Procedură : 2016/2727(RSP)
Stadiile documentului în şedinţă
Stadii ale documentului : B8-0622/2016

Texte depuse :

B8-0622/2016

Dezbateri :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Voturi :

PV 26/05/2016 - 6.6
Explicaţii privind voturile

Texte adoptate :


PROPUNERE DE REZOLUȚIE
PDF 421kWORD 103k
17.5.2016
PE582.642v01-00
 
B8-0622/2016

depusă pe baza declarațiilor Consiliului și Comisiei

în conformitate cu articolul 123 alineatul (2) din Regulamentul de procedură


referitoare la fluxurile de date transatlantice (2016/2727(RSP))


Jan Philipp Albrecht, Judith Sargentini în numele Grupului Verts/ALE

Rezoluția Parlamentului European referitoare la fluxurile de date transatlantice (2016/2727(RSP))  
B8-0622/2016

Parlamentul European,

–  având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date(1) (denumită în continuare „directiva”), în special articolul 25 alineatul (6),

–  având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal și libera circulație a acestor date și de abrogare a Directivei 95/46/CE(2) (denumit în continuare „regulamentul general privind protecția datelor”), care a intrat în vigoare la 24 mai 2016 și se va aplica începând de la 25 mai 2018,

–  având în vedere Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”) și Convenția europeană a drepturilor omului (ECHR),

–  având în vedere hotărârea Curții de Justiție a Uniunii Europene din 6 octombrie 2015, pronunțată în cauza C-362/14 P, Maximillian Schrems/comisarul pentru protecția datelor,

–  având în vedere proiectul de decizie de punere în aplicare a Comisiei din 29 februarie 2016 privind caracterul adecvat al protecției oferite de „scutul de confidențialitate” UE-SUA și anexele aferente sub forma unor scrisori din partea administrației SUA și a Comisiei Federale pentru Comerț,

–  având în vedere Comunicarea Comisiei din 29 februarie 2016, intitulată „Fluxuri de date transatlantice: restabilirea încrederii prin garanții puternice” (COM(2016)0117), Comunicarea Comisiei din 27 noiembrie 2013 privind funcționarea sferei de siguranță din punctul de vedere al cetățenilor UE și al întreprinderilor stabilite în UE (COM(2013)0847) și Comunicarea Comisiei din 27 noiembrie 2013 privind restabilirea încrederii în fluxurile de date dintre UE și SUA (COM(2013)0846),

–  având în vedere avizul referitor la această temă (WP 238), adoptat la 13 aprilie 2016 de grupul de lucru creat în temeiul articolului 29 din directivă, și avizele anterioare referitoare la aceeași chestiune (WP12, WP27 și WP 32),

–  având în vedere Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie(3), în special articolul 5 privind procedura de examinare,

–  având în vedere Rezoluția sa din 5 iulie 200 referitoare la proiectul de decizie a Comisiei privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al SUA(4),

–  având în vedere Rezoluția sa din 12 martie 2014 referitoare la Programul de supraveghere al Agenției Naționale de Securitate (NSA) a SUA, organismele de supraveghere din diferite state membre și impactul acestora asupra drepturilor fundamentale ale cetățenilor UE și asupra cooperării transatlantice în materie de justiție și de afaceri interne(5) și Rezoluția sa din 29 octombrie 2015 referitoare la acțiunile realizate în urma rezoluției Parlamentului European din 12 martie 2014 referitoare la supravegherea electronică în masă a cetățenilor UE(6),

–  având în vedere articolul 123 alineatul (2) din Regulamentul său de procedură,

A.  întrucât dezvoltarea societății informaționale și a comerțului electronic și dezvoltarea capacităților de interceptare ale agențiilor de informații au dus, la nivel mondial, la intensificarea exponențială a transferurilor de date și a comunicării pe cale electronică și la creșterea riscurilor legate de utilizarea abuzivă a acestor date și a interceptărilor acestui tip de comunicații;

B.  întrucât acest tip de utilizare abuzivă nu numai că are rol de înfrânare a dezvoltării comerțului electronic deoarece subminează încrederea consumatorilor, dar constituie, adeseori, o încălcare a drepturilor și libertăților cetățenilor și, în special, o încălcare a dreptului la viață privată;

C.  întrucât protejarea datelor înseamnă protejarea persoanelor vizate de informațiile prelucrate și întrucât această protecție este unul din drepturile fundamentale recunoscute de Uniune (articolul 8 din Carta drepturilor fundamentale și articolul 16 din Tratatul privind funcționarea Uniunii Europene);

D.  întrucât directiva, care va fi înlocuită în 2018 de Regulamentul general privind protecția datelor, stabilește care sunt drepturile persoanelor vizate de date și obligațiile celor care prelucrează date sau care exercită un control asupra prelucrării de date;

E.  întrucât această protecție nu ar avea sens dacă ar fi limitată la teritoriul Uniunii și nu ar fi asigurată în mod corespunzător, conform prevederilor directivei, în țările terțe în care sunt transferate datele;

F.  întrucât caracterul adecvat al protecției datelor cu caracter personal asigurate într-o țară terță trebuie evaluat ținând seama de dreptul intern al țării terțe respective sau de angajamentele asumate de aceasta la nivel internațional și întrucât aceste metode trebuie să fie eficiente la nivel practic;

G.  întrucât Comisia trebuie să se asigure, în numele cetățenilor Uniunii și al statelor sale membre, că în țările terțe implicate se asigură un nivel adecvat de protecție;

H.  întrucât, prin hotărârea sa din 6 octombrie 2015, Curtea de Justiție a Uniunii Europene a anulat decizia Comisiei privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al SUA;

I.  întrucât Curtea de Justiție a Uniunii Europene a clarificat prin hotărârea respectivă că printr-un nivel adecvat de protecție asigurat într-o țară terță trebuie să se înțeleagă un nivel „echivalent în esență” cu nivelul de protecție asigurat în Uniune,

Introducere

1.  salută eforturile depuse de Comisie și de administrația SUA pentru a aduce îmbunătățiri semnificative „scutului de confidențialitate” în comparație cu decizia privind „sfera de siguranță”;

2.  subliniază că este important să se respecte drepturile fundamentale, inclusiv dreptul la protecția datelor și dreptul la viață privată;

3.  subliniază importanța comerțului și a cooperării transatlantice;

4.  subliniază importanța securității juridice pentru persoanele vizate de date și operatorii de date;

5.  este îngrijorat din cauza faptului că mecanismul privind „scutul de confidențialitate” nu poate îndeplini pe deplin cerințele cartei, ale directivei, ale regulamentului general privind protecția datelor și ale hotărârilor aferente atât ale Curții de Justiție a Uniunii Europene, cât și ale Curții Europene a Drepturilor Omului;

Sectorul privat

6.  constată că principiile „scutului de confidențialitate” (anexa II) nu reprezintă un set de principii echivalent în esență, deoarece acestea nu fac necesar acordul persoanei vizate de date, nu includ principiul minimizării datelor și permit prelucrarea datelor cu caracter personal în scopuri incompatibile cu scopul pentru care au fost colectate datele;

7.  subliniază că principiile „scutului de confidențialitate” acordă o autorizație generală pentru toate tipurile de prelucrare a datelor cu caracter personal fără să fie necesar acordul persoanei vizate de date sau să se acorde persoanei respective dreptul deplin de a refuza să-și dea acordul; este îngrijorat că până și opțiunile de neparticipare („informare și alegere”) sunt prevăzute numai în cazul unei schimbări de fond a scopului sau al divulgării către o terță parte; este îngrijorat de faptul că, chiar și în cazul datelor sensibile, acordul persoanei vizate de date este necesar numai în aceste două situații;

8.  subliniază că principiul suplimentar 2 litera (a) nu respectă hotărârea Curții de Justiție în cauza Google Spania/Costeja din 13 mai 2014 (C-131/12) și dreptul la ștergerea datelor („dreptul de a fi uitat”) prevăzut în dreptul UE privind protecția datelor;

9.  este îngrijorat de faptul că aplicarea principiilor „scutului de confidențialitate” ar fi extrem de complicată, deoarece o persoană vizată de date ar trebui să respecte cinci pași consecutivi (depunerea unei plângeri la operator; soluționarea alternativă a litigiilor; depunerea unei plângeri la Departamentul Comerțului sau la Comisia Federală pentru Comerț prin intermediul unei autorități europene de supraveghere în domeniul protecției datelor; Comisia pentru scutul de confidențialitate, instanța SUA); amintește că, în temeiul Directivei 93/13/CEE a Consiliului din 5 aprilie 1993, soluționarea alternativă a litigiilor nu poate fi aplicată pentru contractele cu consumatorii;

10.  subliniază că singura sancțiune pentru un operator care încalcă principiile „scutului de confidențialitate” este scoaterea de pe lista „scutului de confidențialitate”; nu consideră că aceste măsuri sunt echivalente în esență cu sancțiunile administrative sau cu alte sancțiuni prevăzute de dreptul UE privind protecția datelor, în special de regulamentul general privind protecția datelor;

11.  subliniază că nici Comisia Federală pentru Comerț, nici Departamentul Comerțului, nici organismele de soluționare alternativă a litigiilor nu au competențe de investigare comparabile cu cele ale autorităților europene de supraveghere; reamintește că Curtea de Justiție a Uniunii Europene a declarat că deținerea unor competențe de supraveghere reale are un rol esențial pentru supravegherea în domeniul protecției datelor în temeiul legislației primare a UE;

12.  reamintește că o decizie privind caracterul adecvat acordă operatorilor de date din țara terță un acces privilegiat la piața din UE; este îngrijorat de faptul că cerințele mai puțin stricte ale principiilor „scutului de confidențialitate”, în comparație cu dreptul UE privind protecția datelor, ar acorda un avantaj concurențial operatorilor și persoanelor împuternicite de aceștia cu sediul în Statele Unite față de cele cu sediul în Uniune;

13.  regretă faptul că în continuare în SUA nu există o lege generală de protecție a datelor privind consumatorii, în ciuda anumitor eforturi depuse în acest sens în ultimii ani;

Supravegherea exercitată de autoritățile statului

14.  constată că în anexa VI (scrisoarea adresată de Robert S. Litt, ODNI) se clarifică faptul că, în temeiul directivei privind politica prezidențială (denumită în continuare „PPD-28”), se permite în continuare utilizarea datelor și comunicațiilor cu caracter personal ale unor persoane din afara SUA în șase cazuri; subliniază că acest tip de colectare în masă trebuie să fie numai „adaptată pentru a fezabilă” și „rezonabilă”, ceea ce nu implică respectarea criteriilor necesității și proporționalității prevăzute în cartă; subliniază că anul trecut Curtea Europeană a Drepturilor Omului a hotărât că, pentru a asigura realizarea corespunzătoare a testelor legate de necesitate și proporționalitate, autorizațiile de interceptare trebuie să indice în mod clar „o anumită persoană care urmează să fie pusă sub supraveghere sau un singur set de condiții pentru care se solicită autorizația” și că „această identificare se poate face prin nume, adrese, numere de telefon sau alte informații relevante” (Zakharov/Rusia, 2015, punctul 264); subliniază că anul trecut aceeași instanță a indicat și faptul că pentru testul de necesitate intervenția trebuie să fie „strict necesară, ca un motiv deosebit, pentru obținerea unor informații vitale în cadrul unei anumite operațiuni” (Szabo și Vissy/Ungaria, 2015, punctul 73);

15.  constată că în anexa VI se clarifică și faptul că datele și comunicațiile cu caracter personal pot fi păstrate timp de cinci ani și chiar mai mult dacă se consideră că acest demers este „în interesul securității naționale a Statelor Unite”; este îngrijorat de faptul că această prevedere încalcă hotărârea Curții de Justiție a Uniunii Europene privind păstrarea datelor din 2014 (cauzele comune C-293/12 și C-594/12);

16.  subliniază că PPD-28 impune norme noi de limitare a utilizării și diseminării datelor și comunicațiilor cu caracter personal, dar nu limitează colectarea în masă a acestora; constată că nota de subsol nr. 5 din PPD-28 clarifică faptul că „colectarea în masă”, în accepțiunea administrației SUA, nu include supravegherea în masă a datelor și comunicațiilor cu caracter personal și accesul la acestea, ci numai păstrarea în masă a acestor date sau comunicații; este îngrijorat de faptul că se încalcă astfel hotărârea Curții de Justiție a Uniunii Europene în cauza Schrems, în care se specifică faptul că trebuie să se considere că legislația care permite „accesul generalizat la conținutul comunicațiilor electronice compromite esența dreptului fundamental la respectarea vieții private”;

17.  remarcă faptul că PPD-28 nu este echivalentul unei legi a SUA și poate fi anulată în mod unilateral de orice viitor președinte al SUA; atrage atenția asupra faptului că această situație generează insecuritate juridică pentru cetățenii UE care se bazează pe scutul de confidențialitate, având în vedere că toate datele transferate în SUA ar putea să iasă, în viitor, de sub protecția „scutului de confidențialitate”, fără căi de atac posibile, un proces legislativ sau avertizare prealabilă;

18.  constată că excepția generală de la securitatea națională din anexa II punctul 5 la principiile „scutului de confidențialitate” este copiată cuvânt cu cuvânt din principiile „sferei de siguranță”, fără altă restricție;

19.  ia act de numirea unui ombudsman în Departamentul de Stat al SUA ca punct de contact pentru autoritățile de supraveghere din UE în legătură cu supravegherea exercitată de autoritățile de stat; subliniază însă că, în conformitate cu articolul 47 din cartă, este necesar să se prevadă o cale de atac pentru persoana vizată; constată că în anexa III (scrisoarea secretarului de stat John F. Kerry) se afirmă că ombudsmanul „nici nu va confirma, nici nu va infirma dacă persoana respectivă a făcut obiectul supravegherii”, nici nu va „confirma care este calea de atac adecvată” [punctul 4 litera (e)]; subliniază, de asemenea, că ombudsmanul nu dispune de independența necesară față de puterea executivă, deoarece acesta este subordonat secretarului de stat;

20.  constată că, de la anularea deciziei privind „sfera de siguranță”, SUA nu au luat nicio măsură de eliminare a programelor de supraveghere la care s-a referit Curtea de Justiție a Uniunii Europene, ci, dimpotrivă, în 2015, a fost adoptată legea privind schimbul de informații legate de securitatea cibernetică (Cybersecurity Information Sharing Act), iar în prezent se finalizează modificările aduse articolului 41 din Normele federale ale procedurii penale, care ar urma să submineze și mai mult sfera privată a persoanelor din afara SUA;

21.  remarcă faptul că, în ciuda acestor demersuri, SUA este în continuare singura țară care a luat măsuri de protejare a drepturilor fundamentale ca urmare a concluziilor privind operațiunile de supraveghere în masă, SUA adoptând, în 2015, legea libertății (Freedom Act), care a limitat supravegherea în masă exercitată de agențiile de informații ale SUA la teritoriul Statelor Unite; este însă îngrijorat de faptul că statutul juridic al supravegherii în masă exercitate de agențiile de informații ale SUA în afară SUA și a persoanelor din afara SUA pe teritoriul SUA, astfel cum se prevede în Codul SUA [titlul 50, articolul 1881a („secțiunea 702”)], nu s-a schimbat; consideră că SUA ar trebui să adopte o serie de acte legislative suplimentare pentru a remedia această situație;

22.  subliniază că mai multe state membre, inclusiv Franța, Regatul Unit și Țările de Jos, iau în calcul adoptarea unor acte legislative, sau au adoptat deja astfel de acte, care să crească mult competențele și capacitățile lor în materie de supraveghere, dar care nu respectă articolele 7 și 8 din Carta drepturilor fundamentale și jurisprudența Curții de Justiție a Uniunii Europene și a Curții Europene a Drepturilor Omului; invită Comisia să demareze proceduri de constatare a neîndeplinirii obligațiilor împotriva acestor state membre;

Alte aspecte

23.  subliniază că Comisia nu a efectuat nicio evaluare cu privire la drepturile și protecția cetățenilor UE în cazul în care datele care îi vizau au fost transferate de un operator de date din SUA pentru care se aplică „scutul de confidențialitate” către o autoritate de punere în aplicare a legii a SUA; subliniază că anexa VII (scrisoarea adresată de Bruce C. Swartz, Departamentul de Justiție) privind accesul la date în sensul punerii în aplicare a legii se referă numai la accesul la datele păstrate de întreprinderi, dar nu se referă la persoanele vizate și la drepturile cetățenilor de a recurge la căi de atac judiciare pentru persoanele ale căror date sunt accesate;

24.  salută faptul că, în conformitate cu articolul 3 din proiectul de decizie de punere în aplicare a Comisiei, autoritățile UE de supraveghere în domeniul protecției datelor pot în continuare suspenda transferul unor date cu caracter personal către operatori de date care iau parte la mecanismul privind „scutul de confidențialitate”; subliniază că astfel se respectă articolul 4 din Decizia 2001/497/CE a Comisiei privind clauzele contractuale standard pentru transferul de date cu caracter personal către țările terțe;

25.  evidențiază principiul de localizare pe piață introdus de regulamentul general privind protecția datelor; subliniază că, odată cu intrarea în vigoare a regulamentului, mulți operatori de date din SUA care au folosit mecanismul privind „sfera de siguranță” și pot folosi mecanismul privind „scutul de confidențialitate” vor trebui să respecte în mod direct regulamentul atunci când oferă servicii pe piața din UE sau monitorizează persoane aflate în Uniune;

Concluzii

26.  evidențiază, ca o concluzie, faptul că mecanismul privind „scutul de confidențialitate” și situația din SUA nu aduc suficiente îmbunătățiri în comparație cu mecanismul privind „sfera de siguranță”;

27.  subliniază că este foarte probabil ca decizia privind caracterul adecvat, odată adoptată, să fie din nou contestată în instanță; subliniază că astfel se creează o situație de insecuritate juridică pentru întreprinderi și cetățeni; constată că experții și asociațiile de profesionale din domeniul protecției datelor recomandă deja întreprinderilor să folosească alte metode de transfer de date cu caracter personal către SUA;

28.  este îngrijorat de faptul că Comisia ar putea să-și depășească competențele de executare și să decidă că mecanismul privind „scutul de confidențialitate” asigură un nivel corespunzător de protecție în SUA, fără să realizeze o evaluare completă a sistemului SUA și să țină seama de problemele subliniate în prezenta rezoluție;

29.  invită Comisia să continue dialogul cu SUA pentru a face presiuni în vederea realizării unor îmbunătățiri suplimentare în legătură cu mecanismul privind „scutul de confidențialitate”, având în vedere lacunele actuale ale acestuia, cu scopul de a reduce la minimum riscul ca decizia privind caracterul adecvat să fie anulată în instanță;

30.  invită Comisia să includă, cel puțin, o clauză de caducitate de doi ani pentru valabilitatea deciziei privind caracterul adecvat și să înceapă o serie de negocieri noi cu SUA privind îmbunătățirea cadrului aferent, care să aibă la bază regulamentul general privind protecția datelor;

31.  încredințează Președintelui sarcina de a transmite prezenta rezoluție Consiliului și Comisiei, guvernelor și parlamentelor statelor membre, precum și guvernului și Congresului SUA.

(1)

JO L 281, 23.11.1995, p. 31.

(2)

JO L 119, 4.5.2016, p. 1.

(3)

JO L 55, 28.2.2011, p. 13.

(4)

JO C 121, 24.4.2001, p. 152.

(5)

Texte adoptate, P7_TA(2014)0230.

(6)

Texte adoptate, P8_TA(2015)0388.

Aviz juridic - Politica de confidențialitate