FÖRSLAG TILL RESOLUTION om transatlantiska dataflöden
23.5.2016 - (2016/2727(RSP))
i enlighet med artikel 123.2 i arbetsordningen
Sophia in ‘t Veld för ALDE-gruppen
Se även det gemensamma resolutionsförslaget RC-B8-0623/2016
Europaparlamentet utfärdar denna resolution
– med beaktande av artikel 16 i fördraget om Europeiska unionens funktionssätt
(EUF-fördraget),
– med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna och Europakonventionen om de mänskliga rättigheterna, särskilt artiklarna 7, 8, 47 och 52,
– med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallat direktivet)[1], särskilt artikel 25,
– med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan kallad allmänna dataskyddsförordningen), som trädde i kraft den 24 maj 2016 och kommer att tillämpas två år efter detta datum,
– med beaktande av domen från Europeiska domstolen för de mänskliga rättigheterna av den 4 december 2015 i målet Roman Zakharov mot Ryssland,
– med beaktande av domen från Europeiska domstolen för de mänskliga rättigheterna av den 12 januari 2016 i målet Zsabó och Vissy mot Ungern,
– med beaktande av EU-domstolens dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner,
– med beaktande av utkastet till kommissionens genomförandebeslut av den 29 februari 2016 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA, samt av bilagorna till beslutet i form av skrivelser från den amerikanska administrationen och Förenta staternas federala handelskommission,
– med beaktande av kommissionens meddelande av den 29 februari 2016 om detta ämne (COM(2016)0117), kommissionens meddelande av den 27 november 2013 om hur principerna om integritetsskydd (safe harbour) fungerar när det gäller EU:s medborgare och företag som är etablerade i EU (COM(2013)0847) och kommissionens meddelande av den 27 november 2013 om återskapande av förtroendet för dataflöden mellan EU och Förenta staterna (COM(2013)0846),
– med beaktande av det yttrande (WP 238) som antogs den 13 april 2016 av den arbetsgrupp som inrättats med stöd av artikel 29 i direktivet, och av de yttranden över samma fråga som tidigare avgetts (WP 12, WP 27 och WP 32),
– med beaktande av Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter[2], särskilt artikel 5 om granskningsförfarandet,
– med beaktande av sin resolution av den 5 juli 2000 om utkastet till kommissionens beslut om huruvida safe harbour-principerna ger ett adekvat skydd samt tillhörande frågor och svar som utfärdats av Förenta staternas handelsministerium[3],
– med beaktande av sin resolution av den 12 mars 2014 om amerikanska NSA:s övervakningsprogram, övervakningsorgan i olika medlemsstater samt inverkan på EU-medborgarnas grundläggande rättigheter och på det transatlantiska samarbetet i rättsliga och inrikes frågor[4], och av sin resolution av den 29 oktober 2015 om uppföljning av Europaparlamentets resolution av den 12 mars 2014 om den elektroniska massövervakningen av EU:s medborgare[5],
– med beaktande av det paraferade avtalet mellan Amerikas förenta stater och Europeiska unionen om skydd av personuppgifter i samband med förebyggande, utredning, avslöjande och lagföring av brott, som kommissionen har föreslagit att rådet ska underteckna,
– med beaktande av det juridiska utlåtandet från parlamentets rättstjänst om avtalet mellan EU och Förenta staterna om skydd av personuppgifter och samarbete mellan brottsbekämpande myndigheter i EU och Förenta staterna,
– med beaktande av det preliminära yttrandet från Europeiska datatillsynsmannen över avtalet mellan Amerikas förenta stater och Europeiska unionen om skydd av personuppgifter i samband med förebyggande, utredning, avslöjande och lagföring av brott,
– med beaktande av de frågor som utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor ställde till kommissionen den 9 mars 2016 om paraplyavtalet, samt kommissionens svar,
– med beaktande av artikel 123.2 i arbetsordningen, och av följande skäl:
A. I sin dom av den 6 oktober 2015 ogiltigförklarade EU-domstolen kommissionens beslut om huruvida safe harbour-principerna ger ett adekvat skydd samt tillhörande frågor och svar som utfärdats av Förenta staternas handelsministerium, och framhöll särskilt att Förenta staternas lagstiftning om nationell säkerhet och brottsbekämpning inte är begränsad till vad som är strängt nödvändigt när den generellt tillåter lagring och bearbetning av samtliga personuppgifter om alla personer vars uppgifter har överförts från unionen till Förenta staterna.
B. Skydd av personuppgifter innebär att man skyddar de människor till vilka den information som bearbetas hänför sig. Detta skydd är en av de grundläggande rättigheter som erkänts av unionen (artikel 8 i stadgan om de grundläggande rättigheterna och artikel 16 i EUF-fördraget).
C. I direktiv 95/46/EG, som kommer att ersättas av den allmänna dataskyddsförordningen under 2018, fastställs rättigheter för den registrerade och motsvarande skyldigheter för dem som bearbetar data eller utövar kontroll över denna bearbetning.
D. Kommissionen måste på unionsmedborgarnas och medlemsstaternas vägnar säkerställa att personuppgifter endast kan överföras till länder utanför EU och EES om en adekvat skyddsnivå kan garanteras.
E. Termen ”adekvat skyddsnivå” ska förstås på så sätt att tredjelandet genom sin interna lagstiftning eller på grund av sina internationella förpliktelser garanterar en nivå på skyddet av grundläggande fri- och rättigheter som i huvudsak motsvarar den som garanteras i Europeiska unionen genom direktiv 95/46/EG jämfört med stadgan.
F. När kommissionen granskar skyddsnivån i ett tredjeland måste den bedöma innehållet i de bestämmelser som är tillämpliga i landet i fråga till följd av landets interna lagstiftning eller på grund av landets internationella förpliktelser samt det förfarande som ska se till att dessa bestämmelser iakttas, eftersom kommissionen enligt artikel 25.2 i direktiv 95/46/EG måste beakta alla de förhållanden som har samband med en överföring av personuppgifter till ett tredjeland. Denna bedömning ska inte bara avse lagstiftning och förfaranden med avseende på skyddet av personuppgifter för kommersiella och privata ändamål, utan även alla aspekter av den ram som är tillämplig för detta land eller denna sektor, framför allt, men inte uteslutande, brottsbekämpning, nationell säkerhet och respekt för de grundläggande rättigheterna.
G. Den arbetsgrupp för uppgiftsskydd som inrättats i enlighet med artikel 29 (WP 29) har utvärderat konsekvenserna av Schrems-domen för alla överföringar av uppgifter till Förenta staterna, genom en inventering och analys av EU-domstolens rättspraxis med avseende på artiklarna 7, 8 och 47 i stadgan om de grundläggande rättigheterna (nedan kallad stadgan) och rättspraxisen från Europeiska domstolen för de mänskliga rättigheterna med avseende på artikel 8 i Europakonventionen om de mänskliga rättigheterna (nedan kallad Europakonventionen), som handlar om övervakningsfrågor i stater som undertecknat Europakonventionen. Detta ledde till att WP 29 fastställde fyra ”europeiska grundläggande garantier”, nämligen att bearbetningen ska baseras på tydliga, exakta och tillgängliga bestämmelser, att nödvändighet och proportionalitet ska påvisas med avseende på de eftersträvade målen, att det ska finnas ett oberoende övervakningssystem, och att effektiva rättsmedel är tillgängliga för berörda personer.
H. De gränsöverskridande dataflödena mellan Förenta staterna och Europa är de mest omfattande i världen – 50 % större än dataflödena mellan Förenta staterna och Asien och nästan dubbelt så stora som dataflödena mellan Förenta staterna och Latinamerika. Överföring och utbyte av personuppgifter är ett viktigt inslag som stärker de nära förbindelserna mellan EU och Förenta staterna både på det kommersiella området och på brottsbekämpningsområdet.
I. EU:s, medlemsstaternas och Förenta staternas förmåga att effektivt hantera gemensamma säkerhetshot och utmaningar på ett samarbetsinriktat och samordnat sätt utgör en viktig dimension av de transatlantiska förbindelserna, som främst bygger på möjligheten att utbyta personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete, och därför kräver en omfattande ram som uppfyller de rättsliga kraven för att säkerställa att sådana överföringar är lagliga.
J. Sommaren 2015 avslutade EU och Förenta staterna sina förhandlingar om ett internationellt avtal om uppgiftsskydd på brottsbekämpningsområdet – paraplyavtalet om uppgiftsskydd mellan EU och Förenta staterna. Avtalet paraferades den 8 september 2015 i Luxemburg. Förenta staternas lag om rättslig prövning (Judicial Redress Act) från 1974 som innebär likabehandling av EU-medborgare och amerikanska medborgare enligt Förenta staternas integritetslag (Privacy Act) godkändes av kongressen den 10 februari 2016 och undertecknades den 24 februari 2016.
1. Europaparlamentet välkomnar de ansträngningar som kommissionen och Förenta staternas administration har gjort för att integritetsskyddet ska bli avsevärt bättre än safe harbour-beslutet, framför allt att det införts centrala definitioner såsom ”personuppgifter”, ”bearbetning” och ”registeransvarig”, att det inrättats mekanismer för att säkerställa övervakning av förteckningen i samband med skölden, och att det numera blivit obligatoriskt med externa och interna översyner av efterlevnaden.
2. Europaparlamentet välkomnar de ansträngningar som Förenta staternas administration har gjort för att ge en ökad inblick i den rättsliga ramen för ingrepp i personuppgifter som överförts enligt skölden för skydd av privatlivet i EU och Förenta staterna för brottsbekämpande ändamål, även gällande begränsningar och skyddsåtgärder.
3. Europaparlamentet välkomnar att artikel 3 i utkastet till kommissionens genomförandebeslut fortfarande ger EU:s tillsynsmyndigheter för dataskyddet möjlighet att tillfälligt inställa överföringen av personuppgifter till registeransvariga som medverkar i skölden för skydd för privatlivet. Parlamentet påpekar att detta stämmer överens med artikel 4 i kommissionens beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land.
4. Europaparlamentet erkänner och välkomnar de framsteg som gjorts för att förbättra
EU-medborgares tillgång till rättsliga möjligheter till prövning i Förenta staterna genom kongressens antagande av Förenta staternas lag om rättslig prövning, som undertecknades den 24 februari 2016.
Säkerställa ett lagligt och hållbart instrument för transatlantiska dataflöden
5. Europaparlamentet insisterar på att rättssäkerheten med avseende på överföringen av personuppgifter mellan EU och Förenta staterna är viktig för konsumenternas förtroende, för utvecklingen av transatlantiska verksamheter och för samarbetet inom brottsbekämpning. För att säkerställa effektivitet och ett långsiktigt genomförande är det därför helt avgörande att de instrument som möjliggör sådana överföringar är förenliga med både EU:s primär- och sekundärrätt.
6. Europaparlamentet insisterar på att skölden för skydd av privatlivet måste vara förenlig med EU:s primär- och sekundärrätt samt med relevanta domar från både Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Parlamentet uppmanar kommissionen att anpassa skölden och sina förslag till beslut i enlighet med detta.
7. Europaparlamentet uppmanar med eftertryck kommissionen att verka för ett fullständigt klargörande av den rättsliga statusen när det gäller Förenta staternas skriftliga försäkringar.
Överväganden när det gäller den privata sektorn
8. Europaparlamentet insisterar på att principerna för skölden för skydd av privatlivet (bilaga II) utgör i huvudsak likvärdiga principer, även principen om uppgiftsminimering, och tillåter bearbetning av personuppgifter endast för ändamål som är förenliga med det ändamål för vilket uppgifterna har samlats in. Parlamentet anser att det skulle vara beklagligt om viss bearbetning av personuppgifter skulle vara tillåten utan att den registrerade vare sig behöver ge sitt samtycke eller har någon fullständig rätt att göra invändningar.
9. Europaparlamentet erinrar om att antagandet av ett beslut om att dataskyddet är adekvat ger registeransvariga från tredjeländer privilegierat tillträde till EU:s marknad. Parlamentet befarar att om kraven i principerna för skölden för skydd av privatlivet visar sig vara mindre rigorösa jämfört med kraven i EU:s dataskyddslagstiftning skulle registeransvariga och databehandlare i Förenta staterna kunna ges en konkurrensfördel i förhållande till dem som är etablerade i unionen.
Statlig övervakning, brottsbekämpande myndigheters åtkomst och undantag för nationell säkerhet
10. Europaparlamentet påminner om att för att fastställa huruvida det föreligger ett ingrepp i den grundläggande rätten till respekt för privatlivet har det föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet (dom Digital Rights Ireland m.fl.,
C-293/12 och C-594/12, EU:C:2014:238, punkt 33).
11. Europaparlamentet framhåller i detta sammanhang att bilaga VI (skrivelse från Robert S. Litt, ODNI) gör det klart att den amerikanska presidentens policydirektiv 28 (nedan kallat PPD-28), i sex fall fortfarande tillåter användning av personuppgifter och personliga kommunikationer som insamlats i massiv skala från personer som inte är amerikanska medborgare. Parlamentet betonar att PPD-28 inför nya regler som begränsar användningen och spridningen av personuppgifter och personliga kommunikationer från personer som inte är amerikanska medborgare, men inte begränsar insamlingen av dem i massiv skala. Parlamentet konstaterar att ”bulkinsamling” enligt den amerikanska administrationen inte inbegriper massiv övervakning av och tillgång till personuppgifter eller personliga kommunikationer, utan endast massiv lagring av sådana uppgifter eller kommunikationer och att detta därmed kan strida mot EU-domstolens dom i målet Schrems, enligt vilken ”en lagstiftning som tillåter myndigheterna generell åtkomst till innehållet i elektroniska kommunikationer [måste] anses kränka det väsentliga innehållet i den grundläggande rätten till respekt för privatlivet”.
12. Europaparlamentet beklagar att det generella undantaget med anledning av nationell säkerhet i bilaga II punkt 5 i principerna för skölden för skydd av privatlivet tagits över ordagrant från safe harbour-principerna och inte begränsas ytterligare.
13. Europaparlamentet påpekar att kommissionen inte gjort någon bedömning av unionsmedborgares rättigheter och skydd i samband med att deras personuppgifter överförs av en amerikansk registeransvarig som omfattas av skölden för skydd av privatlivet till en brottsbekämpande myndighet i Förenta staterna. Parlamentet påpekar att bilaga VII (skrivelse från Bruce C. Swartz vid Förenta staterna justitiedepartement) om brottsbekämpande myndigheters tillgång till uppgifter endast handlar om tillträdet till uppgifter som lagras av företag, men inte tar upp frågan om den registrerade och om vilka rättsmedel som står till buds för de personer vars uppgifter har kommits åt.
Prövningsmekanismer
14. Europaparlamentet är bekymrat över komplexiteten och bristen på klarhet när det gäller den övergripande strukturen för den mekanism som avser EU-medborgares utövande av sin rätt till prövning, vilket kan få negativa effekter för mekanismens effektiva tillämpning.
15. Europaparlamentet välkomnar att de amerikanska myndigheterna har inrättat en ombudsman som en ny prövningsmekanism, men anser att denna nya institution inte är tillräckligt oberoende, inte har fått adekvata befogenheter för att effektivt utöva och genomföra sina uppgifter, och därmed inte utgör ett tillfredsställande rättsmedel vid oenighet. Parlamentet beklagar att någon domstolsprövning inte beviljas registrerade i EU mot ett beslut av ombudsmannen, till skillnad från vad som föreskrivs i Europakonventionen.
Rekommendationer
16. Europaparlamentet uppmanar kommissionen att ta vederbörlig hänsyn till och reagera på de överväganden som görs i denna resolution samt artikel 29-gruppens yttrande 01/2016 om utkastet till beslut om adekvat skydd genom skölden för skydd av privatlivet i EU och Förenta staterna innan den antar sitt eget beslut om adekvat skydd, och att särskild hänsyn tas till följande fyra grundläggande garantier: att bearbetningen ska baseras på tydliga, exakta och tillgängliga bestämmelser, att nödvändighet och proportionalitet ska påvisas med avseende på de eftersträvade målen, att det ska finnas ett oberoende övervakningssystem, samt att effektiva rättsmedel ska vara tillgängliga för berörda personer.
17. Europaparlamentet uppmanar särskilt kommissionen att ta itu med de farhågor som artikel 29-gruppen gett uttryck för i sitt yttrande i denna fråga, nämligen att den formulering som används i utkastet till beslut om adekvat skydd inte ålägger organisationer att radera uppgifter om de inte längre behövs, att den amerikanska administrationen inte helt kan utesluta en fortsatt urskillningslös massinsamling av uppgifter även om en sådan insamling av uppgifter utgör ett obefogat åsidosättande av enskilda personers grundläggande rättigheter, och att ombudsmannens befogenheter och ståndpunkt måste klargöras för att påvisa att ombudsmannen verkligen har en oberoende roll och kan erbjuda ett effektivt rättsmedel för databehandling som inte följer reglerna.
18. Europaparlamentet uppmanar kommissionen att endast tillfälligt tillämpa beslutet om adekvat skydd i avvaktan på resultatet av de nya förhandlingarna med Förenta staterna om en bättre ram på grundval av den allmänna dataskyddsförordningen.
19. Europaparlamentet uppmanar kommissionen att säkerställa att registrerade i EU ska beviljas effektiva administrativa och rättsliga medel när de amerikanska brottsbekämpande myndigheterna för brottsbekämpande ändamål får ytterligare tillgång till och bearbetar personuppgifter som överförts med stöd av skölden för skydd av privatlivet, för att säkerställa efterlevnad av stadgan.
20. Europaparlamentet befarar att kommissionen kan komma att överskrida sina genomförandebefogenheter genom att besluta att skölden för skydd av privatlivet ger en adekvat skyddsnivå i Förenta staterna, utan att göra någon fullständig bedömning av det amerikanska systemet och utan att beakta de frågor som aktualiserats i denna resolution.
21. Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet, kommissionen, regeringarna och parlamenten i medlemsstaterna samt Förenta staternas regering och kongress.
- [1] EGT L 281, 23.11.1995, s. 31.
- [2] EUT L 55, 28.2.2011, s. 13.
- [3] EGT C 121, 24.4.2001, s. 152.
- [4] Antagna texter, P7_TA(2014)0230.
- [5] Antagna texter, P8_TA(2015)0388.