PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2013
KOM (2013) 0846
Offentligt

EUROPA-

KOMMISSIONEN

Bruxelles, den 27.11.2013

COM(2013) 846 final

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG

RÅDET

Genopbygning af tilliden til datastrømmene mellem EU og USA

PDF to HTML - Convert PDF files to HTML files

NDLEDNING

DET ÆNDREDE FORHOLD MELLEM

USA

MED HENSYN TIL

DATABEHANDLING

Den Europæiske Union og De Forenede Stater er strategiske partnere. Partnerskabet er helt

afgørende for at fremme fælles værdier, sikkerhed og fælles lederskab i globale anliggender.

Der er imidlertid rokket ved tilliden til partnerskabet, og tilliden skal derfor genopbygges.

Både EU, medlemsstater og borgere i EU har udtrykt dyb bekymring i forbindelse med

afsløringer af omfattende amerikanske programmer for indsamling af efterretninger, særlig

med hensyn til beskyttelsen af personoplysninger

. Masseovervågning af private samtaler,

uanset om det er borgeres, virksomheders eller politiske lederes, er uacceptabel.

Overførsler af personoplysninger udgør et vigtigt og nødvendigt element i det transatlantiske

forhold. De er en uadskillelig del af samhandelen på tværs af Atlanten, herunder i de nye

digitale vækstvirksomheder, f.eks. inden for sociale medier og cloud computing. Derfor

overføres store datamængder fra EU til USA. De udgør også et vigtigt element i samarbejdet

mellem EU og USA på retshåndhævelsesområdet og i samarbejdet mellem medlemsstaterne

og USA om national sikkerhed. For at lette datastrømmene og samtidig sikre det høje

databeskyttelsesniveau, som kræves i EU-retten, har USA og EU indgået en række aftaler og

indført en række ordninger.

Samhandelen er omfattet af Kommissionens beslutning 2000/520/EF

(i det følgende benævnt

"safe harbor-beslutningen").

Beslutningen

retsgrundlag

for

overførsler

personoplysninger fra EU til virksomheder i USA, som har tilsluttet sig safe harbor-

principperne.

Udveksling af personoplysninger mellem EU og USA med henblik på retshåndhævelse,

herunder forebyggelse og bekæmpelse af terrorisme og andre alvorlige former for grov

kriminalitet, er omfattet af en række aftaler på EU-plan. Det drejer sig om: aftalen om

gensidig retshjælp

, aftalen om anvendelse og overførsel af passagerlisteoplysninger

("PNR")

, aftalen om behandling og overførsel af oplysninger om finansielle transaktioner

med henblik på bekæmpelse af terrorisme ("TFTP")

og aftalen mellem Europol og USA.

Aftalerne tager sigte på at løse vigtige sikkerhedsproblemer og varetage EU's og USA's fælles

sikkerhedsinteresser, samtidig med at de sikrer et højt beskyttelsesniveau for

personoplysninger. Hertil kommer, at EU og USA i øjeblikket forhandler om en rammeaftale

om databeskyttelse inden for politisamarbejdet og det retlige samarbejde ("paraplyaftalen")

Målet er at sikre et højt databeskyttelsesniveau for borgere, hvis personoplysninger udveksles,

I denne meddelelse forstås ved EU-borgere også registrerede personer, der ikke er EU-borgere, men

som er omfattet af Den Europæiske Unions forskrifter om databeskyttelse.

Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets

direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbor-

principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det

amerikanske handelsministerium, EFT L 215 af 25.8.2000, s. 7.

Rådets afgørelse 2009/820/FUSP af 23. oktober 2009 om indgåelse på Den Europæiske Unions vegne

af aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om udlevering og aftalen

mellem Den Europæiske Union og Amerikas Forenede Stater om gensidig retshjælp, EUT L 291 af

7.11. 2009, s. 40.

Rådets afgørelse 2012/472/EU af 26. april 2012 om indgåelse af aftalen mellem Amerikas Forenede

Stater og Den Europæiske Union om anvendelse og overførsel af passagerlisteoplysninger til United

States Department of Homeland Security, EUT L 215 af 11.8.2012, s. 4.

Rådets afgørelse af 13. juli 2010 om indgåelse af aftalen mellem Den Europæiske Union og Amerikas

Forenede Stater om behandling og overførsel af finansielle betalingsdata fra Den Europæiske Union til

USA til brug for programmet til sporing af finansiering af terrorisme, EUT L 195 af 27.7.2010, s. 3.

Rådet vedtog en afgørelse om at bemyndige Kommissionen til at føre forhandlinger om aftalen den 3.

december 2010. Se IP/10/1661 af 3. december 2010.

PDF to HTML - Convert PDF files to HTML files

og dermed yderligere styrke samarbejdet mellem EU og USA om bekæmpelse af kriminalitet

og terrorisme på grundlag af fælles værdier og aftalte garantier.

Disse instrumenter anvendes i en situation, hvor overførsel af personoplysninger bliver stadig

vigtigere.

På den ene side har den digitale økonomis udvikling medført eksponentiel vækst i

databehandlingsaktiviteterne, både hvad angår kvantitet, kvalitet, diversitet og art. Borgernes

anvender i stigende grad elektroniske kommunikationstjenester i deres dagligliv.

Personoplysninger er blevet et særdeles værdifuldt aktiv. Det vurderes således, at EU-

borgernes personoplysninger havde en værdi af 315 mia. EUR i 2011, og at den kan vokse til

næsten 1 trillion om året i 2020.

Markedet for analyse af store datasæt vokser i øjeblikket

med 40 % om året på verdensplan

. Tilsvarende sætter visse aspekter af den teknologiske

udvikling, f.eks. i forbindelse med cloud computing, begrebet internationale datastrømme i

perspektiv, idet udveksling af data på tværs af grænserne er ved at blive en daglig foreteelse

Den øgede brug af elektronisk kommunikation og databehandlingstjenester, herunder cloud

computing, har også udvidet omfanget og betydningen af de transatlantiske dataoverførsler.

En række elementer er derfor blevet endnu mere relevante, f.eks. de amerikanske

virksomheders centrale stilling i den digitale økonomi

, det forhold, at en stor del af den

elektroniske kommunikation dirigeres over Atlanten, og mængden af elektroniske

datastrømme mellem EU og USA.

På den anden side rejser moderne metoder til behandling af personoplysninger nye og vigtige

spørgsmål. Det gælder både for så vidt angår større virksomheders omfattende behandling af

forbrugsdata til kommercielle formål, og for så vidt angår efterretningstjenesters øgede

muligheder for omfattende overvågning af kommunikationsdata.

Omfattende amerikanske programmer for indsamling af efterretninger som PRISM har

indvirkning på europæernes grundlæggende rettigheder, særlig retten til privatlivets fred og til

beskyttelse af personoplysninger. Programmerne tyder også på, at der består en forbindelse

mellem regeringsovervågning og den databehandling, som foretages af private virksomheder,

særlig internetvirksomheder i USA. De kan derfor have økonomiske konsekvenser. Hvis

borgerne er bekymrede for, at deres personoplysninger i stor stil underkastes behandling af

private virksomheder, eller for at deres personoplysninger overvåges af efterretningstjenester,

når de benytter internettjenester, kan det rokke ved deres tillid til den digitale økonomi,

hvilket kan have negative konsekvenser for væksten.

Denne udvikling skaber nye problemer for datastrømmene mellem EU og USA. Denne

meddelelse omhandler disse problemer. I meddelelsen undersøges det, hvordan vi kommer

videre ud fra konklusionerne i rapporten fra EU's medformænd for EU's og USA's ad hoc-

arbejdsgruppe og ud fra safe harbor-meddelelsen.

Det undersøges, hvordan vi reelt kommer videre med genopbygningen af tilliden og

styrkelsen af samarbejdet mellem EU og USA på disse områder samt det transatlantiske

forhold generelt.

Meddelelsen bygger på den forudsætning, at spørgsmålet om standarden for beskyttelsen af

personoplysninger skal behandles i sin rette sammenhæng, og uden at det har indvirkning på

andre aspekter af forholdet mellem EU og USA, herunder de igangværende forhandlinger om

Se Boston Consulting Group: “The Value of our Digital Identity”, november 2012.

Se McKinsey: "Big data: The next frontier for innovation, competition, and productivity", 2011.

Meddelelsen "Udnyttelse af potentialet ved cloud computing i Europa", COM(2012) 529 final.

Eksempelvis det samlede antal besøg på Microsoft Hotmail, Google Gmail ogYahoo! Der blev således

sendt over 227 mio. e-mails fra europæiske lande i juni 2012. Det er mere end fra alle andre udbydere

tilsammen. Europæiske brugere besøgte i alt Facebook og Facebook Mobile 196,5 mio. gange i marts

2012. Dermed er Facebook det største sociale netværk i Europa. Google er den førende

internetsøgemaskine (90 % af internetbrugerne på verdensplan). I juni 2013 anvendte 91 % af IPhone-

brugerne i Tyskland den amerikanske beskedtjeneste til mobilt udstyr What's App.

PDF to HTML - Convert PDF files to HTML files

et transatlantisk handels- og investeringspartnerskab. Derfor vil forhandlingerne om

databeskyttelsesstandarder ikke foregå inden for rammerne af det transatlantisk handels- og

investeringspartnerskab, som fuldt ud overholder databeskyttelsesreglerne.

Det er vigtigt at bemærke, at skønt EU kan træffe foranstaltninger på områder, hvor EU har

kompetence, særlig med henblik på at sikre anvendelsen af EU-retten

, er national sikkerhed

fortsat den enkelte medlemsstats eneansvar

NDVIRKNINGEN PÅ INSTRUMENTER TIL DATAOVERFØRSEL

For det første har safe harbor, for så vidt angår dataoverførsler til kommercielle formål, vist

sig at være et vigtigt redskab til dataoverførsler mellem EU og USA. Dets kommercielle

vigtighed er vokset, efterhånden som persondatastrømme har fået en mere fremtrædende plads

i de transatlantiske handelsforbindelser. De seneste 13 år har safe harbor-ordningen udviklet

sig til at omfatte mere end 3 000 virksomheder, hvoraf mere end halvdelen har tilmeldt sig

ordningen inden for de seneste fem år. Alligevel er der stigende bekymring over

beskyttelsesniveauet for EU-borgeres personoplysninger, der overføres til USA under safe

harbor-ordningen. Ordningens frivillige og deklaratoriske karakter har i stigende grad rejst

spørgsmålet om dens gennemsigtighed og håndhævelse. De fleste amerikanske virksomheder

anvender dens principper, men visse selvcertificerede virksomheder gør ikke. Det forhold, at

visse virksomheder ikke overholder safe harbor-principperne, giver de pågældende

virksomheder en konkurrencemæssig fordel i forhold til europæiske virksomheder, der driver

forretning på de samme markeder.

Under safe harbor er det tilladt at begrænse databeskyttelsesreglerne af hensyn til national

sikkerhed

, men spørgsmålet er, om den omfattende indsamling og behandling af

personoplysninger som led i de amerikanske overvågningsprogrammer er nødvendig og har et

rimeligt omfang i forhold til hensynet til national sikkerhed. EU's og USA's ad hoc-

arbejdsgruppe har konkluderet, at EU-borgerne ikke nyder samme rettigheder og

retssikkerhedsgarantier som amerikanerne.

Rækkevidden af de nævnte overvågningsprogrammer rejser, i kombination med at EU-

borgerne er ringere stillet, tvivl om, hvor højt beskyttelsesniveau safe harbor-ordningen

egentlig skaber. De amerikanske myndigheder kan skaffe sig adgang til og behandle EU-

borgeres personoplysninger, der overføres til USA under safe harbor, på en måde, som er

uforenelig med det grundlag, på hvilket oplysningerne oprindeligt blev indsamlet i EU, og

med det formål, til hvilket de blev overført til USA. Flertallet af de amerikanske

internetvirksomheder, der synes at være direkte berørt af de pågældende programmer, er

certificeret under safe harbor-ordningen.

For det andet, for så vidt angår udveksling af data med henblik på retshåndhævelse, har de

gældende aftaler (PNR og TFTP) vist sig at være særdeles værdifulde redskaber til at imødegå

almindelige trusler mod sikkerheden i forbindelse med alvorlig grænseoverskridende

kriminalitet og terrorisme, samtidig med at de sikrer et højt databeskyttelsesniveau

. EU-

Se Den Europæiske Unions Domstols dom i sag C-300/11, ZZ mod Secretary of State for the Home

Department.

Artikel 4, stk. 2 i traktaten om Den Europæiske Union.

Se eksempelvis safe harbor-beslutningens bilag I.

Se den fælles rapport fra Kommissionen og det amerikanske finansministerium om værdien af de data,

som tilvejebringes som følge af aftalen om behandling og overførsel af oplysninger om finansielle

transaktioner med henblik på bekæmpelse af terrorisme (TFTP) i henhold til artikel 6, stk. 6, i aftalen

mellem Den Europæiske Union og Amerikas Forenede Stater om behandling og overførsel af

finansielle betalingsdata fra Den Europæiske Union til USA til brug for programmet til sporing af

finansiering af terrorisme.

PDF to HTML - Convert PDF files to HTML files

borgerne er omfattet af garantierne, og aftalerne indeholder mekanismer med henblik på at

kontrollere gennemførelsen af aftalerne og at løse problemer, der måtte opstå i den

forbindelse. Ved TFTP-aftalen oprettedes også et tilsynssystem, hvor uafhængige EU-

overvågere kontrollerer, hvilke søgninger USA foretager i data, der er omfattet af aftalen.

I lyset af den bekymring over de amerikanske overvågningsprogrammer, som der er givet

udtryk for i EU, har Europa-Kommissionen anvendt mekanismerne til at kontrollere, hvordan

aftalerne anvendes. For PNR-aftalens vedkommende er der foretaget en fælles gennemgang

med deltagelse af databeskyttelseseksperter fra EU og USA. De undersøgte, hvordan aftalen

er blevet gennemført

. Gennemgangen tyder ikke på, at de amerikanske

overvågningsprogrammer omfatter eller har indvirkning på passageroplysninger omfattet af

PNR-aftalen. Med hensyn til TFTP-aftalen har Kommissionen indledt formelle

konsultationer, efter at der er blevet fremsat beskyldninger om, at amerikanske

efterretningstjenester direkte har skaffet sig adgang til personoplysninger i EU i modstrid med

aftalen. Konsultationerne har ikke afdækket noget, der godtgør, at der sket brud på TFTP-

aftalen, og de har foranlediget USA til skriftligt at erklære, at der ikke har fundet nogen

direkte dataindsamling sted i strid med aftalen.

Den omfattende indsamling og behandling af personoplysninger inden for rammerne af de

amerikanske overvågningsprogrammer gør det nødvendigt fortsat at overvåge gennemførelsen

af PNR- og TFTP-aftalerne tæt i fremtiden. Derfor er EU og USA nået til enighed om at

fremrykke den næste fælles gennemgang af TFTP-aftalen. Den vil blive foretaget i foråret

2014. I forbindelse med gennemgangen og fremtidige gennemgange vil der blive sikret større

gennemsigtighed om, hvordan tilsynssystemet fungerer, og hvordan det beskytter EU-

borgernes data. Parallelt hermed vil der blive taget skridt til at sikre, at tilsynssystemet fortsat

følger tæt, hvordan data, der overføres til USA under aftalen, behandles, med særligt fokus på

hvordan de amerikanske myndigheder deler de pågældende data med hinanden.

For det tredje understreger den øgede mængde af personoplysninger, der behandles,

vigtigheden af de gældende retssikkerhedsgarantier og administrative garantier. Et af

formålene med EU's og USA's ad hoc-arbejdsgruppe var at finde frem til, hvilke garantier der

gælder, med henblik på at minimere den indvirkning, som databehandling har på EU-

borgernes grundlæggende rettigheder. Det er også nødvendigt med garantier, der beskytter

virksomhederne. Visse amerikanske love, f.eks. Patriot Act, giver de amerikanske

myndigheder mulighed for direkte at anmode virksomhederne om adgang til data, der

opbevares i EU. Derfor kan europæiske virksomheder og amerikanske virksomheder, der

driver forretning i EU, blive anmodet om at overføre data til USA i strid med EU-retten og

retten i medlemsstaterne. Dermed kommer de i klemme mellem modstridende retlige

forpligtelser. Den manglende retssikkerhed, som sådanne direkte anmodninger afføder, kan

bremse udviklingen af nye digitale tjenester, f.eks. cloud computing, som ellers kunne tilbyde

effektive og billigere løsninger til fysiske personer og erhvervsliv.

IKKERHED FOR EFFEKTIV DATABESKYTTELSE

Videregivelse af personoplysninger mellem EU og USA udgør et afgørende element i de

transatlantiske handelsforbindelser. Udvekslingen af oplysninger er også et vigtigt element i

sikkerhedssamarbejdet mellem EU og USA, og den er af helt afgørende betydning for at nå

det fælles mål om at forhindre og bekæmpe grov kriminalitet og terrorisme. Nylige

afsløringer af amerikanske programmer for indsamling af efterretninger har imidlertid rokket

ved den tillid, som dette samarbejde bygger på. Særlig har det rokket ved tilliden til den måde,

personoplysninger behandles på. Derfor bør der tages nedenstående skridt med henblik på at

Se Kommissionens rapport om den fælles gennemgang: "Joint review of the implementation of the

Agreement between the European Union and the United States of America on the processing and

transfer of passenger name records to the United States Department of Homeland Security".

PDF to HTML - Convert PDF files to HTML files

genopbygge tilliden til dataoverførsler, til gavn for den digitale økonomi, sikkerheden både i

EU og USA og det transatlantiske forhold generelt.

3.1. EU's databeskyttelsesreform

Den databeskyttelsesreform, som Kommissionen i januar 2012 fremlagde forslag til

, er en

vigtig del af svaret på, hvordan personoplysninger skal beskyttes. Fem af

databeskyttelsespakkens elementer er særligt vigtige.

For det første slås det i forslaget til forordning fast, at for så vidt angår territorialt

anvendelsesområde, skal virksomheder, som ikke er hjemmehørende i EU, anvende EU's

databeskyttelsesret, når de udbyder varer og tjenesteydelser til forbrugere i EU eller overvåger

deres adfærd. Med andre ord vil den grundlæggende ret til databeskyttelse blive overholdt,

uafhængigt af hvor en virksomhed eller dens databehandlingsfacilitet befinder sig

For det andet, for så vidt angår de internationale overførsler, fastsættes det i forslaget til

forordning, hvilke betingelser der skal være opfyldt, for at data kan overføres til lande uden

for EU. Overførsler kan kun tillades, hvis betingelserne er opfyldt. De garanterer fysiske

personers ret til et højt beskyttelsesniveau

For det tredje, for så vidt angår retshåndhævelsen, vil de foreslåede regler omfatte sanktioner,

som står i et rimeligt forhold til overtrædelsen og har afskrækkende karakter (op til 2 % af en

virksomheds årlige omsætning på verdensplan), således at det sikres, at virksomhederne

overholder EU-retten

. Troværdige sanktioner øger virksomhedens incitament til at

overholde EU-retten.

For det fjerde indeholder forslaget til forordning klare regler om de forpligtelser og det

ansvar, der påhviler registerførere, f.eks. cloud-udbydere, herunder vedrørende sikkerhed

Som afsløringerne af de amerikanske programmer for indsamling af efterretninger har vist, er

dette helt afgørende, fordi programmerne har indvirkning på data, der lagres ved cloud

computing. Desuden vil virksomheder, der tilbyder oplagringsplads i clouden, og som af

fremmede myndigheder anmodes om personoplysninger, ikke kunne unddrage sig deres

ansvar med henvisning til, at de har status af registerførere snarere end registeransvarlige.

For det femte vil databeskyttelsespakken medføre et samlet regelsæt for beskyttelse af

personoplysninger, der behandles på retshåndhævelsesområdet.

COM(2012) 10 final: Forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske

personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik

på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde

strafferetlige sanktioner og om fri udveksling af sådanne oplysninger, Bruxelles, den 25.1.2012,

COM(2012) 11 final: Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske

personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne

oplysninger (generel forordning om databeskyttelse).

Kommissionen har bemærket sig, at Europa-Parlamentet bekræftede og styrkede dette vigtige princip,

der er fastsat i artikel 3 i forslaget til forordning, ved afstemningen den 21. oktober 2013 om MEP Jan-

Philipp Albrecht og Dimitrios Droutsas betænkninger om databeskyttelsesreformen.

Kommissionen har bemærket sig, at Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige

og Indre Anliggender ved afstemningen den 21. oktober 2013 foreslog at indsætte en bestemmelse i den

kommende forordning, der vil forpligte fremmede myndigheder, der anmoder om adgang til

personoplysninger, der er indsamlet i EU, til at indhente forudgående tilladelse fra en national

databeskyttelsesmyndighed, når en sådan anmodning fremsættes uden for rammerne af en aftale om

gensidig retlig bistand eller en anden international aftale.

Kommissionen har bemærket sig, at Udvalget om Borgernes Rettigheder og Retlige og Indre

Anliggender ved afstemningen den 21. oktober 2013 foreslog at skærpe Kommissionens forslag ved at

foreskrive bøder på op til 5 % af en virksomheds årlige omsætning på verdensplan.

Kommissionen bemærker sig, at Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

ved afstemningen den 21. oktober 2013 gav sin tilslutning til en skærpelse af de forpligtelser og det

ansvar, der påhviler registerførere, særlig i artikel 26 i forslaget til forordning.

PDF to HTML - Convert PDF files to HTML files

Det forventes, at der opnås enighed om databeskyttelsespakken i rette tid i 2014

3.2.

En endnu sikrere safe harbor-ordning

Safe harbor-ordningen er et vigtigt element i handelsforbindelserne mellem EU og USA, og

virksomheder på begge sider af Atlanten sætter deres lid til den.

I Kommissionens rapport om, hvordan safe harbor fungerer, peges der på en række svagheder

ved ordningen. På grund af manglende gennemsigtighed og retshåndhævelse overholder visse

virksomheder i realiteten ikke safe harbor-principperne. Det har negative konsekvenser for

EU-borgerens grundlæggende rettigheder. Det stiller også europæiske virksomheder ringere i

forhold til konkurrerende amerikanske virksomheder, der nok er tilsluttet ordningen, men i

praksis ikke anvender dens principper. Denne svaghed går også ud over det flertal af

amerikanske virksomheder, som anvender ordningen korrekt. Safe harbor kommer også til at

virke som en kanal, hvorigennem virksomheder, der i henhold til de amerikanske programmer

for indsamling af efterretninger skal udlevere data til amerikanske efterretningstjenester,

overfører personoplysninger om EU-borgere fra EU til USA. Medmindre manglerne

afhjælpes, udgør de derfor en konkurrencemæssig ulempe for erhvervslivet i EU og indvirker

negativt på EU-borgernes grundlæggende ret til databeskyttelse.

Safe harbor-ordningens brister understreges af de europæiske databeskyttelsesmyndigheders

svar på de nylige afsløringer af overvågning. I medfør af safe harbor-beslutningens artikel 3

kan databeskyttelsesmyndighederne på visse betingelser suspendere datastrømmene til

certificerede virksomheder

.Tyske databeskyttelsesmyndigheder har besluttet ikke at udstede

nye tilladelser til dataoverførsler til lande uden for EU (f.eks. til at anvende visse cloud-

tjenester). De vil også undersøge, om dataoverførsler på grundlag af safe harbor skal

suspenderes

. Risikoen er, at sådanne foranstaltninger truffet i medlemsstaterne skaber

forskelle i dækning, hvilket vil indebære, at safe harbor ikke længere vil være en

nøglemekanisme for overførsel af personoplysninger mellem EU og USA.

Kommissionen har hjemmel i direktiv 95/46/EF til at suspendere eller ophæve safe harbor-

beslutningen, hvis den ikke længere sikrer et tilstrækkeligt beskyttelsesniveau. I medfør af

artikel 3 i safe harbor-beslutningen kan Kommissionen ophæve eller suspendere beslutningen

eller begrænse dens anvendelsesområde. I henhold til artikel 4 kan beslutningen til enhver tid

blive ændret på grundlag af erfaringerne i forbindelse med dens gennemførelse.

På den baggrund kan en række politiske valgmuligheder overvejes, bl.a.:

•

fastholdelse af status quo

styrkelse af safe harbor-ordningen, hvor der foretages en grundig revision af, hvordan

den fungerer

suspension eller ophævelse af safe harbor-beslutningen.

I konklusionerne fra Det Europæiske Råds møde i oktober 2013 hedder det: "Det er vigtigt at fremme

borgernes og virksomhedernes tillid til den digitale økonomi. Rettidig vedtagelse af nogle stærke,

generelle EU-rammebestemmelser for databeskyttelse og af direktivet om cybersikkerhed er afgørende

for gennemførelsen af det digitale indre marked senest i 2015."

Konkret kan sådanne suspensioner i henhold til artikel 3 i safe harbor-beslutningen ske i tilfælde, hvor

der er stor sandsynlighed for, at principperne overtrædes, når der er tilstrækkelig grund til at antage, at

det pågældende organ ikke træffer eller ikke agter at træffe passende og betimelige foranstaltninger for

at løse den pågældende sag, når der ved fortsat overførsel af personoplysninger er stor risiko for på

betydelig vis at skade de registrerede, eller når de kompetente myndigheder i medlemsstaterne

forholdene taget i betragtning på passende vis har bestræbt sig på at underrette det pågældende

foretagende og give det mulighed for at svare.

Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, pressemeddelelse af 24. juli

2013.

PDF to HTML - Convert PDF files to HTML files

I betragtning af de svagheder, der er blevet påpeget, er fastholdelse af den nuværende

gennemførelse af safe harbor urealistisk. Hvis beslutningen blev ophævet, ville det imidlertid

indvirke negativt på de virksomheder i EU og USA, der er tilmeldt ordningen. Kommissionen

finder derfor, at safe harbor snarere bør styrkes.

Der bør sker forbedringer, både med hensyn til de strukturelle brister og med hensyn til

gennemsigtighed og håndhævelse, de materielle safe harbor-principper og den måde,

undtagelsesbestemmelsen vedrørende national sikkerhed fungerer på.

Konkret skal de amerikanske myndigheders overvågning af og tilsyn med de certificerede

virksomheders overholdelse af safe harbor-principperne gøres mere effektiv og systematisk,

hvis safe harbor skal komme til at fungere efter hensigten. De certificerede virksomheders

retningslinjer for beskyttelse af privatlivets fred skal gøres mere gennemsigtige. EU-borgerne

skal også sikres tilgængelige og prismæssigt overkommelige mekanismer til bilæggelse af

tvister.

Det har høj prioritet for Kommissionen hurtigt at rette henvendelse til de amerikanske

myndigheder med henblik på at drøfte de brister, der har kunnet konstateres. Senest i

sommeren 2014 bør det afklares, hvordan problemerne kan løses, og arbejdet hermed bør

påbegyndes hurtigst muligt. På grundlag heraf vil Kommissionen gøre status over, hvordan

safe harbor fungerer. Denne omfattende revision bør omfatte åbne høringer og drøftelser i

Europa-Parlamentet og Rådet samt drøftelser med de amerikanske myndigheder.

Det er også vigtigt, at safe harbor-beslutningens undtagelsesbestemmelse vedrørende national

sikkerhed kun anvendes i strengt nødvendigt og forholdsmæssigt omfang.

3.3. Styrkede garantier vedrørende databeskyttelse på retshåndhævelsesområdet

EU og USA forhandler i øjeblikket om en "paraplyaftale" vedrørende overførsler og

behandling af personoplysninger inden for politisamarbejdet og det retlige samarbejde i

kriminalsager. Indgåelse af en sådan aftale, hvorved der sikres et højt beskyttelsesniveau for

personoplysninger, vil udgøre et stort bidrag til tillidsskabelsen på tværs af Atlanten. En

styrkelse af EU-borgernes rettigheder på dataområdet vil bidrage til at styrke det

transatlantiske samarbejde om at bekæmpe kriminalitet og terrorisme.

Det fremgår af afgørelsen om bemyndigelse af Kommissionen til at forhandle om

paraplyaftalen, at målet med forhandlingerne bør være et sikre et højt beskyttelsesniveau i

overensstemmelse med gældende EU-regler om databeskyttelse. Dette bør afspejles i de

regler og garantier, der aftales, f.eks. begrænsninger i, betingelser for og varigheden af

lagringen af data. I forbindelse med forhandlingerne bør Kommissionen også opnå tilsagn om

rettigheder, der kan håndhæves, herunder adgang til at søge retlig oprejsning for EU-borgere,

der ikke er bosiddende i USA

. Et nært samarbejde mellem EU og USA om at løse fælles

sikkerhedsproblemer bør afspejles i bestræbelser på at sikre, at borgerne nyder samme

rettigheder, når de samme data behandles til samme formål på begge sider af Atlanten. Det er

også vigtigt, at undtagelser, der bygger på hensynet til national sikkerhed, defineres snævert.

Derfor bør der opnås enighed om garantier og begrænsninger desangående.

Forhandlingerne giver mulighed for at præcisere, at personoplysninger som private

virksomheder ligger inde med, og som befinder sig EU, ikke må tilgås direkte af eller

Se de relevante afsnit af den fælles pressemeddelelse i forbindelse med møderne på ministerplan (retlige

og indre anliggender) mellem EU og USA den 18. november 2013 i Washington: "Vi er derfor fast

besluttet på hurtigt at skabe hurtig fremdrift i forhandlingerne om en betydningsfuld og omfattende

paraplyaftale om databeskyttelse på retshåndhævelsesområdet. Aftalen vil udgøre grundlaget for

smidigere overførsler af data inden for politisamarbejde og retligt samarbejde i kriminalsager ved at

sikre amerikanske borgere og EU-borgere et højt beskyttelsesniveau for personoplysninger. Vi er fast

besluttet på at løse alle udestående spørgsmål, som er blevet rejst af en af parterne, herunder adgang til

at søge retlig oprejsning (et afgørende spørgsmål for EU). Det er vores mål at afslutte forhandlingerne

om aftalen inden sommeren 2014."

PDF to HTML - Convert PDF files to HTML files

overføres direkte til amerikanske retshåndhævende myndigheder uden om de sædvanlige

samarbejdskanaler, f.eks. aftaler om gensidig retlig bistand eller sektoraftaler mellem EU og

USA, der tillader sådanne overførsler. Det bør ikke være muligt at skaffe sig adgang på anden

vis, med mindre det sker i velafgrænsede undtagelsestilfælde, der kan gøres til genstand for

retlig prøvelse. USA bør i den forbindelse påtage sig de nødvendige forpligtelser

En "paraplyaftale" i overensstemmelse hermed bør skabe en generel ramme, der sikrer et højt

beskyttelsesniveau for personoplysninger, der overføres til USA med henblik på at forebygge

eller bekæmpe kriminalitet og terrorisme. I sektoraftalerne bør der, i de tilfælde hvor

dataoverførslens karakter nødvendiggør det, fastsættes supplerende regler og garantier, som

har PNR- og TFTP-aftalerne mellem EU og USA som forlæg, og de bør indeholde strenge

betingelser for overførsel af data samt garantier for EU-borgerne.

3.4.

Løsning af de problemer i den amerikanske reformproces, der vækker

bekymring i EU

Den amerikanske præsident, Barack Obama, har tilkendegivet, at der skal foretages en

revision af de amerikanske sikkerhedsmyndigheders aktiviteter, herunder af de gældende

regler. Den igangværende proces giver en vigtig mulighed for at rejse spørgsmålet om de

bekymringer, som de nylige afsløringer om de amerikanske programmer for indsamling af

efterretninger har vakt. Den vigtigste ændring bør være, at de garantier, som amerikanske

statsborgere og personer med bopæl i USA nyder, udstrækkes til EU-borgere, der ikke har

bopæl i USA, at gennemsigtigheden i forbindelse med efterretningsvirksomhed øges, og at

tilsynet styrkes yderligere. Sådanne ændringer vil genopbygge tilliden til dataudvekslingen

mellem EU og USA og fremme europæernes anvendelse af internettjenester.

Med hensyn til at udstrække de garantier, som amerikanske statsborgere og personer med

bopæl i USA nyder, til EU-borgere, bør der ske en revision af retsreglerne vedrørende de

amerikanske overvågningsprogrammer, som i øjeblikket medfører, at amerikanske

statsborgere og EU-borgere behandles forskelligt, herunder ud fra et nødvendigheds- og

forholdsmæssighedsperspektiv, med det tætte transatlantiske sikkerhedsmæssige partnerskab

på grundlag af fælles værdier, rettigheder og frihedsrettigheder in mente. Det vil betyde, at

amerikanske programmer for indsamling af efterretninger i mindre grad vil have indvirkning

på europæerne.

Der er behov for større gennemsigtighed om det retsgrundlag, som de amerikanske

programmer for indsamling af efterretninger hviler på, om de amerikanske domstoles

fortolkning af programmernes retsgrundlag og om det kvantitative aspekt ved de

programmerne. Sådanne ændringer vil også være til gavn for EU-borgerne.

Tilsynet med de amerikanske programmer for indsamling af efterretninger vil blive forbedret,

idet domstolen Foreign Intelligence Surveillance Court tildeles en stærkere rolle, og idet der

indføres retsmidler, som fysiske personer kan gøre brug af. Disse mekanismer kan begrænse

den behandling af europæeres personoplysninger, som ikke er relevant for den nationale

sikkerhed.

Se de relevante afsnit af den fælles pressemeddelelse i forbindelse med møderne på ministerplan (retlige

og indre anliggender) mellem EU og USA den 18. november 2013 i Washington: "Vi vil også gerne

understrege, hvor vigtig aftalen om gensidig retlig bistand er. Vi gentager, at vi er fast besluttede på at

sikre, at aftalen anvendes bredt og effektivt med henblik på bevisførelse i straffesager. Vi drøftede også

behovet for at præcisere, at retshåndhævende myndigheder ikke må skaffe sig adgang til

personoplysninger, som private enheder ligger inde med i den anden parts område, uden om de lovlige

kanaler. Vi er endvidere enige om at foretage en revision af, hvordan aftalen om gensidig retlig bistand

fungerer, således som aftalen lægger op til, og at konsultere hinanden, når som helst det er påkrævet."

PDF to HTML - Convert PDF files to HTML files

3.5.

Fremme af standarder for beskyttelse af privatlivets fred

De spørgsmål, som moderne metoder til databeskyttelse rejser, begrænser sig ikke til

dataoverførsel mellem EU og USA. Enhver fysisk person bør være garanteret beskyttelse af

sine personoplysninger. EU-reglerne vedrørende indsamling, behandling og overførsel af data

bør udbredes internationalt.

For nylig er der blevet foreslået en række initiativer til beskyttelse af privatlivets fred, særlig

på internettet

. EU bør sikre, at de af initiativerne, der følges op på, fuldt ud tager hensyn til

principperne om beskyttelse af de grundlæggende rettigheder, ytringsfrihed,

personoplysninger og privatlivets fred, jf. EU-retten og EU's strategi for cybersikkerhed, og

ikke undergraver friheden, åbenheden og sikkerheden i cyberspace. Det indbefatter en

demokratisk og effektiv forvaltningsmodel med deltagelse af en lang række interessenter.

De igangværende reformer af databeskyttelsesretten på begge sider af Atlanten giver EU og

USA en enestående mulighed for at lægge standarden internationalt. Dataudveksling på tværs

af og hinsides Atlanten vil have stor gavn af en styrkelse af det amerikanske retsgrundlag,

herunder vedtagelsen af loven "Consumer Privacy Bill of Rights", som præsident Obama

bebudede i februar 2012 som led i en omfattende plan for bedre beskyttelse af forbrugernes

privatliv. Et sæt af stærke databeskyttelsesregler, som kan håndhæves, og som er knæsat i

både EU og USA, vil udgøre et solidt grundlag for datastrømmene på tværs af grænserne.

Med henblik på at fremme standarder for beskyttelse af privatlivets fred bør tiltrædelse af

Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med

elektronisk databehandling af personoplysninger ("konvention nr. 108") også nyde fremme.

Konventionen er åben for tiltrædelse af lande, der ikke er medlemmer af Europarådet

. De

garantier, der opnås enighed om i internationale fora, bør medføre et sikkerhedsniveau, som er

højt og foreneligt med EU-rettens krav.

ONKLUSIONER OG ANBEFALINGER

De problemer, som denne meddelelse peger på, kræver handling både fra USA's, EU's og

EU's medlemsstaters side.

Bekymringerne vedrørende transatlantisk dataudveksling bør først og fremmest tjene som en

advarsel til EU og medlemsstaterne om, at der hurtigt skal skabes fremdrift hen imod en

ambitiøs databeskyttelsesreform. De viser, at en stærk lovgivningsramme med klare regler,

der kan håndhæves, herunder i de tilfælde hvor data overføres til lande uden for EU, aldrig

har været mere påkrævet. Derfor bør EU's institutioner fortsat arbejde hen imod vedtagelsen

af EU's databeskyttelsesreform i foråret 2014, således at personoplysninger kan nyde effektiv

og omfattende beskyttelse.

I lyset af hvor vigtige de transatlantiske datastrømme er, er det afgørende, at de instrumenter,

på hvilke en sådan dataudveksling bygger, på passende vis takler de udfordringer og udnytter

de muligheder, som den digitale tidsalder og de teknologiske nybrud som cloud computing

frembyder. De nuværende og fremtidige ordninger og aftaler bør indeholde garanti for et

fortsat højt beskyttelsesniveau tværs over Atlanten.

En solid safe harbor-ordning er både i europæiske og amerikanske borgeres og virksomheders

interesse. Den bør styrkes, på kort sigt gennem bedre overvågning og gennemførelse, og på

grundlag heraf gennem en omfattende revision af, hvordan den fungerer. Det er nødvendigt

med forbedringer, der sikrer, at safe harbor-beslutningens oprindelig mål, dvs. kontinuitet i

databeskyttelsen, retssikkerhed og fri dataudveksling mellem EU og USA, nås.

Se i den forbindelse det forslag til resolution om beskyttelse af privatlivets fred online og offline, som

Tyskland og Brasilien har fremsat i FN's Generalforsamling.

USA er allerede part i en anden af Europarådets konventioner, nemlig konvention om IT-kriminalitet

fra 2001 (også kaldet Budapestkonventionen).

PDF to HTML - Convert PDF files to HTML files

Forbedringerne bør fokusere på behovet for, at de amerikanske myndigheder fører bedre

tilsyn med og overvåger, at selvcertificerede virksomheder overholder safe harbor-

principperne til beskyttelse af privatlivets fred.

Det er også vigtigt, at anvendelsen af safe harbor-beslutningens undtagelse vedrørende

national sikkerhed begrænses til det strengt nødvendige og forholdsmæssige.

På retshåndhævelsesområdet bør de igangværende forhandling om en "paraplyaftale" munde

ud i et højt beskyttelsesniveau for borgerne på begge sider af Atlanten. En sådan aftale vil

styrke europæernes tillid til dataudvekslingen mellem EU og USA og lægge grunden til en

yderligere udbygning af sikkerhedssamarbejdet og partnerskabet mellem EU og USA. Under

forhandlingerne bør der skaffes tilsagn om, at europæere, der ikke har bopæl i USA gives

retssikkerhedsgarantier, herunder adgang til at søge retlig oprejsning.

Den amerikanske regering bør forpligte sig til, at personoplysninger, som private

virksomheder ligger inde med i EU, ikke må tilgås direkte af eller overføres direkte til

amerikanske retshåndhævende myndigheder uden om de formelle samarbejdskanaler, f.eks.

aftaler om gensidig retlig bistand eller sektoraftaler mellem EU og USA, som PNR-aftalen og

TFTP-aftalen, der tillader sådanne overførsler på strenge betingelser, undtagen i

velafgrænsede undtagelsestilfælde, der kan gøres til genstand for retlig prøvelse.

USA bør også udstrække de garantier, som amerikanske statsborgere og personer med bopæl i

USA nyder, til EU-borgere, der ikke har bopæl i USA, samt sikre, at programmerne

udelukkende har et nødvendigt og forholdsmæssigt omfang, og at der er større

gennemsigtighed i og tilsyn retsgrundlaget for de amerikanske sikkerhedsmyndigheder.

De spørgsmål, der behandles i denne meddelelse, fordrer, at der fra begge sider af Atlanten

samarbejdes konstruktivt. I fællesskab, som strategiske partnere, kan EU og USA overvinde

de øjeblikkelige spændinger i det transatlantiske forhold og genopbygge tilliden til

datastrømmene mellem EU og USA. Ved i fællesskab at forpligte sig til yderligere

samarbejde på disse områder vil det transatlantiske forhold blive styrket generelt.