EIROPAS KOMISIJA

Briselē, 23.10.2019

COM(2019) 495 final

KOMISIJAS ZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI

par trešo gada pārskatu par ES un ASV privātuma vairogu

{SWD(2019) 390 final}

1.TREŠAIS GADA PĀRSKATS — PAMATINFORMĀCIJA, SAGATAVOŠANĀS UN PROCESS

Komisija 2016. gada 12. jūlijā pieņēma lēmumu (turpmāk “atbilstības lēmums”), kurā tā konstatēja, ka ES un ASV privātuma vairogs nodrošina pienācīgu aizsardzības līmeni personas datiem, ko no ES nosūta Amerikas Savienoto Valstu organizācijām 1 . Atbilstības lēmumā it sevišķi ir noteikts, ka Komisijai ir reizi gadā jāizstrādā pārskats, kurā tā novērtē visus shēmas darbības aspektus, un, balstoties uz šo pārskatu, tai ir jāsagatavo publisks ziņojums, kas jāiesniedz Eiropas Parlamentam un Padomei.

Pirmais gada pārskats tika sagatavots 2017. gada septembrī Vašingtonā, un 2017. gada oktobrī Komisija pieņēma savu ziņojumu Eiropas Parlamentam un Padomei 2 , kam tika pievienots Komisijas dienestu darba dokuments (SWD(2017) 344 final) 3 . Komisija secināja, ka Amerikas Savienotās Valstis joprojām nodrošina pienācīgu aizsardzības līmeni datiem, kurus no ES nosūta uz ASV privātuma vairoga ietvaros, taču sniedza 10 ieteikumus shēmas praktiskās darbības uzlabošanai.

Otrais gada pārskats tika sagatavots 2018. gada oktobrī Briselē, un 2018. gada decembrī Komisija pieņēma savu ziņojumu Eiropas Parlamentam un Padomei 4 , kam atkal tika pievienots Komisijas dienestu darba dokuments (SWD(2018) 487 final) 5 . Otrā gada pārskata kontekstā apkopotā informācija apstiprināja Komisijas atbilstības lēmuma konstatējumus attiecībā gan uz shēmas “komerciālajiem aspektiem” (t. i., aspektiem, kas saistīti ar sertificētu uzņēmumu atbilstību privātuma vairoga prasībām, kā arī ar to, kā kompetentās ASV iestādes pārvalda, pārrauga un piemēro šādas prasības), gan uz aspektiem, kuri attiecas uz valsts iestāžu piekļuvi personas datiem, ko nosūta privātuma vairoga ietvaros.

Proti, pasākumi, kas bija veikti, lai īstenotu Komisijas ieteikumus pēc pirmā gada pārskata, bija uzlabojuši vairākus shēmas praktiskās darbības aspektus. Piemēram, Tirdzniecības departaments bija ieviesis jaunus mehānismus, lai atklātu iespējamas atbilstības problēmas, Federālā tirdzniecības komisija bija piemērojusi proaktīvāku pieeju atbilstības uzraudzībai un izpildei, un bija publiskots Privātuma un pilsonisko brīvību pārraudzības padomes ziņojums par Prezidenta politikas direktīvas Nr. 28 6 īstenošanu. Tomēr, tā kā daži no šiem pasākumiem bija veikti pavisam neilgi pirms otrā gada pārskata un konkrēti procesi vēl nebija pabeigti, Komisija secināja, ka ir cieši jāuzrauga turpmākā notikumu gaita saistībā ar šiem procesiem un mehānismiem.

Turklāt, lai gan ombuda pienākumus privātuma vairoga ietvaros veica valsts sekretāra vietnieka pienākumu izpildītājs un tādējādi tika pilnībā nodrošināta ombuda mehānisma darbība, Komisija uzsvēra, ka ir svarīgi privātuma vairoga ombuda amatā iecelt pastāvīgu personu, un it sevišķi aicināja ASV valdību līdz 2019. gada 28. februārim šim amatam izvirzīt kandidātu.

