FÖRSLAG TILL RESOLUTION om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA

3.4.2017 - (2016/3018(RSP))

till följd av ett uttalande av kommissionen
i enlighet med artikel 123.2 i arbetsordningen

Axel Voss, Anna Maria Corazza Bildt, Barbara Kudrycka för PPE-gruppen
Helga Stevens för ECR-gruppen

B8-0244/2017

Europaparlamentets resolution om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA

(2016/3018(RSP))

Europaparlamentet utfärdar denna resolution

–  med beaktande av fördraget om Europeiska unionen (EU-fördraget), fördraget om Europeiska unionens funktionssätt (EUF-fördraget) och Europeiska unionens stadga om de grundläggande rättigheterna,

–  med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet)[1],

–  med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)[2], och av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF[3],

–  med beaktande av EU-domstolens dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner[4],

–  med beaktande av meddelandet från kommissionen till Europaparlamentet och rådet av den 6 november 2015 om överföring av personuppgifter till Amerikas Förenta stater enligt direktiv 95/46/EG med anledning av domstolens dom i mål C-362/14 (Schrems) (COM(2015)0566),

–  med beaktande av kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA[5],

–  med beaktande av Europeiska datatillsynsmannens (EDPS) yttrande 4/2016 om utkastet till beslut om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA[6],

–  med beaktande av artikel 29-gruppens yttrande av den 13 april 2016 om utkastet till beslut om adekvat skydd genom skölden för skydd av privatlivet[7] i EU och USA, samt dess uttalande av den 26 juli 2016[8],

–  med beaktande av sin resolution av den 26 maj 2016 om transatlantiska dataflöden[9],

–  med beaktande av artikel 123.2 i arbetsordningen, och av följande skäl:

A.  År 2015 ogiltigförklarade Europeiska unionens domstol safe harbor-beslutet mellan EU och Förenta staterna om utbyte av personuppgifter, på grundval av att det inte erbjöd ett tillräckligt skydd för unionsmedborgarnas rättigheter till uppgiftsskydd. Senare, under 2016, förhandlade kommissionen fram ett nytt avtal, nämligen skölden för skydd av privatlivet i EU och USA.

B.  Parlamentet medverkade inte direkt i förhandlingarna, men antog i maj 2016 en resolution om transatlantiska dataflöden, där det välkomnades att skölden för skydd av privatlivet ska bli ”avsevärt bättre” än safe harbor-beslutet, men där det också efterlystes vissa ytterliga förbättringar.

C.  Kommissionen kommer snart att göra sina första årliga utvärdering av skölden för skydd av privatlivet och offentliggöra resultaten.

1.  Europaparlamentet välkomnar att förhandlingarna mellan EU och Förenta staterna om skölden för skydd av privatlivet i EU och USA slutförts, efter att kommissionen och Förenta staternas handelsministerium förhandlat i över två år och efter att beslutet om skölden för skydd av privatlivet i EU och USA antogs den 12 juli 2016.

2.  Europaparlamentet erkänner att företag kan ansluta sig till skölden för skydd av privatlivet i EU och USA hos Förenta staternas handelsministerium, som sedan kontrollerar att företagens integritetspolicyer överensstämmer med de höga skyddsnivåer för uppgifter som krävs enligt skölden.

3.  Europaparlamentet konstaterar att 1 937 företag hittills slutit upp bakom skölden för skydd av privatlivet i EU och USA.

4.  Europaparlamentet välkomnar att Förenta staternas kongress antagit lagen om rättslig prövning (Judicial Redress Act), och erinrar om att parlamentet länge yrkat på en sådan rättsakt, som en förutsättning för att paraplyavtalet mellan EU och Förenta staterna och förhandlingarna mellan EU och Förenta staterna om skölden för skydd av privatlivet ska kunna slutföras.

5.  Europaparlamentet erkänner att skölden för skydd av privatlivet i EU och USA avsevärt skiljer sig från safe harbor-ramen, eftersom det i den förstnämnda föreskrivs betydligt mer ingående dokumentation som ålägger de företag som vill ansluta sig till skölden mer specifika skyldigheter, bland annat nya kontroller och motvikter som säkerställer att registrerade från EU kan utöva sina rättigheter i samband med att deras uppgifter behandlas i Förenta staterna.

6.  Europaparlamentet välkomnar att artikel 29-gruppen erkänt att skölden för skydd av privatlivet är avsevärt bättre än safe harbor-beslutet.

7.  Europaparlamentet noterar de farhågor som aktualiserats av artikel 29-gruppen, samt dess konstruktiva tillvägagångssätt, och betonar ytterligare att principen om begränsning av lagring av data, i den mening den avses i yttrandet, först bör klarläggas inom Europeiska unionen, eftersom det inom EU fortfarande råder oklarhet om läget och normerna, efter Europeiska unionens domstols dom från 2014.

8.  Europaparlamentet noterar uttalandet från ordföranden för artikel 29-gruppen, där det sägs att de väsentliga garantier som identifierats av arbetsgruppen också bör gälla för EU:s medlemsstater.

9.  Europaparlamentet beklagar att förfarandet för antagande av ett beslut om adekvat skyddsnivå inte föreskriver något formellt samråd med relevanta berörda parter såsom företag och, framför allt, organisationer som företräder små och medelstora företag.

10.  Europaparlamentet konstaterar att safe harbor-ramen inte innefattade några särskilda begränsningar för den amerikanska regeringens åtkomst till data som överförts till Förenta staterna, medan det däremot, i dokumenten kring skölden av skydd för privatlivet, nu ingår bindande åtaganden från den amerikanska regeringen, i form av skrivelser från direktören för det nationella underrättelseväsendet, Förenta staternas utrikesminister och Förenta staternas justitieministerium.

11.  Europaparlamentet betonar att Förenta staternas kongress och administration sedan 2013 antagit ett drygt tjugotal reformer av lagarna och programmen för övervakning, bland dem frihetslagen (USA Freedom Act) , som förbjuder bulkinsamling av data, Presidential Policy Directive 28 som gör skyddet av rätten till integritet och av den enskildes medborgerliga friheter utanför Förenta staterna till en integrerad del av Förenta staternas övervakningspolitik, samt ändringarna av Förenta staternas lag om underrättelseverksamhet utomlands (Foreign Intelligence Act) och lagen om rättslig prövning (Judicial Redress Act), som utsträcker dataskyddsåtgärderna till unionsmedborgare. Parlamentet anser att dessa reformer är utslagsgivande för utvärderingen av i vad mån det sker intrång i de grundläggande rättigheterna till respekt för privatlivet och skydd av personuppgifter, enligt vad som fastställs i artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna.

12.  Europaparlamentet erkänner och välkomnar de initiativ som tagits av Förenta staternas administration och kongress, såsom förslaget till lag om integritet för e-post (Email Privacy Bill), som enhälligt antogs av representanthuset i april 2016 och som ändrar lagen om integritet för elektroniska kommunikationer från 1986 (Electronic Communications Privacy Act (ECPA), samt att representanthuset i januari 2016 och senaten i mars 2016 antagit lagen om förbättrad informationsfrihet (Freedom of Information Improvement Act (FOIA)), och uttalar sitt starka stöd till att förslaget ska undertecknas och vinna laga kraft, så att det framgår att Förenta staterna gör avsevärda politiska insatser för att förbättra integritetsskyddet för alla människor.

13.  Europaparlamentet välkomnar att man inom Förenta staternas utrikesministerium inrättat ett ombudsmannaämbete, som kommer att vara fristående från de nationella säkerhetstjänsterna och bidra till att trygga enskilda personers rätt till rättslig prövning och oberoende uppsikt. Parlamentet uppmanar till att den första ombudsmannen snabbt ska utses.

14.  Europaparlamentet konstaterar att skölden för skydd av privatlivet inte inbegriper några särskilda regler för automatiserat beslutsfattande, även om Förenta staternas lagstiftning ger särskilt skydd mot ogynnsamma beslut inom områden där företag med största sannolikhet kommer att använda automatiserad behandling (t.ex. anställning och kreditgivning). Kommissionen uppmanas därför att övervaka situationen, också genom de årliga översynerna.

15.  Europaparlamentet konstaterar med tillfredsställelse att skölden för skydd av privatlivet ger de registrerade i EU flera olika möjligheter att anlita rättsmedel i Förenta staterna. För det första kan klagomål anföras direkt mot ett företag eller via Förenta staternas handelsministerium, efter att ärendet hänskjutits dit av en dataskyddsmyndighet, eller också till ett oberoende tvistlösningsorgan. För det andra, om de grundläggande rättigheterna kränkts för ändamål som rör nationell säkerhet, kan civilrättslig talan väckas inför amerikansk domstol, och liknande klagomål kan också handläggas av den nyligen inrättande oberoende ombudsmannen. Slutligen kan klagomål över ingrepp i grundläggande rättigheter för ändamål som rör brottsbekämpning och allmänintresset handläggas genom bestridande av rättsliga förelägganden. Parlamentet uppmuntrar kommissionen och dataskyddsmyndigheterna att göra alla dessa rättsmedel mera lättåtkomliga och tillgängliga.

16.  Europaparlamentet konstaterar att enskilda personer visserligen kan invända till den personuppgiftsansvarige inom EU mot varje överföring av deras personuppgifter till Förenta staterna, och mot vidare behandling av de berörda uppgifterna i Förenta staterna, om det till skölden anslutna företaget agerar registerförare på vägnar av den personuppgiftsansvarige inom EU, men framhåller samtidigt att skölden saknar särskilda regler om en allmän rätt att invända gentemot det amerikanska självcertifierade företaget.

17.  Europaparlamentet noterar bristen på uttryckliga principer om hur principerna för skölden för skydd av privatlivet ska tillämpas på registerförare (agenter), samtidigt som parlamentet konstaterar att alla principer ska gälla behandling av personuppgifter som utförs av självcertifierade företag i Förenta staterna om inget annat anges, och att överföring för behandling alltid kräver ett avtal med den personuppgiftsansvarige inom EU som bestämmer ändamålen och sätten för behandlingen, inbegripet huruvida registerföraren får göra vidare överföringar (t.ex. för behandling som utförs av underentreprenörer).

18.  Europaparlamentet noterar att kommissionen offentliggjort en medborgarguide där det förklaras vilka garantier för den enskildes rättigheter till uppgiftsskydd det finns i skölden för skydd av privatlivet, och vilka rättsmedel som står till buds för enskilda personer om de anser att deras uppgifter missbrukats och att deras rättigheter till uppgiftsskydd inte respekterats. Parlamentet rekommenderar att denna medborgarguide förs fram så att medborgarna blir medvetna om vilka fördelar skölden för skydd av privatlivet för med sig.

19.  Europaparlamentet välkomnar att skölden för skydd av privatlivet gett medlemsstaternas dataskyddsmyndigheter en framträdande roll för att utreda och undersöka klagomål om skyddet av rätten till privatliv och familjeliv enligt EU:s stadga om de grundläggande rättigheterna och för att tillfälligt förbjuda överföringen av uppgifter, liksom också att Förenta staternas handelsministerium ålagts att lösa sådana klagomål.

20.  Europaparlamentet erinrar om att EU bör ha som ett av sina grundläggande mål att skydda personuppgifter när de överförs till EU:s huvudsakliga internationella handelspartner, och att skölden för skydd av privatlivet kommer att bidra till att säkerställa skyddet för de grundläggande rättigheterna hos de registrerade i EU i samband med uppgiftsflöden som berör dem.

21.  Europaparlamentet välkomnar att företagen inte längre kommer att befinna sig i ett tillstånd av rättslig osäkerhet, eftersom skölden för skydd av privatlivet erbjuder en rättslig grund för överföringen av uppgifter.

22.  Europaparlamentet erinrar också om att rättslig säkerhet, och framför allt klara och enhetliga regler, är utslagsgivande för företagens utveckling och tillväxt, framför allt för små och medelstora företag, och varnar därför mot alla försök att äventyra den antagna skölden för skydd av privatlivet, som skulle leda till att tusentals företag av alla slag och storlekar – i både Europeiska unionen och Förenta staterna – skulle ställas inför osäkerhet och få vidkännas svåra konsekvenser för sin verksamhet och sin förmåga att göra affärer på andra sidan Atlanten.

23.  Europaparlamentet vidhåller att små och medelstora företag utgjorde 60 procent av de företag som anlitade safe harbor-ramen och att små och medelstora företag är de företag som kommer att dra störst nytta av den nya skölden för skydd av privatlivet. Kommissionen uppmanas att i nära samarbete med dataskyddsmyndigheterna se till att skölden för skydd av privatlivet genomförs och fungerar med ökad tydlighet, precision och åtkomlighet för dessa företag.

24.  Europaparlamentet anser att skölden för skydd av privatlivet är utslagsgivande för att klyftan mellan Europa och Amerika i fråga om synen på integritet ska kunna överbryggas, och att den därför har en väsentlig betydelse för återskapande av förtroendet mellan ömse sidor av Atlanten. Parlamentet litar på att skölden för skydd av privatlivet, i takt med att den blir den etablerade ramen för efterlevnad, kommer att strikt granskas av lagstiftarna och av kommissionen via den gemensamma mekanismen för årliga översyner, för att dess hållfasthet och juridiska giltighet ska säkerställas.

25.  Europaparlamentet uppmanar kommissionen att till fullo förverkliga sitt ansvar enligt skölden för skydd av privatlivet, nämligen att med jämna mellanrum se över vad den kommit fram till om huruvida skyddet är adekvat och vilka juridiska motiveringar det finns till detta, både för att personuppgifter ska få ett adekvat skydd och för att skölden för skydd av privatlivet ska fungera effektivt, utan att i onödan inkräkta på övriga grundläggande rättigheter, såsom rätten till integritet och säkerhet, rätten att ta emot och sprida information och rätten til näringsfrihet, och att årligen rapportera till Europaparlamentet om vad exakt kommissionen kommit fram till och vilka korrigerande åtgärder den föreslår.

26.  Europaparlamentet uppmanar kommissionen att se till att den gemensamma mekanismen för årliga översyner fokuserar på antalet registrerade klagomål, samt på hur effektiva och lättillgängliga prövningsmekanismerna är för registrerade personer inom EU, varvid uppmärksamhet också ska ägnas åt ombudsmannen, framstegen med de amerikanska reformerna av övervakningslagen, samarbetet mellan dels EU:s dataskyddsmyndigheter, dels Förenta staternas handelsministerium och dess federala handelskommission (Federal Trade Commission), jämte handelsministeriets och handelskommissionens roll när det gäller att övervaka att amerikanska företag följer skölden för skydd av privatlivet och sin egen integritetspolicy och att genomdriva att de faktiskt gör det, samt också fästa avseende vid hur många företag som anslutit sig till skölden.

27.  Europaparlamentet inser att skölden för skydd av privatlivet ingår som ett led i en mera brett upplagd dialog mellan EU och tredjeländer, bland dem också Förenta staterna, om dataintegritet, handel, säkerhet, samt rättigheter och mål av gemensamt intresse i anslutning till dem. Parlamentet uppmanar därför alla parter att samarbeta för att få till stånd fungerande internationella ramar och inhemska lagar som uppnår dessa mål, samt en fortgående förbättring av dem.

28.  Europaparlamentet beklagar att den här debatten tidigarelagts och anser att det hade passat bättre om de första slutsatserna om hur skölden för skydd av privatlivet fungerat hade dragits vid tidpunkten för den första årliga översynen av den.

29.  Europaparlamentet uppdrar åt talmannen att översända denna resolution till kommissionen, rådet, medlemsstaternas nationella parlament samt till Förenta staternas kongress och Förenta staternas administration.

• [1]  EGT L 281, 23.11.1995, s. 31.
• [2]  EUT L 119, 4.5.2016, s. 1.
• [3]  EUT L 119, 4.5.2016, s. 89.
• [4]  ECLI:EU:C:2015:650.
• [5]  EUT L 207, 1.8.2016, s. 1.
• [6]  EUT C 257, 15.7.2016, s. 8.
• [7]  http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
• [8]  http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
• [9]  Antagna texter, P8_TA(2016)0233.