EUROPEISKA KOMMISSIONEN
Bryssel den 23.10.2019
COM(2019) 495 final
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om den tredje årliga översynen av skölden för skydd av privatlivet i EU och USA
{SWD(2019) 390 final}
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
You are here
Document 52019DC0495
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the third annual review of the functioning of the EU-U.S. Privacy Shield
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den tredje årliga översynen av skölden för skydd av privatlivet i EU och USA
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den tredje årliga översynen av skölden för skydd av privatlivet i EU och USA
COM/2019/495 final
Language
HTML
DOC
PDF
1.DEN TREDJE ÅRLIGA ÖVERSYNEN – BAKGRUND, FÖRBEREDELSER OCH FÖRFARANDE
Den 12 juli 2016 antog kommissionen ett beslut (nedan kallat beslutet om adekvat skydd) i vilket det konstaterades att skölden för skydd av privatlivet i EU och USA säkerställer en adekvat skyddsnivå för personuppgifter som har överförts från EU till organisationer i USA. 1 Enligt beslutet om adekvat skydd ska kommissionen genomföra en årlig översyn för att utvärdera alla aspekter av hur skölden fungerar och på grundval av översynen utarbeta en offentlig rapport till Europaparlamentet och rådet.
Den första årliga översynen ägde rum i september 2017 i Washington, D.C. I oktober 2017 antog kommissionen sin rapport till Europaparlamentet och rådet 2 , som åtföljdes av ett arbetsdokument från kommissionens avdelningar (SWD(2017) 344 final). 3 Kommissionen drog slutsatsen att USA alltjämt säkerställer en adekvat skyddsnivå för personuppgifter som inom ramen för skölden för skydd av privatlivet överförs från EU till USA, men formulerade tio rekommendationer för att förbättra sköldens praktiska funktion.
Den andra årliga översynen ägde rum i oktober 2018 i Bryssel och kommissionen antog sin rapport till Europaparlamentet och rådet i december 2018. 4 Även denna åtföljdes av ett arbetsdokument från kommissionens avdelningar (SWD(2018) 487 final). 5 Den information som samlades in i samband med den andra årliga översynen bekräftade kommissionens slutsatser i beslutet om adekvat skydd, både när det gäller de kommersiella aspekterna av skölden (dvs. aspekter som rör certifierade företags efterlevnad av kraven, liksom de behöriga amerikanska myndigheternas förvaltning, tillsyn och verkställighet av dessa krav) och när det gäller aspekter som rör de offentliga myndigheternas tillgång till personuppgifter som överförts inom ramen för skölden för skydd av privatlivet.
I synnerhet hade de åtgärder som vidtagits för att följa kommissionens rekommendationer efter den första årliga översynen förbättrat sköldens funktion på flera olika sätt i praktiken. Exempelvis hade handelsministeriet infört nya mekanismer för att upptäcka potentiella efterlevnadsproblem, den federala konkurrensmyndigheten hade infört nya och mer proaktiva tillvägagångssätt för övervakning av efterlevnaden och verkställigheten, och rapporten från styrelsen för tillsyn av personlig integritet och medborgerliga friheter (Privacy and Civil Liberties Oversight Board) om genomförandet av presidentens policydirektiv 28 6 hade offentliggjorts. Eftersom en del av dessa åtgärder vidtogs strax innan den andra årliga översynen och vissa processer då fortfarande pågick, drog kommissionen slutsatsen att den vidare utvecklingen av dessa förfaranden och mekanismer måste övervakas noggrant.
Även om funktionen som ombudsman för skölden för skydd av privatlivet innehades av den ställföreträdande statssekreteraren i utrikesministeriet och ombudsmannamekanismen därför fungerade som den skulle, underströk kommissionen vikten av att tillsätta posten permanent och uppmanade särskilt den amerikanska regeringen att utse en permanent ombudsman för skölden för skydd av privatlivet senast den 28 februari 2019.
Mötet om den tredje årliga översynen ägde rum i Washington, D.C. den 12 och 13 september 2019. Mötet öppnades av Tiina Astola, generaldirektör för rättsliga frågor och konsumentfrågor, Wilbur Ross, USA:s handelsminister, Joseph Simons, ordförande för USA:s federala konkurrensmyndighet och Ventsislav Karadjov, vice ordförande för Europeiska dataskyddsstyrelsen. Det genomfördes för EU:s räkning av företrädare för Europeiska kommissionens generaldirektorat för rättsliga frågor och konsumentfrågor. Vid mötet deltog också åtta företrädare utsedda av Europeiska dataskyddsstyrelsen 7 .
På USA:s vägnar deltog företrädare för handelsministeriet, utrikesministeriet, den federala konkurrensmyndigheten, transportministeriet, den nationella underrättelsetjänsten, justitieministeriet och medlemmar i styrelsen för tillsyn av personlig integritet och medborgerliga friheter i översynsmötet, samt den nyligen tillsatta ombudsmannen (som nu är permanent tillsatt, se nedan) och generalinspektören för kontoret för underrättelsegemenskapen. Företrädare från två organisationer som erbjuder oberoende tvistlösningstjänster inom ramen för skölden samt den amerikanska skiljedomssammanslutningen (American Arbitration Association), som är administratör för skiljenämnden för skölden för skydd av privatlivet, tillhandahöll dessutom information under de relevanta översynssammanträdena. Slutligen informerades översynsdeltagarna också genom presentationer från organisationer som certifierats enligt skölden för skydd av privatlivet om vilka åtgärder företagen vidtar för att uppfylla sköldens krav.
Som en förberedelse för den tredje årliga översynen samlade kommissionen information från berörda parter (i synnerhet företag som certifierats enligt skölden för skydd av privatlivet genom sina respektive branschorganisationer, och icke-statliga organisationer som är verksamma inom området grundläggande rättigheter, och särskilt digitala rättigheter och digital integritet). Utöver insamlingen av skriftlig information hade kommissionen också möten med näringslivs- och företagsorganisationer den 9 september 2019 och med icke-statliga organisationer den 11 september 2019.
Kommissionens slutsatser bygger också på offentligt tillgängligt material, t.ex. domstolsbeslut, relevanta amerikanska myndigheters genomförandebestämmelser och genomförandeförfaranden, rapporter och studier från icke-statliga organisationer, insynsrapporter från företag som certifierats enligt skölden för skydd av privatlivet, årsrapporter från oberoende instanser för handläggning av klagomål samt medierapporter.
Den föreliggande rapporten sammanfattar den tredje årliga översynen av skölden för skydd av privatlivet och dess funktion. Denna rapport, såväl som det åtföljande arbetsdokumentet (SWD(2019) 390 final), följer samma struktur som rapporterna om de två föregående årliga översynerna. Den omfattar alla aspekter av hur skölden för skydd av privatlivet fungerar med särskilt fokus på de delar som kommissionen vid den andra årliga översynen konstaterade krävde noggrann övervakning.
Under sin bedömning tog kommissionen också hänsyn till vidareutvecklingen under det senaste året, bland annat gällande den rättstvist som pågår vid EU-domstolen gällande skölden för skydd av privatlivet. 8 I detta avseende gav översynen kommissionen ett tillfälle att få klargöranden från de amerikanska myndigheterna gällande specifika aspekter av den amerikanska rättsliga ramen kring insamling av utländska underrättelseuppgifter, en fråga som väckts i samband med det så kallade Schrems II-målet. När domstolen har fattat beslut i de pågående rättstvisterna kan kommissionen dock komma att ompröva sin bedömning av situationen.
2.RESULTAT
Under det tredje året av tillämpning har skölden för skydd av privatlivet gått från sin inledande fas till en mer operativ verksamhet. Vid tidpunkten för mötet om den årliga översynen hade skölden över 5 000 anslutna företag. Den tredje årliga översynen omfattade både de kommersiella aspekterna och frågor som rör statlig tillgång till personuppgifter. Översynens fokus lades på de erfarenheter och lärdomar som kunnat dras av den praktiska tillämpningen.
De detaljerade slutsatserna om hur alla aspekter av skölden för skydd av privatlivet fungerar efter dess tredje år av tillämpning presenteras i arbetsdokumentet från kommissionens avdelningar om den tredje översynen av skölden för skydd av privatlivet i EU och USA och dess funktion (SWD(2019)390 final), vilket åtföljer denna rapport.
2.1.Kommersiella aspekter
Mot bakgrund av slutsatserna från förra årets årliga översyn inriktade kommissionen sin bedömning av de kommersiella aspekterna främst på de framsteg som gjorts av handelsministeriet gällande i) återcertifieringsprocessen, ii) effektiviteten hos de mekanismer som införts av handelsministeriet för att proaktivt övervaka certifierade företags efterlevnad av principerna (stickprovskontroller), iii) de verktyg som införts för att upptäcka falska påståenden, iv) framsteg och resultat av den federala konkurrensmyndighetens verkställighetsåtgärder gällande överträdelser av principerna för skölden för skydd av privatlivet och v) utvecklingen i samband med vägledning gällande personaluppgifter.
När det gäller återcertifieringsprocessen framkom det vid den tredje årliga översynen att handelsministeriet genom ett internt förfarande rutinmässigt beviljar företag som vid utgången av (åter)certifieringsperioden ännu inte har slutfört återcertifieringsprocessen en extra tidsfrist av betydande längd. Under denna period (på omkring 3,5 månader eller ännu längre i vissa fall och beroende på när handelsministeriet upptäcker att återcertifieringsprocessen inte har slutförts) ligger företaget kvar som aktivt på förteckningen över organisationer som anslutit sig till skölden för skydd av privatlivet. Så länge ett företag är förtecknat som anslutet till skölden för skydd av privatlivet är de krav som skölden ställer bindande och fullständigt verkställbara. Men att låta företag ligga kvar som aktiva på förteckningen över organisationer som anslutit sig till skölden under en så lång tid efter att tidsfristen för återcertifiering löpt ut minskar förteckningens transparens och läsbarhet för både företag och individer i EU. Det ger heller inte något incitament till anslutna företag att vara noga med att följa kravet om årlig återcertifiering.
När det gäller den proaktiva övervakningen av företagens efterlevnad av de krav som ställs under skölden för skydd av privatlivet, införde handelsministeriet i april 2019 ett system enligt vilket 30 företag kontrolleras varje månad. Kommissionen välkomnar att handelsministeriet regelbundet och systematiskt utför proaktiva stickprovskontroller av efterlevnaden, då detta är mycket viktigt för att förbättra den allmänna efterlevnaden av skölden och för att upptäcka fall som kräver verkställighetsåtgärder från den federala konkurrensmyndighetens sida. Kommissionen noterar dock att dessa stickprovskontroller tenderar att begränsas till formaliteter, som uteblivna svar från de särskilda kontaktpunkterna eller att företagets integritetsskyddspolicy inte finns tillgänglig online. Detta är visserligen relevanta aspekter av efterlevnaden av principerna för skölden för skydd av privatlivet, men kontrollerna bör också omfatta materiella krav, exempelvis efterlevnad av principen om ansvar för vidare överföring, för att helt dra nytta av de verktyg som handelsministeriet har att tillgå inom ramen för skölden. Kraven i samband med vidare överföring har skärpts avsevärt inom skölden för skydd av privatlivet, eftersom ett bristande skydd i dessa situationer skulle undergräva det skydd som skölden ska garantera. Stickprovskontrollerna bör även i fortsättningen genomföras regelbundet och systematiskt, men efterlevnaden av de mer materiella kraven är också mycket viktiga för att upprätthålla skölden för skydd av privatlivet och bör vara föremål för noggrann tillsyn och verkställighetsåtgärder från de amerikanska myndigheternas sida.
När det gäller handelsministeriets sökande efter falska påståenden om anslutning till skölden för skydd av privatlivet konstaterade kommissionen att handelsministeriet fortsatt att genomföra kvartalsvisa granskningar, vilket lett till upptäckt av ett betydande antal falska påståenden. En del av dessa har också hänvisats som ärenden till den federala konkurrensmyndigheten. Sökandet har dock hittills varit inriktat på företag som på något sätt redan varit certifierade eller ansökt om certifiering enligt skölden för skydd av privatlivet (men som t.ex. inte återcertifierats). Det är viktigt att också rikta in sig på företag som aldrig ansökt om certifiering enligt skölden. Av alla falska påståenden är det de falska påståendena från företag som aldrig ansökt om certifiering som har högst skadepotential. Detta gäller inte minst i fråga om individens privatliv, eftersom företag som aldrig ansökt om certifiering inte har genomfört någon av de skyddsåtgärder som garanteras av skölden för skydd av privatlivet i sina affärsmetoder. Det gäller även ur ett företagsperspektiv, eftersom strävan efter lika villkor för företagen försvagas om organisationer som inte följer sköldens regler ändå kan åberopa de fördelar som en certifiering innebär.
Kommissionen konstaterar med tillfredsställelse att allt fler registrerade i EU utövar sina rättigheter enligt skölden för skydd av privatlivet och att de relevanta prövningsmekanismerna fungerar tillfredsställande. Antalet klagomål som lämnats till oberoende instanser för handläggning av klagomål har ökat och lösts till de berörda EU-medborgarnas belåtenhet. Förfrågningar från enskilda personer i EU hanterades dessutom korrekt av de anslutna företagen.
När det gäller verkställighet konstaterade kommissionen att den federala konkurrensmyndigheten sedan förra året avslutat sju verkställighetsåtgärder i samband med överträdelser av principerna för skölden för skydd av privatlivet, bland annat till följd av de annonserade samordnade tillsynsåtgärderna. Alla sju ärendena gällde falska påståenden om anslutning till skölden för skydd av privatlivet. Två av dessa ärenden gällde även överträdelser av mer materiella krav inom ramen för skölden för skydd av privatlivet, som underlåtenhet att genom en egenkontroll eller en extern granskning kontrollera att de utfästelser företaget gör angående sina rutiner inom ramen för skölden är sanningsenliga och att dessa rutiner också används. Kommissionen välkomnar de verkställighetsåtgärder som den federala konkurrensmyndigheten vidtagit under det tredje året av tillämpning av skölden för skydd av privatlivet. Samtidigt hade kommissionen, mot bakgrund av de anmälningar myndigheten gjorde förra året och de försäkringar som getts under den andra årliga översynen, förväntat sig ett kraftfullare tillvägagångssätt i samband med verkställighetsåtgärder mot materiella överträdelser av principerna för skölden för skydd av privatlivet.
I det sammanhanget har kommissionen noterat den förklaring som lämnats under den tredje årliga översynen om att ett antal pågående utredningar drar ut på tiden, eftersom den federala konkurrensmyndigheten undersöker hela spektrumet av möjliga överträdelser. Den information som lämnats av den federala konkurrensmyndigheten var dock för knapphändig för att man på ett korrekt sätt ska kunna bedöma framstegen i fråga om verkställighet. Sådan information kan visserligen vara begränsad av legitima sekretesskrav, men det framstår inte som motiverat att de federala konkurrensmyndigheten inte kan dela med sig av mer information om de samordnade tillsynsåtgärder som genomförs, ens i sammanställd och anonymiserad form. Detta tillvägagångssätt stämmer inte överens med den anda av myndighetssamarbete som ligger till grund för skölden för skydd av privatlivet, och den federala konkurrensmyndigheten bör hitta ett sätt att dela med sig av meningsfull information om dessa verkställighetsåtgärder till kommissionen och till EU:s dataskyddsmyndigheter som är medansvariga för verkställandet av principerna för skölden för skydd av privatlivet.
Frågan om hur personaluppgifter hanteras inom ramen för skölden för skydd av privatlivet diskuterades återigen under översynen. Som berörda parter har bekräftat skulle utarbetandet av en gemensam vägledning från handelsministeriet, den federala konkurrensmyndigheten och EU:s dataskyddsmyndigheter vara mycket värdefull. I detta avseende konstaterar kommissionen att kontakter nyligen tagits, vilket lett till en ökad förståelse av dessa frågor, men att det än så länge inte gett några konkreta resultat.
2.2.Amerikanska myndigheters tillgång till och användning av personuppgifter
När det gäller aspekter rörande amerikanska myndigheters tillgång till och användning av personuppgifter, fokuserade den tredje årliga översynen i första hand på att bekräfta att alla begränsningar och garantier som beslutet om adekvat skydd vilar på kvarstår. Dessutom utgjorde den tredje årliga översynen ett tillfälle att se på ny utveckling och ytterligare klargöra vissa aspekter av den rättsliga ramen, liksom de olika tillsyns- och prövningsmekanismerna, särskilt i samband med ombudsmannens handläggning och lösning av klagomål.
Ingen ny rättslig utveckling hade skett gällande insamling av utländska underrättelseuppgifter enligt avsnitt 702 i den amerikanska lagen om underrättelseverksamhet och övervakning utomlands (Foreign Intelligence Surveillance Act), men kommissionen välkomnade de klargöranden som de amerikanska myndigheterna fått angående hur insamling av underrättelseuppgifter målinriktas inom ramen för de underrättelseprogram som drivs enligt avsnitt 702 i Foreign Intelligence Surveillance Act (dvs. Prism och Upstream). Dessa klargöranden bekräftade kommissionens slutsatser i beslutet om adekvat skydd att insamlingen av utländska underrättelseuppgifter enligt avsnitt 702 i Foreign Intelligence Surveillance Act målinriktas med hjälp av urvalsfaktorer och att valet av urvalsfaktorer styrs av lagen och är föremål för oberoende rättslig tillsyn.
Kommissionen konstaterade också att en del av tillstånden att samla in utländska underrättelseuppgifter enligt avsnitt 501 i Foreign Intelligence Surveillance Act, i dess lydelse enligt USA Freedom Act från 2015, kommer att löpa ut den 15 december 2019. Eftersom insamling av uppgifter enligt avsnitt 501 i Foreign Intelligence Surveillance Act har relevans för skölden för skydd av privatlivet och därför har bedömts i kommissionens beslut om adekvat skydd, är det viktigt att de nuvarande begränsningarna och garantierna, som förbudet mot bulkinsamling, kvarstår i händelse av att tillstånden förnyas.
När det gäller presidentens policydirektiv 28 har de amerikanska myndigheterna uttryckligen bekräftat att det fortfarande gäller fullt ut och inte har blivit föremål för några ändringar. Inga ändringar har heller gjorts av förfarandena för tillämpning av presidentens policydirektiv 28 inom de olika myndigheterna i USA:s underrättelsegemenskap. Kommissionen har också noterat de förklaringar som lämnats av de amerikanska myndigheterna, som klargör att bestämmelserna om bulkinsamling i presidentens policydirektiv 28, inbegripet om tillfälligt inhämtande, inte gäller insamling av utländska underrättelseuppgifter inom USA (exempelvis insamling av information från ett certifierat företag som behandlar uppgifter som överförts från EU inom ramen för skölden för skydd av privatlivet), såsom insamling som utförs enligt avsnitt 702 i Foreign Intelligence Surveillance Act under något av programmen Prism eller Upstream, eftersom denna insamling alltid är riktad.
När det gäller styrelsen för tillsyn av personlig integritet och medborgerliga friheter, ett viktigt tillsynsorgan inom den statliga övervakningen, välkomnade kommissionen att styrelsen i och med utnämningen av ytterligare två styrelseledamöter nu för första gången sedan 2016 har fem ledamöter och därmed är fulltalig. Kommissionen noterade också att styrelsens personal fördubblats sedan den förra årliga översynen, och att den antagit ett ambitiöst arbetsprogram bestående av tio pågående tillsynsprojekt, varav vissa är särskilt relevanta för kommissionens regelbundna översyn av skölden för skydd av privatlivet.
När det gäller sköldens ombudsmannamekanism meddelade USA:s president den 18 januari 2019 att Keith Krach nominerats till statssekreterare med funktionen som ombudsman. Den 20 juni 2019 bekräftade senaten utnämningen av Keith Krach. Kommissionen välkomnade utnämningen av Keith Krach till ombudsman för skölden för skydd av privatlivet, vilken säkerställer att posten är permanent tillsatt.
Beträffande det första klagomålet som lämnades till ombudsmannen via den kroatiska dataskyddsmyndigheten strax före den förra årliga översynen, avslogs detta eftersom det gäller händelser som skedde innan beslutet om skölden för skydd av privatlivet hade antagits. Klagomålet innebar dock ett tillfälle att pröva hur de relevanta förfarandena fungerar i praktiken. Såväl Europeiska dataskyddsstyrelsens företrädare vid den årliga översynen som ombudsmannen bekräftade att alla relevanta steg i förfarandet hade inletts och slutförts på ett tillfredsställande sätt. Kommissionen välkomnar handläggandet av detta första ärende som en viktig indikation på att ombudsmannamekanismen klarar att utföra sina funktioner.
De amerikanska myndigheterna tillhandahöll också ytterligare information om hur ombudsmannen skulle samarbeta med andra oberoende tillsynsorgan och hur ombudsmannen skulle åtgärda överträdelser. De bekräftade bland annat att den oberoende generalinspektören för underrättelsegemenskapen systematiskt kommer att informeras om klagomål som lämnas till ombudsmannen och göra egna bedömningar av dessa. De amerikanska myndigheterna förklarade också att om ett klagomål till ombudsmannen skulle visa på en överträdelse av de förfaranden för målinriktning som avses i avsnitt 702 i Foreign Intelligence Surveillance Act kommer överträdelsen att rapporteras till Foreign Intelligence Surveillance Court, som då gör en oberoende granskning och vid behov anmodar den relevanta underrättelsebyrån att vidta avhjälpande åtgärder. Dessa avhjälpande åtgärder kan vara på individnivå eller strukturell nivå, dvs. allt från radering av olagligt insamlade uppgifter till förändringar av insamlingsrutinerna, inbegripet vägledning och utbildning av personal.
Slutligen bekräftades att i det fall överträdelser av amerikansk lagstiftning (inbegripet överträdelser av dekret, presidentdirektiv eller regler och förfaranden för underrättelsetjänsterna, som t.ex. förfaranden för målinriktning och minimering som godkänts av Foreign Intelligence Surveillance Court) skulle uppdagas under granskningen av ett klagomål till ombudsmannen, kommer de olagligt insamlade uppgifterna att tas bort ur alla statliga databaser och alla hänvisningar till dessa uppgifter tas bort från underrättelserapporter. Alla enskilda personer i EU kommer alltså att kunna få sina personuppgifter raderade om de insamlats på ett olagligt sätt och behandlats i USA.
Kommissionen välkomnar dessa ytterligare förklaringar, som visar hur samarbetet mellan de olika oberoende tillsynsorganen stärker ombudsmannamekanismens ändamålsenlighet. Det var också viktigt att klargöra att enskilda personer i EU genom att använda sig av ombudsmannamekanismen faktiskt kan utöva sin rätt att få uppgifter raderade, vilket är en grundläggande del av rätten till skydd av personuppgifter.
3.SLUTSATS
Den information som samlats in i samband med den tredje årliga översynen bekräftar kommissionens slutsatser i beslutet om adekvat skydd, både när det gäller de kommersiella aspekterna och de aspekter som gäller tillgång till personuppgifter som överförts inom ramen för skölden för skydd av privatlivet av myndigheterna. I detta avseende noterade kommissionen en rad förbättringar av hur skölden fungerar liksom utnämningar till centrala tillsynsorgan.
Mot bakgrund av att en del frågor väckts under det dagliga arbetet eller blivit mer relevanta i samband med det praktiska genomförandet av skölden för skydd av privatlivet, drar kommissionen slutsatsen att det krävs ett antal konkreta åtgärder för att se till att skölden fungerar effektivt i praktiken.
1.Handelsministeriet bör korta de olika tidsfrister som beviljas företagen för att genomföra processen för återcertifiering. En tidsfrist på sammanlagt högst 30 dagar verkar rimligt för att ge företagen tillräckligt med tid för återcertifieringen, och bland annat rätta till problem som identifierats under återcertifieringsprocessen, samtidigt som detta skulle säkerställa att processen är effektiv. Om återcertifieringen inte är slutförd vid tidsfristens utgång bör handelsministeriet skicka ut ett varningsbrev utan dröjsmål.
2.I samband med stickprovskontrollerna bör handelsministeriet utvärdera företagens efterlevnad av principen om ansvar för vidare överföring, bland annat genom att använda sig av den möjlighet som skölden för skydd av privatlivet ger att begära in en sammanfattning eller en representativ kopia av de relevanta integritetsskyddsbestämmelserna gällande vidare överföring i kontrakt som ingåtts av ett företag som certifierats enligt skölden.
3.Handelsministeriet bör prioritera att utveckla verktyg för upptäckt av falska påståenden om anslutning till skölden för skydd av privatlivet från företag som aldrig har ansökt om certifiering, och använda dessa verktyg på ett regelbundet och systematiskt sätt.
4.Den federala konkurrensmyndigheten bör prioritera att hitta sätt att dela meningsfull information om pågående utredningar med kommissionen och med EU:s dataskyddsmyndigheter som också har ansvar för verkställandet av principerna för skölden för skydd av privatlivet.
5.EU:s dataskyddsmyndigheter, handelsministeriet och den federala konkurrensmyndigheten bör under de närmaste månaderna utarbeta en gemensam vägledning gällande definition och behandling av personaluppgifter.
Kommissionen kommer att fortsätta att nära övervaka den framtida utvecklingen gällande specifika delar av skölden för skydd av privatlivet, särskilt i) hur ombudsmannamekanismen fungerar, framför allt i samband med nya klagomål; ii) resultatet av de pågående tillsynsprojekt som har inletts av styrelsen för tillsyn av personlig integritet och medborgerliga friheter och som är särskilt relevanta för skölden för skydd av privatlivet (t.ex. gällande sökning av uppgifter som inhämtats av FBI enligt avsnitt 702 i Foreign Intelligence Surveillance Act, genomförandet av styrelsens rekommendationer gällande presidentens policydirektiv 28 osv.); iii) förnyelse av tillstånden enligt avsnitt 501 i Foreign Intelligence Surveillance Act, särskilt att de befintliga skyddsåtgärderna kvarstår; och iv) utvecklingen av USA:s rättspraxis gällande rättslig prövning på området statlig övervakning, särskilt i fråga om att vända sig till domstol.
Slutligen kommer kommissionen också att noga följa den pågående debatten om federal lagstiftning för skydd av privatlivet i USA. En övergripande strategi när det gäller skydd av privatlivet och personuppgifter skulle öka samstämmigheten mellan EU:s och USA:s system och det skulle stärka den grund på vilken skölden för skydd av privatlivet har utvecklats.
-
(1)
Kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna, EUT L 207, 1.8.2016, s. 1.
-
(2)
Rapport från kommissionen till Europaparlamentet och rådet om den första årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion (COM(2017) 611 final), se https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:52017DC061
-
(3)
Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the first annual review of the functioning of the EU-U.S. Privacy Shield (SWD(2017) 344 final) (ej översatt till svenska), se http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619
-
(4)
Rapport från kommissionen till Europaparlamentet och rådet om den andra årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion (COM(2018) 860 final), se https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:52018DC0860
-
(5)
Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the second annual review of the functioning of the EU-U.S. Privacy Shield (SWD(2018) 497 final) (ej översatt till svenska), se https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
-
(6)
Presidential Policy Directive 28: Signals Intelligence Activities, av den 17 januari 2014, innehåller viktiga begränsningar och skyddsåtgärder för icke-amerikanska personer när det gäller insamling av signalspaningsuppgifter.
-
(7)
Det oberoende organ som sammanför företrädare för EU-medlemsstaternas nationella dataskyddsmyndigheter och Europeiska datatillsynsmannen.
-
(8)
Se mål T-738/16, La Quadrature du Net/kommissionen. Frågor om skölden för skydd av privatlivet har också väckts i samband med mål C-311/18, Data Protection Commissioner mot Facebook Ireland, Maximilian Schrems (kallat Schrems II-målet), i vilket en utfrågning ägde rum inför domstolens stora avdelning den 9 juli 2019.