EIROPAS KOMISIJA
Briselē, 19.12.2018
COM(2018) 860 final
KOMISIJAS ZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI
saistībā ar otro gada pārskatu par ES un ASV privātuma vairoga darbību
{SWD(2018) 497 final}
EIROPAS KOMISIJA
Briselē, 19.12.2018
COM(2018) 860 final
KOMISIJAS ZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI
saistībā ar otro gada pārskatu par ES un ASV privātuma vairoga darbību
{SWD(2018) 497 final}
1.OTRAIS GADA PĀRSKATS – MĒRĶIS, SAGATAVOŠANA UN PROCESS
Komisija 2016. gada 12. jūlijā pieņēma lēmumu (“lēmums par aizsardzības līmeņa pietiekamību”), kurā tā konstatēja, ka ES un ASV privātuma vairogs (“privātuma vairogs”) nodrošina pienācīgu to personas datu aizsardzības līmeni, kas no ES tiek nosūtīti ASV organizācijām. 1 Lēmums par aizsardzības līmeņa pietiekamību jo īpaši paredz, ka Komisija veic ikgadēju visu regulējuma darbības aspektu novērtējumu. Pirmā ikgadējā pārskatīšana notika 2017. gada 18. un 19. septembrī Vašingtonā, un 2017. gada 18. oktobrī Komisija pieņēma ziņojumu Eiropas Parlamentam un Padomei, 2 kuram pievienots Komisijas dienestu darba dokuments (SWD(2017) 344 final). 3
Pamatojoties uz pirmajā pārskatā izdarītajiem konstatējumiem, Komisija secināja, ka ASV turpina nodrošināt pienācīgu to personas datu aizsardzības līmeni, kurus privātuma vairoga ietvaros no Savienības nosūta organizācijām ASV. Vienlaikus Komisija uzskatīja, ka privātuma vairoga regulējuma praktisko īstenošanu varētu uzlabot, lai nodrošinātu, ka tajā noteiktās garantijas un aizsardzības pasākumi turpina darboties kā paredzēts. Tālab Komisija sniedza desmit ieteikumus.
Šis ziņojums noslēdz otro gada pārskatīšanu par privātuma vairoga darbību. Šim ziņojumam, kā arī pievienotajam dienestu darba dokumentam (SWD(2018) 497) ir tāda pati struktūra kā ziņojumam par pirmo gada pārskatu. Tie aptver visus privātuma vairoga darbības aspektus, tostarp ņemot vērā pēdējā gada norises. Komisijas novērtējuma centrālais elements bija pirmajā gada pārskatā sniegto ieteikumu īstenošana.
Otrā gada pārskata sagatavošanas gaitā Komisija apkopoja informāciju, ko sniedza attiecīgās ieinteresētās personas (jo īpaši privātuma vairoga ietvaros sertificētie uzņēmumi ar to attiecīgo arodasociāciju starpniecību un nevalstiskās organizācijas (NVO), kas aktīvi darbojas pamattiesību jomā un jo īpaši digitālo tiesību un privātuma jomā), kā arī attiecīgās regulējuma īstenošanā iesaistītās ASV iestādes.
Otrā gada pārskatīšanas sanāksme notika 2018. gada 18. un 19. oktobrī Briselē. Pārskatīšanas sanāksmi atklāja tieslietu, patērētāju un dzimumu līdztiesības komisāre Vera Jourova, ASV tirdzniecības ministrs Vilburs Ross (Wilbur Ross), Federālās tirdzniecības komisijas priekšsēdētājs Žozefs Saimons (Joseph Simons) un Eiropas Datu aizsardzības kolēģijas priekšsēdētāja Andrea Jelineka. No ES puses to vadīja Eiropas Komisijas Tiesiskuma un patērētāju ģenerāldirektorāta pārstāvji. ES delegācijā bija arī septiņi pārstāvji, kurus norīkoja Eiropas Datu aizsardzības kolēģija (neatkarīga struktūra, kas apvieno ES dalībvalstu datu aizsardzības iestāžu pārstāvjus un Eiropas Datu aizsardzības uzraudzītāju).
No ASV puses pārskatīšanā piedalījās pārstāvji no Tirdzniecības ministrijas, Valsts departamenta, Federālās tirdzniecības komisijas, Transporta ministrijas, Nacionālās izlūkošanas direktora biroja, Tieslietu ministrijas un Privātuma un pilsonisko brīvību pārraudzības padomes pārstāvji, kā arī ombuda pienākumu izpildītājs un Izlūkdienesta ģenerālinspektors. Turklāt attiecīgās pārskatīšanas gaitā informāciju sniedza arī pārstāvji no organizācijas, kas piedāvā neatkarīgu strīdu izšķiršanas pakalpojumus privātuma vairoga ietvaros, un Amerikas Šķīrējtiesu asociācija. Visbeidzot, pārskatīšanas gaitā informāciju par to, kā uzņēmumi ievēro regulējuma prasības, sniedza arī privātuma vairoga ietvaros sertificētie uzņēmumi.
Komisijas konstatējumiem ir izmantots arī Komisijas veikts pētījums un publiski pieejami materiāli, piemēram, tiesu lēmumi, attiecīgo ASV iestāžu īstenošanas noteikumi un procedūras, nevalstisko organizāciju ziņojumi un pētījumi, privātuma vairoga ietvaros sertificētu uzņēmumu izdoti pārredzamības ziņojumi, neatkarīgu tiesību aizsardzības mehānismu gada ziņojumi, kā arī plašsaziņas līdzekļu ziņojumi.
Šā gada pārskatīšana notika, ņemot vērā problēmas datu privātuma jomā, kurām ir aizvien lielāks globāls mērogs, par ko liecina Facebook / Cambridge Analytica lieta. Gan ES, gan ASV apzinās līdzīgās problēmas, ar kurām tās saskaras personas datu aizsardzības jomā. Pārskatīšanas gaitā abas puses uzsvēra nepieciešamību risināt šādus personas datu ļaunprātīgas izmantošanas gadījumus, tai skaitā ES datu aizsardzības iestādēm un ASV Federālās tirdzniecības komisijai īstenojot aktīvas izpildes darbības.
Tāpat Komisijas ziņojums atspoguļo notiekošās debates par federālajiem tiesību aktiem attiecībā uz privātumu ASV. Ilgtermiņa konverģence starp abām sistēmām nostiprinātu pamatus, uz kuriem balstās privātuma vairoga regulējums.
2.KONSTATĒJUMI UN SECINĀJUMS
Otrais gada pārskats ietver gan privātuma vairoga regulējuma “komerciālos aspektus”, gan problēmas attiecībā uz valdības piekļuvi personas datiem.
Attiecībā uz “komerciālajiem aspektiem”, t.i., jautājumiem, kas attiecas uz sertificēto uzņēmumu saistību administrēšanu, pārraudzību un izpildi, Komisija atzīmēja, ka saskaņā ar Komisijas pirmajā gada pārskatā sniegtajiem ieteikumiem Tirdzniecības ministrija ir vēl vairāk nostiprinājusi sertifikācijas procesu un ieviesusi jaunas pārraudzības procedūras. Proti, Tirdzniecības ministrija ir pieņēmusi jaunu procesu, kas neļauj pirmreizējiem pieteikuma iesniedzējiem publiski norādīt uz to dalību privātuma vairogā, pirms Tirdzniecības ministrija nav pabeigusi to sertifikācijas pārskatīšanu. Turklāt Tirdzniecības ministrija ir ieviesusi jaunus mehānismus, lai atklātu iespējamās atbilstības problēmas, piemēram, izlases veida pārbaudes uz vietas (ikgadējās pārskatīšanas gaitā šādas pārbaudes tika veiktas apmēram 100 organizācijās), kā arī uzraudzību attiecībā uz privātuma vairoga dalībnieku publiskajiem ziņojumiem par privātuma nodrošināšanas praksi. Tagad, veicot meklējumus nolūkā atklāt nepatiesus apgalvojumus par līdzdalību sistēmā, Tirdzniecības ministrija aktīvi izmanto dažādus instrumentus, piemēram, reizi ceturksnī pārskatot tos uzņēmumus, kuri ir identificēti kā tādi, kas visdrīzāk varētu sniegt nepatiesus apgalvojumus, kā arī sistēmu attiecībā uz attēlu un teksta meklēšanu Internetā. Šīs nesen ieviestās prakses un procedūru rezultātā Tirdzniecības ministrija kopš pirmā gada pārskata ir iesniegusi vairāk nekā 50 lietas Federālās tirdzniecības komisijai, kura savukārt veica izpildes panākšanas darbību tajos gadījumos, kad ziņošana pati par sevi nav bijusi pietiekama, lai liktu attiecīgajam uzņēmumam nodrošināt atbilstību.
Saistībā ar izpildi Komisija atzīmēja, ka Federālās tirdzniecības komisija kā daļu no tās centieniem proaktīvi uzraudzīt privātuma vairoga principu ievērošanu, nesen ir izdevusi administratīvās pavēstes, pieprasot informāciju no vairākiem privātuma vairoga dalībniekiem. Turklāt Federālās tirdzniecības komisija arī apstiprināja, ka norit izmeklēšana attiecībā uz Facebook / Cambridge Analytica lietu. Lai gan Komisija uzskata, ka Federālās tirdzniecības komisija jaunā, vairāk proaktīvā pieeja atbilstības uzraudzībai ir nozīmīgs sasniegums, tā pauž nožēlu, ka līdz šim nav bijusi iespēja sniegt papildu informāciju par nesen veikto izmeklēšanu, un tā rūpīgi uzraudzīs turpmākās norises šajā sakarā.
Otrajā gada pārskatā ir ņemtas vērā arī attiecīgās izmaiņas ASV tiesību sistēmā privātuma jomā. Tās jo īpaši ir saistītas ar Tirdzniecības ministrijas uzsākto apspriešanos par federāla līmeņa pieeju datu privātuma jomā, kā arī Federālās tirdzniecības komisija pārdomu procesu par tās pašreizējām pilnvarām privātuma jomā un tās pašreizējās korektīvās iestādes izmantošanas efektivitāti.
Kā liecina Facebook / Cambridge Analytica lieta un citi atklātībā nonākuši fakti, būtu svarīgi, lai ES un ASV arī turpmāk būtu vienotas savā rīcībā. Šo apsvērumu dēļ Komisija ar lielu interesi ir vērojusi iepriekš minētās iniciatīvas un atbalstījusi Tirdzniecības ministrijas apspriešanās procesu ar rakstisku iesniegumu 4 .
Attiecībā uz aspektiem, kas attiecas uz piekļuvi personas datiem un to izmantošanu ASV valsts iestādēs, otrajā gada pārskatā galvenā uzmanība tika vērsta uz attiecīgajām izmaiņām ASV tiesiskajā regulējumā, tostarp attiecībā uz attiecīgo aģentūru politikas virzieniem un procedūrām, jaunākajām tendencēm uzraudzības darbībās un izmaiņām svarīgu pārraudzības un tiesiskās aizsardzības mehānismu izveidē un darbībā.
Būtiskākās juridiskās izmaiņas attiecībā uz valdības piekļuvi bija Ārējās izlūkošanas uzraudzības likuma ("likums") 702. panta atkārtota autorizācija 2018. gada sākumā. Lai arī atkārtotā autorizācija neizraisīja Prezidenta politikas direktīvā Nr. 28 paredzētās aizsardzības iekļaušanu likumā, kā to bija ierosinājusi Komisija, tā arī neierobežoja nevienu no likumā iekļautajiem aizsardzības pasākumiem, kuri bija spēkā lēmuma par privātuma vairogu pieņemšanas brīdī. Turklāt šie grozījumi nepaplašināja ASV izlūkdienestu pilnvaras iegūt ārvalstu izlūkošanas informāciju attiecībā uz citu valstu personām saskaņā ar 702. pantu. Tā vietā 2017. gada Grozījumu atkārtotas autorizācijas likums, ar ko groza 1978. gada Ārējās izlūkošanas uzraudzības likumu, ir ieviesis dažus ierobežotus papildu privātuma aizsardzības pasākumus, piemēram, pārredzamības jomā.
