EUROPEISKA KOMMISSIONEN
Bryssel den 18.10.2017
COM(2017) 611 final
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om den första årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion
{SWD(2017) 344 final}
English
Select your language
Official EU languages:
Access to European Union law
EUR-Lex
Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
Document 52017DC0611
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the first annual review of the functioning of the EU–U.S. Privacy Shield
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den första årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den första årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion
COM/2017/0611 final
Language
HTML
DOC
PDF
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om den första årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion
1.DEN FÖRSTA ÅRLIGA ÖVERSYNEN – SYFTE, FÖRBEREDELSER OCH FÖRFARANDE
I sitt beslut av den 12 juli 2016 1 (nedan kallat beslutet om adekvat skydd), har kommissionen funnit att skölden för skydd av privatlivet (nedan kallad skölden för skydd av privatlivet) garanterar en adekvat skyddsnivå för personuppgifter som överförs från unionen till organisationer i USA.
Skölden för skydd av privatlivet återspeglar de principer och krav som fastställdes genom domen i Europeiska unionens domstol i fallet Schrems 2 , som ogiltigförklarade de tidigare Safe Harbour-principerna. Skölden innehåller ett antal nya element jämfört med Safe Harbour, vilket innebär ett förstärkt skydd för personuppgifter när de överförs till USA. Detta inbegriper strängare krav på företag som certifierats enligt skölden för skydd av privatlivet, till exempel när det gäller begränsningar för hur länge ett företag får behålla personuppgifter (den så kallade datalagringsprincipen) eller villkoren för hur uppgifter får delas med tredje parter utanför sköldens ram (den så kallade principen om ansvar för vidare överföring). Den skapar också förutsättningar för en mer regelbunden och rigorös övervakning av det amerikanska handelsministeriet och innebär att EU-medborgarnas möjligheter att söka upprättelse ökar markant. Skölden för skydd av privatlivet bygger dessutom på den amerikanska regeringens specifika skriftliga utfästelser och försäkringar. I dessa slås det fast att det finns tydliga begränsningar och skyddsåtgärder i fråga om offentliga myndigheters tillgång till personuppgifter, då uppgifterna överförs inom ramen för skölden för skydd av privatlivet när det gäller ändamålen nationell säkerhet, brottsbekämpning och annat som ligger i allmänhetens intresse. I detta syfte skapas också en helt ny prövningsmekanism, dvs. ombudsmannen, genom skölden.
Kommissionen har åtagit sig att varje år utvärdera sitt konstaterande om adekvat skyddsnivå, och genomför i detta syfte en årlig översyn av hur skölden fungerar. Den första årliga översynen av hur skölden fungerar sammanfattas i denna rapport. Översynen omfattade alla sköldens aspekter, dvs. de behöriga amerikanska myndigheternas och organens genomförande, administration, tillsyn och verkställande av skölden för skydd av privatlivet, samt frågor relaterade till de amerikanska myndigheternas tillgång till personuppgifter som i allmänhetens intresse överförs inom sköldens ram, framför allt den nationella säkerheten. Denna översyn inbegrep också en särskild dialog om ämnet automatiserat beslutsfattande samt en bedömning av det senaste årets utveckling inom det amerikanska rättssystemet, vilket skulle kunna påverka hur skölden fungerar.
Skölden för skydd av privatlivet har tillämpats sedan den 1 augusti 2016. Eftersom detta är första året då skölden används, har fokus för kommissionens årliga översyn varit att kontrollera att alla de mekanismer och förfaranden som tillhandahålls inom sköldens ram – av vilka många är helt nya – fullständigt genomförts och fungerar på det sätt som föreskrivs i beslutet om adekvat skydd. Kommissionen har också lagt särskild vikt vid att kontrollera om och hur de olika amerikanska myndigheter som är involverade i ramens tillämpning har efterlevt sina utfästelser och åtaganden, både vad gäller administration och tillsyn av sköldens kommersiella aspekter och vad gäller myndigheternas tillgång till personuppgifter. Skiftet i den amerikanska administrationen i januari 2017 har gjort detta särskilt relevant.
Inför den årliga översynen insamlade kommissionen information och synpunkter om genomförandet av skölden för skydd av privatlivet och om hur den fungerar från de parter som berörs, närmare bestämt företag som certifierats enligt skölden genom sina respektive branschorganisationer, och icke-statliga organisationer som är verksamma inom området grundläggande rättigheter och i synnerhet digitala rättigheter och digital integritet. Kommissionen begärde och fick också skriftlig information från sådana amerikanska myndigheter som arbetade med tillämpningen av skölden. Denna information omfattade även relevanta dokument och annat material.
Den första årliga gemensamma översynen ägde rum den 18 och 19 september 2017 i Washington, DC. Mötet öppnades av Věra Jourová, kommissionsledamot med ansvar för rättsliga frågor, konsumentfrågor och jämställdhet, och USA:s handelsminister Wilbur Ross. För EU:s räkning genomfördes den årliga översynen av representanter för Europeiska kommissionens generaldirektorat för rättsliga frågor och konsumentfrågor. I EU:s delegation ingick också åtta representanter utsedda av artikel 29-arbetsgruppen, det rådgivande organet som sammanför medlemsstaternas nationella dataskyddsmyndigheter och Europeiska datatillsynsmannen.
På den amerikanska sidan deltog representanter från handelsministeriet, den federala konkurrensmyndigheten, transportministeriet, utrikesministeriet, den nationella underrättelsetjänsten och justitieministeriet i översynen, liksom den tillförordnade ombudsmannen, en medlem från styrelsen för tillsyn av personlig integritet och medborgerliga friheter (Privacy and Civil Liberties Oversight Board, PCLOB) samt kontoret för underrättelsegemenskapens generalinspektör, the Office of the Inspector General of the Intelligence Community. Representanter från organisationer som erbjuder oberoende tvistlösning inom ramen för skölden för skydd av privatlivet, den amerikanska skiljedomssammanslutningen (American Arbitration Association) i egenskap av administratör för sköldens skiljenämnd, samt vissa företag certifierade enligt skölden, bidrog dessutom med synpunkter under den årliga översynen.
Den årliga översynen bygger också på offentliga handlingar såsom domstolsbeslut, relevanta amerikanska myndigheters genomförandebestämmelser och förfaranden för genomförande, rapporter och studier från icke-statliga organisationer, öppenhetsrapporter från företag certifierade enligt skölden, tidningsartiklar och annan medierapportering.
2.RESULTAT, SLUTSATSER OCH REKOMMENDATIONER
Av den årliga översynen framgår att de amerikanska myndigheterna har inrättat de strukturer och förfaranden som krävs för att säkerställa att skölden för skydd av privatlivet fungerar korrekt. Certifieringsprocessen har på det hela taget hanterats på ett tillfredsställande sätt och över 2 400 företag har hittills certifierats. De amerikanska myndigheterna har inrättat en mekanism för att hantera klagomål och kontrollera efterlevnad samt förfaranden för att skydda enskilda personers rättigheter. Detta inbegriper även de nya ytterligare möjligheterna för EU:s medborgare att söka rättslig prövning, såsom skiljenämnden och ombudsmannamekanismen. När det gäller den sistnämnda, utsågs en tillförordnad ombudsman i samband med administrationsskiftet i januari 2017, men den permanenta ombudsmannen har ännu inte utsetts. Samarbetet med europeiska dataskyddsmyndigheter har intensifierats. Vad gäller myndigheters tillgång till personuppgifter för ändamål som rör nationell säkerhet, finns fortfarande relevanta skyddsåtgärder på den amerikanska sidan, i synnerhet sådana som bygger på den amerikanska presidentens policydirektiv 28 (nedan kallat PPD 28) utfärdat 2014, som innehåller begränsningar och garantier avseende de nationella säkerhetsmyndigheternas användning av personuppgifter, oavsett personens nationalitet. I detta sammanhang bör det också noteras att avsnitt 702 i den amerikanska lagen om underrättelseverksamhet och övervakning utomlands, Foreign Intelligence Surveillance Act (FISA), upphör att gälla den 31 december 2017 och att reformförslag just nu diskuteras i den amerikanska kongressen.
De detaljerade faktiska slutsatserna, om hur alla aspekter av skölden för skydd av privatlivet fungerar efter dess första år av tillämpning, presenteras i kommissionens arbetsdokument om den årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion (SWD(2017) 344 final), vilket åtföljer denna rapport.
Med utgångspunkt i dessa slutsatser har kommissionen kommit fram till att USA alltjämt säkerställer en adekvat skyddsnivå för personuppgifter som inom ramen för skölden för skydd av privatlivet överförs från unionen till olika organisationer i USA.
Samtidigt anser kommissionen att det praktiska genomförandet av skölden för skydd av privatlivet kan förbättras ytterligare för att säkerställa att dess garantier och skyddsåtgärder fortsätter att fungera enligt avsikterna.
Kommissionen avger därför följande rekommendationer:
2.1.Företag bör inte ha möjlighet att offentligt hänvisa till sin certifiering enligt skölden innan certifieringen slutförts av handelsministeriet
Under den årliga översynen framkom det att företag som ansökt om certifiering enligt skölden för skydd av privatlivet, men vars certifiering ännu inte slutförts av handelsministeriet, redan nu offentligt kan hänvisa till denna certifiering i sina regler för integritetsskydd. Följaktligen kan den information som är allmänt tillgänglig skilja sig från informationen i handelsministeriets förteckning över certifieringar enligt skölden, eftersom ett företag inte förs in i den förrän det certifierats. Avvikelser av detta slag skapar osäkerhet för EU:s medborgare och företag i EU då de vill överföra uppgifter till USA, samtidigt som det ökar risken för falska påståenden om deltagande och underminerar trovärdigheten för hela sköldens ram.
Därför rekommenderar kommissionen att företag inte bör tillåtas göra offentliga uttalanden om sin certifiering enligt skölden för skydd av privatlivet innan handelsministeriet har slutfört certifieringen och fört in företaget i förteckningen över certifieringar enligt skölden. Den information om certifieringsprocessen som handelsministeriet försett företagen med, däribland på webbplatsen för skölden för skydd av privatlivet, bör ändras för att förtydliga att företag inte offentligt får hänvisa till att de är anslutna till skölden innan de inkluderats i förteckningen över certifieringar enligt denna.
2.2.Föregripande och regelbunden eftersökning av handelsministeriet för att upptäcka falska påståenden
Kommissionen förordar att handelsministeriet föregripande och regelbundet eftersöker falska påståenden om anslutning till skölden. Detta gäller inte bara inom ramen för certifieringsprocessen, dvs. när det gäller företag som har påbörjat men inte fullbordat sin certifiering, och som trots detta hävdar att de är anslutna till skölden, utan också mer generellt när det gäller företag som aldrig har ansökt om certifiering men som låter påskina för allmänheten att de efterlever sköldens krav. Handelsministeriet bör i detta syfte vidta särskilda åtgärder, bland annat göra eftersökningar på internet. De lärdomar som dragits av sköldens föregångare, Safe Harbour-programmet, har visat att vilseledande metoder inte är ovanliga och att de kan underminera trovärdigheten och stabiliteten för systemet i sin helhet.
2.3.Pågående övervakning av handelsministeriet för att säkerställa att sköldens principer efterlevs
Kommissionen förordar att handelsministeriet regelbundet genomför efterlevnadskontroller. Kontrollerna kan till exempel ske genom att ett representativt urval av de certifierade företagen tillsänds ett frågeformulär för kontroll av efterlevnad på specifika teman (t.ex. vidare överföring, datalagring), eller genom att handelsministeriet systematiskt begär att få tillgång till de årliga efterlevnadsrapporterna (som kan bygga antingen på självbedömning eller på externa kontroller) från certifierade företag som ansöker om att bli certifierade på nytt. Handelsministeriet kan därefter använda de årliga efterlevnadsrapporterna för att identifiera eventuella efterlevnadsproblem som kan föranleda ytterligare uppföljningsåtgärder innan ett företag kan certifieras på nytt, eller mer systematiska brister som måste åtgärdas när det gäller sköldens funktion.
2.4.Öka medvetenheten
Kommissionen uppmuntrar både handelsministeriet och medlemsstaternas dataskyddsmyndigheter att fortsätta med de ansträngningar för ökad medvetenhet som påbörjats under det senaste året.
För att säkerställa ett mer effektivt skydd för EU:s medborgare skulle medlemsstaternas dataskyddsmyndigheter, i samarbete med kommissionen, kunna öka sina ansträngningar för att informera EU:s medborgare om hur de kan utöva sina rättigheter inom ramen för skölden, och i synnerhet hur de ska gå tillväga för att inge klagomål.
2.5 Förbättra samarbetet mellan tillsynsorgan
Kommissionen förordar att handelsministeriet och medlemsstaternas dataskyddsmyndigheter samarbetar, när så är relevant även med den federala konkurrensmyndigheten, för att ta fram riktlinjer för tolkningen av vissa begrepp i skölden, då dessa behöver förtydligas ytterligare. Det skulle i sin tur förbättra samarbetet mellan de myndigheter som genomför och verkställer skölden på båda sidor om Atlanten, leda till en mer samstämmig tolkning av reglerna för skölden och öka rättssäkerheten för företag.
Principen om ansvar för vidare överföring och definitionen av personaluppgifter är exempel på begrepp som under den första årliga översynen lyfts fram, eftersom det vore bra om de kunde förtydligas.
2.6 Studie om automatiserat beslutsfattande
För att kunna dra mer detaljerade slutsatser när det gäller automatiserat beslutsfattande, även i ljuset av nästa årliga översyn, kommer kommissionen att beställa en studie för att samla in konkreta bevis och ytterligare bedöma relevansen för automatiserat beslutsfattande för överföringar som utförs med utgångspunkt i skölden för skydd av privatlivet.
2.7 Införliva det skydd som säkerställs genom PPD 28 i Foreign Intelligence Surveillance Act
Den kommande debatten om avsnitt 702 godkännande av Foreign Intelligence Surveillance Act (FISA) ger Förenta staternas administration och kongress med ett unikt tillfälle för att stärka integritetsskyddet i FISA. I detta sammanhang hoppas kommissionen att kongressen kommer att positivt överväga att det skydd som erbjuds genom PPD 28 när det gäller icke-amerikanska personer i FISA, i syfte att säkerställa stabilitet och kontinuitet i detta skydd. Eventuella ytterligare reformer, både i fråga om materiella begränsningar och i fråga om rättssäkerhetsgarantier, bör genomföras i samma anda som PPD 28 och alltså ge skydd utan begränsningar för nationalitet eller bosättningsland.
2.8 Snabbt tillsättande av ombudsman för skölden för skydd av privatlivet
Kommissionen uppmanar den amerikanska administrationen att bekräfta sitt politiska åtagande gentemot ombudsmannamekanismen som en viktig del i arbetet med skölden för skydd av privatlivet i dess helhet, genom att snarast tillsätta ombudsmannaposten permanent.
2.9 Snabbt tillsättande av styrelsemedlemmar till PCLOB och offentliggörande av PCLOB:s rapport om PPD 28
I egenskap av oberoende organ inom den verkställande makten har PCLOB en viktig funktion för att värna om integritet och medborgerliga friheter när det gäller förfaranden för terrorismbekämpning och genomförandet av dessa. Kommissionen förordar att den amerikanska administrationen snarast tillsätter de styrelsemedlemmar som saknas i PCLOB för att ge PCLOB möjlighet att fullgöra alla aspekter av denna funktion.
Med tanke på hur betydelsefull PPD 28 är avseende begränsningar och skyddsåtgärder tillämpliga på myndigheters tillgång till signalunderrättelsetjänst, och därmed för kommissionens periodiska översyn av sin bedömning av hur adekvat skyddsnivån är, uppmanar kommissionen den amerikanska administrationen att offentliggöra PCLOB:s rapport om genomförandet av PPD 28.
2.10 En mer läglig och omfattande rapportering av amerikanska myndigheter om relevant utveckling
Kommissionen förordar att de amerikanska myndigheterna arbetar föregripande för att fullgöra sitt åtagande att tillhandahålla läglig och omfattande information till kommissionen om all utveckling som kan ha betydelse för skölden för skydd av privatlivet, inbegripet sådan utveckling som sannolikt kommer att ge upphov till frågeställningar om det skydd skölden erbjuder.
-
(1)
Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna, EUT L 207, 1.8.2016, s.1.
-
(2)
Domstolens dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems/Data Protection Commissioner (”Schrems”).