Процедура : 2016/2727(RSP)
Етапи на разглеждане в заседание
Етапи на разглеждане на документа : B8-0642/2016

Внесени текстове :

B8-0642/2016

Разисквания :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Гласувания :

PV 26/05/2016 - 6.6
Обяснение на вота

Приети текстове :


ПРЕДЛОЖЕНИЕ ЗА РЕЗОЛЮЦИЯ
PDF 538kWORD 103k
23.5.2016
PE582.663v01-00
 
B8-0642/2016

за приключване на разисквания по изявления на Съвета и на Комисията

съгласно член 123, параграф 2 от Правилника за дейността


относно трансатлантическите потоци от данни (2016/2727(RSP))


Корнелия Ернст, Марина Албиол Гусман, Барбара Спинели, Хавиер Кусо Пермуй, Люк Минг Фланаган, Таня Гонсалес Пеняс, Мигел Урбан Креспо, Лола Санчес Калдентей, Шабиер Бенито Силуага, Естефания Торес Мартинес, Стелиос Кулоглу, Костас Хрисогонос, Димитриос Пападимулис, Мариза Матиаш, Елеонора Форенца, Патрик Льо Ярик от името на групата GUE/NGL

Резолюция на Европейския парламент относно трансатлантическите потоци от данни (2016/2727(RSP))  
B8-0642/2016

Европейският парламент,

–  като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (наричана по-долу „Директивата“)(1), и по-специално член 25 от нея,

–  като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО(2) (наричан по-долу„ Общ регламент относно защитата на данните“), който влезе в сила на 24 май 2016 г. и ще започне да се прилага две години след тази дата,

–  като взе предвид Хартата на основните права на Европейския съюз и Европейската конвенция за защита на правата на човека,

–  като взе предвид решението на Съда на Европейския съюз от 6 октомври 2015 г. по дело C-362/14, Maximillian Schrems/Data Protection Commissioner,

–  като взе предвид проекта на решение за изпълнение на Комисията от 29 февруари 2016 г. относно адекватността на защитата, гарантирана от щита за личните данни в отношенията между ЕС и САЩ, и приложенията към него под формата на писма от администрацията на САЩ и Федералната комисия по търговия на САЩ,

–  като взе предвид съобщението на Комисията от 29 февруари 2016 г. по този въпрос (COM(2016)0117), съобщението на Комисията от 27 ноември 2013 г. относно функционирането на „сферата на неприкосновеност на личния живот“ („Safe Harbour“) от гледна точка на гражданите на ЕС и дружествата, установени в ЕС (COM(2013)0847), и съобщението на Комисията от 27 ноември 2013 г. относно възстановяването на доверието в обмена на данни между ЕС и САЩ (COM(2013)0846),

–  като взе предвид становището по този въпрос (WP 238), прието на 13 април 2016 г. от Работната група по член 29 от директивата, и становищата, предоставени по-рано по същия въпрос (WP 12, WP 27 и WP 32),

–  като взе предвид Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 година за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията(3), и по-специално член 5 от него относно процедурата по разглеждане,

–  като взе предвид своята резолюция от 5 юли 2000 г. относно проекта на решение на Комисията относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“, и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ(4),

–  като взе предвид своята резолюция от 12 март 2014 г. относно програмата за наблюдение на Агенцията за национална сигурност на САЩ, органите за наблюдение в различните държави членки и тяхното отражение върху основните права на гражданите на ЕС и върху трансатлантическото сътрудничество в областта на правосъдието и вътрешните работи(5), както и своята резолюция от 29 октомври 2015 г. относно последващите действия по резолюцията на Европейския парламент от 12 март 2014 г. относно масовото електронно наблюдение на гражданите на ЕС(6),

–  като взе предвид член 123, параграф 2 от своя правилник,

A.  като има предвид, че развитието на информационното общество и електронната търговия, както и развитието на способностите за прехващане от разузнавателните агенции доведоха в световен мащаб до експоненциално нарастване на движението на данни и на електронна комуникация, както и на рисковете, свързани със злоупотребата с тези данни и прехващането на съответната комуникация;

Б.  като има предвид, че тези злоупотреби не само действат като спирачка за развитието на електронната търговия, тъй като те подкопават доверието на потребителите, но и често са нарушение на правата и свободите на хората, по-конкретно нарушение на правото на неприкосновеност на личния живот;

В.  като има предвид, че съществува обща тенденция публичните правоприлагащи органи да обработват огромни количества лични данни, притежавани от частни лица, като по този начин се размива границата между правоприлагащите органи и търговските субекти, което води до сериозни опасения по отношение на ключовия основен принцип за ограничаване в рамките на целта;

Г.  като има предвид, че посредством защитата на данните се осигурява защита на лицата, за които се отнася обработваната информация, и като има предвид, че тази защита е едно от основните права, признати от Съюза (член 8 от Хартата на основните права на ЕС и член 16 от Договора за функционирането на Европейския съюз);

Д.  като има предвид, че с Директива 95/46/ЕО („Директива за защита на данните“), която през 2018 г. ще бъде заменена от Общия регламент относно защитата на данните, се определят правата на субекта на данни и съответните задължения за тези, които обработват данни или които упражняват контрол върху обработването на данни, включително когато лични данни се предават извън ЕС;

Е.  като има предвид, че адекватността на защитата на лични данни в трети държави трябва да бъде оценявана чрез строг контрол на цялото тяхно законодателство, което по принцип трябва да осигурява ниво на защита на личните данни, равностойно на защитата, осигурявана в ЕС;

Ж.  като има предвид, че законодателството на ЕС относно защитата на данните възлага на Комисията задължението да гарантира, от името на граждани на Съюза и на неговите държави членки, наличието на адекватна степен на защита в съответните трети държави;

З.  като има предвид, че в своето решение от 6 октомври 2015 г. Съдът на Европейския съюз обяви за невалидно решението на Комисията относно адекватността на защитата, гарантирана от принципите за „сфера на неприкосновеност на личния живот“, и свързаните с това често задавани въпроси, публикувани от Департамента по търговия на САЩ;

И.  като има предвид, че Съдът на Европейския съюз изясни в това решение, че адекватната степен на защита в дадена трета държава трябва да се разбира като „равностойна по същество“ на защитата, предоставяна в Съюза;

Въведение

1.  изразява своя твърд ангажимент към правата на човека на неприкосновеност на личния живот и на защита на личните данни;

2.  отправя предупреждение във връзка с нарастващата тенденция за създаване на атмосфера, в която както частни, така и публични участници изразяват пълно незачитане на правото на защита на данните и разработват бизнес модели и модели на правоприлагането, които нарушават това основно право, който е в основата на всяко демократично общество;

3.  подчертава, че международните търговски дейности са напълно осъществими в рамката на ЕС за защита на данните, която осигурява високо ниво на защита на личните данни, залегнало в Хартата на основните права на ЕС;

4.  поради това отхвърля погрешното противопоставяне, съгласно което в контекста на основните права повишените нива на неприкосновеност на личния живот и на защита на личните данни като че ли биха възпрепятствали по някакъв начин свободното движение на лични данни между Европа и САЩ;

5.  по-скоро настоява върху факта, че гражданите в целия свят все повече търсят предприятия, които установяват принципа на „неприкосновеност личния живот още при проектирането“ в своите продукти, което свидетелства за наличието на разбиране от страна на гражданите (в качеството им на потребители) и предприятията, че неприкосновеността на личния живот е съществен елемент от ежедневието на всеки човек;

6.  изтъква тенденциите в САЩ, при които частните предприятия се възправят все по-решително срещу нежеланата намеса от страна на държавните органи, които се опитват усърдно да подкопават използваните от предприятията политики на неприкосновеност на личния живот още при проектирането и по подразбиране в техните продукти и услуги;

Частен сектор

7.  подчертава, че основният проблем в Споразумението относно сферата на неприкосновеност на личния живот (Safe Harbour) е нелепият процес на „самостоятелно сертифициране“, чрез който на предприятията се гласува доверието да удостоверяват сами, че те спазват основните принципи за защита на личните данни, в съчетание с пълната липса на способност за правоприлагане от страна на Федералната комисия по търговия (FTC);

8.  посочва, че в областта на основните права саморегулирането само по себе си не може да гарантира баланса на проверките и гаранциите, необходими за осигуряване на ефективна защита на това основно право;

9.  изразява загриженост, че постигнатата неотдавна договореност относно щитa за личните данни (Privacy Shield) няма да бъде в съответствие с изискванията на Хартата на основните права, на Директивата за защита на личните данни, на Общия регламент относно защитата на данните или на съответните съдебни решения на Съда на Европейския съюз и на Европейския съд по правата на човека;

10.  отбелязва, че принципите във връзка с щита за личните данни (приложение II) не предоставят „равностоен по същество“ набор от принципи, тъй като за тях не се изисква съгласието на субекта на данните, те не включват принципа за свеждане до минимум на данните и дават възможност за обработване на лични данни за цели, несъвместими с целта, за която данните са били събрани, като по този начин те не са в съответствие с основните принципи на законодателството на ЕС за защита на данните;

11.  подчертава, че принципите във връзка с щита за личните данни дават цялостно разрешение за всички видове обработване на лични данни, без да е необходимо съгласието на субекта на данните или без пълно право на възражение; изразява загриженост, че дори неучастието („принципите на уведомяването и избора“) се предвижда единствено при съществена промяна на целта или при разкриване на данните пред трета страна; изразява загриженост, че дори когато става въпрос за чувствителни данни, съгласието на субекта на данни се изисква само в тези две ситуации;

12.  посочва, че допълнителният принцип 2(a) е несъвместим с решението на Съда на Европейския съюз от 13 май 2014 г. по делото Google Spain/Costeja (C-131/12) и с правото на заличаване и („правото да бъдеш забравен“) съгласно законодателството на ЕС за защита на данните;

13.  изразява загриженост, че налагането на изпълнението на тези изисквания в съответствие с принципите на щита за личните данни ще бъде изключително труден процес, тъй като субектът на данните ще трябва да извърши пет последователни стъпки (жалба до администратора на лични данни; алтернативно разрешаване на спорове; жалба до Департамента по търговия или до Федералната комисия по търговия на САЩ чрез европейски надзорен орган за защита на личните данни; орган относно щита за личните данни; Съд на САЩ); припомня, че съгласно Директива 93/13/ЕИО на Съвета от 5 април 1993 г. се забранява алтернативното разрешаване на спорове за потребителски договори;

14.  изтъква, че единствената санкция за администратор, който действа в нарушение на принципите във връзка с щита за личните данни, е заличаването от списъка относно щита за личните данни; не счита тази санкция за равностойна по същество на административните санкции и други наказания, предвидени в законодателството на ЕС за защита на данните, по-специално в Общия регламент за защита на данните;

15.  подчертава, че нито Федералната комисия по търговия (FTC), нито Департаментът по търговия или субектите, предоставящи алтернативно разрешаване на спорове, разполагат с правомощия за разследване, сравними с правомощията на европейските надзорни органи; припомня, че Съдът на Европейския съюз обяви, че ефективните надзорни правомощия са абсолютно необходими за надзора в областта на защитата на данните по силата на първичното законодателство на ЕС;

16.  призовава за опростяване и рационализиране на съдържащата се в щита за личните данни процедура на изпълнение, така че да се гарантира равностойно изпълнение и да се даде възможност за пряко процедурно участие на националния орган за защита на данните, който действа от името на субекта на данните;

17.  припомня, че решението относно адекватността дава на администраторите на лични данни от съответната трета държава привилегирован достъп до пазара на ЕС; изразява загриженост, че по-занижените изисквания на принципите във връзка с щита за личните данни в сравнение със законодателството на ЕС за защита на данните биха дали конкурентно предимство на администраторите и обработващите лични данни, установени в САЩ, спрямо установените в ЕС;

18.  изразява съжаление относно факта, че в САЩ все още липсва всеобхватен закон за защита на данните на потребителите, въпреки че през последните години бяха положени известни усилия;

Държавно наблюдение

19.  изразява сериозна загриженост относно възможността за достъп на публичните органи до данни, предадени по схемата на щита за личните данни, която не предоставя достатъчно подробности, които да изключват масово и безразборно събиране на лични данни с произход от ЕС; припомня, че този елемент е ключов елемент в решението на Съда на Европейските общности по дело C -362/14 (Maximillian Schrems срещу Data Protection Commissioner), в което той обявява решението относно „сферата на неприкосновеност на личния живот“ (Safe Harbour) за недействително, тъй като то не защитава жалбоподателя срещу нежеланите надзорни правомощия на органите на САЩ, както стана ясно от разкритията на Сноудън;

20.  отбелязва, че приложение VI (писмо от Робърт С. Лит, Служба на директора на Националната разузнавателна служба) пояснява, че съгласно президентския изпълнителен указ № 28 (наричан по-долу „PPD-28“) събирането на масиви от лични данни и комуникации на лица, които не са граждани на САЩ, все още е разрешено в шест случая; посочва, че подобно събиране на масиви от данни трябва да бъде „както пригодено, така и приложимо“ и „разумно“, което не отговаря на по-строгите критерии за необходимост и пропорционалност, които са задължителни в Хартата; отбелязва, че миналата година Европейският съд по правата на човека постанови, че за да се гарантира правилното изпълнение на проверката на необходимостта и пропорционалността, в разрешението за прехващане трябва ясно да се идентифицира „дадено лице, което да бъде поставено под наблюдение, или определена сграда, за която разрешението е разпоредено“, и че „това идентифициране може да се извършва чрез имена, адреси, телефонни номера и друга съответна информация“ (Роман Захаров срещу Русия (2015), 47143/06 , 4 декември 2015 г., параграф 264); отбелязва, че миналата година Европейският съд по правата на човека уточни също така, че проверката на необходимостта изисква намесата да бъде „крайно необходима, по-специално що се отнася до получаването на разузнавателна информация от жизненоважно значение при отделна операция“ (Szabó и Vissy срещу Унгария, 37138/14 , 12 януари 2016 г., параграф 73);

21.  отбелязва, че приложение VI също така пояснява, че личните данни и комуникациите могат да се пазят в продължение на пет години и дори повече, ако се счете, че това е „в рамките на интересите на националната сигурност на Съединените щати“; изразява опасение, че това е в нарушение на решението на Съда на Европейския съюз от 2014 г. относно запазването на данни (съединени дела C-293/12 и C-594/12);

22.  отбелязва, че PPD-28 налага нови правила, ограничаващи използването и разпространението на лични данни и комуникации на лица, които не са граждани на САЩ, но не ограничава събирането на масиви от тези данни; отбелязва, че в бележка под линия № 5 от PPD-28 се пояснява, че според администрацията на САЩ „събирането на масиви от данни“ не включва масово наблюдение на лични данни или комуникации и достъп до тях, а само масово съхранение на такива данни или комуникации; изразява загриженост, че това е в нарушение на решението по делото Schrems на Съда на Европейския съюз, в което се посочва, че „общият достъп до съдържанието на електронни съобщения трябва да се счита за засягаща същественото съдържание на основното право на зачитане на личния живот“;

23.  отбелязва, че общото изключение относно националната сигурност в приложение II, точка 5 към принципите във връзка с щита за личните данни е копирано дословно от принципите за „сфера на неприкосновеност на личния живот“ и то не е допълнително ограничено;

24.  отбелязва назначаването на омбудсман в Държавния департамент на САЩ като лице за контакт за надзорните органи на ЕС във връзка с държавното наблюдение; посочва обаче, че в член 47 от Хартата се изисква предоставянето на възможност за правни средства за защита на самия субект; отбелязва, че в приложение III (писмо от държавния секретар на САЩ Джон Ф. Кери) се посочва, че омбудсманът „не потвърждава, нито отрича дали лицето е било обект на наблюдение, както и че не потвърждава приложените конкретни правни средства за защита“ (параграф 4, буква д)); отбелязва също така, че омбудсманът не притежава необходимата независимост от изпълнителната власт, тъй като той докладва на държавния секретар;

25.  отбелязва, че след обявяването на решението относно „сферата на неприкосновеност на личния живот“ за невалидно САЩ не са предприели никакви мерки за ограничаване на програмите за надзор, посочени от Съда на Европейския съюз, а напротив, през 2015 г. са приели Закона за обмен на информация в областта на киберсигурността (Cybersecurity Information Sharing Act) и понастоящем са в процес на приключване на промените по член 41 от федералните правила относно наказателното производство, което допълнително би накърнило неприкосновеността на личния живот на лица, които не са граждани на САЩ;

26.  отбелязва, че въпреки тези действия САЩ продължават да бъдат единствената държава, която предприе мерки за защита на основните права в контекста на разкритията относно операциите за глобално наблюдение, като през 2015 г. прие Закона на САЩ за свободата, ограничаващ масовото наблюдение от страна на разузнавателните агенции на САЩ в рамките на държавата; въпреки това изразява загриженост, че не се е променило правното положение във връзка с масовото наблюдение от страна на разузнавателните агенции на САЩ извън държавата и на лица с неамерикански произход в САЩ, както е предвидено в Кодекса на САЩ (дял 50, параграф 1881a, раздел 702); счита, че САЩ следва да приемат допълнително законодателство за справяне с това положение;

27.  посочва, че няколко държави членки, включително Франция и Обединеното кралство, обмислят приемането или вече са приели законодателство, което значително увеличава техните надзорни правомощия и капацитет, но не отговаря на изискванията на членове 7 и 8 от Хартата на основните права, нито на съдебната практика на Съда на Европейския съюз и на Европейския съд по правата на човека; призовава Комисията да започне процедури за нарушение срещу тези държави членки;

Други въпроси

28.  отбелязва, че Комисията не е извършила оценка относно правата и защитата на гражданите на ЕС, когато личните им данни се прехвърлят от администратор на лични данни от САЩ, обхванат от щита за личните данни, към правоприлагащ орган от САЩ; посочва, че приложение VII (писмо от Брус C. Суорц, Министерство на правосъдието) относно достъпа на правоприлагащите органи до данни се отнася единствено за достъпа до данни, съхранявани от дружествата, но не разглежда субекта на данните и правото на съдебна защита на лицата, до чиито данни има достъп;

29.  приветства факта, че съгласно член 3 от проекта на решение за изпълнение на Комисията надзорните органи на ЕС за защита на данните могат да спрат прехвърлянето на лични данни към администраторите на лични данни, участващи в договореността относно щита за личните данни; посочва, че това е в съответствие с член 4 от Решение № 2001/497/ЕО на Комисията относно общите договорни клаузи за трансфера на лични данни към трети държави;

30.  подчертава принципа на местоположението на пазара, въведен в Общия регламент относно защитата на данните; изтъква, че след като този регламент започне да се прилага, голям брой администратори на данни от САЩ, които са използвали договореността относно „сферата на неприкосновеност на личния живот“ и могат да използват договореността относно щита за личните данни, ще трябва да спазват пряко регламента, когато предлагат услуги на пазара на ЕС или наблюдават лица в Съюза, като включително ще трябва да са в съответствие с режима за изпълнение, както е определено в регламента;

Заключения

31.  заключава, че договореността относно щита за личните данни и положението в САЩ не водят до съществени подобрения в сравнение с договореността относно „сферата на неприкосновеност на личния живот“;

32.  изтъква, че е много вероятно след като бъде приет проектът на решение относно адекватността, той да бъде отново оспорван в съда; изтъква, че това създава положение на правна несигурност за предприятията и физическите лица; отбелязва, че експерти по защита на данните и стопанските асоциации вече съветват дружествата да използват други средства за предаване на лични данни на САЩ;

33.  изразява загриженост, че Комисията може би надвишава своите изпълнителни правомощия, когато решава, че договореността относно щита за личните данни предоставя адекватно ниво на защита в САЩ, без да е извършила цялостна оценка на системата в САЩ и без да е взела предвид въпросите, изтъкнати в настоящата резолюция;

34.  призовава Комисията да включи клауза за изтичане на срока на действие от две години за валидността на решението за адекватността и да започне нови преговори със САЩ за подобрена рамка въз основа на Общия регламент относно защитата на данните;

35.  възлага на своя председател да предаде настоящата резолюция на Съвета, на Комисията, на правителствата и парламентите на държавите членки, както и на правителството и Конгреса на САЩ.

(1)

ОВ L 281, 23.11.1995 г., стр. 31.

(2)

ОВ L 119, 4.5.2016 г., стр. 1.

(3)

ОВ L 55, 28.2.2011 г., стр. 13.

(4)

ОВ С 121, 24.4.2001 г., стр. 152.

(5)

Приети текстове, P7_TA(2014)0230.

(6)

Приети текстове, P8_TA(2015)0388.

Правна информация - Политика за поверителност