Būtiskas izmaiņas ir notikušas arī attiecībā uz Privātuma un pilsonisko brīvību pārraudzības padomi, kurā pirmā gada pārskata laikā bija palicis tikai viens padomes loceklis. Tāpēc Komisija ieteica ātri iecelt trūkstošos padomes locekļus. 2018. gada 11. oktobrī ASV Senāts apstiprināja izvirzīto Privātuma un pilsonisko brīvību pārraudzības padomes priekšsēdētāju, kā arī divus padomes locekļu kandidātus, tādējādi atjaunojot kvorumu padomē un ļaujot tai pildīt tās funkcijas. Pēc pirmās gada pārskatīšanas Komisija ir arī ieteikusi publiskot padomes ziņojumu par Prezidenta politikas direktīvu Nr. 28. Ziņojums tika publiskots 2018. gada 16. oktobrī 5 , un tajā apstiprināts ka Prezidenta politikas direktīva Nr. 28 tiek pilnībā piemērota visos ASV izlūkdienestos. Jo īpaši tajā apstiprināts, ka pēc Prezidenta politikas direktīvas Nr. 28 izdošanas attiecīgie izlūkdienestu elementi ir pieņēmuši sīki izstrādātus noteikumus par minētās direktīvas ieviešanu un ir mainījuši savu praksi, lai tā atbilstu Prezidenta politikas direktīvas Nr. 28 prasībām.
Visbeidzot, lai gan Komisija bija ieteikusi privātuma vairoga ombuda ātru iecelšanu, pašreizējā ziņojuma sastādīšanas brīdī Valsts departamentā joprojām nav iecelts pastāvīgs valsts sekretāra vietnieks, kuram tika pakļauts ombuda birojs. Šajā sakarā Komisija ir pieņēmusi zināšanai to, ka otrās gada pārskatīšanas gaitā ASV valdība atzina, ka ir nepieciešams panākt tūlītēju progresu, izvirzot pastāvīgu valsts sekretāra vietnieku, un apstiprināja, ka šis process virzās uz priekšu.
Šā ziņojuma izstrādes laikā ombuda mehānismam vēl nebija iesniegts neviens pieprasījums. Tomēr sūdzība ombudam tika iesniegta Horvātijas datu aizsardzības iestādē, un tika veiktas attiecīgās pārbaudes.
Detalizētāki konstatējumi attiecībā uz visu privātuma vairoga regulējuma aspektu darbību pēc tā otrā darbības gada ir izklāstīti Komisijas dienestu darba dokumentā saistībā ar otro gada pārskatu par ES un ASV privātuma vairoga darbību (SWD(2018) 497), kas pievienots šim ziņojumam.
Informācija, kas apkopota, veicot otro gada pārskatīšanu, apstiprina Komisijas konstatējumus lēmumā par aizsardzības līmeņa pietiekamību attiecībā gan uz regulējuma “komerciālajiem aspektiem”, gan aspektiem, kas saistīti ar piekļuvi personas datiem, ko ASV iestādes nosūta privātuma vairoga ietvaros.
Pamatojoties uz šiem konstatējumiem, Komisija secina, ka Amerikas Savienotās Valstis turpina nodrošināt pienācīgu aizsardzības līmeni personas datiem, kurus privātuma vairoga ietvaros no Savienības nosūta organizācijām Amerikas Savienotajās Valstīs.
Jo īpaši pēc pirmās gada pārskatīšanas veiktie pasākumi ir uzlabojuši vairākus regulējuma praktiskās darbības aspektus nolūkā nodrošināt, ka netiek skarts fizisko personu aizsardzības līmenis, ko garantē lēmums par aizsardzības līmeņa pietiekamību.
