Procedura : 2016/2727(RSP)
Przebieg prac nad dokumentem podczas sesji
Dokument w ramach procedury : B8-0644/2016

Teksty złożone :

B8-0644/2016

Debaty :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Głosowanie :

PV 26/05/2016 - 6.6
Wyjaśnienia do głosowania

Teksty przyjęte :

P8_TA(2016)0233

PROJEKT REZOLUCJI
PDF 434kWORD 94k
Patrz też projekt wspólnej rezolucji RC-B8-0623/2016
23.5.2016
PE582.665v01-00
 
B8-0644/2016

złożony w następstwie oświadczeń Rady i Komisji

zgodnie z art. 123 ust. 2 Regulaminu


w sprawie transatlantyckich przepływów danych (2016/2727(RSP))


Sophia in ‘t Veld w imieniu grupy ALDE

Rezolucja Parlamentu Europejskiego w sprawie transatlantyckich przepływów danych (2016/2727(RSP))  
B8-0644/2016

Parlament Europejski,

–  uwzględniając art. 16 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE),

–  uwzględniając Kartę praw podstawowych Unii Europejskiej oraz Europejską Konwencję Praw Człowieka, w szczególności jej art. 7, 8, 47 i 52,

–  uwzględniając dyrektywę Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i o swobodnym przepływie takich danych (zwaną dalej „dyrektywą”)(1), w szczególności jej art. 25,

–  uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które weszło w życie dnia 24 maja 2016 r. i będzie miało zastosowanie dwa lata po tej dacie,

–  uwzględniając wyrok Europejskiego Trybunału Praw Człowieka z dnia 4 grudnia 2015 r. w sprawie Roman Zakharov przeciwko Rosji,

–  uwzględniając wyrok Europejskiego Trybunału Praw Człowieka z dnia 12 stycznia 2016 r. w sprawie Zsabó and Vissy przeciwko Węgrom,

–  uwzględniając wyrok Europejskiego Trybunału Sprawiedliwości z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner,

–  uwzględniając projekt decyzji wykonawczej Komisji z dnia 29 lutego 2016 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA oraz załączniki do niej w formie pism administracji USA i Federalnej Komisji Handlu USA,

–  uwzględniając komunikat Komisji z dnia 29 lutego 2016 r. na ten temat (COM(2016)0117), komunikat Komisji z dnia 27 listopada 2013 r. w sprawie funkcjonowania zasad bezpiecznego transferu danych osobowych z punktu widzenia obywateli UE i przedsiębiorstw z siedzibą w UE (COM(2013)0847) oraz komunikat Komisji z dnia 27 listopada 2013 r. w sprawie odbudowy zaufania do przepływu danych między Unią Europejską a Stanami Zjednoczonymi” (COM(2013)0846),

–  uwzględniając opinię (WP 238) przyjętą dnia 13 kwietnia 2016 r. przez grupę roboczą utworzoną na podstawie art. 29 dyrektywy, a także opinie w tej samej sprawie wydane wcześniej (WP 12, WP 27 i WP 32), ,

–  uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję(2), a w szczególności jego art. 5 dotyczący procedury sprawdzającej,

–  uwzględniając swoją rezolucję z dnia 5 lipca 2000 r. dotyczącą projektu decyzji Komisji w sprawie adekwatności ochrony zapewnianej przez zasady bezpiecznego transferu danych osobowych oraz odnoszących się do nich najczęściej zadawanych pytań wydanych przez Departament Handlu USA​(3),

–  uwzględniając swoją rezolucję z dnia 12 marca 2014 r. w sprawie realizowanych przez NSA amerykańskich programów nadzoru, organów nadzoru w różnych państwach członkowskich oraz ich wpływu na prawa podstawowe obywateli UE oraz na współpracę transatlantycką w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych(4)​​, a także rezolucję z dnia 29 października 2015 r. w sprawie działań następczych w związku z rezolucją Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie masowej inwigilacji elektronicznej obywateli UE(5)​,

–  uwzględniając parafowane porozumienie między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony danych osobowych dotyczących zapobiegania przestępstwom, ich ścigania, wykrywania i karania, którego podpisanie Komisja zaproponowała Radzie,

