikinti.
3.3 Tolesni veiksmai
Naujas Komisijos sprendimas dėl tinkamumo bus grindžiamas įsipareigojimais, kuriuos JAV prisiėmė pagal „privatumo skydą“, ir juos atspindės. Įmonės skatinamos jau dabar pradėti rengtis šiam procesui, kad galėtų kuo greičiau prisijungti prie naujosios sistemos, kai tik ji bus įdiegta Komisijai priėmus atitinkamą sprendimą. JAV vyriausybė JAV federaliniame registre paskelbs pranešimą ir taip viešai patvirtins, kad laikysis prisiimtų įsipareigojimų.
ES ir JAV „privatumo skyde“ reikalaujama, kad veiksmų imtųsi ir nemažai kitų subjektų:
dalyvaujančios JAV įmonės, kurios turi vykdyti pagal šią sistemą prisiimtus įsipareigojimus, visapusiškai žinodamos, kad jos taisyklės bus griežtai taikomos ir kad joms, jeigu nesilaikys reikalavimų, bus taikomos sankcijos. Kad didintų savo klientų pasitikėjimą, įmonės taip pat skatinamos pagal „privatumo skydo“ sistemą teikiamiems skundams nagrinėti rinktis ES duomenų apsaugos institucijas, nes Europos Sąjungos piliečiai labiausiai linkę keiptis į šias institucijas. Be to, įmonių pasirengimo pasinaudoti JAV teisės aktuose nustatyta galimybe skelbti skaidrumo ataskaitas dėl gaunamų nacionalinio saugumo ir teisėsaugos institucijų prašymų susipažinti su ES duomenimis mastas padės toliau užtikrinti tikėjimą, kad tokia prieiga prie duomenų suteikiama tik tuomet, kai tai būtina ir proporcinga 23 ;
įvairios JAV valdžios institucijos, kurioms pavesta prižiūrėti ir užtikrinti šios sistemos taikymą paisant apribojimų ir apsaugos priemonių, kai susipažinti su duomenimis prašoma teisėsaugos ir nacionalinio saugumo tikslais, taip pat laiku ir prasmingai reaguoti į ES piliečių skundus dėl galimo netinkamo jų asmens duomenų naudojimo;
ES duomenų apsaugos institucijos, kurios atlieka svarbų vaidmenį užtikrinant, kad fiziniai asmenys galėtų veiksmingai pasinaudoti jiems pagal „privatumo skydą“ suteiktomis teisėmis, be kita ko, perduodamos jų skundus atitinkamoms JAV valdžios institucijoms ir su jomis bendradarbiaudamos, pradėdamos taikyti kontrolieriaus mechanizmą, padėdamos skundų teikėjams savo skundus pateikti „Privatumo skydo“ komisijai, taip pat prižiūrėdamos, kaip perduodami žmogiškųjų išteklių duomenys, ir
Komisija, kuri atsakinga už sprendimo dėl tinkamumo priėmimą ir nuolatinę jo peržiūrą; palyginti su ankstesne nusistovėjusia padėtimi, šios nuolatinės peržiūros yra didelis žingsnis į priekį, nes „privatumo skydo“ sprendimas dėl tinkamumo pakeičiamas atidžiai stebima dinamiška sistema.
Todėl bendra metinė peržiūra ir paskesnė Komisijos ataskaita, taip pat galimybė stabdyti šio susitarimo vykdymą, jeigu nesilaikoma reikalavimų, bus labai svarbios užtikrinant, kad „privatumo skydas“ atlaikytų laiko išbandymą. Mūsų abipusis transatlantinis siekis turėtų būti kartu išugdyti tvirtą privatumo nuostatų laikymosi ir fizinių asmenų teisių apsaugos kultūrą, kuri padėtų atkurti ir išlaikyti pasitikėjimą.
4. Bendrasis susitarimas dėl duomenų apsaugos. Teisėsaugos bendradarbiavimui skirtų duomenų apsaugos priemonių stiprinimas
4.1 Aplinkybės
ES, valstybių narių ir JAV pajėgumai veiksmingai reaguoti į bendras grėsmes saugumui ir šios srities iššūkius imantis bendradarbiavimu grindžiamų ir koordinuojamų veiksmų yra svarbus mūsų transatlantinių santykių aspektas. Šis bendras atsakas iš esmės priklauso nuo mūsų gebėjimo keistis asmens duomenimis vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose. Siekiant šio tikslo, ilgainiui sudaryta keletas dvišalių valstybių narių ir JAV, taip pat ES ir JAV susitarimų 24 . Kartu taip pat svarbu, kad šiuose teisėsaugos srities susitarimuose būtų nustatytos veiksmingos duomenų apsaugos priemonės. 2011 m. kovo mėn., atsižvelgiant į dvejopą mūsų sėkmingo bendradarbiavimo su JAV partneriais tikslą – kovoti su sunkiais nusikaltimais ir terorizmu ir kartu kelti europiečių apsaugos lygį atsižvelgiant į jų pagrindines teises ir ES duomenų apsaugos taisykles tais atvejais, kai duomenys perduodami šiais tikslais, – prasidėjo diskusijos dėl tarptautinio duomenų apsaugos susitarimo teisėsaugos srityje – ES ir JAV bendrojo susitarimo dėl duomenų apsaugos 25 .
ES ir JAV derybos baigtos 2015 m. vasarą. 2015 m. rugsėjo 8 d. Liuksemburge abi šalys parafavo bendrąjį susitarimą dėl duomenų apsaugos 26 , kuris dabar turi būti ratifikuotas abiejose Atlanto vandenyno pusėse. Vis dėlto bendrojo susitarimo dėl duomenų apsaugos pasirašymui buvo taikoma viena sąlyga – JAV Kongresas turėjo patvirtinti Teisminio teisių gynimo įstatymą, kad pirmą kartą pagal 1974 m. JAV privatumo įstatymą ES ir JAV piliečiai būtų vertinami vienodai 27 . Šį įstatymo projektą Kongresas patvirtino 2016 m. vasario 10 d. ir priėmė 2016 m. vasario 24 d.
4.2 Kas pasikeitė?
Bendruoju susitarimu dėl duomenų apsaugos bus pirmąjį kartą įtvirtintos suderintos ir visapusiškos duomenų apsaugos priemonės, kurios bus taikomos visiems transatlantiniams atitinkamų institucijų duomenų mainams baudžiamosios teisės vykdymo srityje. Iš esmės tai – pagrindinių teisių susitarimas, kuriuo nustatomi aukšto lygio apsaugos standartai, kuriais remiantis reikės įvertinti visus esamuose ir būsimuose susitarimuose nustatytus keitimosi duomenimis procesus.
Pirma, bendrajame susitarime dėl duomenų apsaugos nustatyta apsauga ir apsaugos priemonės bus horizontaliai taikomos visiems duomenų mainams transatlantiniu mastu vykdant teisėsaugos bendradarbiavimą baudžiamosiose bylose. Tai apima duomenų perdavimą pagal nacionalinės teisės aktus, ES ir JAV susitarimus, valstybių narių ir JAV susitarimus (pvz., Savitarpio teisinės pagalbos sutartis), taip pat pagal konkrečius susitarimus, pagal kurių nuostatas privatūs subjektai turi perduoti asmens duomenis teisėsaugos tikslais. Todėl, taikant sutartas nuostatas, iš karto padidės ES duomenų subjektams suteikiamos apsaugos lygis tais atvejais, kai duomenys perduodami JAV. Šis susitarimas taip pat padės didinti transatlantinio teisėsaugos bendradarbiavimo teisinį tikrumą, nes bus užtikrinama, kad į esamus susitarimus būtų įtrauktos visos būtinos apsaugos priemonės ir taip išvengiama galimų teisinių problemų.
Antra, į nuostatas įtrauktos visos pagrindinės ES duomenų apsaugos taisyklės, susijusios su duomenų tvarkymo standartais (pvz., duomenų kokybe ir vientisumu, duomenų saugumu, atskaitomybe ir priežiūra), apsaugos priemonėmis ir apribojimais (pvz., paskirties ir naudojimo apribojimais, duomenų saugojimu, tolesniu duomenų perdavimu, neskelbtinų duomenų tvarkymu), taip pat su fizinių asmenų teisėmis (prieiga, asmens duomenų ištaisymu, administracinėmis ir teisminėmis teisių gynimo priemonėmis).
