Følg os

data

Datasikringsdag 2014: Fuld fart på EU's databeskyttelsesreform

DEL:

Udgivet

on

Vi bruger din tilmelding til at levere indhold på måder, du har givet samtykke til, og til at forbedre vores forståelse af dig. Du kan til enhver tid afmelde dig.

billedeVicepræsident Viviane Reding, EU's justitskommissær, sagde forud for EU's databeskyttelsesdag (28. januar): "Databeskyttelse i Den Europæiske Union er en grundlæggende rettighed. Europa har allerede det højeste niveau af databeskyttelse i verden. Med EU databeskyttelsesreform, som blev foreslået for præcis to år siden – i januar 2012 – Europa har chancen for at gøre disse regler til en global guldstandard Disse regler vil gavne borgere, der ønsker at kunne stole på onlinetjenester, og de små og mellemstore virksomheder ser på et indre marked med mere end 500 millioner forbrugere som en uudnyttet mulighed. Europa-Parlamentet har ført an ved at stemme overvældende for disse regler. Jeg ønsker at se fuld fart på databeskyttelse i 2014."

Vicepræsident Reding holdt en nøgletale på databeskyttelsesdagen kl. 11 CET kl. Center for Europæiske Politiske Studier (CEPS) opfordrer til "En ny databeskyttelsesaftale for Europa".

1. Hvor er vi to år efter Kommissionens forslag?

For to år siden, i januar 2012, foreslog Europa-Kommissionen en reform af EU's databeskyttelsesregler for at gøre dem egnede til det 21. århundrede (se IP / 12 / 46). Reformen består af et udkast til forordning, der fastlægger en generel EU-ramme for databeskyttelse og et udkast til direktiv om beskyttelse af personoplysninger, der behandles med henblik på forebyggelse, afsløring, efterforskning eller retsforfølgning af strafbare handlinger og relaterede retslige aktiviteter. Forslagene drøftes i øjeblikket af de to EU-medlovgivere, Europa-Parlamentet og EU-rådet, hvori de nationale ministre sidder.

For at blive lov skal forslagene godkendes af disse medlovgivere.

Europa-Parlamentet

Den 21. oktober 2013 støttede Europa-Parlamentets ledende udvalg om borgerlige frihedsrettigheder, retlige og indre anliggender (LIBE) Kommissionens forslag med et overvældende flertal og forstærkede dem endda på visse områder (se MEMO / 13 / 923 for alle detaljer). Rapporterne fra medlemmerne af Europa-Parlamentet (MEP'erne) Jan-Philipp Albrecht og Dimitrios Droutsas, som medlemmerne af LIBE-udvalget stemte om, blev hilst velkommen som en stærk støtte til Kommissionens pakketilgang til databeskyttelsesreformen og et vigtigt signal fremskridt i lovgivningsproceduren. LIBE-afstemningen giver dets ordførere, MEP'erne Albrecht og Droutsas, mandat til at indlede forhandlinger med Rådet for EU.

reklame

Rådet for EU

Databeskyttelsesreformen er blevet drøftet gentagne gange af nationale ministre i Justitsrådet. Senest nåede justitsministrene til en principaftale om "one-stop shop"-mekanismen (forslaget om, at enhver virksomhed, der opererer på det indre marked, skal have en fælles regulatorisk samtalepartner i EU) på Rådet i oktober 2013 (Rådets pressemeddelelse , SPEECH / 13 / 788). Forslagene blev drøftet igen på retsmødet i december (se SPEECH / 13 / 1029) og på det uformelle RIA-råd i Athen den 23.-24. januar. En aftale om reformen er mulig inden udgangen af ​​dette år.

Det Europæiske Råd

Europæiske stats- og regeringschefer forpligtede sig til en "rettidig" vedtagelse af den nye databeskyttelseslovgivning på et topmøde den 24. og 25. oktober 2013, som fokuserede på den digitale økonomi, innovation og tjenester (se konklusioner).

Hvad er de næste skridt?

Databeskyttelsesreformen er en prioritet for det græske formandskab. Formandskabet indkaldte til et trepartsmøde i Athen (den 22. januar) med Europa-Kommissionen, de to Europa-Parlamentets ordførere og det næste formandskab for EU (Italien) for at udarbejde en køreplan for hurtigt at blive enige om databeskyttelsesreformen. Målet er at blive enige om et mandat til forhandling med Europa-Parlamentet inden udgangen af ​​det græske formandskab.

Europa-Parlamentet forventes at vedtage forslagene ved førstebehandlingen på plenarmødet i april 2014.

En aftale om databeskyttelsesreformen er således mulig inden udgangen af ​​dette år. Til sammenligning: det nuværende databeskyttelsesdirektiv fra 1995 tog fem år at forhandle.

2. Hvad er de vigtigste fordele ved EU's databeskyttelsesreform?

Europa-Kommissionens forslag til en omfattende reform af EU's databeskyttelsesdirektiv fra 1995 har til formål at styrke privatlivets fred og sætte skub i Europas digitale økonomi. Kommissionens forslag opdaterer og moderniserer principperne i 1995-direktivet og bringer dem ind i den digitale tidsalder og bygger videre på det høje databeskyttelsesniveau, som har været på plads i Europa siden 1995.

Fordele for borgerne

Der er et klart behov for at lukke den voksende splid mellem enkeltpersoner og de virksomheder, der behandler deres data: Ni ud af ti europæere (92%) siger, at de er bekymrede over, at mobilapps indsamler deres data uden deres samtykke. Syv europæere ud af ti er bekymrede over den potentielle brug, som virksomheder kan gøre af de afslørede oplysninger (se bilag).

Databeskyttelsesreformen vil styrke borgernes rettigheder og dermed være med til at genoprette tilliden. Bedre databeskyttelsesregler betyder, at du kan være mere sikker på, hvordan dine personlige data behandles, især online. De nye regler vil give borgerne tilbage kontrol over deres data, især gennem:

  1. En ret til at blive glemt: Når du ikke længere ønsker, at dine data skal behandles, og der ikke er nogen legitim grund til at opbevare dem, slettes dataene. Dette handler om at styrke individer, ikke om at slette tidligere begivenheder eller begrænse pressefriheden (se separat afsnit om dette).
  2. Nemmere adgang til dine egne data: En ret til dataportabilitet vil gøre det nemmere for dig at overføre dine personlige data mellem tjenesteudbydere.
  3. Giver dig mulighed for at bestemme, hvordan dine data bruges: Når dit samtykke er påkrævet for at behandle dine data, skal du blive bedt om at give det eksplicit. Det kan ikke antages. At sige ingenting er ikke det samme som at sige ja. Virksomheder og organisationer skal også informere dig uden unødig forsinkelse om databrud, der kan påvirke dig negativt.
  4. Retten til at vide, hvornår dine data er blevet hacket: For eksempel skal virksomheder og organisationer underrette den nationale tilsynsmyndighed om alvorlige databrud så hurtigt som muligt (hvis det er muligt inden for 24 timer), så brugerne kan træffe passende foranstaltninger.
  5. Databeskyttelse først, ikke en eftertanke: "Privacy by design" og "privacy by default" vil også blive væsentlige principper i EU's databeskyttelsesregler – det betyder, at databeskyttelsesforanstaltninger bør indbygges i produkter og tjenester fra det tidligste udviklingsstadium, og at privatlivsvenlige standardindstillinger bør være normen – for eksempel på sociale netværk eller mobilapps.

Fordele for erhvervslivet

Data er valutaen i nutidens digitale økonomi. Indsamlet, analyseret og flyttet over hele kloden har persondata fået enorm økonomisk betydning. Ifølge nogle skøn har værdien af ​​europæiske borgeres personlige data potentiale til at vokse til næsten 1 billion euro årligt i 2020. At styrke Europas høje standarder for databeskyttelse er en forretningsmulighed.

Europa-Kommissionens databeskyttelsesreform vil hjælpe det digitale indre marked med at realisere dette potentiale, især gennem fire hovedinnovationer:

  1. Ét kontinent, én lov: Forordningen vil etablere en fælles, paneuropæisk lov for databeskyttelse, der erstatter det nuværende inkonsekvente kludetæppe af nationale love. Virksomheder vil håndtere én lov, ikke 28. Fordelene anslås til 2.3 milliarder euro om året.
  2. One-stop-shop: Forordningen vil etablere en "one-stop-shop" for virksomheder: virksomheder skal kun have at gøre med én enkelt tilsynsmyndighed, ikke 28, hvilket gør det enklere og billigere for virksomheder at drive forretning i EU; og nemmere, hurtigere og mere effektivt for borgerne at få deres personlige data beskyttet.
  3. De samme regler for alle virksomheder – uanset deres etablering: I dag skal europæiske virksomheder overholde strengere standarder end virksomheder, der er etableret uden for EU, men som også driver forretning på vores indre marked. Med reformen vil virksomheder uden for Europa skulle anvende de samme regler. Vi skaber lige vilkår.
  4. Europæiske tilsynsmyndigheder vil være udstyret med stærke håndhævelsesbeføjelser: Databeskyttelsesmyndighederne vil kunne bøde virksomheder, der ikke overholder EU-reglerne, med op til 2 % af deres globale årlige omsætning. Europa-Parlamentet har endda foreslået at hæve de mulige sanktioner til 5 %. Privatlivsvenlige europæiske virksomheder vil have en konkurrencefordel på globalt plan på et tidspunkt, hvor spørgsmålet bliver mere og mere følsomt.

Fordele for SMV'er

Databeskyttelsesreformen er rettet mod at stimulere økonomisk vækst ved at reducere omkostninger og bureaukrati for europæiske virksomheder, især for små og mellemstore virksomheder (SMV'er). For det første vil EU's databeskyttelsesreform ved at have én regel i stedet for 28 hjælpe SMV'er med at bryde ind på nye markeder. For det andet har Kommissionen foreslået at undtage SMV'er fra flere bestemmelser i databeskyttelsesforordningen – hvorimod dagens databeskyttelsesdirektiv fra 1995 gælder for alle europæiske virksomheder, uanset deres størrelse. I henhold til de nye regler vil SMV'er nyde godt af fire reduktioner i bureaukratiet:

  1. Databeskyttelsesansvarlige: SMV'er er fritaget for forpligtelsen til at udpege en databeskyttelsesansvarlig, i det omfang databehandling ikke er deres kerneforretningsaktivitet.
  2. Ikke flere meddelelser: Underretninger til tilsynsmyndigheder er en formalitet og bureaukrati, der repræsenterer en omkostning for virksomheden på 130 millioner euro hvert år. Reformen vil skrotte disse fuldstændigt.
  3. Hver krone tæller: Hvor anmodninger om adgang til data er overdrevne eller gentagne, vil SMV'er kunne opkræve et gebyr for at give adgang.
  4. Konsekvensanalyser: SMV'er har ingen forpligtelse til at udføre en konsekvensanalyse, medmindre der er en specifik risiko.

Reglerne vil også være fleksible. EU-reglerne vil tilstrækkeligt og korrekt tage højde for risiko. Vi vil sikre os, at der ikke pålægges forpligtelser, undtagen hvor de er nødvendige for at beskytte persondata: Bageren på hjørnet vil ikke være underlagt de samme regler som en (multinational) databehandler. I en række tilfælde er dataansvarliges og databehandleres forpligtelser kalibreret til virksomhedens størrelse og til arten af ​​de data, der behandles. For eksempel vil SMV'er ikke blive idømt bøder for en første og utilsigtet overtrædelse af reglerne.

3. Hvad er den "one-stop-shop" og "konsistensmekanismen", der foreslås i EU's databeskyttelsesreform? Hvordan vil de hjælpe?

Inden for et indre marked for data vil identiske regler på papir ikke være nok. Vi skal sikre, at reglerne fortolkes og anvendes på samme måde overalt. Derfor indfører vores reform en konsistensmekanisme at strømline samarbejdet mellem databeskyttelsesmyndighederne om spørgsmål med konsekvenser for hele Europa.

På nuværende tidspunkt skal en virksomhed, der behandler data i EU, forholde sig til 28 nationale love og med endnu flere nationale og lokale tilsynsmyndigheder. Databeskyttelsesforordningen vil etablere en enkelt, europæisk lov for databeskyttelse, der erstatter det nuværende inkonsekvente kludetæppe af 28 nationale love. Det vil også skabe en lovgivningsmæssig "one-stop-shop" for erhvervslivet: virksomheder skal kun handle med én tilsynsmyndighed, ikke 28.

Fejlene ved det nuværende system blev illustreret i Google Street View-sagen. En enkelt virksomheds handlinger påvirkede enkeltpersoner i flere medlemsstater på samme måde. Alligevel fremkaldte de ukoordinerede og divergerende svar fra de nationale databeskyttelsesmyndigheder.

One-stop-shoppen vil sikre retssikkerhed for virksomheder, der opererer i hele EU, og give fordele for enkeltpersoner og databeskyttelsesmyndigheder.

Virksomheder vil drage fordel af hurtigere beslutninger, fra én enkelt samtalepartner (der eliminerer flere kontaktpunkter) og fra mindre bureaukrati. De vil drage fordel af konsekvens i beslutninger, når den samme behandlingsaktivitet finder sted i flere medlemsstater.

Samtidig vil enkeltpersoner se deres beskyttelse styrket via deres lokale tilsynsmyndigheder, fordi enkeltpersoner altid vil kunne henvende sig til deres lokale databeskyttelsesmyndighed. Målet er at forbedre det nuværende system, hvor personer, der bor i et medlemsland, skal rejse til et andet medlemsland for at indgive en klage til en databeskyttelsesmyndighed, blot fordi virksomheden er baseret uden for deres hjemland. I øjeblikket, når en virksomhed er etableret i ét medlemsland, er det kun databeskyttelsesmyndigheden i det pågældende medlemsland, der er kompetent, selvom virksomheden behandler data i hele Europa. Forslagene har til formål at rette op på denne uregelmæssighed.

De nye regler bringer løsningen af ​​en klage tættere på borgerne, forenkler procedurer og fjerner kompleksitet og gør derved problemer lettere og hurtigere at løse. Dette ville på afgørende måde hjælpe borgerne i sager svarende til den østrigske studerendes, som skulle indgive sin klage over Facebook på engelsk til den myndighed i Irland, hvor Facebook er etableret.

Forslagene fastslår også en borgers ret til at indbringe en virksomhed, der behandler hans data, for retten i sit hjemland. Enhver borger har derfor ret til administrativ og retslig klage i hjemmet.

4. Hvordan vil EU's databeskyttelse hjælpe EU's digitale indre marked?

Verden har ændret sig dybt siden 1995, året hvor EU's eksisterende databeskyttelsesramme blev vedtaget. Teknologiske revolutioner har ført til en eksplosion i mængden og kvaliteten af ​​personlige data, der er tilgængelige i det digitale indre marked. Virksomheder har lært at udnytte sit potentiale i så forskellige sektorer som forsikring, sundhed og reklame. Indsamlet, analyseret og flyttet af disse virksomheder har persondata fået enorm økonomisk værdi. Ifølge Boston Consulting Group var værdien af ​​EU-borgeres data €315 mia. i 2011 og har potentiale til at vokse til næsten €1 billion i 2020.

Databeskyttelsesreformen vil hjælpe det digitale indre marked med at realisere dette potentiale. Fordelene ved forenkling via EU's databeskyttelsesreform anslås til 2.3 mia. EUR om året.

Den største udfordring for vækst i persondataafhængige industrier er mangel på tillid. Kun hvis folk er villige til at udlevere deres personlige data, vil virksomheder høste det fulde udbytte af vores digitale indre marked. I øjeblikket er folks tillid til den måde, private virksomheder håndterer deres data på, aftagende.

Databeskyttelse spiller en vigtig rolle i forhold til denne mangel på tillid. Folk skal se, at deres rettigheder håndhæves på en meningsfuld måde. Reformen vil opdatere borgernes rettigheder såsom retten til at blive glemt, retten til dataportabilitet og retten til at blive informeret om brud på persondatasikkerheden (se ovenfor). Reformen vil også sikre, at EU's regler anvendes korrekt. Den sørger for en effektiv håndhævelsesmekanisme og bemyndiger nationale tilsynsmyndigheder til at pålægge bøder på op til 2 % af en virksomheds årlige verdensomspændende omsætning.

5. Hvad er retten til at blive glemt? Vil det påvirke pressefriheden og de historiske arkiver?

Kommissionens forslag fra 2012 omfatter en styrket ret til at blive glemt. Reformforslagene bygger på den eksisterende ret til at kræve, at personoplysninger skal slettes, hvis de ikke længere er nødvendige til noget legitimt formål. Dette dækker over alle slags hverdagssituationer. For eksempel forstår børn måske ikke de risici, der er forbundet med at gøre deres personlige oplysninger tilgængelige - kun for at fortryde det, når de bliver voksne. De bør være i stand til at slette disse oplysninger, hvis de ønsker det.

Retten til at blive glemt handler ikke om at omskrive historien. Kommissionens forslag beskytter ytringsfriheden og mediernes frihed samt historisk og videnskabelig forskning. Den giver undtagelser for disse sektorer og anmoder medlemsstaterne om at vedtage nationale love for at sikre overholdelse af disse grundlæggende rettigheder. Dette gør det muligt for arkiverne at fortsætte driften efter de samme principper som i dag. Ligeledes kan personoplysninger opbevares, så længe det er nødvendigt for at udføre en kontrakt eller for at opfylde en juridisk forpligtelse (f.eks. når borgere har en lånekontrakt med deres bank). Kort sagt er retten til at blive glemt ikke absolut og berører hverken historisk forskning eller pressefriheden.

Virksomhedernes rettigheder er også beskyttet. Hvis de pågældende personoplysninger er blevet offentliggjort (f.eks. lagt på internettet), skal en virksomhed gøre en reel indsats for at sikre, at tredjemand kender til borgerens anmodning om at slette oplysningerne. En virksomhed vil åbenbart ikke være forpligtet til at udslette alle spor, der er tilbage i søgeindekser, og det er ikke det, Kommissionen beder om. Virksomheder bør blot tage rimelige skridt for at sikre, at tredjeparter, som oplysningerne er blevet videregivet til, informeres om, at den enkelte gerne vil have dem slettet. I de fleste tilfælde vil dette ikke involvere andet end at skrive en e-mail.

6. Hvordan vil EU's databeskyttelsesreform påvirke den videnskabelige forskning?

Videnskabelig forskning i EU vil drage fordel af den foreslåede databeskyttelsesreform. Personoplysninger vedrørende sundhed er følsomme data og bør generelt ikke behandles, medmindre det er nødvendigt af hensyn til offentlighedens interesse, eller hvor den identificerede person har givet sit samtykke. De databeskyttelsesregler, vi har i Europa i øjeblikket, harmoniserer ikke betingelserne for behandling af sundhedsdata. Dette har resulteret i fragmentering, omkostninger og afskrækkende incitamenter for involverede videnskabsmænd og virksomheder.

Kommissionens reformpakke sigter mod at fjerne fragmentering og skabe sammenhæng og sammenhæng for hele Unionen. Dette bør især gavne forskningssektoren. Den generelle databeskyttelsesforordning har specifikke bestemmelser om behandling til sundhedsformål og om historiske, statistiske og videnskabelige forskningsformål. Disse bestemmelser vil blive fuldt ud harmoniseret og give ét sæt regler om forskningsdata i hele Unionen.

Retten til at blive glemt gælder ikke for disse sektorer.

Ensartetheden af ​​reglerne vil reducere omkostninger og kompleksitet og fungere som en stærk driver for udviklingen af ​​grænseoverskridende sundhedsydelser, offentlig-private sundhedsinitiativer og e-sundhedsapplikationer, der er afgørende afhængige af behandlingen af ​​personoplysninger.

7. Hvad er EU's reaktion på påstande om amerikanske efterretningstjenesters overvågning af europæiske borgere?

Tilliden på tværs af det transatlantiske forhold er blevet beskadiget af afsløringerne. Europa-Kommissionen reagerede på de amerikanske overvågningsprogrammer ved at gøre det klart, at masseovervågning af borgere er uacceptabel. Dataindsamlingen bør være målrettet og begrænses til, hvad der står i rimeligt forhold til de opstillede mål. National sikkerhed betyder ikke, at noget går.

Overvågningsafsløringerne har også en økonomisk betydning. En undersøgelse udført af Cloud Security Alliance efter de seneste overvågningsafsløringer viste, at 56 % af de adspurgte var tøvende med at arbejde med enhver amerikansk-baseret cloud-tjenesteudbyder. Det er virkningen af ​​forbrugernes mistillid. I monetære termer anslår Information Technology and Innovation Foundation, at overvågningsafsløringerne vil koste den amerikanske cloud computing-industri 22-35 milliarder dollars i tabte indtægter i løbet af de næste tre år. Kort sagt: tabt tillid betyder tabt omsætning.

Den Europæiske Unions svar

I november 2013 redegjorde Europa-Kommissionen for de tiltag, der skal træffes for at genoprette tilliden til datastrømme mellem EU og USA (IP / 13 / 1166). Kommissionens svar havde form af (1) et strategidokument (en meddelelse) om transatlantiske datastrømme, der beskriver udfordringerne og risiciene efter afsløringerne af amerikanske efterretningsindsamlingsprogrammer samt de skridt, der skal tages for at imødegå disse bekymringer ; (2) en analyse af funktionen af 'Safe Harbour', som regulerer dataoverførsler til kommercielle formål mellem EU og USA; og (3) en rapport om resultaterne af EU-USA-arbejdsgruppen (se MEMO / 13 / 1059) om databeskyttelse, som blev oprettet i juli 2013.

Kommissionens strategidokument opfordrede til handling på seks områder:

  1. En hurtig vedtagelse af EU's databeskyttelsesreform: Den stærke lovgivningsramme med klare regler, der også kan håndhæves i situationer, hvor data overføres og behandles i udlandet, er mere end nogensinde en nødvendighed.
  2. At gøre Safe Harbor sikrere: Kommissionen fremsatte 13 anbefalinger for at forbedre Safe Harbor-ordningens funktion, efter at en analyse fandt, at ordningens funktion var mangelfuld i flere henseender. Afhjælpningerne bør identificeres inden sommeren 2014. Kommissionen vil derefter gennemgå ordningens funktion baseret på gennemførelsen af ​​disse 13 henstillinger og tage stilling til Safe Harbours fremtid.
  3. Styrkelse af databeskyttelsesgarantierne på retshåndhævelsesområdet: de igangværende forhandlinger om en "paraplyaftale" mellem EU og USA (IP / 10 / 1661) for overførsel og behandling af data i forbindelse med politisamarbejde og retligt samarbejde bør afsluttes hurtigt. En aftale skal garantere et højt beskyttelsesniveau for borgere, som bør nyde godt af de samme rettigheder på begge sider af Atlanten. Navnlig bør EU-borgere, der ikke er bosat i USA, nyde godt af retslige klagemekanismer. På det sidste EU-USA-retlige og indenrigsministermøde (den 18. november) blev der gjort gode fremskridt (MEMO / 13 / 1010).
  4. Brug af eksisterende gensidig juridisk bistand og sektoraftaler til at indhente data: Den amerikanske administration bør forpligte sig til, som et generelt princip, at gøre brug af en retlig ramme som den gensidige juridiske bistand og sektorspecifikke aftaler mellem EU og USA, såsom aftalen om passagernavne og Terroristfinansieringsporingsprogram, når overførsler af data er påkrævet til retshåndhævelsesformål. Det bør kun være muligt at spørge virksomhederne direkte i klart definerede, ekstraordinære og retslige situationer.
  5. Håndtering af europæiske bekymringer i den igangværende amerikanske reformproces:
    Europa-Kommissionen hilste præsident Obamas bemærkninger og præsidentens direktiv om revision af amerikanske efterretningsprogrammer velkommen (MEMO / 14 / 30). Det hilste især præsident Obamas vilje til at udvide de sikkerhedsforanstaltninger, der i øjeblikket er tilgængelige for amerikanske statsborgere med hensyn til dataindsamling til nationale sikkerhedsformål, til ikke-amerikanske statsborgere. Disse tilsagn bør nu følges op af lovgivningsmæssige tiltag.
  6. Fremme af privatlivsstandarder internationalt: USA bør tiltræde Europarådets konvention om beskyttelse af enkeltpersoner med hensyn til automatisk behandling af personoplysninger ("konvention 108"), da det tiltrådte 2001-konventionen om cyberkriminalitet.

Kommissionen gjorde det også klart, at standarder for databeskyttelse ikke vil være en del af de igangværende forhandlinger om et transatlantisk handels- og investeringspartnerskab.

EU-USA-arbejdsgruppen

Ad hoc-arbejdsgruppen mellem EU og USA om databeskyttelse blev nedsat i juli 2013 for at undersøge spørgsmål, der stammer fra afsløringer af en række amerikanske overvågningsprogrammer, der involverer storstilet indsamling og behandling af personoplysninger. Formålet var at fastslå fakta omkring amerikanske overvågningsprogrammer og deres indvirkning på EU-borgeres personoplysninger.

arbejdsgruppens hovedresultater var følgende:

  1. En række amerikanske love tillader storstilet indsamling og behandling af personoplysninger, der er blevet overført til USA eller behandles af amerikanske virksomheder, til udenlandske efterretningsformål. USA bekræftede eksistensen og hovedelementerne i visse aspekter af disse programmer, hvor dataindsamling og -behandling sker med et grundlag i amerikansk lovgivning, der fastlægger specifikke betingelser og garantier.
  2. Der er forskelle i de sikkerhedsforanstaltninger, der gælder for EU-borgere sammenlignet med amerikanske statsborgere, hvis data behandles. Der er et lavere niveau af sikkerhedsforanstaltninger, der gælder for EU-borgere, samt en lavere tærskel for indsamling af deres personoplysninger. Mens amerikanske statsborgere nyder godt af forfatningsmæssig beskyttelse, gælder disse ikke for EU-borgere, der ikke er bosat i USA
  3. Da kendelserne fra Foreign Intelligence Surveillance Court er hemmelige, og virksomheder er forpligtet til at opretholde tavshedspligt med hensyn til den bistand, de er forpligtet til at yde, er der ingen veje (retlige eller administrative) for hverken EU- eller USA-registrerede at blive informeret om om deres personoplysninger bliver indsamlet eller viderebehandlet. Der er ingen muligheder for enkeltpersoner for at få adgang, berigtigelse eller sletning af data eller administrativ eller retslig klageadgang.
  4. Mens der er en vis grad af tilsyn fra de tre regeringsgrene, som gælder i specifikke sager, herunder retligt tilsyn med aktiviteter, der indebærer en kapacitet til at fremtvinge oplysninger, er der ingen retslig godkendelse af, hvordan de indsamlede data forespørges: dommere bliver ikke bedt om at godkende de "selektorer" og kriterier, der anvendes til at undersøge dataene og udvinde brugbare oplysninger.

Gør Safe Harbor sikrere

Europa-Kommissionen fremsatte 13 anbefalinger til forbedre funktionen af ​​Safe Harbor-ordningen. Kommissionen opfordrede specifikt de amerikanske myndigheder til at identificere løsninger inden sommeren 2014. Kommissionen vil derefter gennemgå Safe Harbor-ordningens funktion baseret på gennemførelsen af ​​disse 13 anbefalinger og tage stilling til dens fremtid.

De 13 anbefalinger er (se også MEMO / 13 / 1059):

Gennemsigtighed

  1. Selvcertificerede virksomheder bør offentliggøre deres privatlivspolitikker.
  2. Fortrolighedspolitikker for selvcertificerede virksomheders hjemmesider bør altid indeholde et link til Department of Commerce Safe Harbor-webstedet, som viser alle de "nuværende" medlemmer af ordningen.
  3. Selvcertificerede virksomheder bør offentliggøre fortrolighedsbetingelser for alle kontrakter, de indgår med underleverandører, f.eks. cloud computing-tjenester.
  4. Marker tydeligt på handelsministeriets hjemmeside alle virksomheder, der ikke er nuværende medlemmer af ordningen.

Redress

  1. Privatlivspolitikkerne på virksomheders websteder bør indeholde et link til udbyderen af ​​alternativ tvistbilæggelse (ADR).
  2. ADR skal være let tilgængelig og overkommelig.
  3. Handelsministeriet bør overvåge ATB-udbydere mere systematisk med hensyn til gennemsigtigheden og tilgængeligheden af ​​oplysninger, de giver om den procedure, de anvender, og den opfølgning, de giver på klager.

Håndhævelse

  1. Efter certificering eller gencertificering af virksomheder under Safe Harbour bør en vis procentdel af disse virksomheder være genstand for ex officio-undersøgelser af effektiv overholdelse af deres privatlivspolitikker (der går ud over kontrol med overholdelse af formelle krav).
  2. Når der er konstateret manglende overholdelse, efter en klage eller en undersøgelse, bør virksomheden være genstand for opfølgende specifik undersøgelse efter 1 år.
  3. I tilfælde af tvivl om en virksomheds overholdelse eller verserende klager bør handelsministeriet informere den kompetente EU-databeskyttelsesmyndighed.
  4. Falske påstande om overholdelse af Safe Harbor bør fortsat undersøges.

Adgang fra amerikanske myndigheder

  1. Persondatapolitikker for selvcertificerede virksomheder bør omfatte oplysninger om, i hvilket omfang amerikansk lovgivning tillader offentlige myndigheder at indsamle og behandle data, der overføres under Safe Harbour. Virksomheder bør især tilskyndes til at angive i deres privatlivspolitikker, når de anvender undtagelser fra principperne for at opfylde krav til national sikkerhed, offentlig interesse eller lovhåndhævelse.
  2. Det er vigtigt, at den nationale sikkerhedsundtagelse, som er forudset i Safe Harbor-beslutningen, kun anvendes i et omfang, der er strengt nødvendigt eller forholdsmæssigt.

EU-USA-forhandlinger om en "paraplyaftale" om databeskyttelse

EU og USA forhandler i øjeblikket om en rammeaftale om databeskyttelse inden for politi og retligt samarbejde ("paraplyaftale") (IP / 10 / 1661). EU's mål i disse forhandlinger er at sikre et højt niveau af databeskyttelse i overensstemmelse med EU's databeskyttelsesregler for borgere, hvis data overføres på tværs af Atlanten, og derved yderligere styrke samarbejdet mellem EU og USA i kampen mod kriminalitet og terrorisme.

Indgåelsen af ​​en sådan aftale, der sikrer et højt niveau for beskyttelse af personoplysninger, vil udgøre et væsentligt bidrag til at styrke tilliden på tværs af Atlanten.

På det sidste EU-USA-rets- og indenrigsministermøde (den 18. november) gjorde vi gode fremskridt:

  1. For det første forpligtede USA sig til at arbejde på at løse et af de udestående spørgsmål for EU – nemlig at give EU-borgere, der ikke er bosiddende i USA, ret til klageadgang, hvis deres data er blevet mishandlet.
  2. For det andet understregede USA deres forpligtelse til at bruge aftalen om gensidig retshjælp mellem EU og USA mere bredt og effektivt, når de ønsker at indhente data om EU-borgere til bevisformål i straffesager.

EU og USA har forpligtet sig til at "afslutte forhandlingerne om aftalen inden sommeren 2014"(MEMO / 13 / 1010).

BILAG

1. Eurobarometer: Syv europæere ud af ti er bekymrede over den potentielle brug, som virksomheder kan gøre af de afslørede oplysninger.

kilde: Flash Eurobarometer 359: Attitudes on Data Protection and Electronic Identity in the European Union, juni 2011

Mere information

Pressemeddelelse - Reding tale ved CEPS
Databeskyttelsesreform
Europa-Kommissionen – databeskyttelse
Hjemmeside for vicepræsident Viviane Reding
Justitsdirektoratet General Newsroom
Følg vicepræsidenten på Twitter:VivianeRedingEU
Følg EU-Domstolen på Twitter: EU_Justice

Del denne artikel:

EU Reporter udgiver artikler fra en række eksterne kilder, som udtrykker en bred vifte af synspunkter. Standpunkterne i disse artikler er ikke nødvendigvis EU Reporters.

trending