–  uwzględniając opinię prawną wydaną przez Wydział Prawny PE w sprawie porozumienia UE-USA dotyczącego ochrony danych osobowych i współpracy organów ścigania w UE i USA,

–  uwzględniając wstępną opinię Europejskiego Inspektora Ochrony Danych dotyczącą porozumienia między Stanami Zjednoczonymi Ameryki a Unią Europejską w sprawie ochrony danych osobowych dotyczących zapobiegania przestępstwom, ich ścigania, wykrywania i karania,

–  uwzględniając pytania postawione Komisji przez Komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych dnia 9 marca 2015 r. w sprawie umowy ramowej o ochronie danych i odpowiedzi udzielone przez Komisję,

–  uwzględniając art. 123 ust. 2 Regulaminu,

A.  mając na uwadze, że wyrokiem z dnia 6 października 2015 r. Trybunał Sprawiedliwości unieważnił decyzję Komisji w sprawie adekwatności ochrony zapewnianej przez zasady bezpiecznego transferu danych osobowych oraz odnoszących się do nich najczęściej zadawanych pytań wydanych przez Departament Handlu USA, podkreślając w szczególności, że ustawodawstwo amerykańskie dotyczące bezpieczeństwa wewnętrznego i organów ścigania nie ogranicza się do tego, co jest ściśle konieczne, gdy zezwala – na zasadzie ogólnej – na gromadzenie i przetwarzanie wszystkich danych osobowych wszystkich osób, których dane przekazywane są z UE do USA;

B.  mając na uwadze, że ochrona danych osobowych oznacza ochronę osób, do których odnoszą się przetwarzane informacje, oraz mając na uwadze, że tego rodzaju ochrona jest jednym z podstawowych praw uznawanych przez Unię (art. 8 Karty Praw Podstawowych oraz art. 16 TFUE);

C.  mając na uwadze, że dyrektywa 95/46/WE, którą w 2018 r. zastąpi ogólne rozporządzenie o ochronie danych, określa prawa osoby, której dotyczą dane, i związane nimi obowiązki spoczywające na podmiotach przetwarzających dane osobowe lub sprawujących kontrolę nad przetwarzaniem danych;

D.  mając na uwadze, że Komisja musi dopilnować – w imieniu obywateli Unii i jej państw członkowskich – aby dane osobowe były przekazywane państwom poza UE i OEG jedynie wówczas, gdy zapewniony został odpowiedni poziom ochrony;

E.  mając na uwadze, że termin „odpowiedni poziom ochrony” musi być rozumiany jako wymaganie, by państwo trzecie zapewniało – na mocy prawa krajowego lub zobowiązań międzynarodowych – poziom ochrony praw i wolności podstawowych zasadniczo równorzędny poziomowi zagwarantowanemu w Unii Europejskiej na mocy dyrektywy 95/46/WE interpretowanej w świetle Karty;

F.  mając na uwadze, że – badając poziom ochrony zapewnianej przez państwo trzecie – Komisja jest zobowiązana do oceny treści przepisów obowiązujących w tym państwie i wynikających z jego prawa krajowego lub zobowiązań międzynarodowych, a także praktyk mających na celu zapewnianie zgodności z tymi przepisami, gdyż musi ona, na mocy art. 25 ust. 2 dyrektywy 95/46 /WE, uwzględniać wszystkie okoliczności dotyczące przekazywania danych osobowych do państwa trzeciego; mając na uwadze, że ocena ta nie może odnosić się tylko do ustawodawstwa i praktyk dotyczących ochrony danych osobowych do celów komercyjnych i prywatnych, ale musi również obejmować wszystkie aspekty ram mających zastosowanie do danego państwa lub sektora, w szczególności, ale nie wyłącznie, egzekwowania prawa, bezpieczeństwa wewnętrznego i poszanowania praw podstawowych;

