Procedure : 2016/2727(RSP)
Forløb i plenarforsamlingen
Dokumentforløb : B8-0622/2016

Indgivne tekster :

B8-0622/2016

Forhandlinger :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Afstemninger :

PV 26/05/2016 - 6.6
Stemmeforklaringer

Vedtagne tekster :


FORSLAG TIL BESLUTNING
PDF 190kWORD 78k
17.5.2016
PE582.642v01-00
 
B8-0622/2016

på baggrund af Rådets og Kommissionens redegørelser

forretningsordenens artikel 123, stk. 2


om transatlantiske datastrømme (2016/2727(RSP))


Jan Philipp Albrecht, Judith Sargentini for Verts/ALE-Gruppen

Europa-Parlamentets beslutning om transatlantiske datastrømme (2016/2727(RSP))  
B8-0622/2016

Europa-Parlamentet,

–  der henviser til Europa-Parlamentets og Rådets direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1) (i det følgende benævnt "direktivet"), særlig artikel 25,

–  der henviser til Europa-Parlamentets og Rådets forordning (EU) nr. 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og om ophævelse af direktiv 95/46/EF(2) (generel forordning om databeskyttelse), der trådte i kraft den 24. maj 2016 og vil finde anvendelse fra den 25. maj 2018 og om ophævelse af direktiv 95/46/EF,

–  der henviser til Den Europæiske Unions charter om grundlæggende rettigheder ("chartret") og til den europæiske menneskerettighedskonvention (EMRK),

–  der henviser til EU-Domstolens dom af 6. oktober 2015 i sag C-362/14 P, Maximillian Schrems mod Kommissæren for databeskyttelse,

–  der henviser til udkastet til Kommissionens gennemførelsesafgørelse af 29. februar 2016 om tilstrækkeligheden af den beskyttelse, som ydes af den EU-amerikanske ordning Privacy Shield ("tilstrækkelighedsafgørelsen"), og til bilagene til denne i form af skrivelser fra den amerikanske regering og den amerikanske Forbundskommission for Handel,

–  der henviser til Kommissionens meddelelse af 29. februar 2016 med titlen "Transatlantiske datastrømme: genoprettelse af tilliden via stærke garantier" (COM(2016)0117), Kommissionens meddelelse af 27. november 2013 om, hvordan Safe Harbour-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU (COM(2013)0847), og Kommissionens meddelelse af 27. november 2013 om genopbygning af tilliden til datastrømmene mellem EU og USA (COM(2013)0846),

–  der henviser til udtalelsen vedrørende dette emne (WP 238) vedtaget den 13. april 2016 af arbejdsgruppen nedsat under artikel 29 i direktivet og de udtalelser, der tidligere er fremsat om samme spørgsmål (WP12, WP27 og WP 32),

–  der henviser til Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser(3), navnlig artikel 5 om undersøgelsesproceduren,

–  der henviser til sin beslutning af 5. juli 2000 om udkast til Kommissionens beslutning om tilstrækkeligheden af de amerikanske safe harbor-principper og relaterede hyppige spørgsmål (FAQ) udstedt af det amerikanske handelsministerium(4),

–  der henviser til sin beslutning af 12. marts 2014 om USA's NSA-overvågningsprogram, overvågningsorganer i forskellige medlemsstater og deres indvirkning på EU-borgeres grundlæggende rettigheder samt om det transatlantiske samarbejde inden for retlige og indre anliggender(5), og til sin beslutning af 29. oktober 2015 om opfølgning på Europa-Parlamentets beslutning af 12. marts 2014 om elektronisk masseovervågning af EU-borgere(6),

–  der henviser til forretningsordenens artikel 123, stk. 2,

A.  der henviser til, at udviklingen af informationssamfundet og elektronisk handel og opbygningen af efterretningstjenesternes opsnapningskapacitet på globalt plan har medført en eksponentiel forøgelse i databevægelser og elektronisk kommunikation samt af den medfølgende risiko for misbrug af disse data og opsnapning af denne kommunikation;

B.  der henviser til, at dette misbrug ikke blot virker som en bremse på udviklingen af e-handel for så vidt som det undergraver forbrugernes tillid, men også ofte udgør en krænkelse af menneskers rettigheder og friheder og er navnlig en krænkelse af privatlivets fred;

C.  der henviser til, at databeskyttelse betyder at beskytte de personer, som de behandlede data vedrører ("den dataregistrerede"), og til, at denne beskyttelse af Unionen er anerkendt som en grundlæggende rettighed (artikel 8 i chartret og artikel 16 i traktaten om Den Europæiske Unions funktionsmåde);

D.  der henviser til, at direktivet, der vil blive erstattet af den generelle forordning for databeskyttelses i 2018, fastsætter den dataregistreredes rettigheder og de tilsvarende forpligtelser for de, der behandler dataene eller udøver kontrol over denne behandling ("den dataansvarlige");

E.  der henviser til, at denne beskyttelse ville være formålsløs, hvis den var begrænset til EU's territorium og ikke også ydede tilstrækkelig beskyttelse, jf. direktivets bestemmelser, i de tredjelande, som dataene overføres til;

F.  der henviser til, at tilstrækkeligheden af beskyttelsen af persondata i et tredjeland skal vurderes på baggrund af tredjelandets nationale ret eller internationale forpligtelser, og til, at disse foranstaltninger også skal vise sig effektive i praksis;

G.  der henviser til, at Kommissionen på vegne af unionsborgerne og medlemsstaterne skal sikre, at der eksisterer et tilstrækkeligt niveau af beskyttelse i de pågældende tredjelande;

H.  der henviser til, at EU-Domstolen i sin dom af 6. oktober 2015 underkendte Kommissionens afgørelse om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Safe Harbour-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium;

I.  der henviser til, at EU-Domstolen i dommen tydeliggjorde, at et tilstrækkeligt beskyttelsesniveau i tredjeland skal forstås som et, der "i det væsentlige svarer til det niveau" af beskyttelse, der er sikret inden for Unionen;

Indledning

1.  glæder sig over de bestræbelser, der er gjort af Kommissionen og den amerikanske regering for at opnå reelle forbedringer af Privacy Shield i forhold til Safe Harbour-afgørelsen;

2.  understreger vigtigheden af at værne om de grundlæggende rettigheder, herunder retten til databeskyttelse og privatlivets fred;

3.  understreger betydningen af transatlantisk handel og samarbejde;

4.  understreger betydningen af juridisk sikkerhed for dataregistrerede personer og dataansvarlige;

5.  er bekymret over, at Privacy Shield-ordningen måske ikke vil leve helt op til kravene i chartret, direktivet og den generelle databeskyttelsesforordning eller de relevante domme afsagt af både EU-Domstolen og Den Europæiske Menneskerettighedsdomstol;

Den private sektor

6.  bemærker, at Privacy Shield-principperne (bilag II) ikke opstiller et i væsentlighed tilsvarende sæt principper, idet de ikke kræver samtykke fra den dataregistrerede, ikke omfatter et princip om dataminimering, og tillader behandling af personoplysninger til formål, der ikke er forenelige med det formål, hvortil dataene blev indsamlet;

7.  gør opmærksom på, at Privacy Shield-principperne giver carte blanche til alle typer behandling af persondata uden krav om den dataregistreredes samtykke eller fulde ret til at gøre indsigelse; er foruroliget over, at selv fravalg ("notice and choice") kun er fastsat for det tilfælde, at der sker en væsentlig ændring af formål eller indvielse af tredjepart; er foruroliget over, at den dataregistreredes samtykke, selv i sager med følsomme oplysninger, kun er påkrævet i disse to situationer;

8.  påpeger, at suppleringsprincippet 2(a) ikke stemmer overens med Domstolens dom af 13. maj 2014 (C-131/12) i sagen Google Spain/Costeja og retten til sletning ("ret til at blive glemt") under EU's databeskyttelsesret;