Trečia, šis susitarimas padės užtikrinti galimybes naudotis teisminėmis teisių gynimo priemonėmis, kai atsisakoma suteikti prieigą prie duomenų arba ištaisyti asmens duomenis ir kai duomenys atskleidžiami neteisėtai. Tai – svarbiausias laimėjimas, itin padėsiantis atkurti pasitikėjimą transatlantiniais duomenų mainais. Šį pagrindinį ir ilgalaikį ES reikalavimą, į kurį daugelį metų nebuvo reaguojama, jau atspindi 2015 m. kovo mėn. JAV Kongreso pateiktas ir 2016 m. vasario 10 d. patvirtintas Teisminio teisių gynimo įstatymas. Šiuo įstatymu ES piliečiams 28 bus suteikti trys pagrindiniai 1974 m. JAV privatumo įstatyme nustatyti teisminio teisių gynimo būdai, kuriais šiuo metu gali naudotis tik JAV piliečiai ir nuolatiniai gyventojai. Todėl bet kokio transatlantinio duomenų perdavimo baudžiamosios teisės vykdymo sektoriuje atveju ES piliečiai pirmą kartą galės naudotis visuotinai taikomomis teisėmis. Taip pašalinami esminiai ES ir JAV piliečių vertinimo skirtumai.
Ketvirta, bendruoju susitarimu dėl duomenų apsaugos apibendrinamas ir visam teisėsaugos sektoriui kaip pagrindinis duomenų apsaugos reikalavimas pradedamas taikyti nepriklausomos priežiūros principas, kuris nėra įtrauktas į daugelį galiojančių dvišalių susitarimų. Tai apima veiksmingus įgaliojimus tirti ir nagrinėti pavienius skundus dėl šio susitarimo nuostatų laikymosi.
Penkta, bus atliekamos nuolatinės bendros veiksmingo bendrojo susitarimo dėl duomenų apsaugos įgyvendinimo peržiūros. Atliekant tokias peržiūras, itin daug dėmesio bus skiriama su fizinių asmenų teisėmis (į prieigą, asmens duomenų ištaisymą, administracines ir teismines teisių gynimo priemones) susijusioms nuostatoms.
Pagal patį bendrąjį susitarimą dėl duomenų apsaugos neleidžiama perduoti duomenų ir jis nėra sprendimas dėl tinkamumo.
4.3 Tolesni veiksmai
Įsigaliojus Teisminio teisių gynimo įstatymui 29 , bus sudarytos sąlygos pasirašyti bendrąjį susitarimą dėl duomenų apsaugos. Komisija netrukus pateiks Tarybai pasiūlymą dėl sprendimo, kuriuo būtų leidžiama pasirašyti bendrąjį susitarimą dėl duomenų apsaugos. Po šio susitarimo pasirašymo Taryba, gavusi Europos Parlamento pritarimą, turės patvirtinti sprendimą dėl susitarimo sudarymo. Bendrasis susitarimas dėl duomenų apsaugos padės gerokai pagerinti šiandieninę padėtį, kuriai būdingos suskaidytos, nesuderintos ir neretai silpnos duomenų apsaugos taisyklės, nustatytos daugybėje daugiašalių, dvišalių, nacionalinių ir sektorių dokumentų. Bendrasis susitarimas dėl duomenų apsaugos turi retrospektyvią funkciją – jo nuostatomis bus papildytos dabartiniuose susitarimuose nustatytos duomenų apsaugos garantijos tada ir tiek, kada ir kiek joms trūksta reikiamo apsaugos priemonių lygio. Šiuo požiūriu jis suteiks didelę pridėtinę vertę, nes iš esmės juo bus užpildytos esamų susitarimų, kuriuose nustatyti už šiame bendrajame susitarime dėl duomenų apsaugos nustatytuosius žemesni duomenų apsaugos standartai, spragos. Tai suteiks galimybę užtikrinti teisėsaugos bendradarbiavimo tęstinumą, taip pat didesnį teisinį duomenų perdavimo tikrumą. Kalbant apie būsimus susitarimus, bendrasis susitarimas dėl duomenų apsaugos veiks kaip apsauginis tinklas, nes nebus galima nustatyti žemesnio už jame nustatytąjį apsaugos lygio. Tai – labai svarbi garantija ateičiai ir esminė dabartinės padėties, kai sudarant kiekvieną naują atskirą susitarimą reikia iš naujo derėtis dėl apsaugos sąlygų, apsaugos ir teisių, permaina. Taigi bendrasis susitarimas dėl duomenų apsaugos yra šablonas, į kurį įtrauktos standartinės apsaugos priemonės, kurių derybų keliu negalima susilpninti. Tai – labai svarbus precedentas ne tik ES ir JAV santykių istorijoje, bet ir apskritai bet kokiam būsimam tarptautiniu lygmeniu sudaromam duomenų apsaugos arba keitimosi duomenimis susitarimui.
