52019DC0495

EVROPSKA KOMISIJA

Bruselj, 23.10.2019

COM(2019) 495 final

POROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU

o tretjem letnem pregledu delovanja zasebnostnega ščita EU-ZDA

{SWD(2019) 390 final}

1.TRETJI LETNI PREGLED – OZADJE, PRIPRAVA IN POSTOPEK

Komisija je 12. julija 2016 sprejela sklep (v nadaljnjem besedilu: sklep o ustreznosti), v katerem je ugotovila, da zasebnostni ščit EU-ZDA zagotavlja ustrezno raven varstva osebnih podatkov, ki so bili preneseni iz EU organizacijam s sedežem v ZDA 1 . Sklep o ustreznosti zahteva zlasti, da Komisija izvede letni pregled, s katerim oceni vse vidike delovanja okvira, in na tej podlagi pripravi javno poročilo, ki se predloži Evropskemu parlamentu in Svetu.

Prvi letni pregled je bil opravljen septembra 2017 v Washingtonu, oktobra 2017 pa je Komisija sprejela poročilo Evropskemu parlamentu in Svetu 2 , ki mu je bil priložen delovni dokument služb Komisije (SWD(2017) 344 final) 3 . Komisija je ugotovila, da Združene države še naprej zagotavljajo ustrezno raven varstva podatkov, ki se v okviru zasebnostnega ščita iz EU prenesejo v ZDA, hkrati pa je predložila deset priporočil za izboljšanje praktičnega delovanja okvira.

Drugi letni pregled je bil opravljen oktobra 2018 v Bruslju, decembra 2018 pa je Komisija sprejela poročilo Evropskemu parlamentu in Svetu 4 , ki mu je bil zopet priložen delovni dokument služb Komisije (SWD(2018) 487 final) 5 . Informacije, zbrane v okviru drugega letnega pregleda, potrjujejo ugotovitve Komisije v sklepu o ustreznosti, tako glede „trgovinskih vidikov“ okvira (tj. vidiki v zvezi s skladnostjo certificiranih podjetij z zahtevami zasebnostnega ščita kot tudi z upravljanjem, nadzorom in izvrševanjem takšnih zahtev s strani pristojnih organov ZDA) kot vidikov v zvezi z dostopom javnih organov do osebnih podatkov, prenesenih v okviru zasebnostnega ščita.

Zlasti so ukrepi, sprejeti za izvajanje priporočil Komisije po prvem letnem pregledu, izboljšali več vidikov delovanja okvira v praksi. Ministrstvo za trgovino je na primer uvedlo nove mehanizme za odkrivanje morebitnih težav v zvezi s skladnostjo, zvezna komisija za trgovino je sprejela bolj proaktiven pristop k spremljanju skladnosti in izvrševanju, poročilo nadzornega odbora za zasebnost in državljanske svoboščine o izvajanju predsedniške politične direktive št. 28 6 pa je bilo javno objavljeno. Ker pa so bili nekateri od teh ukrepov sprejeti tik pred drugim letnim pregledom in so bili nekateri postopki še v teku, je Komisija sklenila, da je potrebno natančno spremljanje nadaljnjega dogajanja v zvezi s temi procesi in mehanizmi.

Čeprav je funkcijo varuha pravic v okviru zasebnostnega ščita izvajal vršilec dolžnosti podsekretarja na ministrstvu za zunanje zadeve in je tako mehanizem varuha pravic v celoti deloval, je Komisija poudarila, da je pomembno trajno zapolniti položaj varuha pravic na področju zasebnostnega ščita, zlasti pa je vlado ZDA pozvala, naj pred 28. februarjem 2019 imenuje kandidata za to mesto.

Tretji letni pregled je bil opravljen 12. in 13. septembra 2019 v Washingtonu. Otvorili so ga generalna direktorica za pravosodje in potrošnike Tiina Astola, ameriški minister za trgovino Wilbur Ross, predsednik zvezne komisije za trgovino Joseph Simons in podpredsednik Evropskega odbora za varstvo podatkov Ventsislav Karadjov. V imenu EU so se ga udeležili predstavniki generalnega direktorata Evropske komisije za pravosodje in potrošnike. Sodelovalo je tudi osem predstavnikov, ki jih je imenoval Evropski odbor za varstvo podatkov 7 .