Trešā gada pārskata sanāksme notika Vašingtonā 2019. gada 12. un 13. septembrī. To atklāja tiesiskuma un patērētāju ģenerāldirektore Tīna Astola (Tiina Astola), ASV tirdzniecības sekretārs Vilbūrs Ross (Wilbur Ross), Federālās tirdzniecības komisijas priekšsēdētājs Džozefs Simonss (Joseph Simons) un Eiropas Datu aizsardzības kolēģijas priekšsēdētāja vietnieks Ventsislavs Kardjovs (Ventsislav Karadjov). No ES puses sanāksmi vadīja Eiropas Komisijas Tiesiskuma un patērētāju ģenerāldirektorāta pārstāvji. Tāpat šajā sanāksmē piedalījās astoņi Eiropas Datu aizsardzības kolēģijas 7 norīkoti pārstāvji.

No ASV puses pārskatīšanā piedalījās pārstāvji no Tirdzniecības departamenta, Valsts departamenta, Federālās tirdzniecības komisijas, Transporta departamenta, Nacionālās izlūkošanas direktora biroja un Tieslietu departamenta un Privātuma un pilsonisko brīvību pārraudzības padomes locekļi, kā arī jaunieceltais ombuds (uz pastāvīgu laiku, sk. turpmāk) un izlūkdienestu ģenerālinspektors. Turklāt attiecīgo pārskatīšanas sesiju laikā informāciju sniedza pārstāvji no divām organizācijām, kuras privātuma vairoga ietvaros sniedz neatkarīgus strīdu izšķiršanas pakalpojumus, un no Amerikas šķīrējtiesu asociācijas, kas administrē Privātuma vairoga šķīrējtiesas komisiju. Visbeidzot, informāciju gada pārskatam nodrošināja arī prezentācijas, ko sniedza privātuma vairoga sertificētās organizācijas, par pasākumiem, kurus uzņēmumi īsteno, lai ievērotu shēmas prasības.

Sagatavojot trešo gada pārskatu, Komisija apkopoja informāciju no attiecīgām ieinteresētajām personām (it sevišķi no privātuma vairoga sertificētajiem uzņēmumiem ar to attiecīgo tirdzniecības asociāciju starpniecību un no nevalstiskajām organizācijām, kuras darbojas pamattiesību, it sevišķi digitālo tiesību un privātuma, jomā). Papildus rakstiskas informācijas apkopošanai Komisija tikās ar rūpniecības un uzņēmējdarbības asociācijām 2019. gada 9. septembrī un ar nevalstiskajām organizācijām 2019. gada 11. septembrī.

Komisija konstatējumu izdarīšanai papildu informāciju ieguva no publiski pieejamiem materiāliem, piemēram, tiesas nolēmumiem, attiecīgo ASV iestāžu īstenošanas noteikumiem un procedūrām, nevalstisko organizāciju ziņojumiem un pētījumiem, privātuma vairoga sertificēto uzņēmumu izdotajiem pārredzamības ziņojumiem, neatkarīgu tiesību aizsardzības mehānismu gada ziņojumiem un plašsaziņas līdzekļu ziņojumiem.

Ar šo ziņojumu tiek pabeigts privātuma vairoga darbības trešais gada pārskats. Ziņojums un pievienotais dienestu darba dokuments (SWD(2019) 390 final) atbilst tādai pašai struktūrai, kāda bija iepriekšējo divu pārskatu dokumentiem. Tas aptver visus privātuma vairoga darbības aspektus, īpaši pievēršoties tiem elementiem, kurus Komisija otrajā gada pārskatā bija apzinājusi kā elementus, kam nepieciešama cieša uzraudzība.

Veicot novērtējumu, Komisija ņēma vērā arī notikumu attīstību pēdējā gada laikā, tostarp nepabeigto tiesvedību saistībā ar privātuma vairogu Eiropas Savienības Tiesā 8 . Šajā saistībā pārskats sniedza iespēju Komisijai no ASV iestādēm saņemt precizējumus par dažiem īpašiem tā sauktās Schrems II lietas kontekstā piesauktiem aspektiem ASV tiesiskajā regulējumā, kas reglamentē ārvalstu izlūkdatu apkopošanu. Tomēr Komisijai var nākties atkārtoti izvērtēt situāciju, pēc tam kad Tiesa būs pieņēmusi lēmumu par izskatīšanā esošajām lietām.

