Procedure : 2016/2727(RSP)
Forløb i plenarforsamlingen
Dokumentforløb : B8-0644/2016

Indgivne tekster :

B8-0644/2016

Forhandlinger :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Afstemninger :

PV 26/05/2016 - 6.6
Stemmeforklaringer

Vedtagne tekster :

P8_TA(2016)0233

FORSLAG TIL BESLUTNING
PDF 276kWORD 74k
Se også det fælles beslutningsforslag RC-B8-0623/2016
23.5.2016
PE582.665v01-00
 
B8-0644/2016

på baggrund af Rådets og Kommissionens redegørelser

jf. forretningsordenens artikel 123, stk. 2


om transatlantiske datastrømme (2016/2727(RSP))


Sophia in ‘t Veld for ALDE-Gruppen

Europa-Parlamentets beslutning om transatlantiske datastrømme (2016/2727(RSP))  
B8-0644/2016

Europa-Parlamentet,

–  der henviser til artikel 16 i traktaten om Den Europæiske Unions funktionsmåde (TEUF),

–  der henviser til Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske menneskerettighedskonvention, særlig artikel 7, 8, 47 og 52,

–  der henviser til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (i det følgende benævnt "direktivet")(1), særlig artikel 25,

–  der henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og om ophævelse af direktiv 95/46/EF (i det følgende benævnt den generelle forordning om databeskyttelse), der trådte i kraft den 24. maj 2016 og vil finde anvendelse fra to år efter denne dato,

–  der henviser til Den Europæiske Menneskerettighedsdomstols dom af 4. december 2015 i sagen Roman Zakharov mod Rusland,

–  der henviser til Den Europæiske Menneskerettighedsdomstols dom af 12. januar 2016 i sagen Zsabó og Vissy mod Ungarn,

–  der henviser til EU-Domstolens dom af 6. oktober 2015 i sag C-362/14 P, Maximillian Schrems mod Kommissæren for databeskyttelse,

–  der henviser til udkastet til Kommissionens gennemførelsesafgørelse af 29. februar 2016 om tilstrækkeligheden af den beskyttelse, som ydes af databeskyttelsesskjoldet mellem EU og USA (EU-US privacy shield), og til bilagene til dette i form af skrivelser fra den amerikanske regering og den amerikanske Forbundskommission for Handel,

–  der henviser til Kommissionens meddelelse af 29. februar 2016 om dette emne (COM(2016)0117), Kommissionens meddelelse af 27. november 2013 om, hvordan safe harbour-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU (COM(2013)0847), og Kommissionens meddelelse af 27. november 2013 om genopbygning af tilliden til datastrømmene mellem EU og USA (COM(2013)0846),

–  der henviser til den udtalelse (WP 238), som blev vedtaget den 13. april 2016 af den i henhold til artikel 29 i direktivet nedsatte arbejdsgruppe, og til de udtalelser, der tidligere er fremsat om samme spørgsmål (WP 12, WP 27 og WP 32),

–  der henviser til Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser(2), navnlig artikel 5 om undersøgelsesproceduren,

–  der henviser til sin beslutning af 5. juli 2000 om udkast til Kommissionens beslutning om tilstrækkeligheden af de amerikanske safe harbour-principper og relaterede hyppige spørgsmål (FAQ) udstedt af det amerikanske handelsministerium(3),

–  der henviser til sin beslutning af 12. marts 2014 om USA's NSA-overvågningsprogram, overvågningsorganer i forskellige medlemsstater og deres indvirkning på EU-borgeres grundlæggende rettigheder samt om det transatlantiske samarbejde inden for retlige og indre anliggender(4), og til sin beslutning af 29. oktober 2015 om opfølgning på Europa-Parlamentets beslutning af 12. marts 2014 om elektronisk masseovervågning af EU-borgere(5),

–  der henviser til den paraferede aftale mellem Amerikas Forenede Stater og Den Europæiske Union om beskyttelse af personoplysninger i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, som Kommissionen har foreslået Rådet at undertegne,

–  der henviser til den juridiske udtalelse fra sin juridiske tjeneste vedrørende aftalen mellem EU og USA om beskyttelse af personoplysninger og samarbejde mellem de retshåndhævende myndigheder i EU og USA,

–  der henviser til den foreløbige udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om indgåelsen af aftalen mellem Amerikas Forenede Stater og Den Europæiske Union om beskyttelse af personoplysninger i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger,

–  der henviser til de forespørgsler, som Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender fremsatte til Kommissionen den 9. marts 2016 om paraplyaftalen, og til Kommissionen svar hertil,

–  der henviser til forretningsordenens artikel 123, stk. 2,

A.  der henviser til, at Domstolen i sin dom af 6. oktober 2015 underkendte Kommissionens beslutning om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbour-principperne til beskyttelse af privatlivets fred og de relaterede hyppige spørgsmål (FAQ) udstedt af det amerikanske handelsministerium, og især fremhævede, at den amerikanske lovgivning om national sikkerhed og retshåndhævelse ikke var begrænset til det strengt nødvendige, hvis den generelt tillader lagring og behandling af alle personoplysninger om alle personer, hvis data overføres fra EU til USA;

B.  der henviser til, at beskyttelse af personoplysninger betyder beskyttelse af de personer, som de behandlede data vedrører og til, at denne beskyttelse af Unionen er anerkendt som en grundlæggende rettighed (artikel 8 i chartret om grundlæggende rettigheder og artikel 16 i TEUF);

C.  der henviser til, at direktiv 95/46/EU, der vil blive erstattet af den generelle forordning for databeskyttelse i 2018, fastsætter den dataregistreredes rettigheder og de tilsvarende forpligtelser for dem, der behandler dataene eller udøver kontrol over denne behandling;

D.  der henviser til, at Kommissionen på vegne af borgerne i EU og i medlemsstaterne skal sikre, at personoplysninger kun kan overføres til lande uden for EU og EØS, hvis der sikres et passende beskyttelsesniveau;

E.  der henviser til, at begrebet "tilstrækkeligt beskyttelsesniveau" skal forstås således, at det kræver, at tredjelandet – i medfør af dets nationale lovgivning eller dets internationale forpligtelser – skal sikre, at niveauet for beskyttelse af de grundlæggende rettigheder og af frihedsrettighederne i det væsentlige svarer til det beskyttelsesniveau, som i medfør af direktiv 95/46/EU er sikret i Den Europæiske Union og fortolket i lyset af chartret;

F.  der henviser til, at Kommissionen i forbindelse med undersøgelsen af beskyttelsesniveauet i et tredjeland er forpligtet til at vurdere indholdet af de regler, der finder anvendelse i det pågældende land i medfør af dets nationale lovgivning eller dets internationale forpligtelser, og at den har pligt til at vurdere den praksis, der har til formål at sikre overholdelsen af disse regler, eftersom den i henhold til artikel 25, stk. 2, i direktiv 95/46/EF skal foretage sin vurdering på grundlag af samtlige de forhold, der har indflydelse på en videregivelse eller en type videregivelse af oplysninger til et tredjeland; der henviser til, at denne vurdering ikke kun bør henvise til lovgivning og praksis vedrørende beskyttelsen af personoplysninger, som anvendes til erhvervsmæssige og private formål, men også skal omfatte alle aspekter af de rammer, der finder anvendelse på det pågældende land eller den pågældende sektor, navnlig, men ikke begrænset til, retshåndhævelse, national sikkerhed og respekten for de grundlæggende rettigheder;

G.  der henviser til, at artikel 29-gruppen (WP 29) har vurderet Schrems-dommens konsekvenser for alle dataoverførsler til USA ved hjælp af en opgørelse over og en analyse af EU-Domstolens retspraksis i forbindelse med artikel 7, 8 og 47 i Den Europæiske Unions charter om grundlæggende rettigheder (i det følgende benævnt: chartret) og retspraksis fra Den Europæiske Menneskerettighedsdomstol (i det følgende benævnt: Menneskerettighedsdomstolen) i forbindelse med artikel 8 i den europæiske menneskerettighedskonvention (herefter: EMRK), som omhandler overvågning i stater, der er parter i EMRK; der henviser til, at dette resulterede i, at WP 29 identificerede fire europæiske væsentlige garantier, nemlig, at databehandling bør baseres på klare, præcise og tilgængelige regler, at nødvendigheden og proportionaliteten i forhold til de legitime mål, der forfølges, skal påvises, at der bør være en uafhængig kontrolmyndighed, og at den enkelte skal have adgang til effektive retsmidler;

H.  der henviser til, at de grænseoverskridende datastrømme mellem USA og Europa er de største i verden – 50 % større end datastrømmene mellem USA og Asien og næsten det dobbelte af datastrømmene mellem USA og Latinamerika – og der henviser til, at overførslen og udvekslingen af personoplysninger er et afgørende element, der underbygger de nære forbindelser mellem Den Europæiske Union (EU) og Amerikas Forenede Stater (USA) på både det kommercielle område og på retshåndhævelsesområdet;

I.  der henviser til, at en vigtig dimension af det transatlantiske forhold er EU's, medlemsstaternes og USA's kapacitet til at reagere effektivt på fælles sikkerhedstrusler og udfordringer på en samarbejdsbaseret og samordnet måde, som især beror på evnen til at udveksle personoplysninger inden for rammerne af et politisamarbejde og retligt samarbejde i straffesager, hvilket derfor kræver omfattende og lovmedholdelige rammer for at sikre lovligheden af en sådan overførsel;

J.  der henviser til, at EU og USA i sommeren 2015 afsluttede deres forhandlinger om en international aftale om beskyttelse af personoplysninger og samarbejde mellem de retshåndhævende myndigheder (paraplyaftalen mellem EU og USA om databeskyttelse), som blev paraferet i Luxembourg den 8. september 2015, og der henviser til, at loven om domstolsprøvelse (Judicial Redress Act), der sikrer lige behandling af EU-borgere og amerikanske statsborgere i henhold til U.S. Privacy Act 1974, blev godkendt af Kongressen den 10. februar 2016 og undertegnet den 24. februar 2016;

1.  glæder sig over de bestræbelser, der er gjort af Kommissionen og den amerikanske regering for at opnå reelle forbedringer af databeskyttelsesskjoldet i forhold til safe harbour-afgørelsen, navnlig indarbejdelsen af centrale definitioner som f.eks. "personoplysninger", "behandling af personoplysninger" og "den dataansvarlige", de mekanismer, der er indført med henblik på at sikre tilsyn med privacy shield-listen og de nu obligatoriske eksterne eller interne overensstemmelsesundersøgelser;

2.  anerkender den amerikanske regerings bestræbelser på at sikre større indsigt i den retlige ramme for indgreb i de personoplysninger, som overføres i henhold til databeskyttelsesskjoldet mellem EU og USA med henblik på retshåndhævelse, herunder de gældende begrænsninger og garantier;

3.  bemærker med tilfredshed, at EU's tilsynsmyndigheder for databeskyttelse i henhold til artikel 3 i udkastet til Kommissionens gennemførelsesafgørelse fortsat kan suspendere overførsler af personoplysninger til dataansvarlige, som deltager i privacy shield-ordningen; påpeger, at dette er i tråd med artikel 4 i Kommissionens afgørelse 2001/497/EF om indførelse af en alternativ standardkontrakt om overførsel af personoplysninger til tredjelande;

4.  anerkender og glæder sig over de fremskridt, der med Kongressens vedtagelse af loven om domstolsprøvelse (US Judicial Redress Act), underskrevet den 24. februar 2016, er gjort hen imod en øget adgang til domstolsprøvelse for EU-borgere i USA;

Sikring af et lovligt og bæredygtigt redskab for transatlantiske datastrømme

5.  insisterer på, at retssikkerheden med hensyn til overførsel af personoplysninger mellem EU og USA er et afgørende element for forbrugernes tillid og for den transatlantiske erhvervsudvikling og retshåndhævelsessamarbejdet, hvorfor det med henblik på at sikre effektivitet og langsigtet gennemførelse er en absolut nødvendighed, at de instrumenter, der åbner mulighed for en sådan overførsel, overholder både EU's primære og afledte ret;

6.  insisterer på, at privacy shield-ordningen skal være i overensstemmelse med EU's primære og afledte ret samt med de af Domstolen og Den Europæiske Menneskerettighedsdomstol afsagte relevante domme; opfordrer Kommissionen til at tilpasse ordningen og sit udkast til afgørelse i overensstemmelse hermed;

7.  opfordrer indtrængende Kommissionen til at tilstræbe fuld klarhed over den juridiske status af USA's "skriftlige garantier";

Betragtninger vedrørende den private sektor

8.  insisterer på, at privacy shield-principperne (bilag II) skal opstille et i væsentlighed tilsvarende sæt principper, herunder princippet om dataminimering, som kun tillader behandling af personoplysninger til formål, der er forenelige med det formål, hvortil dataene blev indsamlet; ville finde det betænkeligt, hvis visse former for behandling af personoplysninger blev tilladt, uden at det ville være nødvendigt at indhente den registreredes samtykke, eller uden at denne havde fuld indsigelsesret;

9.  minder om, at vedtagelsen af en tilstrækkelighedsafgørelse giver dataansvarlige fra det pågældende tredjeland privilegeret adgang til EU-markedet; er bekymret for, om dataansvarlige og dataforvaltere i USA – såfremt kravene i privacy shield-principperne ender med at være mindre restriktive end de krav, som er fastsat i EU's databeskyttelsesret – vil få en konkurrencemæssig fordel i forhold til deres modparter i EU;

Statslig overvågning, adgang med henblik på retshåndhævelse samt nationale sikkerhedsundtagelser

10.  minder om, at det med henblik på at godtgøre, at der foreligger et indgreb i den grundlæggende ret til respekt for privatlivet, er uden betydning, om de videregivne oplysninger er følsomme oplysninger, eller om indgrebet har medført eventuelle ubehageligheder for de berørte (dom Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 33).

11.  fremhæver i denne henseende, at bilag VI (skrivelse fra Robert S. Litt, ODNI (direktoratet for den nationale efterretningsvirksomhed)) præciserer, at anvendelse af personoplysninger og kommunikation fra ikke-amerikanske personer anskaffet ved masseindsamling stadig er tilladt i seks tilfælde, jf. præsidentielt politikdirektiv 28 (i det efterfølgende benævnt PPD-28); understreger, at PPD-28 – selv om det indfører nye regler, der begrænser anvendelsen og udbredelsen af ikke-amerikanske personers personoplysninger og kommunikation – ikke begrænser massedataindsamling heraf; bemærker, at "masseindsamling" ifølge den amerikanske regering ikke omfatter masseovervågning af og adgang til personoplysninger og kommunikation, men kun masselagringen af sådanne data og kommunikationer, hvilket potentielt er i modstrid med EU-Domstolens Schrems-dom, som fastslår, at lovgivning, der tillader "adgang til indholdet af elektronisk kommunikation skal anses for at udgøre et indgreb i det væsentlige indhold af den grundlæggende ret til respekt for privatlivet";

12.  beklager, at den generelle undtagelse for national sikkerhed i bilag II, pkt. 5, i privacy shield-principperne er kopieret ordret fra safe harbour-principperne og ikke yderligere afgrænset;

13.  gør opmærksom på, at Kommissionen ikke har foretaget nogen vurdering af EU-personers rettigheder og beskyttelse i tilfælde, hvor deres personoplysninger overføres af en amerikansk dataansvarlig, der er underlagt databeskyttelsesskjoldet, til en amerikansk håndhævelsesmyndighed; påpeger, at bilag VII (skrivelse fra Bruce C. Swartz, det amerikanske justitsministerium) om ordensmagtens adgang til data kun vedrører adgang til data opbevaret af selskaber, men ikke omhandler den dataregistrerede og de retslige klagemuligheder for individer, hvis data der gives adgang til;

Retsmidler

14.  er bekymret over kompleksiteten og den manglende klarhed i ordningens overordnede struktur for så vidt angår udøvelsen af EU-borgernes ret til klageadgang, hvilket kan have en negativ indflydelse på den effektive anvendelse af ordningen;

15.  glæder sig over de amerikanske myndigheders oprettelse af en ombudsmandsinstitution som en ny klagemekanisme, men mener, at denne nye institution ikke er tilstrækkelig uafhængig og ikke er udstyret med tilstrækkelige beføjelser til effektivt at udøve og håndhæve sin forpligtelse, hvilket således ikke udgør et tilstrækkeligt retsmiddel i tilfælde af uenighed; beklager, at EU-registrerede ikke har fået stillet et retsmiddel til rådighed over for en afgørelse fra ombudsmanden, hvilket er i modstrid med kravene i EMRK;

Henstillinger

16.  opfordrer Kommissionen til at tage behørigt hensyn til og reagere på de betragtninger, der er fremført i denne beslutning, samt til artikel 29-gruppens udtalelse 01/2016 om udkastet til privacy shield-ordningen mellem EU og USA, før den vedtager sin egen tilstrækkelighedsafgørelse, og til navnlig at tage højde for de fire følgende afgørende garantier: behandling af personoplysninger bør baseres på klare, præcise og tilgængelige regler, nødvendigheden og proportionaliteten i forhold til de legitime mål, der forfølges, skal påvises, der bør være en uafhængig kontrolmyndighed, og den enkelte skal have adgang til effektive retsmidler;

17.  opfordrer især Kommissionen til at adressere de betænkelige forhold, som artikel 29-gruppen har givet udtryk for, nemlig at den formulering, som anvendes i udkastet til tilstrækkelighedsafgørelsen af beskyttelsesniveauet, ikke pålægger organisationer pligt til at slette data, hvis de ikke længere er nødvendige, at den amerikanske regering ikke helt kan udelukke, at en massiv og ikke-selektiv indsamling af data, fortsætter, også selv om en sådan dataindsamling udgør et uberettiget indgreb i borgernes grundlæggende rettigheder, samt at ombudsmandens beføjelser og holdning skal præciseres med henblik på at påvise, at han reelt spiller en uafhængig rolle og kan tilbyde et effektivt retsmiddel over for databehandling, som ikke overholder reglerne;

18.  opfordrer Kommissionen til kun at anvende tilstrækkelighedsafgørelsen midlertidigt, indtil der foreligger et resultat af de nye forhandlinger med USA om en forbedret ramme baseret på den generelle forordning om databeskyttelse;

19.  opfordrer Kommissionen til at sikre, at alle EU-registrerede sikres effektive administrative og retlige klagemuligheder, når de amerikanske retshåndhævende myndigheder i retshåndhævelsesøjemed får yderligere adgang til eller behandler de personoplysninger, som er overført inden for rammerne af privacy shield-ordningen, med henblik på at sikre overholdelse af chartret;

20.  opfordrer indtrængende Kommissionen til at behandle de nævnte bekymringer, da Kommissionen ellers kan overskride sine gennemførelsesbeføjelser ved at beslutte, at privacy-shield-ordningen sikrer et tilstrækkeligt beskyttelsesniveau i USA, uden at den foretager en fuldstændig vurdering af det amerikanske system;

21.  pålægger sin formand at sende denne beslutning til Rådet og Kommissionen samt til medlemsstaternes regeringer og parlamenter og til USA's regering og Kongres.

 

(1)

EFT L 281 af 23.11.1995, s. 31.

(2)

EUT L 55 af 28.2.2011, s. 13.

(3)

EFT C 121 af 24.4.2001, s. 152.

(4)

Vedtagne tekster, P7_TA(2014)0230.

(5)

Vedtagne tekster, P8_TA(2015)0388.

Juridisk meddelelse