Bendrasis susitarimas dėl duomenų apsaugos, dėl kurio derybos buvo vedamos kartu su derybomis dėl reformos, suderintas su ES duomenų apsaugos acquis. Bendrojo susitarimo dėl duomenų apsaugos ir Policijos direktyvos tarpusavio sąveika yra labai svarbi, nes svarbu užtikrinti aukštą ir bendrą duomenų apsaugos lygį, nesvarbu, ar asmens duomenys tvarkomi nacionaliniu lygmeniu, ar jais keičiamasi tarpvalstybiniu lygmeniu ES, ar su trečiosiomis šalimis. Šiuo požiūriu bendrasis susitarimas dėl duomenų apsaugos padės tarpvalstybiniu lygmeniu pagrįsti bendruosius reformos reikalavimus.
Derybų dėl bendrojo susitarimo dėl duomenų apsaugos, kuriuo sudėtingoje teisės ir politikos srityje nustatomi bendri standartai, užbaigimas yra svarbus laimėjimas. Būsimasis bendrasis susitarimas dėl duomenų apsaugos padės atkurti ir stiprinti pasitikėjimą, suteikti duomenų perdavimo procesams teisėtumo garantijų ir palengvinti ES ir JAV bendradarbiavimą šioje srityje.
Kalbant apie ateitį, reikia kartu spręsti bendras policijos ir teisminio bendradarbiavimo srities problemas. Vienas svarbus neišspręstas klausimas susijęs su tiesiogine teisėsaugos institucijų prieiga prie privačių įmonių užsienyje saugomų asmens duomenų. Susipažinti su tokiais duomenimis iš esmės reikėtų naudojantis oficialiais bendradarbiavimo kanalais, pavyzdžiui, Savitarpio teisinės pagalbos (angl. MLA) arba kitais sektorių susitarimais. Šiuo metu privačioms įmonėms, paprašytoms pagal vienos šalies įstatymus suteikti prieigą prie skaitmeninių įrodymų, kurie yra asmens duomenys ir kuriems taikomi kitos šalies įstatymai, kyla pavojus susidurti su teisiniu netikrumu, kuris galėtų turėti neigiamos įtakos jų pajėgumui vykdyti veiklą skirtingai jurisdikcijai priskiriamose teritorijose. Kartu su netrukus vyksiančia ES ir JAV Savitarpio teisinės pagalbos susitarimo 30 peržiūra, ES palankiai vertintų tolesnį keitimąsi duomenimis su JAV šiuo klausimu, įskaitant bendrų ir veiksmingesnių skaitmeninių įrodymų rinkimo taisyklių sukūrimą.
5. Išvada
Iš sėkmingo 2013 m. komunikate nurodytų pagrindinių veiksmų užbaigimo matyti, kad ES geba pragmatiškai ir kryptingai spręsti problemas neaukodama savo tvirtų pagrindinių teisių vertybių ir tradicijų. Iš to taip pat matyti, kad ES ir JAV gali išspręsti tarpusavio nesutarimus ir priimti sudėtingus sprendimus, kad išsaugotų laiko išbandymą atlaikiusius strateginius santykius. Kartu, kadangi pradedame naują mūsų dvišalių santykių skyrių, dar ne laikas prarasti budrumą, nes nepastoviame pasaulyje ir toliau susiduriame su bendromis grėsmėmis ir iššūkiais.
Kai pradės veikti „privatumo skydas“ ir bendrasis susitarimas dėl duomenų apsaugos, abi šalys privalės užtikrinti, kad šios dvi svarbios duomenų perdavimo sistemos veiktų veiksmingai ir ilgai. Jų sėkmingą veikimą iš esmės lemia veiksmingas vykdymo užtikrinimas ir pagarba fiziniams asmenims suteiktoms teisėms. Jį taip pat lemia nuolatinis šių sistemų veikimo vertinimas; tam reikia pakeisti mąstyseną ir pereiti nuo nekintamo prie dinamiškesnio proceso.
Atsižvelgiant į tai, svarbi šio proceso dalis susijusi su nuolatinėmis JAV žvalgybos programų reformomis. Šiuo požiūriu Komisija atidžiai stebės būsimas Privatumo ir pilietinių laisvių priežiūros valdybos (angl. PCLOB) parengtas ataskaitas ir Užsienio žvalgybos stebėjimo įstatymo (angl. FISA) programos 702 skirsnio, susijusio su užsienio informacijos stebėjimu, peržiūrą, kuri turi būti atlikta 2017 m. Visų pirma bus atidžiai stebimos tolesnės reformos, susijusios su skaidrumu, priežiūra ir apsaugos priemonių suteikimu ne JAV piliečiams.
