Förfarande : 2016/2727(RSP)
Dokumentgång i plenum
Dokumentgång : B8-0622/2016

Ingivna texter :

B8-0622/2016

Debatter :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Omröstningar :

PV 26/05/2016 - 6.6
Röstförklaringar

Antagna texter :


FÖRSLAG TILL RESOLUTION
PDF 275kWORD 81k
17.5.2016
PE582.642v01-00
 
B8-0622/2016

till följd av uttalanden av rådet och kommissionen

i enlighet med artikel 123.2 i arbetsordningen


om transatlantiska dataflöden (2016/2727(RSP))


Jan Philipp Albrecht, Judith Sargentini för Verts/ALE-gruppen

Europaparlamentets resolution om transatlantiska dataflöden (2016/2727(RSP))  
B8-0622/2016

Europaparlamentet utfärdar denna resolution

–  med beaktande av Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(1) (nedan kallat direktivet), särskilt artikel 25,

–  med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG(2) (nedan kallad allmänna dataskyddsförordningen), som trädde i kraft den 24 maj 2016 och kommer att tillämpas från och med den 25 maj 2018,

–  med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och av den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen),

–  med beaktande av EU-domstolens dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner,

–  med beaktande av utkastet till kommissionens genomförandebeslut av den 29 februari 2016 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA samt av bilagorna till beslutet, i form av skrivelser från dem amerikanska administrationen och Förenta staternas federala handelskommission,

–  med beaktande av kommissionens meddelande av den 29 februari 2016 Transatlantiska dataflöden: Återställande av förtroendet genom starka skyddsåtgärder (COM(2016)0117), kommissionens meddelande av den 27 november 2013 om hur principerna om integritetsskydd (safe harbour) fungerar när det gäller EU:s medborgare och företag som är etablerade i EU (COM(2013)0847) och kommissionens meddelande av den 27 november 2013 om återskapande av förtroendet för dataflöden mellan EU och Förenta staterna (COM(2013)0846),

–  med beaktande av det yttrande över ärendet (WP 238), som antogs den 13 april 2016 av den arbetsgrupp som inrättats med stöd av artikel 29 i direktivet, och av de yttranden över samma fråga som tidigare avgetts (WP12, WP27 och WP 32),

–  med beaktande av Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter(3), särskilt artikel 5 om granskningsförfarandet,

–  med beaktande av sin resolution av den 5 juli 2000 om utkastet till kommissionens beslut om huruvida Förenta staternas safe harbor-principer ger ett adekvat skydd samt tillhörande frågor och svar som utfärdats av Förenta staternas handelsministerium(4),

–  med beaktande av sin resolution av den 12 mars 2014 om amerikanska NSA:s övervakningsprogram, övervakningsorgan i olika medlemsstater samt inverkan på EU-medborgarnas grundläggande rättigheter och på det transatlantiska samarbetet i rättsliga och inrikes frågor(5), och av sin resolution av den 29 oktober 2015 om uppföljning av Europaparlamentets resolution av den 12 mars 2014 om den elektroniska massövervakningen av EU:s medborgare(6),

–  med beaktande av artikel 123.2 i arbetsordningen, och av följande skäl:

A.  Informationssamhällets och e-handelns utveckling har, tillsammans med utvecklingen av underrättelseväsendenas avlyssningsmöjligheter, i global skala lett till en exponentiell ökning av dataöverföring och elektroniska kommunikationer, samt av riskerna för att dessa data missbrukas och kommunikationerna avlyssnas.

B.  Missbruk av det här slaget är inte bara en bromskloss för e-handelns utveckling i och med att konsumenternas förtroende undergrävs, utan innebär också ofta en kränkning av människors fri- och rättigheter. Framför allt inkräktar det på rätten till personlig integritet.

C.  Dataskydd innebär att man skyddar de människor till vilka den information som bearbetas hänför sig. Detta skydd är en av de grundläggande rättigheter som erkänts av unionen (artikel 8 i stadgan och artikel 16 i fördraget om Europeiska unionens funktionssätt).

D.  I det direktiv som kommer att ersättas av den allmänna dataskyddsförordningen under 2018 fastställs rättigheter för den registrerade och motsvarande skyldigheter för dem som bearbetar data eller utövar kontroll över denna bearbetning.

E.  Det här skyddet skulle inte tjäna till någonting om det bara gällde på unionens territorium, och inte också samtidigt, såsom det föreskrivs i direktivet, gav ett lämpligt skydd i de tredjeländer till vilka dessa data överförs.

F.  Frågan om huruvida personuppgifter får adekvat skydd i något tredjeland måste bedömas utgående från tredjelandets nationella lagstiftning eller dess internationella åtaganden, och dessa måste visa sig fungera effektivt i praktiken.

G.  Kommissionen måste på unionsmedborgarnas och medlemsstaternas vägnar säkerställa att de berörda tredjeländerna har en adekvat nivå av skydd.

H.  Med sin dom av den 6 oktober 2015 ogiltigförklarade Europeiska unionens domstol kommissionens beslut om huruvida Förenta staternas safe harbor-principer ger ett adekvat skydd samt tillhörande frågor och svar som utfärdats av Förenta staternas handelsministerium.

I.  Europeiska unionens domstol klarlade i domen att en adekvat nivå av skydd i ett tredjeland måste anses betyda att nivån är ”väsentligen likvärdig” med det skydd som erbjuds i unionen.

Inledning

1.  Europaparlamentet välkomnar vad kommissionen och Förenta staternas administration gjort för att skölden för skydd av privatlivet ska bli åtskilligt bättre än beslutet om safe harbor-principerna.

2.  Europaparlamentet understryker vikten av skydd för grundläggande rättigheter, bland dem också rätten till dataskydd och personlig integritet.

3.  Europaparlamentet understryker vikten av handel och samarbete över Atlanten.

4.  Europaparlamentet understryker vikten av rättslig säkerhet för de registrerade och för de registeransvariga.

5.  Europaparlamentet befarar att skölden för skydd av privatlivet kanske inte helt uppfyller kraven i stadgan, direktivet, den allmänna dataskyddsförordningen och relevanta domar från både Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna.

Privat sektor

6.  Europaparlamentet konstaterar att principerna för skölden för skydd av privatlivet (bilaga II) inte är väsentligen likvärdiga principer, eftersom de inte kräver den registrerades samtycke, inte innefattar principen om uppgiftsminimering och tillåter bearbetning av personuppgifter för ändamål som är oförenliga med det ändamål för vilket uppgifterna insamlats.

7.  Europaparlamentet påpekar att principerna för skölden för skydd av privatlivet innebär en blankofullmakt för all slags bearbetning av personuppgifter, utan att den registrerade vare sig behöver ge sitt samtycke eller har någon fullständig rätt att göra invändningar. Parlamentet oroar sig över att till och med undantagsklausuler (”tillkännagivande och val”) föreskrivs endast om ändamålet förändras i sak eller om uppgifterna avslöjas för tredje part. Parlamentet oroar sig över att till och med för känsliga uppgifter krävs den registrerades samtycke endast i dessa två fall.

8.  Europaparlamentet påpekar att den kompletterande principen 2 a är oförenlig med domstolens dom av den 13 maj 2014 i mål C-131/12, Google Spain mot Costeja, och rätten till radering (”rätten att bli bortglömd”) enligt EU:s dataskyddslagstiftning.

9.  Europaparlamentet befarar att verkställandet med stöd av principerna för skölden för skydd av privatlivet skulle bli ytterst svårt, eftersom en registrerad skulle bli tvungen att vidta fem på varandra följande åtgärder (klagomål till den registeransvarige, alternativ tvistlösning, klagomål till Förenta staternas handelsdepartement eller Förenta staternas federala handelskommission via en europeisk tillsynsmyndighet för dataskydd, panelen för skölden för skydd av privatlivet, amerikansk domstol). Parlamentet erinrar om att det enligt rådets direktiv 93/13/EEG av den 5 april 1993 är förbjudet med alternativ tvistlösning i samband med konsumentavtal.

10.  Europaparlamentet påpekar att den enda påföljd som en registeransvarig kan drabbas av vid överträdelse av principerna för skölden för skydd av privatlivet är att strykas från den förteckning som ingår i skölden. Parlamentet kan inte anse detta som väsentligen likvärdigt med de administrativa påföljder och andra sanktioner som finns i EU:s dataskyddslagstiftning, framför allt i den allmänna dataskyddsförordningen.

11.  Europaparlamentet påpekar att varken Förenta staternas federala handelskommission eller handelsdepartement eller de som tillhandahåller möjligheter till alternativ tvistlösning har sådana utredningsbefogenheter som kan jämföras med de europeiska tillsynsmyndigheternas. Parlamentet erinrar om att Europeiska unionens domstol förklarat att effektiva tillsynsbefogenheter är väsentliga för tillsynen över dataskyddet enligt EU:s primärrätt.

12.  Europaparlamentet erinrar om att ett beslut om att dataskyddet är adekvat ger registeransvariga från tredjeländer privilegierat tillträde till EU:s marknad. Parlamentet befarar att de mindre rigorösa kraven i principerna för skölden för skydd av privatlivet, jämfört med i EU:s dataskyddslagstiftning, skulle ge registeransvariga och databehandlare i Förenta staterna en konkurrensfördel i förhållande till dem som är etablerade i unionen.

13.  Europaparlamentet beklagar att Förenta staterna fortfarande inte har någon heltäckande rättsakt om skydd för konsumentuppgifter, trots vissa ansatser till det under de senaste åren.

Statlig övervakning

14.  Europaparlamentet konstaterar att bilaga VI (skrivelse från Robert S. Litt, ODNI) gör det klart att den amerikanska presidentens policydirektiv 28 (Presidential Policy Directive, nedan kallat PPD-28), i sex fall fortfarande tillåter användning av personuppgifter och personliga kommunikationer som insamlats i massiv skala från personer som inte är amerikanska medborgare. Parlamentet påpekar att denna massiva insamling endast måste vara ”så pass skräddarsydd som det låter sig göras” och ”rimlig”, något som inte uppfyller de striktare kriterierna för nödvändighet och proportionerlighet som fastställs i stadgan. Parlamentet påpekar att Europeiska domstolen för de mänskliga rättigheterna i ett utslag i fjol slog fast att man, för att säkerställa korrekt tillämpning av nödvändighets- och proportionerlighetstestet, i ett avlyssningstillstånd tydligt måste identifiera ”en specifik person som skulle ställas under övervakning eller en viss uppsättning fastigheter, såsom de fastigheter tillståndet hänförde sig till” och att ”denna identifiering kan göras med hjälp av namn, adresser, telefonnummer eller annan relevant information” (Zakharov mot Ryssland (2015) punkt 264). Parlamentet påpekar att samma domstol i fjol också klargjorde att nödvändighetstestet förutsatte att ingreppet var ”strikt nödvändigt, såsom ett särskilt övervägande, för erhållande av väsentlig information i en enskild operation” (Szabó och Vissy mot Ungern (2015), punkt 73).

15.  Europaparlamentet konstaterar att bilaga VI också gör det klart att personuppgifter och personliga kommunikationer får lagras i fem år, eller rentav ännu längre om det anses vara ”av intresse för Förenta staternas nationella säkerhet”. Parlamentet befarar att detta strider mot Europeiska unionens domstols dom om lagring av uppgifter från 2014 (de förenade målen C-293/12 and C-594/12).

16.  Europaparlamentet konstaterar att PPD-28 uppställer nya begränsningar för användning och spridning av personuppgifter och personliga kommunikationer från personer som inte är amerikanska medborgare, men inte begränsar insamlingen av dem i massiv skala. Parlamentet konstaterar att det i fotnot 5 i PPD-28 görs klart att ”insamling i massiv skala” enligt den amerikanska administrationen inte inbegriper massövervakning av och tillgång i massiv skala till personuppgifter eller personliga kommunikationer, utan endast lagring i massiv skala av sådana uppgifter eller kommunikationer. Parlamentet befarar att detta strider mot Europeiska unionens domstols dom i målet Schrems där det står att ”en lagstiftning som tillåter myndigheterna generell åtkomst till innehållet i elektroniska kommunikationer [måste] anses kränka det väsentliga innehållet i den grundläggande rätten till respekt för privatlivet”.

17.  Europaparlamentet konstaterar att PPD-28 inte är liktydigt med amerikansk lag och kan ensidigt dras tillbaka av vilken framtida amerikansk president som helst. Parlamentet varnar för att detta skapar osäkerhet för unionsmedborgare som anlitar skölden för skydd av privatlivet, eftersom alla data som överförts till Förenta staterna i framtiden skulle kunna förlora det skydd som skölden erbjuder dem, utan att det finns några rättsmedel eller lagstiftningsförfaranden och utan att det ges någon förvarning.

18.  Europaparlamentet konstaterar att det generella undantaget med anledning av nationell säkerhet i bilaga II punkt 5 i principerna för skölden för skydd av privatlivet tagits över ordagrant från safe harbor-principerna och inte ålagts några ytterligare begränsningar.

19.  Europaparlamentet konstaterar att det i Förenta staternas utrikesdepartement utnämnts en ombudsperson som ska fungera som kontaktpunkt för EU:s tillsynsmyndigheter i frågor som berör statlig övervakning. Parlamentet påpekar dock att artikel 47 i stadgan kräver att den registrerade själv ska ha möjlighet till prövning inför domstol. Parlamentet konstaterar att det i bilaga III (skrivelse från utrikesminister John F. Kerry) står att ombudspersonen ”varken kommer att bekräfta eller vederlägga att någon blivit föremål för övervakning”, och inte heller ”bekräfta det specifika rättsmedlet” (punkt 4 e). Parlamentet påpekar också att ombudspersonen saknar nödvändigt oberoende, eftersom han eller hon rapporterar till utrikesministern.

20.  Europaparlamentet konstaterar att Förenta staterna, efter det att beslutet om safe harbor‑principerna ogiltigförklarats, inte gjort någonting för att skära ned på de övervakningsprogram som åsyftats av Europeiska unionens domstol, utan tvärtom har antagit lagen om delgivning av information för it-säkerhetsändamål (Cybersecurity Information Sharing Act) från 2015 och för närvarande är på väg att slutföra ändringarna av regel 41 i de federala reglerna för rättegångar i brottmål, vilket ytterligare skulle undergräva den personliga integriteten för personer som inte är amerikanska medborgare.

21.  Europaparlamentet konstaterar att Förenta staterna, trots dessa åtgärder, kvarstår som det enda land som, efter avslöjandet av de globala övervakningsoperationerna, vidtagit åtgärder för att skydda de grundläggande rättigheterna, vilket skedde genom antagandet av frihetslagen (USA Freedom Act) 2015, som begränsat de amerikanska underrättelsetjänsternas massövervakning inom Förenta staterna. Parlamentet oroar sig dock för att det inte skett några förändringar av den rättsliga situationen för de amerikanska underrättelsetjänsternas massövervakning utanför Förenta staterna samt, inom Förenta staterna, av personer som inte är amerikanska medborgare (Title 50, §1881a (‘Section 702’)). Parlamentet anser att Förenta staterna bör anta ytterligare lagstiftning för att korrigera situationen.

22.  Europaparlamentet påpekar att flera medlemsstater, bl.a. Frankrike, Storbritannien och Nederländerna överväger att anta eller redan har antagit lagstiftning som avsevärt ökar deras befogenheter och kapacitet att utöva övervakning, men som inte följer vare sig artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna eller rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Parlamentet uppmanar kommissionen att inleda överträdelseförfaranden mot dessa medlemsstater.

Övriga frågor

23.  Europaparlamentet påpekar att kommissionen inte gjort någon bedömning av unionsmedborgares rättigheter och skydd i samband med att deras personuppgifter överförs av en amerikansk registeransvarig som omfattas av skölden för skydd av privatlivet till en brottsbekämpande myndighet i Förenta staterna. Parlamentet påpekar att bilaga VII (skrivelse från Bruce C. Swartz vid Förenta staterna justitiedepartement) om brottsbekämpning endast handlar om tillträdet till data som lagras av företag, men inte tar upp frågan om den registrerade och om vilka rättsmedel som står till buds för de personer till vilkas data man berett sig tillträde.

24.  Europaparlamentet välkomnar att artikel 3 i utkastet till kommissionens genomförandebeslut fortfarande ger EU:s tillsynsmyndigheter för dataskyddet möjlighet att tillfälligt inställa överföringen av personuppgifter till registeransvariga som medverkar i skölden för skydd för privatlivet. Parlamentet påpekar att detta stämmer överens med artikel 4 i kommissionens beslut om standardavtalsklausuler för överföring av personuppgifter till tredje land.

25.  Europaparlamentet framhåller principen om marknadens belägenhet, som införts i den allmänna dataskyddsförordningen. Parlamentet påpekar att när den förordningen en gång börjar tillämpas kommer många registeransvariga i Förenta staterna, som använt Safe Harbour-principerna och kan använda skölden för skydd för privatlivet, att bli tvungna att direkt följa förordningen när de erbjuder tjänster på EU:s marknad eller övervakar personer som befinner sig inom unionen.

Slutsatser

26.  Europaparlamentet anser att skölden för skydd för privatlivet och situationen i Förenta staterna inte innebär tillräckligt genomgripande förbättringar jämfört med Safe Harbour-principerna.

27.  Europaparlamentet påpekar att det är högst sannolikt att utkastet till beslut om adekvat skydd, när det väl antagits, än en gång kommer att ifrågasättas inför domstol. Parlamentet påpekar att detta ger upphov till en situation av rättslig osäkerhet, både för företag och för enskilda personer. Parlamentet konstaterar att dataskyddsexperter och sammanslutningar av företag redan rekommenderar företagen att använda andra sätt att överföra personuppgifter till Förenta staterna.

28.  Europaparlamentet befarar att kommissionen kan komma att överskrida sina genomförandebefogenheter genom att besluta att skölden för skydd för privatlivet ger en adekvat skyddsnivå i Förenta staterna, utan att göra någon fullständig bedömning av det amerikanska systemet och utan att beakta de frågor som aktualiserats i denna resolution.

29.  Europaparlamentet uppmanar kommissionen att fortsätta dialogen med Förenta staterna för att arbeta för ytterligare förbättringar av skölden för skydd för privatlivet mot bakgrund av dess nuvarande brister, för att risken för att beslutet om adekvat skyddsnivå inte ska gå igenom i domstol.

30.  Europaparlamentet uppmanar kommissionen att i varje fall ta med en klausul om att beslutet om en adekvat skyddsnivå ska upphöra att gälla inom två år, och att börja förhandling med Förenta staterna om en bättre ram, utgående från den allmänna dataskyddsförordningen.

31.  Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet, kommissionen, regeringarna och parlamenten i medlemsstaterna samt Förenta staternas regering och kongress.

(1)

EGT L 281, 23.11.1995, s. 31.

(2)

EUT L 119, 4.5.2016, s. 1.

(3)

EUT L 55, 28.2.2011, s. 13.

(4)

EGT C 121, 24.4.2001, s. 152.

(5)

Antagna texter, P7_TA(2014)0230.

(6)

Antagna texter, P8_TA(2015)0388.

Rättsligt meddelande - Integritetspolicy