Dataoverføring EU-USA: gjenoppretting av tillit
Meddelelse fra Kommisjonen til Europaparlamentet og Rådet. Transatlantisk dataoverføring: gjenoppretting av tillit gjennom sterke vern
Communication from the Commission to the European Parliament and the Council. Transatlantic Data Flows: Restoring Trust through Strong Safeguards
Svensk departementsnotat offentliggjort 4.4.2016
I etterkant av avsløringene om overvåking ved datautveksling mellom EU og USA og EU-domstolens opphevelse av den såkalte 'safe harbour'-beslutningen, har Kommisjonen lagt fram en melding og et konkret forslag til ny lovgivning. Formålet er å gjenoppbygge tilliten ved lage en juridisk ramme for overføring av data som tilfredsstiller næringslivets behov samtidig som hensynet til personvern ivaretas.
Nærmere omtale
BAKGRUNN (fra Kommisjonens pressemelding 29.2.2016, dansk utgave)
Genopbygning af tilliden til de transatlantiske datastrømme gennem strenge sikkerhedsforanstaltninger: Europa-Kommissionen fremlægger EU's og USA's værn om privatlivets fred
Europa-Kommissionen fremlægger i dag en lovgivningspakke om oprettelse af EU's og USA's værn om privatlivets fred.
Europa-Kommissionen fremlægger i dag en lovgivningspakke om oprettelse af EU's og USA's værn om privatlivets fred sammen med en meddelelse om tiltag for at genopbygge tilliden til de transatlantiske datastrømme siden afsløringerne af overvågning i 2013. I overensstemmelse med kommissionsformand Jean-Claude Junckers politiske retningslinjer har Kommissionen 1) lagt sidste hånd på reformen af EU's databeskyttelsesregler, som gælder for alle virksomheder, der leverer tjenesteydelser på EU-markedet, 2) forhandlet om en paraplyaftale mellem EU og USA, der sikrer høje beskyttelsesstandarder for dataoverførsler over Atlanten af hensyn til retshåndhævelsen og 3) opnået en ny og solid ramme for erhvervsmæssig dataudveksling: EU's og USA's værn om privatlivets fred.
I dag offentliggør Kommissionen desuden sit udkast til "afgørelse om et tilstrækkeligt beskyttelsesniveau" og de lovtekster, der indgår i EU's og USA's værn om privatlivets fred. Det omfatter de principper til værn om privatlivets fred, som virksomhederne skal overholde, og den amerikanske regerings skriftlige tilsagn (der skal offentliggøres i det amerikanske Federal Register) om håndhævelsen af ordningen, herunder garantier om sikkerhedsforanstaltninger og begrænsninger vedrørende offentlige myndigheders adgang til data.
Næstformand Andrus Ansip udtaler: "Vi har nu taget fat på at gøre EU's og USA's værn om privatlivets fred til virkelighed. På begge sider af Atlanten arbejdes der på at sørge for, at borgernes personoplysninger beskyttes fuldt ud, og at vi står godt rustet til at udnytte mulighederne i den digitale tidsalder. Det er virksomhederne, der kommer til at anvende rammen, og vi er nu dagligt i kontakt med vore amerikanske partnere for at sikre, at forberedelserne forløber bedst muligt. Vi vil fortsætte vores indsats i EU og globalt for at styrke tilliden til internettet. Tillid er en absolut nødvendighed, det er livsnerven i vores digitale fremtid."
Kommissær Věra Jourová udtaler: "Beskyttelse af personoplysninger har høj prioritet for mig, både i EU og internationalt. EU's og USA's værn om privatlivets fred udgør en solid ny ramme, der bygger på konsekvent håndhævelse og overvågning, på bedre klagemuligheder for enkeltpersoner og for første gang på skriftlige garantier fra vores amerikanske partnere om begrænsninger og sikkerhedsforanstaltninger vedrørende offentlige myndigheders adgang til data af hensyn til den nationale sikkerhed. Nu, da præsident Obama har undertegnet loven om domstolsprøvelse (Judicial Redress Act), der giver EU-borgere mulighed for at håndhæve deres databeskyttelsesrettigheder ved amerikanske domstole, vil vi desuden snart fremsætte forslag om at undertegne paraplyaftalen mellem EU og USA om sikkerhedsforanstaltninger vedrørende overførsel af data af hensyn til retshåndhævelsen. Disse solide sikkerhedsforanstaltninger gør det muligt for Europa og USA at genopbygge tilliden til de transatlantiske datastrømme."