Apskritai, atsižvelgdama į tarpvalstybinių duomenų srautų svarbą transatlantinei prekybai, ES atidžiai stebės, kaip JAV toliau daroma su teisėkūra susijusi pažanga privatumo srityje. Dabar, kai Europa nusistatė vieną bendrą, nuoseklų ir patikimą taisyklių rinkinį, tikimės, kad ir JAV toliau stengsis sukurti visapusę privatumo ir duomenų apsaugos sistemą. Tik vadovaujantis tokiu visapusiu požiūriu galima ilguoju laikotarpiu užtikrinti šių dviejų sistemų konvergenciją. Šiuo požiūriu Komisija kasmet abiejose Atlanto vandenyno pusėse su suinteresuotosiomis NVO ir kitais suinteresuotaisiais subjektais surengs po aukščiausiojo lygio susitikimą privatumo klausimais.
ES ir JAV partnerystė gali būti tarptautinių teisinių privatumo ir asmens duomenų apsaugos standartų kūrimo ir skatinimo varomoji jėga. Iniciatyvos, kurių imamasi JT lygmeniu, įskaitant specialiojo pranešėjo teisės į privatumą klausimais veiklą, taip pat gali atlikti svarbų vaidmenį šioje srityje. Ateinančiais metais, atsižvelgdamos į vis didesnę šių klausimų svarbą pasaulinėje arenoje, ES ir JAV turėtų pasinaudoti šia galimybe savo bendroms asmenų laisvių ir teisių vertybėms skatinti globalizuotame skaitmeniniame pasaulyje.
2013 m. lapkričio 27 d. Komisijos komunikatas Europos Parlamentui ir Tarybai „Pasitikėjimo ES ir JAV duomenų mainais atkūrimas“, COM(2013) 0846 final (toliau – 2013 m. komunikatas arba Komunikatas), galima rasti adresu http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf .
2012 m. sausio 25 d. pasiūlymas dėl Europos Parlamento ir Tarybos direktyvos dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, COM(2012) 0010 final, ir 2012 m. sausio 25 d. pasiūlymas dėl Europos Parlamento ir Tarybos reglamento dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas), COM(2012) 0011 final, galima rasti adresu http://ec.europa.eu/justice/data-protection/reform/index_en.htm.
2013 m. lapkričio 27 d. Komisijos komunikatas Europos Parlamentui ir Tarybai dėl „saugaus uosto“ nuostatų veikimo ES piliečių ir ES įsisteigusių bendrovių požiūriu, COM(2013) 0847 final, p. 18–19 (toliau – „Saugaus uosto“ komunikatas), galima rasti adresu http://ec.europa.eu/justice/data-protection/files/com_2013_847_en.pdf .
„Nauja pradžia Europai. Mano darbotvarkė: darbo vietų kūrimas, augimas, teisingumas ir demokratiniai pokyčiai. Politinės gairės būsimai Europos Komisijai“.
2015 m. spalio 6 d. Sprendimas Maximillian Schrems prieš Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
Žr. 2015 m. lapkričio 6 d. Komisijos komunikatą Europos Parlamentui ir Tarybai dėl asmens duomenų perdavimo iš ES į Jungtines Amerikos Valstijas pagal Direktyvą 95/46/EB, Teisingumo Teismui priėmus sprendimą byloje C-362/14 (Schrems), COM(2015) 0566 final. Taip pat žr. 2016 m. vasario 3 d. 29 straipsnio darbo grupės pareiškimą dėl sprendimo Schrems pasekmių, galima rasti adresu http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf.
Žr. http://europa.eu/rapid/press-release_IP-16-216_lt.htm?locale=lt .
2015 m. JAV laisvės įstatymas Nr. 114–23, Stat. 268, p. 129, 401 straipsnis.
2015 m. Teisminio teisių gynimo įstatymas Nr. H. R. 1428. Įsigalios praėjus 90 dienų po priėmimo.
2012 m. sausio 25 d. pasiūlymas COM(2012) 0011 final, žr. 2 išnašą.
2012 m. sausio 25 d. pasiūlymas COM(2012) 0010 final, žr. 2 išnašą.
1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, OL L 281, 1995 11 23, p. 31 (toliau – Duomenų apsaugos direktyva).
Kitaip nei pagal 2008 m. lapkričio 27 d. Tarybos pamatinį sprendimą 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos, kuris taikomas tik tarpvalstybiniam valstybių narių kompetentingų institucijų keitimuisi duomenimis, pagal Policijos direktyvą tokios taisyklės bus taikomos neatsižvelgiant į tai, ar tokiais duomenimis anksčiau pasikeitė valstybių narių baudžiamosios teisės vykdymo institucijos.
Žr. 2015 m. balandžio 28 d. Komisijos komunikatą Europos Parlamentui, Tarybai, Europos ekonomikos ir socialinių reikalų komitetui ir Regionų komitetui „Europos saugumo darbotvarkė“, COM(2015) 0185 final.
2000 m. liepos 20 d. Komisijos sprendimas 2000/520/EB. Šiame sprendime, remdamasi Duomenų apsaugos direktyvos 25 straipsnio 6 dalimi, Komisija pripažino, kad „saugaus uosto“ privatumo principais ir pridedamais JAV komercijos departamento pateiktais „Dažnai užduodamais klausimais“ suteikiama pakankama iš ES perduodamų asmens duomenų apsauga. „Saugaus uosto“ susitarimo veikimas grindžiamas sistemoje dalyvaujančių įmonių įsipareigojimais ir jų autosertifikavimu. Pagal JAV įstatymus tokios įmonės turėjo laikytis šių taisyklių, kurių vykdymą užtikrino JAV federalinė prekybos komisija.
Žr. 3 išnašą.
Šie aspektai buvo, be kita ko, geometrine progresija didėjantys duomenų srautai ir ypatinga jų svarba transatlantinei ekonomikai, taip pat greitai augantis „saugaus uosto“ sistemai priklausančių JAV įmonių skaičius. Žr. „Saugaus uosto“ komunikato 37 p.
„Saugaus uosto“ komunikatas, p. 18–19.
Didžiausios JAV interneto įmonės, siekdamos susigrąžinti savo klientų pasitikėjimą, jau rengia tokias ataskaitas. Pagal 2015 m. JAV laisvės įstatymą leidžiama bent jau tam tikru mastu, siekiant apsaugoti nacionalinio saugumo interesus, skelbti savanoriškai rengiamas ataskaitas dėl prašymų susipažinti su duomenimis.
Tokios ataskaitos būtų teikiamos pagal 2015 m. JAV laisvės įstatymo nuostatas. Žr. 22 išnašą.
Visų pirma ES ir JAV keleivio duomenų įrašų (angl. PNR) susitarimas ir ES ir JAV terorizmo finansavimo sekimo programa (TFSP).
ES ir JAV susitarimas dėl asmens duomenų apsaugos, kai tie duomenys perduodami ir tvarkomi nusikalstamų veikų, įskaitant terorizmą, prevencijos, tyrimo, nustatymo arba baudžiamojo persekiojimo už jas tikslais vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose.
http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm.
Teisminio teisių gynimo įstatymu tam tikros teisės suteikiamos JAV vyriausybės nustatytų „numatytųjų šalių“ piliečiams. Šalys nustatomos remiantis šiais kriterijais: a) šalis (arba regioninė organizacija) yra sudariusi susitarimą su Jungtinėmis Amerikos Valstijomis dėl privatumo apsaugos, kai informacija dalijamasi nusikalstamų veikų prevencijos, tyrimo, nustatymo arba baudžiamojo persekiojimo už jas tikslais; b) šalyje (arba regioninėje organizacijoje) leidžiama keistis asmens duomenimis su Jungtinėmis Amerikos Valstijomis komerciniais tikslais; c) šalies arba regioninės organizacijos asmens duomenų perdavimo komerciniais tikslais politika ir atitinkami veiksmai iš esmės neprieštarauja Jungtinių Amerikos Valstijų nacionalinio saugumo interesams.
Remiantis Teisminio teisių gynimo įstatymu, kitos ES nepriklausančios šalys arba ekonominės integracijos regioninės organizacijos taip pat gali būti paskiriamos „numatytosiomis šalimis“, kad jų piliečiai galėtų naudotis teisėmis į teisminį teisių gynimą.
Teisminio teisių gynimo įstatymas įsigalioja praėjus 90 dienų po jo priėmimo.
2009 m. spalio 23 d. Tarybos sprendimas 2009/820/BUSP dėl Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl ekstradicijos bei Europos Sąjungos ir Jungtinių Amerikos Valstijų susitarimo dėl savitarpio teisinės pagalbos sudarymo Europos Sąjungos vardu, OL L 291, 2009 11 7, p. 40–41.