2.KONSTATĒJUMI

Trešajā darbības gadā privātuma vairogs, kam gada pārskata sanāksmes brīdī bija vairāk nekā 5000 iesaistīto uzņēmumu, ir pārgājis no uzsākšanas posma uz darbības posmu. Trešais gada pārskats aptvēra gan komerciālos aspektus, gan jautājumus, kas saistīti ar valdības piekļuvi personas datiem, uzmanību koncentrējot uz pieredzi un mācībām, kuras gūtas shēmas praktiskajā piemērošanā.

Detalizēti konstatējumi par privātuma vairoga shēmas darbību pēc tās trešā darbības gada ir izklāstīti Komisijas dienestu darba dokumentā saistībā ar trešo gada pārskatu par ES un ASV privātuma vairoga darbību (SWD(2019) 390 final), kas pievienots šim ziņojumam.

2.1.Komerciālie aspekti

Ņemot vērā pagājušā gada pārskata konstatējumus, Komisijas novērtējums par komerciālajiem aspektiem bija it sevišķi vērsts uz Tirdzniecības departamenta panākto progresu saistībā ar i) atkārtotas sertifikācijas procesu, ii) to mehānismu efektivitāti, kurus Tirdzniecības departaments ieviesis, lai proaktīvi uzraudzītu sertificēto uzņēmumu atbilstību (tā sauktās “izlases veida pārbaudes”), iii) instrumentiem, kas ieviesti nepatiesu apgalvojumu atklāšanai, iv) ar privātuma vairoga pārkāpumiem saistīto Federālās tirdzniecības komisijas izpildes darbību progresu un rezultātiem un v) notikumu attīstību saistībā ar norādījumiem par cilvēkresursu datiem.

Attiecībā uz atkārtotas sertifikācijas procesu trešajā gada pārskatā atklājās, ka tad, kad beidzas (atkārtotas) sertifikācijas periods un ja uzņēmums vēl nav pabeidzis atkārtotās sertifikācijas procesu, Tirdzniecības departaments parasti, ievērojot iekšēju procedūru, piešķir uzņēmumam izteikti garu termiņa pagarinājumu. Šajā periodā (aptuveni 3,5 mēnešus vai — dažos gadījumos un atkarībā no tā, kad Tirdzniecības departaments atklāj, ka atkārtotās sertifikācijas process nav pabeigts, — pat ilgāk) uzņēmums paliek privātuma vairoga “aktīvajā” sarakstā. Kamēr uzņēmums ir privātuma vairoga iesaistīto uzņēmumu sarakstā, shēmas pienākumi ir saistoši un pilnībā piemērojami. Tomēr tik garš periods, kad ir pagājis uzņēmuma atkārtotās sertifikācijas termiņš, taču uzņēmums joprojām ir privātuma vairoga aktīvo iesaistīto uzņēmumu sarakstā, samazina privātuma vairoga saraksta pārredzamību un lasāmību gan ES uzņēmumiem, gan privātpersonām. Turklāt tas nemotivē iesaistītos uzņēmumus stingri ievērot ikgadējo atkārtotās sertifikācijas prasību.

Saistībā ar proaktīvām pārbaudēm attiecībā uz uzņēmumu atbilstību privātuma vairoga prasībām Tirdzniecības departaments 2019. gada aprīlī ieviesa sistēmu, kuras ietvaros tas katru mēnesi pārbauda 30 uzņēmumus. Komisija atzinīgi vērtē to, ka Tirdzniecības departaments regulāri un sistemātiski veic proaktīvas izlases veida atbilstības pārbaudes; tas ir ļoti svarīgi, lai uzlabotu vispārējo atbilstību shēmai un atklātu gadījumus, kuros Federālajai tirdzniecības komisijai ir jāīsteno izpildes darbības. Tomēr Komisija atzīmē, ka šīs izlases veida pārbaudes parasti aptver tikai formālu prasību neizpildi, piemēram, atbilžu neesību no apstiprinātiem kontaktpunktiem vai uzņēmuma privātuma politikas nepieejamību tiešsaistē. Lai gan tie noteikti ir būtiski privātuma vairoga prasību ievērošanas aspekti, šādās pārbaudēs būtu jāpārliecinās arī par tādu būtisku pienākumu ievērošanu kā atbilstība principam par atbildību tālākas nosūtīšanas gadījumā, pilnībā izmantojot instrumentus, kas Tirdzniecības departamentam ir pieejami shēmas ietvaros. Privātuma vairoga ietvaros ir ievērojami nostiprinātas tālākas nosūtīšanas prasības, jo aizsardzības pasākumu nepietiekamība šādos gadījumos mazinātu shēmas garantēto aizsardzību. Lai gan būtu jāturpina regulāri un sistemātiski veikt izlases veida pārbaudes, privātuma vairoga saglabāšanai ļoti svarīga ir arī atbilstība šīm būtiskākajām prasībām, tāpēc ASV iestādēm tā būtu stingri jāuzrauga un jāpanāk.

Attiecībā uz to, kā Tirdzniecības departaments meklē nepatiesus apgalvojumus par dalību privātuma vairogā, Komisija atzīmēja, ka Tirdzniecības departaments turpināja īstenot meklēšanu reizi ceturksnī, kā rezultātā tika atklāts ievērojams skaits nepatiesu apgalvojumu gadījumu, kurus dažos gadījumos nosūtīja arī Federālajai tirdzniecības komisijai. Tomēr šī meklēšana līdz šim ir tikusi vērsta tikai uz tiem uzņēmumiem, kas kādā veidā jau bija sertificēti vai bija iesnieguši pieteikumu sertifikācijai privātuma vairoga ietvaros (bet, piemēram, nebija atkārtoti saņēmuši sertifikāciju). Ir svarīgi, lai šī meklēšana tiktu vērsta arī uz uzņēmumiem, kuri nekad nav iesnieguši pieteikumu sertifikācijai privātuma vairoga ietvaros. No visu veidu nepatiesiem apgalvojumiem, iespējams, bīstamākie ir to uzņēmumu nepatiesie apgalvojumi, kuri nekad nav iesnieguši pieteikumu sertifikācijai. Tas ir tiesa, skatoties no privātpersonu privātuma perspektīvas, jo uzņēmumi, kas nekad nav iesnieguši pieteikumu sertifikācijai, nav savā uzņēmējdarbības praksē ieviesuši nevienu no aizsardzības pasākumiem, kurus garantē privātuma vairogs. Tāpat tas ir tiesa, skatoties no uzņēmējdarbības perspektīvas, jo tiek iedragāts uzņēmumu konkurences apstākļu vienlīdzīgums, ja organizācijas, kas neatbilst shēmas prasībām, var izmantot sertifikācijas sniegtās priekšrocības.

Komisija ar gandarījumu atzīmēja, ka ir pieaudzis to ES datu subjektu skaits, kuri izmanto savas tiesības saskaņā ar privātuma vairogu, un attiecīgie tiesiskās aizsardzības mehānismi darbojas labi. Ir palielinājies neatkarīgiem tiesību aizsardzības mehānismiem iesniegto sūdzību skaits, un tās tika atrisinātas par labu attiecīgajām ES privātpersonām. Turklāt iesaistītie uzņēmumi ir atbilstīgi izskatījuši ES privātpersonu pieprasījumus.

Attiecībā uz izpildi Komisija atzīmēja, ka kopš pagājušā gada Federālā tirdzniecības komisija ir pabeigusi septiņas izpildes darbības saistībā ar privātuma vairoga pārkāpumiem, tostarp paziņoto ex officio kontrolreidu rezultātā. Visi septiņi gadījumi attiecās uz nepatiesiem apgalvojumiem par dalību shēmā. Divi no šiem gadījumiem attiecās arī uz būtiskāku privātuma vairoga prasību pārkāpumu, piemēram, nebija veikts pašnovērtējums vai ārēja atbilstības pārbaude, kurā pārliecinās, ka uzņēmuma apgalvojumi par privātuma vairogam atbilstošu praksi ir patiesi un ka šī prakse ir ieviesta. Komisija atzinīgi vērtē Federālās tirdzniecības komisijas veiktās izpildes darbības privātuma vairoga trešajā darbības gadā. Tajā pašā laikā, ņemot vērā aģentūras pagājušā gada paziņojumu un otrā gada pārskata laikā sniegtās garantijas, Komisija bija gaidījusi aktīvākas izpildes darbības saistībā ar būtiskiem privātuma vairoga principu pārkāpumiem.

Šajā saistībā Komisija ņēma vērā trešā gada pārskata ietvaros sniegto skaidrojumu, ka vairāki notiekošie izmeklēšanas gadījumi aizņem ilgāku laiku, jo Federālā tirdzniecības komisija izskata visus iespējamos pārkāpumus. Tomēr Federālās tirdzniecības komisijas sniegtā informācija bija pārāk ierobežota, lai pienācīgi novērtētu izpildes progresu. Lai gan šādu informāciju var ierobežot leģitīmu konfidencialitātes apsvērumu dēļ, šķiet, nav pamatoti, ka Federālā tirdzniecības komisija nevar sniegt plašāku informāciju par veiktajiem ex officio kontrolreidiem, kaut vai sniedzot apkopotus un anonīmus datus. Šī pieeja neatbilst iestāžu savstarpējās sadarbības garam, uz ko balstās privātuma vairogs, un Federālajai tirdzniecības komisijai būtu jārod veids, kā sniegt lietderīgu informāciju par tās izpildes darbībām Komisijai un ES datu aizsardzības iestādēm, kuras ir līdzatbildīgas par shēmas piemērošanu.

Pārskata veikšanas laikā atkal tika apspriests jautājums par to, kā privātuma vairoga ietvaros tiek apstrādāti cilvēkresursu dati. Kā apstiprināja ieinteresētās personas, Tirdzniecības departamenta, Federālās tirdzniecības komisijas un ES datu aizsardzības iestāžu kopīgu norādījumu izstrādei būtu patiesa pievienotā vērtība. Šajā saistībā Komisija atzīmē, ka pēdējā laikā ir notikusi saziņa un ka ir panākts neliels progress šo jautājumu izprašanā, bet ka pagaidām nav nekādu konkrētu rezultātu.

2.2.ASV valsts iestāžu piekļuve personas datiem un to izmantošana

Runājot par aspektiem, kas attiecas uz ASV iestāžu piekļuvi personas datiem un to izmantošanu, trešais gada pārskats bija pirmām kārtām vērsts uz to, lai pārliecinātos, ka joprojām pastāv visi ierobežojumi un aizsardzības pasākumi, uz ko balstās atbilstības lēmums. Turklāt trešais gada pārskats sniedza iespēju aplūkot jaunāko notikumu attīstību un papildus precizēt konkrētus tiesiskā regulējuma aspektus, kā arī dažādos pārraudzības mehānismus un tiesiskās aizsardzības iespējas, it sevišķi saistībā ar sūdzību izskatīšanu un atrisināšanu pie ombuda.

Lai gan nebija nekādu tiesību aktu izmaiņu attiecībā uz ārvalstu izlūkdatu iegūšanu saskaņā ar Ārvalstu izlūkošanas uzraudzības likuma 702. pantu, Komisija atzinīgi novērtēja no ASV iestādēm saņemtos precizējumus par to, kā to izlūkošanas programmu ietvaros, kuras īsteno saskaņā ar Ārvalstu izlūkošanas uzraudzības likuma 702. pantu (t. i., Prism un Upstream), tiek noteikts izlūkdatu ieguves objekts. Šie precizējumi apstiprināja Komisijas konstatējumus atbilstības lēmumā, ka ārvalstu izlūkdatu iegūšanā, kas tiek veikta saskaņā ar Ārvalstu izlūkošanas uzraudzības likuma 702. pantu, izsekošanas objekts vienmēr tiek noteikts, izmantojot izraudzītājus, un ka izraudzītāju izvēli reglamentē tiesību akti, kam tiek piemērota neatkarīga tiesu un likumdevēja veikta pārraudzība.

Komisija arī atzīmēja, ka dažām no pilnvarām, kas atļauj iegūt ārvalstu izlūkdatus saskaņā ar Ārvalstu izlūkošanas uzraudzības likuma 501. pantu, kurš grozīts ar 2015. gada likumu USA FREEDOM, termiņš beigsies 2019. gada 15. decembrī. Tā kā datu iegūšana saskaņā ar Ārvalstu izlūkošanas uzraudzības likuma 501. pantu ir būtiska privātuma vairoga kontekstā un tāpēc Komisija to ir novērtējusi atbilstības lēmumā, ir svarīgi, lai atkārtotas pilnvarošanas gadījumā netiktu atcelti pašreizējie ierobežojumi un aizsardzības pasākumi, piemēram, lielapjoma vākšanas aizliegums.

Attiecībā uz Prezidenta politikas direktīvu Nr. 28 ASV iestādes skaidri apstiprināja, ka šie noteikumi ir spēkā pilnā apjomā un ka tajos nav ieviesti nekādi grozījumi. Tāpat nav grozītas procedūras, ar ko dažādajās izlūkdienestu aģentūrās īsteno Prezidenta politikas direktīvu Nr. 28. Turklāt Komisija ņēma vērā ASV iestāžu sniegtos skaidrojumus, kas precizēja, ka Prezidenta politikas direktīvas Nr. 28 noteikumi par lielapjoma vākšanu, tostarp noteikumi par pagaidu iegūšanu, neattiecas uz ārvalstu izlūkdatu vākšanu ASV (piemēram, uz datu vākšanu no sertificēta uzņēmuma, kurš apstrādā datus, kas no ES nosūtīti privātuma vairoga ietvaros), piemēram, uz vākšanu, kas veikta saskaņā ar Ārvalstu izlūkošanas uzraudzības likuma 702. pantu programmu Prism vai Upstream ietvaros, jo šādus datus vienmēr vāc selektīvi.

Attiecībā uz Privātuma un pilsonisko brīvību pārraudzības padomi, kura ir nozīmīga pārraudzības struktūra valdības veiktas novērošanas jomā, Komisija atzinīgi novērtēja to, ka Privātuma un pilsonisko brīvību pārraudzības padomei pirmo reizi kopš 2016. gada ir pilns piecu locekļu sastāvs, pateicoties ASV Senāta nesen apstiprinātajiem diviem padomes papildu locekļiem. Komisija arī atzīmēja, ka kopš pēdējā gada pārskata padomes darbinieku skaits ir kļuvis divreiz lielāks un ka tā ir pieņēmusi vērienīgu darba programmu, kas ietver 10 pašlaik īstenošanā esošus pārraudzības projektus, no kuriem daži ir sevišķi būtiski Komisijas veiktajai privātuma vairoga periodiskajai pārskatīšanai.

Attiecībā uz privātuma vairoga ombuda mehānismu — ASV prezidents 2019. gada 18. janvārī paziņoja par Kīta Kraha (Keith Krach) izvirzīšanu valsts sekretāra vietnieka amatā, kurš pilda arī ombuda pienākumus. Senāts 2019. gada 20. jūnijā apstiprināja K. Krahu. Komisija atzinīgi vērtē K. Kraha iecelšanu privātuma vairoga ombuda amatā, jo tas nodrošina pastāvīgu amata pienākumu izpildītāju.

Runājot par pirmo sūdzību ombuda mehānismam, kuru iesniedza ar Horvātijas Datu aizsardzības iestādes starpniecību neilgi pirms iepriekšējā gada pārskata, šo sūdzību galu galā atzina par nepieņemamu, jo tā attiecās uz notikumiem pirms privātuma vairoga lēmuma pieņemšanas. Tomēr šī sūdzība sniedza iespēju pārbaudīt attiecīgo procedūru darbību praksē. Gan gada pārskatā iesaistītie Eiropas Datu aizsardzības kolēģijas pārstāvji, gan ombuds apstiprināja, ka tika pienācīgi uzsākti un veikti visi attiecīgie procedūras posmi. Komisija atzinīgi vērtē šā pirmā pieprasījuma sekmīgo izskatīšanu, jo tas ir nozīmīgs apliecinājums tam, ka ombuda mehānisms var pienācīgi pildīt savas funkcijas.

ASV iestādes arī sniedza papildu skaidrojumus par to, kā ombuds sadarbosies ar citām neatkarīgām pārraudzības struktūrām un kā tas novērsīs pārkāpumus. It sevišķi tās apstiprināja, ka neatkarīgais izlūkdienestu ģenerālinspektors tiks sistemātiski informēts par ikvienu ombudam iesniegtu sūdzību un ka tas veiks pats savu novērtējumu. Turklāt tās paskaidroja, ka, ja ombudam iesniegta sūdzība atklātu Ārvalstu izlūkošanas uzraudzības likuma 702. pantā noteikto mērķēšanas procedūru pārkāpumu, šāds pārkāpums tiktu paziņots Ārvalstu izlūkošanas uzraudzības tiesai, kas veiktu neatkarīgu pārbaudi un vajadzības gadījumā pieprasītu attiecīgajai izlūkaģentūrai veikt korektīvas darbības. Šādas korektīvas darbības var būt gan atsevišķi, gan strukturāli pasākumi, piemēram, nelikumīgi iegūto datu dzēšana vai vākšanas prakses izmaiņas, tai skaitā kā darbiniekiem sniegti norādījumi un apmācība.

Visbeidzot, tika apstiprināts, ka, ja ombudam iesniegtas sūdzības izskatīšanas laikā atklātos ASV tiesību akta pārkāpums (tostarp izpildrīkojumu, prezidenta politikas un aģentūru noteikumu un procedūru pārkāpums, piemēram, Ārvalstu izlūkošanas uzraudzības tiesas apstiprinātu mērķēšanas un minimizācijas procedūru pārkāpums), nelikumīgi savāktie dati tiktu dzēsti no visām valdības datubāzēm un no izlūkošanas ziņojumiem tiktu dzēstas visas atsauces uz šiem datiem. Tādējādi privātpersona ES varētu panākt savu personas datu dzēšanu, ja ASV izlūkdienesti būtu tos nelikumīgi savākuši un apstrādājuši.

Komisija atzinīgi vērtē šos papildu skaidrojumus, kas parāda, kā dažādu neatkarīgu pārraudzības struktūru sadarbība stiprina ombuda mehānisma efektivitāti. Tāpat bija svarīgi precizēt, ka, izmantojot ombuda mehānismu, privātpersonas Eiropas Savienībā var faktiski izmantot savas dzēšanas tiesības, kas ir viens no tiesību uz personas datu aizsardzību pamatelementiem.

3.NOBEIGUMS

Trešā gada pārskata kontekstā apkopotā informācija apstiprina Komisijas konstatējumus atbilstības lēmumā attiecībā gan uz shēmas komerciālajiem aspektiem, gan uz aspektiem, kas saistīti ar piekļuvi personas datiem, kurus valsts iestādes nosūtījušas privātuma vairoga ietvaros. Šajā saistībā Komisija atzīmēja vairākus uzlabojumus shēmas darbībā, kā arī amatpersonu iecelšanu svarīgās pārraudzības struktūrās.

Tomēr, ņemot vērā dažus problēmjautājumus, kas atklājās saistībā ar ikdienā gūto pieredzi vai kas kļuva būtiskāki shēmas praktiskās īstenošanas kontekstā, Komisija secina, ka ir jāveic vairāki konkrēti pasākumi, lai labāk nodrošinātu efektīvu privātuma vairoga darbību praksē:

1.Tirdzniecības departamentam būtu jāsaīsina periodi, ko uzņēmumiem piešķir atkārtotas sertifikācijas procesa pabeigšanai. Periods, kas kopā nav ilgāks par 30 dienām, šķiet, dotu uzņēmumiem pietiekami ilgu laiku atkārtotai sertifikācijai, tai skaitā jebkādu tādu problēmjautājumu atrisināšanai, kuri atklājušies atkārtotās sertifikācijas procesa gaitā, un vienlaikus nodrošinātu šā procesa efektivitāti. Ja šā perioda beigās atkārtotā sertifikācija nav pabeigta, Tirdzniecības departamentam būtu nekavējoties jāizsūta brīdinājuma vēstule;

2.izlases veida pārbaužu procedūras kontekstā Tirdzniecības departamentam būtu jānovērtē uzņēmumu atbilstība principam par atbildību tālākas nosūtīšanas gadījumā, arī izmantojot privātuma vairogā paredzēto iespēju pieprasīt to privātuma noteikumu kopsavilkumu vai reprezentatīvu kopiju, kuri ietverti līgumā, ko privātuma vairoga sertificēts uzņēmums ir noslēdzis tālākas nosūtīšanas vajadzībām;

3.Tirdzniecības departamentam būtu prioritāri jāizstrādā instrumenti, ar ko atklāt tādu uzņēmumu nepatiesus apgalvojumus par dalību privātuma vairogā, kuri nekad nav iesnieguši sertifikācijas pieteikumu, un būtu regulāri un sistemātiski jāizmanto šie instrumenti;

4.Federālajai tirdzniecības komisijai būtu prioritāri jārod veids, kā dalīties ar lietderīgu informāciju par notiekošiem izmeklēšanas gadījumiem ar Komisiju un ES datu aizsardzības iestādēm, kurām privātuma vairoga ietvaros arī ir izpildes pienākumi;

5.ES datu aizsardzības iestādēm, Tirdzniecības departamentam un Federālajai tirdzniecības komisijai būtu nākamajos mēnešos jāizstrādā kopīgi norādījumi par cilvēkresursu datu definīciju un apstrādi.

Komisija turpinās cieši uzraudzīt turpmāko notikumu attīstību saistībā ar konkrētiem privātuma vairoga shēmas elementiem, it sevišķi i) ombuda mehānisma darbību, jo īpaši jaunas sūdzības gadījumā, ii) to pašreizējo pārraudzības projektu rezultātiem, kurus uzsākusi Privātuma un pilsonisko brīvību pārraudzības padome un kuri ir īpaši saistīti ar privātuma vairogu (piemēram, par to datu pieprasīšanu, ko Federālais izmeklēšanas birojs ir ieguvis saskaņā ar Ārvalstu izlūkošanas uzraudzības likuma 702. pantu, padomes ieteikumu par Prezidenta politikas direktīvas Nr. 28 īstenošanu utt.), iii) Ārvalstu izlūkošanas uzraudzības likuma 501. panta atkārtoto apstiprināšanu, it sevišķi esošo aizsardzības pasākumu saglabāšanu, un iv) tās ASV judikatūras attīstību, kas attiecas uz tiesisko aizsardzību valdības veiktas novērošanas jomā, it sevišķi attiecībā uz jautājumu par tiesībām celt prasību tiesā.

Visbeidzot, Komisija turpinās cieši sekot līdzi notiekošajām debatēm par federālajiem privātuma tiesību aktiem ASV. Vispusīga pieeja privātumam un datu aizsardzībai palielinātu konverģenci starp ES un ASV sistēmām, un tas stiprinātu pamatu, uz kā balstās privātuma vairoga shēma.

(1)

Komisijas 2016. gada 12. jūlija Īstenošanas lēmums (ES) 2016/1250 saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs, OV L 207, 1.8.2016., 1. lpp.

(2)

Komisijas ziņojums Eiropas Parlamentam un Padomei saistībā ar pirmo gada pārskatu par ES un ASV privātuma vairoga darbību (COM(2017) 611 final), sk. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(3)

 Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the first annual review of the functioning of the EU-U.S. Privacy Shield (Komisijas dienestu darba dokuments, kas pievienots Komisijas ziņojumam Eiropas Parlamentam un Padomei saistībā ar pirmo gada pārskatu par ES un ASV privātuma vairoga darbību) (SWD(2017) 344 final), sk. http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(4)

 Komisijas ziņojums Eiropas Parlamentam un Padomei saistībā ar otro gada pārskatu par ES un ASV privātuma vairoga darbību (COM(2018) 860 final), sk. https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .

(5)

 Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the second annual review of the functioning of the EU-U.S. Privacy Shield (Komisijas dienestu darba dokuments, kas pievienots Komisijas ziņojumam Eiropas Parlamentam un Padomei saistībā ar otro gada pārskatu par ES un ASV privātuma vairoga darbību) (SWD(2018) 497 final), sk. https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .

(6)

 Presidential Policy Directive 28: Signals Intelligence Activities (Prezidenta politikas direktīva Nr. 28 — sakaru izlūkošanas darbības), 2014. gada 17. janvāris, kurā noteikti būtiski ierobežojumi un aizsardzības pasākumi sakaru izlūkošanas datu vākšanā attiecībā uz personām, kas nav ASV pilsoņi.

(7)

 Neatkarīga struktūra, kurā iesaistīti ES dalībvalstu datu aizsardzības iestāžu pārstāvji un Eiropas Datu aizsardzības uzraudzītājs.

(8)

Sk. lietu T-738/16 La Quadrature du Net/Komisija. Jautājumi par privātuma vairogu ir ierosināti arī saistībā ar lietu C-311/18 Data Protection Commissioner un Facebook Ireland/Maximilian Schrems (Schrems II), kurā sēde notika Tiesas virspalātā 2019. gada 9. jūlijā.