1.           uvod: spremenjeno okolje obdelave podatkov med EU in ZDA

Evropska unija in Združene države Amerike sta strateški partnerici. To partnerstvo je ključnega pomena za spodbujanje skupnih vrednot, varnosti in skupnega vodstva pri globalnih vprašanjih.

Vendar je bilo zaupanje v to partnerstvo omajano in treba ga je obnoviti. EU, njene države članice in evropski državljani so izrazili globoko zaskrbljenost glede razkritij o obsežnih ameriških programih zbiranja obveščevalnih podatkov, zlasti zaradi vpliva teh programov na varstvo osebnih podatkov[1]. Obsežen nadzor nad zasebno komunikacijo državljanov, podjetij ali političnih voditeljev je nedopusten.

Pretok osebnih podatkov je pomemben in nujen del čezatlantskega partnerstva ter sestavni del trgovinske menjave, ki poteka čez Atlantik, vključno z novimi in hitro rastočimi digitalnimi podjetji, kot so socialna omrežja ter računalništvo v oblaku, pri katerih se med EU in ZDA pretakajo velike količine podatkov. Prav tako so ključni del sodelovanja EU in ZDA v kazenskih zadevah ter sodelovanja med državami članicami in ZDA na področju nacionalne varnosti. EU in ZDA morata vzpostaviti vrsto sporazumov in dogovorov za lažji pretok podatkov in zagotavljanje visoke ravni njihove varnosti, kot je določeno v zakonodaji EU.

Izmenjava podatkov v komercialne namene je predmet Odločbe št. 2000/520/EC[2] (v nadaljnjem besedilu: Odločba Komisije o varnem pristanu). Ta odločba zagotavlja pravno podlago za prenose osebnih podatkov iz EU družbam s sedežem v ZDA, ki so se zavezale k spoštovanju načel zasebnosti varnega pristana.

Izmenjava osebnih podatkov med EU in ZDA v kazenskih zadevah, vključno s preprečevanjem terorizma in drugih hujših oblik kaznivih dejanj in bojem proti njim, je urejena z več sporazumi na ravni EU. To so: Sporazum o medsebojni pravni pomoči[3], Sporazum o uporabi in prenosu evidenc podatkov o potnikih (v nadaljnjem besedilu: PNR)[4], Sporazum o obdelavi in posredovanju podatkov o sporočilih glede finančnih plačil za namene programa za sledenje financiranja terorističnih dejavnosti (v nadaljnjem besedilu: TFTP)[5] in Sporazum med Europolom in ZDA. Ti sporazumi so odgovor na številne pomembne varnostne izzive in ustrezajo skupnim varnostnim interesom EU in ZDA ter hkrati zagotavljajo visoko raven varstva osebnih podatkov. Med EU in ZDA trenutno potekajo tudi pogajanja o sprejetju okvirnega sporazuma o varstvu podatkov na področju policijskega in pravosodnega sodelovanja (v nadaljnjem besedilu: krovni sporazum)[6]. Na ta način bo zagotovljena visoka raven varstva podatkov državljanov, katerih podatki se izmenjujejo, s čimer bo še okrepljeno sodelovanje med EU in ZDA v boju proti kriminalu in terorizmu na podlagi skupnih vrednot in dogovorjenih zaščitnih ukrepov.

Ti instrumenti se uporabljajo v okolju, v katerem dobiva pretok osebnih podatkov vedno večji pomen.

Na eni strani je razvoj digitalnega gospodarstva spodbudil eksponentno rast količine, kakovosti, raznovrstnosti in narave dejavnosti obdelave podatkov. Uporaba elektronskih komunikacijskih storitev v vsakdanjem življenju državljanov se je povečala. Osebni podatki so postali sredstvo z visoko vrednostjo: vrednost podatkov o državljanih EU leta 2011 je bila ocenjena na 315 milijard EUR, do leta 2020 pa bi se lahko letno povečevala za 1 trilijon EUR[7]. Trg za analizo velikih zbirk podatkov na svetovni ravni letno naraste za 40 %[8]. Podobno je tehnološki razvoj, povezan na primer z računalništvom v oblaku, prinesel novo razsežnost mednarodnega pretoka podatkov, saj čezmejni pretok podatkov postaja vsakodnevna dejavnost.[9]

Povečana uporaba sredstev elektronske komunikacije in storitev obdelave podatkov, vključno z računalništvom v oblaku, je prav tako precej razširila obseg in pomembnost čezatlantskega pretoka podatkov. Dejavniki, kot so osrednji položaj ameriških družb v digitalnem gospodarstvu[10], čezatlantska preusmeritev velikega dela elektronske komunikacije in obseg elektronskega pretoka podatkov med EU in ZDA, so postali še pomembnejši.

Po drugi strani pa nas sodobne metode obdelave osebnih podatkov postavljajo pred nove in pomembne izzive. To velja tako za nove načine obsežne obdelave podatkov o potrošnikih, ki jih izvajajo zasebna podjetja v komercialne namene, kot tudi za povečano možnost obsežnega nadzora obveščevalnih služb nad komunikacijskimi sredstvi.