Tomēr daži no šiem pasākumiem ir veikti pavisam nesen, un atbilstošie procesi joprojām notiek. Tāpēc ir jāturpina rūpīgi uzraudzīt visas turpmākās izmaiņas saistībā ar šiem procesiem, jo īpaši tāpēc, ka tie ietekmē elementus, kas ir būtiski konstatējuma par pietiekamību nepārtrauktībai. Tas jo īpaši attiecas uz:
1.to mehānismu efektivitāti, ko Tirdzniecības ministrija ir ieviesusi otrajā regulējuma darbības gadā, lai proaktīvi uzraudzītu sertificēto uzņēmumu atbilstību privātuma vairoga principiem, jo īpaši atbilstību pamatprasībām un saistībām;
2.to instrumentu efektivitāti, ko Tirdzniecības ministrija ir ieviesusi kopš pirmās gada pārskatīšanas, lai atklātu nepatiesus apgalvojumus par līdzdalību sistēmā, īpašu uzmanību pievēršot meklējumiem nolūkā atklāt tos uzņēmumus, kuri sniedz nepatiesus apgalvojumus, lai gan nekad nav iesnieguši pieteikumu sertifikācijai;
3.to ex-officio vērienīgo pārbaužu progresu un rezultātiem, ko otrajā privātuma vairoga darbības gadā veica Federālās tirdzniecības komisija, izmantojot administratīvās pavēstes, lai atklātu nozīmīgus privātuma vairoga pārkāpumus;
4.papildu norādījumiem, ko kopīgi izstrādā Tirdzniecības ministrija, Federālās tirdzniecības komisija un ES datu aizsardzības iestādes attiecībā uz elementiem, kam nepieciešams sīkāks skaidrojums (piemēram, CR dati);
5.pastāvīga privātuma vairoga ombuda iecelšanu;
6.ombuda sūdzību izskatīšanas un atrisināšanas efektivitāti.
Jo īpaši Komisija atkārtoti aicina ASV valdību apstiprināt tās politisko apņemšanos īstenot ombuda mehānismu, nosakot par prioritāti pastāvīga privātuma vairoga ombuda iecelšanu. Ombudam ir svarīga loma privātuma vairoga regulējumā un, lai arī ombuda pienākumu izpildītājs turpina pildīt attiecīgās funkcijas, pastāvīga atbildīgā pārstāvja trūkums ir nepieņemams, un tas ir jānovērš pēc iespējas drīzāk. Komisija sagaida, ka ASV valdība līdz 2019. gada 28. februārim noteiks kandidātu, kurš pastāvīgi ieņems ombuda amatu, un informēs Komisiju par izvirzīto personu. Ja tas nenotiks līdz minētajam datumam, Komisija apsvērs iespēju veikt atbilstošus pasākumus saskaņā ar Vispārīgo datu aizsardzības regulu 6 . Komisija arī sagaida, ka tā saņems precīzu un detalizētu informāciju par visiem iepriekš minētajiem aspektiem, lai varētu novērtēt, vai veiktie pasākumi ir efektīvi praksē.
Visbeidzot, Komisija arī turpmāk uzmanīgi sekos notiekošajām debatēm par federālajiem tiesību aktiem par privātumu ASV. Ņemot vērā transatlantisko datu plūsmu nozīmi, Komisija mudina ASV pieņemt visaptverošu privātuma un datu aizsardzības sistēmu un kļūt par Eiropas Padomes Konvencijas Nr. 108 dalībnieci. Izmantojot šādu visaptverošu pieeju, var panākt abu sistēmu konverģenci ilgtermiņā, kas arī nostiprinātu privātuma vairoga regulējuma pamatus.
Komisijas Īstenošanas lēmums (ES) 2016/1250 (2016. gada 12. jūlijs) saskaņā ar Eiropas Parlamenta un Padomes Direktīvu 95/46/EK par pienācīgu aizsardzību, ko nodrošina ES un ASV privātuma vairogs, OV L 207, 1.8.2016., 1. lpp.
Komisijas ziņojums Eiropas Parlamentam un Padomei saistībā ar pirmo gada pārskatu par ES un ASV privātuma vairoga darbību (COM(2017) 611 final), skatīt http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Komisijas dienestu darba dokuments, kas pievienots Komisijas ziņojumam Eiropas Parlamentam un Padomei saistībā ar pirmo gada pārskatu par ES un ASV privātuma vairoga darbību (SWD(2017) 344 final), skatīt http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Pieejams šeit: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf .
Ziņojums prezidentam par “Prezidenta politikas direktīvas Nr. 28 īstenošanu: Sakaru izlūkošanas darbības”, pieejams šeit: https://www.pclob.gov/reports/report-PPD28/
Eiropas Parlamenta un Padomes Regula (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula).