Postup : 2016/2727(RSP)
Průběh na zasedání
Stadia projednávání dokumentu : B8-0642/2016

Předložené texty :

B8-0642/2016

Rozpravy :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Hlasování :

PV 26/05/2016 - 6.6
Vysvětlení hlasování

Přijaté texty :


NÁVRH USNESENÍ
PDF 369kWORD 97k
23.5.2016
PE582.663v01-00
 
B8-0642/2016

předložený na základě prohlášení Rady a Komise

v souladu s čl. 123 odst. 2 jednacího řádu


o transatlantických tocích údajů (2016/2727(RSP))


Cornelia Ernst, Marina Albiol Guzmán, Barbara Spinelli, Javier Couso Permuy, Luke Ming Flanagan, Tania González Peñas, Miguel Urbán Crespo, Lola Sánchez Caldentey, Xabier Benito Ziluaga, Estefanía Torres Martínez, Stelios Kouloglou, Kostas Chrysogonos, Dimitrios Papadimoulis, Marisa Matias, Eleonora Forenza, Patrick Le Hyaric, za skupinu GUE/NGL

Usnesení Evropského parlamentu o transatlantických tocích údajů (2016/2727(RSP))  
B8-0642/2016

Evropský parlament,

–  s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („směrnice“)(1), a zejména na článek 25 uvedené směrnice,

–  s ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES(2) („obecné nařízení o ochraně osobních údajů“), které vstoupilo v platnost dne 24. května 2016 a bude uplatňováno za dva roky od tohoto data,

–  s ohledem na Listinu základních práv Evropské unie a na Evropskou úmluvu o lidských právech,

–  s ohledem na rozsudek Evropského soudního dvora ze dne 6. října 2015 ve věci C-362/14 Maximillian Schrems v. komisař pro ochranu údajů,

–  s ohledem na návrh prováděcího rozhodnutí Komise ze dne 29. února 2016 o odpovídající úrovni ochrany zajišťované systémem EU-USA na ochranu soukromí („Privacy Shield“) a na jeho přílohy v podobě dopisů administrativy USA a Federální obchodní komise USA,

–  s ohledem na sdělení Komise ze dne 29. února 2016 o této záležitosti (COM(2016)0117), na sdělení Komise ze dne 27. listopadu 2013 o fungování „bezpečného přístavu“ z pohledu občanů EU a společností usazených v EU (COM(2013)0847) a na sdělení Komise ze dne 27. listopadu 2013 o obnovení důvěry v toky údajů mezi EU a USA (COM(2013)0846),

–  s ohledem na stanovisko (WP 238), které v této věci přijala dne 13. dubna 2016 pracovní skupina zřízená podle článku 29 směrnice, a na dřívější stanoviska předložená k téže záležitosti (WP 12, WP 27 a WP 32),

–  s ohledem na nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí(3), a zejména na článek 5 uvedeného nařízení, který se týká přezkumného postupu,

–  s ohledem na své usnesení ze dne 5. července 2000 o návrhu rozhodnutí Komise o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ a souvisejících „často kladených dotazů“ vydaných Ministerstvem obchodu Spojených států(4),

–  s ohledem na své usnesení ze dne 12. března 2014 o programu agentury NSA (USA) pro sledování, subjektech členských států pro sledování a dopadech na základní práva občanů EU a na transatlantickou spolupráci v oblasti spravedlnosti a vnitřních věcí(5) a na své usnesení ze dne 29. října 2015 o opatřeních v návaznosti na usnesení Evropského parlamentu ze dne 12. března 2014 o hromadném elektronickém sledování občanů EU(6),

–  s ohledem na čl. 123 odst. 2 jednacího řádu,

A.  vzhledem k tomu, že rozvoj informační společnosti a elektronického obchodu a stále lepší schopnost zpravodajských služeb sledovat komunikaci vedly v celosvětovém měřítku k exponenciálnímu nárůstu pohybu údajů a elektronické komunikace a rovněž rizika zneužití těchto údajů a zachycení této komunikace;

B.  vzhledem k tomu, že takové případy zneužití nejen že brzdí rozvoj elektronického obchodu, neboť oslabují důvěru spotřebitelů, ale také často představují porušení práv a svobod osob, a zejména narušení práva na soukromí;

C.  vzhledem k tomu, že celosvětově lze pozorovat trend, že veřejné orgány činné v trestním řízení zpracovávají obrovské objemy osobních údajů držených soukromými subjekty, čímž se stírá hranice mezi orgány pro vymáhání práva a komerčními aktéry a což vyvolává vážné znepokojení ohledně klíčové základní zásady omezení účelu;

D.  vzhledem k tomu, že ochranou údajů se rozumí ochrana osob, jichž se zpracovávané údaje týkají, a vzhledem k tomu, že ochrana údajů je jedním ze základních práv uznávaných Unií (článek 8 Listiny základních práv a článek 16 SFEU);

E.  vzhledem k tomu, že směrnice 94/46/ES („směrnice o ochraně údajů“), kterou v roce 2018 nahradí obecné nařízení o ochraně údajů, stanoví práva subjektu údajů a příslušné povinnosti těch, kteří údaje zpracovávají nebo jejich zpracování kontrolují, včetně případů, kdy jsou osobní údaje předávány mimo Unii;

F.  vzhledem k tomu, že odpovídající úroveň ochrany osobních údajů ve třetích zemích je třeba sledovat pečlivým posouzením jejich celého právního systému, který musí celkově poskytovat rovnocennou úroveň ochrany osobních údajů jako právní systém EU;

G.  vzhledem k tomu, že právní předpisy EU upravující ochranu údajů svěřují Komisi povinnost zajistit jménem občanů Unie a jejích členských států odpovídající úroveň ochrany údajů ve třetích zemích;

H.  vzhledem k tomu, že Evropský soudní dvůr ve svém rozsudku ze dne 6. října 2015 zrušil platnost rozhodnutí Komise o odpovídající úrovni ochrany soukromí poskytované na základě zásad „bezpečného přístavu“ a souvisejících často kladených dotazů vydaných Ministerstvem obchodu Spojených států;

I.  vzhledem k tomu, že Soudní dvůr v uvedeném rozsudku uvedl, že odpovídající úroveň ochrany ve třetí zemi je nutné chápat jako „v zásadě rovnocennou“ úrovni ochrany zajištěné v Unii;

Úvod

1.  vyjadřuje pevné odhodlání k dodržování lidského práva na soukromí a na ochranu osobních údajů;

2.  varuje před narůstajícím trendem směrem ke kultuře, kdy soukromí i veřejní aktéři zjevně porušují právo na ochranu údajů a vytvářejí modely podnikání a vymáhání práva, jež jsou v rozporu s tímto základním právem, které tvoří základní kámen každé demokratické společnosti;

3.  zdůrazňuje, že mezinárodní obchodní aktivity je jednoznačně možné vyvíjet v rámci právních předpisů EU na ochranu osobních údajů, které zajišťují vysokou úroveň ochrany těchto údajů, jak stanoví Listina základních práv EU;

4.  proto odmítá falešnou dichotomii, podle níž by v kontextu základních práv vysoká úroveň ochrany soukromí a osobních údajů nějakým způsobem bránila volnému toku osobních údajů mezi Evropou a USA;

5.  naopak trvá na tom, že občané na celém světě mají stále větší zájem o podniky, které u svých výrobků uplatňují zásadu ochrany soukromí již ve fázi návrhu (privacy by design), což ukazuje na to, že jak občané (jako spotřebitelé), tak podniky chápou ochranu soukromí jako nedílnou součást svého každodenního života;

6.  poukazuje na vývoj v USA, kde soukromé podniky stále častěji čelí intruzivním tlakům ze strany státu, který se aktivně snaží oslabit ochranu soukromí, kterou u svých výrobků a služeb zajišťují;

Soukromý sektor

7.  zdůrazňuje, že klíčovým problémem dohody o „bezpečném přístavu“ byla absurdní autocertifikace, kdy si měly podniky samy vydat osvědčení, že dodržují základní zásady ochrany osobních údajů, ve spojení s naprostou neschopností Federální obchodní komise (FTC) dodržování těchto zásad vymáhat;

8.  poukazuje na to, že v oblasti základních práv nemůže pouhá autoregulace zajistit vyváženost kontrol a záruk, díky nimž může dodržování základních práv fungovat;

9.  vyjadřuje znepokojení nad tím, že nový systém Privacy Shield, o němž se vedou jednání, nebude splňovat požadavky Listiny základních práv, směrnice o ochraně údajů, obecného nařízení o ochraně údajů či příslušných rozsudků Evropského soudního dvora a Evropského soudu pro lidská práva;

10.  konstatuje, že zásady systému Privacy Shield (příloha II) nepředstavují „v zásadě rovnocenný“ soubor zásad, neboť nevyžadují souhlas subjektu údajů, nezahrnují zásadu minimalizace údajů a umožňují zpracování osobních údajů pro jiné účely než pro účely, pro které byly údaje získány, a proto jsou v rozporu s klíčovými zásadami právní úpravy ochrany údajů v EU;

11.  poukazuje na to, že zásady Privacy Shield dávají paušální svolení k jakémukoli zpracování osobních údajů, aniž by byl nutný souhlas subjektu údajů a aniž by měl subjekt údajů plnohodnotné právo zpracování svých osobních údajů odmítnout; je znepokojen tím, že dokonce i neudělení souhlasu („oznámení a možnost volby“) je možné pouze v případech podstatné změny účelu nebo předání údajů třetí osobě; je znepokojen tím, že souhlas subjektu údajů je vyžadován jen pro tyto dva případy dokonce i u citlivých údajů;

12.  upozorňuje na to, že doplňující zásada 2.a není slučitelná s rozsudkem Soudního dvora ze dne 13. května 2014 ve věci „Google Španělsko v. Costeja“ (C-131/12) a s právem na odstranění údajů („právo být zapomenut“) zakotveném v předpisech EU o ochraně osobních údajů;

13.  vyjadřuje znepokojení nad tím, že v rámci zásad Privacy Shield by bylo mimořádně obtížné domoci se práva, neboť subjekt údajů by musel učinit celkem pět kroků (stížnost správci údajů, alternativní řešení sporu, stížnost ministerstvu obchodu nebo Federální obchodní komisi prostřednictvím úřadu evropského inspektora ochrany údajů, rozhodčí řízení, soud USA); připomíná, že podle směrnice Rady 93/13/EHS ze dne 5. dubna 1993 je u spotřebitelských smluv alternativní řešení sporů zakázáno;

14.  upozorňuje na to, že jediným postihem pro správce údajů, který zásady Privacy Shield poruší, je výmaz ze seznamu oprávněných subjektů; nedomnívá se, že by toto opatření bylo v zásadě rovnocenné správním sankcím a dalším postihům stanoveným v právních předpisech EU o ochraně osobních údajů, zejména v obecném nařízení o ochraně údajů;

15.  poukazuje na to, že Federální obchodní komise, ministerstvo obchodu ani subjekty zajišťující alternativní řešení sporů nemají srovnatelné vyšetřovací pravomoci jako evropské orgány dohledu; připomíná, že Soudní dvůr prohlásil, že podle primárního práva EU jsou účinné pravomoci dohledu pro účely dohledu nad ochranou údajů nezbytnou podmínkou;

16.  požaduje, aby byl v rámci systému Privacy Shield zjednodušen a zracionalizován postup vymáhání práva s cílem zajistit jeho rovnocennost a aby byla umožněna přímá procesní účast vnitrostátního orgánu pro ochranu údajů jménem dotčeného subjektu údajů;

17.  připomíná, že rozhodnutí o odpovídající úrovni ochrany poskytuje správcům údajů dané třetí země privilegovaný přístup na trh EU; vyjadřuje znepokojení nad tím, že nižší požadavky zásad Privacy Shield ve srovnání s právními předpisy EU na ochranu údajů by poskytly správcům a zpracovatelům údajů z USA konkurenční výhodu oproti těm, kteří jsou usazeni v EU;

18.  vyjadřuje politování nad tím, že Spojené státy navzdory určitému úsilí v posledních letech stále nemají komplexní zákon o ochraně spotřebitelů;

Sledování ze strany státu

19.  je hluboce znepokojen tím, že k údajům předávaným v rámci systému Privacy Shield mají přístup veřejné orgány, což nezajišťuje dostatečnou ochranu před hromadným, nerozlišujícím shromažďováním osobních údajů pocházejících z EU; připomíná, že tento aspekt byl klíčovým prvkem rozsudku ve věci C-362/14 (Maximillian Schrems v. komisař pro ochranu údajů), v němž Soudní dvůr prohlásil rozhodnutí o „bezpečném přístavu“ za neplatné, neboť – jak ukázala Snowdenova odhalení – nechránilo stěžovatele před intruzivními pravomocemi orgánů USA v oblasti sledování;

20.  konstatuje, že v příloze VI (dopis Roberta S. Litta z kanceláře ředitele Národní zpravodajské služby USA (ODNI)) je uvedeno, že podle prezidentské směrnice o politice v oblasti zpravodajských služeb č. 28 („PPD-28“) je hromadné shromažďování osobních údajů a komunikace osob, které nejsou občany USA, v šesti případech nadále povoleno; podotýká, že toto hromadné shromažďování údajů musí být pouze „co nejvíce přizpůsobeno daným okolnostem“ a musí být „uvážlivé“, což neodpovídá přísnějším kritériím nezbytnosti a přiměřenosti stanoveným v Listině; poukazuje na to, že v minulém roce Evropský soud pro lidská práva rozhodl, že k ověření toho, zda byla řádně uplatněna zásada nezbytnosti a přiměřenosti, musí být v povolení ke sledování komunikace jasně označena „konkrétní osoba, která má být sledována, nebo jeden soubor prostor jako prostory, pro něž je povolení nařízeno“, a že „toto označení může mít podobu jmen, adres, telefonních čísel nebo jiných relevantních informací“ (Roman Zacharov v. Rusko (2015), 47143/06, 4. prosince 2015, § 264); upozorňuje, že Evropský soud pro lidská práva v loňském roce rovněž prohlásil, že na základě ověření nezbytnosti musí být zjištěno, že je sledování „striktně nezbytné“ jako konkrétní prvek pro získání klíčových zpravodajských informací v rámci individuální operace“ (Szabó a Vissy v. Maďarsko, 37138/14, 12. ledna 2016, § 73);

21.  konstatuje, že příloha VI rovněž objasňuje, že osobní údaje a komunikace mohou být uchovávány po dobu pěti let nebo i déle, je-li to „v zájmu národní bezpečnosti Spojených států“; vyjadřuje znepokojení nad tím, že toto ustanovení je v rozporu s rozsudkem Soudního dvora z roku 2014 o uchovávání osobních údajů (spojené případy C-293/12 a C-594/12);

22.  konstatuje, že PPD-28 stanoví nová pravidla, jež omezují použití a šíření osobních údajů a komunikace osob, které nejsou občany USA, ale která neomezují hromadné shromažďování těchto údajů; mimoto poznamenává, že v páté poznámce pod čarou PPD-28 se uvádí, že „hromadným shromažďováním“ administrativa USA nerozumí hromadné sledování a přístup k osobním údajům nebo komunikaci, nýbrž pouze hromadné uchovávání těchto údajů nebo komunikace; vyjadřuje znepokojení nad tím, že toto ustanovení je v rozporu s rozsudkem Soudního dvora ve věci Schrems, podle nějž právní předpisy, které povolují „všeobecný přístup k obsahu elektronické komunikace, porušují podstatu základního práva na respektování soukromého života“;

23.  konstatuje, že všeobecná výjimka týkající se národní bezpečnosti obsažená v příloze II, bodu 5 zásad Privacy Shield je doslovně převzata ze zásad „bezpečného přístavu“, aniž by byla dále omezena;

24.  bere na vědomí jmenování veřejného ochránce práv při Ministerstvu zahraničí USA jako kontaktní osoby pro orgány dohledu EU ve věcech sledování ze strany státu; poukazuje na to, že podle článku 47 Listiny je však vyžadován přístup k prostředkům právní ochrany přímo pro subjekt údajů; konstatuje, že v příloze III (dopis ministra zahraničí Johna F. Kerryho) se uvádí, že tento veřejný ochránce práv „nebude ani potvrzovat, ani vyvracet, že byla určitá osoba sledována“ a že nebude „potvrzovat konkrétní prostředek nápravy, který byl uplatněn“ (odst. 4 písm. e)); rovněž poukazuje na to, že tento veřejný ochránce práv není dostatečně nezávislý na exekutivě, neboť podléhá ministru zahraničí;

25.  konstatuje, že od zrušení platnosti rozhodnutí o „bezpečném přístavu“ Spojené státy nepřijaly žádná opatření k oslabení programů sledování, jež zmiňuje Soudní dvůr, nýbrž v roce 2015 naopak přijaly zákon o sdílení informací pro kybernetickou bezpečnost a v současnosti se chystají dokončit novelu článku 41 federálního trestního řádu, která by dále oslabila ochranu soukromí osob, které nejsou občany USA;

26.  konstatuje, že navzdory těmto opatřením zůstávají Spojené státy jedinou zemí, která učinila kroky na ochranu základních práv v reakci na odhalení týkající se globálního sledování, když v roce 2015 přijaly zákon o svobodě USA, jenž omezuje hromadné sledování ze strany domácích zpravodajských služeb na území Spojených států; vyjadřuje však znepokojení nad tím, že právní situace týkající se hromadného sledování ze strany zpravodajských služeb USA mimo území Spojených států a právní situace osob, které nejsou občany USA, na území Spojených států, jak stanoví hlava 50 §1881a („článek 702“) sbírky zákonů USA, se nezměnila; domnívá se, že Spojené státy by měly přijmout další právní předpisy, které zajistí nápravu této situace;

27.  poukazuje na to, že některé členské státy EU, včetně Francie a Spojeného království, zvažují přijetí nebo přijaly právní předpisy, které významně rozšiřují jejich pravomoci a možnosti v oblasti sledování, avšak které jsou v rozporu s články 7 a 8 Listiny základních práv nebo s judikaturou Soudního dvora a Evropského soudu pro lidská práva; vyzývá Komisi, aby s těmito státy zahájila řízení o porušení Smlouvy;

Další otázky

28.  upozorňuje na to, že Komise neprovedla žádné posouzení práv a ochrany občanů z EU v případě, že jsou jejich osobní údaje předány v rámci systému Privacy Shield správcem údajů ze Spojených států orgánu činnému v trestním řízení v USA; poukazuje na to, že příloha VII (dopis Bruce C. Schwartze z ministerstva spravedlnosti) o přístupu k osobním údajům pro účely vymáhání práva se týká pouze přístupu k údajům uchovávaným firmami, ale nezabývá se subjektem údajů a prostředky soudní nápravy, které jsou k dispozici osobám, k jejichž údajům byl umožněn přístup;

29.  vítá skutečnost, že podle článku 3 návrhu prováděcího rozhodnutí Komise stále mohou orgány dohlížející na ochranu údajů pozastavit předávání osobních údajů správcům údajů, kteří se systému Privacy Shield účastní; poukazuje na to, že tato skutečnost je v souladu s článkem 4 rozhodnutí Komise 2001/497/ES o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí;

30.  zdůrazňuje zásadu umístění trhu, která byla zavedena obecným nařízením o ochraně údajů; poukazuje na to, že až toto nařízení nabude účinku, řada správců údajů z USA, kteří využívali systém „bezpečného přístavu“ a mohou využívat systém Privacy Shield, bude muset při poskytování služeb na trhu EU nebo sledování osob, které se nacházejí v Unii, přímo dodržovat toto nařízení, včetně režimu vymáhání práva v něm stanoveného;

Závěry

31.  dochází k závěru, že systém Privacy Shield a situace v USA nepředstavují dostatečně významná zlepšení oproti systému bezpečného přístavu;

32.  poukazuje na to, že je velmi pravděpodobné, že jakmile bude návrh rozhodnutí o odpovídající úrovni ochrany přijat, bude znovu napaden před soudem; zdůrazňuje, že to vytváří situaci právní nejistoty pro jednotlivce i podniky; konstatuje, že odborníci na ochranu údajů a obchodní sdružení již podnikům doporučují, aby používaly jiné prostředky přenosu osobních údajů do Spojených států;

33.  vyjadřuje znepokojení nad tím, že Komise může překročit svou prováděcí pravomoc tím, že rozhodne, že systém Privacy Shield zajišťuje odpovídající úroveň ochrany v USA, aniž by provedla úplné posouzení systému USA a vzala v úvahu skutečnosti uvedené v tomto usnesení;

34.  vyzývá Komisi, aby zahrnula ustanovení o ukončení platnosti rozhodnutí o odpovídající úrovni ochrany po dvou letech a aby zahájila nová jednání s USA za účelem zlepšení celého rámce na základě obecného nařízení o ochraně údajů;

35.  pověřuje svého předsedu, aby předal toto usnesení Radě, Komisi, vládám a parlamentům členských států a vládě a Kongresu USA.

 

(1)

Úř. věst. L 281, 23.11.1995, s. 31.

(2)

Úř. věst. L 119, 4.5.2016, s. 1.

(3)

Úř. věst. L 55, 28.2.2011, s. 13.

(4)

Úř. věst. C 121, 24.4.2001, s. 152.

(5)

Přijaté texty, P7_TA(2014)0230.

(6)

Přijaté texty, P8_TA(2015)0388.

Právní upozornění - Ochrana soukromí