Ferill 638. máls. Aðrar útgáfur af skjalinu: Word Perfect.
126. löggjafarþing 2000–2001.
Þskj. 1015 — 638. mál.
Tillaga til þingsályktunar
um staðfestingu ákvörðunar sameiginlegu EES-nefndarinnar nr. 108/2000, um breytingu á XI. viðauka (Fjarskiptaþjónusta) við EES-samninginn.
(Lögð fyrir Alþingi á 126. löggjafarþingi 2000–2001.)
Alþingi ályktar að heimila ríkisstjórninni að staðfesta fyrir Íslands hönd ákvörðun sameiginlegu EES-nefndarinnar nr. 108/2000 frá 30. nóvember 2000, um breytingu á XI. viðauka (Fjarskiptaþjónusta) við EES-samninginn frá 2. maí 1992, og fella inn í samninginn ákvarðanir framkvæmdastjórnarinnar 2000/518/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Sviss, 2000/519/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Ungverjalandi og 2000/520/ EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd samkvæmt þeim meginreglum um örugga höfn fyrir friðhelgi einkalífsins og þeim algengu spurningum og svörum um það efni sem viðskiptaráðuneyti Bandaríkjanna hefur gefið út.
Athugasemdir við þingsályktunartillögu þessa.
1. Inngangur.
Með þingsályktunartillögu þessari er leitað heimildar Alþingis til staðfestingar á ákvörðun sameiginlegu EES-nefndarinnar nr. 108/2000 frá 30. nóvember 2000, um breytingu á XI. viðauka (Fjarskiptaþjónusta) við EES-samninginn frá 2. maí 1992, og fella inn í samninginn ákvarðanir framkvæmdastjórnarinnar 2000/518/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Sviss, 2000/519/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Ungverjalandi og 2000/520/ EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd samkvæmt þeim meginreglum um örugga höfn fyrir friðhelgi einkalífsins og þeim algengu spurningum og svörum um það efni sem viðskiptaráðuneyti Bandaríkjanna hefur gefið út.
Ákvörðun þessi kallar á lagabreytingar hér á landi og var tekin af sameiginlegu EES- nefndinni með stjórnskipulegum fyrirvara af Íslands hálfu. Í tillögu þessari er gerð nánari grein fyrir því hvað felst í slíkum fyrirvara, sbr. 103. gr. EES-samningsins. Jafnframt er gerð grein fyrir efni þeirra ákvarðana sem hér um ræðir. Gerðir þessar fela ekki í sér breytingar á þeim meginreglum sem í EES-samningnum felast.
Ákvörðun sameiginlegu EES-nefndarinnar sem hér um ræðir eru prentuð sem fylgiskjal með tillögu þessari ásamt gerðunum sjálfum.
2. Um stjórnskipulegan fyrirvara.
Ákvarðanir sameiginlegu EES-nefndarinnar um breytingar á viðaukum eða bókunum við EES-samninginn eru þjóðréttarsamningar. Samkvæmt samningnum er ekki gert ráð fyrir því að í ákvörðunum sé kveðið á um að gildistaka þeirra gagnvart aðildarríkjunum sé háð staðfestingu þeirra heima fyrir. Þær verða með öðrum orðum skuldbindandi fyrir aðildarríkin um leið og þær hafa verið teknar nema eitthvert aðildarríkjanna beiti heimild í 103. gr. EES- samningsins til að gera fyrirvara um að ákvörðun geti ekki orðið bindandi strax vegna stjórnskipulegra skilyrða heima fyrir. Hafa ríkin sex mánaða frest frá töku ákvörðunar í sameiginlegu nefndinni til að aflétta fyrirvaranum. Með þessu er vísað til nauðsynlegs atbeina þjóðþinga aðildarríkjanna og af hálfu Íslands hefur fyrirvara þessum því einungis verið beitt þegar ljóst er að ákvörðun kallar á lagabreytingar. Almennt hefur ekki verið leitað sérstaks samþykkis Alþingis áður en stjórnskipulegum fyrirvara er aflétt heldur látið við það sitja að Alþingi hafi samþykkt nauðsynlegar lagabreytingar vegna innleiðingar ákvarðana. Þetta felur í sér nokkurt frávik frá almennri meðferð vegna staðfestingar þjóðréttarsamninga þar sem atbeina Alþingis er krafist en á sér skýringar í sérstöðu ákvarðana sameiginlegu EES-nefndarinnar meðal þjóðréttarsamninga. Hins vegar hafa nokkrir ókostir fylgt þessu fyrirkomulagi. Má þar helst nefna annars vegar að nokkuð mismunandi er með hvaða hætti það hefur komið fram í lagafrumvörpum hvernig þau tengjast tilteknum ákvörðunum sameiginlegu EES- nefndarinnar og hins vegar að með þessari aðferð hefur skort á að Alþingi hafi verið gefinn kostur á að taka beina afstöðu til staðfestingar einstakra ákvarðana nefndarinnar. Í vissum tilvikum hafa ákvarðanir sameiginlegu EES-nefndarinnar kveðið á um að bætt sé við EES- samninginn tiltekinni EB-gerð sem ekki öðlast gildi innan Evrópusambandsins fyrr en einhverjum missirum eða jafnvel árum seinna. Samkvæmt EES-samningnum er Ísland skuldbundið til að taka endanlega afstöðu til þess hvort slík gerð verði hluti samningsins innan sex mánaða frá töku ákvörðunarinnar í sameiginlegu EES-nefndinni en hefur sama svigrúm og önnur aðildarríki samningsins til að innleiða viðkomandi gerð í landsrétt. Fram að þessu hefði eina leiðin verið sú að setja lög til innleiðingar þessara gerða innan sex mánaða frestsins en þau lög hefðu þá að sjálfsögðu ekki þurft að taka gildi fyrr en á ætluðum gildistökudegi gerðarinnar. Þetta er mjög óheppileg leið þar sem við undirbúning slíkrar lagasetningar er oft og tíðum horft til fordæma erlendis frá en þar er að jafnaði ekki hugað að slíkri lagasetningu fyrr en nær dregur gildistöku viðkomandi gerðar. Að þessari leið slepptri er eina leiðin til að virða samningsskuldbindingar Íslands að leita sérstaks samþykkis Alþingis í formi þingsályktunar.
Að öllu þessu virtu hefur almenn meðferð þeirra ákvarðana sameiginlegu EES-nefndarinnar þar sem Ísland hefur gert stjórnskipulegan fyrirvara verið færð til samræmis við meðferð þjóðréttarsamninga. Í því felst að almennt er leitað sérstaklega eftir samþykki Alþingis til staðfestingar sérhverri ákvörðun sameiginlegu EES-nefndarinnar sem stjórnskipulegur fyrirvari hefur verið gerður við. Slíks samþykkis er leitað í formi þingsályktunar en viðeigandi ráðuneyti munu samhliða undirbúa nauðsynleg frumvörp til lagabreytinga. Jafnframt hefur þeirri föstu vinnureglu verið komið á, með vísan til 24. gr. laga um þingsköp Alþingis, að haft verði samráð við utanríkismálanefnd um efni þessara ákvarðana meðan þær eru á undirbúningsstigi.
3. Ákvarðanir framkvæmdastjórnarinnar um vernd persónuupplýsinga í Sviss, Ungverjalandi og Bandaríkjunum.
Ákvörðun framkvæmdastjórnarinnar 2000/518/EB fjallar um stöðu persónuupplýsingaverndar í Sviss með hliðsjón af landslögum. Var skipaður vinnuhópur til að gera úttekt á stöðu mála varðandi vernd persónuupplýsinga í Sviss, en alríkislög landsins taka jafnt til verndar persónuupplýsinga hjá opinberum (alríkis) aðilum og einkaaðilum, en lög hverrar kantónu taka til verndar persónuupplýsinga varðandi stofnanir hennar. Í ljós kom er alríkislög, en þau taka bæði til rafrænnar vinnslu persónuupplýsinga sem handvirkrar, voru borin saman við skilyrði tilskipunar 95/46/EB, að öllum skilyrðum tilskipunarinnar var fullnægt. Samt þótti ástæða til að nánar yrði skilgreint hvernig vernd viðkvæmra persónuupplýsinga skyldi háttað þótt sjónarmiða um gagnsæi í stjórnsýslu skyldi almennt gætt við vinnslu opinberra (alríkis) aðila á persónuupplýsingum. Að öðru leyti gildir regla alríkislaganna um góða trú. Við samanburð á skilyrðum tilskipunarinnar við lög innan hverrar kantónu kom í ljós að kantónunum er áskilið að uppfylla ákvæði alríkislaganna varðandi vernd persónuupplýsinga og var því niðurstaða vinnuhópsins að sama gildi um lög einstakra kantóna og alríkislög.
Ákvörðun framkvæmdastjórnarinnar 2000/519/EB fjallar um stöðu persónuupplýsingaverndar í Ungverjalandi með hliðsjón af landslögum. Var skipaður vinnuhópur til að gera úttekt á stöðu mála varðandi vernd persónuupplýsinga, en í áliti hans kom fram að gildissvið ungverskra laga um persónuvernd er mjög víðtækt og skýrar reglur gilda um aðgang almennings að opinberum skjölum. Enn fremur reyndust lögin uppfylla skilyrði tilskipunar 95/46/ EB. Var því niðurstaða vinnuhópsins að ungversk lög veittu persónuupplýsingum fullnægjandi vernd í skilningi 6. mgr. 25. gr. tilskipunarinnar.
Ákvörðun framkvæmdastjórnarinnar 2000/520/EB fjallar um fullnægjandi vernd persónuupplýsinga í Bandaríkjunum í ljósi sjónarmiða um öruggar hafnir (Safe Harbour Privacy Principles) og svara við algengum spurningum (Frequently asked questins (FAQ)) sem bandaríska viðskiptaráðuneytið gefur út. Segir að meta megi þá vernd nægilega, í skilningi 2. mgr. 25. gr. tilskipunar 95/46/EB, ef uppfylltar séu meginreglurnar um örugga höfn, að virtum þeim skýringum á efni þeirra sem ráða má af „FAQ“, svo framarlega sem eftirtalin skilyrði verði uppfyllt:
a) að sá aðili sem móttekur persónuupplýsingarnar hafi ótvírætt og opinberlega lýst því yfir að hann muni framfylgja meginreglunum um opinbera höfn sem beitt verði með hliðsjón af FAQ, í öllu tilliti, og,
b) að viðtakandi persónuupplýsinganna heyri undir valdsvið einhverra þeirra opinberu stjórnvalda sem talin eru upp í viðauka 3 sem geta tekið kærur til meðferðar og komið í veg fyrir óréttláta eða villandi framkvæmd, svo og ákvarðað bætur til einstaklinga, án tillits til búsetulands þeirra eða þjóðernis, vegna brota á meginreglunum.
Framangreind skilyrði teljast uppfyllt þegar viðtakandi persónuupplýsinga hefur lýst því yfir gagnvart bandaríska viðskiptaráðuneytinu að hann skuldbindi sig til að framfylgja meginreglunum og undir valdsvið hvaða opinbera stjórnvalds hann heyri. Þá segir að stjórnvöld í aðildarríkjunum geti stöðvað flæði persónuupplýsinga til móttökuaðila, til verndar tilteknum einstaklingi, þegar unnið er með persónuupplýsingar enda hafi opinbert stjórnvald skv. b-lið hér á undan ákveðið að viðkomandi aðili hafi brotið gegn meginreglunum. Einnig má stöðva flæði persónuupplýsinga til viðtökuaðila séu verulegar líkur taldar á að brotið hafi verið gegn meginreglunum. Um leið og bætt hefur verið úr, skal viðtökuaðila veittur aðgangur að upplýsingum að ný. Aðildarríki skulu tilkynna framkvæmdastjórn ESB jafnskjótt og þau grípa til aðgerða af þessum toga. Ýmis önnur úrræði eru og fyrir hendi til að tryggja að eftirlitsaðilar (opinber stjórnvöld sem talin eru upp í viðauka 3) ræki skyldur sínar. Í gerðinni eru og ákvæði um endurskoðun gerðarinnar og að viðhafa skuli allar ráðstafanir til að framfylgja henni eigi síðar en 90 dögum frá því hún hefur verið tilkynnt aðildaríkjum.
Dómsmálaráðherra mun á yfirstandandi löggjafarþingi leggja fram frumvarp til breytinga á lögum um persónuvernd sem nauðsynlegar eru til að geta innleitt þessar ákvarðanir í íslenskan rétt.
Fylgiskjal I.
ÁKVÖRÐUN SAMEIGINLEGU EES-NEFNDARINNAR nr. 108/2000
frá 30. nóvember 2000
um breytingu á XI. viðauka (Fjarskiptaþjónusta) við EES-samninginn
SAMEIGINLEGA EES-NEFNDIN HEFUR,
með hliðsjón af samningnum um Evrópska efnahagssvæðið, eins og hann var aðlagaður með bókun um breytingu á samningnum um Evrópska efnahagssvæðið, er nefnist hér á eftir samningurinn, einkum 98. gr.,
og að teknu tilliti til eftirfarandi:
1) XI. viðauka við samninginn var breytt með ákvörðun sameiginlegu EES-nefndarinnar nr. 92/2000 frá 27. október 2000( 1 ).
2) Tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga var felld inn í samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 83/1999( 2 ).
3) Ákvörðun framkvæmdastjórnarinnar 2000/518/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Sviss( 3 ) skal felld inn í samninginn.
4) Ákvörðun framkvæmdastjórnarinnar 2000/519/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Ungverjalandi( 4 ) skal felld inn í samninginn.
5) Ákvörðun framkvæmdastjórnarinnar 2000/520/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd samkvæmt þeim meginreglum um örugga höfn fyrir friðhelgi einkalífsins og þeim algengu spurningum og svörum um það efni sem viðskiptaráðuneyti Bandaríkjanna hefur gefið út( 5 ) skal felld inn í samninginn.
ÁKVEÐIÐ EFTIRFARANDI:
1. gr.
„5ea. 32000 D 0518: Ákvörðun framkvæmdastjórnarinnar 2000/518/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Sviss (Stjtíð. EB L 215, 25.8.2000, bls. 1).
5eb. 32000 D 0519: Ákvörðun framkvæmdastjórnarinnar 2000/519/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Ungverjalandi (Stjtíð. EB L 215, 25.8.2000, bls. 4).
5ec. 32000 D 0520: Ákvörðun framkvæmdastjórnarinnar 2000/520/EB frá 26. júlí 2000 sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd samkvæmt þeim meginreglum um örugga höfn fyrir friðhelgi einkalífsins og þeim algengu spurningum og svörum um það efni sem viðskiptaráðuneyti Bandaríkjanna hefur gefið út (Stjtíð. EB L 215, 25.8.2000, bls. 7).“
2. gr.
3. gr.
4. gr.
Gjört í Brussel 30. nóvember 2000.
Fyrir hönd sameiginlegu EES-nefndarinnar
Formaður
G. S. Gunnarsson
Ritarar
sameiginlegu EES-nefndarinnar
P. K. Mannes E. Gerner
Fylgiskjal II.
ÁKVÖRÐUN FRAMKVÆMDASTJÓRNARINNAR
frá 26. júlí 2000
sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Sviss
(tilkynnt með númeri C (2000) 2304)
(Texti sem varðar EES)
(2000/518/EB)
FRAMKVÆMDASTJÓRN EVRÓPUBANDALAGANNA HEFUR,
með hliðsjón af stofnsáttmála Evrópubandalagsins,
með hliðsjón af tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga ( 1 ), einkum 6. mgr. 25. gr.,
og að teknu tilliti til eftirfarandi:
1) Samkvæmt tilskipun 95/46/EB er aðildarríkjunum gert að kveða á um að einungis megi flytja persónuupplýsingar til lands utan bandalagsins ef það land tryggir fullnægjandi vernd og ef farið hefur verið að lögum aðildarríkisins við framkvæmd annarra ákvæða tilskipunarinnar þegar flutningurinn á sér stað.
2) Framkvæmdastjórnin getur komist að þeirri niðurstöðu að þriðja land tryggi fullnægjandi vernd. Sé svo er heimilt að flytja persónuupplýsingar frá aðildarríkinu án frekari tryggingar.
3) Samkvæmt tilskipun 95/46/EB skal meta stig gagnaverndar í ljósi allra ríkjandi aðstæðna þegar gagnaflutningsaðgerð eða röð gagnaflutningsaðgerða á sér stað og taka tillit til þeirra skilyrða sem sett eru. Starfshópurinn um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga, sem komið var á fót samkvæmt þeirri tilskipun, hefur gefið út leiðbeiningar um gerð slíks mats ( 1 ).
4) Í ljósi þess hve ólíkar leiðir eru farnar að gagnavernd í þriðju löndum skal fara fram mat á fullnægjandi vernd og framfylgja skal öllum ákvörðunum, sem eru byggðar á 6. mgr. 25. gr. tilskipunar 95/46/EB, á þann hátt að það hafi ekki í för með sér geðþóttabundna eða óréttlætanlega mismunun gegn eða á milli þriðju landa þar sem skilyrði eru svipuð né myndi dulbúnar viðskiptahindranir, að teknu tilliti til skuldbindinga bandalagsins á alþjóðavettvangi.
5) Í sambandslýðveldinu Sviss hafa lagareglur um vernd persónuupplýsinga bindandi lagaleg áhrif, bæði innan sambandslýðveldisins og hverrar kantónu um sig.
6) Stjórnarskrá sambandslýðveldisins, sem var breytt með þjóðaratkvæðagreiðslu 18. apríl 1999 og tók gildi 1. janúar 2000, veitir sérhverjum einstaklingi rétt til þess að friðhelgi einkalífs hans sé virt og einkum að hann sé verndaður fyrir því að gögn um hann séu misnotuð. Ríkisdómstóllinn hefur þróað fordæmisrétt á grundvelli fyrri stjórnarskrárlaga, en í þeim voru engin ákvæði voru um slíkt, þar sem mælt er fyrir um almennar meginreglur sem skulu gilda um vinnslu persónuupplýsinga, einkum gæði þeirra gagna sem unnið er úr, rétt viðkomandi einstaklings til þess að fá aðgang að þeim og rétt til að krefjast þess að gögn séu leiðrétt eða þeim eytt. Þessar meginreglur eru bindandi bæði hvað varðar sambandslýðveldið og einstakar kantónur.
7) Svissnesku lögin um gagnavernd frá 19. júní 1992 öðluðust gildi 1. júlí 1993. Ríkisráðið mælti fyrir um reglur um framkvæmd tiltekinna ákvæða í lögunum, meðal annars um rétt einstaklinga til að hafa aðgang að gögnum er varða þá, tilkynningu gagnavinnsluaðila til óháðra eftirlitsyfirvalda og gagnaflutninga til annarra landa. Lögin gilda um vinnslu persónuupplýsinga á vegum stofnana sambandsríkisins, alls einkageirans og um gagnavinnslu stofnana einstakra kantóna samkvæmt lögum sambandsríkisins þar sem slík vinnsla fellur ekki undir ákvæði einstakra kantóna um gagnavernd.
8) Flestar kantónurnar hafa samþykkt lög um gagnavernd á þeim sviðum sem heyra undir lögmælt yfirráð þeirra, einkum að því er varðar opinber sjúkrahús, menntun, beina skatta til kantónunnar og lögregluna. Í hinum kantónunum er slík gagnavinnsla háð reglugerðarákvæðum eða meginreglum í fordæmisrétti kantónunnar. Kantónur verða fara eftir stjórnskipulegum meginreglum burtséð frá uppruna og innihaldi ákvæða kantónanna eða þegar engin ákvæði hafa verið sett innan kantónunnar. Yfirvöld kantónanna geta, hvert á sínu yfirráðasvæði, þurft að flytja persónuupplýsingar til opinberra yfirvalda í nálægum löndum, aðallega sem lið í gagnkvæmri aðstoð til að vernda mikilvæga hagsmuni almennings eða, þegar um er að ræða opinber sjúkrahús, til að vernda lífshagsmuni viðkomandi einstaklinga.
9) Sviss fullgilti, 2. október 1997, samþykkt Evrópuráðsins um vernd einstaklinga að því er varðar sjálfvirka vinnslu persónuupplýsinga (samþykkt nr. 108) ( 2 ), sem miðar að því að efla vernd persónuupplýsinga og tryggja frjálsa dreifingu þeirra milli samningsaðila með fyrirvara um þær undanþágur sem þessir aðilar kunna að kveða á um. Þótt ekki sé um að ræða beina beitingu samþykktarinnar er í henni mælt fyrir um alþjóðlegar skuldbindingar bæði sambandsríkisins og kantónanna. Þessar skuldbindingar varða ekki aðeins grundvallarreglur um vernd, sem hver samningsaðili verður að taka upp í landslög sín, heldur einnig samstarfsfyrirkomulag milli samningsaðilanna. Einkum skulu lögbær svissnesk yfirvöld veita yfirvöldum annarra samningsaðila, sem þess óska, allar upplýsingar um lög og stjórnsýsluvenjur varðandi gagnavernd og upplýsingar um hvert og eitt tilvik um sjálfvirka gagnavinnslu. Þau skulu einnig aðstoða alla einstaklinga, sem dvelja erlendis, við að halda þeim rétti sínum að vera látinn vita ef gögn um hann eru unnin, rétti til að hafa aðgang að þessum gögnum og rétti til að fara fram á að þau verði leiðrétt eða þeim eytt og rétti til lagalegra úrræða.
10) Gildandi réttarreglur í Sviss ná yfir allar þær grundvallarreglur sem eru nauðsynlegar til að ná viðunandi verndarstigi fyrir einstaklinga, jafnvel þótt undanþágur og takmarkanir séu einnig veittar til að vernda mikilvæga hagsmuni almennings. Tryggt er með lagaúrræðum að þessum reglum sé beitt og með óháðu eftirliti sem yfirvöldin annast, t.d. umboðsmaður sambandsríkisins sem hefur verið falið vald til rannsókna og íhlutunar. Enn fremur gilda ákvæði svissneskra laga um einkaréttarlega ábyrgð ef ólögleg vinnsla á sér stað sem skaðar viðkomandi einstakling.
11) Til að tryggja gagnsæi, og til að gera lögbærum yfirvöldum í aðildarríkjunum kleift að vernda einstaklinga að því er varðar vinnslu persónuupplýsinga um þá, er nauðsynlegt að tilgreina í þessari ákvörðun undantekningartilvik þar sem réttlætanlegt er að stöðva tímabundið tilteknar gagnasendingar þrátt fyrir að vernd sé talin fullnægjandi.
12) Starfshópurinn um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga, sem komið var á fót samkvæmt 29. gr. tilskipunar 95/46/ EB, hefur skilað áliti um það verndarstig sem felst í svissneskum lögum sem tekið hefur verið tillit til við gerð þessarar ákvörðunar ( 1 ).
13) Ráðstafanirnar, sem kveðið er á um í þessari ákvörðun, eru í samræmi við álit nefndarinnar sem komið var á fót samkvæmt 31. gr. tilskipunar 95/46/EB.
SAMÞYKKT ÁKVÖRÐUN ÞESSA:
1. gr.
2. gr.
3. gr.
a) lögbær svissnesk yfirvöld hafa ákvarðað að viðtakandi brjóti gildandi reglur um vernd; eða
b) verulegar líkur eru á því að reglur um vernd séu brotnar, gild ástæða er til að ætla að lögbær svissnesk yfirvöld geri ekki eða muni ekki gera nægilegar ráðstafanir í tæka tíð til að leysa málið sem um ræðir, áframhaldandi gagnaflutningur myndi setja hina skráðu í yfirvofandi hættu á að skaðast alvarlega og lögbær yfirvöld í aðildarríkjunum hafa gert verulegt átak í málinu til viðvörunar þeim aðila sem ber ábyrgð á vinnslunni og hefur staðfestu í Sviss og veitt honum tækifæri til andsvara.
Hætta skal tímabundinni stöðvun jafnskjótt og tryggt er að farið sé að reglum um vernd og viðkomandi lögbær yfirvöld í bandalaginu hafa verið látin vita af því.
2. Aðildarríkin skulu tilkynna framkvæmdastjórninni án tafar um ráðstafanir sem eru gerðar á grundvelli 1. mgr.
3. Aðildarríkin og framkvæmdastjórnin skulu einnig tilkynna hvert öðru um þau tilvik þar sem aðgerðir aðila, sem tryggja skulu samræmi við reglur um vernd í Sviss, tryggja ekki slíkt samræmi.
4. Ef upplýsingarnar, sem er aflað samkvæmt 1., 2. og 3. mgr., leiða í ljós að aðili, sem ber ábyrgð á að tryggja samræmi við reglur um vernd í Sviss, gegnir ekki hlutverki sínu á skilvirkan hátt, skal framkvæmdastjórnin tilkynna lögbæru svissnesku yfirvaldi um það og, ef nauðsyn krefur, leggja fram drög að ráðstöfunum í samræmi við málsmeðferðina sem um getur í 31. gr. tilskipunar 95/46/EB með það fyrir augum að fella niður eða fresta gildistöku þessarar ákvörðunar eða takmarka gildissvið hennar.
4. gr.
Framkvæmdastjórnin skal, þremur árum eftir tilkynningu þessarar ákvörðunar til aðildarríkjanna, leggja mat á framkvæmd hennar á grundvelli fyrirliggjandi upplýsinga og greina nefndinni, sem var komið á fót samkvæmt 31. gr. tilskipunar 95/46/EB, frá öllum niðurstöðum þar að lútandi, þar á meðal öllum gögnum sem geta haft áhrif á þá niðurstöðu í 1. gr. þessarar ákvörðunar að vernd í Sviss sé fullnægjandi í skilningi 25. gr. tilskipunar 95/46/EB og öllum tilvikum þar sem framkvæmd þessarar ákvörðunar hefur haft mismunum í för með sér.
2. Framkvæmdastjórnin skal, ef þörf krefur, leggja fram drög að ráðstöfunum í samræmi við málsmeðferðina sem kveðið er á um í 31. gr. tilskipunar 95/46/EB.
5. gr.
6. gr.
Gjört í Brussel 26. júlí 2000.
Fyrir hönd framkvæmdastjórnarinnar,
Frederik BOLKESTEIN
framkvæmdastjóri.
Fylgiskjal III.
ÁKVÖRÐUN FRAMKVÆMDASTJÓRNARINNAR
frá 26. júlí 2000
sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd persónuupplýsinga í Ungverjalandi
(tilkynnt með númeri C (2000) 2305)
(Texti sem varðar EES)
(2000/519/EB)
FRAMKVÆMDASTJÓRN EVRÓPUBANDALAGANNA HEFUR,
með hliðsjón af stofnsáttmála Evrópubandalagsins,
með hliðsjón af tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga ( 1 ), einkum 6. mgr. 25. gr.,
og að teknu tilliti til eftirfarandi:
1) Samkvæmt tilskipun 95/46/EB er aðildarríkjunum gert að kveða á um að einungis megi flytja persónuupplýsingar til lands utan bandalagsins ef það land tryggir fullnægjandi vernd og ef farið hefur verið að lögum aðildarríkisins við framkvæmd annarra ákvæða tilskipunarinnar þegar flutningurinn á sér stað.
2) Framkvæmdastjórnin getur komist að þeirri niðurstöðu að þriðja land tryggi fullnægjandi vernd. Sé svo er heimilt að flytja persónuupplýsingar frá aðildarríkinu án frekari tryggingar.
3) Samkvæmt tilskipun 95/46/EB skal meta stig gagnaverndar í ljósi allra ríkjandi aðstæðna þegar gagnaflutningsaðgerð eða röð gagnaflutningsaðgerða á sér stað og taka tillit til þeirra skilyrða sem sett eru. Starfshópurinn um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga, sem komið var á fót samkvæmt þeirri tilskipun, hefur gefið út leiðbeiningar um gerð slíks mats ( 1 ).
4) Í ljósi þess hve ólíkar leiðir eru farnar að gagnavernd í þriðju löndum skal fara fram mat á fullnægjandi vernd og framfylgja öllum ákvörðunum, sem eru byggðar á 6. mgr. 25. gr. tilskipunar 95/46/EB, á þann hátt að það hafi ekki í för með sér geðþóttabundna eða óréttlætanlega mismunun gegn eða á milli þriðju landa þar sem skilyrði eru svipuð né myndi dulbúnar viðskiptahindranir, að teknu tilliti til skuldbindinga bandalagsins á alþjóðavettvangi.
5) Í Ungverjalandi hafa lagareglur um vernd persónuupplýsinga bindandi lagaleg áhrif.
6) Kveðið er á um verndun einkalífsins, einkum að því er varðar vinnslu persónuupplýsinga, í 59. gr. ungversku stjórnarskrárinnar. Mælt er fyrir um ákvæðin í lögum LXIII frá 17. nóvember 1992 sem öðluðust gildi 1. maí 1993. Í lögum um ýmsar sérgreinar eru einnig ákvæði um vernd persónuupplýsinga á ýmsum sviðum, svo sem í hagskýrslum, markaðsrannsóknum, vísinda rannsóknum og á heilbrigðissviði.
7) Ungverjaland fullgilti, 1. febrúar 1998, samþykkt Evrópuráðsins um vernd einstaklinga að því er varðar sjálfvirka vinnslu persónuupplýsinga (samþykkt nr. 108) ( 2 ), sem miðar að því að efla vernd persónuupplýsinga og tryggja frjálsa dreifingu þeirra milli samningsaðila með fyrirvara um þær umdanþágur sem þessir aðilar kunna að kveða á um. Þótt ekki sé um að ræða beina beitingu samþykktarinnar er í henni mælt fyrir um alþjóðlegar skuldbindingar sem varða ekki aðeins grundvallarreglur um vernd, sem hver samningsaðili verður að taka upp í landslög sín, heldur einnig samstarfsfyrirkomulag milli samningsaðilanna. Einkum skulu lögbær ungversk yfirvöld veita yfirvöldum annarra samningsaðila, sem þess óska, allar upplýsingar um lög og stjórnsýsluvenjur varðandi gagnavernd og upplýsingar um hvert og eitt tilvik um sjálfvirka gagnavinnslu. Þau skulu einnig aðstoða alla einstaklinga, sem dvelja erlendis, við að halda þeim rétti sínum að vera látinn vita ef gögn um hann eru unnin, rétti til að hafa aðgang að þessum gögum og rétti til að fara fram á að þau verði leiðrétt eða þeim eytt og rétti til lagalegra úrræða.
8) Gildandi réttarreglur í Ungverjalandi ná yfir allar þær grundvallarreglur sem eru nauðsynlegar til að ná viðunandi verndarstigi fyrir einstaklinga, jafnvel þótt undanþágur og takmarkanir séu einnig veittar til að vernda mikilvæga hagsmuni almennings. Tryggt er með lagaúrræðum að þessum reglum sé beitt og með óháðu eftirliti þess umboðsmanns sem þingið hefur tilnefnt samkvæmt lögum LXIII frá 1992. Enn fremur eru skaðabætur til einstaklinga, sem hafa orðið fyrir skaða vegna ólöglegrar gagnavinnslu, tryggðar með lögum.
9) Til að tryggja gagnsæi, og til að gera lögbærum yfirvöldum í aðildarríkjunum kleift að vernda einstaklinga að því er varðar vinnslu persónuupplýsinga um þá, er nauðsynlegt að tilgreina í þessari ákvörðun undantekningartilvik þar sem réttlætanlegt er að stöðva tímabundið tilteknar gagnasendingar þrátt fyrir að vernd sé talin nægileg.
