SPOROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU Obnovitev zaupanja v pretok podatkov med EU in ZDA /* COM/2013/0846 final */
1. uvod: spremenjeno
okolje obdelave podatkov med EU in ZDA Evropska
unija in Združene države Amerike sta strateški partnerici. To partnerstvo je
ključnega pomena za spodbujanje skupnih vrednot, varnosti in skupnega
vodstva pri globalnih vprašanjih. Vendar je bilo
zaupanje v to partnerstvo omajano in treba ga je obnoviti. EU, njene države
članice in evropski državljani so izrazili globoko zaskrbljenost glede
razkritij o obsežnih ameriških programih zbiranja obveščevalnih podatkov,
zlasti zaradi vpliva teh programov na varstvo osebnih podatkov[1]. Obsežen
nadzor nad zasebno komunikacijo državljanov, podjetij ali političnih
voditeljev je nedopusten. Pretok osebnih
podatkov je pomemben in nujen del čezatlantskega partnerstva ter sestavni
del trgovinske menjave, ki poteka čez Atlantik, vključno z novimi in
hitro rastočimi digitalnimi podjetji, kot so socialna omrežja ter
računalništvo v oblaku, pri katerih se med EU in ZDA pretakajo velike
količine podatkov. Prav tako so ključni del sodelovanja EU in ZDA v
kazenskih zadevah ter sodelovanja med državami članicami in ZDA na
področju nacionalne varnosti. EU in ZDA morata vzpostaviti vrsto
sporazumov in dogovorov za lažji pretok podatkov in zagotavljanje visoke ravni
njihove varnosti, kot je določeno v zakonodaji EU. Izmenjava podatkov
v komercialne namene je predmet Odločbe št. 2000/520/EC[2] (v nadaljnjem
besedilu: Odločba Komisije o varnem pristanu). Ta odločba zagotavlja
pravno podlago za prenose osebnih podatkov iz EU družbam s sedežem v ZDA, ki so
se zavezale k spoštovanju načel zasebnosti varnega pristana. Izmenjava osebnih
podatkov med EU in ZDA v kazenskih zadevah, vključno s preprečevanjem
terorizma in drugih hujših oblik kaznivih dejanj in bojem proti njim, je
urejena z več sporazumi na ravni EU. To so: Sporazum o medsebojni pravni
pomoči[3], Sporazum o
uporabi in prenosu evidenc podatkov o potnikih (v nadaljnjem besedilu: PNR)[4], Sporazum o
obdelavi in posredovanju podatkov o sporočilih glede finančnih
plačil za namene programa za sledenje financiranja terorističnih
dejavnosti (v nadaljnjem besedilu: TFTP)[5] in Sporazum
med Europolom in ZDA. Ti sporazumi so odgovor na številne pomembne varnostne
izzive in ustrezajo skupnim varnostnim interesom EU in ZDA ter hkrati
zagotavljajo visoko raven varstva osebnih podatkov. Med EU in ZDA trenutno
potekajo tudi pogajanja o sprejetju okvirnega sporazuma o varstvu podatkov na
področju policijskega in pravosodnega sodelovanja (v nadaljnjem besedilu:
krovni sporazum)[6]. Na ta
način bo zagotovljena visoka raven varstva podatkov državljanov, katerih
podatki se izmenjujejo, s čimer bo še okrepljeno sodelovanje med EU in ZDA
v boju proti kriminalu in terorizmu na podlagi skupnih vrednot in dogovorjenih
zaščitnih ukrepov. Ti instrumenti se
uporabljajo v okolju, v katerem dobiva pretok osebnih podatkov vedno večji
pomen. Na eni strani je
razvoj digitalnega gospodarstva spodbudil eksponentno rast količine,
kakovosti, raznovrstnosti in narave dejavnosti obdelave podatkov. Uporaba
elektronskih komunikacijskih storitev v vsakdanjem življenju državljanov se je
povečala. Osebni podatki so postali sredstvo z visoko vrednostjo: vrednost
podatkov o državljanih EU leta 2011 je bila ocenjena na 315 milijard EUR, do
leta 2020 pa bi se lahko letno povečevala za 1 trilijon EUR[7]. Trg za
analizo velikih zbirk podatkov na svetovni ravni letno naraste za 40 %[8]. Podobno je
tehnološki razvoj, povezan na primer z računalništvom v oblaku, prinesel
novo razsežnost mednarodnega pretoka podatkov, saj čezmejni pretok
podatkov postaja vsakodnevna dejavnost.[9] Povečana
uporaba sredstev elektronske komunikacije in storitev obdelave podatkov,
vključno z računalništvom v oblaku, je prav tako precej razširila
obseg in pomembnost čezatlantskega pretoka podatkov. Dejavniki, kot so
osrednji položaj ameriških družb v digitalnem gospodarstvu[10], čezatlantska
preusmeritev velikega dela elektronske komunikacije in obseg elektronskega
pretoka podatkov med EU in ZDA, so postali še pomembnejši. Po drugi strani pa
nas sodobne metode obdelave osebnih podatkov postavljajo pred nove in pomembne