Na strani ZDA so pri pregledu sodelovali predstavniki ministrstva za trgovino, ministrstva za zunanje zadeve, zvezne komisije za trgovino, ministrstva za promet, urada direktorja nacionalne obveščevalne službe, ministrstva za pravosodje ter člani nadzornega odbora za zasebnost in državljanske svoboščine, pa tudi na novo imenovani varuh pravic (trajna funkcija, glej spodaj) in generalni inšpektor za obveščevalno skupnost. Poleg tega so na ustreznih pregledovalnih sejah informacije zagotovili predstavniki dveh neodvisnih organizacij, ki v okviru zasebnostnega ščita nudita storitve reševanja sporov, in ameriškega arbitražnega združenja, ki upravlja arbitražni svet zasebnostnega ščita. Nazadnje so organizacije, certificirane v okviru zasebnostnega ščita, podprle letni pregled z informacijami o ukrepih, ki jih sprejmejo podjetja za izpolnjevanje zahtev okvira.

Pri pripravi tretjega letnega pregleda je Komisija zbrala informacije od zadevnih zainteresiranih strani (zlasti podjetij, certificiranih v okviru zasebnostnega ščita, prek njihovih panožnih združenj in nevladnih organizacij, ki delujejo na področju temeljnih pravic, zlasti digitalnih pravic in zasebnosti). Komisija se je poleg zbiranja pisnih prispevkov 9. septembra 2019 sestala z industrijskimi in poslovnimi združenji, 11. septembra 2019 pa z nevladnimi organizacijami.

Ugotovitve Komisije so bile nadalje podprte z javno dostopnim gradivom, kot so sodne odločbe, izvedbena pravila in postopki ustreznih organov ZDA, poročila in študije nevladnih organizacij, poročila o preglednosti, ki so jih izdala podjetja, certificirana v okviru zasebnostnega ščita, letna poročila neodvisnih pritožbenih mehanizmov in poročila medijev.

To poročilo zaključuje tretji letni pregled delovanja zasebnostnega ščita. Poročilo in priloženi delovni dokument služb Komisije (SWD(2019) 390 final) imata enako strukturo kot dokumenti o prejšnjih dveh pregledih. Zajema vse vidike delovanja zasebnostnega ščita, s posebnim poudarkom na tistih elementih, ki jih je Komisija med drugim letnim pregledom opredelila kot elemente, ki zahtevajo natančno spremljanje.

Komisija je pri izvajanju svoje ocene upoštevala tudi nadaljnji razvoj dogodkov v zadnjem letu, vključno z nedokončanim postopkom v zvezi z zasebnostnim ščitom pred Sodiščem Evropske unije 8 . V zvezi s tem je bil pregled priložnost za Komisijo, da od organov ZDA pridobi pojasnila glede nekaterih posebnih vidikov pravnega okvira ZDA, ki ureja zbiranje tujih obveščevalnih podatkov, ki so bili izraženi v okviru tako imenovane zadeve Schrems II. Vendar pa bo Komisija morda morala ponovno oceniti stanje, ko bo Sodišče odločilo o nerešenih zadevah.

2.UGOTOVITVE

V tretjem letu delovanja je zasebnostni ščit, pri katerem je v času letnega pregleda sodelovalo več kot 5 000 podjetij, prešel iz faze zasnove v bolj operativno fazo. V tretjem letnem pregledu, ki zajema tako trgovinske vidike kot vprašanja v zvezi z vladnim dostopom do osebnih podatkov, je bil poudarek na znanju in izkušnjah, pridobljenih pri praktični uporabi okvira.

Podrobne ugotovitve v zvezi z delovanjem okvira zasebnostnega ščita po tretjem letu njegovega delovanja so predstavljene v delovnem dokumentu služb Komisije o tretjem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (SWD(2019) 390 final), ki je priložen temu poročilu.

2.1.Trgovinski vidiki

Ocena trgovinskih vidikov, ki jo je opravila Komisija, je bila glede na ugotovitve iz lanskega letnega pregleda osredotočena zlasti na napredek, ki ga je ministrstvo za trgovino doseglo pri (i) postopku ponovnega certificiranja, (ii) učinkovitosti mehanizmov, ki jih je uvedlo ministrstvo za trgovino za proaktivno spremljanje skladnosti certificiranih podjetij (t. i. „naključna preverjanja“), (iii) orodjih, ki so bila uvedena za odkrivanje lažnih navedb, (iv) napredku in rezultatih ukrepov zvezne komisije za trgovino na področju izvrševanja v zvezi s kršitvami zasebnostnega ščita in (v) razvoju v zvezi s smernicami o podatkih o človeških virih.