Når Kommissionens afgørelse om et tilstrækkeligt beskyttelsesniveau er vedtaget, indebærer den, at de beskyttelsesforanstaltninger, der træffes i forbindelse med videregivelse af data inden for rammerne af EU's og USA's nye værn om privatlivets fred, svarer til EU's databeskyttelsesstandarder. Den nye ramme afspejler kravene i EU-Domstolens dom af 6. oktober 2015. De amerikanske myndigheder har givet solide tilsagn om, at værnet om privatlivets fred vil blive håndhævet konsekvent, og har garanteret, at de nationale myndigheder ikke vil iværksætte vilkårlig overvågning eller masseovervågning.
Dette sikres gennem:
- Mere bindende forpligtelser for virksomhederne og konsekvent håndhævelse: Den nye ordning vil være gennemsigtig og indeholde effektive overvågningsmekanismer, der sikrer, at virksomhederne overholder deres forpligtelser, herunder sanktioner og udelukkelse, hvis de undlader at gøre det. De nye regler indeholder også strengere betingelser for de deltagende virksomheders videregivelse af data til andre partnere.
- Klare beskyttelses- og gennemsigtighedskrav for den amerikanske stats adgang: For første gang har den amerikanske regering, dvs. Det Hvide Hus' direktør for nationale efterretninger, givet EU skriftlig garanti for, at den adgang til data, som de offentlige myndigheder har af hensyn til den nationale sikkerhed, vil blive underlagt klare begrænsninger, beskyttelsesforanstaltninger og tilsynsordninger. Derved forhindres en generel adgang til oplysningerne. Den amerikanske udenrigsminister, John Kerry, har givet tilsagn om, at der vil blive oprettet en klageadgang for EU-borgere på området nationale efterretninger i form af en ombudsmandsmekanisme i det amerikanske udenrigsministerium. Ombudsmanden vil være uafhængig af statslige sikkerhedstjenester. Ombudsmanden følger op på klager og forespørgsler fra borgere og oplyser dem om, hvorvidt de relevante love er blevet overholdt. De skriftlige tilsagn offentliggøres i USA's Federal Register.
- Effektiv beskyttelse af EU-borgeres rettigheder med forskellige klagemuligheder: Virksomhederne skal finde en løsning på klager inden for 45 dage. Der er mulighed for gratis alternativ tvistbilæggelse. EU-borgere kan også henvende sig til deres nationale databeskyttelsesmyndigheder, som i samarbejde med USA's føderale handelskommission vil sørge for, at uløste klager undersøges, og at der findes en løsning på dem.Hvis det ikke lykkes at løse sagen ved hjælp af et af de andre midler, er der som en sidste udvej mulighed for at indbringe den for en voldgiftsmekanisme, hvorved der sikres et eksigibelt retsmiddel. Desuden kan virksomheder give tilsagn om at efterleve de afgørelser, de europæiske databeskyttelsesmyndigheder træffer. Det er obligatorisk for virksomheder, der behandler data vedrørende menneskelige ressourcer.
- Årlig fælles evalueringsmekanisme: Vha. mekanismen overvåges det, hvordan værnet om privatlivets fred fungerer, herunder de tilsagn og garantier, der vedrører adgang til data af hensyn til retshåndhævelsen og den nationale sikkerhed. Det er Europa-Kommissionen og USA's handelsministerium, der vil forestå revisionen, og de inddrager i den forbindelse nationale efterretningseksperter fra USA og de europæiske databeskyttelsesmyndigheder. Kommissionen agter at trække på alle tilgængelige informationskilder, herunder virksomheders gennemsigtighedsrapporter om, i hvilket omfang regeringen anmoder om adgang til data. Kommissionen vil også afholde et årligt topmøde om privatlivets fred med berørte NGO'er og interessenter for at drøfte den generelle udvikling inden for amerikansk lovgivning om privatlivets fred og denne udviklings virkninger for europæerne. På grundlag af den årlige evaluering forelægger Kommissionen Europa-Parlamentet og Rådet en offentlig rapport.
De næste skridt
Kommissærkollegiet vil høre et udvalg bestående af repræsentanter for medlemsstaterne og indhente en udtalelse fra EU's databeskyttelsesmyndigheder (Artikel 29-Gruppen), inden det træffer en endelig afgørelse. I mellemtiden forbereder USA indførelsen af den nye ramme, tilsynsmekanismerne og den nye ombudsmandsmekanisme.
Efter at den amerikanske Kongres har vedtaget loven om domstolsprøvelse (Judicial Redress), og præsident Obama har undertegnet den den 24. februar, vil Kommissionen i den nærmeste fremtid forslå, at paraplyaftalen undertegnes. Afgørelsen om indgåelse af aftalen skal vedtages af Rådet efter godkendelse fra Europa-Parlamentet.
Genopbygning af tilliden til de transatlantiske datastrømme gennem strenge sikkerhedsforanstaltninger: Europa-Kommissionen fremlægger EU's og USA's værn om privatlivets fred
Europa-Kommissionen fremlægger i dag en lovgivningspakke om oprettelse af EU's og USA's værn om privatlivets fred.
Europa-Kommissionen fremlægger i dag en lovgivningspakke om oprettelse af EU's og USA's værn om privatlivets fred sammen med en meddelelse om tiltag for at genopbygge tilliden til de transatlantiske datastrømme siden afsløringerne af overvågning i 2013. I overensstemmelse med kommissionsformand Jean-Claude Junckers politiske retningslinjer har Kommissionen 1) lagt sidste hånd på reformen af EU's databeskyttelsesregler, som gælder for alle virksomheder, der leverer tjenesteydelser på EU-markedet, 2) forhandlet om en paraplyaftale mellem EU og USA, der sikrer høje beskyttelsesstandarder for dataoverførsler over Atlanten af hensyn til retshåndhævelsen og 3) opnået en ny og solid ramme for erhvervsmæssig dataudveksling: EU's og USA's værn om privatlivets fred.
I dag offentliggør Kommissionen desuden sit udkast til "afgørelse om et tilstrækkeligt beskyttelsesniveau" og de lovtekster, der indgår i EU's og USA's værn om privatlivets fred. Det omfatter de principper til værn om privatlivets fred, som virksomhederne skal overholde, og den amerikanske regerings skriftlige tilsagn (der skal offentliggøres i det amerikanske Federal Register) om håndhævelsen af ordningen, herunder garantier om sikkerhedsforanstaltninger og begrænsninger vedrørende offentlige myndigheders adgang til data.
Næstformand Andrus Ansip udtaler: "Vi har nu taget fat på at gøre EU's og USA's værn om privatlivets fred til virkelighed. På begge sider af Atlanten arbejdes der på at sørge for, at borgernes personoplysninger beskyttes fuldt ud, og at vi står godt rustet til at udnytte mulighederne i den digitale tidsalder. Det er virksomhederne, der kommer til at anvende rammen, og vi er nu dagligt i kontakt med vore amerikanske partnere for at sikre, at forberedelserne forløber bedst muligt. Vi vil fortsætte vores indsats i EU og globalt for at styrke tilliden til internettet. Tillid er en absolut nødvendighed, det er livsnerven i vores digitale fremtid."
Kommissær Věra Jourová udtaler: "Beskyttelse af personoplysninger har høj prioritet for mig, både i EU og internationalt. EU's og USA's værn om privatlivets fred udgør en solid ny ramme, der bygger på konsekvent håndhævelse og overvågning, på bedre klagemuligheder for enkeltpersoner og for første gang på skriftlige garantier fra vores amerikanske partnere om begrænsninger og sikkerhedsforanstaltninger vedrørende offentlige myndigheders adgang til data af hensyn til den nationale sikkerhed. Nu, da præsident Obama har undertegnet loven om domstolsprøvelse (Judicial Redress Act), der giver EU-borgere mulighed for at håndhæve deres databeskyttelsesrettigheder ved amerikanske domstole, vil vi desuden snart fremsætte forslag om at undertegne paraplyaftalen mellem EU og USA om sikkerhedsforanstaltninger vedrørende overførsel af data af hensyn til retshåndhævelsen. Disse solide sikkerhedsforanstaltninger gør det muligt for Europa og USA at genopbygge tilliden til de transatlantiske datastrømme."
Når Kommissionens afgørelse om et tilstrækkeligt beskyttelsesniveau er vedtaget, indebærer den, at de beskyttelsesforanstaltninger, der træffes i forbindelse med videregivelse af data inden for rammerne af EU's og USA's nye værn om privatlivets fred, svarer til EU's databeskyttelsesstandarder. Den nye ramme afspejler kravene i EU-Domstolens dom af 6. oktober 2015. De amerikanske myndigheder har givet solide tilsagn om, at værnet om privatlivets fred vil blive håndhævet konsekvent, og har garanteret, at de nationale myndigheder ikke vil iværksætte vilkårlig overvågning eller masseovervågning.
Dette sikres gennem:
- Mere bindende forpligtelser for virksomhederne og konsekvent håndhævelse: Den nye ordning vil være gennemsigtig og indeholde effektive overvågningsmekanismer, der sikrer, at virksomhederne overholder deres forpligtelser, herunder sanktioner og udelukkelse, hvis de undlader at gøre det. De nye regler indeholder også strengere betingelser for de deltagende virksomheders videregivelse af data til andre partnere.
- Klare beskyttelses- og gennemsigtighedskrav for den amerikanske stats adgang: For første gang har den amerikanske regering, dvs. Det Hvide Hus' direktør for nationale efterretninger, givet EU skriftlig garanti for, at den adgang til data, som de offentlige myndigheder har af hensyn til den nationale sikkerhed, vil blive underlagt klare begrænsninger, beskyttelsesforanstaltninger og tilsynsordninger. Derved forhindres en generel adgang til oplysningerne. Den amerikanske udenrigsminister, John Kerry, har givet tilsagn om, at der vil blive oprettet en klageadgang for EU-borgere på området nationale efterretninger i form af en ombudsmandsmekanisme i det amerikanske udenrigsministerium. Ombudsmanden vil være uafhængig af statslige sikkerhedstjenester. Ombudsmanden følger op på klager og forespørgsler fra borgere og oplyser dem om, hvorvidt de relevante love er blevet overholdt. De skriftlige tilsagn offentliggøres i USA's Federal Register.
- Effektiv beskyttelse af EU-borgeres rettigheder med forskellige klagemuligheder: Virksomhederne skal finde en løsning på klager inden for 45 dage. Der er mulighed for gratis alternativ tvistbilæggelse. EU-borgere kan også henvende sig til deres nationale databeskyttelsesmyndigheder, som i samarbejde med USA's føderale handelskommission vil sørge for, at uløste klager undersøges, og at der findes en løsning på dem.Hvis det ikke lykkes at løse sagen ved hjælp af et af de andre midler, er der som en sidste udvej mulighed for at indbringe den for en voldgiftsmekanisme, hvorved der sikres et eksigibelt retsmiddel. Desuden kan virksomheder give tilsagn om at efterleve de afgørelser, de europæiske databeskyttelsesmyndigheder træffer. Det er obligatorisk for virksomheder, der behandler data vedrørende menneskelige ressourcer.
- Årlig fælles evalueringsmekanisme: Vha. mekanismen overvåges det, hvordan værnet om privatlivets fred fungerer, herunder de tilsagn og garantier, der vedrører adgang til data af hensyn til retshåndhævelsen og den nationale sikkerhed. Det er Europa-Kommissionen og USA's handelsministerium, der vil forestå revisionen, og de inddrager i den forbindelse nationale efterretningseksperter fra USA og de europæiske databeskyttelsesmyndigheder. Kommissionen agter at trække på alle tilgængelige informationskilder, herunder virksomheders gennemsigtighedsrapporter om, i hvilket omfang regeringen anmoder om adgang til data. Kommissionen vil også afholde et årligt topmøde om privatlivets fred med berørte NGO'er og interessenter for at drøfte den generelle udvikling inden for amerikansk lovgivning om privatlivets fred og denne udviklings virkninger for europæerne. På grundlag af den årlige evaluering forelægger Kommissionen Europa-Parlamentet og Rådet en offentlig rapport.
De næste skridt
Kommissærkollegiet vil høre et udvalg bestående af repræsentanter for medlemsstaterne og indhente en udtalelse fra EU's databeskyttelsesmyndigheder (Artikel 29-Gruppen), inden det træffer en endelig afgørelse. I mellemtiden forbereder USA indførelsen af den nye ramme, tilsynsmekanismerne og den nye ombudsmandsmekanisme.
Efter at den amerikanske Kongres har vedtaget loven om domstolsprøvelse (Judicial Redress), og præsident Obama har undertegnet den den 24. februar, vil Kommissionen i den nærmeste fremtid forslå, at paraplyaftalen undertegnes. Afgørelsen om indgåelse af aftalen skal vedtages af Rådet efter godkendelse fra Europa-Parlamentet.