izzive. To velja tako za nove načine obsežne obdelave podatkov o
potrošnikih, ki jih izvajajo zasebna podjetja v komercialne namene, kot tudi za
povečano možnost obsežnega nadzora obveščevalnih služb nad
komunikacijskimi sredstvi. Obsežni ameriški programi
zbiranja obveščevalnih podatkov, kot je na primer program PRISM, vplivajo
na temeljne pravice evropskih državljanov, še posebej na njihovo pravico do
zasebnosti in varstva osebnih podatkov. Ti programi obenem kažejo na povezavo
med vladnim nadzorom in obdelavo podatkov s strani zasebnih podjetjih, zlasti v
primeru ameriških spletnih podjetij. Posledično lahko ti programi vplivajo
na gospodarstvo. Če so državljani med uporabo spletnih storitev
zaskrbljeni zaradi obsežne obdelave njihovih osebnih podatkov s strani zasebnih
podjetij ali nadzora s strani obveščevalnih služb nad njihovimi podatki,
lahko to vpliva na njihovo zaupanje v digitalno gospodarstvo, kar bi lahko
negativno vplivalo na gospodarsko rast. Takšen razvoj
dogodkov postavlja pretok podatkov med EU in ZDA pred nove izzive. To
sporočilo je odgovor nanje. Na podlagi ugotovitev iz poročila
predstavnikov EU, ki so sopredsedovali priložnostni delovni skupini EU/ZDA o
varstvu podatkov, in sporočila o varnem pristanu poskuša začrtati pot
naprej. Njegov cilj je zagotoviti učinkovito obnovitev zaupanja in
okrepitev sodelovanja med EU in ZDA na teh področjih ter okrepiti
čezatlantsko partnerstvo na splošno. Sporočilo temelji na predpostavki, da je treba standarde varstva
osebnih podatkov obravnavati v ustreznem okviru, ne da bi to vplivalo na druge
razsežnosti odnosov med EU in ZDA, vključno s tekočimi pogajanji o
čezatlantskem partnerstvu na področju trgovine in naložb. Standardi
varstva podatkov tako ne bodo del pogajanj o čezatlantskem partnerstvu na
področju trgovine in naložb, pri katerem bodo pravila o varstvu podatkov v
celoti upoštevana. Pomembno je opozoriti, da EU sicer lahko ukrepa v okviru svojih
pristojnosti, še posebej na področjih, kot so zaščitni ukrepi za
izvajanje prava EU[11], vendar pa
so države članice še vedno edine pristojne za reševanje vprašanj
nacionalne varnosti[12]. 2. Vpliv na instrumente pretoka podatkov Prvič, varni pristan
je postal pomembno orodje za pretok podatkov med EU in ZDA v komercialne
namene. S povečanim pretokom osebnih podatkov v čezatlantskih
komercialnih odnosih se je povečal tudi pomen tega orodja. Shema varnega
pristana deluje že 13 let in danes jo uporablja več kot 3 000
podjetij, polovica katerih se je shemi pridružila v zadnjih 5 letih. Vendar pa
se je povečala tudi zaskrbljenost glede varnosti osebnih podatkov
državljanov EU pri njihovem pretoku v ZDA v okviru te sheme. Zaradi
prostovoljne in deklaratorne narave sheme se je povečala potreba po
preglednosti in nadzoru nad uveljavljanjem njenih načel. Medtem ko
večina ameriških podjetij upošteva načela sheme, jih nekatera
samocertificirana podjetja ne. Neskladnost poslovanja teh samocertificiranih
podjetij z načeli zasebnosti varnega pristana daje tem podjetjem
konkurenčno prednost pred evropskimi podjetji, ki so dejavna na istih
trgih. In medtem ko shema
varnega pristana dovoljuje izredne omejitve varstva podatkov, če je to
potrebno zaradi nacionalne varnosti[13], se pojavlja
vprašanje, ali sta tako obsežno zbiranje in obdelava osebnih podatkov v okviru
ameriških programov nadzora res potrebna ter sorazmerna z interesi nacionalne
varnosti. Ugotovitve priložnostne delovne skupine EU/ZDA jasno kažejo tudi na
dejstvo, da državljani EU v okviru teh programov ne uživajo enakih pravic in
postopkovnih zaščitnih ukrepov kot državljani ZDA. Obseg teh programov
nadzora, skupaj z neenako obravnavo državljanov EU, postavlja pod vprašaj raven
varstva, ki jo zagotavlja dogovor o varnem pristanu. Ameriški organi oblasti
lahko dostopajo do osebnih podatkov državljanov EU, poslanih v ZDA v okviru
sheme varnega pristana, in jih obdelujejo pod pogoji, ki niso združljivi s
tistimi, pod katerimi so bili ti podatki zbrani v EU, in z nameni, za katere so
bili poslani v ZDA. Večina ameriških spletnih podjetij, ki jih ti programi
bolj neposredno zadevajo, je certificiranih pod shemo varnega pristana. Drugič,
obstoječi sporazumi na področju izmenjave podatkov v kazenske namene
(PNR, TFTP) so se izkazali kot zelo dragocena orodja za obravnavo skupnih
varnostnih groženj, povezanih z hujšimi oblikami mednarodnega kriminala in
terorizma, hkrati pa določajo zaščitne ukrepe, ki zagotavljajo visoko
raven varstva podatkov[14]. Ti
zaščitni ukrepi so na voljo tudi državljanom EU, sporazumi pa zagotavljajo
mehanizme za ponovno pregledovanje njihovega izvajanja ter obravnavo s tem
povezanih vprašanj. Sporazum TFTP prav tako vzpostavlja sistem za nadzor z
neodvisnimi opazovalci EU, ki preverjajo, kako ZDA iščejo podatke, na
katere se sporazum nanaša. Evropska komisija
je zaradi zaskrbljenosti, ki se je pojavila v EU glede ameriških programov
nadzora, uporabila te mehanizme za pregled izvajanja sporazumov. V primeru
sporazuma PNR je bil izveden skupni pregled izvajanja sporazuma, v katerega so
bili vključeni strokovnjaki za varstvo podatkov iz EU in ZDA[15]. Med
pregledom ni bilo ugotovljeno, da bi programi nadzora ZDA kakor koli zajemali
podatke o potnikih , na katere se nanaša sporazum PNR, ali kakor koli vplivali
nanje. V primeru sporazuma TFTP je Komisija po obtožbah o domnevnem neposrednem
dostopu ameriških obveščevalnih agencij do osebnih podatkov v EU
začela uradna posvetovanja, saj je tak dostop v nasprotju z določbami
sporazuma. Posvetovanja niso razkrila nobenih dokazov, ki bi kazali na kršitve
sporazuma TFTP, ZDA pa so tudi pisno zagotovile, da ni bilo nobenega
neposrednega zbiranja podatkov v nasprotju z določbami sporazuma. Zaradi obsežnega
zbiranja in obdelave osebnih podatkov v okviru programov nadzora ZDA bo treba
še naprej pozorno spremljati prihodnje izvajanje sporazumov PNR in TFTP. EU in
ZDA sta se v ta namen dogovorili o naslednjem skupnem pregledu sporazuma TFTP
spomladi 2014. S tem in prihodnjimi skupnimi pregledi bo zagotovljena
večja preglednost delovanja sistema nadzora in zaščite podatkov
državljanov EU. Poleg tega bo treba zagotoviti tudi podroben nadzor nad
obdelavo podatkov, prenesenih v ZDA v okviru sporazuma, ter zlasti skrbno
spremljati izmenjavo teh podatkov med organi oblasti ZDA. Tretjič,
povečan obseg obdelave osebnih podatkov poudarja pomen pravnih in upravnih
zaščitnih ukrepov, ki se uporabljajo. Eden od ciljev priložnostne delovne
skupine EU/ZDA je bil ugotoviti, kateri zaščitni ukrepi se uporabljajo za
zmanjšanje vpliva obdelave podatkov na temeljne pravice državljanov EU.
Zaščitni ukrepi so potrebni tudi za zaščito podjetij. Določeni
ameriški zakoni, kot je Zakon o domovinski varnosti, ameriškim organom oblasti
omogočajo, da neposredno od podjetij zahtevajo dostop do podatkov,
shranjenih v EU. Evropska podjetja in ameriška podjetja, dejavna v EU, so tako
lahko primorana prenesti podatke v ZDA in s tem kršiti zakonodajo EU in držav
članic, s čimer so posledično ujeta med nasprotujoče si
pravne obveznosti. Pravna negotovost, ki izhaja iz tovrstnih neposrednih zahtev,
lahko zavira razvoj novih digitalnih storitev, kot je računalništvo v
oblaku, z možnostjo zagotavljanja učinkovitejših in cenejših rešitev za
posameznike in podjetja. 3. Zagotavljanje učinkovite zaščite
podatkov Pretok osebnih
podatkov med EU in ZDA je ključnega pomena za čezatlantske trgovinske
odnose. Izmenjava podatkov je nujna tudi za varnostno sodelovanje med EU in
ZDA, še posebej na področju skupnega cilja preprečevanja hudih
kaznivih dejanj in terorizma ter boju proti njim. Vendar so nedavna razkritja
ameriških programov zbiranja obveščevalnih podatkov negativno vplivala na
zaupanje, na katerem temelji to sodelovanje. Še posebej so vplivala na zaupanje
v način obdelave osebnih podatkov. Za ponovno vzpostavitev zaupanja v
pretok podatkov v korist digitalnega gospodarstva, varnosti v EU in ZDA ter čezatlantskega
odnosa na splošno bi bilo treba sprejeti naslednje korake. 3.1. Reforma varstva podatkov v EU Reforma varstva
podatkov, ki jo je Komisija predlagala januarja 2012[16], zagotavlja
ključni odziv glede varnosti osebnih podatkov. Pet elementov svežnja za varstvo
podatkov je še posebej pomembnih. Prvič, kar
zadeva ozemeljsko uporabo, predlagana uredba jasno določa, da bodo morala
podjetja, ki niso ustanovljena v EU, pri prodaji svojega blaga in storitev
evropskim državljanom uporabljati zakonodajo EU o varstvu podatkov.
Drugače povedano, temeljna pravica do varstva podatkov bo spoštovana ne
glede na geografsko lokacijo podjetja ali njegovega predelovalnega obrata[17]. Drugič, glede
mednarodnega pretoka uredba določa pogoje, pod katerimi je mogoče
podatke posredovati iz EU. Prenosi so dovoljeni samo, če so izpolnjeni ti
pogoji, ki zagotavljajo visoko raven zaščite pravic posameznikov[18]. Tretjič, glede
kazenskega pregona predlagana pravila uvajajo sorazmerne in odvračilne
sankcije (v višini do 2 % letnega svetovnega prometa podjetja), da se
zagotovi spoštovanje pravega reda EU s strani podjetij[19]. Obstoj
verodostojnega sistema sankcij bo podjetja spodbudil k spoštovanju pravnega
reda EU. Četrtič,
predlagana uredba vsebuje tudi jasna pravila o obveznostih in odgovornosti
obdelovalcev podatkov, kot so ponudniki storitev v oblaku, tudi glede varnosti[20]. Kot se je
izkazalo po razkritju ameriških programov zbiranja obveščevalnih podatkov,
so pravila o varnosti ključnega pomena, saj ti programi vplivajo na
podatke, shranjene v oblaku. Ponudniki storitev shranjevanja podatkov v oblaku,
od katerih se zahteva, da posredujejo osebne podatke tujim oblastem, se prav
tako ne bodo mogli izogniti svoji odgovornosti s sklicevanjem na svoj status
obdelovalcev in ne upravljavcev podatkov. Petič, sveženj
bo privedel do uvedbe celovitih pravil o varstvu osebnih podatkov, ki se
obdelujejo v kazenske namene. Po
pričakovanjih bo sveženj pravočasno dogovorjen v letu 2014[21]. 3.2. Povečanje varnosti varnega
pristana Shema varnega pristana je pomemben del komercialnih odnosov med EU in
ZDA, na katero se zanašajo podjetja na obeh straneh Atlantika. Komisija je v
svojem poročilu o delovanju varnega pristana opozorila na številne
pomanjkljivosti te sheme. Zaradi pomanjkanja preglednosti in nezadostnega
uveljavljanja načel nekatera podjetja, ki so samocertificirani člani
sheme varnega pristana, načel sheme v praksi ne spoštujejo. S tem so
ogrožene temeljne pravice državljanov EU. Evropska podjetja so prav tako v
slabšem položaju od ameriških, ki delujejo v okviru sheme, a v praksi njenih
načel ne spoštujejo. Te pomanjkljivosti prizadenejo tudi večino
ameriških podjetij, ki shemo pravilno uporabljajo. Shema varnega pristana
deluje tudi kot kanal za prenos osebnih podatkov državljanov EU iz EU v ZDA s
strani podjetij, od katerih se zahteva, da te podatke posredujejo ameriškim
obveščevalnim službam v skladu z ameriškimi programi zbiranja
obveščevalnih podatkov. Če se te pomanjkljivosti ne odpravijo,
postavljajo evropska podjetja v slabši konkurenčni položaj in ogrožajo
temeljne pravice državljanov EU do varstva podatkov. Na pomanjkljivosti
sheme varnega pristana so opozorili tudi evropski nadzorni organi za varstvo
osebnih podatkov v svojem odgovoru na nedavna razkritja o ameriških programih
nadzora. V skladu s členom 3 Odločbe Komisije o varnem pristanu
imajo nadzorni organi pod določenimi pogoji pravico prekiniti pretok
podatkov certificiranim podjetjem.[22] Nemški
pooblaščenci za varstvo podatkov so sprejeli odločitev, da ne bodo
izdajali novih dovoljenj za pretok podatkov v države, ki niso članice EU
(na primer za uporabo določenih storitev v oblaku). Prav tako bodo
preučili možnost prekinitve pretoka podatkov v okviru sheme varnega
pristana.[23] Obstaja
tveganje, da bi takšni ukrepi, sprejeti na nacionalni ravni, ustvarili razlike
pri obsegu sheme varnega pristana, zaradi česar shema ne bi bila več
osrednji mehanizem pretoka osebnih podatkov med EU in ZDA. Komisija ima v
skladu z Direktivo 95/46/ES pravico začasno odložiti ali preklicati
izvajanje odločbe o shemi varnega pristana, če shema ne zagotavlja
več ustrezne varnosti podatkov. V skladu s členom 3 Odločbe
Komisije o varnem pristanu lahko Komisija prav tako razveljavi ali odloži to
odločbo ali omeji področje njene uporabe, medtem ko jo lahko v skladu
s členom 4 kadar koli prilagodi glede na izkušnje z njeno uporabo. V luči teh
pristojnosti je na voljo več možnih političnih odločitev:
ohranitev statusa
quo,
okrepitev
sheme varnega pristana s temeljitim pregledom njenega delovanja,
začasna
odložitev ali preklic Odločbe o varnem pristanu.
Trenutnega
izvajanja sheme v luči ugotovljenih pomanjkljivosti ni mogoče
nadaljevati. Vendar pa bi preklic sheme negativno vplival na interese podjetij
v EU in ZDA, ki sodelujejo v njej. Komisija meni, da bi bilo shemo najbolje
okrepiti. Treba bi bilo
obravnavati strukturne pomanjkljivosti, povezane s preglednostjo in
uveljavljanjem sheme, vsebinska načela varnega pristana in uporabo izjem v
interesu nacionalne varnosti. Natančneje, za
pravilno delovanje sheme varnega pristana morajo ameriški organi oblasti
učinkoviteje in bolj sistematično spremljati in nadzirati, kako
certificirana podjetja upoštevajo načela zasebnosti varnega pristana.