V zvezi s postopkom ponovnega certificiranja je bilo pri tretjem letnem pregledu ugotovljeno, da ministrstvo za trgovino podjetjem, ki še niso zaključila postopka ponovnega certificiranja, ob izteku obdobja za (ponovno) certificiranje po opravljenem notranjem postopku običajno odobri znatno „obdobje odloga“. V tem obdobju (približno tri mesece in pol ali v nekaterih primerih in odvisno od tega, kdaj ministrstvo za trgovino ugotovi, da postopek ponovnega certificiranja ni bil zaključen, celo daljše časovno obdobje) ostane podjetje na „aktivnem“ seznamu zasebnostnega ščita. Dokler je podjetje navedeno kot podjetje, ki sodeluje v zasebnostnem ščitu, ostanejo obveznosti iz okvira zavezujoče in v celoti izvršljive. Vendar pa tako dolgo obdobje, v katerem se je rok za ponovno certificiranje podjetja iztekel, medtem ko je podjetje še naprej navedeno kot aktivni udeleženec v zasebnostnem ščitu, zmanjšuje preglednost in berljivost seznama zasebnostnega ščita za podjetja in posameznike v EU. Prav tako ne spodbuja sodelujočih podjetij, da dosledno spoštujejo zahtevo glede vsakoletnega ponovnega certificiranja.

Ministrstvo za trgovino je v zvezi s proaktivnimi preverjanji skladnosti podjetij z zahtevami zasebnostnega ščita aprila 2019 uvedlo sistem, v okviru katerega vsak mesec preveri 30 podjetij. Komisija pozdravlja dejstvo, da ministrstvo za trgovino redno in sistematično izvaja proaktivna naključna preverjanja skladnosti, kar je zelo pomembno za izboljšanje splošne skladnosti z okvirom in za odkrivanje primerov, ki zahtevajo izvršilne ukrepe zvezne komisije za trgovino. Vendar ugotavlja, da so ta naključna preverjanja omejena na formalne zahteve, kot so pomanjkanje odziva imenovanih kontaktnih točk ali nedostopnost politike podjetja glede zasebnosti prek spleta. Čeprav so to zagotovo pomembni vidiki skladnosti z zahtevami zasebnostnega ščita, bi morala takšna preverjanja zajemati tudi vsebinske obveznosti, na primer skladnost z načelom glede odgovornosti za prenos tretjemu, pri čemer bi bilo treba v celoti izkoristiti instrumente, ki jih lahko ministrstvo za trgovino uporabi na podlagi okvira. Zahteve glede prenosa tretjemu so bile v okviru zasebnostnega ščita znatno okrepljene, saj bi pomanjkanje zaščitnih ukrepov v takih primerih ogrozilo zaščito, ki jo zagotavlja okvir. Ker je treba naključna preverjanja še naprej izvajati redno in sistematično, je skladnost s temi bolj vsebinskimi zahtevami prav tako bistvena za kontinuiteto zasebnostnega ščita in bi morala biti pod strogim nadzorom in izvrševanjem s strani organov ZDA.

Komisija je v zvezi z iskanjem organizacij, ki lažno navajajo, da sodelujejo v zasebnostnem ščitu, ki ga izvaja ministrstvo za trgovino, ugotovila, da je ministrstvo vsako četrtletje še naprej izvajalo iskanje, kar je privedlo do odkritja znatnega števila lažnih navedb, ki so bile v nekaterih primerih predložene tudi zvezni komisiji za trgovino. Vendar so bila ta iskanja doslej namenjena le podjetjem, ki so na določen način že bila certificirana ali so zaprosila za certificiranje v okviru zasebnostnega ščita (vendar na primer niso bila ponovno certificirana). Pomembno je, da ministrstvo preverja tudi podjetja, ki niso nikoli zaprosila za certificiranje v okviru zasebnostnega ščita. Izmed vseh lažnih navedb so lahko lažne navedbe podjetij, ki niso nikoli zaprosila za certificiranje, najbolj škodljive. To velja z vidika zasebnosti posameznikov, saj podjetja, ki nikoli niso zaprosila za certificiranje, v svojih poslovnih praksah niso izvajala nobenega varstva, ki ga zagotavlja zasebnostni ščit. To velja tudi z vidika podjetij, saj so enaki konkurenčni pogoji za podjetja oslabljeni, če lahko organizacije, ki ne izpolnjujejo zahtev okvira, uveljavljajo prednosti certificiranja.

Komisija je pozitivno ocenila dejstvo, da vse več posameznikov iz EU, na katere se nanašajo osebni podatki, uveljavlja svoje pravice v okviru zasebnostnega ščita in da ustrezna pravna sredstva delujejo dobro. Število pritožb, vloženih pri neodvisnih pritožbenih mehanizmih, se je povečalo in je bilo zadovoljivo razrešeno za zadevne posameznike iz EU. Poleg tega so sodelujoča podjetja ustrezno obravnavala zahteve posameznikov iz EU.

Kar zadeva izvrševanje, je Komisija ugotovila, da je zvezna komisija za trgovino od lani zaključila sedem izvršilnih ukrepov v zvezi s kršitvami zasebnostnega ščita, tudi zaradi napovedanih preiskav po uradni dolžnosti. Vseh sedem primerov se je nanašalo na lažne navedbe o sodelovanju v okviru. Dva od teh primerov sta bili tudi kršitvi bolj vsebinskih zahtev zasebnostnega ščita, kot je nepreverjanje s samoocenjevanjem ali zunanjim preverjanjem skladnosti, da so trditve, ki jih navaja podjetje o svojih praksah v zvezi z zasebnostnim ščitom, resnične in da se te prakse izvajajo. Komisija pozdravlja izvršilne ukrepe zvezne komisije za trgovino v tretjem letu delovanja zasebnostnega ščita. Hkrati bi Komisija glede na napoved agencije iz lanskega leta in zagotovila, podana med drugim letnim pregledom, pričakovala odločnejši pristop v zvezi z izvršilnimi ukrepi glede vsebinskih kršitev načel zasebnostnega ščita.

V zvezi s tem se je Komisija seznanila s pojasnilom v okviru tretjega letnega pregleda, da bo več tekočih preiskav trajalo dlje časa, saj zvezna komisija za trgovino obravnava celoten obseg možnih kršitev. Vendar so bile informacije, ki jih je predložila zvezna komisija za trgovino, preveč omejene, da bi se lahko ustrezno ocenil napredek pri izvrševanju. Čeprav se take informacije lahko omejijo zaradi legitimnih pomislekov glede zaupnosti, se ne zdi upravičeno, da zvezna komisija za trgovino ne more deliti, niti v zbirni in anonimni obliki, več elementov v zvezi s preiskavami po uradni dolžnosti, ki se izvajajo. Ta pristop ni v skladu z duhom sodelovanja med organi, na katerem temelji zasebnostni ščit, pri čemer bi morala zvezna komisija za trgovino najti načine za izmenjavo pomembnih informacij o svoji dejavnosti izvrševanja s Komisijo in organi EU za varstvo podatkov, ki so soodgovorni za izvrševanje okvira.

Med pregledom je bilo ponovno obravnavano vprašanje, kako se podatki o človeških virih obravnavajo v okviru zasebnostnega ščita. Kot so potrdile zainteresirane strani, bi razvoj skupnih smernic ministrstva za trgovino, zvezne komisije za trgovino in organov EU za varstvo podatkov predstavljal resnično dodano vrednost. Komisija v zvezi s tem ugotavlja, da so bili nedavno vzpostavljeni stiki, ki so privedli do določenega napredka pri razumevanju vprašanj, vendar zaenkrat še brez konkretnih rezultatov.

2.2.Dostop javnih organov ZDA do osebnih podatkov in njihova uporaba

Kar zadeva vprašanja, povezana z dostopom javnih organov ZDA do osebnih podatkov in njihovo uporabo, je bil tretji letni pregled v prvi vrsti namenjen potrditvi, da vse omejitve in zaščitni ukrepi, na katere se nanaša sklep o ustreznosti, ostajajo v veljavi. Poleg tega je bil tretji letni pregled priložnost, da se preučijo novi dogodki in dodatno pojasnijo nekateri vidiki pravnega okvira ter različni mehanizmi nadzora in možnosti pritožbe, zlasti v zvezi z obravnavanjem in reševanjem pritožb s strani varuha pravic.

Čeprav ni bilo novega pravnega razvoja v zvezi z zbiranjem tujih obveščevalnih podatkov v skladu s členom 702 zakona o nadzoru tujih obveščevalnih podatkov (Foreign Intelligence Surveillance Act), je Komisija pozdravila pojasnila, ki jih je prejela od organov ZDA o tem, kako je usmerjeno zbiranje obveščevalnih podatkov v okviru obveščevalnih programov, ki se izvajajo v skladu s členom 702 zakona o nadzoru tujih obveščevalnih podatkov (tj. programa Prism in Upstream). Ta pojasnila so potrdila ugotovitve Komisije iz sklepa o ustreznosti, da je zbiranje tujih obveščevalnih podatkov v skladu s členom 702 zakona o nadzoru tujih obveščevalnih podatkov vedno ciljno usmerjeno z uporabo selektorjev in da je izbira selektorjev urejena z zakonom, ob upoštevanju neodvisnega sodnega in zakonodajnega nadzora.

Komisija je tudi ugotovila, da bodo nekatera pooblastila za pridobivanje tujih obveščevalnih podatkov v skladu s členom 501 zakona o nadzoru tujih obveščevalnih podatkov, kot je bil spremenjen z zakonom ZDA o svobodi (USA FREEDOM Act) iz leta 2015, prenehala veljati 15. decembra 2019. Ker je zbiranje podatkov v skladu s členom 501 zakona o nadzoru tujih obveščevalnih podatkov pomembno v okviru zasebnostnega ščita in je bilo zato ocenjeno v sklepu Komisije o ustreznosti, je pomembno, da se v primeru ponovne odobritve ohranijo obstoječe omejitve in zaščitni ukrepi, kot je prepoved množičnega zbiranja podatkov.

Kar zadeva predsedniško politično direktivo št. 28, so organi ZDA izrecno potrdili, da ostaja v celoti v veljavi in da ni bila spremenjena. Prav tako niso bili spremenjeni postopki za izvajanje predsedniške politične direktive št. 28 v okviru različnih agencij obveščevalne skupnosti. Poleg tega se je Komisija seznanila s pojasnili, ki so jih predložili organi ZDA, da se določbe o množičnem zbiranju podatkov iz predsedniške politične direktive št. 28, vključno s tistimi o začasni pridobitvi, ne uporabljajo za zbiranje tujih obveščevalnih podatkov v ZDA (na primer za zbiranje informacij certificiranih podjetij, ki obdelujejo podatke, ki se prenašajo iz EU v okviru zasebnostnega ščita), kot je zbiranje podatkov, ki se v skladu s členom 702 zakona o nadzoru tujih obveščevalnih podatkov zbirajo v okviru programov Prism ali Upstream, saj je to zbiranje podatkov vedno ciljno usmerjeno.

Kar zadeva nadzorni odbor za zasebnost in državljanske svoboščine, ki je pomemben nadzorni organ na področju vladnega nadzora, je Komisija pozdravila dejstvo, da glede na nedavno potrditev dveh dodatnih članov odbora s strani senata ZDA nadzorni odbor za zasebnost in državljanske svoboščine prvič od leta 2016 deluje v polni zasedbi petih članov. Komisija je tudi ugotovila, da se je osebje odbora od zadnjega letnega pregleda podvojilo in da je sprejelo ambiciozen delovni program, ki ga sestavlja deset tekočih projektov nadzora, od katerih so nekateri posebej pomembni za redni pregled zasebnostnega ščita s strani Komisije.

Kar zadeva mehanizem varuha pravic na področju zasebnostnega ščita, je predsednik ZDA 18. januarja 2019 napovedal imenovanje Keitha Kracha na mesto podsekretarja na ministrstvu za zunanje zadeve, ki opravlja tudi funkcijo varuha pravic. Senat je 20. junija 2019 potrdil imenovanje Keitha Kracha. Komisija pozdravlja imenovanje g. Kracha kot varuha pravic na področju zasebnostnega ščita, kar zagotavlja stalno zasedenost tega položaja.