9.  er bekymret over, at håndhævelsen under Privacy Shield-principperne vil være særdeles krævende, idet en dataregistreret vil skulle tage hele fem skridt (klage til den dataansvarlige; alternativ tvistbilæggelse; klage til det amerikanske handelsministerium eller Forbundskommissionen for Handel gennem Den Europæiske Tilsynsførende for Databeskyttelse; Privacy Shield-panelet; de amerikanske domstole); minder om, at alternativ tvistbilæggelse i henhold til Rådets direktiv 93/13/EØF af 5. april 1993 er forbudt i forbindelse med forbrugerkontrakter;

10.  gør opmærksom på, at den eneste sanktion, der kan pålægges en dataansvarlig, som overtræder Privacy Shield-principperne, er at vedkommende slettes af Privacy Shield-listen; anser ikke dette for i det væsentlige at svare til de administrative sanktioner og andre sanktioner, der er fastsat i EU's databeskyttelsesret, navnlig i den generelle databeskyttelsesforordning;

11.  gør opmærksom på, at hverken den amerikanske Forbundskommission for Handel eller handelsministeriet eller de agenturer, der tilbyder alternative tvistbilæggelse, er tillagt sådanne undersøgelsesbeføjelser, som de europæiske tilsynsførende myndigheder udøver; minder om, at EU-Domstolen har fastslået, at virkningsfulde tilsynsbeføjelser er essentielle for databeskyttelsestilsynet under EU's primærret;

12.  minder om, at en tilstrækkelighedsafgørelse giver dataansvarlige fra det pågældende tredjeland privilegeret adgang til EU-markedet; er bekymret over, at de mindre krav, som Privacy Shield-principperne indebærer, i forholdt til EU's databeskyttelsesret vil give en konkurrencemæssig fordel til dataansvarlige og dataforvaltere baseret i USA i forhold til deres modparter baseret i EU;

13.  beklager dybt, at USA stadig ikke har nogen generel lov om beskyttelse af forbrugerdata til trods for de bestræbelser, der er gjort i de seneste år;

Statslig overvågning

14.  bemærker, at det i bilag VI (skrivelse fra Robert S. Litt, ODNI (direktoratet for den nationale efterretningsvirksomhed)) forklares, at anvendelse af persondata og kommunikation fra ikke-amerikanske personer anskaffet ved masseindsamling stadig er tilladt i seks tilfælde, jf. præsidentielt politikdirektiv 28 ("PPD-28"); gør opmærksom på, at en sådan masseindsamling kun skal være "så skræddersyet som muligt" og "rimelig", hvad der ikke opfylder de strengere kriterier om nødvendighed eller proportionalitet, som chartret fastsætter; påpeger, at Den Europæiske Menneskerettighedsdomstol sidste år afgjorde, at en autorisation til opsnapning – med det formål at sikre, at prøvelse af nødvendighed og proportionalitet er foretaget på behørig vis – klart skal angive "en specifik person, der sættes under overvågning eller én bestemt lokalitet som værende den lokalitet, som den beordrede autorisation vedrører" og at "en sådan angivelse kan ske ved angivelse af navne, adresser, telefonnumre eller andre relevante oplysninger" (Zakharov mod Rusland (2015), præmis 264); påpeger, at samme domstol sidste år også specificerede, at nødvendighedsprøvelsen indebar, at indgrebet er "strengt nødvendig, som en specifik overvejelse, for at indhente vitale efterretninger under en individuel operation" (Szabó og Vissy mod Ungarn (2015), præmis 73);

15.  bemærker, at bilag VI også gør det klart, at persondata og kommunikation kan opbevares i fem år eller længere, hvis de anses for at være "af interesse for USA's nationale sikkerhed"; er bekymret over, at dette er en overtrædelse af EU-Domstolens dom vedrørende databevarelse af 2014 (forenede sager C-293/12 og C-594/12);

16.  bemærker, at PPD-28 indfører nye regler, der begrænser anvendelsen og udbredelsen af ikke-amerikanske personers persondata og kommunikation, men ikke begrænser massedataindsamling heraf; bemærker, at det i fodnote 5 til PPD-28 forklares, at "massedataindsamling" som det defineres af den amerikanske regering ikke omfatter masseovervågning af eller adgang til persondata og kommunikationer, men alene hentyder til masselagring af sådanne data eller kommunikationer; er bekymret over, at dette er i modstrid med EU-Domstolens Schrems-dom, der fastslog, at lovgivning, der tillader "adgang til indholdet af elektronisk kommunikation, skal anses for at udgøre et indgreb i det væsentlige indhold af den grundlæggende ret til respekt for privatlivet";

17.  bemærker, at PPD-28 ikke svarer til en amerikansk lov og ensidigt kan ophæves af enhver fremtidig amerikansk præsident; advarer om, at dette skaber juridisk usikkerhed for EU-borgere, der sætter deres lid til Privacy Shield, idet alle data overført til USA i fremtiden vil kunne miste beskyttelsen fra Privacy Shield uden nogen klagemuligheder, retslig procedure eller forvarsel;

18.  bemærker, at den generelle undtagelse for national sikkerhed i bilag II, pkt. 5, i Privacy Shield-principperne er kopieret ordret fra Safe Harbour-principperne og ikke yderligere afgrænset;

19.  tager til efterretning, at der er udpeget en ombudsmand under det amerikanske udenrigsministerium som kontaktperson for EU's tilsynsmyndigheder i relation til statslig overvågning; gør imidlertid opmærksom på, at der i henhold til artikel 47 i chartret gælder krav om den dataregistreredes mulighed for domstolsprøvelse; bemærker, at det af bilag III (skrivelse fra udenrigsminister John F. Kerry) fremgår, at ombudsmanden "hverken vil be- eller afkræfte, hvorvidt personen har været genstand for overvågning" og ej heller "bekræfte det specifikke retsmiddel" (afsnit 4(e)); gør desuden opmærksom på, at ombudsmanden mangler den fornødne uafhængighed fra den udøvende magt, eftersom vedkommende aflægger beretning til udenrigsministeren;

20.  bemærker, at USA siden underkendelsen af Safe Harbour-afgørelsen ikke har truffet nogen foranstaltninger til at indskrænke de overvågningsprogrammer, som EU-Domstolen henviser til, men tværtimod har vedtaget Cybersecurity Information Sharing-loven af 2015 og er ved at lægge sidste hånd på ændringer af artikel 41 i forbundsloven om strafferetspleje, hvad der yderligere ville undergrave ikke-amerikanske personers privatlivs fred;

21.  bemærker, at USA til trods for disse tiltag fortsat er det eneste land, der har taget skridt til at beskytte de grundlæggende rettigheder i kølvandet på afsløringerne om globale overvågningsoperationer, nemlig med vedtagelsen af USA Freedom-loven af 2015, der har begrænset den masseovervågning, der udøves af de amerikanske efterretningstjenester uden for USA's grænser; er imidlertid bekymret over, at den juridiske situation vedrørende masseovervågning foretaget af de amerikanske efterretningstjenester uden for USA og af ikke-amerikanske individer, der opholder sig i USA, jf. amerikansk ret (Titel 50, §1881a ("Sektion 702")) ikke har ændret sig; mener, at USA bør indføre yderligere lovgivning for at rette op på denne situation;

22.  påpeger, at indtil flere medlemsstater, herunder Frankrig, Det Forenede Kongerige og Nederlandene, overvejer at indføre eller allerede har indført love, der i betydelig grad øger deres overvågningsbeføjelser og -kapacitet, men som hverken er i overensstemmelse med artikel 7 og 8 i chartret eller med EU-Domstolens eller Den Europæiske Menneskerettighedsdomstols retspraksis; opfordrer Kommissionen til at iværksætte traktatbrudsprocedurer mod disse medlemsstater;

Andre spørgsmål

23.  gør opmærksom på, at Kommissionen ikke har foretaget nogen vurdering af EU-personers rettigheder og beskyttelse i tilfælde, hvor data om personen overføres af en amerikansk dataansvarlig, der er underlagt Privacy Shield, til en amerikansk håndhævelsesmyndighed; påpeger, at bilag VII (skrivelse fra Bruce C. Swartz, det amerikanske justitsministerium) om ordensmagtens adgang til data kun vedrører adgang til data opbevaret af selskaber, men ikke omhandler den dataregistrerede og de retslige klagemuligheder for individer, hvis data der gives adgang til;

24.  glæder sig over, at EU's tilsynsmyndigheder for databeskyttelse i henhold til artikel 3 i udkastet til Kommissionens gennemførelsesafgørelse fortsat kan suspendere overførsler af persondata til dataansvarlige, som deltager i Privacy Shield-ordningen; påpeger, at dette er i tråd med artikel 4 i Kommissionens afgørelse 2001/497/EF om standardkontraktklausuler for overførsel af persondata til tredjelande;

25.  fremhæver princippet om ydelseslandet, der er indføjet i den generelle databeskyttelsesforordning; gør opmærksom på, at når først forordningen finder anvendelse, vil mange amerikanske dataansvarlige, der har anvendt Safe Harbour-ordningen og vil kunne anvende Privacy Shield-ordningen, skulle efterleve forordningen direkte, når de tilbyder tjenesteydelser på EU's marked eller overvåger personer inden for Unionen;

Konklusioner

26.  konkluderer, at Privacy Shield-ordningen og situationen i USA ikke fremviser tilstrækkelige væsentlige forbedringer i forhold til Safe Harbour-ordningen;

27.  gør opmærksom på, at det er højst sandsynligt, at udkastet til tilstrækkelighedsafgørelsen, når den først er vedtaget, vil blive prøvet ved domstolene; gør opmærksom på, at dette skaber en situation med juridisk usikkerhed for erhvervsliv og enkeltpersoner; bemærker, at databeskyttelseseksperter og virksomhedsorganisationer allerede råder virksomheder til at anvende andre former for overførsel af persondata til USA;

28.  er bekymret over, at Kommissionen muligvis har overskredet sine gennemførelsesbeføjelser ved sin afgørelse om, at Privacy Shield-ordningen giver et tilstrækkeligt niveau af beskyttelse i USA, uden at have foretaget en fuldstændig vurdering af det amerikanske system og uden at have taget de forhold, som er påpeget i denne beslutning, i betragtning;

29.  opfordrer Kommissionen til at fortsætte sin dialog med USA med henblik på at udvirke yderligere forbedringer af Privacy Shield-ordningen i betragtning af dens nuværende mangler i den hensigt at minimere risikoen for, at tilstrækkelighedsafgørelsen underkendes ved domstolene;

30.  opfordrer Kommissionen til som minimum at indføje en toårig automatisk udløbsklausul for gyldigheden af tilstrækkelighedsafgørelsen og til at påbegynde nye forhandlinger med USA om forbedrede rammer på grundlag af den generelle databeskyttelsesforordning;

31.  pålægger sin formand at sende denne beslutning til Rådet, Kommissionen, medlemsstaternes regeringer og parlamenter og til den amerikanske regering og den amerikanske Kongres.

(1)

EFT L 281 af 23.11.1995, s. 31.

(2)

EUT L 119 af 4.5. 2016, s. 1.

(3)

EUT L 55 af 28.2.2011, s. 13.

(4)

EFT C 121 af 24.4.2001, s. 152.

(5)

Vedtagne tekster, P7_TA-PROV(2014)0230.

(6)

Vedtagne tekster, P8_TA(2015)0388.

Juridisk meddelelse - Databeskyttelsespolitik