Izboljšati je treba preglednost politik certificiranih podjetij glede varstva
zasebnosti. Državljanom EU je treba zagotoviti mehanizme reševanja sporov, ki
bodo cenovno dostopni. Komisija bo
čim prej začela razpravo o ugotovljenih pomanjkljivostih z ameriškimi
organi oblasti. Do poletja 2014 bi bilo treba oblikovati popravne ukrepe in jih
čim prej uresničiti. V skladu s tem bo Komisija izvedla popoln
pregled delovanja sheme varnega pristana. Bistveni del tega obsežnejšega
postopka pregleda bi morali biti odprto posvetovanje in razprava v Evropskem
parlamentu ter Svetu ter posvetovanja z ameriškimi organi oblasti. Obenem je pomembno,
da se izjeme v interesu nacionalne varnosti, predvidene v Odločbi o varnem
pristanu, uporabljajo samo v skladu z načeli nujnosti in sorazmernosti. 3.3. Okrepitev zaščitnih ukrepov
za varstvo podatkov v kazenskih zadevah Med EU in ZDA
trenutno potekajo pogajanja o krovnem sporazumu o varstvu podatkov pri pretoku
in obdelavi osebnih podatkov v okviru policijskega in sodnega sodelovanja v
kazenskih zadevah. Sklenitev tovrstnega sporazuma z visoko ravnijo varstva
osebnih podatkov bi pomenila bistveni doprinos h krepitvi zaupanja na obeh
straneh Atlantika. S povečanjem pravic državljanov EU do varstva osebnih
podatkov bi sporazum pripomogel h krepitvi čezatlantskega sodelovanja na
področju preprečevanja kriminala in terorizma ter boja proti njima. V skladu z sklepom,
ki pooblašča Komisijo za pogajanja o krovnem sporazumu, je cilj teh
pogajanj zagotoviti visoko raven varstva v skladu s pravnim redom EU o varstvu podatkov.
To morajo odražati tudi dogovorjena pravila in zaščitni ukrepi, med drugim
o omejitvi namena, pogojih in trajanju hrambe podatkov. Komisija bi morala v
okviru pogajanj doseči tudi zaveze glede izvršljivih pravic, vključno
z mehanizmi sodnega varstva za državljane EU brez stalnega prebivališča v
ZDA[24]. Tesno
sodelovanje med EU in ZDA pri reševanju skupnih varnostnih izzivov bi se moralo
odražati v prizadevanjih za zagotovitev enakih pravic za državljane na obeh
straneh Atlantika pri obdelavi enakih podatkov v enake namene. Prav tako je
pomembno, da se odstopanja zaradi nacionalne varnosti točno opredelijo. V
ta namen bi bilo potrebno določiti zaščitne ukrepe in omejitve. Pogajanja so
priložnost za razjasnitev dejstva, da osebni podatki, ki jih hranijo zasebna
podjetja s sedežem v EU, ne bodo neposredno dostopni ameriškim organom pregona
niti se jim ne bodo posredovali izven formalnih kanalov sodelovanja, kot so
sporazumi o medsebojni pravni pomoči ali sektorski sporazumi med EU in ZDA
o odobritvi tovrstnih pretokov. Dostop z drugimi sredstvi bi bilo treba
izključiti, razen v primerih, ko ta poteka v jasno določenih in
izjemnih primerih z možnostjo sodne presoje. ZDA bi morale v zvezi s tem
sprejeti jasne zaveze[25]. Krovni sporazum,
sprejet v teh okvirih, bi moral določiti splošni okvir za zagotavljanje
visoke ravni varstva osebnih podatkov pri njihovem pretoku v ZDA na
področju preprečevanja kriminala in terorizma ter boja proti njima.
Sektorski sporazumi bi morali določiti dodatna pravila in zaščitne
ukrepe, kjer je to potrebno zaradi narave pretoka podatkov, kot to
določata sporazuma PNR in TFTP med EU in ZDA. 3.4. Odgovori na pomisleke Evrope glede trenutne reforme v ZDA Ameriški predsednik
Barack Obama je napovedal pregled dejavnosti nacionalnih varnostnih organov
ZDA, vključno s pregledom pravnega okvira njihovega delovanja. Ta proces
je izjemna priložnost za odziv na pomisleke EU, ki so posledica nedavnih
razkritij o ameriških programih zbiranja obveščevalnih podatkov.