Kar zadeva prvo pritožbo, naslovljeno na mehanizem varuha pravic, ki je bila predložena prek hrvaškega organa za varstvo podatkov tik pred prejšnjim letnim pregledom, je bila ta pritožba na koncu ugotovljena za nedopustno, saj se je nanašala na dejstva, ki so bila zaključena pred sprejetjem sklepa o zasebnostnem ščitu. Vendar je pritožba kljub temu ponudila priložnost za preskušanje delovanja zadevnih postopkov v praksi. Predstavniki Evropskega odbora za varstvo podatkov pri letnem pregledu in varuh pravic so potrdili, da so se vsi pomembni koraki postopka sprožili in zaključili na zadovoljiv način. Komisija pozdravlja uspešno obravnavo te prve zahteve kot pomemben kazalnik, da lahko mehanizem varuha pravic ustrezno opravlja svoje naloge.

Organi ZDA so predložili tudi dodatna pojasnila o tem, kako bo varuh pravic sodeloval z drugimi neodvisnimi nadzornimi organi in kako bi lahko odpravil kršitve. Potrdili so zlasti, da bo neodvisni generalni inšpektor obveščevalne skupnosti sistematično obveščen o vsaki pritožbi, predloženi varuhu pravic, in da bo svojo oceno opravil sam. Poleg tega so pojasnili, da bi se v primeru, da bi pritožba, ki je bila vložena pri varuhu pravic, pokazala kršitev ciljno usmerjenih postopkov v skladu s členom 702 zakona o nadzoru tujih obveščevalnih podatkov, taka kršitev poročala sodišču za nadzor tujih obveščevalnih podatkov, ki bi izvedlo neodvisen pregled in po potrebi zadevni obveščevalni agenciji naložilo, naj sprejme popravne ukrepe. Ti popravni ukrepi lahko zajemajo posamezne ali strukturne ukrepe, npr. od izbrisa nezakonito pridobljenih podatkov do spremembe prakse zbiranja podatkov, vključno s smernicami in usposabljanjem osebja.

Nazadnje je bilo potrjeno, da bi se v primerih, v katerih bi bila med revizijo pritožbe varuhu pravic ugotovljena kršitev zakonodaje ZDA (vključno s kršitvijo izvršilnih odredb, predsedniških politik ter pravil in postopkov agencije, kot so ciljno usmerjeni postopki in postopki zmanjševanja količine podatkov, ki jih je potrdilo sodišče za nadzor tujih obveščevalnih podatkov), nezakonito zbrani podatki izbrisali iz vseh vladnih podatkovnih zbirk, hkrati pa bi bilo iz obveščevalnih poročil odstranjeno tudi kakršno koli sklicevanje na te podatke. Posameznik v EU bi tako lahko pridobil izbris svojih osebnih podatkov, če bi te nezakonito zbrala in obdelala obveščevalna skupnost ZDA.

Komisija pozdravlja ta dodatna pojasnila, ki kažejo, kako sodelovanje med različnimi neodvisnimi nadzornimi organi krepi učinkovitost mehanizma varuha pravic. Pomembno je bilo tudi pojasniti, da lahko posamezniki v EU z uporabo mehanizma varuha pravic dejansko uveljavljajo svojo pravico do izbrisa, ki je temeljni element pravice do varstva osebnih podatkov.

3.SKLEPNE UGOTOVITVE

Informacije, zbrane v okviru tretjega letnega pregleda, potrjujejo ugotovitve Komisije v sklepu o ustreznosti, tako glede trgovinskih vidikov okvira kot vidikov v zvezi z dostopom do osebnih podatkov, ki jih javni organi prenašajo v okviru zasebnostnega ščita. V zvezi s tem je Komisija ugotovila nekatere izboljšave delovanja okvira ter imenovanja ključnih nadzornih organov.

Glede na nekatera vprašanja, ki so se pojavila na podlagi vsakodnevnih izkušenj ali so postala pomembnejša pri praktičnem izvajanju okvira, Komisija ugotavlja, da je treba sprejeti nekatere konkretne ukrepe za boljše zagotavljanje učinkovitega delovanja zasebnostnega ščita v praksi:

1.Ministrstvo za trgovino bi moralo skrajšati različna časovna obdobja, ki se odobrijo podjetjem, da zaključijo postopek ponovnega certificiranja. Obdobje, ki bi trajalo skupno največ 30 dni, bi bilo smiselno, da bi se podjetjem omogočilo dovolj časa za ponovno certificiranje, vključno z odpravo kakršnih koli zadev, ugotovljenih v postopku ponovnega certificiranja, hkrati pa bi se zagotovila učinkovitost tega postopka. Če ob koncu tega obdobja ponovno certificiranje ni zaključeno, bi moralo ministrstvo za trgovino nemudoma poslati opozorilno pismo.

2.Ministrstvo za trgovino bi moralo v okviru postopka naključnega preverjanja oceniti, ali podjetja spoštujejo načelo glede odgovornosti za prenos tretjemu, vključno z uporabo možnosti, ki jo zagotavlja zasebnostni ščit, da zahteva povzetek ali reprezentativno kopijo določb o zasebnosti iz pogodbe, ki jo je za namene prenosa tretjemu sklenilo podjetje, certificirano v okviru zasebnostnega ščita.

3.Ministrstvo za trgovino bi moralo prednostno razviti orodja za odkrivanje lažnih navedb o sodelovanju v zasebnostnem ščitu pri podjetjih, ki niso nikoli zaprosila za certificiranje, ter ta orodja redno in sistematično uporabljati.

4.Zvezna komisija za trgovino bi morala prednostno poiskati načine za izmenjavo pomembnih informacij o tekočih preiskavah s Komisijo, pa tudi z organi EU za varstvo podatkov, ki imajo prav tako pristojnosti izvrševanja v okviru zasebnostnega ščita.

5.Organi EU za varstvo podatkov, ministrstvo za trgovino in zvezna komisija za trgovino bi morali v prihodnjih mesecih oblikovati skupne smernice za opredelitev podatkov o človeških virih in ravnanje s temi podatki.

Komisija bo še naprej pozorno spremljala nadaljnji razvoj v zvezi s posebnimi elementi okvira zasebnostnega ščita, zlasti (i) delovanje mehanizma varuha pravic, predvsem v primeru nove pritožbe; (ii) rezultate tekočih nadzornih projektov, ki jih je začel nadzorni odbor za zasebnost in državljanske svoboščine in so še posebej pomembni za zasebnostni ščit (na primer o poizvedovanju z uporabo podatkov, pridobljenih v skladu s členom 702 zakona o nadzoru tujih obveščevalnih podatkov s strani Zveznega preiskovalnega urada (FBI), izvajanju priporočil odbora v zvezi s predsedniško politično direktivo št. 28 itd.); (iii) ponovno odobritev člena 501 zakona o nadzoru tujih obveščevalnih podatkov, predvsem da se ohranijo obstoječi zaščitni ukrepi, in (iv) razvijajočo se sodno prakso ZDA v zvezi s pravnimi sredstvi na področju vladnega nadzora, predvsem v zvezi z vprašanjem procesnega upravičenja pred sodišči.

Komisija bo še naprej pozorno spremljala trenutno razpravo o zvezni zakonodaji ZDA o varstvu zasebnosti. Celovit pristop k varstvu zasebnosti in podatkov bi povečal konvergenco med sistemi EU in ZDA, kar bi okrepilo temelje, na katerih je bil razvit okvir zasebnostnega ščita.

(1)

Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (UL L 207, 1.8.2016, str. 1).

(2)

Poročilo Komisije Evropskemu parlamentu in Svetu o prvem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (COM(2017) 611 final), glej http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(3)

Delovni dokument služb Komisije, priložen Poročilu Komisije Evropskemu parlamentu in Svetu o prvem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (SWD(2017) 344 final), glej http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .

(4)

Poročilo Komisije Evropskemu parlamentu in Svetu o drugem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (COM(2018) 860 final), glej https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .

(5)

Delovni dokument služb Komisije, priložen Poročilu Komisije Evropskemu parlamentu in Svetu o drugem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (SWD(2018) 497 final), glej https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .

(6)

Predsedniška politična direktiva št. 28: Obveščevalne dejavnosti pri zaznavanju signalov, 17. januar 2014, ki zagotavlja pomembne omejitve in zaščitne ukrepe za nedržavljane ZDA na področju zbiranja obveščevalnih podatkov pri zaznavanju signalov.

(7)

Neodvisni organ, ki združuje predstavnike nacionalnih organov za varstvo podatkov iz držav članic EU in Evropskega nadzornika za varstvo podatkov.

(8)

Glej zadevo T-738/16, La Quadrature du Net proti Komisiji. Vprašanja v zvezi z zasebnostnim ščitom so bila postavljena tudi v okviru zadeve C-311/18, Facebook Ireland in Schrems (v nadaljnjem besedilu: Schrems II), v zvezi s katero je 9. julija 2019 potekala obravnava pred velikim senatom Sodišča.