10) Starfshópurinn um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga, sem komið var á fót samkvæmt 29. gr. tilskipunar 95/46/ EB, hefur skilað áliti um það verndarstig sem felst í ungverskum lögum sem tekið hefur verið tillit til við gerð þessarar ákvörðunar ( 3 ).
11) Ráðstafanirnar, sem kveðið er á um í þessari ákvörðun, eru í samræmi við álit nefndarinnar sem komið var á fót samkvæmt 31. gr. tilskipunar 95/46/EB.
SAMÞYKKT ÁKVÖRÐUN ÞESSA:
1. gr.
2. gr.
3. gr.
a) lögbær ungversk yfirvöld hafa ákvarðað að viðtakandi brjóti gildandi reglur um vernd; eða
b) verulegar líkur eru á því að reglur um vernd séu brotnar, gild ástæða er til að ætla að lögbær ungversk yfirvöld geri ekki eða muni ekki gera viðeigandi ráðstafanir í tæka tíð til að leysa málið sem um ræðir, áframhaldandi flutningur myndi setja þá sem gögnin eru um í yfirvofandi hættu á að skaðast og lögbær yfirvöld í aðildarríkjunum hafa gert verulegt átak í málinu til viðvörunar þeim aðila sem ber ábyrgð á vinnslunni og hefur staðfestu í Ungverjalandi og tækifæri til andsvara.
Hætta skal tímabundinni stöðvun jafnskjótt og tryggt er að farið sé að reglum um vernd og viðkomandi lögbær yfirvöld í bandalaginu hafa verið látin vita af því.
2. Aðildarríkin skulu tilkynna framkvæmdastjórninni án tafar um ráðstafanir sem eru gerðar á grundvelli 1. mgr.
3. Aðildarríkin og framkvæmdastjórnin skulu einnig tilkynna hvert öðru um þau tilvik þar sem aðgerðir aðila, sem tryggja skulu samræmi við reglur um vernd í Ungverjalandi, tryggja ekki slíkt samræmi.
4. Ef upplýsingarnar, sem er aflað samkvæmt 1., 2. og 3. mgr., leiða í ljós að einhver aðili, sem ber ábyrgð á að tryggja samræmi við reglur um vernd í Ungverjalandi, gegnir ekki hlutverki sínu á skilvirkan hátt skal framkvæmdastjórnin tilkynna lögbæru ungversku yfirvaldi um það og, ef nauðsyn krefur, leggja fram drög að ráðstöfunum í samræmi við málsmeðferðina sem um getur í 31. gr. tilskipunar 95/46/EB með það fyrir augum að fella niður eða fresta gildistöku þessarar ákvörðunar eða takmarka gildissvið hennar.
4. gr.
Framkvæmdastjórnin skal, þremur árum eftir tilkynningu sína til aðildarríkjanna leggja mat á framkvæmd þessarar ákvörðunar á grundvelli fyrirliggjandi upplýsinga og greinaa nefndinni, sem var komið á fót samkvæmt 31. gr. tilskipunar 95/46/EB, frá öllum niðurstöðum þar að lútandi, þar á meðal öllum gögnum sem geta haft áhrif þá niðurstöðu í 1. gr. þessarar ákvörðunar að vernd í Ungverjalandi sé nægileg í skilningi 25. gr. tilskipunar 95/46/EB og öllum tilvikum þar sem framkvæmd þessarar ákvörðunar hefur haft mismunum í för með sér.
2. Framkvæmdastjórnin skal, ef þörf krefur, leggja fram drög að ráðstöfunum í samræmi við málsmeðferðina sem kveðið er á um í 31. gr. tilskipunar 95/46/EB.
5. gr.
6. gr.
Gjört í Brussel 26. júlí 2000.
Fyrir hönd framkvæmdastjórnarinnar,
Frederik BOLKESTEIN
framkvæmdastjóri.
Fylgiskjal IV.
ÁKVÖRÐUN FRAMKVÆMDASTJÓRNARINNAR
frá 26. júlí 2000
sem byggð er á tilskipun Evrópuþingsins og ráðsins 95/46/EB og fjallar um fullnægjandi vernd samkvæmt þeim meginreglum um örugga höfn fyrir friðhelgi einkalífsins og þeim algengu spurningum og svörum um það efni sem viðskiptaráðuneyti Bandaríkjanna hefur gefið út
(tilkynnt með númeri C (2000) 2441)
(Texti sem varðar EES)
(2000/520/EB)
FRAMKVÆMDASTJÓRN EVRÓPUBANDALAGANNA HEFUR,
með hliðsjón af stofnsáttmála Evrópubandalagsins,
með hliðsjón af tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga ( 1 ), einkum 6. mgr. 25. gr.,
og að teknu tilliti til eftirfarandi:
1) Samkvæmt tilskipun 95/46/EB er aðildarríkjunum gert að kveða á um að einungis megi flytja persónuupplýsingar til lands utan bandalagsins ef það land tryggir fullnægjandi vernd og ef farið hefur verið að lögum aðildarríkisins við framkvæmd annarra ákvæða tilskipunarinnar þegar flutningurinn á sér stað.
2) Framkvæmdastjórnin getur komist að þeirri niðurstöðu að þriðja land tryggi fullnægjandi vernd. Sé svo er heimilt að flytja persónuupplýsingar frá aðildarríkinu án frekari tryggingar.
3) Samkvæmt tilskipun 95/46/EB skal meta stig gagnaverndar í ljósi allra ríkjandi aðstæðna þegar gagnaflutningsaðgerð eða röð gagnaflutningsaðgerða á sér stað og taka tillit til þeirra skilyrða sem sett eru. Starfshópurinn um vernd einstaklinga í tengslum við vinnslu upplýsinga, sem komið var á fót samkvæmt þeirri tilskipun ( 2 ), hefur gefið út leiðbeiningar um gerð slíks mats ( 3 ).
4) Í ljósi þess hve ólíkar leiðir eru farnar að gagnavernd í þriðju löndum skal fara fram mat á fullnægjandi vernd og framfylgja skal öllum ákvörðunum, sem eru byggðar á 6. mgr. 25. gr. tilskipunar 95/46/EB, á þann hátt að það hafi ekki í för með sér geðþóttabundna eða óréttlætanlega mismunun gegn þriðju löndum eða á milli þeirra þar sem skilyrði eru svipuð né myndi dulbúnar viðskiptahindranir, að teknu tilliti til skuldbindinga bandalagsins á alþjóðavettvangi.
5) Fullnægjandi vernd fyrir flutning gagna frá bandalaginu til Bandaríkjanna, samkvæmt þessari ákvörðun, telst hafa náðst ef fyrirtækin fara eftir meginreglum um örugga höfn fyrir friðhelgi einkalífsins við vernd persónuupplýsinga sem eru fluttar frá aðildarríki til Bandaríkjanna (hér á eftir nefndar „meginreglurnar“) og algengum spurningum og svörum (hér á eftir nefnd Spurningar og svör) sem ríkisstjórn Bandaríkjanna gaf út 21. júlí 2000 til leiðbeiningar um framkvæmd meginreglnanna. Enn fremur skulu fyrirtækin birta opinberlega stefnu sína varðandi friðhelgi einkalífsins og þau skulu annaðhvort heyra undir Alríkisviðskiptastofnunina (FTC) samkvæmt ákvæðum 5. þáttar laga um hana (The Federal Trade Commission Act), þar sem kveðið er á um bann við óheiðarlegri eða villandi háttsemi eða starfsháttum í viðskiptum eða í starfsemi sem hefur áhrif á viðskipti, eða annan lögskipaðan aðila sem tryggir á skilvirkan hátt samræmi við meginreglurnar sem eru framkvæmdar í samræmi við Spurningar og svör.
6) Þessi ákvörðun gildir ekki um sérsvið og/eða gagnavinnslu sem heyrir ekki undir neina af þeim bandarísku stjórnarstofnunum sem eru taldar upp í VII. viðauka við þessa ákvörðun.
7) Til að tryggja að þessari ákvörðun sé beitt á réttan hátt er nauðsynlegt að hagsmunaaðilar, t.d. hinir skráðu, þeir sem flytja gögnin út og gagnaverndaryfirvöld, geti borið kennsl á þau fyrirtæki sem gangast undir meginreglurnar og Spurningar og svör. Í því augnamiði er rétt að viðskiptaráðuneyti Bandaríkjanna eða fulltrúi þess taki að sér að halda skrá, sem almenningur hefur aðgang að, yfir fyrirtæki sem votta sjálf að þau gangist undir meginreglurnar sem eru framkvæmdar í samræmi við Spurningar og svör og heyra undir að minnsta kosti eina stjórnarstofnun sem um getur í VII. viðauka við þessa ákvörðun.
8) Til að tryggja gagnsæi, og til að gera lögbærum yfirvöldum í aðildarríkjunum kleift að vernda einstaklinga að því er varðar vinnslu persónuupplýsinga um þá, er nauðsynlegt að tilgreina í þessari ákvörðun undantekningartilvik þar sem réttlætanlegt er að stöðva tímabundið tilteknar gagnasendingar þrátt fyrir að vernd sé talin fullnægjandi.
9) Hugsanlega þarf að endurskoða kerfið „örugga höfn“, sem byggist á meginreglunum og Spurningum og svörum, í ljósi reynslunnar, þróunar í tengslum við verndun einkalífsins við aðstæður þar sem tæknin gerir flutning og vinnslu persónuupplýsinga sífellt auðveldari og í ljósi skýrslna viðkomandi þar til bærra yfirvalda um framkvæmdina.
10) Starfshópurinn um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga, sem komið var á fót samkvæmt 29. gr. tilskipunar 95/46/ EB, hefur skilað áliti um það verndarstig sem felst í meginreglunum um „örugga höfn“ í Bandaríkjunum sem tekið hefur verið tillit til við gerð þessarar ákvörðunar ( 1 ).
11) Ráðstafanirnar, sem kveðið er á um í þessari ákvörðun, eru í samræmi við álit nefndarinnar sem komið var á fót samkvæmt 31. gr. tilskipunar 95/46/EB.
SAMÞYKKT ÁKVÖRÐUN ÞESSA:
1. gr.
a) yfirlit yfir það hvernig reglunum um „örugga höfn“ er framfylgt, sem gerð er grein fyrir í III. viðauka;
b) greinargerð um bætur fyrir brot á friðhelgi einkalífsins og sérstakar heimildir í bandarískum lögum sem gerð er grein fyrir í IV. viðauka;
c) bréf frá Alríkisviðskiptastofnun Bandaríkjanna sem kemur fram í V. viðauka;
d) bréf frá samgöngumálaráðuneyti Bandaríkjanna sem kemur fram í VI. viðauka;
2. Uppfylla verður eftirfarandi skilyrði í tengslum við sérhvern gagnaflutning:
a) að fyrirtæki, sem taka á móti gögnum, hafi ótvírætt og opinberlega lýst yfir að þau skuldbindi sig til að fara að meginreglunum sem er beitt í samræmi við Spurningar og svör.
b) að fyrirtækið sé háð lögboðnu valdi stjórnarstofnunar í Bandaríkjunum, sem er tilgreind í VII. viðauka við þessa ákvörðun og hefur vald til að rannsaka kærur og veita réttarúrræði gegn óheiðarlegum eða villandi starfsháttum, og einnig til að tryggja að einstaklingar nái rétti sínum, óháð búsetulandi eða þjóðerni, þegar ekki hefur verið farið eftir meginreglunum sem er beitt í samræmi við Spurningar og svör.
3. Hvert fyrirtæki, sem vottar sjálft að það gangist undir meginreglurnar sem eru framkvæmdar í samræmi við Spurningar og svör, telst uppfylla skilyrðin, sem eru sett fram í 2. mgr., frá þeim degi er fyrirtækið sendir viðskiptaráðuneyti Bandaríkjanna (eða fulltrúa þess) opinbera yfirlýsingu um skuldbindinguna sem um getur í a-lið 2. mgr. og tilgreinir stjórnarstofnunina sem um getur í b-lið 2. mgr.
2. gr.
3. gr.
a) bandaríska stjórnarstofnunin, sem um getur í VII. viðauka við þessa ákvörðun, eða óháður málskotsaðili í skilningi a-liðar meginreglunnar um framfylgd, sem er lýst í I. viðauka við þessa ákvörðun, hefur ákvarðað að fyrirtæki brjóti meginreglurnar sem er beitt í samræmi við Spurningar og svör; eða
b) verulegar líkur eru á því að meginreglurnar séu brotnar, gild ástæða er til að ætla að viðkomandi aðili, sem á að framfylgja málinu sem um ræðir, geri ekki eða muni ekki gera nægilegar ráðstafanir í tæka tíð til að leysa það, áframhaldandi gagnaflutningur myndi setja hina skráðu í yfirvofandi hættu á að skaðast verulega og lögbær yfirvöld í aðildarríkjunum hafa gert verulegt átak í málinu fyrirtækinu til viðvörunar og veitt því tækifæri til andsvara.
Hætta skal tímabundinni stöðvun jafnskjótt og tryggt hefur verið að farið sé að meginreglunum, sem er beitt í samræmi við Spurningar og svör, og viðkomandi lögbærum yfirvöldum í bandalaginu hefur verið tilkynnt um það.
2. Aðildarríkin skulu tilkynna framkvæmdastjórninni án tafar um ráðstafanir sem eru gerðar á grundvelli 1. mgr.
3. Aðildarríkin og framkvæmdastjórnin skulu einnig tilkynna hvert öðru um þau tilvik þar sem aðgerðir aðila, sem tryggja skulu samræmi við meginreglurnar, sem er beitt í samræmi við Spurningar og svör í Bandaríkjunum, tryggja ekki slíkt samræmi.
4. Ef upplýsingarnar, sem er aflað samkvæmt 1., 2. og 3. mgr., leiða í ljós að aðili, sem á að tryggja samræmi við meginreglurnar sem eru framkvæmdar í samræmi við Spurningar og svör í Bandaríkjunum, gegnir ekki hlutverki sínu á skilvirkan hátt skal framkvæmdastjórnin tilkynna viðskiptaráðuneyti Bandaríkjanna um það og, ef nauðsyn krefur, leggja fram drög að ráðstöfunum í samræmi við málsmeðferðina sem um getur í 31. gr. tilskipunar 95/46/EB með það fyrir augum að fella niður eða fresta gildistöku þessarar ákvörðunar eða takmarka gildissvið hennar.
4. gr.
Framkvæmdastjórnin skal undir öllum kringumstæðum, þremur árum eftir tilkynningu þessarar ákvörðunar til aðildarríkjanna, leggja mat á framkvæmd hennar á grundvelli fyrirliggjandi upplýsinga og greina nefndinni, sem var komið á fót samkvæmt 31. gr. tilskipunar 95/46/EB, frá öllum niðurstöðum þar að lútandi, þar á meðal öllum gögnum, sem geta haft áhrif á það mat að ákvæðin í 1. gr. þessarar ákvörðunar veiti fullnægjandi vernd í skilningi 25. gr. tilskipunar 95/46/EB, og öllum tilvikum þar sem framkvæmd þessarar ákvörðunar hefur haft mismunun í för með sér.
2. Framkvæmdastjórnin skal, ef þörf krefur, leggja fram drög að ráðstöfunum í samræmi við málsmeðferðina sem um getur í 31. gr. tilskipunar 95/46/EB.
5. gr.
6. gr.
Gjört í Brussel 26. júlí 2000.
Fyrir hönd framkvæmdastjórnarinnar,
Frederik BOLKESTEIN
framkvæmdastjóri.
I. VIÐAUKI
MEGINREGLUR UM „ÖRUGGA HÖFN FYRIR FRIÐHELGI EINKALÍFSINS“
gefnar út af viðskiptaráðuneyti Bandaríkjanna 21. júlí 2000
Til að draga úr þeirri óvissu og setja fastari ramma um slíkan gagnaflutning gefur viðskiptaráðuneytið út þetta skjal og „algengar spurningar og svör“ (meginreglurnar) í krafti lögboðinna heimilda með það fyrir augum að styðja við, stuðla að og þróa alþjóðaviðskipti. Meginreglurnar voru þróaðar í samráði við atvinnulífið og almenning til að greiða fyrir viðskiptum og verslun milli Bandaríkjanna og Evrópusambandsins. Þær eru eingöngu ætlaðar fyrir bandarísk fyrirtæki, sem taka við persónuupplýsingum frá Evrópusambandinu, með það fyrir augum að fyrirtækin geti uppfyllt skilyrðin um „örugga höfn“ og „fullnægjandi vernd“ sem þar eru sett. Meginreglurnar voru eingöngu settar til að þjóna þessum tilgangi og því getur verið óheppilegt að samþykkja þær í öðrum tilgangi. Ekki má nota meginreglurnar í stað innlendra ákvæða til framkvæmdar tilskipuninni sem gilda um vinnslu persónuupplýsinga í aðildarríkjunum.
Það er algerlega á valdi fyrirtækjanna sjálfra hvort þau uppfylla reglurnar um „örugga höfn“ og þau geta gert það á mismunandi vegu. Fyrirtæki, sem ákveða að gangast undir meginreglurnar, verða að fara eftir þeim til að geta fengið og notið áfram hagræðis af „öruggri höfn“ og lýsa því yfir opinberlega að þau geri það. Fyrirtæki, sem tekur þátt í sjálfseftirlitsverkefni í einkageiranum varðandi friðhelgi einkalífsins þar sem meginreglunum er beitt, hefur til dæmis rétt til þátttöku í kerfinu „öruggri höfn“. Fyrirtæki geta einnig uppfyllt skilyrði með því að þróa sína eigin stefnu um friðhelgi einkalífsins að því tilskildu að hún sé í samræmi við meginreglurnar. Ef fyrirtæki fer eftir meginreglunum, en reiðir sig að öllu leyti eða að hluta á sjálfseftirlit, á einnig að vera hægt að draga það til ábyrgðar samkvæmt 5. þætti laga Alríkisviðskiptastofnunarinnar þar sem kveðið er á um bann við óheiðarlegri eða villandi háttsemi eða samkvæmt öðrum lögum eða reglum sem banna slíka háttsemi. (Sjá skrá yfir lögskipaða aðila, sem Evrópusambandið viðurkennir, í viðaukanum.) Að auki geta fyrirtæki, sem eru bundin lögum eða stjórnsýslufyrirmælum eða öðrum reglum eða ákvæðum sem vernda friðhelgi einkalífsins á skilvirkan hátt, uppfyllt skilyrði fyrir því að njóta hagræðis af „öruggri höfn“ Fyrirtæki sem vill njóta hagræðis af „öruggri höfn“ getur undir öllum kringumstæðum átt það víst frá þeim degi er fyrirtækið vottar sjálft hjá viðskiptaráðuneytinu (eða fulltrúa þess) að það gangist undir meginreglurnar í samræmi við leiðbeiningarnar í Spurningum og svörum um sjálfvottun.
Gildissvið þessara meginreglna getur takmarkast við: a) það sem nauðsynlegt er vegna þjóðaröryggis, hagsmuna almennings eða til að framfylgja lögum og reglum; b) lög, stjórnsýsluákvarðanir eða fordæmisrétt sem leiðir af sér skuldbindingar eða sérstakar heimildir sem stangast á að því tilskildu að við framkvæmd slíkra heimilda geti fyrirtækið sýnt fram á að það fari ekki eftir meginreglunum einungis að því marki sem er nauðsynlegt til að gæta lögmætra ráðandi hagsmuna sem slík heimild veitir; eða c) þær undantekningar eða undanþágur sem tilskipunin eða lög aðildarríkjanna leyfa að því tilskildu að slíkum undantekningum eða undanþágum sé beitt í sambærilegu samhengi. Í samræmi við markmiðið um að auka vernd einkalífsins skulu fyrirtæki leitast við að framkvæma þessar meginreglur til fulls og á gagnsæjan hátt, þar á meðal með því að tilgreina í áætlun sinni um vernd einkalífsins hvar leyfilegum undanþágum á meginreglunum, samkvæmt b-lið hér að framan, verður almennt beitt. Af sömu ástæðu er til þess ætlast að fyrirtæki velji að veita meiri vernd þegar hægt er að koma því við og meginreglurnar og/eða bandarísk lög leyfa.
Fyrirtæki kunna að vilja beita meginreglunum við alla gagnavinnslu sína, til hagræðingar eða af öðrum ástæðum, en þeim ber ekki skylda til að beita þeim á gögn sem eru flutt fyrr en þau hafa gerst aðilar að kerfinu „öruggri höfn“. Fyrirtæki þurfa ekki að beita þessum meginreglum á persónuupplýsingar í handunnum skjalakerfum til að uppfylla skilyrðin um „örugga höfn“. Fyrirtæki, sem vilja njóta hagræðis af „öruggri höfn“ til að taka við upplýsingum í handunnum skjalakerfum frá Evrópusambandinu, verða að beita meginreglunum á allar slíkar upplýsingar sem eru fluttar eftir að þau gerast aðilar að því kerfi. Fyrirtæki, sem vill njóta aukins hagræðis af „öruggri höfn“ svo að kerfið taki til persónuupplýsinga um starfsmenn, sem eru fluttar frá Evrópusambandinu til að nota í tengslum við starfsráðningar, verður að taka það fram þegar það leggur fram sjálfvottun hjá viðskiptaráðuneytinu (eða fulltrúa þess) og uppfylla kröfurnar sem eru settar fram í Spurningum og svörum um sjálfvottun. Fyrirtæki geta einnig lagt fram þær tryggingar, sem eru nauðsynlegar samkvæmt 26. gr. tilskipunarinnar, ef þau, með tilliti til þýðingarmestu ákvæðanna um friðhelgi einkalífsins, taka meginreglurnar inn í skriflega samninga við aðilana sem flytja gögnin frá Evrópusambandinu eftir að framkvæmdastjórnin og aðildarríkin hafa heimilað önnur ákvæði fyrir slíka staðlaða samninga.
Bandarísk lög gilda um mál sem tengjast túlkun og samræmi við meginreglurnar um „örugga höfn“ (þar á meðal Spurningar og svör) og þeirri stefnu sem fyrirtækin, sem eru þátttakendur í „öruggri höfn“, hafa varðandi friðhelgi einkalífsins nema í þeim tilvikum þar sem fyrirtækin hafa skuldbundið sig til að starfa með evrópskum gagnaverndaryfirvöldum. Öll ákvæði um meginreglurnar um „örugga höfn“ og Spurningar og svör gilda þar sem þau eiga við nema annað sé tekið fram.
Persónuupplýsingar eru gögn um persónugreindan eða persónugreinanlegan einstakling sem eru innan gildissviðs tilskipunarinnar og sem bandarískt fyrirtæki tekur á móti frá Evrópusambandinu og eru skráð með einhverjum hætti.
TILKYNNINGAR
VALFRELSI
Þegar um er að ræða viðkvæmar upplýsingar (t.d. persónulegar upplýsingar um læknisfræðilegt eða heilsufarslegt ástand, kynþátt eða þjóðerni, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu, aðild að verkalýðsfélagi eða upplýsingar um kynlíf einstaklingsins) skal einstaklingurinn eiga kost á að samþykkja eða velja sérstaklega (opt in) hvort afhenda eigi þriðja aðila upplýsingarnar eða nota þær í öðrum tilgangi en þeim sem fyrirhugaður var þegar þeim var upphaflega safnað eða í tilgangi sem einstaklingurinn veitti leyfi fyrir síðar með vali (opt in). Undir öllum kringumstæðum skal fyrirtæki fara með allar upplýsingar, sem það fær frá þriðja aðila, sem viðkvæmar upplýsingar ef þriðji aðili tilgreinir og meðhöndlar þær sem slíkar.
FRAMSENDING
ÖRYGGI
HEILLEIKI GAGNA
AÐGANGUR
FULLNUSTA
Viðauki
Skrá yfir lögskipaða aðila í Bandaríkjunum sem Evrópusambandið viðurkennir
– Alríkisviðskiptastofnunin (Federal Trade Commission) á grundvelli þeirra heimilda sem hún hefur samkvæmt 5. þætti laganna um stofnunina (Federal Trade Commission Act),
– Samgönguráðuneyti Bandaríkjanna, á grundvelli þeirra heimilda sem það hefur samkvæmt 49. bálki bandarískra laga, þætti 41712.
II. VIÐAUKI
SPURNINGAR OG SVÖR
Sp: Verður fyrirtæki alltaf að gefa kost á sérstöku (opt in) vali með tilliti til viðkvæmra gagna?
Sv: Nei, þess er ekki krafist að slíkt val fari fram þegar vinnslan er: 1) bráðnauðsynleg fyrir þann sem gögnin varða eða annan einstakling, 2) nauðsynleg til að stofna eða verja réttarkröfur, 3) nauðsynleg fyrir læknishjálp eða sjúkdómsgreiningu, 4) framkvæmd sem liður í löglegri starfsemi sjóðs, félags eða einhverrar annarar stofnunar, sem er ekki rekin í hagnaðarskyni, af stjórnmálalegum, heimspekilegum, trúarlegum eða stéttarlegum toga og með því skilyrði að vinnslan nái einungis til meðlima stofnunarinnar eða þeirra einstaklinga sem eru í reglulegu sambandi við hana í tengslum við tilgang hennar og að gögnin séu ekki afhent þriðja aðila án samþykkis hinna skráðu, 5) nauðsynleg til að rækja skyldur fyrirtækisins á sviði laga um starfsráðningar eða, 6) í tengslum við gögn sem einstaklingurinn hefur augljóslega gert opinber.
Spurningar og svör 2 — Undantekningar vegna dagblaða
Sp: Gilda meginreglurnar um „örugga höfn“ um persónuupplýsingar sem er safnað, viðhaldið og dreift til að birta þær á prenti með tilliti til stjórnarskrárverndaðs prentfrelsis og undantekningarákvæða tilskipunarinnar að því er varðar efni sem birta á á prenti?
Sv: Þar sem rétturinn til prentfrelsis, sem er innifalinn í fyrstu breytingu á stjórnarskrá Bandaríkjanna, stangast á við réttinn til friðhelgi einkalífsins verður jafnvægi á milli þessara hagsmuna að ráðast af fyrstu breytingunni að því er varðar starfsemi fyrirtækja og einstaklinga í Bandaríkjunum. Persónuupplýsingar sem er safnað í því skyni að gefa þær út, útvarpa þeim, sjónvarpa eða dreifa með öðrum almennum aðferðum við að koma fjölmiðlaefni á framfæri opinberlega, hvort sem þær eru notaðar eða ekki, og upplýsingar, sem teknar eru úr áður birtu efni úr gagnageymslum fjölmiðla, eru ekki háðar kröfum meginreglnanna um „örugga höfn“.
Spurningar og svör 3 — Annars stigs ábyrgð
Sp: Eru veitendur Netþjónustu, fjarskiptafyrirtæki eða önnur fyrirtæki ábyrg samkvæmt meginreglunum um „örugga höfn“, þegar þau annast einungis flutning, framsendingu, skiptiþjónustu eða geymslu upplýsinga fyrir aðra sem geta verið brot á ákvæðum þeirra.
Sv: Nei, ekki er gert ráð fyrir annars stigs ábyrgð, hvorki í tilskipuninni né reglunum um „örugga höfn“. Ekki er hægt að draga fyrirtæki til ábyrgðar fyrir það eitt að flytja upplýsingar, sem þriðji aðili sendir, svo framarlega sem það ákveður hvorki til hvers persónuupplýsingarnar eru unnar né aðferðirnar við það.
Spurningar og svör 4 — Fjárfestingarbankar og endurskoðendur
Sp: Starfsemi endurskoðenda og fjárfestingarbanka getur haft í för með sér vinnslu persónuupplýsinga án samþykkis eða vitneskju viðkomandi einstaklinga. Við hvaða aðstæður er þetta leyft samkvæmt meginreglunum um tilkynningu, valfrelsi og aðgang?
Sv: Starfsemi fjárfestingarbanka og endurskoðenda getur einungis falið í sér vinnslu persónuupplýsinga án vitneskju viðkomandi einstaklinga að því marki og í þann tíma sem það tekur að uppfylla kröfur um lögboðna eða almenna hagsmuni og í öðrum tilvikum þar sem beiting þessara meginreglna fer í bága við réttmæta hagsmuni fyrirtækisins. Þessir réttmætu hagsmunir ná yfir eftirlit með því að fyrirtækið uppfylli löglegar skyldur sínar og réttmætar bókhaldsaðgerðir og þörfina á þagnarskyldu í tengslum við hugsanleg kaup, samruna, sameiginleg verkefni og önnur svipuð viðskipti sem fjárfestingarbankar eða endurskoðendur annast.
Spurningar og svör 5 — Hlutverk gagnaverndaryfirvalda
Sp: Hvernig munu fyrirtæki, sem skuldbinda sig til að eiga samstarf við gagnaverndaryfirvöld Evrópusambandsins, standa að þeim skuldbindingum og hvernig verða þær framkvæmdar?
Sv: Samkvæmt kerfinu „öruggri höfn“ er bandarískum fyrirtækjum, sem taka á móti persónuupplýsingum frá Evrópusambandinu, skylt að taka upp skilvirkar aðferðir sem tryggja að farið sé eftir meginreglunum um „örugga höfn“. Nánar tiltekið skulu þau, eins og fram kemur í meginreglunni um framfylgd, a) veita einstaklingum sem gögnin tengjast rétt til málskots, b) hafa málsmeðferð til að sannreyna að þær vottanir og yfirlýsingar, sem þau hafa gefið um starfshætti sína, séu réttar, c) skuldbinda sig til að greiða úr vandamálum sem koma upp þegar ekki er farið eftir meginreglunum og láta slík fyrirtæki taka afleiðingunum. Fyrirtæki verður að uppfylla a- og c-lið meginreglunnar um framfylgd ef það gengst undir kröfur þessara Spurninga og svara um samstarf við gagnaverndaryfirvöld.
Fyrirtæki getur skuldbundið sig til að eiga samstarf við gagnaverndaryfirvöld með því að lýsa því yfir í vottorði sínu um „örugga höfn“ til viðskiptaráðuneytisins (sjá 6. lið Spurninga og svara um sjálfvottun) að það:
1. kjósi að uppfylla kröfurnar í a- og c-lið meginreglu kerfisins „örugg höfn“ um framfylgd með því að skuldbinda sig til samstarfs við gagnaverndaryfirvöld,
2. muni eiga samstarf við gagnaverndaryfirvöld um að rannsaka og leysa kærumál sem kunna að koma upp í tengslum við kerfið „örugga höfn“, og
3. fari eftir öllum ráðum gagnaverndaryfirvalda þegar það er mat þeirra að fyrirtækið þurfi að gera sérstakar ráðstafanir til að fara eftir meginreglunum um „örugga höfn“, þar á meðal ráðstafanir til að leysa deilumál eða greiða skaðabætur til einstaklinga, sem brot á meginreglunum bitnar á, og muni láta gagnaverndaryfirvöldum í té skriflega staðfestingu á því að slíkar ráðstafanir hafi verið gerðar.
Samstarfið mun, af hálfu gagnaverndaryfirvalda, verða í formi upplýsinga og ráðgjafar sem hér segir:
– Gagnaverndaryfirvöld veita ráðgjöf með milligöngu óformlegrar nefndar gagnaverndaryfirvalda sem komið hefur verið á fót hjá Evrópusambandinu og mun hún meðal annars gagnast við að tryggja samræmda og samfellda aðferð.
– Nefndin veitir bandarískum fyrirtækjum ráðgjöf varðandi óafgreidd kærumál frá einstaklingum um meðferð persónuupplýsinga sem hafa verið fluttar frá Evrópusambandinu samkvæmt reglunum um „örugga höfn“. Þessi ráðgjöf verður miðuð við það að tryggja að meginreglunum um „örugga höfn“ sé beitt rétt og fela meðal annars í sér upplýsingar um þau úrræði sem viðkomandi einstaklingum bjóðast og gagnaverndaryfirvöld telja hæfileg.
– Nefndin veitir þessa ráðgjöf í málum, sem viðkomandi fyrirtæki vísa til hennar, og/eða varðandi kærur, sem berast henni beint frá einstaklingum, á hendur fyrirtækjum sem hafa skuldbundið sig til að eiga samstarf við gagnaverndaryfirvöld um „örugga höfn“ og hvetur og, ef þess gerist þörf, aðstoðar þessa einstaklinga til að byrja á því að nota þá innri kærumálameðferð sem fyrirtækið kann að bjóða.
– Ráðgjöf verður einungis veitt þegar báðir aðilar í deilumáli hafa fengið eðlilegt tækifæri til að gera athugasemdir og leggja fram þau gögn sem þeir óska. Nefndin mun leitast við að veita ráðgjöf eins fljótt og auðið er með tilliti til kröfunnar um rétta meðferð málsins. Meginreglan er sú að nefndin stefni að því að veita ráðgjöf innan 60 daga frá því að henni berst kæra eða máli er vísað til hennar og fyrr ef það er unnt.
– Nefndin birtir opinberlega niðurstöður sínar um kærur sem henni berast ef hún telur ástæðu til.
– Ráðgjöf, sem nefndin veitir, hefur ekki í för með sér neinar kvaðir, hvorki fyrir nefndina sjálfa né einstök gagnaverndaryfirvöld.
Eins og getið er hér að framan verða fyrirtæki, sem velja þennan kost til að leysa deilumál, að fara að ráðum gagnaverndaryfirvalda. Ef fyrirtæki fer ekki að ráðum nefndarinnar innan 25 daga frá því að þau eru gefin, og leggur ekki fram fullnægjandi skýringu á þeirri töf, lætur nefndin vita af því að hún áformi annaðhvort að leggja málið fyrir Alríkisviðskiptastofnunina (Federal Trade Commission) eða aðra bandaríska alríkis- eða ríkisstofnun sem hefur lögmæltar heimildir til að framfylgja málinu með aðgerðum ef um er að ræða sviksemi eða villandi upplýsingar eða hún ályktar að um alvarlegt brot sé að ræða á samningnum um samstarf og þess vegna verði að líta svo á að hann sé ógildur. Í síðarnefnda tilvikinu tilkynnir nefndin viðskiptaráðuneytinu (eða fulltrúa þess) um það svo að hægt sé að breyta skránni yfir aðila að reglukerfinu um „örugga höfn“. Ef ekki er staðið við skuldbindingar um samstarf við gagnaverndaryfirvöld eða ekki farið eftir meginreglunum um „örugga höfn“ gefur það tilefni til málsóknar fyrir sviksamlega starfshætti samkvæmt 5. kafla laga um Alríkisviðskiptastofnunina eða áþekkum lögum.
Fyrirtæki, sem velja þennan kost, þurfa að greiða árgjald sem miðast við að það nægi fyrir kostnaði vegna starfa nefndarinnar og auk þess kunna þau að verða krafin um kostnað vegna þýðinga í tengslum við meðferð nefndarinnar á málskotum eða kærur á hendur þeim. Árgjaldið verður ekki hærra en 500 Bandaríkjadollarar og lægra fyrir lítil fyrirtæki.
Fyrirtæki, sem gerast aðilar að kerfinu um „örugga höfn“, eiga kost á samstarfi við gagnaverndaryfirvöld í þrjú ár. Gagnaverndaryfirvöld endurskoða þetta fyrirkomulag fyrir lok þess tímabils ef í ljós kemur að of mörg bandarísk fyrirtæki hafa valið þennan kost.
Spurningar og svör 6 — Sjálfvottun
Sp: Hvernig vottar fyrirtæki sjálft að það gangist undir meginreglurnar um „örugga höfn“?
Sv: Fyrirtæki njóta hagræðis af reglunum um „örugga höfn“ frá þeim degi er fyrirtækið vottar sjálft hjá viðskiptaráðuneytinu (eða fulltrúa þess) að það gangist undir meginreglurnar í samræmi við leiðbeiningarnar hér á eftir.
Fyrirtæki geta sjálf vottað að þau hlíti meginreglunum um „örugga höfn“ með því að senda bréf til viðskiptaráðuneytisins (eða fulltrúa þess), undirritað af manni í ábyrgðarstöðu fyrir hönd fyrirtækisins sem gerist aðili að kerfinu „öruggri höfn“ og í því skulu vera að minnsta kosti eftirfarandi upplýsingar:
1. nafn fyrirtækisins, póstfang, tölvupóstfang og síma- og bréfasímanúmer,
2. lýsing á starfsemi fyrirtækisins með tilliti til persónuupplýsinga sem berast frá Evrópusambandinu, og
3. lýsing á stefnu fyrirtækisins varðandi vernd slíkra persónuupplýsinga, þar með talið, a) hvort almenningur geti kynnt sér hana, b) hvenær henni verði hrundið í framkvæmd, c) hvaða aðili taki við kærum, umsóknum um aðgang og annist önnur mál sem koma upp í tengslum við „örugga höfn“, d) sérstakur lögskipaður aðili sem hefur lögsögu í kærumálum á hendur fyrirtækinu varðandi hugsanlega óréttláta eða villandi viðskiptahætti og brot á lögum eða reglum um friðhelgi einkalífsins (og sem er skráður í viðaukanum við meginreglurnar), e) nafn allra áætlana til verndar einkalífsins sem fyrirtækið er aðili að, f) aðferð við sannprófun (t.d. innra eftirlit, eftirlit þriðja aðila) ( 1 ), g) óháður málskotsaðili sem hægt er að fá til að rannsaka óleyst kærumál.
Fyrirtæki, sem vill að hagræði af kerfinu „öruggri höfn“ nái til starfsmannaupplýsinga, sem eru fluttar frá Evrópusambandinu til að nota í tengslum við starfsráðningar er það heimilt þegar lögskipaður aðili er til staðar sem hefur lögsögu í kærumálum á hendur fyrirtækinu sem rísa vegna starfsmannaupplýsinga sem eru skráðar í viðaukanum við meginreglurnar. Auk þess skal fyrirtækið taka það fram í bréfi sínu og lýsa því yfir að það skuldbindi sig til að eiga samstarf við viðkomandi yfirvald eða yfirvöld Evrópusambandsins í samræmi við 9. eða 5. lið Spurninga og svara, eftir því sem við á, og að það muni fara að ráðum þessara yfirvalda.
Viðskiptaráðuneyti Bandaríkjanna (eða fulltrúi þess) heldur skrá yfir öll fyrirtæki sem hafa sent slík bréf og tryggir með því að þau geti notið hagræðis af „öruggri höfn“ og uppfærir þessa skrá á grundvelli árlegra bréfa og tilkynninga sem berast samkvæmt 11. lið Spurninga og svara. Slík sjálfvottunarbréf skal senda eigi sjaldnar en einu sinni á ári. Sé það ekki gert er fyrirtækið tekið af skránni og það á ekki lengur víst að njóta hagræðis af reglunum um „örugga höfn“. Bæði skráin og sjálfvottunarbréf fyrirtækjanna verða birt opinberlega. Öll fyrirtæki sem leggja fram sjálfvottun í tengslum við „örugga höfn“ verða einnig að tilgreina að þau gangist undir meginreglurnar í viðkomandi stefnuyfirlýsingum sem þau birta.
Sú skuldbinding að gangast undir meginreglurnar um „örugga höfn“ gildir án tímatakmarkana þegar um er að ræða gögn sem tekið við á því tímabili sem fyrirtæki nýtur hagræðis af „öruggri höfn“. Skuldbinding fyrirtækis merkir að það muni halda áfram að beita meginreglunum á slík gögn svo lengi sem það geymir, notar eða dreifir þeim, jafnvel þótt það hætti síðar aðild að „öruggri höfn“ af einhverjum ástæðum.
Fyrirtæki, sem hættir að vera til sem sérstakur lögaðili vegna samruna eða yfirtöku, verður að tilkynna viðskiptaráðuneytinu (eða fulltrúa þess) um það fyrirfram. Í tilkynningunni skal einnig koma fram hvort fyrirtækið, sem yfirtekur annað fyrirtæki, eða fyrirtækið, sem verður til við samruna, muni 1) halda áfram að vera bundið af meginreglunum um „örugga höfn“ á grundvelli laga sem gilda um yfirtöku eða samruna, eða 2) velja á milli þess að votta sjálft að það gangist undir meginreglurnar um „örugga höfn“ eða setja í staðinn aðrar verndarráðstafanir, svo sem skriflegan samning sem tryggir að farið sé eftir meginreglunum um „örugga höfn“. Ef hvorki 1) eða 2) á við verður þegar í stað að eyða öllum gögnum sem hefur verið aflað í skjóli reglnanna um „örugga höfn“.
Fyrirtæki þarf ekki að beita meginreglunum um „örugga höfn“ á allar persónuupplýsingar en það verður að beita þeim á allar persónuupplýsingar sem það tekur á móti frá Evrópusambandinu eftir að það gerist aðili að kerfinu „öruggri höfn“.
Alríkisviðskiptastofnunin eða önnur viðeigandi stjórnarstofnun getur gripið til aðgerða gagnvart fyrirtæki sem veitir almenningi villandi upplýsingar um að það hafi gengist undir meginreglurnar um „örugga höfn“. Grípa má til aðgerða gegn fyrirtæki, sem gefur viðskiptaráðuneytinu (eða fulltrúa þess) villandi upplýsingar, samkvæmt bandarískum lögum um rangar upplýsingar (False Statements Act 18 U.S.C. § 1001).
Spurningar og svör 7 — Sannprófun
Sp: Hvernig beita fyrirtæki eftirfylgniaðgerðum til að sannprófa að vottanir og yfirlýsingar þeirra um starfshætti sína við að beita reglum „öruggrar hafnar“ með tilliti til friðhelgi einkalífsins séu réttar og slíkir starfshættir verið viðhafðir á þann hátt sem gefið er til kynna og í samræmi við meginreglurnar um „örugga höfn“.
Sv: Til að uppfylla sannprófunarkröfur í meginreglunni um framfylgd getur fyrirtæki sannprófað slíkar vottanir og yfirlýsingar annaðhvort með sjálfsmati eða með samræmisathugunum aðila utan fyrirtækisins.
Ef sjálfsmatsleiðin er farin verður slík sannprófun að gefa til kynna að auglýst einkalífsverndarstefna fyrirtækisins með tilliti til persónuupplýsinga sem berast frá Evrópusambandinu, sé rétt, heildstæð, sett fram á áberandi hátt, framkvæmd til fulls og auðvelt að fá aðgang að henni. Einnig skal sannprófun leiða í ljós að stefnan varðandi friðhelgi einkalífsins sé í samræmi við meginreglurnar um „örugga höfn“, að einstaklingar fái upplýsingar um innri kærumeðferð og um óháðan aðila þar sem hægt er að leggja fram kærur, að til séu aðferðir til að þjálfa starfsmenn við framkvæmdina og að tekið sé á því ef þeir nota þær ekki og að fyrir hendi sé innri málsmeðferð til að gera reglubundið hlutlæga athugun á því hvort farið sé eftir framansögðu. Að minnsta kosti einu sinni á ári skal maður í ábyrgðarstöðu í fyrirtækinu eða annar fulltrúi þess undirrita yfirlýsingu um að sjálfsmatið hafi verið sannreynt og hafa hana tiltæka fyrir einstaklinga sem óska eftir því eða í tengslum við rannsókn eða kærur um að ekki sé farið að reglum.
Fyrirtæki skulu halda skrá yfir starfshætti sína við að framfylgja reglunum um „örugga höfn“ og hafa hana tiltæka, samkvæmt beiðni, fyrir óháðan aðila sem rannsakar kærur um að ekki sé farið eftir reglum eða fyrir það yfirvald sem hefur lögsögu í málum sem varða óheiðarlega eða villandi viðskiptahætti.
Þegar fyrirtæki kýs samræmisathugun utanaðkomandi aðila skal slík athugun leiða í ljós að stefna þess varðandi friðhelgi einkalífsins með tilliti til persónuupplýsinga sem berast frá Evrópusambandinu sé í samræmi við meginreglurnar um „örugga höfn“, að farið sé eftir þeim reglum og að einstaklingar séu upplýstir um eftir hvaða leiðum þeir geta borið fram kærur. Við athugun má beita ótakmarkað aðferðum á borð við endurskoðun, slembiathuganir, notkun „tálbeitu“ eða notkun tæknibúnaðar eftir því sem við á. Að minnsta kosti einu sinni á ári skal eftirlitsaðili, aðili í ábyrgðarstöðu í fyrirtækinu eða annar viðurkenndur fulltrúi þess undirrita yfirlýsingu þar sem staðfest er að utanaðkomandi athugun á samræmi hafi farið fram og hafa hana tiltæka fyrir einstaklinga sem óska eftir því eða í tengslum við rannsókn eða kærur um að ekki sé farið að reglum.
Spurningar og svör 8 — Aðgangur
Meginreglur um aðgang:
Einstaklingar skulu hafa aðgang að persónuupplýsingum sem fyrirtæki hafa um þá og eiga kost á að leiðrétta, breyta eða eyða upplýsingum sem eru ekki réttar, nema fyrirhöfnin og kostnaðurinn við að fá aðgang, í því tilviki sem um ræðir, sé í engu samræmi við hættuna á að réttur einstaklings til friðhelgi einkalífsins, eða lögmætur réttur annarra einstaklinga, sé brotinn.
1. Sp: Er rétturinn til aðgangs ótakmarkaður?
1. Sv: Nei. Samkvæmt meginreglunum um örugga höfn er aðgangsrétturinn grundvallaratriði að því er varðar vernd einkalífsins. Einkum veitir hann einstaklingum færi á að sannreyna hvort upplýsingar um þá séu réttar. Engu að síður er sú skylda fyrirtækis að veita aðgang að persónuupplýsingum, sem það hefur undir höndum, háð meðalhófs- eða réttmætisreglunni og hana þarf að takmarka í sumum tilvikum. Raunar kemur skýrt fram í greinargerð með viðmiðunarreglum Efnahags- og framfarastofnunarinnar (OECD) um friðhelgi einkalífsins að sú skylda sé ekki ótakmörkuð. Rétturinn til aðgangs hefur ekki í för með sér heimildir til jafnnákvæmrar leitar og til dæmis þegar fyrirtækinu er stefnt og ekki er heldur krafist aðgangs að öllum þeim miðlum sem fyrirtækið kann að nota til að geyma upplýsingar.
Reynslan hefur þó sýnt að þegar fyrirtæki bregðast við beiðni einstaklings um aðgang ættu þau fyrst huga að ástæðunni fyrir því að beiðnin kemur fram. Ef beiðni um aðgang er til dæmis óljós eða umfangsmikil getur fyrirtækið rætt við einstaklinginn til að skilja betur ástæðuna fyrir beiðninni og til að auðvelda leitina að umbeðnum upplýsingum. Fyrirtækið getur hugsanlega leitað svara við því hvaða hluta þess einstaklingurinn hefur haft samskipti við og/eða um eðli þeirra upplýsinga (eða þau not) sem eru tilefni aðgangsbeiðninnar. Einstaklingar þurfa þó ekki að færa rök fyrir beiðni um aðgang að gögnum um þá sjálfa.
Kostnaður og aukið álag eru þýðingarmiklir þættir sem taka þarf tillit til en þeir ráða ekki úrslitum þegar ákveða þarf hvort sanngjarnt sé að veita aðgang. Ef upplýsingarnar eru til dæmis notaðar í tengslum við ákvarðanir, sem hafa veruleg áhrif fyrir einstaklinginn (varða t.d. mikilvæga hagsmuni, svo sem tryggingar, lán eða atvinnu), verður fyrirtækið, í samræmi við önnur ákvæði í þessum spurningum og svörum, að afhenda þessar upplýsingar þótt það hafi í för með sér tiltölulega mikla fyrirhöfn eða kostnað.
Ef upplýsingarnar sem beðið er um eru ekki viðkvæmar eða ekki notaðar í tengslum við ákvarðanir sem hafa veruleg áhrif á einstaklinginn (t.d. markaðsgögn sem eru notuð til að ákvarða hvort senda eigi einstaklingnum bækling eða ekki) en auðvelt er og ódýrt að afla þeirra, verður fyrirtækið að veita aðgang að þeim upplýsingum um staðreyndir sem þar eru geymdar um einstaklinginn. Viðkomandi upplýsingar geta verið staðreyndir fengnar frá einstaklingnum sjálfum, staðreyndir sem hefur verið safnað í tengslum við viðskipti eða staðreyndir sem snerta einstaklinginn, fengnar frá öðrum.
Í samræmi við meginregluna um aðgang skulu fyrirtæki jafnan leitast við að veita aðgang. Ef vernda þarf t.d. tilteknar upplýsingar og auðvelt er að aðskilja þær frá öðrum upplýsingum sem beðið er um aðgang að skal fyrirtækið skilja vernduðu upplýsingarnar frá og veita aðgang að hinum upplýsingunum. Ef fyrirtæki ákveður að synja skuli um aðgang í einhverju tilviki skal það gefa einstaklingnum, sem biður um aðgang, skýringu á því hvers vegna sú ákvörðun var tekin og upplýsa hann um það hvert hann getur snúið sér með frekari fyrirspurnir.
2. Sp: Hvað eru viðskiptaupplýsingar sem eru trúnaðarmál og getur fyrirtæki synjað um aðgang til að vernda þær?
2. Sv: Viðskiptaupplýsingar, sem eru trúnaðarmál, eins og það hugtak er notað í bandarískum lögum (the Federal Rules of Civil Procedure on discovery) eru upplýsingar sem fyrirtæki hefur gert ráðstafanir til að verði ekki afhentar því að samkeppnisaðili á markaðinum hefði hag af því. Tiltekið tölvukerfi sem fyrirtæki notar, til dæmis hönnunarkerfi, eða einstakir hlutar þess geta verið viðskiptaupplýsingar sem eru trúnaðarmál. Ef auðvelt er að aðskilja viðskiptaupplýsingar sem eru trúnaðarmál frá öðrum upplýsingum, sem beðið er um aðgang að, skal fyrirtækið skilja þær frá og veita aðgang að hinum upplýsingunum. Fyrirtæki getur synjað um aðgang eða takmarkað hann ef hætta er á að það ljóstri upp sínum eigin viðskiptaupplýsingum sem eru trúnaðarmál, eins og skilgreint er hér að framan, til dæmis varðandi markaðsstærðir og -flokkun, eða viðskiptaupplýsingum annarra fyrirtækja, sem eru trúnaðarmál, þegar slíkar upplýsingar eru háðar samningsbundnum skyldum um trúnað við aðstæður þar sem fyrirtæki taka venjulega á sig eða er gert að taka á sig slíkar skuldbindingar um trúnað.
3. Sp: Getur fyrirtæki látið nægja að afhenda einstaklingum persónuupplýsingar um þá úr gagnagrunni sínum eða þarf það að veita aðgang að gagnagrunninum?
3. Sv: Fyrirtæki getur veitt einstaklingi aðgang með því að afhenda viðkomandi upplýsingar og þarf ekki að veita honum aðgang að gagnagrunni sínum.
4. Sp: Þarf fyrirtæki að ummóta gagnagrunna sína til að geta veitt aðgang?
4. Sv: Einungis þarf að veita aðgang að því marki sem fyrirtækið geymir upplýsingar. Meginreglan um aðgang skuldbindur ekki fyrirtæki til að geyma, viðhalda, endurskipuleggja eða ummóta skrár með persónuupplýsingum.
5. Sp: Skýrt kemur fram í þessum svörum að í sumum tilvikum er hægt að synja um aðgang. Í hvaða tilvikum öðrum getur fyrirtæki synjað einstaklingum um aðgang að persónuupplýsingum um þá?
5. Sv: Um er að ræða takmörkuð tilvik og hafa verður sérstakar ástæður fyrir því að synja um aðgang. Fyrirtæki getur neitað að veita aðgang að upplýsingum að því marki að líklegt sé að afhending stangist á við vernd þýðingarmikilla almennra hagsmuna svo sem þjóðaröryggis, landvarna eða almannaöryggis. Einnig er hægt að synja um aðgang ef vinnsla persónuupplýsinga er eingöngu vegna rannsókna eða tölfræði. Einnig er hægt að synja um aðgang eða takmarka hann þegar hann:
a. veldur erfiðleikum við framkvæmd eða framfylgd laganna, þar á meðal að koma í veg fyrir, rannsaka eða koma upp um brot eða að því er varðar réttinn til réttlátrar dómsmeðferðar;
b. veldur erfiðleikum í tengslum við rekstur einkamála, þar á meðal að fyrirbyggja eða rannsaka réttarkröfur og réttur til réttlátrar dómsmeðferðar;
c. felur í sér afhendingu persónuupplýsinga um aðra einstaklinga þegar ekki er hægt að skilja slíkar upplýsingar frá;
d. felur í sér brot á löglegum eða öðrum faglegum forréttindum eða skyldum;
e. felur í sér nauðsynlegan trúnað varðandi væntanlegar eða yfirstandandi samningaviðræður t.d í tengslum við kaup á fyrirtækjum á verðbréfamarkaði;
f. veldur erfiðleikum við öryggiseftirlit sem varðar starfsmenn eða meðferð kvörtunarmála;
g. raskar trúnaði sem kann að vera nauðsynlegur í takmarkaðan tíma í tengslum við áætlanir um röðun starfsmanna og endurskipulagningu félaga; eða
h. raskar trúnaði sem kann að vera nauðsynlegur í tengslum við gæslu, eftirlit eða stjórnunarstörf í tengslum við trausta efnahags- eða fjárhagsstjórnun; eða
i. hefði, við aðrar aðstæður, í för með sér óeðlilega fyrirhöfn eða kostnað eða að gengið yrði á lögmæt réttindi eða hagsmuni annarra.
Sönnunarbyrðin hvílir á fyrirtæki sem áskilur sér rétt til að neita um aðgang á grundvelli undantekningar (eins og venjan er). Eins og fram kemur hér að framan skal upplýsa einstaklinga um ástæður fyrir synjun eða takmörkun á aðgangi og hvert þeir geta snúið sér með frekari fyrirspurnir.
6. Sp: Getur fyrirtæki tekið gjald til að standa straum af kostnaði við að veita aðgang?
6. Sv: Já, í viðmiðunarreglum OECD er það viðurkennt að fyrirtæki geti tekið gjald, að því tilskildu að það sé ekki óhóflega hátt. Fyrirtækin mega því taka hóflegt gjald fyrir aðgang. Gjaldtaka getur verið gagnleg til að draga úr endurteknum og tilefnislausum fyrirspurnum.
Fyrirtæki, sem starfa við sölu upplýsinga sem allir hafa greiðan aðgang að, mega því taka það gjald sem fyrirtæki taka venjulega fyrir svör við beiðnum um aðgang. Einstaklingar geta einnig valið að fá aðgang að upplýsingum um sig frá fyrirtækjunum sem söfnuðu þeim upphaflega.
Ekki er hægt að synja um aðgang á grundvelli kostnaðar ef hlutaðeigandi býðst til að greiða kostnaðinn.
7. Sp: Þarf fyrirtæki að veita aðgang að persónuupplýsingum sem eru fengnar úr opinberum skrám?
7. Sp: Opinberar skrár eru skrár stofnana, hvar sem er í stjórnsýslunni, sem almenningur hefur aðgang að. Ekki er nauðsynlegt að beita meginreglunni um aðgang á slíkar upplýsingar á meðan þær eru ekki samtengdar við aðrar persónuupplýsingar nema þegar upplýsingar í litli magni, úr óopinberum skrám, eru notaðar til að flokka eða skipuleggja upplýsingar í opinberum skrám. Þó verður að uppfylla öll skilyrði sem lögbært yfirvald setur fyrir aðgangi að þeim. Þegar upplýsingar úr opinberum skrám eru samtengdar við aðrar upplýsingar úr óopinberum skrám (öðrum en þeim sem eru sérstaklega tilgreindar hér að framan) verður fyrirtæki þó að veita aðgang að öllum slíkum upplýsingum að því gefnu að þær falli ekki undir aðrar leyfðar undantekningar.
8. Sp: Þarf að beita meginreglunni um aðgang á persónuupplýsingar sem allir hafa greiðan aðgang að?
8. Sv: Að því er varðar upplýsingar úr opinberum skrám (sjá 7. Sp.) er ekki nauðsynlegt að beita meginreglunni um aðgang vegna upplýsinga sem allur almenningur hefur þegar greiðan aðgang að á meðan þær eru ekki samtengdar við upplýsingar sem ekki er almennur aðgangur að.
9. Sp: Hvernig getur fyrirtæki varið sig gegn endurteknum og tilefnislausum beiðnum um aðgang?
9. Sv: Fyrirtæki þarf ekki að svara slíkum beiðnum um aðgang. Þess vegna geta fyrirtæki tekið sanngjarnt gjald og sett því eðlileg takmörk hve oft þau svara beiðni frá tilteknum einstaklingi á tilteknu tímabili. Þegar fyrirtækið setur slíkar takmarkanir skal það tala mið af þáttum eins og því hve oft upplýsingar eru uppfærðar, í hvaða tilgangi þær eru notaðar og hvers eðlis þær eru.
10. Sp: Hvernig getur fyrirtæki varið sig gegn sviksamlegum beiðnum um aðgang?
10. Sv: Fyrirtæki þarf ekki að veita aðgang nema það fái nægar upplýsingar til að geta staðfest hver það er sem leggur fram beiðnina.
11. Sp: Þarf að svara beiðni um aðgang innan tiltekins frests?
11. Sv: Já, fyrirtæki þurfa að svara án óþarfrar tafar og innan hæfilegs frests. Hægt er að fullnægja þessari kröfu á mismunandi vegu eins og fram kemur í greinargerð með viðmiðunarreglum Efnahags- og framfarastofnunarinnar (OECD) frá 1980 um friðhelgi einkalífsins. Til dæmis getur ábyrgðaraðili gagnanna, sem og veitir upplýsingar til þeirra sem gögnin eru um með reglulegu millibili, verið undanþeginn skyldunni að svara einstökum beiðnum þegar í stað.
Spurningar og svör 9 — Starfsmannaupplýsingar
1. Sp: Gilda reglurnar um „örugga höfn“ um flutning persónuupplýsinga, sem hefur verið safnað vegna starfsráðninga, frá Evrópusambandinu til Bandaríkjanna
1. Sv: Já, þegar fyrirtæki í Evrópusambandinu flytur persónuupplýsingar, sem það hefur safnað um starfsmenn sína (núverandi eða fyrrverandi) vegna starfsráðninga, til móðurfyrirtækis eða fyrirtækis í eignartengslum eða án eignartengsla, sem veitir þjónustu í Bandaríkjunum og er aðili að kerfinu „öruggri höfn“, gildir það kerfi um flutning gagnanna. Í þeim tilvikum verður öflun upplýsinganna og vinnsla þeirra áður en flutningur á sér stað að vera í samræmi við landslög í því landi Evrópusambandsins þar sem þeim var safnað og öll skilyrði eða takmarkanir á flutningi þeirra samkvæmt þeim lögum virt.
Meginreglurnar um „örugga höfn“ eiga aðeins við þegar persónugreinanlegar upplýsingar eru fluttar eða skoðaðar. Tölfræðiskýrslur sem byggja á gagnasafni um starfsráðningar og/eða notkun nafnlausra eða dulkóðaðra gagna falla ekki undir friðhelgi einkalífsins.
2. Sp: Á hvaða hátt gilda meginreglurnar um tilkynningu og valfrelsi um slíkar upplýsingar?
2. Sv: Bandarískt fyrirtæki sem hefur tekið við upplýsingum um starfsmenn frá Evrópusambandinu samkvæmt reglunum um „örugga höfn“ getur einungis afhent þær þriðja aðila og/eða notað þær í öðrum tilgangi ef það er gert í samræmi við meginreglurnar um tilkynningu og valfrelsi. Ef bandarískt fyrirtæki ætlar til dæmis að nota persónuupplýsingar, sem er safnað í tengslum við starfsráðningar, í einhverjum þeim tilgangi sem ekki tengist starfsráðningum, til dæmis í tengslum við markaðssetningu, verður það að veita einstaklingunum, sem upplýsingarnar varða, kost á vali áður en það er gert nema þeir hafi áður heimilað að upplýsingarnar yrðu notaðar í þeim tilgangi. Valfrelsi starfsmanns má ekki nota þannig að ráðningarmöguleikar hans séu takmarkaðir eða til að refsa honum á neinn hátt.
Rétt er að benda á að tiltekin skilyrði, sem gilda almennt um flutning frá sumum aðildarríkjum, geta útilokað aðra notkun slíkra upplýsinga, jafnvel eftir að þær hafa verið fluttar út úr Evrópusambandinu, og slík skilyrði skal virða.
Vinnuveitendur skulu enn fremur leggja sig fram um að koma til móts við óskir starfsmanna um friðhelgi einkalífsins. Þetta felur til dæmis í sér takmarkaðan aðgang að gögnum, nafnleysi tiltekinna gagna eða notkun kóða eða dulnefna þegar ekki er nauðsynlegt að nota réttu nöfnin við þá vinnslu sem um er að ræða.
Fyrirtæki þarf ekki að gefa kost á tilkynningu og valfrelsi að því marki og í þann tíma sem nauðsynlegur er til að komast hjá því að lögmætir hagsmunir fyrirtækisins skerðist að því er varðar stöðuhækkanir, stöðuveitingar eða aðrar ákvarðanir í tengslum við ráðningar.
3. Sp: Á hvaða hátt er meginreglunni um aðgang beitt?
3. Sv: Spurningar og svör um aðgang veita leiðbeiningar um ástæður sem geta réttlætt synjun eða takmörkun aðgangs sem beðið er um í tengslum við starfsmannaupplýsingar. Vinnuveitendur í Evrópusambandinu skulu að sjálfsögðu fara eftir innlendum reglum og sjá til þess að starfsmenn í Evrópusambandinu hafi aðgang að þeim upplýsingum sem krafist er samkvæmt lögum í heimalöndum þeirra án tillits til þess hvar gögnin eru unnin og geymd. Samkvæmt reglunum um „örugga höfn“ skal fyrirtæki, sem vinnur úr slíkum gögnum í Bandaríkjunum, hafa samstarf um að veita aðgang, annaðhvort beint eða með milligöngu vinnuveitanda í Evrópusambandinu.
4. Sp: Hvernig verður framfylgd meginreglnanna um „örugga höfn“ háttað með tilliti til upplýsinga um starfsmenn?
4. Sv: Að svo miklu leyti sem upplýsingar eru eingöngu notaðar í tengslum við ráðningar starfsmanna liggur ábyrgðin á gögnum um starfsmanninn fyrst og fremst hjá fyrirtækinu í Evrópubandalaginu. Af því leiðir að þegar evrópskir starfsmenn leggja fram kæru vegna brots á rétti þeirra til gagnaverndar, og eru ekki ánægðir með niðurstöður málsmeðferðar við innra eftirlit, kærur og áfrýjun (eða annarrar málsmeðferðar sem er beitt við kvörtunarmál samkvæmt samningi við stéttarfélag), skal þeim beint til gagnaverndar ríkisins eða yfirvalds sem hefur lögsögu í atvinnumálum á þeim stað þar sem starfsmaðurinn vinnur. Þetta gildir einnig í tilvikum þar sem meint misnotkun á persónuupplýsingum um þá hefur átt sér stað í Bandaríkjunum og er á ábyrgð bandarísks fyrirtækis, sem hefur fengið upplýsingar frá vinnuveitandanum, en ekki á ábyrgð vinnuveitandans, og er þess vegna meint brot á meginreglunum um „örugga höfn“ fremur en á innlendum lögum til framkvæmdar tilskipuninni. Þetta er skilvirk aðferð til að meðhöndla réttindi og skyldur sem oft skarast og eru ákveðin í vinnulöggjöf og kjarasamningum og einnig í lögum um gagnavernd.
Bandarískt fyrirtæki, sem á aðild að kerfinu „öruggri höfn“ og notar starfsmannaupplýsingar frá Evrópusambandinu, sem eru fluttar þaðan í tengslum við starfsráðningar, og óskar eftir því að reglunum um „örugga höfn“ sé beitt við þann flutning, verður því að skuldbinda sig til að eiga samstarf um rannsóknir við þar til bær yfirvöld í Evrópusambandinu og fara að ráðum þeirra um þau mál. Gagnaverndaryfirvöld, sem hafa samþykkt að eiga samstarf á þennan hátt, skulu tilkynna framkvæmdastjórn Evrópubandalaganna og viðskiptaráðuneytinu um það. Ef bandarískt fyrirtæki, sem er aðili að kerfinu „öruggri höfn“, óskar að flytja starfsmannaupplýsingar frá aðildarríki og gagnaverndaryfirvöld hafa ekki samþykkt það gilda ákvæði 5. liðar í Spurningum og svörum.
Spurningar og svör 10 — Samningar samkvæmt 17. gr.
Sp: Er nauðsynlegt að gera samning þegar gögn eru flutt frá Evrópusambandinu til Bandaríkjanna til vinnslu eingöngu, án tillits til þess hvort sá sem vinnur úr gögnunum á aðild að kerfinu „öruggri höfn“?
Sv: Já, ábyrgðaraðilar gagna í Evrópusambandinu þurfa alltaf að gera samning þegar gögn eru flutt til vinnslu eingöngu, hvort sem vinnslan fer fram innan eða utan Evrópusambandsins. Tilgangurinn með samningi er að vernda hagsmuni ábyrgðaraðila gagnanna, þ.e. þess einstaklings eða stofnunar sem ákveður til hvers gögnin eru unnin og hvernig það er gert og ber fulla ábyrgð á gögnunum gagnvart viðkomandi einstaklingi eða einstaklingum. Í samningnum skal því koma fram hvernig fyrirhugað er að vinna úr gögnunum og allar nauðsynlegar ráðstafanir til að tryggja vernd þeirra.
Bandarískt fyrirtæki, sem á aðild að kerfinu „öruggri höfn“ og tekur við persónuupplýsingum frá Evrópusambandinu til vinnslu eingöngu, þarf því ekki að beita meginreglunum við meðferð þessara upplýsinga þar eð sá sem hefur umsjón með þeim innan Evrópusambandsins ber áfram ábyrgð á þeim gagnvart einstaklingnum í samræmi við viðkomandi ákvæði Evrópusambandsins (sem geta verið strangari en jafngildar meginreglur um „örugga höfn“).
Þar eð þeir sem eiga aðild að kerfinu „öruggri höfn“ veita næga vernd þarf ekki að fá fyrirfram leyfi fyrir samningum við þá ef þeir snerta eingöngu vinnslu upplýsinga (eða slík leyfi fást sjálfkrafa afgreidd hjá aðildarríkjunum) þótt þess þurfi vegna samninga við viðtakendur sem eiga ekki aðild að „öruggri höfn“ eða veita ekki fullnægjandi vernd á annan hátt.
Spurningar og svör 11 — Lausn deilumála og framfylgd
Sp: Hvernig á að framkvæma kröfuna um lausn deilumála, sem er ákveðin í meginreglunni um framfylgd, og hvernig skal bregðast við ef fyrirtæki vanrækir stöðugt að fara eftir meginreglum?
Sv: Kröfur um framfylgd reglnanna um „örugga höfn“ eru ákveðnar í meginreglunni um framfylgd. Í spurningum og svörum um sannprófun (7. liður Spurninga og svara) kemur fram hvernig skuli uppfylla kröfurnar í b-lið meginreglunnar. Í þessum lið (11. lið Spurninga og svara) er fjallað um a- og c-lið en í þeim báðum er gerð krafa um óháða málskotsaðila. Þessir aðilar geta haft mismunandi kerfi en þeir verða að uppfylla kröfur meginreglunnar um framfylgd. Fyrirtæki geta uppfyllt kröfurnar með því að: 1) vera í samræmi við áætlanir um friðhelgi einkalífsins, sem hafa verið þróaðar innan einkageirans og fela í sér meginreglurnar um „örugga höfn“ skilvirk kerfi til framfylgdar af þeirri gerð sem er lýst í meginreglunni um framfylgd, 2) skuldbinda sig til að fara eftir reglum eftirlitsyfirvalda sem eru til þess bær samkvæmt lögum eða stjórnsýslufyrirmælum að taka einstakar kærur til meðferðar og leysa deilumál eða 3) skuldbinda sig til að eiga samstarf við gagnaverndaryfirvöld sem eru staðsett í Evrópusambandinu eða viðurkennda fulltrúa þeirra. Þessari skrá er ætlað að vera lýsandi en ekki takmarkandi. Einkaaðilar geta hannað önnur kerfi fyrir framfylgd svo fremi að þau séu í samræmi við kröfurnar sem eru settar fram í meginreglunni um framfylgd og í Spurningum og svörum. Takið eftir að kröfurnar, sem koma fram í meginreglunni um framfylgd, eru til viðbótar kröfunum, sem eru settar fram í 3. mgr. inngangsins að meginreglunum, um að draga megi fyrirtæki til ábyrgðar vegna framtaks undir eigin eftirliti samkvæmt 5. gr. í lögum um Alríkisviðskiptastofnunina eða svipuðum lögum.
Málskotsaðili.
Hvetja skal neytendur til að bera fram þær kvartanir sem þeir kunna að hafa við viðkomandi fyrirtæki áður en haldið er áfram með kæruna til óháðs málskotsaðila. Hægt er að sýna á ýmsa vegu að málskotsaðili geti talist óháður, til dæmis með innsýn í samsetningu hans og fjármál eða með staðfestri ferilskrá. Eins og kveðið er á í meginreglunni um framfylgd skulu einstaklingar eiga greiðan aðgang að málskotsaðila án mikils tilkostnaðar. Aðilar, sem annast lausn deilumála, athuga allar kærur sem berast frá einstaklingum nema þær séu augljóslega tilefnislausar eða alvörulausar. Þetta kemur ekki í veg fyrir að málskotsaðilinn geti sett skilyrði fyrir því að taka við kærum en slík skilyrði skulu vera gagnsæ og á rökum reist (t.d. til að útiloka kærur sem falla utan gildissviðs áætlunarinnar eða sem skoða skal á öðrum vettvangi), og skulu ekki hafa þau áhrif að draga úr skyldunni að athuga lögmætar kærur. Auk þess skal málskotsaðili veita einstaklingum ítarlegar og aðgengilegar upplýsingar um málsmeðferð við lausn deilumála þegar þeir leggja fram kæru. Í þeim upplýsingum skal gerð grein fyrir starfsháttum aðilans að því er varðar friðhelgi einkalífsins í samræmi við meginreglurnar um örugga höfn ( 2 ). Þeir skulu einnig starfa saman að þróun hjálpartækja eins og staðlaðra eyðublaða fyrir kærur til að auðvelda lausn kærumála.
Úrræði og viðurlög.
Úrræði aðilans, sem sér um lausn deilumála, ættu að verða til þess að fyrirtækið snúi til hins betra eða leiðrétti afleiðingar þess að það fór ekki eftir reglum, eftir því sem ástæða er til, og að vinnsla fyrirtækisins verði framvegis í samræmi við meginreglurnar og, þegar við á, að vinnslu persónuupplýsinga um einstaklinginn, sem leggur fram kæruna, verði hætt. Viðurlög skulu vera nægilega ströng til að tryggja að fyrirtæki fari eftir meginreglunum. Aðilar, sem sjá um lausn deilumála, skulu geta beitt ýmiss konar misströngum viðurlögum, eftir því hve alvarlegt brotið er, til að bregðast á réttan hátt við því þegar ekki er farið eftir reglum. Viðurlög geta bæði falið í sér að það sé gert opinbert ef ekki hefur verið farið eftir reglum og, við tilteknar aðstæður, fyrirmæli um að eyða gögnum ( 3 ). Í öðrum viðurlögum getur falist að fella niður viðurkenningu fyrirtækisins, tímabundið eða endanlega, að greiða bætur til einstaklinga vegna skaða sem þeir verða fyrir í kjölfar þess að ekki er farið eftir reglum eða lögbann. Aðilar, sem sjá um lausn deilumála af hálfu einkafyrirtækja og sjálfseftirlitsaðilar, verða að tilkynna það til stjórnarstofnunar sem hefur lögsögu í málinu ef fyrirtæki sem eru aðilar að kerfinu „öruggri höfn“ fara ekki eftir úrskurðum þeirra eða til dómstóla, eftir því sem við á, og til viðskiptaráðuneytisins (eða fulltrúa þess)
Aðgerðir af hálfu Alríkisviðskiptastofnunarinnar (FTC)
Alríkisviðskiptastofnunin hefur skuldbundið sig til að veita forgang málum, sem varða meint brot á meginreglunum um „örugga höfn“ og vísað er til þeirra af sjálfseftirlitsaðilum sem starfa á sviði friðhelgi einkalífsins, svo sem „BBBOnline“ og „TRUSTe“ eða aðildarríkjum Evrópubandalagsins, til að ákvarða hvort um brot sé að ræða á 5. þætti laganna um Alríkisviðskiptastofnunina þar sem bann er lagt við óheiðarlegum og villandi viðskiptaháttum. Ef Alríkisviðskiptastofnunin hefur ástæðu til að ætla að um brot sé að ræða á ákvæðum 5. þáttar getur hún leyst málið með því að fara fram á stjórnsýslubann við þeim starfsháttum sem kærðir hafa verið eða með því að leggja fram kæru í alríkisundirrétti sem, ef hún nær fram að ganga, getur leitt til sömu niðurstöðu alríkisdómstóls. Alríkisviðskiptastofnunin getur fengið sett viðurlög í einkamálarétti vegna brota á stjórnsýslubanni og getur fengið dæmda óvirðingu við einkamálarétt eða sakamálarétt vegna brota á dómum alríkisdómstóls. Alríkisviðskiptastofnunin tilkynnir viðskiptaráðuneytinu um allar slíkar aðgerðir. Viðskiptaráðuneytið hvetur aðrar ríkisstofnanir til að tilkynna ráðuneytinu um lokaniðurstöður slíkra mála sem er skotið til þess eða aðra úrskurði sem ákvarða að gengist skuli undir meginreglurnar um „örugga höfn“.
Stöðug brot á meginreglum.
Ef fyrirtæki brýtur stöðugt meginreglurnar á það ekki lengur rétt á því að njóta hagræðis af reglunum um „örugga höfn“. Um stöðugt brot á meginreglum telst vera að ræða þegar fyrirtæki, sem hefur sjálfvottað hjá viðskiptaráðuneytinu (eða fulltrúa þess), neitar að fara eftir lokaniðurstöðu sjálfseftirlitsstofnunar eða stjórnarstofnunar eða þegar slík stofnun ákvarðar að fyrirtækið brjóti meginreglurnar svo oft að yfirlýsing þess um að það fari að meginreglum sé ekki lengur trúverðug. Þegar um slíkt er að ræða skal fyrirtækið strax tilkynna viðskiptaráðuneytinu (eða fulltrúa þess) um það. Grípa má til aðgerða gegn fyrirtæki, sem rækir ekki þessa skyldu, samkvæmt bandarískum lögum um rangar upplýsingar (False Statements Act 18 U.S.C. § 1001).
Ráðuneytið (eða fulltrúi þess) greinir í opinberri skrá, sem það heldur yfir fyrirtæki, sem sjálfvotta að þau gangist undir meginreglurnar um „örugga höfn“, frá öllum tilkynningum sem það fær um stöðug brot á meginreglum, hvort þær upplýsingar hafa borist frá fyrirtækinu sjálfu, frá sjálfseftirlitsstofnun eða stjórnarstofnun en ekki fyrr en það hefur veitt fyrirtækinu, sem hefur brotið reglurnar, þrjátíu (30) daga frest til andsvara. Þannig kemur skýrt fram í skránni, sem viðskiptaráðuneytið (eða fulltrúi þess) heldur, hvaða fyrirtæki falla undir reglurnar um „örugga höfn“ og hver ekki.
Fyrirtæki sem sækir um þátttöku hjá sjálfseftirlitsstofnun í þeim tilgangi að fá endurhæfingu í því að vinna eftir reglunum um „örugga höfn“ verður að veita þeirri stofnun allar upplýsingar um fyrri þátttöku sína í því kerfi.
Spurningar og svör 12 — Valfrelsi — Tímamörk til að hafna notkun persónuupplýsinga (Opt Out)
Sp: Leyfir meginreglan um valfrelsi einstaklingum aðeins að velja í upphafi samskipta eða hvenær sem er?
Sv: Tilgangurinn með meginreglunni um valfrelsi er almennt sá að tryggja að persónuupplýsingar séu notaðar og afhentar á þann hátt að það sé í samræmi við væntingar og óskir einstaklingsins. Þannig á einstaklingur hvenær sem er að geta hafnað því (opt-out) eða valið að persónuupplýsingar um hann verði ekki notaðar í beinni markaðssetningu með fyrirvara um eðlilegan tímafrest sem fyrirtækið setur, til dæmis til að fái tíma til að taka slíkt valkerfi í notkun. Fyrirtæki getur einnig krafist þess að fá nægar upplýsingar til að fá staðfest hver einstaklingurinn er sem hafnar markaðssetningu (opt out). Í Bandaríkjunum eiga einstaklingar að geta nýtt sér þennan kost með því að nota miðlægt höfnunarkerfi svo sem þjónustu samtaka fyrirtækja með beina markaðssetningu (Direct Marketing Association's Mail Preference Service). Fyrirtæki sem eru aðilar að þessum samtökum skulu koma þessum þjónustukosti á framfæri við viðskiptamenn sem óska ekki eftir því að fá upplýsingar um viðskiptamál. Einstaklingar skulu undir öllum kringumstæðum geta valið á skýran og greinilegan hátt með búnaði sem auðvelt er að fá aðgang að og án mikils tilkostnaðar.
Á sama hátt getur fyrirtæki notað upplýsingar í tiltekinni beinni markaðssetningu þegar mjög erfitt er að veita einstaklingi tækifæri til að hafna markaðssetningu (opt out) áður en það notar upplýsingarnar en þó því aðeins að fyrirtækið veiti einstaklingnum samtímis tækifæri til, hvenær sem hann biður um það og honum að kostnaðarlausu, að biðjast undan frekari beinum markaðssetningarsamskiptum og að fyrirtækið fari að óskum einstaklingsins.
Spurningar og svör 13 — Upplýsingar um ferðalög
Sp: Hvenær má flytja upplýsingar um farþegabókanir með flugi og aðrar ferðaupplýsingar, svo sem upplýsingar um tíðar flugferðir eða hótelpantanir og þörf fyrir sérmeðferð, svo sem sérstakt fæði vegna trúarástæðna eða upplýsingar um þarfir vegna hreyfihömlunar, til fyrirtækis utan Evrópusambandsins?
Sv: Slíkar upplýsingar má flytja við ýmsar mismunandi aðstæður. Samkvæmt 26. gr. tilskipunarinnar er hægt að flytja persónuupplýsingar til þriðja lands sem tryggir ekki fullnægjandi vernd í skilningi 2. mgr. 25. gr. með því skilyrði að það 1) sé nauðsynlegt til að veita þá þjónustu sem viðskiptamaðurinn biður um eða til að fullnægja skilmálum samnings, svo sem samnings um tíðar flugferðir, eða 2) viðskiptamaðurinn hafi gefið ótvírætt samþykki sitt til þess. Bandarísk fyrirtæki, sem eru aðilar að kerfinu „öruggri höfn“, veita fullnægjandi vernd fyrir persónuupplýsingar og mega því taka við gagnasendingum frá Evrópubandalaginu þó að þau uppfylli ekki þessi skilyrði eða önnur skilyrði sem eru sett fram í 26. gr. tilskipunarinnar. Þar eð sérstakar reglur um viðkvæmar upplýsingar eru fólgnar í reglunum um „örugga höfn“ mega slíkar upplýsingar (sem hugsanlega þarf að afla t.d. í tengslum við þarfir viðskiptamannsins vegna hreyfihömlunar) vera með í gagnasendingum til aðila að „öruggri höfn“. Fyrirtækið, sem flytur upplýsingarnar, þarf þó alltaf að virða lögin í því aðildarríki Evrópusambandsins þar sem það starfar en þau geta meðal annars kveðið á um sérstök skilyrði fyrir meðferð viðkvæmra gagna.
Spurningar og svör 14 — Lyfja- og lækningavörur
1. Sp: Hvort er farið eftir lögum aðildarríkis Evrópusambandsins eða meginreglunum um „örugga höfn“ þegar persónuupplýsingum er safnað í Evrópusambandinu og þau flutt til Bandaríkjanna til lyfjarannsókna og/eða í öðrum tilgangi?
1. Sv: Lög aðildarríkisins gilda um söfnun persónuupplýsinganna og alla vinnslu sem á sér stað áður en þau eru flutt til Bandaríkjanna. Meginreglurnar um „örugga höfn“ gilda um gögnin þegar þau hafa verið flutt til Bandaríkjanna. Gögn sem eru notuð til lyfjarannsókna og í öðrum tilgangi skulu gerð nafnlaus þegar það á við.
2. Sp: Persónuupplýsingar, sem eru þróaðar í sérstökum læknis- eða lyfjafræðilegum rannsóknum, hafa oft mikla þýðingu í vísindarannsóknum framtíðarinnar. Þegar persónuupplýsingar, sem er safnað vegna tiltekinnar rannsóknar, eru fluttar til bandarísks fyrirtækis sem er aðili að „öruggri höfn“, er fyrirtækinu þá heimilt að nota gögnin til nýrra rannsóknarverkefna?
2. Sv: Já, ef farið er eftir meginreglunni um tilkynningu og valfrelsi við fyrstu notkun. Í tilkynningunni skulu koma fram upplýsingar um öll sérstök fyrirhuguð not af gögnunum, svo sem reglulega eftirfylgni, athuganir á tengdum sviðum eða markaðssetningu. Að sjálfsögðu er ekki hægt að tilgreina alla framtíðarnotkun gagnanna þar eð notkun þeirra við nýjar rannsóknir getur byggst á nýrri sýn á upphaflegu gögnunum, nýjum læknisfræðilegum uppgötvunum og framförum, eða þróun á sviði almannaheilbrigðis og heilbrigðislöggjafar. Í tilkynningunni skal því útskýrt, þegar við á, að persónuupplýsingarnar kunni í framtíðinni að verða notaðar í læknis- og lyfjafræðilegum rannsóknum sem ekki er fyrirsjáanlegt hverjar verða. Ef gögnin eru ekki notuð í samræmi við þann almenna tilgang til rannsókna sem þeim var upphaflega safnað til eða sem einstaklingurinn samþykkir síðar verður að fá nýtt samþykki.
3. Sp: Hvað verður um gögn einstaklings ef þátttakandi ákveður, sjálfviljugur eða að beiðni ábyrgðaraðila tilraunar, að draga sig út úr meðferðartilraun?
3. Sv: Þátttakendur geta hvenær sem er ákveðið eða verið beðnir að draga sig út úr meðferðartilraun. Halda má áfram vinnslu gagna, sem er safnað áður en þátttakandi dregur sig út úr meðferðartilraun, ásamt öðrum gögnum sem var safnað vegna tilraunarinnar, ef hlutaðeigandi hefur verið tilkynnt um það á skýran hátt þegar hann/hún gerðist þátttakandi.
4. Sp: Fyrirtæki sem framleiða lyf og lækningatæki hafa leyfi til að afhenda persónuupplýsingar úr meðferðartilraunum sem fara fram í Evrópubandalaginu til eftirlitsyfirvalda í Bandaríkjunum vegna eftirlits þeirra og umsjónar. Eru svipaðir flutningar leyfðir til annarra aðila en eftirlitsyfirvalda eins og framleiðslufyrirtækja og annarra sem stunda rannsóknir?
4. Sv: Já, í samræmi við meginreglurnar um tilkynningu og valfrelsi.
5. Sp: Til að tryggja hlutleysi í meðferðartilraunum er ekki hægt að veita þátttakendum, og oft ekki þeim sem stunda rannsóknir, aðgang að upplýsingum um það hvaða meðferð hver þátttakandi fær. Væri það gert stefndi það í hættu gildi og niðurstöðum rannsóknarverkefnisins. Munu þátttakendur í slíkum meðferðartilraunum (s.k. „blindum“ rannsóknum) hafa aðgang að gögnunum um meðferð sína meðan á tilrauninni stendur?
5. Sv: Nei, ekki þarf að veita þátttakanda slíkan aðgang ef þessi takmörkun hefur verið útskýrð þegar þátttakandinn fór í tilraunina og afhending slíkra upplýsinga myndi stefna í hættu heilleika rannsóknarinnar. Samningur um að taka þátt í tilraun með þessum skilyrðum jafngildir því afsali á réttinum til aðgangs. Eftir að tilrauninni lýkur og greiningar á niðurstöðum hennar liggja fyrir skulu þátttakendur hafa aðgang að gögnum um sjálfa sig ef þeir óska eftir því. Þeir skulu fyrst og fremst leita eftir þeim hjá lækninum eða öðru heilsugæslufólki sem meðhöndlaði þá í meðferðartilrauninni eða að öðrum kosti hjá fyrirtækinu sem er ábyrgðaraðili tilraunarinnar.
6. Sp: Þarf fyrirtæki, sem framleiðir lyf eða lækningatæki, að beita meginreglunum um „örugga höfn“ með tilliti til tilkynningar, valfrelsis, framsendingar og aðgangs í eftirliti sínu með öryggi framleiðsluvörunnar og skilvirkni, þar á meðal til skýrslugerðar um neikvæð áhrif, og skráningar sjúklinga eða fólks sem notar tiltekin lyf eða lækningatæki (t.d. gangráða)?
6. Sv: Nei, ekki ef meginreglurnar fara í bága við löglegar kröfur eftirlitsyfirvalda. Þetta gildir bæði að því er varðar t.d. skýrslur heilsugæslufólks til fyrirtækja sem framleiða lyf og lækningatæki og skýrslur fyrirtækja sem framleiða lyf og lækningatæki til stjórnarstofnana eins og Matvæla- og lyfjaeftirlit Bandaríkjanna.
7. Sp: Reglan er sú að yfirmaður rannsóknarinnar dulkóðar rannsóknargögn í upphafi til að ekki komi fram hvaða einstaklinga gögnin eru um. Lyfjafyrirtæki, sem eru verkbeiðendur slíkra rannsókna, fá ekki lykilinn að kóðanum. Rannsóknaraðilinn er sá eini sem hefur lykilinn að þessum eingilda kóða til að hann geti borið kennsl á rannsóknarviðfangið við sérstakar aðstæður (t.d. ef þörf er á áframhaldandi læknismeðferð). Er litið svo á að flutningur gagna, sem eru kóðuð á þennan hátt, frá Evrópusabandinu til Bandaríkjanna, jafngildi flutningi persónuupplýsinga sem falla undir meginreglurnar um „örugga höfn“?
7. Sv: Nei, það jafngildir ekki flutningi persónuupplýsinga sem falla undir meginreglurnar.
Spurningar og svör 15 — Opinberar skrár og upplýsingar sem eru aðgengilegar öllum
Sp: Er nauðsynlegt að beita meginreglunum um tilkynningu, valfrelsi og framsendingu á upplýsingar í opinberum skrám eða upplýsingar sem eru aðgengilegar öllum?
Sv: Ekki er nauðsynlegt að beita meginreglunum um tilkynningu, valfrelsi og framsendingu á opinberar skrár svo framarlega sem þær eru ekki samtengdar upplýsingum úr óopinberum skrám og svo framarlega sem öll skilyrði um aðgang, sem kveðið er á um í viðkomandi lögsögu, eru virt.
Almennt er ekki heldur nauðsynlegt að beita meginreglunum um tilkynningu, valfrelsi og framsendingu á upplýsingar sem eru aðgengilegar öllum nema evrópski flutningsaðilinn gefi til kynna að slíkar upplýsingar séu háðar takmörkunum þannig að þess sé krafist að fyrirtækið beiti þessum meginreglum við þá notkun sem það hefur í hyggju. Fyrirtæki bera enga ábyrgð á því hvernig slíkar upplýsingar eru notaðar af þeim sem fá þær úr útgefnu efni.
Ef í ljós kemur að fyrirtæki birtir persónuupplýsingar opinberlega af ásettu ráði, andstætt meginreglunum, svo að það eða aðrir geta notið góðs af þessum undantekningum fullnægir það ekki lengur skilyrðunum fyrir því að njóta hagræðis af kerfinu „öruggri höfn“
III. VIÐAUKI
Yfirlit yfir framkvæmd meginreglnanna um „örugga höfn“
Heimildir alríkisyfirvalda og yfirvalda einstakra ríkja með tilliti til óheiðarlegra eða villandi viðskiptahátta og friðhelgi einkalífsins.
Heimildir Alríkisviðskiptastofnunarinnar í málum er varða óheiðarlega og villandi viðskiptahætti
Í 5. þætti laganna um Alríkisviðskiptastofnunina er því lýst yfir að ólöglegt sé að viðhafa „óheiðarlega eða villandi háttsemi eða starfshætti í viðskiptum eða í starfsemi sem hefur áhrif á viðskipti“, sjá 15 U.S.C. § 45(a)(1). Í 5. þætti er Alríkisviðskiptastofnuninni gefin full heimild til að koma í veg fyrir slíka háttsemi og starfshætti, sjá § 45(a)(2). Alríkisviðskiptastofnunin getur því, eftir formlega skýrslutöku, gefið út stjórnsýslubann (cease and desist) til að stöðva brotlegt athæfi, sjá 15 U.S.C. § 45(b). Ef það þjónar hagsmunum almennings getur Alríkisviðskiptastofnunin einnig óskað eftir bráðabirgðakyrrsetningu eða bráðabirgða- eða varanlegu lögbanni í bandarískum undirrétti, sjá 15 U.S.C. § 53(b). Í tilvikum þar sem um er að ræða útbreidda óheiðarlega eða villandi háttsemi eða starfshætti, eða þar sem Alríkisviðskiptastofnunin hefur þegar sett stjórnsýslubann í málinu, getur hún birt stjórnsýsluúrskurð þar sem lýst er þeirri háttsemi eða starfsháttum sem um er að ræða, sjá 15 U.S.C. § 57a.
Hver sá sem fer ekki eftir ákvörðun Alríkisviðskiptastofnunarinnar verður að greiða sekt til ríkisins sem nemur allt að 11 000 Bandaríkjadollurum og litið er á hvern dag sem brotið heldur áfram sem sérstakt brot ( 2 ), sjá 15 U.S.C. § 45(1). Einnig er hægt að dæma hvern þann sem vitandi vits brýtur gegn úrskurði Alríkisviðskiptastofnunarinnar til að greiða 11 000 dollara fyrir hvert brot, sjá 15 U.S.C. § 45(m). Aðgerðir til að framfylgja málum eru annaðhvort á hendi dómsmálaráðuneytisins eða, ef það hafnar því, á hendi Alríkisviðskiptastofnunarinnar, sjá 15 U.S.C. § 56.
Heimildir Alríkisviðskiptastofnunarinnar með tilliti til friðhelgi einkalífsins
Þegar Alríkisviðskiptastofnunin beitir heimildum sínum samkvæmt 5. þætti lítur hún svo á að rangar upplýsingar um það hvers vegna upplýsingum er safnað frá neytendum eða hvernig upplýsingar eru notaðar teljist villandi viðskiptahættir ( 3 ). Árið 1998 lagði Alríkisviðskiptastofnunin t.d. fram kæru á hendur fyrirtækinu GeoCities fyrir að afhenda þriðja aðila upplýsingar sem það hafði safnað á vefsíðu sína til markaðssetningar þrátt fyrir yfirlýsingar um hið gagnstæða og án þess að fá til þess leyfi fyrirfram ( 4 ). Starfsfólk Alþjóðaviðskiptastofnunarinnar hefur einnig haldið því fram að söfnun persónuupplýsinga frá börnum og sala og afhending þeirra upplýsinga, án samþykkis foreldranna, geti talist óheiðarlegir viðskiptahættir ( 5 ).
Formaður Alríkisviðskiptastofnunarinnar, Pitofsky, tiltók í bréfi til aðalframkvæmdastjóra Evrópusambandsins, John Mogg, hvaða takmarkanir væru á heimildum Alríkisviðskiptastofnunarinnar til verndar friðhelgi einkalífsins, þar sem ekki er um rangar upplýsingar að ræða (eða alls engar upplýsingar), varðandi það hvernig upplýsingar, sem er safnað, verði notaðar. Sjá bréf Pitofsky formanns til John Mogg (23. september 1998). Fyrirtæki sem vilja gangast undir það reglukerfi um „örugga höfn“ sem fyrirhugað er verða að staðfesta að þau muni vernda upplýsingar, sem þau safna, í samræmi við fyrirhugaðar viðmiðunarreglur. Það teljast því vera rangar upplýsingar og villandi viðskiptahættir í skilningi 5. þáttar ef fyrirtæki vottar að það muni standa vörð um friðhelgi upplýsinga en gerir það ekki.
Þar eð lögsaga Alríkisviðskiptastofnunarinnar nær til óheiðarlegrar eða villandi háttsemi eða starfshátta „í viðskiptum eða í starfsemi sem hefur áhrif á viðskipti“ nær hún ekki til söfnunar og notkunar persónuupplýsinga sem ekki er ætlunin að nota í viðskiptalegum tilgangi, t.d. fjársöfnunar fyrir góðgerðastarfsemi. Sjá bréf Pitofsky, bls 3. Séu persónuupplýsingar notaðar í verslunarviðskiptum af einhverju tagi nægir það hins vegar til að fullnægja þessu lögsöguskilyrði. Ef vinnuveitandi seldi t.d. persónuupplýsingar um starfsmenn sína til markaðsfyrirtækis myndu þau viðskipti flokkast undir ákvæði 5. þáttar.
Undantekningar samkvæmt 5. þætti
Í 5. þætti eru undantekningar frá heimildum Alríkisviðskiptastofnunarinnar með tilliti til óheiðarlegra og villandi háttsemi eða starfshátta að því er varðar:
– fjármálastofnanir, þar á meðal banka, sparisjóði og lánastofnanir og samvinnusjóði (credit unions);
– almenna flutningsaðila í fjarskiptum og samgöngum milli ríkja Bandaríkjanna;
– flugfélög; og
– aðila sem annast pökkun og búpeningsbirgðastöðvar.
Sjá 15 U.S.C. § 45(a)(2). Hér á eftir verður fjallað um hverja undantekningu og eftirlitsyfirvöld sem koma í stað FTC.
Fjármálastofnanir ( 6 )
Fyrsta undantekningin gildir um „banka, sparisjóði og lánastofnanir sem er lýst í þætti 18(f)(3) [15 U.S.C. § 57a(f)(3)]“ og „alríkissamvinnusjóði sem er lýst í þætti 18(f)(4) [15 U.S.C. § 57a(f)(4)]“ ( 7 ). Þessar fjármálastofnanir falla þess í stað undir reglur sem eru settar af „Federal Reserve Board“, „Office of Thrift Supervision“ ( 8 ), eða „National Credit Union Administration Board“. Sjá 15 U.S.C. § 57(a)(f). Þessar eftirlitsstofnanir hafa það hlutverk að setja nauðsynlegar reglur til að koma í veg fyrir að fjármálastofnanirnar beiti óheiðarlegum og villandi viðskiptaháttum ( 9 ) og til að koma á fót sérstakri deild til að fjalla um kærur viðskiptamanna, sjá 15 U.S.C. 57a(f)(1). Loks er heimild til framfylgdar ákveðin í 8. þætti laganna um alríkistryggingu innlána „Federal Deposit Insurance Act“ (12 U.S.C. § 1818), fyrir banka og sparisjóði og lánastofnanir og í 120. og 206. þætti laganna um alríkissamvinnusjóði „Federal Credit Union Act“ fyrir alríkissamvinnusjóði, sjá 15 U.S.C. §§ 57a(f)(2)–(4).
Tryggingageirinn er ekki sérstaklega nefndur í skránni yfir undantekningar í 5. þætti en í lögunum „McCarran-Ferguson Act“ (15 U.S.C. § 1011 og áfram) er almennt vísað til einstakra ríkja um eftirlit með tryggingastarfsemi ( 10 ).Enn fremur geta alríkislög ekki, samkvæmt b-lið annars þáttar laganna „McCarran- Ferguson Act“, ógilt, veikt eða leyst af hólmi lög einstakra ríkja „nema slík lög viðkomi tryggingastarfsemi sérstaklega“, sjá 15 U.S.C. § 1012(b). Ákvæði laga Alríkisviðskiptastofnunarinnar gilda þó um tryggingastarfsemi „að svo miklu leyti sem slík starfsemi heyrir ekki undir lög einstakra ríkja,“ eins og áður segir. Einnig má geta þess að í lögunum „McCarran-Ferguson Act“ er einungis vísað til ríkjanna þegar um er að ræða „tryggingastarfsemi.“ Þess vegna heldur Alríkisviðskiptastofnunin heimild sinni gagnvart óheiðarlegum eða villandi viðskiptaháttum tryggingafyrirtækja í málum er snerta aðra starfsemi en tryggingar. Þetta á t.d. við þegar tryggingafyrirtæki selur persónuupplýsingar um tryggingataka sína til aðila sem starfa við beina markaðssetningu á öðru en tryggingum ( 11 ).
Almennir flutningsaðilar
Önnur undantekning 5. þáttar nær yfir almenna flutningsaðila sem „heyra undir lög um viðskipti.“ Sjá 15 U.S.C. § 45(a)(2). Með „lögum um viðskipti“ er hér vísað til IV. undirbálks (subtitle) 49. bálks (Title) í lögum Bandaríkjanna (United States Code) og til laga um fjarskipti frá 1934 (47 U.S.C. § 151 og áfram) (Communications Act), sjá 15 U.S.C. § 44.
Ákvæði IV. undirbálks 49. bálks bandarísku laganna (um milliríkjaflutninga) ná til flutningsaðila á járnbrautum, vegum og vatnaleiðum, miðlara, vöruflutningsaðila og leiðsluflutningsaðila, sjá 49 U.S.C. § 10101 og áfram. Þessir almennu flutningsaðilar falla undir reglur „Surface Transporation Board“ sem er sjálfstæð stofnun innan samgönguráðuneytisins, sjá 49 U.S.C. §§ 10501, 13501 og 15301. Í öllum tilvikum gildir að flutningsaðilanum er bannað að afhenda upplýsingar um eðli, ákvörðunarstað og önnur atriði viðvíkjandi farminum sem hægt væri að nota til óþurftar fyrir sendandann, sjá 49 U.S.C. §§ 11904, 14908 og 16103. Tekið skal fram að þessi ákvæði vísa til upplýsinga um farm sendandans og ættu því ekki að ná yfir persónuupplýsingar um sendandann sem snerta ekki sendinguna sem um er að ræða.
Í lögunum um fjarskipti er kveðið á um að Alríkisfjarskiptastofnunin „Federal Communications Commission“ (FCC) skuli setja reglur um „fjarskipti í milliríkjaviðskiptum og erlendum viðskiptum, um þráð eða þráðlaus“, sjá 47 U.S.C §§ 151 and 152. Auk almennra flutningsaðila í fjarskiptum gilda fjarskiptalögin einnig um fyrirtæki sem eru með sjónvarps- og útvarpsútsendingar og kapalþjónustu en eru ekki almennir flutningsaðilar. Síðarnefndu fyrirtækin uppfylla ekki skilyrðin um undantekningar samkvæmt 5. þætti í lögum um alríkisviðskiptastofnunina. Alríkisviðskiptastofnunin hefur því lögsögu að því er varðar rannsóknir á þessum fyrirtækjum með tilliti til óheiðarlegra og villandi starfshátta en Alríkisfjarskiptastofnunin hefur sömu lögsögu til að beita óháðum heimildum sínum á þessu sviði eins og lýst er hér á eftir.
Samkvæmt lögunum um fjarskipti er öllum „flutningsaðilum í fjarskiptum“, þar á meðal skiptistöðvum á hverjum stað, skylt að vernda persónuupplýsingar um viðskiptamenn ( 12 ), sjá 47 U.S.C. § 222(a). Auk þessarar almennu heimildar til verndar einkalífsins var fjarskiptalögunum breytt með lögum um kapalsendingar, „Cable Communications Policy Act“ frá 1984 (the Cable Act), 47 U.S.C. § 521 og áfram, þar sem sérstök fyrirmæli eru til þeirra sem reka kapalsjónvarp um að vernda „persónugreinanlegar upplýsingar“ um áskrifendur, sjá 47 U.S.C. § 551 ( 13 ). Í lögunum um kapalsendingar eru settar takmarkanir á söfnun persónuupplýsinga, af hendi þeirra sem reka kapalsjónvarp, og gerð krafa um að þeir tilkynni áskrifendum um það hvers eðlis þær upplýsingar séu sem er safnað og hvernig þær upplýsingar verði notaðar. Í lögunum um kapalsendingar er áskrifendum veittur réttur til að fá aðgang að upplýsingum um sig og þeir sem reka kapalsjónvarp skyldaðir til að eyðileggja upplýsingar sem þeir hafa ekki lengur þörf fyrir.
Fjarskiptalögin veita Alríkisfjarskiptastofnuninni heimild til að framfylgja þessum tveimur ákvæðum um friðhelgi einkalífsins, annaðhvort að eigin frumkvæði eða í kjölfar utanaðkomandi kæru ( 14 ), sjá 47 U.S.C. §§ 205, 403; einnig § 208. Ef Alríkisfjarskiptastofnunin kemst að raun um að flutningsaðili í fjarskiptum (þar á meðal rekandi kapalsjónvarps) hafi brotið ákvæði 222. eða 551. þáttar eru til þrjár grunnaðgerðir sem hægt er að grípa til: Fjarskiptastofnunin getur í fyrsta lagi eftir skýrslutöku, og eftir að ákvarðað hefur verið hvort um brot sé að ræða, gert flutningsaðilanum að greiða fésektir ( 15 ), sjá 47 U.S.C. § 209. Í annan stað getur Alríkisfjarskiptastofnunin gefið út boð eða bann (cease and desist) til að stöðva brotlegt athæfi, sjá 47 U.S.C. § 205(a). Loks getur FCC gefið flutningsaðilanum, sem hefur brotið af sér, fyrirmæli um að gæta samræmis við þær reglur og beita þeim starfsháttum sem FCC gefur fyrirmæli um, eins og áður segir.
Einstaklingar, sem telja að flutningsaðili í fjarskiptum eða aðili sem rekur kapalsjónvarp hafi brotið viðkomandi ákvæði fjarskiptalaganna eða laganna um kapalsjónvarp, getur annaðhvort lagt fram kæru hjá Alríkisfjarskiptastofnuninni eða lagt kröfur sínar fram í alríkisundirrétti, sjá 47 U.S.C. § 207. Kæruaðili sem höfðar mál fyrir alríkisdómstóli gegn flutningsaðila í fjarskiptum fyrir að hafa ekki verndað persónuupplýsingar um viðskiptamann samkvæmt víðari skilgreiningu í 222. þætti samskiptalaganna getur fengið dæmdar bætur og lögfræðikostnað, sjá 47 U.S.C § 206. Kæruaðili sem höfðar mál gegn flutningsaðila í fjarskiptum fyrir að hafa ekki gætt friðhelgi einkalífsins samkvæmt 551. þætti kapalsjónvarpslaganna getur, auk skaðabóta og lögfræðikostnaðar, einnig fengið dæmdar miskabætur og málskostnað, sjá 47 U.S.C. § 206.
FCC hefur samþykkt nákvæmar reglur til framkvæmdar 222. þætti, sjá 47 CFR 64.2001–2009. Í þessum reglum eru sérstakar verndarráðstafanir gegn óleyfilegum aðgangi að einkaupplýsingum um netnotanda. Í reglunum eru flutningsaðilar í fjarskiptum skyldaðir til:
– að þróa og framkvæma hugbúnaðarkerfi sem sýnir stöðu notandans með tilliti til tilkynningar/samþykkis þegar þjónustuskrá notandans birtist fyrst á skjánum;
– að halda rafræna „skoðunarskrá“ til að fylgjast með umgangi um skrá notanda, meðal annars hvenær skrá hans er opnuð, hver gerir það og í hvaða tilgangi;
– að þjálfa starfsfólk sitt í leyfilegri notkun einkaupplýsinga um netnotanda með ákveðnum verklagsreglum;
– að koma á fót eftirlitsferli til að tryggja að reglum sé fylgt við markaðssetningu utan fyrirtækis; og
– að gefa FCC árlega skýrslu um það hvernig reglurnar séu haldnar.
Flugfélög
Bandarísk og erlend flugfélög, sem falla undir loftferðalög í Bandaríkjunum „Federal Aviation Act“ frá 1958, eru einnig undanþegin ákvæðum 5. þáttar laga um Alríkisviðskiptastofnunina, sjá 15 U.S.C. § 45(a)(2). Þetta á við um alla sem flytja vörur eða farþega milli ríkja eða milli landa með flugvélum og einnig þá sem flytja póst með flugvélum, sjá 49 U.S.C. § 40102. Flugfélög heyra undir samgönguráðuneytið. Samgönguráðherra hefur í þessu sambandi heimild til að grípa til aðgerða til að koma í veg fyrir óheiðarlega eða villandi eða samkeppnishamlandi viðskiptahætti eða undirboð í flutningaflugi, sjá 49 U.S.C. § 40101(a)(9). Ef það þjónar hagsmunum almennings getur samgönguráðherra rannsakað hvort bandarískt eða erlent flugfélag eða farmiðasali hafi viðhaft óheiðarlega eða villandi viðskiptahætti, sjá 49 U.S.C. § 41712. Samgönguráðherra getur, að lokinni skýrslutöku, gefið út fyrirmæli um að stöðva ólöglega viðskiptahætti, eins og áður segir. Okkur er ekki kunnugt um að samgönguráðherra hafi nýtt þessa heimild til að taka upp mál í tengslum við vernd persónuupplýsinga um viðskiptamenn flugfélaga ( 16 ).
Til eru tvö ákvæði til verndar friðhelgi einkalífsins með tilliti til persónuupplýsinga sem gilda um flugfélög í sérstöku samhengi. Í fyrsta lagi eru reglur um friðhelgi einkalífs umsækjenda um flugmannsstöðu í loftferðalögunum „Federal Aviation Act“, sjá 49 U.S.C. § 44936(f). Samkvæmt lögunum hafa flugfélögin leyfi til að fá starfsferilskrá atvinnuumsækjenda en um leið veita þau umsækjanda ákveðinn rétt; að fá tilkynningu um að beðið hafi verið um þessar upplýsingar, að veita samþykki sitt fyrir beiðninni, að leiðrétta villur og að upplýsingarnar verði aðeins sýndar þeim sem taka ákvörðun um ráðningu hans. Í öðru lagi eru ákvæði um það í reglum samgönguráðuneytisins að upplýsingar um farþegaskrá, sem er safnað fyrir stjórnvöld til að nota ef stórt flugslys yrði, skuli geymdar sem trúnaðarmál og einungis afhentar utanríkisráðuneytinu, samgöngunefndinni (National Transportation Board) (að beiðni NTSB) og samgönguráðuneyti Bandaríkjanna, sjá 14. þátt alríkislaga, 243. hluta, § 243.9(c) (eins og þeim er breytt með 63. þætti 8258).
Pökkunaraðilar og búpeningsbirgðastöðvar
Samkvæmt lögum um pökkunaraðila og búpeningsbirgðastöðvar „Packers and Stockyards Act“ frá 1921 (7 U.S.C. § 181 og áfram) er pökkunaraðilum óheimilt, að því er varðar búpening, kjöt, kjötafurðir eða óunnar afurðir af búpeningi, eða þeim sem versla með lifandi fugla að taka þátt í eða beita hvers konar óheiðarlegum viðskiptaháttum eða ráðstöfunum, sem mismuna á óréttlátan hátt eða eru villandi, sjá 7 U.S.C. § 192(a); sjá einnig 7 U.S.C. § 213(a) (sem bannar hvers kyns óheiðarlega viðskiptahætti eða ráðstafanir í tengslum við búpening sem mismuna á óréttlátan hátt eða eru villandi). Landbúnaðarráðherra ber fyrst og fremst ábyrgð á því að framfylgja þessum ákvæðum en FTC hefur lögsögu í málum sem snerta smásöluverslun og alifuglaeldi, sjá 7 U.S.C. § 227(b)(2).
Óljóst er hvort landbúnaðarráðherra muni túlka það sem „villandi viðskiptahætti“ samkvæmt lögum um pökkunaraðila og búpeningsbirgðastöðvar (Packers and Stockyards Act) ef pökkunaraðilar og rekendur búpeningsbirgðastöðva gæta ekki friðhelgi einkalífsins í samræmi við yfirlýsta stefnu Undantekning 5. þáttar gildir einungis um einstaklinga og félög sem heyra undir lögin um pökkunaraðila og búpeningsbirgðastöðvar. Ef friðhelgi einkalífsins er ekki málefni sem fellur undir lögin um pökkunaraðila og búpeningsbirgðastöðvar er hugsanlegt að undantekningin í 5. þætti gildi ekki og pökkunaraðilar og búpeningsbirgðastöðvar falli undir heimildir Alríkisviðskiptastofnunarinnar hvað það varðar.
Valdsvið einstakra ríkja með tilliti til óheiðarlegra eða villandi viðskiptahátta.
Samkvæmt greiningu starfsfólks Alríkisviðskiptastofnunarinnar hafa „öll 50 ríkin, auk Kólumbíusvæðisins (District of Columbia), Gvam, Puerto Rico og bandarísku Jómfrúreyjanna, tekið upp lög sem eru að meira eða minna leyti eins og lög Alríkisviðskiptastofnunarinnar til að koma í veg fyrir óheiðarlega eða villandi viðskiptahætti.“ Upplýsingaskjal frá Alríkisviðskiptastofnuninni, endurprentað í „Comment, Consumer Protection: The Practical Effectiveness of State Deceptive Trade Practices Legislation“, 59 Tul, L. Rev. 427 (1984). Í öllum tilvikum hefur sú stofnun, sem sér um framfylgd, heimild til rannsókna með vitnastefnum eða rannsóknarkröfum einkamálaréttar (civil investigative demands), til að fullvissa sig um að farið sé að farið sé eftir reglum af frjálsum vilja, til að gefa út stjórnsýslubann eða fá sett lögbann hjá dómstóli til að koma í veg fyrir óheiðarlega, óréttláta eða villandi viðskiptahætti, eins og áður segir. Í 46 lögsagnarumdæmum gera lög ráð fyrir að hægt sé að höfða skaðabótamál til að krefjast bóta fyrir þann skaða sem hefur orðið, tvöfaldrar eða þrefaldrar þeirrar upphæðar eða miskabóta og í sumum tilvikum endurgreiðslu á kostnaði og lögfræðikostnaði, eins og áður segir.Í lögum Flórida um óheiðarlega og villandi viðskiptahætti „Deceptive and Unfair Trade Practices Act“ er til dæmis heimild fyrir saksóknara til að rannsaka og skrá einkamál sem eru höfðuð vegna „óheiðarlegra samkeppnishátta eða óheiðarlegra, óréttlátra eða villandi viðskiptahátta“, þar á meðal rangar eða villandi auglýsingar, villandi sérleyfis- eða viðskiptatilboð, sviksamleg símasala og sala með pýramídafyrirkomulagi. Sjá einnig almenn viðskiptalög New York „N.Y. General Business Law“ § 349 (sem banna óheiðarlegar og villandi starfshætti í viðskiptum).
Könnun sem „National Association of Attorneys General“ (NAAG) gerði á þessu ári staðfestir þessar niðurstöður. 43 ríkin sem svöruðu eru öll með svokallaðar „mini-FTC-reglur“ eða aðrar reglur sem veita sambærilega vernd. Í sömu könnun upplýstu 39 ríki að þau hefðu heimild til að fjalla um kærur þeirra sem hafa ekki heimili sitt í ríkinu. Að því er varðar neytendavernd upplýstu 37 af 41 ríki að þau myndu taka til meðferðar kærur þess efnis að fyrirtæki í lögsögu þeirra færu ekki eftir þeirri stefnu varðandi friðhelgi einkalífsins sem þau hefðu sjálf gefið yfirlýsingu um.
IV. VIÐAUKI
Skaðabætur vegna brota gegn friðhelgi einkalífsins, lagaheimildir og samruni og yfirtaka í bandarískum lögum
A. Bætur vegna brota gegn friðhelgi einkalífsins
Sé ekki farið eftir meginreglunum um „örugga höfn“ getur það gefið tilefni til ýmissa krafna í einkamálarétti, eftir eðli máls. Einkum er hægt að draga fyrirtæki, sem gangast undir reglurnar um „örugga höfn“, til ábyrgðar fyrir að gefa rangar upplýsingar þegar þau standa ekki við yfirlýsta stefnu sína. Í einkamálarétti er einnig gefinn möguleiki á því að höfða einkamál vegna brota gegn friðhelgi einkalífsins. Í alríkislögum og lögum einstakra ríkja um friðhelgi einkalífsins er víða að finna ákvæði um að einstaklingar geti fengið skaðabætur vegna brota gegn friðhelgi einkalífsins.
Rétturinn til skaðabóta vegna brota gegn friðhelgi einkalífsins er vel tryggður í bandarískum lögum.
Að nota persónuupplýsingar á þann hátt sem er ósamrýmanlegur meginreglunum um „örugga höfn“ getur skapað skaðabótaábyrgð samkvæmt lögfræðilegu áliti margra. Til dæmis geta bæði sá sem hefur umsjón með flutningi gagna og einstaklingarnir, sem gögnin eru um, kært fyrirtæki fyrir að gefa villandi upplýsingar, ef það gengst undir reglurnar um „örugga höfn“ en vanrækir að standa við skuldbindingar sínar. Samkvæmt bandarískum lögum um bótarétt „Restatement of the Law, Second, Torts“ ( 1 ) gildir eftirfarandi:
Sá sem gefur villandi upplýsingar í sviksamlegum tilgangi um staðreyndir, álit, fyrirætlun eða lög í þeim tilgangi að fá annan aðila til athafna, eða til að hætta við þær á grundvelli þeirra upplýsinga, er bótaskyldur gagnvart þeim aðila, sem hefur verið blekktur, vegna fjárhagslegs tjóns sem hann verður fyrir vegna villandi upplýsinga sem hann hafði ástæðu til að ætla að væru réttar.
„Restatement“ § 525. Villandi upplýsingar eru „sviksamlegar“ ef þær eru gerðar með þeirri vitneskju eða í þeirri trú að þær séu rangar. Sjá einnig § 526. Almennt gildir að sá sem gefur villandi upplýsingar í sviksamlegum tilgangi er ábyrgur gagnvart öllum sem hann hefur í hyggju eða reiknar með að reiði sig á þær fyrir hverju því fjárhagslegu tjóni sem þeir gætu orðið fyrir vegna þess. Sjá einnig 531. Enn fremur getur aðili, sem gefur öðrum aðila villandi upplýsingar í sviksamlegum tilgangi, verið ábyrgur gagnvart þriðja aðila ef brotlegi aðilinn hefur í hyggju eða væntir þess að upplýsingum hans verði miðlað til þriðja aðila sem grípur til aðgerða á grundvelli þeirra. Sjá einnig § 533.
Í tengslum við kerfið „örugga höfn“ er opinber yfirlýsing fyrirtækisins sú trygging sem það gefur fyrir því að það gangist undir meginreglurnar um „örugga höfn“. Eftir að hafa gengist undir slíka skuldbindingu og vísvitandi er vanrækt að fara eftir meginreglunum geta þeir sem reiddu sig á yfirlýsinguna höfðað mál á grundvelli villandi upplýsinga. Þar eð sú skuldbinding að gangast undir meginreglurnar er gerð opinber í stórum dráttum geta bæði einstaklingar, sem upplýsingarnar eru um, og eins ábyrgðaraðili gagnanna í Evrópusambandinu, sem flytur persónuupplýsingar til Bandaríska fyrirtækisins, höfðað mál gegn því á grundvelli villandi upplýsinga ( 2 ). Auk þess ber bandaríska fyrirtækið áfram skaðabótaábyrgð gagnvart þeim vegna „villandi upplýsinga“ á meðan þeir halda áfram að reiða sig á þessar villandi upplýsingar og skaðast á því, sjá § 535.
Þeir sem reiða sig á villandi upplýsingar í sviksamlegum tilgangi eiga rétt á skaðabótum. Samkvæmt „Restatement“ gildir eftirfarandi:
Sá sem fær villandi upplýsingar, sem gefnar eru í sviksamlegum tilgangi, getur höfðað mál vegna svika á hendur þeim sem veitir upplýsingarnar og krafist þess að fá bætt það fjártjón sem hann hefur orðið fyrir og má sannanlega rekja til villandi upplýsinga.
„Restatement“ § 549. Leyfilegar skaðabætur geta falið sér bætur fyrir beint peningalegt tjón og einnig það að „verða af hagnaði“ í viðskiptum. Sjá einnig „Boling v. Tennessee State Bank, 890 S.W.2d 32 (1994)“ (bankinn var dæmdur til að greiða lántakendum 14 825 Bandaríkjadali í skaðabætur fyrir að hafa afhent bankastjóra, sem hafði gagnstæðra hagsmuna að gæta, persónuupplýsingar og viðskiptaáætlanir lántakenda).
Til að upplýsingar teljist vera villandi í sviksamlegum tilgangi þarf hlutaðeigandi að hafa beina vitneskja um að svo sé eða að minnsta kosti trúa því að upplýsingarnar séu rangar en bótaskylda getur einnig legið við villandi upplýsingum af gáleysi. Samkvæmt „Restatement“ getur hver sá sem gefur rangar upplýsingar í viðskiptum sínum, fagi eða starfi eða í peningaviðskiptum af einhverju tagi orðið bótaskyldur „ef hann sýnir ekki hæfilega gætni eða hæfni við viðtöku eða afhendingu upplýsinganna.“ „Restatement“ § 552(1). Öfugt við villandi upplýsingar í sviksamlegum tilgangi takmarkast skaðabótaábyrgð vegna villandi upplýsinga af gáleysi við beint peningalegt tjón, sjá eins og áður segir, sjá § 552B (1).
Hæstiréttur Connecticut dæmdi t.d í nýlegu máli á þá leið að hægt væri að lögsækja rafmagnsfyrirtæki, sem hafði vanrækt að tilkynna um að það hefði afhent upplýsingar um greiðslur viðskiptamanns til innlendra lánastofnana, fyrir að veita villandi upplýsingar. Sjá „Brouillard gegn United Illuminating Co., 1999 Conn. Super. LEXIS 1754“. Í þessu máli var stefnanda neitað um lán vegna þess að stefndi tilkynnti að greiðslur hefðu borist of seint eða ekki fyrr en þrjátíu dögum eftir dagsetningu reiknings. Stefnandi bar að hann hefði ekki verið látinn vita af þessari venju þegar hann stofnaði reikning vegna rafmagnsviðskipta hjá stefnda. Í dómnum var þess sérstaklega getið að „byggja megi kæru vegna villandi upplýsinga af gáleysi á því að sá sem ákærður er vanrækir að gefa upplýsingar þótt það sé skylda hans“. Þetta mál sýnir enn fremur að sviksamlegur ásetningur þarf ekki nauðsynlega að vera meðal ástæðna fyrir málsókn vegna villandi upplýsinga af gáleysi. Þannig er hægt að krefja bandarískt fyrirtæki um skaðabætur vegna villandi upplýsinga ef það af gáleysi vanrækir að upplýsa hvernig það hyggst nota persónuupplýsingar sem það fær innan ramma kerfisins „örugg höfn“
Hafi brot á meginreglunum um „örugga höfn“ í för með sér misnotkun persónuupplýsinga getur það einnig orðið tilefni skaðabótakröfu vegna brots á friðhelgi einkalífsins frá hinum skráða samkvæmt réttarvenju. Í bandarískum lögum hefur lengi verið viðurkennt að brot á friðhelgi einkalífsins geti verið grundvöllur fyrir málsókn. Í dómsmáli frá 1905 ( 3 ) úrskurðaði hæstiréttur Georgíu að rétturinn til friðhelgi einkalífsins ætti rætur í náttúrurétti og réttarvenju þegar hann dæmdi í máli almenns borgara sem líftryggingafyrirtæki hafði birt mynd af í auglýsingu, án samþykkis hans eða vitneskju. Dómarar komust að þeirri niðurstöðu að notkun myndarinnar væri „af illum hvötum“, „röng“ og líkleg til þess að „gera ákærandann að aðhlátursefni í augum heimsins“ ( 4 ) en þetta eru hugmyndir sem nú eru alþekktar í bandarískum lögum um friðhelgi einkalífsins. Grundvallarforsendur Pavesich-dómsins hafa haldist með minni háttar undantekningum og orðið undirstaða bandarískra laga um þetta efni. Dómstólar einstakra ríkja hafa stöðugt tekið fyrir dómsmál um brot á friðhelgi einkalífsins og réttarvenja að minnsta kosti 48 ríkja viðurkennir nú sumar af ástæðunum fyrir slíkum dómsmálum ( 5 ). Enn fremur vernda stjórnarskrárákvæði að minnsta kosti 12 ríkja rétt borgara sinna til að vera laus við átroðning ( 6 ), sem getur í sumum tilvikum náð yfir vernd gegn átroðningi óopinberra aðila. Sjá t.d. „Hill gegn NCAA, 865 P.2d 633 (Ca 1994)“; sjá einnig „S. Ginder, Lost and Found in Cyberspace: Informational Privacy in the age of the Internet, 34 S.D.L. Rev. 1153 (1997)“ („í stjórnarskrá sumra ríkja ganga ákvæði um vernd friðhelgi einkalífsins lengra en ákvæði um friðhelgi einkalífsins í stjórnarskrá Bandaríkjanna: Alaska, Arizona, California, Florida, Hawaii, Illinois, Louisiana, Montana, South Carolina og Washington hafa verndarákvæði sem fela í sér víðtækari vernd að því er varðar friðhelgi einkalífsins.“)
Í annarri enduryfirlýsingu um bótarétt (Second Restatement of Torts) er áreiðanlegt yfirlit yfir lög á þessu sviði. Þar er útskýrt að í samræmi við almenna réttarvenju nær réttur til friðhelgi einkalífsins yfir fjórar mismunandi ástæður fyrir því að höfða mál fyrir bótarétti. Sjá „Restatement“ § 652. Í fyrsta lagi er hægt að höfða mál vegna „átroðnings í einkalífi“ (intrusion upon seclusion) á hendur þeim sem af ásettu ráði hefur í frammi átroðning, líkamlega eða með öðrum hætti, gagnvart einveru annars manns eða einkalífi hans eða einkamálum ( 7 ). Í öðru lagi er hægt að höfða mál á grundvelli persónuátroðnings (appropriation) gegn þeim sem notar nafn eða útlit annars til eigin nota eða ávinnings ( 8 ). Í þriðja lagi er hægt að höfða mál vegna birtingar einkaupplýsinga (publication of private facts) þegar efnið sem er birt er mjög særandi fyrir venjulegt fólk og viðkemur ekki almenningi ( 9 ). Loks er hægt að höfða mál vegna ærumeiðinga (false light publicity) gegn þeim sem vitandi vits eða af kæruleysi sýnir annan opinberlega í röngu ljósi á þann hátt sem er mjög særandi fyrir venjulegt fólk ( 10 ).
„Átroðningur í einkalífi“ getur, innan ramma reglnanna um „örugga höfn“, falið í sér óleyfilega söfnun persónuupplýsinga en óleyfileg notkun persónuupplýsinga í viðskiptalegum tilgangi getur gefið tilefni til málshöfðunar vegna persónuátroðnings (appropriation). Á sama hátt getur afhending rangra persónuupplýsinga gefið ástæðu til að krefjast skaðabóta vegna ærumeiðinga (false light publicity) ef upplýsingarnar geta talist mjög særandi fyrir venjulegt fólk. Loks getur brot á friðhelgi einkalífsins, sem stafar af birtingu eða afhendingu viðkvæmra persónuupplýsinga, gefið ástæðu til þess að höfða mál vegna birtingar einkaupplýsinga (publication of private facts). (Sjá dæmin hér á eftir).
Með tilliti til skaðabóta getur brot á friðhelgi einkalífsins gefið þeim sem brotið er á rétt til skaðabóta þegar um er að ræða:
a) tjón sem hann verður fyrir vegna brots á friðhelgi einkalífsins;
b) sálræna erfiðleika sem unnt er að sanna ef þeir eru af því tagi sem venjulega er afleiðing slíkra brota á friðhelgi; og
c) sérstakan skaða sem orsakast af broti á friðhelgi.
„Restatement“ § 652. Vegna þess að bótarétturinn gildir almennt og vegna þess að mál eru höfðuð af mörgum ólíkum ástæðum sem snerta friðhelgi einkalífsins er líklegt að þeir sem brotið er á í tengslum við friðhelgi einkalífsins vegna þess að fyrirtækin hafa ekki gengist undir meginreglurnar um örugga höfn geti krafist bóta í peningum.
Dómstólar hinna ýmsu ríkja fá fjölda svipaðra mála til meðferðar þar sem því er haldið fram að um brot á friðhelgi einkalífsins sé að ræða. Í málinu „Ex Parte AmSouth Bancorporation et al., 717 So. 2d 357“ var t.d. um að ræða sameiginlega málshöfðun þar sem því var haldið fram að ákærði hefði „nýtt sér það traust sem viðskiptamenn bankans báru til hans með því að afhenda eignartengdum banka trúnaðarupplýsingar um þá og reikninga þeirra til að gera honum kleift að selja hlutabréf í sameiginlegum sjóðum og öðrum fjárfestingum. Bætur eru oft dæmdar í slíkum málum. Í málinu „Vassiliades gegn Garfinckel's, Brooks Bros., 492 A.2d 580 (D.C.App. 1985)“ breytti áfrýjunardómstóll dómi óæðri dómstóls í þá veru að notkun ljósmynda af ákæranda fyrir og eftir lýtaaðgerð, sem voru sýndar í stórmarkaði, væri brot á friðhelgi einkalífsins þar eð það flokkaðist undir birtingu einkaupplýsinga. Í málinu „Candebat gegn Flanagan, 487 So.2d 207 (Miss. 1986)“ notaði ákærði, sem var tryggingafélag, slys, þar sem eiginkona ákæranda hlaut alvarleg meiðsl, í auglýsingaherferð. Ákærandi kærði brot gegn friðhelgi einkalífsins. Dómstóllinn komst að þeirri niðurstöðu að ákærandi ætti rétt á bótum vegna tilfinningalegs álags og persónuátroðnings. Óþekktir einstaklingar geta höfðað mál vegna persónuátroðnings. Sjá t.d. „Staruski gegn Continental Telephone Co., 154 Vt. 568 (1990)“ (ákærði notaði nafn og mynd starfsmanns síns í auglýsingu í dagblaði til að hagnast á því í viðskiptum). Í málinu „Pulla gegn Amoco Oil Co., 882 F.Supp 836 (S.D. Iowa 1995)“ sýndi vinnuveitandi starfsmanni sínum átroðning í einkalífi með því að láta annan starfsmann rannsaka greiðslukortafærslur hans til að kanna fjarvistir hans á veikindadögum. Dómstóllinn staðfesti niðurstöður kviðdóms um 2 Bandaríkjadollara í skaðabætur og 5000 000 Bandaríkjadollara í miskabætur. Annar vinnuveitandi var dæmdur til að greiða skaðabætur fyrir að birta frétt í blaði fyrirtækisins um starfsmann sem hafði verið sagt upp starfi vegna gruns um að hafa falsað ráðningarskýrslur sínar. Sjá „Zinda gegn Louisiana-Pacific Corp., 140 Wis.2d 277 (Wis.App. 1987)“. Birting greinarinnar var brot á friðhelgi einkalífsins og flokkaðist undir birtingu einkaupplýsinga þar eð blaðinu var dreift í næsta nágrenni. Loks var skóli, þar sem nemendur voru látnir gangast undir alnæmispróf, eftir að þeim hafði verið sagt að blóðprufan væri aðeins vegna rauðra hunda, dæmdur til að greiða skaðabætur vegna átroðnings í einkalífið. Sjá „Doe gegn High-Tech Institute, Inc., 972 P.2d 1060 (Colo.App. 1998)“. (Sjá viðbæti við „Restatement“ § 652H“ um önnur skráð mál).
Bandaríkin eru oft gagnrýnd fyrir það að skjóta málum of oft til dómstóla en það er einnig til marks um það að einstaklingar, sem telja að brotið hafi verið á sér, geta farið í mál – og gera það. Bandarískt dómskerfi gerir ákærendum á margan hátt auðvelt að höfða mál, annaðhvort sem einstaklingar eða hópar. Lögmannastéttin er hlutfallslega stærri en í nokkru öðru landi og því er auðvelt að fá fagmann til að flytja mál. Lögmaður ákæranda, sem flytur mál fyrir einstaklinga í einkamálum, fær yfirleitt laun sem hlutfall af ávinningi og það gerir félitlum einstaklingum kleift að leita réttar síns. Þetta leiðir til annars sem er mikilvægt: í Bandaríkjunum greiðir hvor aðili allajafna laun lögmanna sinna og annan kostnað. Þetta er öfugt við gildandi reglu í Evrópu þar sem aðilinn, sem tapar máli, verður að endurgreiða hinum aðilanum kostnað. Án þess að kostir og gallar þessara tveggja kerfa séu metnir eru reglurnar í Bandaríkjunum ólíklegri til að koma í veg fyrir lögmætar kröfur einstaklinga sem væru ekki færir um að greiða kostnað beggja aðila ef þeir töpuðu máli.
Einstaklingar geta höfðað skaðabótamál jafnvel þótt um tiltölulega lágar upphæðir sé að ræða. Í flestum, ef ekki öllum lögsagnarumdæmum í Bandaríkjunum, eru dómstólar sem bjóða upp á einfaldaða og ódýra málsmeðferð í smærri deilumálum þar sem kröfur eru undir mörkum samkvæmt lögum ( 11 ). Möguleikinn á því að fá miskabætur gefur einstaklingum sem hafa e.t.v. ekki orðið fyrir miklu beinu fjártjóni kost á því að fara í mál á grundvelli ámælisverðra athafna. Loks geta einstaklingar sem hafa orðið fyrir sams konar skaða sameinað úrræði sín og kröfur og höfðað mál sameiginlega.
Gott dæmi um möguleika einstaklinga á því að höfða mál til að rétta hlut sinn er mál sem nú er fyrir dómstólum gegn Amazon.com vegna brots á friðhelgi einkalífsins. Amazon.com, sem er stór smásöluverslun á Netinu, er fyrir rétti vegna máls sem var höfðað sameiginlega þar sem ákærendur halda því fram að þeim hafi ekki verið tjáð, og þeir hafi ekki veitt samþykki fyrir því, að persónuupplýsingum um þá var safnað þegar þeir notuðu hugbúnað í eigu Amazon, sem kallast Alexa. Ákærendur í þessu máli hafa borið fyrir sig brot á lögum um tölvusvik (Computer Fraud and Abuse Act) með ólöglegum aðgangi að fjarskiptum sem hafa verið sett í geymslu og á lögum um friðhelgi einkalífsins í rafrænum fjarskiptum (Electronic Communications Privacy Act) vegna ólöglegrar hlerunar á fjarskiptum þeirra, rafrænum og um þráð. Þeir geta einnig borið fyrir sig brot á friðhelgi einkalífsins samkvæmt réttarvenju. Sérfræðingur í netöryggi lagði upphaflega fram kæru á þeim forsendum í desember. Í málinu gerði hver ákærandi í hópnum kröfu um 1 000 dala skaðabætur auk lögfræðikostnaðar og endurgreiðslu þess hagnaðar sem hafði fengist með því að brjóta lög. Skaðabæturnar gætu numið milljörðum dollara þar eð margar milljónir einstaklinga gætu verið sameiginlegir ákærendur í málinu. Alríkisviðskiptastofnunin (Federal Trade Commission) rannsakar einnig þessar ákærur.
Í alríkislöggjöf og löggjöf einstakra ríkja um friðhelgi einkalífsins eru oft ákvæði um ástæður fyrir höfðun einkamála þar sem krafist er skaðabóta í peningum.
Ef ekki er farið eftir meginreglunum um „örugga höfn.“ getur það, auk þess að gefa tilefni til skaðabótaábyrgðar samkvæmt skaðabótarétti, einnig gengið gegn einhverju af þeim hundruðum lagaákvæða sem eru til í alríkislöggjöf og lögum einstakra ríkja um friðhelgi einkalífsins. Mörg af þessum lagaákvæðum, sem snerta meðferð bæði stjórnvalda og einkaaðila á persónuupplýsingum, gera einstaklingum kleift að höfða skaðabótamál þegar brotið er á þeim, til dæmis:
Lögin um friðhelgi einkalífsins í rafrænum fjarskiptum (Electronic Communications Privacy Act) frá 1986. Í þeim lögum er bannað að hlera farsímasamtöl og sendingar milli tölva án leyfis. Brot á þessum lögum getur haft í för með sér skaðabótaábyrgð sem nemur að minnsta kosti 100 Bandaríkjadölum fyrir hvern brotlegan dag. Lögin veita einnig vernd gegn óleyfilegum aðgangi eða afhendingu á rafrænum fjarskiptum sem hafa verið sett í geymslu. Lögbrjótar eru skaðabótaskyldir vegna þess skaða sem þeir valda og geta þurft að endurgreiða þann ágóða sem lögbrotið hefur fært þeim.
Fjarskiptalög (Telecommunications Act) frá 1996. Samkvæmt 702. þætti laganna má ekki nota einkaupplýsingar um netnotanda (customer proprietary network information) til neins annars en að veita fjarskiptaþjónustu. Áskrifendur þjónustu geta annaðhvort lagt fram kæru hjá „Federal Communications Commission“ eða höfðað mál fyrir alríkisundirrétti til að fá greiddar skaðabætur og lögfræðikostnað.
Lög um umbætur að því er varðar upplýsingar um fjárhagsstöðu neytenda (Consumer Credit Reporting Reform Act) frá 1996. Lögin frá 1996 breyttu lögunum um réttmætar upplýsingar um fjárhagsstöðu (Fair Credit Reporting Act) frá 1970 þannig að krafist er tilkynninga í auknum mæli og aðgangs fyrir þá sem gögnin eru um. Í umbótalögunum eru einnig settar nýjar takmarkanir varðandi sölu upplýsinga um fjárhagsstöðu neytenda. Neytendur geta fengið greiddar skaðabætur og lögfræðikostnað vegna brota á lögunum.
Lög einstakra ríkja vernda friðhelgi einkalífsins einnig á margvíslegan hátt. Einstök ríki hafa sett lög í ýmsum málaflokkum, meðal annars um bankaupplýsingar, upplýsingar um áskrift að kapalsjónvarpi, lánaupplýsingar, upplýsingar um starfsráðningar, opinberar upplýsingar, erfðafræðilegar upplýsingar og heilbrigðisupplýsingar, tryggingaupplýsingar, skólaupplýsingar, upplýsingar um rafræn fjarskipti og myndbandaleigur ( 12 ).
B. Sérstakar lagaheimildir
Í meginreglunum um „örugga höfn“ er kveðið á um undantekningar þar sem lög, reglur eða fordæmisréttur leiðir af sér „skuldbindingar eða sérstakar heimildir sem stangast á, að því tilskildu að við framkvæmd slíkra heimilda geti fyrirtækið sýnt fram á að fari það ekki eftir meginreglunum sé það einungis að því marki sem er nauðsynlegt til að gæta lögmætra ráðandi hagsmuna sem slík heimild veitir.“ Ljóst er að þegar skyldur samkvæmt bandarískum lögum stangast á við aðrar reglur verða bandarísk fyrirtæki, hvort sem þau eru aðilar að „öruggri höfn“ eða ekki, að fara að lögum. Að því er varðar sérstakar heimildir þá er meginreglunum um „örugga höfn“ ætlað að brúa bilið á milli bandarískrar og evrópskrar löggjafar um friðhelgi einkalífsins en okkur ber að virða heimildir kjörinna fulltrúa okkar til lagasetningar. Hinar takmörkuðu undantekningar frá því að fara í einu og öllu eftir meginreglunum um „örugga höfn“ hafa þann tilgang að halda jafnvægi milli lögmætra hagsmuna beggja aðila.
Undantekningar takmarkast við mál sem sérstök lagaheimild er til um. Þess vegna gildir það almennt að í viðkomandi lögum, reglum og dómsúrskurðum skulu að minnsta kosti vera afdráttarlausar heimildir fyrir athöfnum fyrirtækis sem hefur gengist undir reglurnar um „örugga höfn“ ( 13 ). Með öðrum orðum gilda undantekningar ekki ef þeirra er ekki getið í lögunum. Auk þess gildir undantekning því aðeins að sérstök lagaheimild stangist á við meginreglurnar um örugga höfn. Í þeim tilvikum er undantekningin „takmörkuð við það sem er nauðsynlegt til að gæta þeirra ráðandi lögmætu hagsmuna sem slík heimild veitir.“ Til dæmis gildir undantekning ekki ef lögin heimila fyrirtæki einungis að veita yfirvöldum persónuupplýsingar. Sé fyrirtæki hins vegar sérstaklega heimilað í lögum að veita opinberum stofnunum persónuupplýsingar án samþykkis einstaklings er um að ræða „sérstaka heimild“ til aðgerða sem stangast á við meginreglurnar um „örugga höfn.“ Að öðrum kosti flokkast sérstakar undantekningar frá skýlausum kröfum um tilkynningu og samþykki undir undantekningar (þar eð það jafngilti sérstakri heimild að afhenda upplýsingarnar án tilkynningar og samþykkis). Til dæmis gætu lög, sem heimiluðu læknum að afhenda heilbrigðisyfirvöldum sjúkraskýrslur sjúklinga sinna án fyrirframsamþykkis þeirra, verið ástæða til að gera undantekningu frá meginreglunum um tilkynningu og valfrelsi. Læknir hefði ekki leyfi, samkvæmt þeirri heimild, til að afhenda heilsuræktarstöðvum eða fyrirtækjum sem stunda lyfjarannsóknir í viðskiptalegum tilgangi sömu sjúkraskýrslur því að það þjónaði ekki þeim tilgangi sem heimilaður er í lögum og flokkast því ekki undir undantekningu ( 14 ). Lagaheimildin, sem um er að ræða, getur verið einstök (stand alone) heimild til að gera eitthvað sérstakt við persónuupplýsingar en, eins og dæmin hér á eftir sýna, er líklegra að hún sé undantekning frá almennari lögum þar sem mælt er fyrir um söfnun, notkun, eða afhendingu persónuupplýsinga.
Fjarskiptalög (Telecommunications Act) frá 1996
Í flestum tilvikum er leyfileg notkun annaðhvort í samræmi við kröfur tilskipunarinnar og meginreglnanna eða heimiluð samkvæmt einhverri af öðrum leyfilegum undantekningum. Til dæmis er lögð sú skylda á flutningsaðila í fjarskiptum, í 702. þætti fjarskiptalaganna (flokkun: 47 U.S.C. § 222) að viðhalda leynd persónuupplýsinga sem þeir hafa undir höndum í tengslum við þjónustu sem þeir veita viðskiptamönnum sínum. Þetta ákvæði veitir flutningsaðila í fjarskiptum sérstakt leyfi til:
1) að nota upplýsingar um viðskiptamenn til að veita fjarskiptaþjónustu, þar á meðal að birta skrár yfir áskrifendur;
2) veita öðrum upplýsingar um viðskiptamann samkvæmt skriflegri beiðni viðskiptamannsins; og
3) veita upplýsingar um viðskiptamann í samanteknu formi.
Sjá 47 U.S.C. § 222(c)(1)–(3). Í lögunum er einnig undantekning sem gefur flutningsaðila í fjarskiptum leyfi til að nota upplýsingar um viðskiptamenn:
1) til að koma á fót og veita þjónustuna, skrifa reikninga fyrir henni og innheimta þá;
2) til verndar gegn sviksamlegu eða ólöglegu athæfi eða misnotkun; og
3) til að láta viðskiptamanninum í té vörukynningu, tilvísanir eða upplýsingaþjónustu í símtali sem viðskiptamaðurinn á upptökin að ( 15 ).
Sjá einnig § 222 (d)–(3). Loks er þess krafist að flutningsaðilar í fjarskiptum veiti fyrirtækjum, sem gefa út símaskrár, upplýsingar um áskrifendur sem eiga einungis að innihalda nöfn, heimilisföng, símanúmer og starfsgrein þegar um fyrirtæki er að ræða. Sjá einnig § 222(e).
Undantekning varðandi „sérstakar heimildir“ getur fengið þýðingu þegar flutningsaðilar í fjarskiptum nota einkaupplýsingar um netnotendur til að koma í veg fyrir svik eða annað ólöglegt athæfi. Einnig þá geta slíkar aðgerðir flokkast undir „hagsmuni almennings“ og verið leyfðar samkvæmt meginreglunum af þeirri ástæðu.
Reglur sem ráðuneyti heilbrigðis- og mannverndar leggur til
Ráðuneyti heilbrigðis- og mannverndar (Department of Health and Human Services (HHS)) hefur lagt til reglur um leynd persónugreinanlegra heilsufarsupplýsinga. Sjá 64 Fed. Reg. 59.918 (November 2, 1999) (verður flokkað sem: 45 C.F.R. pts. 160–164). Reglunum er ætlað að vera til framkvæmdar kröfum um friðhelgi einkalífsins í lögum um yfirfærslu og áreiðanleika sjúkratrygginga „Health Insurance Portability and Accountability Act frá 1996, útg. L. 104–191. Reglurnar sem lagðar eru til banna þeim aðilum sem reglurnar ná til (þ.e. sjúkrasamlögum, greiðslujöfnunarstöðvum og heilsugæsluaðilum sem flytja heilsufarsupplýsingar á rafrænu formi, að nota eða afhenda verndaðar heilsufarsupplýsingar án leyfis viðkomandi einstaklings. Sjá tillögu að 45 U.S.C. § 164,506. Í reglutillögunum er gert ráð fyrir því að verndaðar heilsufarsupplýsingar séu einungis afhentar í tvennum tilgangi: 1. til að einstaklingar geti skoðað og afritað heilsufarsupplýsingar um sjálfa sig, sjá einnig § 164.514; og 2. til að framfylgja reglunum, sjá einnig § 164.522.
Reglurnar sem lagðar eru til gera ráð fyrir að nota megi eða afhenda verndaðar heilsufarsupplýsingar án sérstakrar heimildar einstaklingsins við takmarkaðar aðstæður. Þetta getur til dæmis verið vegna umsjónar með heilsuverndarkerfinu, vegna framkvæmdar laga og í neyðartilvikum. Sjá einnig § 164,510. Í reglutillögunum eru takmarkanir á notkun og afhendingu settar fram sundurliðaðar. Þess utan myndi leyfileg notkun og afhending verndaðra heilsufarsupplýsinga takmarkast við minnsta magn upplýsinga sem hægt er að komast af með. Sjá einnig § 164,506.
Notkun sú sem sérstök heimild er fyrir í reglutillögunum er yfirleitt í samræmi við meginreglurnar um „örugga höfn“ eða þá leyfð með annarri undantekningu. Til dæmis er gerð undantekning vegna framkvæmdar laga og réttar svo og læknisfræðilegra rannsókna. Önnur notkun, svo sem eftirlit með heilbrigðiskerfinu, opinber heilbrigðisþjónusta og gagnakerfi hins opinbera yfir heilsufar, þjónar hagsmunum almennings. Til að unnt sé að reka heilsugæslu er nauðsynlegt að afhenda upplýsingar til vinnslu um greiðslur og iðgjöld til hennar. Notkun upplýsinga í neyðartilvikum, þegar hafa þarf samráð við nána ættingja varðandi meðferð og „ekki er mögulegt eða ekki hægt með góðu móti“ að fá samþykki sjúklings, eða til að bera kennsl á hinn látna eða ákvarða dánarorsök, verndar grundvallarhagsmuni þess sem gögnin eru um og annarra. Notkun vegna stjórnunar herliðs í hernaðaraðgerðum og annarra sérstakra flokka einstaklinga auðveldar góða framkvæmd hernaðaraðgerða eða svipaðra aðkallandi verkefna; að öðru leyti hefur slík notkun lítil, ef nokkur, áhrif á neytendur almennt.
Þá er aðeins eftir sú notkun persónuupplýsinga sem tengist gerð sjúkraskráa á heilsugæslu- og sjúkrastöðvum. Þótt slík notkun flokkist ekki undir „lífsnauðsynlega“ hagsmuni koma þessar skrár sjúklingum, vinum þeirra og vandamönnum að notum. Einnig er gildissvið þessarar heimildar takmarkað eðli málsins samkvæmt. Þess vegna hefur það lágmarksáhættu í för með sér með tilliti til friðhelgi einkalífs sjúklinganna þegar undantekning frá meginreglunum samkvæmt „sérstakri heimild“ í lögum er notuð í þessum tilgangi.
Lög um réttmætar upplýsingar um fjárhagsstöðu (Fair Credit Reporting Act)
Framkvæmdastjórn Evrópubandalaganna hefur látið í ljós áhyggjur yfir því að undantekningin, sem fæst með „sérstakri heimild“, verði í raun talin niðurstaða um fullnægjandi vernd laganna um réttmætar upplýsingar um fjárhagsstöðu. Svo er ekki. Hafi ekki verið sérstaklega skorið úr um að lögin veiti fullnægjandi vernd með tilliti til réttmætra upplýsinga um fjárhagsstöðu verða bandarísk fyrirtæki, sem annars myndu reiða sig á slíka niðurstöðu, að heita því að fara að öllu leyti eftir meginreglunum um „örugga höfn“ Þetta hefur í för með sér að þegar gerðar eru meiri verndarkröfur í lögunum um réttmætar upplýsingar um fjárhagsstöðu en gert er í meginreglunum þarf bandaríska fyrirtækið einungis að fara eftir kröfunum sem gilda um réttmætar upplýsingar um fjárhagsstöðu. Veiti lögin um réttmætar upplýsingar um fjárhagsstöðu hins vegar minni vernd þurfa fyrirtækin aftur á móti að færa starfshætti sína við meðferð persónuupplýsinga til samræmis við meginreglurnar. Undantekning hefur ekki áhrif á þessa grundvallarreglu. Samkvæmt henni gildir undantekningin því aðeins að í viðkomandi lögum sé „sérstök heimild“ fyrir gerðum sem eru ósamrýmanlegar reglunum um „örugga höfn.“. Undantekningin gildir ekki þegar kröfur í lögunum um réttmætar upplýsingar um fjárhagsstöðu standast ekki meginreglurnar um „örugga höfn“ ( 16 ).
Með öðrum orðum er það ekki ætlun okkar að undantekning jafngildi því að allt sem ekki er gerð krafa um sé „heimilað sérstaklega“. Þar að auki gildir undantekningin einungis þegar það sem er „sérstök heimild“ fyrir í bandarískum lögum stangast á við kröfur í meginreglunum um „örugga höfn.“ Viðkomandi lög verða að standast báðar þessar viðmiðanir áður en leyft er að sniðganga meginreglurnar.
Í 604. þætti laganna um réttmætar upplýsingar um fjárhagsstöðu er fyrirtækjum, sem veita neytendaupplýsingar, heimilað að gefa út neytendaupplýsingar við ýmsar aðstæður sem eru sérstaklega tilgreindar. Sjá FCRA, § 604. Ef fyrirtæki, sem veita upplýsingar um fjárhagsstöðu, fá þannig heimild samkvæmt 604. þætti til athafna sem stangast á við meginreglurnar um „örugga höfn“ þurfa þau fyrirtæki að gera það í krafti undantekningarinnar (nema auðvitað að önnur undantekning gildi). Fyrirtæki, sem veita upplýsingar um fjárhagsstöðu, verða að hlýða úrskurði dómstóla og stefnum rannsóknarnefnda og, notkun leyfisyfirvalda félagsmálastofnana og barnaverndarstofnana á upplýsingum um fjárhagsstöðu skal vera í þágu almennings. Sjá einnig § 604 (a)(1), (3)(D) og (4). Þar af leiðandi þarf fyrirtækið, sem veitir upplýsingar um fjárhagsstöðu, ekki að bera fyrir sig undantekningu samkvæmt „sérstakri heimild“ til þessara hluta. Þegar gerðir fyrirtækis, sem veitir neytendaupplýsingar, eru í samræmi við rituð fyrirmæli neytandans samrýmast þær meginreglunum um „örugga höfn“ að fullu. Sjá einnig § 604 (a)(2). Á sama hátt má einungis afhenda neytendaupplýsingar í tengslum við starfsráðningu með skriflegu leyfi neytandans (sjá einnig §§ 604(a)(3)(B) og (b)(2)(A)(ii)) og einungis í lána- eða tryggingamálum sem neytandinn á ekki frumkvæðið að, ef hann hefur ekki hafnað slíkum möguleika með vali (opt out) (sjá einnig § 604(c)(1)(B)). Í lögunum um réttmætar upplýsingar um fjárhagsstöðu er einnig lagt bann við því að fyrirtæki sem veita upplýsingar um fjárhagsstöðu veiti heilbrigðisupplýsingar í tengslum við starfsráðningu án samþykkis neytandans. Sjá einnig § 604(g). Slík notkun er í samræmi við meginreglurnar um tilkynningu og valfrelsi. Annar tilgangur sem er heimilaður samkvæmt 604. þætti snertir viðskipti sem neytandinn á hlut að og eru þess vegna leyfð samkvæmt meginreglunum. Sjá einnig § 604(a)(3)(A) og (F).
Loks er það notkun sem er „heimiluð“ samkvæmt 604. þætti og tengist annars stigs lánamörkuðum. Sjá einnig § 604 (a)(3)(E). Enginn árekstur er í sjálfu sér á milli notkunar neytendaupplýsinga í þessum tilgangi og meginreglnanna um „örugga höfn“. Að sönnu er til dæmis ekki krafist tilkynningar og samþykkis í lögunum um réttmætar upplýsingar um fjárhagsstöðu þegar aðilar veita upplýsingar í þessum tilgangi. Þó minnum við á að þótt ekki sé sett fram krafa jafngildir það ekki „sérstakri heimild“ fyrir öðrum athöfnum en þeim sem tilgreindar eru. Á sama hátt mega fyrirtæki, sem veita upplýsingar um fjárhagsstöðu, veita stjórnvöldum ýmsar persónuupplýsingar samkvæmt 608. þætti. Þessi „heimild“ réttlætir það ekki að fyrirtæki sem veita upplýsingar um fjárhagsstöðu vanræki skuldbindingar sínar um að fara eftir meginreglunum um „örugga höfn.“ Þetta stingur í stúf við önnur dæmi okkar þar sem undantekningar frá kröfum um tilkynningu og valfrelsi hafa í för með sér sérstaka heimild fyrir því að nota persónuupplýsingar án þess að kröfunni um tilkynningu og valfrelsi sé beitt.
Niðurstaða
Ákveðið mynstur kemur í ljós við þetta takmarkaða yfirlit okkar yfir gildandi reglur:
– „Sérstök heimild“ í lögunum veitir yfirleitt heimild til að nota eða afhenda persónuupplýsingar án fyrirframsamþykkis einstaklingsins. Þannig takmarkast undantekningin við meginreglurnar um tilkynningu og valfrelsi.
– Í flestum tilvikum eru undantekningar, sem eru heimilaðar samkvæmt lögum, þröngt markaðar svo að þær gildi við sérsakar aðstæður í sérstökum tilgangi. Í öllum tilvikum er óheimil notkun eða afhending persónuupplýsinga, sem er ekki innan ramma þessara takmarkana, bönnuð annars staðar í lögum.
– Í flestum tilvikum þjónar heimiluð notkun eða afhending hagsmunum almennings í samræmi við tilgang laganna.
– Í nær öllum tilvikum er heimiluð notkun annaðhvort að öllu leyti í samræmi við kröfur meginreglnanna um „örugga höfn“ eða hún er leyfð samkvæmt einhverri af öðrum leyfilegum undantekningum.
Niðurstaðan er sú að undantekning samkvæmt „sérstakri heimild“ í lögum hefur, eðli máls samkvæmt, fremur takmarkað gildissvið.
C. Samruni og yfirtaka
Vinnuhópurinn um 29. gr. lét í ljós áhyggjur yfir aðstæðum sem skapast þegar fyrirtæki innan kerfisins „örugg höfn“ er yfirtekið af eða rennur saman við fyrirtæki sem hefur ekki tekið á sig skuldbindingar um að fara eftir meginreglunum um „örugga höfn.“ Vinnuhópurinn virðist hafa talið að fyrirtækið sem eftir stendur sé ekki skyldugt til að beita meginreglunum um örugga höfn á persónuupplýsingar sem voru í vörslu fyrirtækisins sem er yfirtekið en það þarf ekki að vera svo samkvæmt bandarískum lögum. Almenna reglan í Bandaríkjunum, að því er varðar samruna og yfirtöku, er að fyrirtæki, sem eignast öll fyrirliggjandi hlutabréf í öðru fyrirtæki, tekur yfirleitt á sig skyldur og skuldbindingar þess fyrirtækis. Sjá 15 Fletcher Cyclopedia of the Law of Private Corporations § 7117 (1990); sjá einnig Model Bus. Corp. Act § 11.06(3) (1979) („fyrirtækið sem eftir stendur tekur á sig allar skuldbindingar allra fyrirtækja sem eiga aðild að samrunanum“). Samkvæmt því væri fyrirtæki, sem eftir stendur eftir samruna við eða eftir yfirtöku fyrirtækis sem á aðild að meginreglunum um „örugga höfn“, bundið af skuldbindingum hins síðarnefnda varðandi reglurnar um „örugga höfn“.
Þótt samruni eða yfirtaka eigi sér stað með kaupum á hlutabréfum gætu skuldbindingar fyrirtækisins, sem keypt er, engu að síður skuldbundið fyrirtækið, sem eignast þau, við tilteknar aðstæður. 15 Fletcher, § 7122. Þess má geta að fylgi skuldbindingar ekki með í samruna myndu þær ekki heldur fylgja með í samruna ef gögn væru flutt frá Evrópu samkvæmt samningi — en það er eini haldbæri valkosturinn á móti reglunum um „örugga höfn“ þegar gögn eru flutt til Bandaríkjanna. Auk þess er þess nú krafist í endurskoðuðum skjölum um „örugga höfn“ að öll fyrirtæki, sem eiga aðild að reglunum um „örugga höfn“, tilkynni viðskiptaráðuneytinu um allar yfirtökur og leyfi því aðeins að gögn séu flutt til fyrirtækisins sem tekur við að það fyrirtæki gangist undir reglurnar um „örugga höfn“. Sjá Spurningar og svör, 6. lið. Bandaríkin hafa sem sé endurskoðað lagarammann um „örugga höfn“ þannig að þess er nú krafist að bandarísk fyrirtæki við þessar kringumstæður eyði upplýsingum sem þau hafa tekið á móti innan ramma laganna um „örugga höfn“ ef skuldbindingar þeirra þar að lútandi gilda ekki áfram og ekki eru gerðar aðrar viðeigandi verndarráðstafanir í þeirra stað.
V. VIÐAUKI
14. júlí 2000
John Mogg
Aðalframkvæmdastjóri, DG XV
Framkvæmdastjórn Evrópubandalaganna
Skrifstofa C 107-6/72
Rue de la Loi/Wetstraat 200
B–1049 Brussels
Herra aðalframkvæmdastjóri
Bréf mitt til yðar frá 29. mars 2000 virðist hafa vakið allmargar spurningar. Ég sendi þetta bréf til að skýra heimildir okkar á þeim sviðum þar sem spurningar hafa vaknað og bæti við og tek saman efni fyrri bréfaskipta til að auðvelda tilvísanir síðar.
Í heimsóknum yðar og bréfum hafið þér borið fram nokkrar spurningar um valdsvið bandarísku stofnunarinnar Alríkisviðskiptastofnunarinnar „Federal Trade Commission“ að því er varðar friðhelgi einkalífsins við beinlínuþjónustu. Ég tel það vera gagnlegt að taka saman fyrri svör mín varðandi starfsemi Alríkisviðskiptastofnunarinnar á þessu sviði og veita frekari upplýsingar um lögsögu stofnunarinnar í málum er varða friðhelgi einkalífs neytenda sem tekin eru upp í síðasta bréfi yðar. Þér spyrjið sérstaklega: 1) hvort Alríkisviðskiptastofnunin hafi lögsögu í málum er varða flutning gagna sem tengjast starfsráðningum og á sér stað í trássi við bandarísku meginreglurnar um „örugga höfn“. 2) hvort Alríkisviðskiptastofnunin hafi lögsögu að því er varðar merkingarkerfi til verndar friðhelgi einkalífsins sem ekki er rekið í hagnaðarskyni. 3) hvort lögin um Alríkisviðskiptastofnunina gildi jafnt um málefni í beinlínuþjónustu og utan hennar, og 4) hvað gerist ef lögsaga Alríkisviðskiptastofnunarinnar skarast við lögsögu annarra stofnana sem framfylgja lögum.
Beiting laga FTC til verndar friðhelgi einkalífsins
Eins og yður er kunnugt hefur Alríkisviðskiptastofnunin tekið forystu síðustu fimm árin í því að styðja viðleitni bandarískra atvinnugreina og neytendahópa til að þróa heildarlausn í málum er snerta friðhelgi einkalífs neytenda þar á meðal söfnun og notkun persónuupplýsinga á Netinu. Við höfum aðstoðað við að greina lykilmálefni að því er varðar stefnumótun og þróa skynsamlegar lausnir á almennum vinnufundum og með stöðugu samráði við aðila í atvinnulífinu, fulltrúa neytenda og samstarfsmenn í viðskiptaráðuneytinu og aðrar bandarískar stjórnarstofnanir.
Löglegar heimildir Alríkisviðskiptastofnunarinnar á þessu sviði er að finna í 5. þætti laganna um hana, „Federal Trade Commission Act“, þar sem bann er lagt við „óheiðarlegum eða villandi athöfnum eða starfsháttum í viðskiptum eða í starfsemi sem hefur áhrif á viðskipti“ ( 1 ). Villandi viðskiptahættir eru skilgreindir sem yfirlýsing, vanræksla eða starfshættir sem líklegt er að blekki neytendur með góða dómgreind á afgerandi hátt. Starfshættir eru óheiðarlegir ef þeir valda eða eru líklegir til að valda neytendum verulegum skaða sem ekki er auðvelt að komast hjá og er ekki bættur upp með ávinningi fyrir neytendur eða bættri samkeppnisstöðu ( 2 ).
Telja má að tilteknir starfshættir við upplýsingasöfnun standist ekki lög Alríkisviðskiptastofnunarinnar. Ef því er til dæmis haldið fram með röngu að á vefsíðu sé farið eftir yfirlýstri stefnu að því er varðar friðhelgi einkalífsins eða viðmiðunarreglum um sjálfseftirlit er lagagrundvöllur í 5. þætti laganna um Alríkisviðskiptastofnunina til að vefengja slíkar rangar upplýsingar og telja þær villandi. Okkur hefur tekist að framfylgja lögunum á þann hátt að þessari meginreglu hefur verið komið á ( 3 ). Þar að auki hefur stofnunin tekið þá afstöðu að hún kunni að andmæla sérstaklega smánarlegum starfsháttum er varða friðhelgi einkalífsins sem óheiðarlegum samkvæmt 5. þætti ef slíkir starfshættir snerta börn eða notkun mjög viðkvæmra upplýsinga svo sem fjárhagslegra upplýsinga ( 4 ) og heilsufarsupplýsinga. Alríkisviðskiptastofnunin hefur og mun halda áfram að framfylgja lögum með vakandi eftirliti og rannsóknum og á grundvelli mála sem sjálfseftirlitsstofnanir og aðrir aðilar, þar á meðal aðildarríki Evrópusambandsins, vísa til okkar.
Stuðningur Alríkisviðskiptastofnunarinnar við sjálfseftirlit
Alríkisviðskiptastofnunin hefur jafnan stutt viðleitni atvinnugreina til að þróa skilvirk eigin eftirlitskerfi til að tryggja vernd friðhelgi einkalífs neytenda á Netinu. Eigi þessi viðleitni að bera árangur er almenn þátttaka atvinnugreinanna þó nauðsynleg. Um leið verður að styðja við sjálfseftirlit með því að framfylgja lögum. Þess vegna mun Alríkisviðskiptastofnunin veita forgang málum sem fyrirtæki á borð við „BBBOnline“ og „TRUSTe“ vísa til hennar þar sem ekki er farið eftir viðmiðunarreglum um sjálfseftirlit. Þessi aðferð er í samræmi við langt samstarf okkar við „National Advertising Review Board (NARB)“ sem heyrir undir „Better Business Bureau“ sem vísar kærum vegna auglýsinga til Alríkisviðskiptastofnunarinnar. Innlend auglýsingadeild (National Advertising Division) hjá „National Advertising Review Board“ úrskurðar í kærumálum með dómsmálsmeðferð sem er notuð við innlendar auglýsingar. Þegar aðili neitar að fara að ákvörðun „National Advertising Division“ er málinu vísað til Alríkisviðskiptastofnunarinnar. Starfslið Alríkisviðskiptastofnunarinnar athugar fyrst auglýsingu sem er vefengd til að ákvarða hvort hún brjóti í bága við lög Alríkisviðskiptastofnunarinnar og tekst oft að stöðva háttsemina sem er vefengd eða telja viðkomandi aðila á að gangast aftur undir málsmeðferð „National Advertising Review Board“.
Á sama hátt mun Alríkisviðskiptastofnunin veita forgang málum sem aðildarríki Evrópusambandsins vísa til hennar þar eð ekki er farið eftir meginreglum um „örugga höfn“. Þegar um er að ræða tilvísanir frá bandarískum sjálfseftirlitsfyrirtækjum athugar starfsfólk okkar allar upplýsingar sem lúta að því hvort háttsemin sem kærð er brjóti í bága við 5. þátt laga Alríkisviðskiptastofnunarinnar. Þessa skuldbindingu er einnig að finna í meginreglunum um „örugga höfn“ í Spurningum og svörum um framfylgd laga.
GeoCities: Fyrsta mál Alríkisviðskiptastofnunarinnar um friðhelgi einkalífsins í tengslum við beinlínuþjónustu
Fyrsta mál Alríkisviðskiptastofnunarinnar um friðhelgi einkalífsins í tengslum við Netið var byggt á heimild stofnunarinnar samkvæmt 5. þætti laganna. ( 5 ). Í því máli hélt Alríkisviðskiptastofnunin því fram að GeoCities gæfi bæði fullorðnum og börnum villandi upplýsingar um það hvernig persónuupplýsingar um þau yrðu notuð. Í kæru sinni hélt Alríkisviðskiptastofnunin því fram að GeoCities hefði lýst því yfir að einungis ætti að nota tilteknar persónugreinanlegar upplýsingar, sem safnað hafði verið á vefsíðu fyrirtækisins, til innanhúsnota eða til að veita neytendum sérstök auglýsingatilboð og vörur eða þjónustu sem þeir bæðu um og að tilteknar „valfrjálsar“ viðbótarupplýsingar myndu ekki verða látnar af hendi við neinn án leyfis neytandans. Í reynd voru þessar upplýsingar afhentar þriðju aðilum sem notuðu þær til að mynda markhópa við markaðssetningu án samþykkis neytendanna. Kæran byggðist einnig á því að starfshættir GeoCities við söfnun upplýsinga frá börnum hefðu verið villandi. Samkvæmt kæru Alríkisviðskiptastofnunarinnar bar GeoCities að það hefði starfrækt vefsvæði fyrir börn á vefsíðu sinni og að GeoCities geymdi upplýsingarnar sem safnað hefði verið þar. Í reynd var þessum svæðum á vefsíðunni stjórnað af þriðju aðilum sem söfnuðu upplýsingunum og geymdu þær.
Í sáttargerð er GeoCities bannað að gefa villandi upplýsingar um tilganginn með söfnun eða notkun persónugreinanlegra upplýsinga um neytendur, þar á meðal börn. Í úrskurðinum er þess krafist að fyrirtækið setji á vefsíðu sína, skýrt og greinilega, tilkynningu um friðhelgi einkalífsins þar sem neytendum er sagt hvaða upplýsingum sé safnað og í hvaða tilgangi, hverjum þær verði afhentar og hvernig neytendur geti komist að upplýsingunum og fjarlægt þær. Til að tryggja eftirlit foreldra er þess einnig krafist í sáttargerð að GeoCities fái samþykki foreldra barna yngri en 12 ára áður en fyrirtækið safnar persónugreinanlegum upplýsingum, frá þeim. Í dómnum er þess krafist að GeoCities sendi tilkynningu til viðskiptamanna sinna og veiti þeim tækifæri til að láta eyða upplýsingum um sig úr gagnagrunni GeoCities og gagnagrunnum þriðju aðila. Í sáttargerð er þess sérstaklega krafist að GeoCities sendi tilkynningu til foreldra 12 ára barna og yngri og eyði upplýsingum um þau nema foreldri veiti ákveðið samþykki sitt til þess að upplýsingarnar séu geymdar og notaðar. Loks er þess krafist að GeoCities hafi samband við þriðju aðila, sem fyrirtækið hefur þegar afhent upplýsingar, og fari fram á að þeir eyði einnig upplýsingunum ( 6 ).
ReverseAuction.com
Síðar höfðaði stofnunin mál á hendur öðru beinlínufyrirtæki vegna meints brots á friðhelgi einkalífsins. Í janúar 2000 samþykkti stofnunin að taka til meðferðar kæru og ná sáttum í máli „ReverseAuction.com“, uppboðssíðu á Netinu sem haldið var fram að hefði fengið persónugreinanlegar upplýsingar um neytendur frá vefsíðu keppinautar (eBay.com) og síðan sent villandi og óumbeðin tölvubréf til þessara neytenda og falast eftir viðskiptum við þá ( 7 ). Kæra okkar byggðist á því að „ReverseAuction“ hefði brotið gegn ákvæðum 5. þáttar laga Alríkisviðskiptastofnunarinnar með því að afla persónugreinanlegra upplýsinga og innihéldu tölvupóstföng „eBay“-notenda og persónubundin notendakenni (user IDs) og með villandi tölvupóstsendingum.
Eins og lýst er í kærunni skráði „ReverseAuction“ sig sem notanda hjá „eBay“ áður en fyrirtækið fékk upplýsingarnar og samþykkti að fara eftir notendasamningi og stefnu þess fyrirtækis varðandi friðhelgi einkalífsins. Samningurinn og reglurnar vernda friðhelgi einkalífs neytandans á þann hátt að banna notendum „eBay“ að safna og nota persónugreinanlegar upplýsingar á óleyfilegan hátt svo sem að senda óumbeðinn tölvupóst í viðskiptalegum tilgangi. Kæra okkar var því í fyrsta lagi byggð á því að „ ReverseAuction“ hefði haldið því ranglega fram að fyrirtækið myndi fara eftir notendasamningi og stefnu „eBay“ varðandi friðhelgi einkalífsins, og eru það villandi starfshættir samkvæmt 5. þætti. Til vara var kæran byggð á því að sú notkun „ReverseAuction“ á upplýsingunum að senda óumbeðinn tölvupóst í viðskiptalegum tilgangi, í trássi við notendasamning og stefnu „eBay“ varðandi friðhelgi einkalífsins væru óheiðarlegir viðskiptahættir samkvæmt 5. þætti.
Í öðru lagi var kæran byggð á því að í tölvupósti til neytenda hefði verið villandi efnislína með upplýsingum þar sem öllum var tjáð að notendakenni þeirra „væri að verða útrunnið.“ Loks var kæran byggð á því að í tölvupóstinum væri það ranglega gefið til kynna að „eBay“ hefði beint eða óbeint látið „ReverseAuction“ í té persónugreinanlegar upplýsingar eða átt með öðrum hætti þátt í því dreifingu hins óumbeðna tölvupósts.
Í sáttargerð, sem Alríkisviðskiptastofnuninni tókst að ná, er séð til þess að „ReverseAuction“ endurtaki ekki þetta brot. Einnig er þess krafist að „ReverseAuction“ sendi tilkynningu til allra þeirra neytenda sem hafa skráð eða munu skrá sig hjá „ReverseAuction“ í kjölfar tölvupóstsins sem fyrirtækið sendi þeim. Í tilkynningunni skal þessum neytendum tjáð að notendakenni þeirra hjá „eBay“ hafi ekki verið um það bil að renna út og að „eBay“ hafi ekki vitað um eða heimilað dreifingu „ReverseAuction“ á þessum óumbeðna tölvupósti. Tilkynningin skal einnig gefa þessum neytendum tækifæri til að láta taka sig af skrá hjá „ReverseAuction“ og láta eyða persónugreinanlegum upplýsingum um sig úr gagnagrunni þess fyrirtækis. Auk þess er þess krafist í úrskurðinum að „ReverseAuction“ eyði og hætti að nota eða afhenda persónugreinanlegar upplýsingar viðskiptamanna „eBay“ sem fengu tölvupóstinn frá „ReverseAuction“ án þess að vera skráðir þar. Loks er þess krafist í sáttargerðinni, í samræmi við fyrri úrskurði stofnunarinnar um friðhelgi einkalífsins, að „ReverseAuction“ kynni sína eigin stefnu varðandi friðhelgi einkalífsins á vefsíðu sinni á Netinu og þar eru víðtæk ákvæði um skráahald til að Alríkisviðskiptastofnunin geti fylgst með því að úrskurðurinn sé haldinn.
Af máli „ReverseAuction“ sést að Alríkisviðskiptastofnunin er skuldbundin til að styðja viðleitni atvinnugreina til sjálfseftirlits á sviði friðhelgi einkalífs neytenda við beinlínuþjónustu. Í þessu máli var sem sé andmælt háttsemi sem gróf undan stefnunni um friðhelgi einkalífsins og notendasamningi en það gæti rýrt traust neytenda á ráðstöfunum sem netfyrirtæki gera til að vernda friðhelgi einkalífsins. Þar eð þetta mál snerist um óréttmæta notkun fyrirtækis á neytendaupplýsingum sem voru verndaðar með stefnu annars fyrirtækis varðandi friðhelgi einkalífsins getur það haft sérstaka þýðingu með tilliti til gagnaflutnings fyrirtækja milli landa.
Þrátt fyrir aðgerðir Alríkisviðskiptastofnunarinnar til framkvæmdar lögunum gagnvart GeoCities, Liberty Financial Cos., og ReverseAuction eru heimildir stofnunarinnar takmarkaðri á sumum sviðum er varða friðhelgi einkalífsins við beinlínuþjónustu. Eins og getið er hér að framan er einungis hægt að beita lögum Alríkisviðskiptastofnunarinnar gagnvart söfnun og notkun persónuupplýsinga án samþykkis að það teljist annaðhvort villandi eða óheiðarlegir viðskiptahættir. Lög Alríkisviðskiptastofnunarinnar myndu því að líkindum ekki gilda um starfshætti á vefsíðu þar sem safnað væri persónugreinanlegum upplýsingum um neytendur en hvorki væru gefnar villandi upplýsingar um það til hvers upplýsingunum væri safnað né þær notaðar eða afhentar á þann hátt sem líklegt væri að neytendur hefðu verulegan skaða af. Það mun ekki heldur vera á valdsviði Aríkisviðskiptastofnunarinnar að krefjast þess almennt að fyrirtæki sem safna persónuupplýsingum á Netinu fylgi yfirlýstri stefnu varðandi friðhelgi einkalífsins eða einhverri tiltekinni stefnu þar að lútandi ( 8 ). Hins vegar er líklegt að það flokkist undir villandi starfshætti ef fyrirtæki fer ekki eftir yfirlýstri stefnu sinni um friðhelgi einkalífsins eins og áður er getið.
Enn fremur nær lögsaga Alríkisviðskiptastofnunarinnar á þessu sviði einungis til óheiðarlegra og villandi starfshátta ef þeir eiga sér stað í viðskiptum eða hafa áhrif á þau. Upplýsingasöfnun viðskiptafyrirtækja, sem bjóða fram vörur eða þjónustu, þar á meðal að safna og nota upplýsingar í viðskiptalegum tilgangi, stenst að öllum líkindum þær kröfur sem snúa að viðskiptum. Á hinn bóginn getur verið að margir einstaklingar og aðrir aðilar safni upplýsingum af Netinu án þess að gera það í viðskiptalegum tilgangi og kunna því að falla utan lögsögu Alríkisviðskiptastofnunarinnar. Dæmi um þessa slíkt eru spjallrásir ef þær eru reknar af aðilum sem stunda ekki viðskipti, t.d. líknarfélögum.
Loks eru margar undantekningar, að hluta til eða að öllu leyti lögbundnar, frá grunnlögsögu Alríkisviðskiptastofnunarinnar með tilliti til viðskiptahátta sem takmarka möguleika Alríkisviðskiptastofnunarinnar á því að taka á fullnægjandi hátt á málum er snerta friðhelgi einkalífsins á Netinu. Þar á meðal eru undantekningar sem gilda um mörg fyrirtæki sem þurfa að hafa mikið af upplýsingum eins og bankar, tryggingafélög og flugfélög. Eins og yður er kunnugt geta aðrar alríkis- eða ríkisstofnanir haft lögsögu í málum þessara aðila, eins og t.d. bankastjórnir alríkisbankanna (federal banking agencies) og samgönguráðuneytið.
Í málum þar sem Alríkisviðskiptastofnunin hefur lögsögu tekur stofnunin við kærum sem neytendur leggja fram í pósti eða símleiðis til neytendaþjónustunnar (Consumer Response Center) og nýverið á vefsíðu hennar ( 9 ) og grípur til aðgerða eftir því sem hún hefur tök á. Neytendaþjónustan tekur við kærum frá öllum neytendum, einnig þeim sem búa í aðildarríkjum Evrópusambandsins. Samkvæmt lögum Alríkisviðskiptastofnunarinnar hefur stofnunin nægilegar heimildir til að fá sett lögbann við brotum gegn lögunum í framtíðinni og einnig getur hún vísað málum til dómstólanna til að fá neytendum dæmdar skaðabætur. Þótt við leysum ekki einstakar deilur neytenda athugum við samt hvort viðkomandi fyrirtæki hafi aðhafst ólöglega í víðara samhengi. Á liðnum árum hefur Alríkisviðskiptastofnunin rétt hlut borgara bæði í Bandaríkjunum og öðrum löndum ( 10 ). Alríkisviðskiptastofnunin mun halda áfram að beita heimildum sínum, eftir því sem við á, til að rétta hlut borgara annarra landa sem hafa skaðast vegna villandi starfshátta í lögsögu stofnunarinnar.
Gögn um starfsráðningar
Í síðasta bréfi yðar var óskað eftir frekari skýringu á lögsögu Alríkisviðskiptastofnunarinnar að því er varðar gögn um starfsráðningar. Í fyrsta lagi er spurt hvort Alríkisviðskiptastofnunin geti gripið til aðgerða samkvæmt 5. þætti gegn fyrirtæki sem lýsir yfir því að það muni fara eftir meginreglunum um „örugga höfn“ en flytur eða notar gögn varðandi starfsráðningar á þann hátt að brýtur í bága við þessar reglur. Við fullvissum yður um að við höfum skoðað vandlega lög um heimildir Alríkisviðskiptastofnunarinnar um heimildir, skjöl sem tengjast þeim og viðeigandi fordæmisrétt og komist að þeirri niðurstöðu að Alríkisviðskiptastofnunin hafi sömu lögsögu í málum sem snerta gögn varðandi starfsráðningar og hún hefur almennt samkvæmt 5. þætti laga Alríkisviðskiptastofnunarinnar ( 11 ). Þetta merkir að við getum gripið til aðgerða í málum er tengjast starfsráðningum að því tilskildu að málið falli undir viðmiðanir okkar (óheiðarlega eða villandi viðskiptahætti) fyrir aðgerðir til verndar friðhelgi einkalífsins.
Við vísum einnig á bug þeirri skoðun að Alríkisviðskiptastofnunin hafi einungis heimild til að grípa til aðgerða til verndar friðhelgi einkalífsins við aðstæður þar sem fyrirtæki hefur blekkt einstaka neytendur. Í reynd, eins og nýlegar aðgerðir í máli Alríkisviðskiptastofnuninni gegn „ReverseAuction“ sýna ( 12 ), mun stofnunin grípa til aðgerða til verndar friðhelgi einkalífsins í málum sem snerta gagnaflutning milli fyrirtækja þar sem haldið er fram að eitt fyrirtæki hafi brotið lög á öðru og hugsanlega valdið með því skaða fyrir bæði neytendur og fyrirtæki. Við teljum að við þessar aðstæður sé líklegast að upp komi mál sem snerta starfsráðningar þar eð gögn varðandi starfsráðningar um Evrópubúa eru flutt frá evrópsku fyrirtækjum til bandarískra fyrirtækja sem hafa skuldbundið sig til að fara eftir meginreglunum um „örugga höfn.“
Við viljum þó nefna eitt dæmi um aðstæður þar sem aðgerð af hálfu Alríkisviðskiptastofnunarinnar myndi vera takmörkuð. Það gætu verið aðstæður þar sem málið hefði þegar fengið meðferð til lausnar deilumáls samkvæmt hefðbundnum vinnurétti, þar sem að líkindum væri um að ræða kvörtunarmál eða gerðardóm eða að kært hefði verið til „National Labor Relations Board“ vegna óheiðarlegra starfshátta. Þetta gæti t.d. gerst ef vinnuveitandi hefði tekið á sig skuldbindingu í tengslum við sameiginlegan samning um notkun persónuupplýsinga og starfsmaður eða starfsmannafélag héldi því fram að vinnuveitandinn hefði brotið samninginn. Alríkisviðskiptastofnunin myndi að líkindum vísa slíku máli frá ( 13 ).
Lögsaga að því er varðar merkingakerfi
Í öðru lagi spurðuð þér hvort Alríkisviðskiptastofnunin hefði lögsögu í málum sem snerta „merkingakerfi“ bandarískra aðila sem sjá um lausn deilumála sem gefa villandi upplýsingar um hlutverk sitt bæði við að framfylgja meginreglunum um „örugga höfn“ og fjalla um einstakar kærur, þótt slíkir aðilar störfuðu ekki tæknilega séð „með hagnað í huga“. Til að ákvarða hvort við höfum lögsögu yfir aðilum, sem lýsa því yfir að þeir starfi ekki með hagnað í huga, athugar Alríkisviðskiptastofnunin vandlega hvort aðilinn kunni að stuðla að hagnaði meðlima sinna þótt hann sem slíkur hagnist ekki. Alríkisviðskiptastofnunin hefur haldið því fram með góðum árangri að stofnunin hefði lögsögu í málum er varða slíka aðila og fyrir ekki alls löngu, eða 24. maí 1999, staðfesti hæstiréttur Bandaríkjanna einróma, í málinu „California Dental Association“ gegn Alríkisviðskiptastofnuninni að stofnunin hefði lögsögu í einokunarmáli sem varðaði sjálfboðastarf sem staðbundið félag tannlæknastofa stundaði án hagnaðar. Dómurinn komst að eftirfarandi niðurstöðu:
Alríkisviðskiptastofnunin leggur sig ekki einungis fram um að ná til aðila sem stunda viðskipti með hagnað í huga, 15 U.S.C. § 44, heldur einnig þeirra sem reka viðskipti með hagnað „meðlima sinna“ í huga. … Ólíklegt er að það hafi verið ætlun þingsins að takmarka á þennan hátt lögsögu viðkomandi stuðningsstofnana og gefa þannig færi á því að sniðganga lögin þegar tilgangurinn með lögum Alríkisviðskiptastofnunarinnar er að sjálfsögðu að tryggja framgang þeirra.
Eigi að ákvarða hvort lögsaga nái yfir tiltekinn aðila, sem hagnast ekki á starfsemi sinni og sem hefur tiltekið merkingakerfi, þyrfti að athuga reglulega í hve miklum mæli sá aðili veitir meðlimum sínum fjárhagslegan ávinning. Ef slíkur aðili starfrækti merkingakerfi sitt þannig að það skilaði meðlimum hans fjárhaglegum ávinningi myndi Alríkisviðskiptastofnunin að líkindum hafa lögsögu í málinu. Alríkisviðskiptastofnunin myndi að líkindum einnig hafa lögsögu í sviksamlegu merkingakerfi aðila sem gæfi ranglega til kynna að hann starfaði án hagnaðar.
Friðhelgi einkalífsins utan Netsins
Í þriðja lagi nefnið þér að fyrri bréfaskipti okkar hafi að mestu fjallað um friðhelgi einkalífsins í beinlínuþjónustu. Þótt friðhelgi einkalífsins við beinlínuþjónustu hafi verið aðalviðfangsefni Alríkisviðskiptastofnunarinnar sem snar þáttur í þróun rafrænna viðskipta ná lög hennar allt aftur til 1914 og gilda jafnt um aðra. Þannig getum við saksótt fyrirtæki sem hafa ekki starfsemi á Netinu en viðhafa óheiðarlega eða villandi viðskiptahætti að því er varðar friðhelgi einkalífsins ( 14 ). Í máli sem Alríkisviðskiptastofnunin höfðaði á síðasta ári, „FTC gegn TouchTone Information, Inc.“ ( 15 ) var upplýsingamiðlari ákærður fyrir að hafa ólöglega fengið og selt einkaupplýsingar um fjármál neytanda. Alríkisviðskiptastofnunin hélt því fram að Touch Tone hefði fengið upplýsingar um neytanda undir fölsku yfirskyni (pretexting), en svo er það kallað í einkarannsóknargeiranum til að lýsa starfsvenju við að fá persónuupplýsingar um aðra á fölskum forsendum, aðallega í gegnum síma. Í málinu, sem var skráð 21. apríl 1999 hjá alríkisdómstól í Colorado, er krafist lögbanns og endurgreiðslu alls ólöglegs hagnaðar.
Lögsögur sem skarast
Að lokum spyrjið þér um skiptingu milli lögsögu Alríkisviðskiptastofnunarinnar og lögsögu annarra stofnana sem framfylgja lögum, einkum þegar lögsögur skarast. Við höfum komið á góðum vinnutengslum við fjölmargar aðrar stofnanir sem framfylgja lögum, þar á meðal stjórnir alríkisbankanna og saksóknaraembætti ríkisins. Við samstillum oft rannsóknir til að nýta efni okkar sem best þegar lögsögur skarast. Við vísum einnig oft málum til viðeigandi ríkis- eða alríkisstofnunar til rannsóknar.
Ég vona að þetta yfirlit komi að gagni. Vinsamlegast látið vita ef þér óskið eftir frekari upplýsingum.
Yðar einlægur,
Robert Pitofsky
VI. VIÐAUKI
John Mogg
Aðalframkvæmdastjóri, DG XV
Framkvæmdastjórn Evrópubandalaganna
Skrifstofa C 107-6/72
Rue de la Loi/Wetstraat 200
B–1049 Brussels
Herra aðalframkvæmdastjóri:
Ég skrifa yður þetta bréf að beiðni bandaríska viðskiptaráðuneytisins til að útskýra hvaða hlutverk samgönguráðuneytið hefur við vernd friðhelgi einkalífs neytenda með tilliti til upplýsinga sem þau veita flugfélögum.
Samgönguráðuneytið mælir með sjálfseftirliti sem þeirri aðferð sem er minnst truflandi og skilvirkust til að tryggja vernd upplýsinga sem neytendur veita flugfélögum og styður því að tekið verði upp reglukerfið um „örugga höfn“ sem gerir flugfélögum kleift að uppfylla kröfurnar í gagnaverndartilskipun Evrópusambandsins að því er varðar gagnaflutning frá Evrópusambandinu. Ráðuneytið viðurkennir hins vegar að sjálfseftirlit geti því aðeins borið árangur að flugfélögin, sem gangast undir meginreglurnar um friðhelgi einkalífsins, sem eru settar fram í reglukerfinu „öruggri höfn“, fari eftir þeim í reynd. Þess vegna verður að styðja við sjálfseftirlit með því að beita lögum. Með því að nýta sér gildandi lögbundnar heimildir um vernd neytenda vill ráðuneytið sjá til þess að flugfélögin standi við skuldbindingar um friðhelgi einkalífsins gagnvart almenningi og fylgja eftir ábendingum um meinta óhlýðni sem berast því frá sjálfseftirlitsstofnunum og öðrum aðilum þar á meðal aðildarríkjum Evrópusambandsins.
Heimild ráðuneytisins til að grípa til aðgerða á þessu sviði hefur stoð í bandarískum lögum, 49 41712, þar sem flutningsaðila er bannað að viðhafa „óheiðarlega eða villandi starfshætti eða óheiðarlegar samkeppnisaðferðir“ í flutningum í lofti sem skaða eða líklegt er að skaði neytendur. Þáttur 41712 er sniðinn eftir 5. þætti laga „Federal Trade Commission“ (15 U.S.C. 45). Flugfélög eru þó, samkvæmt bandarískum lögum, 15 U.S.C. 45(a)(2), undanþegin reglum 5. þáttar laga „Federal Trade Commission“.
Ráðuneytið rannsakar og sækir mál samkvæmt 49. þætti bandarískra laga 41712. (Sjá t.d. úrskurð samgönguráðuneytisins 99-11-5, 9. nóvember 1999; 99-8-23, 26. ágúst, 1999; 99-6-1, 1. júní 1999; 98-6-24, 22. júní 1998; 98-6-21, 19. júní 1998; 98-5-31, 22. maí 1998; og 97-12-23,18. desember 1997.) Við byggjum málsókn á okkar eigin rannsóknum og einnig formlegum og óformlegum kærum sem berast frá einstaklingum, ferðaskrifstofum, flugfélögum og bandarískum og erlendum stjórnarstofnunum.
Ég bendi á að þótt flutningsaðili sinni ekki vernd upplýsinga, sem hann hefur fengið frá farþegum, telst það ekki sjálfkrafa vera brot á ákvæðum þáttar 41712. Þegar flutningsaðili skuldbindur sig til að fara eftir meginreglunum um „örugga höfn“ um að vernda neytendaupplýsingar, sem hann fær í hendur, hefur ráðuneytið vald til að beita lagaákvæðum hluta 41712 til að tryggja að farið sé eftir þessum meginreglum. Þegar farþegi hefur látið af hendi upplýsingar til flutningsaðila, sem hefur heitið því að virða meginreglurnar um „örugga höfn“, er því líklegt að það valdi neytandanum skaða og sé brot á ákvæðum þáttar 41712 ef hann gerir það ekki. Ráðuneytið veitir rannsókn á meintum brotum og málsókn í málum þar sem slík brot hafa sannast algeran forgang. Við tilkynnum einnig viðskiptaráðuneytinu um niðurstöður allra slíkra mála.
Brot á ákvæðum þáttar 41712 geta leitt til stjórnsýslubanns og almennrar refsingar við brotum á því. Þótt við höfum ekki heimild til að veita skaðabætur eða peningalega aðstoð til einstakra kæruaðila höfum við heimild til að samþykkja samkomulag sem næst í kjölfar rannsókna og mála sem ráðuneytið á frumkvæði að og kemur neytendum til góða annaðhvort sem niðurfelling eða uppbót vegna peningasekta sem annars þyrfti að greiða. Þetta höfum við gert áður og getum og munum gera það í tengslum við meginreglurnar um „örugga höfn“ þegar aðstæður leyfa. Verði bandarísk flugfélög uppvís að endurteknum brotum á ákvæðum þáttar 41712 gæti það vakið spurningar um hvort flugfélag sé fært um að framfylgja lögum en það gæti, í versta tilviki, leitt til þess að það yrði dæmt óhæft til að starfa og misst þannig rekstrarleyfi sitt. (Sjá úrskurði samgönguráðuneytisins 93-6-34, 23. júní 1993 og 93-6-11, 9. júní 1993. Þótt þetta mál hafi ekki fallið undir þátt 41712 leiddi það til þess að starfsleyfi flutningsaðilans var afturkallað vegna þess að hann hafði algerlega hunsað ákvæði loftferðalaga Bandaríkjanna (Federal Aviation Act), tvíhliða samning og reglur og ákvarðanir ráðuneytisins.
Ég vona að þessar upplýsingar komi að gagni. Vinsamlegast hafið samband ef þér óskið eftir frekari upplýsingum.
Yðar einlægur,
Samuel Podberesky
Aðstoðarlögmaður (Assistant General Counsel)
Flugmálastjórnar (Aviation Enforcement and Proceeding)
VII. VIÐAUKI
Með tilvísun til b-liðar, 2. mgr. 1. gr. hafa eftirfarandi stjórnarstofnanir í Bandaríkjunum vald til að rannsaka kærur og veita réttarúrræði gegn óheiðarlegum eða villandi viðskiptaháttum og einnig til að tryggja að einstaklingar geti rétt hlut sinn, óháð búsetulandi eða þjóðerni, þegar ekki hefur verið farið eftir meginreglunum sem eru framkvæmdar í samræmi við Spurningar og svör:
1. Alríkisviðskiptastofnunin (Federal Trade Commission), og
2. Samgönguráðuneyti bandaríkjanna (US Department of Transportation).
Alríkisviðskiptastofnunin starfar á grundvelli heimilda samkvæmt 5. þætti laga þess. Alríkisviðskiptastofnunin hefur ekki lögsögu í málefnum banka, sparisjóða og lána- og samvinnusjóða samkvæmt 5. þætti, né almennra flutningsaðila í fjarskiptum og samgöngum milli landa, flugfélaga og pökkunaraðila og búpeningsbirgðastöðva. Þó að tryggingageirinn sé ekki sérstaklega nefndur í skránni yfir undantekningar í 5. þætti er í lögunum „McCarran-Ferguson Act“ ( 1 ) almennt vísað til einstakra ríkja um eftirlit með tryggingamálum. Ákvæði laga Alríkisviðskiptastofnunarinnar gilda þó um tryggingastarfsemi að svo miklu leyti sem slík starfsemi heyrir ekki undir lög einstakra ríkja. Alríkisviðskiptastofnunin heldur heimild sinni gagnvart óréttlátum eða villandi viðskiptaháttum tryggingafyrirtækja í málum er snerta aðra starfsemi en tryggingar.
Samgönguráðuneyti Bandaríkjanna starfar á grundvelli heimilda sinna samkvæmt 49. bálki bandarískra laga, þætti 41712. Samgönguráðuneytið byggir málsókn á eigin rannsóknum og einnig formlegum og óformlegum kærum sem berast frá einstaklingum, ferðaskrifstofum, flugfélögum og bandarískum og erlendum stjórnarstofnunum.
- Neðanmálsgrein: 1
- (1) Hefur enn ekki verið birt.
- Neðanmálsgrein: 2
- (2) Hefur enn ekki verið birt.
- Neðanmálsgrein: 3
- (3) Stjtíð. EB L 215, 25.8.2000, bls. 1.
- Neðanmálsgrein: 4
- (4) Stjtíð. EB L 215, 25.8.2000, bls. 4.
- Neðanmálsgrein: 5
- (5) Stjtíð. EB L 215, 25.8.2000, bls. 7.
- Neðanmálsgrein: 6
- (*) Stjórnskipuleg skilyrði gefin til kynna.
- Neðanmálsgrein: 7
- (1) Stjtíð. EB L 281, 23.11.1995, bls. 31.
- Neðanmálsgrein: 8
- (1) Álit 12/98 sem starfshópurinn samþykkti 24.7.1998: „Flutningur persónuupplýsinga til þriðja lands“. Beitt er 25. og 26. gr. gagnaverndartilskipunar ESB (DG MARKT D/5025/98), tiltæk á Evrópuvef framkvæmdastjórnarinnar: europa.eu.int/comm/ internal_market/en/media/dataprot/wpdocs/index.htm.
- Neðanmálsgrein: 9
- (2) Tiltæk á vefsetrinu:http://conventions.coe.int/treaty/EN/ cadreintro.htm.
- Neðanmálsgrein: 10
- (1) Álit 5/99 sem starfshópurinn samþykkti 07.06.99 (DG MARKT 5054/99), tiltækt á Evrópuvefnum sem um getur í 2. nmgr.
- Neðanmálsgrein: 11
- (1) Stjtíð. EB L 281, 23.11.1995, bls. 31.
- Neðanmálsgrein: 12
- (1) Álit 12/98 sem starfshópurinn samþykkti 24.07.98: „Flutningur persónuupplýsinga til þriðja lands. Beitt er 25. og 26. gr. gagnaverndartilskipunar ESB“ (DG MARKT D/5025/98), tiltæk á Evrópuvef framkvæmdastjórnarinnar: europa.eu.int/comm/ internal_market/en/media/dataprot/wpdocs/index.htm.
- Neðanmálsgrein: 13
- (2) Tiltækt á vefsetrinu:http://conventions.coe.int/treaty/ EN/cadreintro.htm
- Neðanmálsgrein: 14
- (3) Álit 6/99 sem starfshópurinn samþykkti 7.september 1999 (DG MARKT 5070/99), tiltækt á Evrópuvefnum sem um getur í 2. nmgr.
- Neðanmálsgrein: 15
- (1) Stjtíð. EB L 281, 23.11.1995, bls. 31.
- Neðanmálsgrein: 16
- (2) Veffang vinnuhópsins er: www.europa.eu.int/ comm/internal_market/en/media/dataprot/wpdocs/inde x.htm
- Neðanmálsgrein: 17
- (3) Vinnuskjal 12: Flutningur persónuupplýsinga til þriðju landa: beiting 25. og 26. gr. gagnaverndartilskipunar ESB, sem starfshópurinn samþykkti 24. júlí 1998.
- Neðanmálsgrein: 18
- (1) Vinnuskjal 15: Álit 1/99 varðandi stig gagnaverndar í Bandaríkjunum og yfirstandandi skoðanaskipti milli framkvæmdastjórnar Evrópubandalaganna og Bandaríkjanna. Vinnuskjal 19: Álit 2/99 á því hvort alþjóðlegu meginreglurnar um „örugga höfn“, sem gefnar voru út í viðskiptaráðuneyti Bandaríkjanna 19. apríl 1999, séu fullnægjandi. Vinnuskjal 21: Álit 4/99 um „algengar spurningar og svör“ sem viðskiptaráðuneyti Bandaríkjanna gefur út í tengslum við tillögu að meginreglum um „örugga höfn“ um það hvort alþjóðlegu meginreglurnar um „örugga höfn“ séu fullnægjandi. Vinnuskjal 23: Vinnuskjal um stöðu yfirstandandi umræðna framkvæmdastjórnar Evrópubandalaganna og ríkisstjórnar Bandaríkjanna varðandi alþjóðlegu meginreglurnar um „örugga höfn“. Vinnuskjal 27: Álit 7/99 um stig gagnaverndar alþjóðlegu meginreglnanna um „örugga höfn“, eins og þær voru gefnar út ásamt „algengum spurningum og svörum“ og öðrum skjölum þar að lútandi í viðskiptaráðuneyti Bandaríkjanna 15. og 16. nóvember 1999. Vinnuskjal 31: Álit 3/2000 varðandi umræður ESB/BNA um reglurnar um „örugga höfn“. Vinnuskjal 32: Álit 4/2000 um þá vernd sem meginreglurnar um „örugga höfn“ veita.
- Neðanmálsgrein: 19
- (1) Reglan um tilkynningu eða valfrelsi gildir ekki þegar upplýsingar eru afhentar þriðja aðila sem vinnur verkefni sem fulltrúi fyrir hönd fyrirtækisins og samkvæmt fyrirmælum þess. Meginreglan um framsendingu gildir hins vegar um slíka afhendingu.
- Neðanmálsgrein: 20
- (1) Sjá SPS 7 um vottun.
- Neðanmálsgrein: 21
- (2) Aðilar sem sjá um lausn deilumála eru ekki skyldugir til að fara eftir meginreglunni um framfylgd. Þeir geta einnig vikið frá meginreglunum þegar þeir þurfa að sinna skyldum sem stangast á eða fá sérstakar heimildir þegar þeir vinna að sérstökum málum.
- Neðanmálsgrein: 22
- (3) Aðilar, sem sjá um lausn deilumála, ákveða sjálfir við hvaða aðstæður þeir beita þessum viðurlögum. Eitt af því sem taka þarf tillit til þegar ákveðið er hvort gerð skuli krafa um að eyða gögnum er það hversu viðkvæm gögnin eru og eins hvort fyrirtækið hefur safnað, notað eða afhent upplýsingarnar í blóra við meginreglurnar.
- Neðanmálsgrein: 23
- (1) Hér verður ekki rætt um hin ýmsu alríkislög sem fjalla um friðhelgi einkalífsins í sérstöku samhengi né lög einstakra ríkja og þá réttarvenju sem kann að gilda. Alríkislög um öflun og notkun persónuupplýsinga í viðskiptum fela meðal annars í sér: „Cable Communications Policy Act“ (47 U.S.C. § 551), „Driver's Privacy Protection Act“ (18 U.S.C. § 2721), „Electronic Communications Privacy Act“ (18 U.S.C. § 2701 og áfram), „Electronic Funds Transfer Act“ (15 U.S.C. §§ 1693, 1693m), „Fair Credit Reporting Act“ (15 U.S.C. § 1681 og áfram), „Right to Financial Privacy Act“ (12 U.S.C. § 3401 og áfram), „Telephone Consumer Protection Act“ (47 U.S.C. § 227), og „Video Privacy Protection Act“ (18 U.S.C. § 2710). Mörg ríki hafa hliðstæða löggjöf á þessu sviði. Sjá t.d. „Mass. Gen. Laws“ kafla. 167B, § 16 (sem banna fjármálafyrirtækjum að afhenda þriðja aðila upplýsingar um fjármál viðskiptamanna sinna nema fyrir liggi samþykki þeirra eða dómsúrskurður), „N.Y. Pub. Health Law“ § 17 (sem takmarka notkun og afhendingu skráa um líkamlega eða andlega heilsu og veita sjúklingum rétt til að hafa aðgang að þeim).
- Neðanmálsgrein: 24
- (2) Í slíkum aðgerðum getur undirréttur í Bandaríkjunum einnig úrskurðað lögbann eða hæfilegt réttarúrræði til að framfylgja úrskurði Alríkisviðskiptastofnunarinnar, sjá 15 U.S.C. § 45 (1).
- Neðanmálsgrein: 25
- (3) „Villandi viðskiptahættir“ eru skilgreindir sem yfirlýsing, vanræksla eða viðskiptahættir sem líklegt er að blekki viðskiptamenn með góða dómgreind á afgerandi hátt.
- Neðanmálsgrein: 26
- (4) Sjá www.ftc.gov/opa/1998/9808/geocitie.htm.
- Neðanmálsgrein: 27
- (5) Sjá bréf starfsfólks til „Center for Media Education“ www.ftc.gov/os/1997/9707/cenmed.htm. Auk þess er Alríkisviðskiptastofnuninni veitt sérstök lögheimild, í lögum um friðhelgi einkalífs barna í tengslum við beinlínuþjónustu „the Children's Online Privacy Protection Act“ frá 1998, til að setja þeim sem starfrækja vefsíður og beinlínuþjónustu reglur um söfnun persónuupplýsinga frá börnum, sjá15 U.S.C. §§ 6501–6506.Einkum er þess krafist í lögunum að rekstraraðilar beinlínuþjónustu láti foreldra vita og fái sannanlega samþykki foreldra áður en þeir safna, nota eða dreifa persónuupplýsingum frá börnum, sjá einnig § 6502 (b). Lögin veita foreldrum einnig rétt til aðgangs og til að synja um leyfi fyrir áframhaldandi notkun upplýsinganna. Sjá áður.
- Neðanmálsgrein: 28
- (6) Þann 12. nóvember 999 staðfesti Clinton forseti „Gramm-Leach-Bliley Act“ (útg. L. 106–102, flokkun: 15 U.S.C. § 6801 og áfram). Lögin takmarka afhendingu fjármálafyrirtækja á persónuupplýsingum um viðskiptamenn sína. Lögin krefjast þess meðal annars að fjármálafyrirtæki tilkynni öllum viðskiptamönnum um stefnu sína og starfshætti varðandi friðhelgi einkalífsins þegar persónuupplýsingum er miðlað til annarra fyrirtækja, með eða án eignartengsla. Lögin veita Alríkisviðskiptastofnuninni, alríkisbankayfirvöldum og öðrum yfirvöldum heimild til að setja reglur um framkvæmdina við vernd einkalífsins eins og krafist er í lögunum. Yfirvöldin hafa lagt fram tillögur að reglum í þessu skyni.
- Neðanmálsgrein: 29
- (7) Skilmálar þessarar undantekningar eru þannig að hún gildir ekki um verðbréfageirann. Þess vegna heyra verðbréfasalar, dreifiaðilar og aðrir, sem stunda verðbréfaviðskipti, undir lögsögu „Securities and Exchange Commission“ og FTC að því er varðar óheiðarlega og villandi háttsemi og viðskiptavenjur.
- Neðanmálsgrein: 30
- (8) Undantekningin í 5. þætti var upphaflega með tilvísun til nefndarinnar „Federal Home Loan Bank Board“ sem var lögð niður í ágúst 1989 með lögunum „Financial Institutions Reform, Recovery and Enforcement Act“ frá 1989. Verkefni hennar var flutt yfir til „Office of Thrift Supervision“ og „Resolution Trust Corporation“, „Federal Deposit Insurance Corporation“, og „Housing Finance Board“.
- Neðanmálsgrein: 31
- (9) Í 5. þætti er ákveðið að fjármálastofnanir skuli ekki heyra undir lögsögu FTC en þar er einnig kveðið á um að þegar FTC gefur úrskurð um óheiðarlega eða villandi háttsemi eða viðskiptahætti skuli eftirlitsyfirvöld fjármála samþykkja sambærilegar reglur innan 60 daga, sjá 15 U.S.C. § 57a(f)(1).
- Neðanmálsgrein: 32
- (10) Tryggingar og allir einstaklingar sem starfa við þær skulu heyra undir lög hinna ýmsu ríkja sem tengjast reglum eða skattlagningu í þeirri atvinnugrein. Sjá 15 U.S.C. § 1012(a).
- Neðanmálsgrein: 33
- (11) Alríkisviðskiptastofnunin hefur haft lögsögu í málum tryggingafyrirtækja í ýmiss konar samhengi. Í einu tilviki greip Alríkisviðskiptastofnunin til aðgerða gagnvart fyrirtæki fyrir villandi auglýsingar í ríki einu þar sem það hafði ekki leyfi til að reka viðskipti. Staðfest var að Alríkisviðskiptastofnunin hefði lögsögu í málinu á þeim forsendum að lög ríkisins giltu ekki vegna þess að fyrirtækið væri utan lögsögu þess. Sjá FTC gegn Travelers Health Association, 362 U.S. 293 (1960). 17 ríki hafa samþykkt lögin um friðhelgi einkalífsins með tilliti til tryggingaupplýsinga (Insurance Information and Privacy Protection Act) sem eru sett af „National Association of Insurance Commissioners“ (NAIC). Í lögunum eru ákvæði um tilkynningu, notkun og afhendingu og aðgang. Auk þess hafa nærri öll ríkin samþykkt kerfi NAIC „Unfair Insurance Practices Act“ sem beinist sérstaklega að óheiðarlegum viðskiptaháttum í tryggingastarfsemi.
- Neðanmálsgrein: 34
- (12) Hugtakið „einkaupplýsingar um netnotanda“ merkir upplýsingar sem tengjast „magni, tæknilegri uppbyggingu, tegund, ákvörðunarstað og því hve mikil notkun fjarskiptaþjónustu er“ hjá notanda ásamt upplýsingum um innheimtu fyrir símanotkun, sjá 47 U.S.C. § 222 (f) (1). Hugtakið felur þó ekki í sér upplýsingar af áskrifendaskrá, eins og áður segir.
- Neðanmálsgrein: 35
- (13) Í lögunum er ekki skýr skilgreining á „persónugreinanlegum upplýsingum.“
- Neðanmálsgrein: 36
- (14) Þessi heimild tekur til réttarins að fá bót sinna mála vegna brota á friðhelgi einkalífsins, bæði skv. 222. þætti fjarskiptalaganna eða, þegar um er að ræða áskrifendur kapalsjónvarps, skv. 551. þætti breytingalaga um kapalsjónvarp. Sjá einnig 47 U.S.C. § 551 (f) (3) (einkamál í alríkisundirrétti útilokar ekki önnur úrræði en stendur til boða til viðbótar við önnur lagaúrræði áskrifanda að kapalsjónvarpi).
- Neðanmálsgrein: 37
- (15) Þótt kæruaðili verði ekki fyrir beinu tjóni er það ekki næg ástæða til að vísa kæru frá. Sjá 47 U.S.C. § 208(a).
- Neðanmálsgrein: 38
- (16) Þó er það skilningur okkar að unnið sé í atvinnugreininni að málum sem snerta friðhelgi einkalífsins. Fulltrúar atvinnugreinarinnar hafa rætt um tillöguna að meginreglunum um „örugga höfn“ og að þeim verði hugsanlega beitt gagnvart flugfélögum. Við umræður hefur komið fram tillaga um að samþykkja sérstaka áætlun fyrir atvinnugreinina um að tryggja friðhelgi einkalífsins með þátttöku fyrirtækja sem ótvírætt samþykkja heimildir samgönguráðuneytisins.
- Neðanmálsgrein: 39
- (1) Second Restatement of the Law, Second, Torts (bótarétturinn); American Law Institute (1997).
- Neðanmálsgrein: 40
- (2) Þetta gæti til dæmis átt við þegar einstaklingarnir sem persónuupplýsingar eru um treysta á skuldbindingar bandaríska fyrirtækisins þegar þeir gefa umsjónaraðilanum samþykki sitt fyrir því að þær séu fluttar til Bandaríkjanna.
- Neðanmálsgrein: 41
- (3) Pavesich v. New England Life Ins. Co., 50 S.E. 68 (Ga. 1905).
- Neðanmálsgrein: 42
- (4) Sjá einnig § 69.
- Neðanmálsgrein: 43
- (5) Með rafrænni leit í Westlaw-gagnagrunninum fundust 2703 einkaréttarmál um friðhelgi einkalífsins sem hafa verið höfðuð fyrir dómstólum einstakra ríkja frá 1995. Við höfum áður sent framkvæmdastjórninni niðurstöður þessarar leitar.
- Neðanmálsgrein: 44
- (6) Sjá t.d. stjórnarskrá Alaska, 1. gr. 22. þáttar; Arizona, 2. gr. 8. þáttar; Kaliforníu, 1. gr., 1. þáttar; Flórida, 1. gr. 23. þáttar; Hawaii, 1. gr., 5. þáttar; Illinois, 1. gr., 6. þáttar; Louisiana, 1. gr., 5. þáttar; Montana, 2. gr., 10. þáttar; New York, 1. gr., 12. þáttar; Pennsylvania, 1. gr., 1. þáttar; South Carolina, 1. gr., 10. þáttar; og Washington, 1. gr., 7. þáttar.
- Neðanmálsgrein: 45
- (7) Sjá einnig 28. kafla, 62. þátt B.
- Neðanmálsgrein: 46
- (8) Sjá einnig 28. kafla, 652. þátt C.
- Neðanmálsgrein: 47
- (9) Sjá einnig 28. kafla, 652. þátt D.
- Neðanmálsgrein: 48
- (10) Sjá einnig 28. kafla, 652. þátt E.
- Neðanmálsgrein: 49
- (11) Við höfum áður veitt framkvæmdastjórninni upplýsingar um mál sem snúast um litlar fjárhæðir.
- Neðanmálsgrein: 50
- (12) Með rafrænni leit nýverið í Westlaw-gagnagrunninum fundust 994 mál varðandi skaðabætur og brot á friðhelgi einkalífsins sem hafa verið höfðuð fyrir dómstólum einstakra ríkja.
- Neðanmálsgrein: 51
- (13) Þess má geta til skýringar að í viðkomandi lagaheimild þarf ekki að vera sérstök tilvísun til meginreglnanna um „örugga höfn.“
- Neðanmálsgrein: 52
- (14) Á sama hátt gæti læknirinn í þessu dæmi ekki reitt sig á lagaheimildir til að hnekkja rétti einstaklinga til að hafna (opt out) beinni markaðssetningu auglýsingasambandsins (Direct Marketing Association's Mail Preference Service) sem kveðið er á um í 12. lið Spurninga og svara. Gildissvið „sérstakra heimilda“ takmarkast ófrávíkjanlega við gildissvið heimildarinnar í viðkomandi lögum.
- Neðanmálsgrein: 53
- (15) Gildissvið þessarar undantekningar er mjög takmarkað. Samkvæmt henni getur flutningsaðili í fjarskiptum einungis notað einkaupplýsingar um netnotanda (customer proprietary network information) í símtali sem viðskiptamaðurinn á upptökin að. Enn fremur hefur Alþjóðafjarskiptastofnunin (FCC) upplýst að flutningsaðili í fjarskiptum megi ekki nota einkaupplýsingar um netnotendur til að markaðssetja aðra þjónustu en þá sem viðskiptamaðurinn óskar sjálfur eftir. Að lokum skal tekið fram að þar eð viðskiptamaðurinn verður sjálfur að samþykkja notkun einkaupplýsinganna í þessum tilgangi getur þetta ákvæði ekki flokkast undir „undantekningu“.
- Neðanmálsgrein: 54
- (16) Þetta ber ekki að skilja sem samþykki fyrir því að reglurnar um réttmætar upplýsingar um fjárhagsstöðu veiti ekki nægilega vernd. Við mat á reglum um réttmætar upplýsingar um fjárhagsstöðu verður að líta á vernd samkvæmt lögum í heild sinni en ekki á undantekningar eins og gert er hér.
- Neðanmálsgrein: 55
- (1) 15 U.S.C. § 45. Lögin um „Fair Credit Reporting“ gilda einnig um gagnasöfnun á Netinu og sölu sem uppfyllir lagalegar skilgreiningar á „upplýsingar um neytendur“ (consumer report) og „stofnun fyrir upplýsingar um neytendur“ (consumer reporting agency).
- Neðanmálsgrein: 56
- (2) 15 U.S.C. § 45 (n).
- Neðanmálsgrein: 57
- (3) Sjá „GeoCities, mál nr. C-3849“ (lokaniðurstaða 12. febrúar 1999) (aðgengileg á www.ftc.gov/os/1999/9902/ 9823015d%26o.htm); „Liberty Financial Cos., Docket No C-3891“ (lokaniðurstaða ág. 12, 1999) (aðgengileg á www.ftc.gov/opa/1999/9905/younginvestor.htm). Sjá einnig „Children's Online Privacy Protection Act Rule (COPPA)“, 16 C.F.R. 312. hluti (aðgengileg á www.ftc.gov/opa/1999/9910/childfinal.htm). Þess er krafist í COPPA-reglunum, sem tóku gildi í síðasta mánuði, að umsjónarmenn vefsíðna, sem beint er til barna undir 13 ára aldri, eða sem vitað er að safna persónuupplýsingum frá börnum undir 13 ára aldri, að þeir fari eftir COPPA-reglunum um heiðarlegar starfsaðferðir við upplýsingaöflun.
- Neðanmálsgrein: 58
- (4) Sjá „FTC v Touch Tone, Inc., almennt dómsmál nr. 99-WM-783 (D.Co.)“ (skráð 21. apríl 1999) aðgengilegt á www.ftc.gov/opa/1999/9904/touchtone.htm. Álit (Staff Opinion Letter) frá 17. júlí 1997, svar við dómskvaðningu frá „Center for Media Education“, aðgengileg á www.ftc.gov/os/1997/9707/cenmed.htm.
- Neðanmálsgrein: 59
- (5) GeoCities, mál nr. C-3849 (lokaniðurstaða 12. febrúar 1999) (er á vefsíðu www.ftc.gov/os/1999/9902/ 9823015d%26o.htm).
- Neðanmálsgrein: 60
- (6) Alríkisviðskiptastofnunin úrskurðaði síðar í öðru máli um beinlínusöfnun persónuupplýsinga frá börnum. „Liberty Financial Companies, Inc.“ starfrækti vefsíðuna „Young Investor“ sem var beint til barna og unglinga og með áherslu á málefni tengd peningum og fjárfestingum. Alríkisviðskiptastofnunin hélt því fram að umsjónaraðili vefsíðunnar hefði ranglega gefið til kynna að persónuupplýsingarnar, sem safnað yrði frá börnum í könnun, yrðu geymdar nafnlausar og að þátttakendur fengju fréttabréf í tölvupósti og einnig verðlaun. Í reynd voru persónuupplýsingar um börnin og fjármál fjölskyldna þeirra geymdar þannig að hægt var að rekja þær til einstaklinga og engin fréttabréf eða verðlaun voru send. Í málssátt eru slíkar villandi upplýsingar bannaðar framvegis og Liberty Financial er gert að tilkynna um friðhelgi einkalífsins á vefsíðu sinni fyrir börn og fá sannanlega samþykki foreldra áður en persónugreinanlegum upplýsingum er safnað hjá börnum. Liberty Financial Cos., mál nr. C-3891 (lokaniðurstaða 12. ágúst 1999) (sjá vefsíðu www.ftc.gov/opa/ 1999/9905/younginvestor.htm).
- Neðanmálsgrein: 61
- (7) Sjá „ReverseAuction.com, Inc.“, einkamál nr. 000032 (D.D.C.) (skráð 6. janúar 2000) (fréttatilkynning og málflutningur á www.ftc.gov/opa/2000/9904/touchtone.htm.
- Neðanmálsgrein: 62
- (8) Af þessari ástæðu benti Alríkisviðskiptastofnunin á það í vitnisburði fyrir bandaríska þinginu að þörf kynni að vera á frekari löggjöf sem skyldaði alla, sem setja upp bandarískar vefsíður í viðskiptalegum tilgangi og snúa sér beint til neytenda, til að taka upp tiltekna heiðarlega starfshætti við upplýsingagjöf. „Consumer Privacy on the World Wide Web,“ lagt fyrir „Subcommittee on Telecommunications, Trade and Consumer Protection of the House Committee on Commerce United States House of Representatives, 21.júlí 1998 (sjá www.ftc.gov/os/9807/privac98.htm). Alríkisviðskiptastofnunin frestaði beiðni sinni um slíka löggjöf til þess að ráðrúm gefist til að sýna fram á að sjálfseftirlit muni leiða til útbreiðslu heiðarlegra starfshátta við upplýsingagjöf á vefsíðum. Í skýrslu Alríkisviðskiptastofnunarinnar til þingsins um friðhelgi einkalífsins í netþjónustu „Privacy Online: A Report to Congress,“ frá júní 1998 (skýrsluna er að finna á www.ftc.gov/reports/privacy3/toc.htm) mælti hún með löggjöf þar sem samþykkis foreldra er krafist áður en safnað er persónugreinanlegum upplýsingum frá börnum undir 13 ára aldri á vefsíðum þar sem viðskipti eiga sér stað. Sjá 3. nmgr. hér að framan. Á síðasta ári var komist að þeirri niðurstöðu í skýrslu Alríkisviðskiptastofnunarinnar um sjálfseftirlit og friðhelgi einkalífsins í beinlínuþjónustu „Self-Regulation and Privacy Online: A Federal Trade Commission Report to Congress“ frá júlí 1999 (skýrsluna er að finna á www.ftc.gov/os/1999/9907/index.htm 13) að næg framþróun væri í sjálfseftirliti og því var ákveðið að mæla ekki með löggjöf að sinni. Alríkisviðskiptastofnunin mun senda þinginu nýja skýrslu á næstu vikum um það hvernig sjálfseftirliti miðar.
- Neðanmálsgrein: 63
- (9) Sjá www.ftc.gov/ftc/complaint.htm um kærueyðublað Alríkisviðskiptastofnunarinnar á Netinu.
- Neðanmálsgrein: 64
- (10) Í nýlegu máli varðandi sölu með pýramídafyrirkomulagi á Netinu náði Alríkisviðskiptastofnunin til dæmis að knýja fram endurgreiðslu til 15 622 neytenda, um það bil 5,5 milljónir Bandaríkjadala samanlagt. Neytendurnir bjuggu í Bandaríkjunum og 70 öðrum löndum. Sjá www.ftc.gov/opa/9807/fortunar.htm; www.ftc.gov/opa/9807/ftcrefund01.htm.
- Neðanmálsgrein: 65
- (11) Sé ekki sérstök undantekning í heimildarlögum Alríkisviðskiptastofnunarinnar er lögsaga hennar jafn víðtæk, samkvæmt lögum stofnunarinnar um starfshætti „í viðskiptum eða sem hafa áhrif á viðskipti“, og stjórnskipulegt vald þingsins samkvæmt „Commerce Clause, United States v. American Building Maintenance Industries“, 422 U.S. 271, 277 n. 6 (1975). Lögsaga Alríkisviðskiptastofnunarinnar nær því yfir starfshætti sem tengjast starfsráðningum í fyrirtækjum og atvinnugreinum í alþjóðaviðskiptum.
- Neðanmálsgrein: 66
- (12) Sjá „Online Auction Site Settles FTC Privacy Charges", FTC Fréttabréf (6. Sjá www.ftc.gov/opa/2000/9808/ geocitie.htm.
- Neðanmálsgrein: 67
- (13) Ákvörðun á því hvort háttsemi felur í sér „óleyfilega starfshætti gagnvart launamönnum“ eða brot á sameiginlegum samningi, er tækniles eðlis og venjulega vísað til sérfræðinga í vinnurétti, sem hlýða á málflutning beggja aðila, svo sem gerðardómur og „National Labour Relation Board“.
- Neðanmálsgrein: 68
- (14) Eins og þér vitið frá fyrri viðtölum hafa lögin um réttmætar upplýsingar um fjárhagsstöðu „Fair Credit Reporting Act“ einnig veitt Alríkisviðskiptastofnuninni heimild, innan ramma laganna, til að vernda neytendur gegn aðgangi að einkaupplýsingum um fjármál þeirra og Alríkisviðskiptastofnunin kvað nýlega upp úrskurð í máli af þessu tagi. Sjá „In the Matter of Trans Union“, málsnr. 9255 (1. mars 2000) (fréttatilkynning og álit, sjá www.ftc.gov/os/2000/03/index.htm1).
- Neðanmálsgrein: 69
- (15) Einkamál 99-WM-783 (D.Colo.) (sjá www.ftc.gov/opa/1999/9904/touchtone.htm) (bíður úrskurðar í framhaldi af dómssátt).
- Neðanmálsgrein: 70
- (1) 15 U.S.C. § 1011 og áfram.