Obsežni ameriški programi zbiranja obveščevalnih podatkov, kot je na primer program PRISM, vplivajo na temeljne pravice evropskih državljanov, še posebej na njihovo pravico do zasebnosti in varstva osebnih podatkov. Ti programi obenem kažejo na povezavo med vladnim nadzorom in obdelavo podatkov s strani zasebnih podjetjih, zlasti v primeru ameriških spletnih podjetij. Posledično lahko ti programi vplivajo na gospodarstvo. Če so državljani med uporabo spletnih storitev zaskrbljeni zaradi obsežne obdelave njihovih osebnih podatkov s strani zasebnih podjetij ali nadzora s strani obveščevalnih služb nad njihovimi podatki, lahko to vpliva na njihovo zaupanje v digitalno gospodarstvo, kar bi lahko negativno vplivalo na gospodarsko rast.

Takšen razvoj dogodkov postavlja pretok podatkov med EU in ZDA pred nove izzive. To sporočilo je odgovor nanje. Na podlagi ugotovitev iz poročila predstavnikov EU, ki so sopredsedovali priložnostni delovni skupini EU/ZDA o varstvu podatkov, in sporočila o varnem pristanu poskuša začrtati pot naprej.

Njegov cilj je zagotoviti učinkovito obnovitev zaupanja in okrepitev sodelovanja med EU in ZDA na teh področjih ter okrepiti čezatlantsko partnerstvo na splošno.

Sporočilo temelji na predpostavki, da je treba standarde varstva osebnih podatkov obravnavati v ustreznem okviru, ne da bi to vplivalo na druge razsežnosti odnosov med EU in ZDA, vključno s tekočimi pogajanji o čezatlantskem partnerstvu na področju trgovine in naložb. Standardi varstva podatkov tako ne bodo del pogajanj o čezatlantskem partnerstvu na področju trgovine in naložb, pri katerem bodo pravila o varstvu podatkov v celoti upoštevana.

Pomembno je opozoriti, da EU sicer lahko ukrepa v okviru svojih pristojnosti, še posebej na področjih, kot so zaščitni ukrepi za izvajanje prava EU[11], vendar pa so države članice še vedno edine pristojne za reševanje vprašanj nacionalne varnosti[12].

2.         Vpliv na instrumente pretoka podatkov

Prvič, varni pristan je postal pomembno orodje za pretok podatkov med EU in ZDA v komercialne namene. S povečanim pretokom osebnih podatkov v čezatlantskih komercialnih odnosih se je povečal tudi pomen tega orodja. Shema varnega pristana deluje že 13 let in danes jo uporablja več kot 3 000 podjetij, polovica katerih se je shemi pridružila v zadnjih 5 letih. Vendar pa se je povečala tudi zaskrbljenost glede varnosti osebnih podatkov državljanov EU pri njihovem pretoku v ZDA v okviru te sheme. Zaradi prostovoljne in deklaratorne narave sheme se je povečala potreba po preglednosti in nadzoru nad uveljavljanjem njenih načel. Medtem ko večina ameriških podjetij upošteva načela sheme, jih nekatera samocertificirana podjetja ne. Neskladnost poslovanja teh samocertificiranih podjetij z načeli zasebnosti varnega pristana daje tem podjetjem konkurenčno prednost pred evropskimi podjetji, ki so dejavna na istih trgih. 

In medtem ko shema varnega pristana dovoljuje izredne omejitve varstva podatkov, če je to potrebno zaradi nacionalne varnosti[13], se pojavlja vprašanje, ali sta tako obsežno zbiranje in obdelava osebnih podatkov v okviru ameriških programov nadzora res potrebna ter sorazmerna z interesi nacionalne varnosti. Ugotovitve priložnostne delovne skupine EU/ZDA jasno kažejo tudi na dejstvo, da državljani EU v okviru teh programov ne uživajo enakih pravic in postopkovnih zaščitnih ukrepov kot državljani ZDA.

Obseg teh programov nadzora, skupaj z neenako obravnavo državljanov EU, postavlja pod vprašaj raven varstva, ki jo zagotavlja dogovor o varnem pristanu. Ameriški organi oblasti lahko dostopajo do osebnih podatkov državljanov EU, poslanih v ZDA v okviru sheme varnega pristana, in jih obdelujejo pod pogoji, ki niso združljivi s tistimi, pod katerimi so bili ti podatki zbrani v EU, in z nameni, za katere so bili poslani v ZDA. Večina ameriških spletnih podjetij, ki jih ti programi bolj neposredno zadevajo, je certificiranih pod shemo varnega pristana.

Drugič, obstoječi sporazumi na področju izmenjave podatkov v kazenske namene (PNR, TFTP) so se izkazali kot zelo dragocena orodja za obravnavo skupnih varnostnih groženj, povezanih z hujšimi oblikami mednarodnega kriminala in terorizma, hkrati pa določajo zaščitne ukrepe, ki zagotavljajo visoko raven varstva podatkov[14]. Ti zaščitni ukrepi so na voljo tudi državljanom EU, sporazumi pa zagotavljajo mehanizme za ponovno pregledovanje njihovega izvajanja ter obravnavo s tem povezanih vprašanj. Sporazum TFTP prav tako vzpostavlja sistem za nadzor z neodvisnimi opazovalci EU, ki preverjajo, kako ZDA iščejo podatke, na katere se sporazum nanaša.

Evropska komisija je zaradi zaskrbljenosti, ki se je pojavila v EU glede ameriških programov nadzora, uporabila te mehanizme za pregled izvajanja sporazumov. V primeru sporazuma PNR je bil izveden skupni pregled izvajanja sporazuma, v katerega so bili vključeni strokovnjaki za varstvo podatkov iz EU in ZDA[15]. Med pregledom ni bilo ugotovljeno, da bi programi nadzora ZDA kakor koli zajemali podatke o potnikih , na katere se nanaša sporazum PNR, ali kakor koli vplivali nanje. V primeru sporazuma TFTP je Komisija po obtožbah o domnevnem neposrednem dostopu ameriških obveščevalnih agencij do osebnih podatkov v EU začela uradna posvetovanja, saj je tak dostop v nasprotju z določbami sporazuma. Posvetovanja niso razkrila nobenih dokazov, ki bi kazali na kršitve sporazuma TFTP, ZDA pa so tudi pisno zagotovile, da ni bilo nobenega neposrednega zbiranja podatkov v nasprotju z določbami sporazuma.

Zaradi obsežnega zbiranja in obdelave osebnih podatkov v okviru programov nadzora ZDA bo treba še naprej pozorno spremljati prihodnje izvajanje sporazumov PNR in TFTP. EU in ZDA sta se v ta namen dogovorili o naslednjem skupnem pregledu sporazuma TFTP spomladi 2014. S tem in prihodnjimi skupnimi pregledi bo zagotovljena večja preglednost delovanja sistema nadzora in zaščite podatkov državljanov EU. Poleg tega bo treba zagotoviti tudi podroben nadzor nad obdelavo podatkov, prenesenih v ZDA v okviru sporazuma, ter zlasti skrbno spremljati izmenjavo teh podatkov med organi oblasti ZDA.

Tretjič, povečan obseg obdelave osebnih podatkov poudarja pomen pravnih in upravnih zaščitnih ukrepov, ki se uporabljajo. Eden od ciljev priložnostne delovne skupine EU/ZDA je bil ugotoviti, kateri zaščitni ukrepi se uporabljajo za zmanjšanje vpliva obdelave podatkov na temeljne pravice državljanov EU. Zaščitni ukrepi so potrebni tudi za zaščito podjetij. Določeni ameriški zakoni, kot je Zakon o domovinski varnosti, ameriškim organom oblasti omogočajo, da neposredno od podjetij zahtevajo dostop do podatkov, shranjenih v EU. Evropska podjetja in ameriška podjetja, dejavna v EU, so tako lahko primorana prenesti podatke v ZDA in s tem kršiti zakonodajo EU in držav članic, s čimer so posledično ujeta med nasprotujoče si pravne obveznosti. Pravna negotovost, ki izhaja iz tovrstnih neposrednih zahtev, lahko zavira razvoj novih digitalnih storitev, kot je računalništvo v oblaku, z možnostjo zagotavljanja učinkovitejših in cenejših rešitev za posameznike in podjetja.

 3.         Zagotavljanje učinkovite zaščite podatkov

Pretok osebnih podatkov med EU in ZDA je ključnega pomena za čezatlantske trgovinske odnose. Izmenjava podatkov je nujna tudi za varnostno sodelovanje med EU in ZDA, še posebej na področju skupnega cilja preprečevanja hudih kaznivih dejanj in terorizma ter boju proti njim. Vendar so nedavna razkritja ameriških programov zbiranja obveščevalnih podatkov negativno vplivala na zaupanje, na katerem temelji to sodelovanje. Še posebej so vplivala na zaupanje v način obdelave osebnih podatkov. Za ponovno vzpostavitev zaupanja v pretok podatkov v korist digitalnega gospodarstva, varnosti v EU in ZDA ter čezatlantskega odnosa na splošno bi bilo treba sprejeti naslednje korake.

3.1.      Reforma varstva podatkov v EU

Reforma varstva podatkov, ki jo je Komisija predlagala januarja 2012[16], zagotavlja ključni odziv glede varnosti osebnih podatkov. Pet elementov svežnja za varstvo podatkov je še posebej pomembnih.

Prvič, kar zadeva ozemeljsko uporabo, predlagana uredba jasno določa, da bodo morala podjetja, ki niso ustanovljena v EU, pri prodaji svojega blaga in storitev evropskim državljanom uporabljati zakonodajo EU o varstvu podatkov. Drugače povedano, temeljna pravica do varstva podatkov bo spoštovana ne glede na geografsko lokacijo podjetja ali njegovega predelovalnega obrata[17].

Drugič, glede mednarodnega pretoka uredba določa pogoje, pod katerimi je mogoče podatke posredovati iz EU. Prenosi so dovoljeni samo, če so izpolnjeni ti pogoji, ki zagotavljajo visoko raven zaščite pravic posameznikov[18].

Tretjič, glede kazenskega pregona predlagana pravila uvajajo sorazmerne in odvračilne sankcije (v višini do 2 % letnega svetovnega prometa podjetja), da se zagotovi  spoštovanje pravega reda EU s strani podjetij[19]. Obstoj verodostojnega sistema sankcij bo podjetja spodbudil k spoštovanju pravnega reda EU.

Četrtič, predlagana uredba vsebuje tudi jasna pravila o obveznostih in odgovornosti obdelovalcev podatkov, kot so ponudniki storitev v oblaku, tudi glede varnosti[20]. Kot se je izkazalo po razkritju ameriških programov zbiranja obveščevalnih podatkov, so pravila o varnosti ključnega pomena, saj ti programi vplivajo na podatke, shranjene v oblaku. Ponudniki storitev shranjevanja podatkov v oblaku, od katerih se zahteva, da posredujejo osebne podatke tujim oblastem, se prav tako ne bodo mogli izogniti svoji odgovornosti s sklicevanjem na svoj  status obdelovalcev in ne upravljavcev podatkov.

Petič, sveženj bo privedel do uvedbe celovitih pravil o varstvu osebnih podatkov, ki se obdelujejo v kazenske namene.

Po pričakovanjih bo sveženj pravočasno dogovorjen v letu 2014[21].

3.2.      Povečanje varnosti varnega pristana

Shema varnega pristana je pomemben del komercialnih odnosov med EU in ZDA, na katero se zanašajo podjetja na obeh straneh Atlantika.

Komisija je v svojem poročilu o delovanju varnega pristana opozorila na številne pomanjkljivosti te sheme. Zaradi pomanjkanja preglednosti in nezadostnega uveljavljanja načel nekatera podjetja, ki so samocertificirani člani sheme varnega pristana, načel sheme v praksi ne spoštujejo. S tem so ogrožene temeljne pravice državljanov EU. Evropska podjetja so prav tako v slabšem položaju od ameriških, ki delujejo v okviru sheme, a v praksi njenih načel ne spoštujejo. Te pomanjkljivosti prizadenejo tudi večino ameriških podjetij, ki shemo pravilno uporabljajo. Shema varnega pristana deluje tudi kot kanal za prenos osebnih podatkov državljanov EU iz EU v ZDA s strani podjetij, od katerih se zahteva, da te podatke posredujejo ameriškim obveščevalnim službam v skladu z ameriškimi programi zbiranja obveščevalnih podatkov. Če se te pomanjkljivosti ne odpravijo, postavljajo evropska podjetja v slabši konkurenčni položaj in ogrožajo temeljne pravice državljanov EU do varstva podatkov.

Na pomanjkljivosti sheme varnega pristana so opozorili tudi evropski nadzorni organi za varstvo osebnih podatkov v svojem odgovoru na nedavna razkritja o ameriških programih nadzora. V skladu s členom 3 Odločbe Komisije o varnem pristanu imajo nadzorni organi pod določenimi pogoji pravico prekiniti pretok podatkov certificiranim podjetjem.[22] Nemški pooblaščenci za varstvo podatkov so sprejeli odločitev, da ne bodo izdajali novih dovoljenj za pretok podatkov v države, ki niso članice EU (na primer za uporabo določenih storitev v oblaku). Prav tako bodo preučili možnost prekinitve pretoka podatkov v okviru sheme varnega pristana.[23] Obstaja tveganje, da bi takšni ukrepi, sprejeti na nacionalni ravni, ustvarili razlike pri obsegu sheme varnega pristana, zaradi česar shema ne bi bila več osrednji mehanizem pretoka osebnih podatkov med EU in ZDA.

Komisija ima v skladu z Direktivo 95/46/ES pravico začasno odložiti ali preklicati izvajanje odločbe o shemi varnega pristana, če shema ne zagotavlja več ustrezne varnosti podatkov. V skladu s členom 3 Odločbe Komisije o varnem pristanu lahko Komisija prav tako razveljavi ali odloži to odločbo ali omeji področje njene uporabe, medtem ko jo lahko v skladu s členom 4 kadar koli prilagodi glede na izkušnje z njeno uporabo.

V luči teh pristojnosti je na voljo več možnih političnih odločitev:

ohranitev statusa quo, okrepitev sheme varnega pristana s temeljitim pregledom njenega delovanja, začasna odložitev ali preklic Odločbe o varnem pristanu.

Trenutnega izvajanja sheme v luči ugotovljenih pomanjkljivosti ni mogoče nadaljevati. Vendar pa bi preklic sheme negativno vplival na interese podjetij v EU in ZDA, ki sodelujejo v njej. Komisija meni, da bi bilo shemo najbolje okrepiti.

Treba bi bilo obravnavati strukturne pomanjkljivosti, povezane s preglednostjo in uveljavljanjem sheme, vsebinska načela varnega pristana in uporabo izjem v interesu nacionalne varnosti.

Natančneje, za pravilno delovanje sheme varnega pristana morajo ameriški organi oblasti  učinkoviteje in bolj sistematično spremljati in nadzirati, kako certificirana podjetja upoštevajo načela zasebnosti varnega pristana. Izboljšati je treba preglednost politik certificiranih podjetij glede varstva zasebnosti. Državljanom EU je treba zagotoviti mehanizme reševanja sporov, ki bodo cenovno dostopni. 

Komisija bo čim prej začela razpravo o ugotovljenih pomanjkljivostih z ameriškimi organi oblasti. Do poletja 2014 bi bilo treba oblikovati popravne ukrepe in jih čim prej uresničiti. V skladu s tem bo Komisija izvedla popoln pregled delovanja sheme varnega pristana. Bistveni del tega obsežnejšega postopka pregleda bi morali biti odprto posvetovanje in razprava v Evropskem parlamentu ter Svetu ter posvetovanja z ameriškimi organi oblasti. 

Obenem je pomembno, da se izjeme v interesu nacionalne varnosti, predvidene v Odločbi o varnem pristanu, uporabljajo samo v skladu z načeli nujnosti in sorazmernosti.

3.3.      Okrepitev zaščitnih ukrepov za varstvo podatkov v kazenskih zadevah

Med EU in ZDA trenutno potekajo pogajanja o krovnem sporazumu o varstvu podatkov pri pretoku in obdelavi osebnih podatkov v okviru policijskega in sodnega sodelovanja v kazenskih zadevah. Sklenitev tovrstnega sporazuma z visoko ravnijo varstva osebnih podatkov bi pomenila bistveni doprinos h krepitvi zaupanja na obeh straneh Atlantika. S povečanjem pravic državljanov EU do varstva osebnih podatkov bi sporazum pripomogel h krepitvi čezatlantskega sodelovanja na področju preprečevanja kriminala in terorizma ter boja proti njima.

V skladu z sklepom, ki pooblašča Komisijo za pogajanja o krovnem sporazumu, je cilj teh pogajanj zagotoviti visoko raven varstva v skladu s pravnim redom EU o varstvu podatkov. To morajo odražati tudi dogovorjena pravila in zaščitni ukrepi, med drugim o omejitvi namena, pogojih in trajanju hrambe podatkov. Komisija bi morala v okviru pogajanj doseči tudi zaveze glede izvršljivih pravic, vključno z mehanizmi sodnega varstva za državljane EU brez stalnega prebivališča v ZDA[24]. Tesno sodelovanje med EU in ZDA pri reševanju skupnih varnostnih izzivov bi se moralo odražati v prizadevanjih za zagotovitev enakih pravic za državljane na obeh straneh Atlantika pri obdelavi enakih podatkov v enake namene. Prav tako je pomembno, da se odstopanja zaradi nacionalne varnosti točno opredelijo. V ta namen bi bilo potrebno določiti zaščitne ukrepe in omejitve.

Pogajanja so priložnost za razjasnitev dejstva, da osebni podatki, ki jih hranijo zasebna podjetja s sedežem v EU, ne bodo neposredno dostopni ameriškim organom pregona niti se jim ne bodo posredovali izven formalnih kanalov sodelovanja, kot so sporazumi o medsebojni pravni pomoči ali sektorski sporazumi med EU in ZDA o odobritvi tovrstnih pretokov. Dostop z drugimi sredstvi bi bilo treba izključiti, razen v primerih, ko ta poteka v jasno določenih in izjemnih primerih z možnostjo sodne presoje. ZDA bi morale v zvezi s tem sprejeti jasne zaveze[25].

Krovni sporazum, sprejet v teh okvirih, bi moral določiti splošni okvir za zagotavljanje visoke ravni varstva osebnih podatkov pri njihovem pretoku v ZDA na področju preprečevanja kriminala in terorizma ter boja proti njima. Sektorski sporazumi bi morali določiti dodatna pravila in zaščitne ukrepe, kjer je to potrebno zaradi narave pretoka podatkov, kot to določata sporazuma PNR in TFTP med EU in ZDA.        

3.4.      Odgovori na pomisleke Evrope glede trenutne reforme v ZDA 

Ameriški predsednik Barack Obama je napovedal pregled dejavnosti nacionalnih varnostnih organov ZDA, vključno s pregledom pravnega okvira njihovega delovanja. Ta proces je izjemna priložnost za odziv na pomisleke EU, ki so posledica nedavnih razkritij o ameriških programih zbiranja obveščevalnih podatkov. Najpomembnejše spremembe bodo razširitev zaščitnih ukrepov, ki so na voljo državljanom in rezidentom ZDA, na državljane EU, ki niso rezidenti ZDA, povečana preglednost obveščevalnih dejavnosti in nadaljnja krepitev nadzora. Tovrstne spremembe bi ponovno okrepile zaupanje v pretok podatkov med EU in ZDA in spodbudile državljane EU k uporabi spletnih storitev.

Na področju širitve sklopa zaščitnih ukrepov, ki so na voljo državljanom in rezidentom ZDA, na državljane EU bi morali ponovno pregledati pravne standarde v zvezi z ameriškimi programi nadzora, v okviru katerih so državljani ZDA in državljani EU različno obravnavani, tudi z vidika načel nujnosti in sorazmernosti, ob upoštevanju tesnega čezatlantskega varnostnega sodelovanja, ki temelji na skupnih načelih, pravicah in svoboščinah. Tako bi zmanjšali vpliv ameriških programov zbiranja obveščevalnih podatkov na državljane EU.

Potrebna je večja preglednost pravnega okvira ameriških programov zbiranja obveščevalnih podatkov in njihove interpretacije pred ameriškimi sodišči, kot tudi kvantitativne razsežnosti teh programov. Te spremembe bi prav tako koristile državljanom EU.

Nadzor nad ameriškimi programi zbiranja obveščevalnih podatkov bi lahko izboljšali z okrepljeno vlogo Sodišča za nadzor tujih obveščevalnih služb in uveljavitvijo možnosti sodnega varstva za posameznike. Ti mehanizmi bi lahko zmanjšali obseg obdelave osebnih podatkov državljanov EU, ki niso koristni za namene nacionalne varnosti.

3.5.        Spodbujanje mednarodnih standardov na področju varstva zasebnosti

Vprašanja, ki se pojavljajo v povezavi z sodobnimi metodami varstva podatkov, niso omejena zgolj na pretok podatkov med EU in ZDA. Vsakemu posamezniku moramo zagotoviti tudi visoko raven varstva osebnih podatkov. Pravila EU o zbiranju, obdelavi in prenosu podatkov je treba spodbujati na mednarodni ravni.

V zadnjem času je bilo predlaganih veliko pobud za povečanje varstva zasebnosti, še posebej na spletu[26]. EU bi morala zagotoviti, da takšne pobude, če se uresničijo, vključujejo načela varstva temeljnih pravic, svobode izražanja, osebnih podatkov in zasebnosti, kot so določena v zakonodaji EU ter Strategiji EU za kibernetsko varnost, in ne ogrožajo svobode, odprtosti in varnosti kibernetskega prostora. V to je vključen tudi demokratičen in učinkovit model upravljanja, v katerem sodeluje več zainteresiranih strani.

Tekoče reforme zakonodaje o varstvu podatkov na obeh straneh Atlantika prav tako predstavljajo enkratno priložnost za sprejem mednarodnih standardov. Pretoku podatkov čez Atlantik in dlje bi močno koristila tudi okrepitev notranjega pravnega okvira ZDA, vključno s sprejetjem listine o varstvu zasebnosti potrošnikov, ki jo je predsednik Obama napovedal v februarju 2012 kot del celovitega načrta za izboljšanje varstva zasebnosti potrošnikov. Obstoj močnih in izvršljivih pravil o varstvu podatkov tako v EU kot ZDA bi zagotovil trdno podlago za mednarodni pretok podatkov.

Da bi načela varnosti spodbujali na mednarodni ravni, je treba spodbujati tudi pristop h Konvenciji Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov („Konvencija 108“), ki je odprta tudi za države[27], ki niso članice Sveta Evrope. Zaščitni ukrepi in jamstva, sprejeti na mednarodnih forumih, bi morali prinesti višjo raven varstva, združljivo z zahtevami iz zakonodaje EU.

4.            Sklepi in priporočila

Za rešitev vprašanj, izpostavljenih v tem sporočilu, bo potrebno ukrepanje ZDA, EU in njenih članic.

Pomisleki glede čezatlantskih izmenjav podatkov so v prvi vrsti opozorilni znak za EU in njene države članice, da je treba odločno in hitro izvesti reformo varstva podatkov. Sprejetje trdnega zakonodajnega okvira z jasnimi pravili, ki jih je mogoče uveljaviti tudi v primerih mednarodnega pretoka podatkov, je postalo nujnost. Institucije EU bi morale zato nadaljevati s prizadevanji za sprejetje reforme varstva podatkov v EU do pomladi 2014, da bi zagotovili učinkovito in celovito varstvo osebnih podatkov.

Glede na pomen čezatlantskega pretoka podatkov je bistveno, da instrumenti, na katerih temeljijo te izmenjave, ustrezno obravnavajo izzive in priložnosti digitalne dobe ter novih tehnoloških pridobitev, kot je računalništvo v oblaku. Obstoječi in prihodnji dogovori in sporazumi bi morali nadalje zagotavljati visoko raven zaščite prek Atlantika.

Močna shema varnega pristana je v interesu državljanov in podjetij v EU in ZDA. Shemo bi bilo treba kratkoročno okrepiti z boljšim nadzorom in izvajanjem nato pa na podlagi tega izvesti širši pregled njenega delovanja. Za zagotovitev izpolnjevanja prvotnih ciljev iz Odločbe Komisije o varnem pristanu–, kot je na primer neprekinjeno varstvo podatkov, zagotavljanje pravne varnosti in prosti pretok podatkov med EU in ZDA,– so potrebne izboljšave. 

Ameriški organi oblasti bi morali izboljšati svoje spremljanje in nadziranje tega, kako samocertificirana podjetja spoštujejo načela varnega pristana.

Poleg tega je pomembno, da se izjeme v imenu nacionalne varnosti, predvidene v Odločbi o varnem pristanu, uporabljajo samo, ko je to nujno potrebno in v skladu z načelom sorazmernosti.

Na področju kazenskega pregona bi morala trenutna pogajanja o krovnem sporazumu zagotoviti visoko raven varnosti za državljane na obeh straneh Atlantika. Tovrstni sporazum bi okrepil zaupanje Evropejcev v pretok podatkov med EU in ZDA ter zagotovil temelje za nadaljnji razvoj varnostnega sodelovanja in partnerstva med EU in ZDA. V okviru pogajanj bi bilo treba zagotoviti zaveze, da bodo postopkovni zaščitni ukrepi, vključno z sodnim varstvom, na voljo tudi Evropejcem, ki niso rezidenti ZDA.

Administracija ZDA bi se morala zavezati, da ameriški organi pregona ne bodo imeli neposrednega dostopa do osebnih podatkov, ki jih hranijo zasebni subjekti v EU, izven formalnih kanalov sodelovanja, kot so sporazumi o medsebojni pravni pomoči in sektorski sporazumi med EU in ZDA (na primer PNR in TFTP), ki za take prenose določajo stroge pogoje, razen v jasno opredeljenih, izjemnih primerih z možnostjo sodne presoje.  

Obenem bi morale ZDA zaščitne ukrepe, ki so na voljo državljanom in rezidentom ZDA, zagotoviti tudi državljanom EU, programe obveščevalnega nadzora prilagoditi glede na nujnost in sorazmernost ter v pravnem okviru, ki velja za organe nacionalne varnosti ZDA, zagotoviti večjo preglednost in nadzor.

Na področjih, navedenih v tem sporočilu, bo potrebno konstruktivno udejstvovanje na obeh straneh Atlantika. EU in ZDA sta kot strateški partnerici zmožni premostiti trenutna trenja v čezatlantskih odnosih in ponovno vzpostaviti zaupanje v pretok podatkov med EU in ZDA. Izvajanje skupnih političnih in pravnih zavez za nadaljnje sodelovanje na teh področjih bo na splošno okrepilo čezatlantske odnose.

[1]               Za namene tega sporočila bodo sklicevanja na EU državljane vključevala tudi osebe izven EU, na katere se podatki nanašajo, ki spadajo pod okvir zakonodaje Evropske unije o varstvu podatkov.

[2]               Odločba Komisije št. 2000/520/ES z dne 26. julija 2000 v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES o ustreznosti zaščite, ki jo zagotavljajo načela zasebnosti varnega pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo Ministrstvo za trgovino ZDA (UL L 215, 25.8.2000, str. 7).

[3]               Sklep Sveta 2009/820/SZVP z dne 23. oktobra 2009 o sklenitvi Sporazuma o izročitvi med Evropsko unijo in Združenimi državami Amerike ter Sporazuma o medsebojni pravni pomoči med Evropsko unijo in Združenimi državami Amerike v imenu Evropske unije (UL L 291, 7.11. 2009, str. 40.)

[4]               Sklep Sveta 2012/472/EU z dne 26. aprila 2012 o sklenitvi Sporazuma med Združenimi državami Amerike in Evropsko unijo o uporabi in prenosu evidenc podatkov o potnikih ministrstvu Združenih držav za domovinsko varnost (UL L 215, 11.8.2012, str. 4).

[5]               Sklep Sveta z dne 13. julija 2010 o sklenitvi Sporazuma med Evropsko unijo in Združenimi državami Amerike o obdelavi in posredovanju podatkov o sporočilih glede finančnih plačil iz Evropske unije Združenim državam Amerike za namene programa za sledenje financiranja terorističnih dejavnosti (UL L 195, 27.7.2010, str. 3).

[6]               Svet je 3. decembra 2010 sprejel sklep, s katerim je Komisiji podelil mandat za pogajanja o sporazumu. Glej IP/10/1661 z dne 3. decembra 2010.

[7]               Glej Boston Consulting Group, „The Value of our Digital Identity“ (Vrednost naše digitalne identitete), november 2012.

[8]               Glej McKinsey, „Big data: The next frontier for innovation, competition, and productivity“ (Veliki podatki: naslednji mejnik za inovacijo, konkurenčnost in produktivnost), 2011.

[9]               Sporočilo Komisije o sprostitvi potenciala računalništva v oblaku v Evropi, COM(2012) 529 final

[10]             Na primer skupno število edinstvenih uporabnikov storitev Microsoft Hotmail, Google Gmail in Yahoo! Junija 2012 je bilo več kot 227 milijonov elektronskih sporočil iz evropskih držav, kar je več kot pri vseh drugih ponudnikih storitev elektronske pošte. Skupno število edinstvenih uporabnikov iz Evrope, ki so dostopali do storitev Facebook in Facebook Mobile, je marca 2012 znašalo 196,5 milijona, kar pomeni, da je Facebook največje socialno omrežje v Evropi. Google je vodilni internetni iskalnik, ki ga uporablja 90,2 % svetovnih uporabnikov spleta. Storitve pošiljanja kratkih sporočil prek interneta ameriškega ponudnika What's App je junija 2013 uporabljalo 91 % uporabnikov pametnega telefona iPhone v Nemčiji.

[11]             Glej sodbo Sodišča Evropske unije v zadevi C-300/11, ZZ proti Secretary of State for the Home Department.

[12]             Člen 4(2) PEU.

[13]             Glej npr. Odločbo Komisije o varnem pristanu, Priloga I.

[14]             Glej skupno poročilo Komisije in Ministrstva za finance ZDA v zvezi z vrednostjo podatkov TFTP, posredovanih v skladu s členom 6(6) Sporazuma med Evropsko unijo in Združenimi državami Amerike o obdelavi in posredovanju podatkov o sporočilih glede finančnih plačil iz Evropske unije Združenim državam Amerike za namene programa za sledenje financiranja terorističnih dejavnosti.

[15]             Glej poročilo Komisije „Joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of  passenger name records to the United States Department of Homeland Security“ (Skupni pregled izvajanja Sporazuma med Evropsko Unijo in Združenimi državami Amerike o obdelavi in prenosu evidenc imen letalskih potnikov Ministrstvu ZDA za domovinsko varnost).

[16]             COM(2012) 10 final: Predlog direktive Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov, Bruselj, 25. 1. 2012, in COM(2012), 11 final: Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov).

[17]             Komisija je seznanjena z dejstvom, da je Evropski parlament z glasovanjem dne 21. oktobra 2013 o poročilih o reformi varstva podatkov poslancev EP Jana-Philippa Albrechta in Dimitriosa Droutsasa v Odboru za državljanske svoboščine, pravosodje in notranje zadeve (LIBE) potrdil in okrepil to pomembno načelo, navedeno v členu 3 predlagane uredbe.

[18]             Komisija je seznanjena s predlogom odbora LIBE Evropskega parlamenta z dne 21. oktobra 2013, da se v prihodnjo uredbo vključi določba, po kateri bi tuji organi za zahtevke za dostop do osebnih podatkov, zbranih v EU, potrebovali predhodno dovoljenje nacionalnega organa za varstvo podatkov, če bi bil tak zahtevek podan zunaj okvirov sporazuma o medsebojni pravni pomoči ali katerega koli drugega mednarodnega sporazuma. 

[19]             Komisija je seznanjena s predlogom odbora LIBE Evropskega parlamenta z dne 21. oktobra 2013 za okrepitev predloga Komisije s povečanjem kazni na do 5 % skupnega letnega prometa podjetja.

[20]             Komisija je seznanjena z glasovanjem odbora LIBE Evropskega parlamenta z dne 21. oktobra 2013, s katerim je odobril povečanje obveznosti in odgovornosti obdelovalcev podatkov, zlasti v smislu člena 26 predlagane uredbe.

[21]             V sklepih Evropskega sveta iz oktobra 2013 je zapisano: „Pomembno je krepiti zaupanje državljanov in podjetij v digitalno gospodarstvo. Pravočasno sprejetje trdnega splošnega okvira varstva podatkov v EU in direktive o kibernetski varnosti je bistvenega pomena za dokončanje enotnega digitalnega trga do leta 2015.“

[22]             Natančneje, v skladu s členom 3 Odločbe Komisije o varnem pristanu bi tovrstne prekinitve lahko uveljavljali v primerih, ko obstaja precejšnja verjetnost, da se načela kršijo; obstaja utemeljena podlaga za prepričanje, da zadevni mehanizem uveljavljanja ne sprejema ali ne bo sprejel ustreznih in pravočasnih ukrepov za rešitev spornega primera; bi nadaljnji pretok podatkov povzročil neposredno nevarnost za nastanek velike škode za subjekte podatkov in so si pristojni organi v državah članicah v danih okoliščinah razumno prizadevali, da bi organizacijo obvestili in ji dali priložnost za odgovor.

[23]             Sporočilo za javnost Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (zveznega nadzornika za varstvo podatkov in svobodo informacij) z dne 24. julija 2013.

[24]             Glej zadevni odlomek skupne izjave za medije po srečanju ministrov za pravosodje in notranje zadeve EU in ZDA z dne 18. novembra 2013 v Washingtonu: „Zato smo nujno zavezani hitrem napredovanju v pogajanjih o smiselnem in celovitem krovnem sporazumu o varstvu podatkov na področju kazenskih zadev. Sporazum bo osnova za lažji pretok podatkov v okviru policijskega in sodnega sodelovanja v kazenskih zadevah z zagotavljanjem visoke ravni varnosti podatkov državljanov ZDA in EU Zavezani smo iskanju rešitev preostalih vprašanj, ki so relevantna za obe strani, vključno z vprašanjem sodnega varstva (ključno vprašanje za EU). Pogajanja o sporazumu želimo zaključiti do poletja 2014.“

[25]             Glej zadevni odlomek skupne izjave za medije po srečanju ministrov za pravosodje in notranje zadeve EU in ZDA z dne 18. novembra 2013 v Washingtonu: „Obenem poudarjamo pomen Sporazuma med EU in ZDA o medsebojni pravni pomoči. Ponovno ponavljamo svojo zavezanost zagotavljanju njegove široke in učinkovite uporabe v kazenskih zadevah. Potekale so tudi razprave o tem, da je treba razjasniti dejstvo, da organi pregona  ne bodo dostopali do osebnih podatkov, ki jih hranijo zasebna podjetja na ozemlju druge pogodbenice, izven pravno odobrenih kanalov. Strinjamo se tudi, da je treba pregledati delovanje Sporazuma o medsebojni pravni pomoči, kot je predvideno v Sporazumu, in se posvetovati, kadar je to potrebno.“

[26]          Glej predlog Nemčije in Brazilije za osnutek resolucije Generalne skupščine ZN –za varstvo zasebnosti na spletu in zunaj njega.

[27]          ZDA so že pristopile tudi h Konvenciji Sveta Evrope o kibernetski kriminaliteti iz leta 2011 (t.i. Konvencija iz Budimpešte).