Najpomembnejše spremembe bodo razširitev zaščitnih ukrepov, ki so na voljo
državljanom in rezidentom ZDA, na državljane EU, ki niso rezidenti ZDA,
povečana preglednost obveščevalnih dejavnosti in nadaljnja krepitev
nadzora. Tovrstne spremembe bi ponovno okrepile zaupanje v pretok podatkov med
EU in ZDA in spodbudile državljane EU k uporabi spletnih storitev. Na področju
širitve sklopa zaščitnih ukrepov, ki so na voljo državljanom in rezidentom
ZDA, na državljane EU bi morali ponovno pregledati pravne standarde v zvezi z
ameriškimi programi nadzora, v okviru katerih so državljani ZDA in državljani
EU različno obravnavani, tudi z vidika načel nujnosti in
sorazmernosti, ob upoštevanju tesnega čezatlantskega varnostnega
sodelovanja, ki temelji na skupnih načelih, pravicah in svoboščinah. Tako
bi zmanjšali vpliv ameriških programov zbiranja obveščevalnih podatkov na
državljane EU. Potrebna je
večja preglednost pravnega okvira ameriških programov zbiranja
obveščevalnih podatkov in njihove interpretacije pred ameriškimi
sodišči, kot tudi kvantitativne razsežnosti teh programov. Te spremembe bi
prav tako koristile državljanom EU. Nadzor nad
ameriškimi programi zbiranja obveščevalnih podatkov bi lahko izboljšali z
okrepljeno vlogo Sodišča za nadzor tujih obveščevalnih služb in
uveljavitvijo možnosti sodnega varstva za posameznike. Ti mehanizmi bi lahko
zmanjšali obseg obdelave osebnih podatkov državljanov EU, ki niso koristni za
namene nacionalne varnosti. 3.5. Spodbujanje
mednarodnih standardov na področju varstva zasebnosti Vprašanja, ki se pojavljajo
v povezavi z sodobnimi metodami varstva podatkov, niso omejena zgolj na pretok
podatkov med EU in ZDA. Vsakemu posamezniku moramo zagotoviti tudi visoko raven
varstva osebnih podatkov. Pravila EU o zbiranju, obdelavi in prenosu podatkov
je treba spodbujati na mednarodni ravni. V zadnjem času
je bilo predlaganih veliko pobud za povečanje varstva zasebnosti, še
posebej na spletu[26]. EU bi
morala zagotoviti, da takšne pobude, če se uresničijo,
vključujejo načela varstva temeljnih pravic, svobode izražanja,
osebnih podatkov in zasebnosti, kot so določena v zakonodaji EU ter
Strategiji EU za kibernetsko varnost, in ne ogrožajo svobode, odprtosti in
varnosti kibernetskega prostora. V to je vključen tudi demokratičen
in učinkovit model upravljanja, v katerem sodeluje več
zainteresiranih strani. Tekoče reforme
zakonodaje o varstvu podatkov na obeh straneh Atlantika prav tako predstavljajo
enkratno priložnost za sprejem mednarodnih standardov. Pretoku podatkov
čez Atlantik in dlje bi močno koristila tudi okrepitev notranjega
pravnega okvira ZDA, vključno s sprejetjem listine o varstvu zasebnosti
potrošnikov, ki jo je predsednik Obama napovedal v februarju 2012 kot del
celovitega načrta za izboljšanje varstva zasebnosti potrošnikov. Obstoj
močnih in izvršljivih pravil o varstvu podatkov tako v EU kot ZDA bi
zagotovil trdno podlago za mednarodni pretok podatkov. Da bi načela
varnosti spodbujali na mednarodni ravni, je treba spodbujati tudi pristop h
Konvenciji Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo
osebnih podatkov („Konvencija 108“), ki je odprta tudi za države[27], ki niso
članice Sveta Evrope. Zaščitni ukrepi in jamstva, sprejeti na
mednarodnih forumih, bi morali prinesti višjo raven varstva, združljivo z
zahtevami iz zakonodaje EU. 4. Sklepi in
priporočila Za rešitev
vprašanj, izpostavljenih v tem sporočilu, bo potrebno ukrepanje ZDA, EU in
njenih članic. Pomisleki glede čezatlantskih
izmenjav podatkov so v prvi vrsti opozorilni znak za EU in njene države
članice, da je treba odločno in hitro izvesti reformo varstva
podatkov. Sprejetje trdnega zakonodajnega okvira z jasnimi pravili, ki jih je
mogoče uveljaviti tudi v primerih mednarodnega pretoka podatkov, je
postalo nujnost. Institucije EU bi morale zato nadaljevati s prizadevanji za
sprejetje reforme varstva podatkov v EU do pomladi 2014, da bi zagotovili
učinkovito in celovito varstvo osebnih podatkov. Glede na pomen
čezatlantskega pretoka podatkov je bistveno, da instrumenti, na katerih
temeljijo te izmenjave, ustrezno obravnavajo izzive in priložnosti digitalne
dobe ter novih tehnoloških pridobitev, kot je računalništvo v oblaku.
Obstoječi in prihodnji dogovori in sporazumi bi morali nadalje
zagotavljati visoko raven zaščite prek Atlantika. Močna shema
varnega pristana je v interesu državljanov in podjetij v EU in ZDA. Shemo bi
bilo treba kratkoročno okrepiti z boljšim nadzorom in izvajanjem nato pa
na podlagi tega izvesti širši pregled njenega delovanja. Za zagotovitev
izpolnjevanja prvotnih ciljev iz Odločbe Komisije o varnem pristanu–, kot
je na primer neprekinjeno varstvo podatkov, zagotavljanje pravne varnosti in
prosti pretok podatkov med EU in ZDA,– so potrebne izboljšave. Ameriški organi
oblasti bi morali izboljšati svoje spremljanje in nadziranje tega, kako
samocertificirana podjetja spoštujejo načela varnega pristana. Poleg tega je
pomembno, da se izjeme v imenu nacionalne varnosti, predvidene v Odločbi o
varnem pristanu, uporabljajo samo, ko je to nujno potrebno in v skladu z
načelom sorazmernosti. Na področju
kazenskega pregona bi morala trenutna pogajanja o krovnem sporazumu zagotoviti
visoko raven varnosti za državljane na obeh straneh Atlantika. Tovrstni
sporazum bi okrepil zaupanje Evropejcev v pretok podatkov med EU in ZDA ter
zagotovil temelje za nadaljnji razvoj varnostnega sodelovanja in partnerstva
med EU in ZDA. V okviru pogajanj bi bilo treba zagotoviti zaveze, da bodo
postopkovni zaščitni ukrepi, vključno z sodnim varstvom, na voljo
tudi Evropejcem, ki niso rezidenti ZDA. Administracija ZDA
bi se morala zavezati, da ameriški organi pregona ne bodo imeli neposrednega
dostopa do osebnih podatkov, ki jih hranijo zasebni subjekti v EU, izven
formalnih kanalov sodelovanja, kot so sporazumi o medsebojni pravni pomoči
in sektorski sporazumi med EU in ZDA (na primer PNR in TFTP), ki za take
prenose določajo stroge pogoje, razen v jasno opredeljenih, izjemnih
primerih z možnostjo sodne presoje. Obenem bi morale
ZDA zaščitne ukrepe, ki so na voljo državljanom in rezidentom ZDA,
zagotoviti tudi državljanom EU, programe obveščevalnega nadzora
prilagoditi glede na nujnost in sorazmernost ter v pravnem okviru, ki velja za
organe nacionalne varnosti ZDA, zagotoviti večjo preglednost in nadzor. Na področjih,
navedenih v tem sporočilu, bo potrebno konstruktivno udejstvovanje na obeh
straneh Atlantika. EU in ZDA sta kot strateški partnerici zmožni premostiti
trenutna trenja v čezatlantskih odnosih in ponovno vzpostaviti zaupanje v
pretok podatkov med EU in ZDA. Izvajanje skupnih političnih in pravnih
zavez za nadaljnje sodelovanje na teh področjih bo na splošno okrepilo
čezatlantske odnose. [1] Za namene tega sporočila bodo sklicevanja na EU
državljane vključevala tudi osebe izven EU, na katere se podatki nanašajo,
ki spadajo pod okvir zakonodaje Evropske unije o varstvu podatkov. [2] Odločba Komisije št. 2000/520/ES z dne 26.
julija 2000 v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES o
ustreznosti zaščite, ki jo zagotavljajo načela zasebnosti varnega
pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo
Ministrstvo za trgovino ZDA (UL L 215, 25.8.2000, str. 7). [3] Sklep Sveta 2009/820/SZVP z dne 23. oktobra 2009 o
sklenitvi Sporazuma o izročitvi med Evropsko unijo in Združenimi državami
Amerike ter Sporazuma o medsebojni pravni pomoči med Evropsko unijo in
Združenimi državami Amerike v imenu Evropske unije (UL L 291, 7.11. 2009, str. 40.) [4] Sklep Sveta 2012/472/EU z dne 26. aprila 2012 o
sklenitvi Sporazuma med Združenimi državami Amerike in Evropsko unijo o uporabi
in prenosu evidenc podatkov o potnikih ministrstvu Združenih držav za
domovinsko varnost (UL L 215, 11.8.2012, str. 4). [5] Sklep Sveta z dne 13. julija 2010 o sklenitvi
Sporazuma med Evropsko unijo in Združenimi državami Amerike o obdelavi in
posredovanju podatkov o sporočilih glede finančnih plačil iz
Evropske unije Združenim državam Amerike za namene programa za sledenje
financiranja terorističnih dejavnosti (UL L 195, 27.7.2010, str. 3). [6] Svet je 3. decembra 2010 sprejel sklep, s
katerim je Komisiji podelil mandat za pogajanja o sporazumu. Glej IP/10/1661 z
dne 3. decembra 2010. [7] Glej Boston Consulting Group, „The Value of our Digital
Identity“ (Vrednost naše digitalne identitete), november 2012. [8] Glej
McKinsey, „Big data: The next frontier for innovation, competition, and productivity“
(Veliki podatki: naslednji mejnik za inovacijo, konkurenčnost in
produktivnost), 2011. [9] Sporočilo Komisije o sprostitvi potenciala
računalništva v oblaku v Evropi, COM(2012) 529 final [10] Na primer skupno število edinstvenih uporabnikov storitev
Microsoft Hotmail, Google Gmail in Yahoo! Junija 2012 je bilo več kot 227
milijonov elektronskih sporočil iz evropskih držav, kar je več kot
pri vseh drugih ponudnikih storitev elektronske pošte. Skupno število
edinstvenih uporabnikov iz Evrope, ki so dostopali do storitev Facebook in
Facebook Mobile, je marca 2012 znašalo 196,5 milijona, kar pomeni, da je
Facebook največje socialno omrežje v Evropi. Google je vodilni internetni
iskalnik, ki ga uporablja 90,2 % svetovnih uporabnikov spleta. Storitve pošiljanja
kratkih sporočil prek interneta ameriškega ponudnika What's App je junija 2013
uporabljalo 91 % uporabnikov pametnega telefona iPhone v Nemčiji. [11] Glej sodbo Sodišča Evropske unije v zadevi C-300/11,
ZZ proti Secretary of State for the Home Department. [12] Člen 4(2) PEU. [13] Glej npr. Odločbo Komisije o varnem pristanu, Priloga
I. [14] Glej skupno poročilo Komisije in Ministrstva za
finance ZDA v zvezi z vrednostjo podatkov TFTP, posredovanih v skladu s
členom 6(6) Sporazuma med Evropsko unijo in Združenimi državami
Amerike o obdelavi in posredovanju podatkov o sporočilih glede
finančnih plačil iz Evropske unije Združenim državam Amerike za
namene programa za sledenje financiranja terorističnih dejavnosti. [15] Glej poročilo Komisije „Joint review of the implementation
of the Agreement between the European Union and the United States of America on
the processing and transfer of passenger name records to the United States
Department of Homeland Security“ (Skupni pregled izvajanja Sporazuma med
Evropsko Unijo in Združenimi državami Amerike o obdelavi in prenosu evidenc
imen letalskih potnikov Ministrstvu ZDA za domovinsko varnost). [16] COM(2012) 10 final: Predlog direktive Evropskega
parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki
jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja,
odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o
prostem pretoku takih podatkov, Bruselj, 25. 1. 2012, in COM(2012), 11
final: Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri
obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o
varstvu podatkov). [17] Komisija je seznanjena z dejstvom, da je Evropski
parlament z glasovanjem dne 21. oktobra 2013 o poročilih o
reformi varstva podatkov poslancev EP Jana-Philippa Albrechta in Dimitriosa
Droutsasa v Odboru za državljanske svoboščine, pravosodje in notranje
zadeve (LIBE) potrdil in okrepil to pomembno načelo, navedeno v
členu 3 predlagane uredbe. [18] Komisija je seznanjena s predlogom odbora LIBE Evropskega
parlamenta z dne 21. oktobra 2013, da se v prihodnjo uredbo
vključi določba, po kateri bi tuji organi za zahtevke za dostop do
osebnih podatkov, zbranih v EU, potrebovali predhodno dovoljenje nacionalnega
organa za varstvo podatkov, če bi bil tak zahtevek podan zunaj okvirov
sporazuma o medsebojni pravni pomoči ali katerega koli drugega
mednarodnega sporazuma. [19] Komisija je seznanjena s predlogom odbora LIBE Evropskega
parlamenta z dne 21. oktobra 2013 za okrepitev predloga Komisije s
povečanjem kazni na do 5 % skupnega letnega prometa podjetja. [20] Komisija je seznanjena z glasovanjem odbora LIBE
Evropskega parlamenta z dne 21. oktobra 2013, s katerim je odobril
povečanje obveznosti in odgovornosti obdelovalcev podatkov, zlasti v
smislu člena 26 predlagane uredbe. [21] V sklepih Evropskega sveta iz oktobra 2013 je zapisano:
„Pomembno je krepiti zaupanje državljanov in podjetij v digitalno gospodarstvo.
Pravočasno sprejetje trdnega splošnega okvira varstva podatkov v EU in
direktive o kibernetski varnosti je bistvenega pomena za dokončanje
enotnega digitalnega trga do leta 2015.“ [22] Natančneje, v skladu s členom 3
Odločbe Komisije o varnem pristanu bi tovrstne prekinitve lahko
uveljavljali v primerih, ko obstaja precejšnja verjetnost, da se načela
kršijo; obstaja utemeljena podlaga za prepričanje, da zadevni mehanizem
uveljavljanja ne sprejema ali ne bo sprejel ustreznih in pravočasnih
ukrepov za rešitev spornega primera; bi nadaljnji pretok podatkov povzročil
neposredno nevarnost za nastanek velike škode za subjekte podatkov in so si
pristojni organi v državah članicah v danih okoliščinah razumno
prizadevali, da bi organizacijo obvestili in ji dali priložnost za odgovor. [23] Sporočilo za javnost Bundesbeauftragter für den
Datenschutz und die Informationsfreiheit (zveznega nadzornika za varstvo
podatkov in svobodo informacij) z dne 24. julija 2013. [24] Glej zadevni odlomek skupne izjave za medije po
srečanju ministrov za pravosodje in notranje zadeve EU in ZDA z dne 18. novembra 2013
v Washingtonu: „Zato smo nujno
zavezani hitrem napredovanju v pogajanjih o smiselnem in celovitem krovnem
sporazumu o varstvu podatkov na področju kazenskih zadev. Sporazum bo
osnova za lažji pretok podatkov v okviru policijskega in sodnega sodelovanja v
kazenskih zadevah z zagotavljanjem visoke ravni varnosti podatkov državljanov
ZDA in EU Zavezani smo iskanju rešitev preostalih vprašanj, ki so relevantna za
obe strani, vključno z vprašanjem sodnega varstva (ključno vprašanje
za EU). Pogajanja o sporazumu želimo zaključiti do poletja 2014.“ [25] Glej zadevni odlomek skupne izjave za medije po
srečanju ministrov za pravosodje in notranje zadeve EU in ZDA z dne 18. novembra 2013
v Washingtonu: „Obenem poudarjamo pomen Sporazuma med EU in ZDA o medsebojni
pravni pomoči. Ponovno ponavljamo svojo zavezanost zagotavljanju njegove
široke in učinkovite uporabe v kazenskih zadevah. Potekale so tudi
razprave o tem, da je treba razjasniti dejstvo, da organi pregona ne bodo
dostopali do osebnih podatkov, ki jih hranijo zasebna podjetja na ozemlju druge
pogodbenice, izven pravno odobrenih kanalov. Strinjamo se tudi, da je treba
pregledati delovanje Sporazuma o medsebojni pravni pomoči, kot je
predvideno v Sporazumu, in se posvetovati, kadar je to potrebno.“ [26] Glej predlog Nemčije in Brazilije za osnutek
resolucije Generalne skupščine ZN –za varstvo zasebnosti na spletu in
zunaj njega. [27] ZDA so že
pristopile tudi h Konvenciji Sveta Evrope o kibernetski kriminaliteti iz leta
2011 (t.i. Konvencija iz Budimpešte).