Menettely : 2016/2727(RSP)
Elinkaari istunnossa
Asiakirjan elinkaari : B8-0622/2016

Käsiteltäväksi jätetyt tekstit :

B8-0622/2016

Keskustelut :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Äänestykset :

PV 26/05/2016 - 6.6
Äänestysselitykset

Hyväksytyt tekstit :


PÄÄTÖSLAUSELMAESITYS
PDF 186kWORD 79k
17.5.2016
PE582.642v01-00
 
B8-0622/2016

neuvoston ja komission julkilausumien johdosta

työjärjestyksen 123 artiklan 2 kohdan mukaisesti


transatlanttisista tietovirroista (2016/2727(RSP))


Jan Philipp Albrecht, Judith Sargentini Verts/ALEryhmän puolesta

Euroopan parlamentin päätöslauselma transatlanttisista tietovirroista (2016/2727(RSP))  
B8-0622/2016

Euroopan parlamentti, joka

–  ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) (jäljempänä ”direktiivi”) ja erityisesti sen 25 artiklan,

–  ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus) ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 2016/679(2) (jäljempänä ”yleinen tietosuoja-asetus”), joka tuli voimaan 24. toukokuuta 2016 ja jota sovelletaan 25. toukokuuta 2018 lähtien,

–  ottaa huomioon Euroopan unionin perusoikeuskirjan sekä Euroopan ihmisoikeussopimuksen (ECHR),

–  ottaa huomioon Euroopan unionin tuomioistuimen 6. lokakuuta 2015 antaman tuomion asiassa C-362/14 (Maximillian Schrems v. Data Protection Commissioner),

–  ottaa huomioon 29. helmikuuta 2016 laaditun luonnoksen komission täytäntöönpanopäätökseksi, joka koskee EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman suojan riittävyyttä, sekä sen liitteinä olevat Yhdysvaltain hallinnon ja liittovaltion kauppakomission kirjeet,

–  ottaa huomioon 29. helmikuuta 2016 annetun komission tiedonannon ”Transatlanttiset tietovirrat: luottamuksen palauttaminen vahvoilla suojatoimilla” (COM(2016)0117), 27. marraskuuta 2013 annetun komission tiedonannon safe harbor -järjestelmän toiminnasta EU:n kansalaisten ja EU:hun sijoittautuneiden yritysten näkökulmasta (COM(2013)0847) sekä 27. marraskuuta 2013 annetun komission tiedonannon luottamuksen palauttamisesta EU:n ja Yhdysvaltojen väliseen tietojen siirtoon (COM(2013)0846),

–  ottaa huomioon asiaa koskevan lausunnon (WP 238), jonka direktiivin 29 artiklan nojalla perustettu työryhmä hyväksyi 13. huhtikuuta 2016, sekä samasta asiasta aiemmin annetut lausunnot (WP 12, WP 27 ja WP 32),

–  ottaa huomioon yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä, annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011(3) ja erityisesti sen 5 artiklan, joka koskee tarkastelumenettelyä,

–  ottaa huomioon 5. heinäkuuta 2000 antamansa päätöslauselman, joka koskee luonnosta komission päätökseksi yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä(4),

–  ottaa huomioon 12. maaliskuuta 2014 antamansa päätöslauselman Yhdysvaltojen kansallisen turvallisuusviraston valvontaohjelmasta, eri jäsenvaltioiden valvontaelimistä ja niiden vaikutuksesta EU:n kansalaisten perusoikeuksiin ja transatlanttiseen yhteistyöhön oikeus- ja sisäasioissa(5) sekä 29. lokakuuta 2015 antamansa päätöslauselman unionin kansalaisten laajamittaisesta sähköisestä valvonnasta 12. maaliskuuta 2014 annetun Euroopan parlamentin päätöslauselman jatkotoimista(6),

–  ottaa huomioon työjärjestyksen 123 artiklan 2 kohdan,

A.  toteaa, että tietoyhteiskunnan ja sähköisen kaupankäynnin kehittyminen sekä tiedustelupalvelujen sieppausvalmiuksien kehittyminen ovat johtaneet globaalilla tasolla tietoliikenteen ja sähköisen viestinnän eksponentiaaliseen lisääntymiseen sekä kasvattaneet tällaisten tietojen väärinkäytön ja viestinnän sieppaamisen riskiä;

B.  katsoo, että tällainen väärinkäyttö hidastaa sähköisen kaupankäynnin kehittymistä heikentäessään kuluttajien luottamusta ja että sillä loukataan lisäksi usein kansalaisten oikeuksia ja vapauksia ja puututaan erityisesti yksityisyyden suojaan;

C.  toteaa tietosuojan merkitsevän sitä, että suojellaan ihmisiä, joihin käsitellyt tiedot liittyvät, ja toteaa, että tällainen suojeleminen kuuluu unionin tunnustamiin perusoikeuksiin (perusoikeuskirjan 8 artikla ja Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 16 artikla);

D.  toteaa, että vuonna 2018 yleisellä tietosuoja-asetuksella korvattavassa direktiivissä määritellään rekisteröidyn oikeudet sekä vastaavat velvollisuudet niille, jotka käsittelevät tietoja tai ovat mukana tällaisen käsittelyn valvonnassa;

E.  katsoo, että tällainen suoja olisi hyödytön, jos se rajattaisiin koskemaan unionin aluetta, eikä se, toisin kuin direktiivi, tarjoaisi riittävää suojaa kolmansissa maissa, joihin tietoja siirretään;

F.  toteaa, että henkilötietojen suojan riittävyyttä kolmannessa maassa on arvioitava kyseisen maan kansallisen lainsäädännön tai sen tekemien kansainvälisten sitoumusten perusteella; toteaa, että suojakeinojen on osoittauduttava käytännössä tehokkaiksi;

G.  katsoo komissiolla olevan syytä varmistaa unionin ja sen jäsenvaltioiden kansalaisten puolesta, että suojan taso on riittävä asianomaisissa kolmansissa maissa;

H.  toteaa, että Euroopan unionin tuomioistuin mitätöi 6. lokakuuta 2015 antamallaan tuomiolla komission päätöksen yksityisyyden suojaa koskevien safe harbor ‑periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä;

I.  toteaa tuomioistuimen täsmentäneen tuomiossaan, että kolmannen maan suojan tasoa on pidettävä riittävänä, kun se vastaa olennaisilta osin unionissa tarjottua suojaa;

Johdanto

1.  pitää myönteisenä, että komissio ja Yhdysvaltojen hallinto ovat pyrkineet parantamaan Privacy Shield -järjestelyä tuntuvasti safe harbor -päätökseen verrattuna;

2.  korostaa, että on turvattava perusoikeudet ja erityisesti oikeus tietosuojaan ja yksityisyyteen;

3.  painottaa transatlanttisen kaupan ja yhteistyön merkitystä;

4.  painottaa rekisteröityjen ja rekisterinpitäjien oikeusvarmuuden merkitystä;

5.  on huolissaan siitä, että Privacy Shield -järjestely ei kenties täytä kokonaisuudessaan vaatimuksia, jotka aiheutuvat perusoikeuskirjasta, direktiivistä, yleisestä tietosuoja-asetuksesta sekä Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen antamista asiaa koskevista tuomioista;

Yksityinen sektori

6.  toteaa, että Privacy Shield -periaatteet (liite II) eivät muodosta olennaisilta osin vastaavaa periaatteiden kokonaisuutta, koska niissä ei edellytetä rekisteröidyn suostumusta eikä niihin kuulu tietojen minimoinnin periaatetta ja niissä sallitaan henkilötietojen käsittely myös muihin tarkoituksiin kuin siihen, mitä varten tiedot on alun perin kerätty;

7.  korostaa, että Privacy Shield -periaatteilla myönnetään avoin valtakirja henkilötietojen kaikenlaiseen käsittelyyn ilman rekisteröidyn suostumusta tai täysiä oikeuksia ilmaista vastalauseensa; on huolissaan siitä, että jopa poikkeuksesta (”Ilmoitus ja valinta”) huolehditaan ainoastaan siinä tapauksessa, että tarkoitusta muutetaan konkreettisesti tai tiedot ilmoitetaan kolmannelle osapuolelle; on huolissaan siitä, että rekisteröidyn suostumus tarvitaan vain näissä kahdessa tilanteessa, vaikka kyse olisi arkaluonteisista tiedoista;

8.  korostaa, että lisäperiaate 2 a on vastoin tuomioistuimen 13. toukokuuta 2014 antamaa tuomiota asiassa C-131/12 (Google Spain/Costeja) sekä unionin tietosuojalainsäädännön mukaista oikeutta tietojen poistamiseen (”oikeus jäädä unohduksiin”);

9.  on huolissaan siitä, että Privacy Shield -periaatteiden täytäntöönpano olisi erittäin vaativaa, koska se edellyttäisi rekisteröidyltä viittä peräkkäistä toimenpidettä (valitus rekisterinpitäjälle, vaihtoehtoinen riidanratkaisu, valitus Yhdysvaltojen kauppaministeriölle tai liittovaltion kauppakomissiolle Euroopan tietosuojaviranomaisen välityksellä, Privacy Shield -paneeli, yhdysvaltalainen tuomioistuin); muistuttaa, että 5. huhtikuuta 1993 annetun neuvoston direktiivin 93/13/ETY nojalla on kiellettyä soveltaa vaihtoehtoista riidanratkaisua kuluttajasopimuksiin;

10.  korostaa, että ainoa Privacy Shield -periaatteita rikkovalle rekisterinpitäjälle langetettava seuraamus on poistaminen Privacy Shield -luettelosta; toteaa, että tämän ei voida katsoa olennaisilta osin vastaavan niitä hallinnollisia ja muita seuraamuksia, joita edellytetään EU:n tietosuojalainsäädännössä ja erityisesti yleisessä tietosuoja-asetuksessa;

11.  korostaa, että liittovaltion kauppakomissiolla, Yhdysvaltojen kauppaministeriöllä ja vaihtoehtoisen riidanratkaisun tarjoajilla ei ole samanlaisia tutkintavaltuuksia kuin Euroopan valvontaviranomaisilla; muistuttaa Euroopan unionin tuomioistuimen julistaneen, että tehokkaat valvontavaltuudet ovat olennaisia unionin ensisijaisen lainsäädännön mukaisen tietosuojavalvonnan kannalta;

12.  muistuttaa, että suojan riittävyyttä koskevalla päätöksellä annetaan kyseisen kolmannen maan rekisterinpitäjille etuoikeutettu pääsy EU:n markkinoille; on huolissaan siitä, että EU:n tietosuojalainsäädäntöön verrattuna väljemmät Privacy Shield -periaatteiden vaatimukset antaisivat Yhdysvaltoihin sijoittautuneille rekisterinpitäjille ja tietojenkäsittelijöille kilpailuetua unioniin sijoittautuneisiin toimijoihin nähden;

13.  pitää valitettavana, että viime vuosien tietyistä yrityksistä huolimatta Yhdysvalloilla ei ole edelleenkään kattavaa kuluttajatietojen suojaa koskevaa säädöstä;

Hallituksen harjoittama valvonta

14.  panee merkille, että liitteessä VI (kansallisen tiedusteluviraston johtajan Robert S. Littin kirje) täsmennetään, että muita kuin Yhdysvaltojen kansalaisia koskevien, suurissa erissä kerättyjen tietojen ja viestien käyttö on Presidential Policy Directive 28:n (jäljempänä ”PPD-28”) nojalla edelleen sallittua kuudessa tapauksessa; tähdentää, että suurissa erissä keräämisen on pelkästään oltava mahdollisimman räätälöityä ja kohtuullista, mikä ei täytä perusoikeuskirjassa asetettuja tarpeellisuuden ja oikeasuhteisuuden kriteereitä; korostaa Euroopan ihmisoikeustuomioistuimen todenneen viime vuonna, että tarpeellisuutta ja oikeasuhteisuutta koskevan testin asianmukaisen soveltamisen osoittaminen edellyttää, että viestien sieppaamista koskevassa luvassa on selkeästi yksilöitävä valvonnan kohteeksi asetettava henkilö tai yksittäinen kiinteistö kiinteistöksi, jota varten valvontalupa annetaan, ja että tällainen yksilöinti voidaan tehdä nimien, osoitteiden, puhelinnumerojen tai muiden asiaa koskevien tietojen avulla (Zakharov v. Venäjä (2015, 264 kohta); korostaa ihmisoikeustuomioistuimen todenneen myös viime vuonna, että tarpeellisuustestissä edellytetään puuttumisen olevan erityisen harkinnan jälkeen ehdottomasti tarpeen, jotta yksittäisessä operaatiossa voidaan saada elintärkeää tiedustelutietoa (Szabó ja Vissy v. Unkari (2015, 73 kohta);

15.  toteaa, että liitteessä VI täsmennetään myös, että henkilötietoja ja viestejä voidaan säilyttää viiden vuoden ajan tai vielä pidempään, jos tämän katsotaan olevan Yhdysvaltojen kansallisten turvallisuusetujen mukaista; on huolissaan siitä, että tämä menettely on vastoin Euroopan unionin tuomioistuimen vuonna 2014 antamaa tuomiota tietojen säilyttämisestä (yhteiset asiat C-293/12 ja C-594/12);

16.  toteaa, että PPD-28:ssa asetetaan uusia säännöksiä, jotka rajoittavat muita kuin Yhdysvaltain kansalaisia koskevien henkilötietojen ja viestien käyttöä ja levittämistä, mutta siinä ei rajoiteta niiden keräämistä suurissa erissä; toteaa PPD-28:n alaviitteestä 5 käyvän ilmi, että Yhdysvaltojen hallinnon mielestä ”suurissa erissä kerääminen” ei pidä sisällään henkilötietojen ja viestien laajamittaista valvontaa eikä pääsyä niihin, vaan se koskee ainoastaan tällaisten tietojen ja viestien laajamittaista tallentamista; on huolissaan siitä, että tämä on vastoin Euroopan unionin tuomioistuimen antamaa Schrems-tuomiota, jossa todetaan, että ”säännöstöstä, jonka nojalla viranomaiset pääsevät yleisesti sähköisen viestinnän sisältöön, on erityisesti katsottava, että sillä loukataan yksityiselämän kunnioitusta koskevan perusoikeuden ... keskeistä sisältöä”;

17.  toteaa, että PPD-28 ei vastaa mitään Yhdysvaltain lakia ja että kuka tahansa Yhdysvaltojen tuleva presidentti voi perua sen yksipuolisesti; varoittaa siitä, että tämä aiheuttaa oikeudellista epävarmuutta Privacy Shield -järjestelyyn luottaville EU:n kansalaisille, koska kaikki Yhdysvaltoihin siirretyt tiedot saattavat jatkossa menettää Privacy Shield -järjestelyn tarjoaman suojan ilman muutoksenhakukeinoja, lainsäädäntöprosessia tai ennakkovaroitusta;

18.  toteaa, että liitteessä II olevassa 5 kohdassa tarkoitettu yleinen poikkeaminen Privacy Shield -periaatteista kansalliseen turvallisuuteen vedoten on jäljennetty sanatarkasti safe harbor -periaatteista eikä sen rajaamista ole voimistettu millään tavoin;

19.  toteaa, että Yhdysvaltojen ulkoministeriöön on nimetty oikeusasiamies, joka toimii EU:n valvontaviranomaisten yhteyshenkilönä hallituksen harjoittamaa valvontaa koskevissa asioissa; korostaa kuitenkin, että perusoikeuskirjan 47 artiklassa edellytetään, että rekisteröidyllä itsellään on oltava oikeus oikeussuojakeinoihin; toteaa, että liitteessä III (Yhdysvaltojen ulkoministerin John F. Kerryn kirje) ilmoitetaan, että oikeusasiamies ei vahvista eikä kiistä, onko henkilö ollut valvonnan kohteena, eikä hän myöskään vahvista erityistä oikeussuojakeinoa (kirjeen 4 kohdan e alakohta); korostaa myös, että sikäläinen oikeusasiamies ei ole riittävässä määrin riippumaton täytäntöönpanovallan käyttäjästä, koska hän raportoi toiminnastaan ulkoministerille;

20.  toteaa, että safe harbor -päätöksen lakattua olemasta voimassa Yhdysvallat ei ole toteuttanut toimenpiteitä hillitäkseen Euroopan unionin tuomioistuimen tarkoittamia valvontaohjelmia, vaan se hyväksyi vuonna 2015 kyberturvallisuuteen liittyvien tietojen jakamista koskevan lain ja on parhaillaan viimeistelemässä rikosoikeudellista menettelyä koskevan liittovaltion lain 41 artiklaan muutoksia, jotka heikentävät entisestään muiden kuin Yhdysvaltojen kansalaisten yksityisyyttä;

21.  toteaa, että näistä toimista huolimatta Yhdysvallat on edelleen ainoa maa, joka on toteuttanut toimenpiteitä suojellakseen perusoikeuksia globaaleja valvontaoperaatiota koskevien paljastusten jälkimainingeissa; toteaa, että maa hyväksyi vuonna 2015 Freedom Act -lain, jolla rajataan Yhdysvaltojen tiedusteluvirastojen harjoittama laajamittainen valvonta Yhdysvaltojen alueelle; on kuitenkin huolissaan siitä, että Yhdysvaltojen ulkopuolella toimivien yhdysvaltalaisten tiedusteluvirastojen sekä Yhdysvalloissa asuvien muiden kuin Yhdysvaltojen kansalaisten oikeudellinen tilanne ei ole Yhdysvaltain lain 50 U.S.C. §:n 1881 a (702 jakso) nojalla muuttunut; katsoo, että Yhdysvaltojen olisi annettava uutta lainsäädäntöä tilanteen korjaamiseksi;

22.  korostaa, että useat jäsenvaltiot, mukaan lukien Ranska, Yhdistynyt kuningaskunta ja Alankomaat, harkitsevat hyväksyvänsä tai ovat jo hyväksyneet lainsäädäntöä, jolla lisätään tuntuvasti niiden valvontavaltuuksia ja -valmiuksia, mutta joka on vastoin perusoikeuskirjan 7 ja 8 artiklaa sekä Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen oikeuskäytäntöä; kehottaa komissiota käynnistämään rikkomismenettelyjä näitä jäsenvaltioita vastaan;

Muut kysymykset

23.  korostaa, että komissio ei ole arvioinut EU:n kansalaisten oikeuksia ja suojaa siinä tapauksessa, että Privacy Shield -järjestelyn piiriin kuuluva yhdysvaltalainen rekisterinpitäjä siirtää heitä koskevia tietoja Yhdysvaltain lainvalvontaviranomaisille; tähdentää, että lainvalvontaviranomaisten pääsemistä henkilötietoihin koskevassa liitteessä VII (Yhdysvaltojen oikeusministeriötä edustavan Bruce C. Swartzin kirje) viitataan ainoastaan yritysten tallentamia tietoja koskevaan pääsyyn ja siinä ei käsitellä rekisteröityä eikä oikeussuojakeinoja henkilöille, joita koskeviin tietoihin pääsy myönnetään;

24.  pitää myönteisenä, että komission täytäntöönpanopäätöstä koskevan luonnoksen 3 artiklan nojalla EU:n tietosuojaa valvovat viranomaiset voivat edelleen keskeyttää henkilötietojen siirtämisen Privacy Shield -järjestelyyn osallistuville rekisterinpitäjille; tähdentää, että tämä vastaa mallisopimuslausekkeita henkilötietojen kolmansiin maihin siirtoa varten koskevan komission päätöksen 2001/497/EY 4 artiklaa;

25.  painottaa yleisessä tietosuoja-asetuksessa käyttöön otettua markkinoille sijoittautumisen periaatetta; korostaa, että kun asetusta aletaan soveltaa, useiden yhdysvaltalaisten rekisterinpitäjien, jotka ovat toistaiseksi käyttäneet safe harbor -järjestelyä ja saattavat käyttää Privacy Shield -järjestelyä, on noudatettava asetusta, kun ne tarjoavat palveluja EU:n markkinoilla tai valvovat unionissa olevia henkilöitä;

Päätelmät

26.  toteaa, että Privacy Shield -järjestely ja Yhdysvaltojen tilanne eivät tuo konkreettisia parannuksia verrattuna safe harbor -järjestelyyn;

27.  pitää erittäin todennäköisenä, että kun suojan riittävyyttä koskeva päätösluonnos on hyväksytty, asia viedään jälleen kerran tuomioistuimeen; korostaa tämän aiheuttavan epävarmuutta sekä yrityksille että kansalaisille; toteaa, että tietosuoja-asiantuntijat ja liike-elämän järjestöt neuvovat jo nyt yrityksiä käyttämään muita menetelmiä henkilötietoja Yhdysvaltoihin siirrettäessä;

28.  on huolissaan siitä, että komissio saattaa ylittää täytäntöönpanovaltansa, jos se päättää, että Privacy Shield -järjestelyllä saadaan aikaan tasoltaan riittävä suoja Yhdysvalloissa, eikä se tätä ennen arvioi täysipainoisesti Yhdysvaltojen järjestelmää ja sivuuttaa tässä päätöslauselmassa esille nostetut kysymykset;

29.  kehottaa komissiota jatkamaan vuoropuhelua Yhdysvaltojen kanssa, jotta Privacy Shield -järjestelyyn voitaisiin tehdä lisäparannuksia, kun otetaan huomioon sen nykyiset puutteet, ja jotta voidaan minimoida riski suojan riittävyyttä koskevan päätöksen kumoamisesta tuomioistuimessa;

30.  kehottaa komissiota ainakin sisällyttämään suojan riittävyyttä koskevaan päätökseen kahden vuoden määräaikaisuutta koskevan lausekkeen ja käynnistämään Yhdysvaltojen kanssa uudet neuvottelut parannetusta järjestelmästä soveltaen perustana yleistä tietosuoja-asetusta;

31.  kehottaa puhemiestä välittämään tämän päätöslauselman neuvostolle ja komissiolle, jäsenvaltioiden hallituksille ja parlamenteille sekä Yhdysvaltojen hallitukselle ja kongressille.

(1)

EYVL L 281, 23.11.1995, s. 31.

(2)

EUVL L 119, 4.5.2016, s. 1.

(3)

EUVL L 55, 28.2.2011, s. 13.

(4)

EYVL C 121, 24.4.2001, s. 152.

(5)

Hyväksytyt tekstit, P7_TA(2014)0230.

(6)

Hyväksytyt tekstit, P8_TA(2015)0388.

Oikeudellinen huomautus - Tietosuojakäytäntö