G.  mając na uwadze, że Grupa Robocza Art. 29 ds. Ochrony Danych (WP 29) dokonała oceny skutków wyroku w sprawie Schrems w świetle wszystkich transferów danych do Stanów Zjednoczonych w drodze zestawienia i analizy orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej dotyczącego art. 7, 8 i 47 Karty Praw Podstawowych (zwanej dalej Kartą) oraz orzecznictwa Europejskiego Trybunału Praw Człowieka (zwanego dalej ETPC) dotyczącego art. 8 Europejskiej Konwencji Praw Człowieka (zwanej dalej EKPC), zajmując się problematyką nadzoru w państwach będących stronami EKPC; mając na uwadze, że w wyniku tego WP29 określiła cztery "europejskie gwarancje zasadnicze", a mianowicie, że przetwarzanie danych ma opierać się na jasnych, precyzyjnych i dostępnych zasadach; należy dowieść konieczności i proporcjonalności w odniesieniu do osiągnięcia uzasadnionych celów; należy stworzyć niezależny mechanizm nadzorowania; obywatele muszą mieć dostęp do skutecznych środków odwoławczych;

H.  mając na uwadze, że transgraniczne przepływy danych między USA i Europą są najwyższe na świecie – o połowę wyższe od przepływów danych między USA i Azją i niemal dwukrotnie wyższe od przepływów danych między USA i Ameryką Łacińską – oraz mając na uwadze, że przekazywanie i wymiana danych osobowych jest istotnym składnikiem leżącym u podstaw ścisłych więzi między Unią Europejską (UE) i Stanami Zjednoczonymi (USA), zarówno w obszarze handlowym, jak i w sferze egzekwowania prawa;

I.  mając na uwadze, że ważnym wymiarem stosunków transatlantyckich jest zdolność UE, państw członkowskich i USA do skutecznego reagowania – na zasadzie współpracy i w skoordynowany sposób – na wspólne zagrożenia i wyzwania w zakresie bezpieczeństwa, opierając się przede wszystkim na zdolności do wymiany danych osobowych w ramach współpracy policyjnej i sądowej w sprawach karnych, co stwarza konieczność opracowania kompleksowych i zgodnych z prawem ram dla zapewnienia zgodności z prawem tego rodzaju przekazywania danych;

J.  mając na uwadze, że latem 2015 r. UE i USA zakończyły negocjacje dotyczące umowy w sprawie międzynarodowej ochrony danych w obszarze egzekwowania prawa (Umowa ramowa między UE a USA o ochronie danych, parafowana w dniu 8 września 2015 r. w Luksemburgu), a także mając na uwadze, że ustawa USA o sądowych środkach odwoławczych dotycząca zapewnienia traktowania obywateli UE na równi z obywatelami USA na mocy amerykańskiej ustawy o ochronie prywatności została zatwierdzona przez Kongres w dniu 10 lutego 2016 r. i podpisana w dniu 24 lutego 2016 r.;

1.  z zadowoleniem przyjmuje podejmowane przez Komisję i administrację USA działania mające na celu znaczne ulepszenie Tarczy Prywatności w porównaniu z decyzją w sprawie bezpiecznej przystani, a w szczególności wprowadzenie kluczowych definicji „danych osobowych”, „przetwarzania” i „administratora”, mechanizmów nadzoru nad wykazem Tarczy Prywatności oraz uznanie zewnętrznych i wewnętrznych przeglądów zgodności za obowiązkowe;

2.  uznaje wysiłki administracji USA zmierzające do zapewnienia większego wglądu w ramy prawne dotyczące interferencji z danymi osobowymi przekazywanymi na mocy Tarczy Prywatności UE-USA do celów egzekwowania prawa, łącznie z obowiązującymi ograniczeniami i gwarancjami;

3.  z zadowoleniem przyjmuje fakt, że zgodnie z art. 3 projektu decyzji wykonawczej Komisji unijne organy nadzorcze ds. ochrony danych mogą nadal zawiesić przekazywanie danych osobowych administratorom danych objętym postanowieniami Tarczy Prywatności; podkreśla, że jest to zgodne z art. 4 decyzji Komisji 2001/497/WE w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich;

4.  uznaje i z zadowoleniem przyjmuje postępy w kierunku większego dostępu do sądowych środków odwoławczych dla obywateli UE w USA dzięki przyjęciu przez Kongres ustawy o sądowych środkach odwoławczych, podpisanej w dniu 24 lutego 2016 r.;

Zapewnienie zgodnego z prawem i zrównoważonego instrumentu transatlantyckich przepływów danych

5.  kładzie nacisk na fakt, że pewność prawa w odniesieniu do przekazywania danych osobowych między UE i USA ma zasadnicze znaczenie dla zaufania konsumentów, rozwoju przedsiębiorczości transatlantyckiej oraz współpracy w dziedzinie egzekwowania prawa, co powoduje, że z uwagi na ich skuteczność i długoterminowe stosowanie instrumenty umożliwiające takie przekazywanie muszą być zgodne z pierwotnym i wtórnym prawem UE;

6.  kładzie nacisk na fakt, że mechanizm Tarczy Prywatności musi być zgodny z pierwotnym i wtórnym prawem UE, a także z odnośnymi wyrokami Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka; apeluje do Komisji o dostosowanie odpowiednio ustaleń i projektu decyzji;

7.  wzywa Komisję do zdobycia całościowych wyjaśnień na temat statusu prawnego tzw. pisemnych zapewnień wydawanych przez USA;

Uwagi dotyczące sektora prywatnego

8.  zauważa, że Zasady Tarczy Prywatności (załącznik II) stanowią zasadniczo równorzędny zbiór zasad, łącznie z zasadą minimalizacji danych, umożliwiając przetwarzanie danych osobowych jedynie do celów zgodnych z celami, dla których dane te zostały zgromadzone; byłby zaniepokojony, gdyby pewne rodzaje przetwarzania danych osobowych były dozwolone bez konieczności uzyskania zgody osoby, której dotyczą dane, i bez przyznania jej pełnego prawa sprzeciwu;

9.  przypomina, że przyjęcie decyzji w sprawie adekwatności daje administratorom danych z danego kraju trzeciego uprzywilejowany dostęp do rynku UE; jest zaniepokojony tym, że gdyby w Zasadach Tarczy Prywatności określono niższe wymogi w porównaniu z unijnymi przepisami w zakresie ochrony danych, zapewniłoby to administratorom i podmiotom przetwarzającym, którzy mają siedzibę w Stanach Zjednoczonych, przewagę konkurencyjną nad ich unijnymi odpowiednikami;

Nadzór rządowy, dostęp organów ścigania oraz wyłączenie dotyczącego bezpieczeństwa narodowego

10.  przypomina, że dla stwierdzenia sprzeczności z podstawowym prawem do poszanowania życia prywatnego nie ma znaczenia, czy informacja dotycząca życia prywatnego jest drażliwa lub czy dana osoba odczuła ewentualne negatywne skutki takiej sprzeczności (wyrok w sprawie Digital Rights Ireland and Others, C-293/12 i C-594/12, EU:C:2014:238, ust. 33);

11.  podkreśla w związku z tym, że załącznik VI (pismo Roberta S. Litta z Biura Dyrektora Wywiadu Narodowego (ODNI)) wyjaśnia, iż zgodnie z rozporządzeniem prezydenckim nr 28 (zwanym dalej „PPD-28”) wykorzystywanie gromadzonych masowo danych osobowych osób spoza USA oraz ich prywatnych wiadomości jest wciąż dozwolone w sześciu przypadkach; podkreśla, że chociaż PPD-28 wprowadza nowe zasady ograniczające wykorzystanie i rozpowszechnianie danych osobowych i prywatnych wiadomości osób spoza USA, jednak nie ogranicza ich masowego gromadzenia; zauważa, że masowe gromadzenie danych w rozumieniu administracji USA nie obejmuje masowej inwigilacji danych osobowych i prywatnych wiadomości ani masowego dostępu do nich, lecz jedynie ich masowe przechowywanie, co potencjalnie stoi w sprzeczności z wyrokiem ETS w sprawie Schrems, zgodnie z którym uregulowanie pozwalające „na uzyskanie powszechnego dostępu do treści wiadomości elektronicznych należy uznać za naruszenie zasadniczej istoty prawa podstawowego do poszanowania życia prywatnego”;

12.  ubolewa, że ogólny wyjątek dotyczący bezpieczeństwa narodowego określony w załączniku II pkt 5 Zasad Tarczy Prywatności jest skopiowany dosłownie z zasad bezpiecznego transferu danych osobowych („bezpieczna przystań”) i nie jest dalej ograniczony;

13.  zwraca uwagę, że Komisja nie dokonała oceny praw i ochrony obywateli UE w przypadku przekazania ich danych osobowych przez amerykańskiego administratora danych objętego Tarczą Prywatności amerykańskim organom ścigania; zwraca uwagę, że załącznik VII (pismo Bruce'a C. Swartza z Departamentu Sprawiedliwości) w sprawie dostępu organów ścigania do danych odnosi się do dostępu do danych przechowywanych przez firmy, nie wspomina jednak o osobach, których dotyczą dane, ani o prawach do skorzystania ze środków odwoławczych przez osoby, których dane są przedmiotem wglądu;

Mechanizmy odwoławcze

14.  jest zaniepokojony złożonością i brakiem jasności ogólnej struktury mechanizmu służącego wykonywaniu przez obywateli UE prawa do skorzystania ze środków odwoławczych, co może mieć negatywny wpływ na jego efektywne stosowanie;

15.  z zadowoleniem przyjmuje powołanie przez władze USA rzecznika jako nowego środka odwoławczego, ale uważa, że ta nowa instytucja nie jest wystarczająco niezależna ani wyposażona w odpowiednie uprawnienia do rzeczywistego sprawowania i egzekwowania obowiązków, a więc nie gwarantuje zadowalającego środka odwoławczego w razie braku porozumienia; ubolewa, że podmiotom danych z UE nie gwarantuje się sądowego środka odwoławczego od decyzji rzecznika, co jest sprzeczne z wymogami ETPC;

Zalecenia

16.  apeluje do Komisji o należyte uwzględnienie uwag zawartych w niniejszej rezolucji, a także w opinii Grupy Roboczej Art. 29 nr 01/2016 dotyczącej projektu decyzji w sprawie adekwatności Tarczy Prywatności UE-USA oraz o odpowiedzenie na nie, zanim przyjmie ona swoją decyzję w sprawie adekwatności, ze szczególnym uwzględnieniem następujących czterech podstawowych gwarancji: przetwarzanie ma się opierać na jasnych, precyzyjnych i dostępnych zasadach; należy dowieść konieczności i proporcjonalności w odniesieniu do osiągnięcia uzasadnionych celów; należy stworzyć niezależny mechanizm nadzorowania; obywatele muszą mieć dostęp do efektywnych środków odwoławczych;

17.  domaga się zwłaszcza od Komisji zajęcia się obawami Grupy Roboczej Art. 29 wyrażonymi we wspomnianej opinii, tj. kwestią, że sformułowania użyte w projekcie decyzji w sprawie adekwatności nie zobowiązują organizacji do usuwania danych, które nie są już potrzebne, że administracja USA nie wyklucza całkowicie kontynuowania masowego i nieograniczonego gromadzenia danych, nawet jeśli stanowi to nieuzasadnione naruszenie praw podstawowych jednostki oraz że uprawnienia i pozycja rzecznika powinny zostać doprecyzowane, aby dowieść, że jego rola jest całkowicie niezależna i może zapewnić skuteczny środek odwoławczy w przypadku nieodpowiedniego przetwarzania danych;

18.  wzywa Komisję do stosowania decyzji w sprawie adekwatności jedynie tymczasowo w oczekiwaniu na wyniki nowych negocjacji z USA na temat usprawnionych uregulowań ramowych w oparciu o ogólne rozporządzenie o ochronie danych;

19.  apeluje do Komisji o zapewnienie – w celu zadbania o zgodność z Kartą – administracyjnych i sądowych środków odwoławczych dla wszystkich podmiotów danych z UE, jeżeli ich dane przekazane w ramach Tarczy Prywatności są nadal dostępne i przetwarzane przez amerykańskie organy ścigania do celów egzekwowania prawa;

20.  apeluje do Komisji o zajęcie się wyrażonymi obawami, gdyż może ona przekroczyć swoje uprawnienia wykonawcze, podejmując decyzję, że przepisy Tarczy Prywatności zapewniają odpowiedni poziom ochrony w USA bez dokonania pełnej oceny systemu amerykańskiego;

21.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Radzie, Komisji, rządom i parlamentom państw członkowskich oraz rządowi i Kongresowi USA.

(1)

Dz.U. L 281 z 23.11.1995, s. 31.

(2)

Dz.U. L 55 z 28.2.2011, s. 13.

(3)

Dz.U. C 121 z 24.4.2001, s. 152.

(4)

Teksty przyjęte, P8_TA(2014)0230.

(5)

Teksty przyjęte, P8_TA(2015)0388.

Informacja prawna