25.5.2016

Uradni list Evropske unije

C 186/4

Povzetek predhodnega mnenja Evropskega nadzornika za varstvo podatkov o sporazumu med Združenimi državami Amerike in Evropsko unijo o varstvu osebnih podatkov v zvezi s preprečevanjem, preiskovanjem, odkrivanjem in pregonom kaznivih dejanj

(Celotno besedilo tega mnenja je na voljo v angleščini, francoščini in nemščini na spletišču ENVP www.edps.europa.eu.)

(2016/C 186/04)

To mnenje temelji na splošni obveznosti, v skladu s katero morajo biti mednarodni sporazumi, ki jih sklene EU, skladni z določbami Pogodbe o delovanju Evropske unije (PDEU) in spoštovanjem temeljnih pravic, ki pomeni jedro prava EU. Predvsem je presoja izvedena za analizo skladnosti vsebine krovnega sporazuma s členi 7, 8 in 47 Listine Evropske unije o temeljnih pravicah ter členom 16 PDEU, ki zagotavljajo varstvo osebnih podatkov.

POVZETEK

Preiskovanje in pregon kaznivih dejanj je legitimen cilj politike, mednarodno sodelovanje, vključno z izmenjavo informacij, pa je zdaj pomembnejše kot kdaj koli prej. EU doslej ni imela trdnega skupnega okvira na tem področju, zato tudi nima usklajenih zaščitnih ukrepov za temeljne pravice in svoboščine posameznikov. ENVP že dalj časa opozarja, da EU potrebuje vzdržne dogovore za izmenjavo osebnih podatkov s tretjimi državami za namene kazenskega pregona, ki so v celoti usklajeni s pogodbami EU in Listino o temeljnih pravicah.

Zato pozdravljamo in dejavno podpiramo prizadevanja Evropske komisije za sklenitev prvega „krovnega sporazuma“ z ZDA. Namen tega mednarodnega sporazuma o kazenskem pregonu je, da bi se varstvo podatkov prvič določilo kot temelj izmenjave informacij. Čeprav priznavamo, da v sporazumu s tretjo državo ni mogoče v celoti ponoviti terminologije in opredelitev pojmov iz prava EU, morajo biti zaščitni ukrepi za posameznike jasni in učinkoviti, da se zagotovi popolna skladnost s primarno zakonodajo EU.

Sodišče Evropske unije je v zadnjih letih potrdilo načela varstva podatkov, vključno s pošteno obdelavo, točnostjo in ustreznostjo informacij, neodvisnim nadzorom in individualnimi pravicami posameznikov. Ta načela so enako pomembna javnim organom in tudi zasebnim podjetjem, ne glede na kakršno koli uradno ugotovitev EU o ustreznosti v zvezi z zaščitnimi ukrepi za varstvo podatkov tretjih držav; dejansko je njihov pomen še večji glede na občutljivost podatkov, potrebnih za preiskavo kaznivih dejanj.

Namen tega mnenja je zagotoviti konstruktivne in objektivne nasvete institucijam EU, medtem ko Komisija končuje to občutljivo nalogo, ki ima široke posledice za sodelovanje med EU in ZDA v okviru kazenskega pregona ter za prihodnje mednarodne sporazume. Krovni sporazum je ločen od pred kratkim napovedanega dogovora med EU in ZDA o zaščiti zasebnosti (zasebnostni ščit EU–ZDA) pri prenosu osebnih informacij v poslovnem okolju, vendar ju je treba obravnavati skupaj. Za analizo medsebojnega delovanja teh dveh instrumentov in reforme okvira EU za varstvo podatkov bodo morda potrebne dodatne obravnave.

Preden se sporazum predloži Parlamentu v odobritev, spodbujamo pogodbenici, naj skrbno obravnavata pomembne razvoje dogodkov, ki so se zgodili od preteklega septembra, ko sta izrazili svojo namero za sklenitev sporazuma po sprejetju Zakona o pravnem varstvu. Številni že predvideni zaščitni ukrepi so dobrodošli, vendar bi jih bilo treba okrepiti, tudi ob upoštevanju oktobra izrečene sodbe v zadevi Schrems, s katero je bila razveljavljena odločba o varnem pristanu, in političnega dogovora EU o reformi varstva podatkov, ki je bil dosežen decembra ter zajema prenos in sodelovanje sodnih in policijskih organov.

ENVP je opredelil tri ključne izboljšave, ki jih priporoča za besedilo, da se zagotovi skladnost z Listino in členom 16 Pogodbe:

—	pojasnilo, da vsi zaščitni ukrepi veljajo za vse posameznike, ne le za državljane EU;

—	zagotovitev učinkovitosti določb o pravnem varstvu v smislu Listine;

—	pojasnilo, da prenosi občutljivih podatkov v paketu niso dovoljeni.

Mnenje vsebuje dodatna priporočila za pojasnitev predvidenih zaščitnih ukrepov s spremnim obrazložitvenim dokumentom. Institucijam smo še naprej na voljo za dodatne nasvete in dialog v zvezi s to zadevo.

I. Ozadje parafiranega sporazuma

Svet je 3. decembra 2010 sprejel odločitev, s katero je Komisijo pooblastil, da začne pogajanja o sporazumu med Evropsko unijo (EU) in Združenimi državami Amerike (ZDA) o varstvu osebnih podatkov pri njihovem prenosu in obdelavi z namenom preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj, vključno s terorizmom, v okviru policijskega ali pravosodnega sodelovanja v kazenskih zadevah (v nadaljnjem besedilu: sporazum) (1).

Pogajanja med Komisijo in ZDA so se uradno začela 29. marca 2011 (2). Generalni tožilec ZDA je 25. junija 2014 sporočil, da bo sprejet zakonodajni ukrep za zagotovitev pravnega varstva za državljane EU v zvezi s pravicami do zasebnosti v ZDA (3). Po več krogih pogajanj, ki so trajala več kot štiri leta, je bil sporazum parafiran 8. septembra 2015. Po trditvah Komisije je cilj, da se sporazum podpiše in uradno sklene šele po sprejetju Zakona o pravnem varstvu v ZDA (4).

Evropski parlament mora podati soglasje s parafiranim besedilom sporazuma, Svet pa ga mora podpisati. Do takrat in dokler sporazum ni uradno podpisan, ugotavljamo, da se lahko znova začnejo pogajanja v zvezi s posebnimi točkami. V okviru tega ENVP izdaja to mnenje na podlagi besedila parafiranega sporazuma, objavljenega na spletni strani Komisije (5). To je predhodno mnenje, ki temelji na prvi analizi celovitega pravnega besedila in ne posega v nobeno dodatno priporočilo, ki bo temeljilo na dodatnih razpoložljivih informacijah, vključno z razvojem dogodkov na področju zakonodaje v ZDA, kot je sprejetje Zakona o pravnem varstvu. ENVP je opredelil tri ključne točke, ki zahtevajo izboljšave, izpostavlja pa tudi druge vidike, v zvezi s katerimi priporoča pomembne pojasnitve. Na podlagi teh izboljšav se lahko šteje, da je sporazum skladen s primarno zakonodajo EU.

V. Sklepne ugotovitve

53.

ENVP pozdravlja namero, da se zagotovi pravno zavezujoč instrument, katerega namen je zagotoviti visoko raven varstva podatkov za osebne podatke, ki se prenašajo med EU in ZDA za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj, vključno s terorizmom.

54.

Namen večine vsebinskih določb sporazuma je, da bi v celoti ali deloma ustrezale ključnim jamstvom pravice do varstva osebnih podatkov v EU (kot so pravice posameznika, na katerega se nanašajo osebni podatki, neodvisni nadzor in pravica do sodnega pregleda).

55.

Čeprav sporazum v tehničnem smislu ne pomeni sklepa glede ustreznosti, ustvarja splošno domnevo o skladnosti za prenose, utemeljene na posebni pravni podlagi, in sicer v okviru sporazuma. Zato je nujno treba zagotoviti, da se ta „domneva“ v besedilu sporazuma podkrepi z vsemi potrebnimi zaščitnimi ukrepi, da bi se izognili kršitvam Listine, zlasti njenih členov 7, 8 in 47.

56.

ENVP priporoča tri ključne izboljšave za besedilo, da se zagotovi skladnost z Listino in členom 16 PDEU:

1)	pojasnilo, da vsi zaščitni ukrepi veljajo za vse posameznike, ne le za državljane EU;

2)	zagotovitev učinkovitosti določb o pravnem varstvu v smislu Listine;

3)	pojasnilo, da prenosi občutljivih podatkov v paketih niso dovoljeni.

57.

Poleg tega ENVP priporoča, da se v besedilo sporazuma ali obrazložitvene izjave, priložene sporazumu, ali v fazo izvajanja sporazuma vključijo naslednje izboljšave ali pojasnitve, kot so opisane v tem mnenju, da se zagotovi pravna varnost:

1)	člen 5(3) je treba razlagati tako, da se spoštuje vloga nadzornih organov, da se s tem zagotovi skladnost s členom 8(3) Listine;

2)	posebne pravne podlage za prenose (člen 5(1)) morajo biti v celoti usklajene z zaščitnimi ukrepi iz sporazuma, v primeru neskladja med posebno pravno podlago in sporazumom, pa prevlada sporazum;

3)	v primeru neučinkovitega varstva podatkov, ki se posredujejo organom na ravni držav, ustrezni ukrepi iz člena 14(2) po potrebi vključujejo ukrepe v zvezi s podatki, ki so se že izmenjali;

opredelitvi dejavnosti obdelave in osebnih podatkov (člen 2) sta usklajeni z njunima ustaljenima razlagama v okviru prava EU; če pogodbenici ne uskladita teh opredelitev popolnoma, je treba v obrazložitvene dokumente, priložene sporazumu, vključiti pojasnilo, da se uporaba teh dveh pojmov po vsebini ne razlikuje od njunih razlag v okviru prava EU;

5)	v obrazložitveno izjavo se lahko vključi okvirni seznam „posebnih pogojev“, pod katerimi se podatki prenašajo v paketih (člen 7(3));

6)	pogodbenici nameravata uporabiti določbe v zvezi z obvestili o kršitvi varovanja tajnosti podatkov (člen 10), da čim bolj omejita morebitno opuščanje obveščanja in preprečita čezmerno odlašanje z obveščanjem;

7)	določba o hrambi podatkov iz člena 12(1) se dopolni z besedilom: „za posebne namene, za katere so se posredovali“ ob upoštevanju načela o omejitvi namena, na katerega se sklicujeta pogodbenici v sporazumu;

8)	pogodbenici sporazuma obravnavata možnost okrepitve svojih prizadevanj za zagotovitev, da se omejitve glede uveljavljanja pravice do dostopa omejijo na raven, ki je nujna, da se ohranijo našteti javni interesi in okrepi obveznost glede preglednosti;

podrobna obrazložitvena izjava, priložena sporazumu, izrecno navaja (člen 21):

—	nadzorne organe, pristojne v tej zadevi, in mehanizem, s katerim se pogodbenici obveščata o prihodnjih spremembah;

—	učinkovita pooblastila, ki jih lahko izvajata;

—	identiteto in koordinate kontaktne točke, ki bo pomagala pri opredelitvi pristojnega nadzornega organa (glej člen 22(2)).

58.

Ne nazadnje ENVP opozarja na potrebo, da se vsaka razlaga, uporaba in izvedbeni ukrep sporazuma v primeru nejasnosti in domnevnega nasprotja določb uskladi z ustavnimi načeli EU, zlasti v zvezi s členom 16 PDEU ter členoma 7 in 8 Listine, ne glede na dobrodošle izboljšave, ki se navedejo na podlagi priporočil iz tega mnenja.

V Bruslju, 12. februarja 2016

Giovanni BUTTARELLI

Evropski nadzornik za varstvo podatkov

(1) Glej MEMO 10/1661 Evropske komisije z dne 3. decembra 2010, ki je na voljo na naslovu http://europa.eu/rapid/press-release_IP-10-1661_sl.htm.

(2) Glej MEMO 11/203 Evropske komisije z dne 29. marca 2011, ki je na voljo na naslovu: http://europa.eu/rapid/press-release_MEMO-11-203_en.htm.

(3) Glej sporočilo za javnost 14-668 Urada državnega tožilca, objavljeno 25. junija 2014, ki je na voljo na naslovu: http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress.

(4) Glej MEMO 15/5612 Evropske komisije z dne 8. septembra 2015, ki je na voljo na naslovu: http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.

(5) Besedilo je na voljo na naslovu: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf.