EVROPSKA KOMISIJA
Bruselj, 19.12.2018
COM(2018) 860 final
POROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU
o drugem letnem pregledu delovanja zasebnostnega ščita EU-ZDA
{SWD(2018) 497 final}
EVROPSKA KOMISIJA
Bruselj, 19.12.2018
COM(2018) 860 final
POROČILO KOMISIJE EVROPSKEMU PARLAMENTU IN SVETU
o drugem letnem pregledu delovanja zasebnostnega ščita EU-ZDA
{SWD(2018) 497 final}
1.DRUGI LETNI PREGLED – NAMEN, PRIPRAVA IN POSTOPEK
Komisija je 12. julija 2016 sprejela sklep (v nadaljnjem besedilu: sklep o ustreznosti), v katerem je ugotovila, da zasebnostni ščit EU-ZDA (v nadaljnjem besedilu: zasebnostni ščit) zagotavlja ustrezno raven varstva osebnih podatkov, ki so bili preneseni iz EU organizacijam v ZDA 1 . Sklep o ustreznosti določa zlasti, da Komisija letno oceni vse vidike delovanja okvira. Prvi letni pregled je bil opravljen 18. in 19. septembra 2017 v Washingtonu, 18. oktobra 2017 pa je Komisija sprejela poročilo Evropskemu parlamentu in Svetu 2 , ki mu je bil priložen delovni dokument služb Komisije (SWD(2017) 344 final) 3 .
Na podlagi zaključkov prvega pregleda je Komisija ugotovila, da ZDA še naprej zagotavljajo ustrezno raven varstva osebnih podatkov, ki se v okviru zasebnostnega ščita iz Unije prenesejo organizacijam v ZDA. Hkrati je Komisija menila, da bi bilo praktično izvajanje okvira zasebnostnega ščita mogoče dodatno izboljšati, da se zagotovi, da jamstva in zaščitni ukrepi, ki jih zagotavlja, še naprej delujejo, kot je bilo predvideno. V ta namen je Komisija podala deset priporočil.
To poročilo zaključuje drugi letni pregled delovanja zasebnostnega ščita. To poročilo in priloženi delovni dokument služb Komisije (SWD(2018) 497) imata enako strukturo kot poročilo o prvem letnem pregledu. Zajemata vse vidike delovanja zasebnostnega ščita, tudi glede na razvoj dogodkov v zadnjem letu. Osrednji element ocene Komisije je bilo izvajanje njenih priporočil iz prvega letnega pregleda.
Pri pripravi drugega letnega pregleda je Komisija zbrala informacije od zadevnih zainteresiranih strani (zlasti družb, certificiranih v okviru zasebnostnega ščita, prek njihovih panožnih združenj in nevladnih organizacij, ki delujejo na področju temeljnih pravic, zlasti digitalnih pravic in zasebnosti) ter od ustreznih organov ZDA, ki sodelujejo pri izvajanju okvira.
Drugi letni pregled je bil opravljen 18. in 19. oktobra 2018 v Bruslju. Pregled so otvorili evropska komisarka za pravosodje, potrošnike in enakost spolov Věra Jourová, ameriški minister za trgovino Wilbur Ross, predsednik zvezne komisije za trgovino Joseph Simons in predsednica Evropskega odbora za varstvo podatkov Andrea Jelinek. V imenu EU so se ga udeležili predstavniki generalnega direktorata Evropske komisije za pravosodje in potrošnike. Delegacija EU je vključevala tudi sedem predstavnikov, ki jih je imenoval Evropski odbor za varstvo podatkov (neodvisni organ, ki združuje predstavnike nacionalnih organov za varstvo podatkov iz držav članic EU in Evropskega nadzornika za varstvo podatkov).
Na strani ZDA so pri pregledu sodelovali predstavniki ministrstva za trgovino, ministrstva za zunanje zadeve, zvezne komisije za trgovino, ministrstva za promet, urada direktorja nacionalne obveščevalne službe, ministrstva za pravosodje ter člani nadzornega odbora za zasebnost in državljanske svoboščine, pa tudi vršilka dolžnosti varuha pravic in generalni inšpektor za obveščevalno skupnost. Poleg tega so na ustreznih pregledovalnih sejah informacije zagotovili predstavniki neodvisne organizacije, ki v okviru zasebnostnega ščita nudi storitve reševanja sporov, in ameriškega arbitražnega združenja. Nazadnje so organizacije, certificirane v okviru zasebnostnega ščita, predstavile informacije o tem, kako družbe izpolnjujejo zahteve okvira.
Ugotovitve Komisije so bile nadalje podprte s študijo, ki jo je naročila, in javno dostopnim gradivom, kot so sodne odločbe, izvedbena pravila in postopki ustreznih organov ZDA, poročila in študije nevladnih organizacij, poročila o preglednosti, ki so jih izdale družbe, certificirane v okviru zasebnostnega ščita, letna poročila neodvisnih pritožbenih mehanizmov in poročila medijev.
Letošnji pregled se je izvajal ob upoštevanju izzivov za zasebnost podatkov, ki so vse bolj globalne narave, kot kaže primer Facebook/Cambridge Analytica. EU in ZDA se zavedajo, da se pri varstvu osebnih podatkov soočata s podobnimi izzivi. Obe strani sta med pregledom poudarili potrebo, da je treba takšne zlorabe osebnih podatkov obravnavati, vključno z odločnimi izvršilnimi ukrepi organa EU za varstvo podatkov in zvezne komisije ZDA za trgovino.
Poročilo Komisije odraža tudi trenutno razpravo o zvezni zakonodaji ZDA o varstvu zasebnosti. Približevanje obeh sistemov na dolgi rok bi okrepilo temelje, na katerih je bil razvit okvir zasebnostnega ščita.
2.UGOTOVITVE IN ZAKLJUČKI
Drugi letni pregled je zajemal tako „trgovinske vidike“ okvira zasebnostnega ščita kot vprašanja, povezana z dostopom organov do osebnih podatkov.
Kar zadeva „trgovinske vidike“, tj. vprašanja v zvezi z upravljanjem, nadzorom in izvrševanjem obveznosti, ki veljajo za certificirane družbe, je Komisija ugotovila, da je ministrstvo za trgovino v skladu s priporočili Komisije iz prvega letnega pregleda dodatno okrepilo postopek certificiranja in uvedlo nove nadzorne postopke. Ministrstvo za trgovino je zlasti sprejelo nov postopek, v skladu s katerim morajo prosilci, ki prvič zaprosijo za certifikacijo, odložiti javne objave v zvezi z njihovim sodelovanjem v zasebnostnem ščitu, dokler ministrstvo za trgovino ne zaključi pregleda certifikacije. Ministrstvo za trgovino je poleg tega uvedlo nove mehanizme za odkrivanje morebitnih težav v zvezi s skladnostjo, kot so naključna preverjanja (v času letnega pregleda so bila takšna naključna preverjanja opravljena v približno 100 organizacijah) in spremljanje javnih poročil o ravnanju sodelujočih v zasebnostnem ščitu. Ministrstvo za trgovino pri iskanju organizacij, ki lažno navajajo, da sodelujejo v okviru, zdaj dejavno uporablja več orodij, na primer četrtletno preverjanje družb, za katere se domneva, da je verjetnost lažnih trditev glede sodelovanja večja, ter sistem iskanja slik in besedil na spletu. Zaradi teh na novo uvedenih praks in postopkov je ministrstvo za trgovino od prvega letnega pregleda zvezni komisiji za trgovino predložilo več kot 50 zadev, ta pa je v primerih, v katerih predložitev kot taka ni zadostovala za zagotovitev skladnosti zadevne družbe, sprejela izvršilne ukrepe.
V zvezi z izvrševanjem je Komisija ugotovila, da je zvezna komisija za trgovino kot del svojih prizadevanj za proaktivno spremljanje skladnosti z načeli zasebnostnega ščita nedavno izdala upravne sodne pozive, s katerimi je zahtevala predložitev informacij od številnih sodelujočih v zasebnostnem ščitu. Zvezna komisija za trgovino je potrdila tudi, da vodi preiskavo v zadevi Facebook/Cambridge Analytica. Čeprav Komisija meni, da je novi bolj proaktivni pristop zvezne komisije za trgovino k spremljanju skladnosti pomemben napredek, pa obžaluje, da na tej stopnji ni bilo mogoče zagotoviti dodatnih informacij o nedavnih preiskavah in da bo pozorno spremljala nadaljnje dogajanje na tem področju.
Pri drugem letnem pregledu so se upoštevale tudi relevantne spremembe v pravnem sistemu ZDA na področju zasebnosti. To se nanaša zlasti na posvetovanje, ki ga je začelo ministrstvo za trgovino o zveznem pristopu k zasebnosti podatkov, pa tudi na proces razmisleka zvezne komisije za trgovino o njenih sedanjih pristojnostih na področju varovanja zasebnosti in učinkovitosti njenih sedanjih popravljalnih pooblastil.
Kot se je pokazalo v zadevi Facebook/Cambridge Analytica ter v drugih razkritjih, bi bilo pomembno, da EU in ZDA še bolj poenotita njune odzive. Komisija je v tem duhu z velikim zanimanjem spremljala zgoraj navedene pobude in s pisnim predlogom prispevala k postopku posvetovanja ministrstva za trgovino 4 .
Kar zadeva vprašanja, povezana z dostopom javnih organov ZDA do osebnih podatkov in njihovo uporabo, je bil drugi letni pregled osredotočen na relevantne spremembe v pravnem okviru ZDA, vključno v zvezi z ustreznimi politikami in postopki agencij, nedavne trende pri nadzornih dejavnostih ter razvoj in delovanje pomembnih mehanizmov nadzora in pravnih sredstev.
Najpomembnejši pravni razvoj na področju dostopa javnih organov je bila ponovna odobritev oddelka 702 Foreign Intelligence Surveillance Act (zakona o nadzoru tujih obveščevalnih podatkov) (v nadaljnjem besedilu: zakon FISA) v začetku leta 2018. Sicer ponovna odobritev ni privedla do vključitve zaščitnih ukrepov predsedniške politične direktive št. 28 v zakon FISA, kot je predlagala Komisija, vendar tudi ni omejila nobenega od zaščitnih ukrepov iz zakona FISA, ki so veljali, ko je bil sprejet sklep o zasebnostnem ščitu. Poleg tega spremembe niso razširile pooblastil obveščevalne skupnosti ZDA za pridobivanje tujih obveščevalnih podatkov z osredotočanjem na nedržavljane ZDA v skladu z oddelkom 702. Namesto tega pa je Amendments Reauthorization Act iz leta 2017, ki spreminja zakon o nadzoru tujih obveščevalnih podatkov iz leta 1978, uvedel določene omejene dodatne zaščitne ukrepe za varstvo zasebnosti, na primer na področju preglednosti.
Do pomembnega dogajanja je prišlo tudi v zvezi z nadzornim odborom za zasebnost in državljanske svoboščine, ki ga je v času prvega letnega pregleda sestavljal le še en član. Komisija je zato priporočila hitro imenovanje preostalih članov odbora. Ameriški Senat je 11. oktobra 2018 potrdil imenovanje predsednika nadzornega odbora za zasebnost in državljanske svoboščine ter dveh drugih članov odbora, s čimer je odbor ponovno postal sklepčen in lahko izvaja vse svoje naloge. Po prvem letnem pregledu je Komisija prav tako priporočila objavo poročila odbora o predsedniški politični direktivi št. 28. Poročilo je bilo objavljeno 16. oktobra 2018 5 in potrjuje, da se v obveščevalni skupnosti v celoti uporablja predsedniška politična direktiva št. 28. Zlasti potrjuje, da so po izdaji predsedniške politične direktive št. 28 ustrezni elementi obveščevalne skupnosti sprejeli podrobna pravila o izvajanju navedene direktive in spremenili svoje prakse, da bi jih uskladili z zahtevami predsedniške politične direktive št. 28.
Čeprav je Komisija priporočila hitro imenovanje varuha pravic na področju zasebnostnega ščita, mesto podsekretarke na ministrstvu za zunanje zadeve, ki mu je bil dodeljen urad varuha pravic, v času priprave tega poročila še ni bilo zasedeno s stalnim imenovanjem. V zvezi s tem se je Komisija seznanila z dejstvom, da je vlada ZDA v drugem letnem pregledu priznala potrebo po hitrem napredku pri imenovanju stalnega podsekretarja in potrdila, da je ta postopek v polnem teku.
V času priprave tega poročila mehanizem varuha pravic še ni prejel nobenih zahtev. Vendar je bila pritožba, naslovljena na varuha pravic, vložena pri hrvaškem organu za varstvo podatkov. Preiskava v zvezi s tem je v teku.
Podrobne ugotovitve v zvezi z delovanjem vseh vidikov okvira zasebnostnega ščita po drugem letu njegovega delovanja so predstavljene v delovnem dokumentu služb Komisije o drugem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (SWD (2018) 497), ki je priložen k temu poročilu.
Informacije, zbrane v okviru drugega letnega pregleda, potrjujejo ugotovitve Komisije v sklepu o ustreznosti, tako glede „trgovinskih vidikov“ okvira kot vidikov v zvezi z dostopom do osebnih podatkov, ki jih organi ZDA prenašajo v okviru zasebnostnega ščita.
Komisija je na podlagi teh ugotovitev sklenila, da Združene države Amerike še naprej zagotavljajo ustrezno raven varstva osebnih podatkov, ki se v okviru zasebnostnega ščita prenašajo iz Unije organizacijam v Združenih državah.
Zlasti so ukrepi, sprejeti za izvajanje priporočil Komisije po prvem letnem pregledu, izboljšali več vidikov praktičnega delovanja okvira, da se zagotovi, da raven varstva posameznikov, ki jo zagotavlja sklep o ustreznosti, ni ogrožena.
Vendar so bili nekateri od teh ukrepov sprejeti šele nedavno in ustrezni postopki še potekajo. Vse nadaljnje spremembe v zvezi s temi postopki je zato treba pozorno spremljati, zlasti ker zadevajo elemente, ki so bistveni za kontinuiteto ugotovitve o ustreznosti. To zadeva zlasti:
1.Učinkovitost mehanizmov, ki jih je uvedlo ministrstvo za trgovino v drugem letu delovanja okvira, da bi proaktivno spremljalo, ali certificirane družbe spoštujejo načela zasebnostnega ščita, zlasti skladnost z vsebinskimi zahtevami in obveznostmi.
2.Učinkovitost orodij, ki jih je uvedlo ministrstvo za trgovino po prvem letnem pregledu za odkrivanje lažnih navedb o sodelovanju v okviru, s posebnim poudarkom na iskanju lažnih navedb s strani družb, ki niso nikoli zaprosile za certifikacijo.
3.Napredek in rezultat preiskav po uradni dolžnosti, ki jih zvezna komisija za trgovino izvaja v drugem letu delovanja zasebnostnega ščita z upravnimi sodnimi pozivi za odkrivanje bistvenih kršitev zasebnostnega ščita.
4.Razvoj dodatnih smernic, ki so jih skupaj pripravili ministrstvo za trgovino, zvezna komisija za trgovino in organi EU za varstvo podatkov, glede elementov, ki jih je treba dodatno pojasniti (npr. podatki o človeških virih).
5.Imenovanje stalnega varuha pravic na področju zasebnostnega ščita.
6.Učinkovitost obravnave in reševanja pritožb s strani varuha pravic.
Komisija zlasti ponovno poziva administracijo ZDA, naj potrdi svojo politično zavezanost mehanizmu varuha pravic s prednostnim imenovanjem stalnega varuha pravic na področju zasebnostnega ščita. Mehanizem varuha pravic je pomemben element okvira zasebnostnega ščita. Vršilka dolžnosti varuha pravic sicer še naprej opravlja ustrezne funkcije, vendar je odsotnost stalno imenovane osebe velika pomanjkljivost, ki bi jo bilo treba čim prej odpraviti. Komisija pričakuje, da bo vlada ZDA do 28. februarja 2019 imenovala kandidata oziroma kandidatko za mesto stalnega varuha pravic in o tem obvestila Komisijo. Če se do navedenega datuma to ne bo zgodilo, bo Komisija razmislila o sprejetju ustreznih ukrepov v skladu s Splošno uredbo o varstvu podatkov 6 . Komisija prav tako pričakuje natančne in podrobne informacije o vseh zgoraj navedenih vidikih, da bo lahko ocenila, ali so sprejeti ukrepi učinkoviti v praksi.
Komisija bo še naprej pozorno spremljala trenutno razpravo o zvezni zakonodaji ZDA na področju varstva zasebnosti. Glede na pomen čezatlantskih tokov podatkov Komisija spodbuja ZDA, da sprejmejo celovit sistem varstva zasebnosti in podatkov ter pristopijo h Konvenciji Sveta Evrope št. 108. S takšnim celovitim pristopom se lahko dolgoročno doseže približevanje obeh sistemov, kar bi okrepilo tudi temelje zasebnostnega ščita.
Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (UL L 2017, 1.8.2016, str. 1).
Poročilo Komisije Evropskemu parlamentu in Svetu o prvem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (COM(2017) 611 final), glej http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Delovni dokument služb Komisije, priložen Poročilu Komisije Evropskemu parlamentu in Svetu o prvem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (SWD(2017) 344 final), glej http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Na voljo na: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf .
Poročilo predsedniku o izvajanju predsedniške politične direktive 28: obveščevalne dejavnosti pri zaznavanju signalov, na voljo na: https://www.pclob.gov/reports/report-PPD28/ .
Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov).