Procedure : 2016/2727(RSP)
Forløb i plenarforsamlingen
Dokumentforløb : B8-0642/2016

Indgivne tekster :

B8-0642/2016

Forhandlinger :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Afstemninger :

PV 26/05/2016 - 6.6
Stemmeforklaringer

Vedtagne tekster :


FORSLAG TIL BESLUTNING
PDF 195kWORD 78k
23.5.2016
PE582.663v01-00
 
B8-0642/2016

på baggrund af Rådets og Kommissionens redegørelser

jf. forretningsordenens artikel 123, stk. 2


om transatlantiske datastrømme (2016/2727(RSP))


Cornelia Ernst, Marina Albiol Guzmán, Barbara Spinelli, Javier Couso Permuy, Luke Ming Flanagan, Tania González Peñas, Miguel Urbán Crespo, Lola Sánchez Caldentey, Xabier Benito Ziluaga, Estefanía Torres Martínez, Stelios Kouloglou, Kostas Chrysogonos, Dimitrios Papadimoulis, Marisa Matias, Eleonora Forenza, Patrick Le Hyaric, for GUE/NGL-Gruppen

Europa-Parlamentets beslutning om transatlantiske datastrømme (2016/2727(RSP))  
B8-0642/2016

Europa-Parlamentet,

–  der henviser til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (i det følgende benævnt "direktivet")(1), særlig artikel 25,

–  der henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og om ophævelse af direktiv 95/46/EF(2) (i det følgende benævnt "den generelle forordning om databeskyttelse"), der trådte i kraft den 24. maj 2016 og vil finde anvendelse to år efter denne dato,

–  der henviser til Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske menneskerettighedskonvention,

–  der henviser til EU-Domstolens dom af 6. oktober 2015 i sag C-362/14, Maximillian Schrems mod Kommissæren for databeskyttelse,

–  der henviser til udkastet til Kommissionens gennemførelsesafgørelse af 29. februar 2016 om tilstrækkeligheden af den beskyttelse, som ydes af databeskyttelsesskjoldet mellem EU og USA ("privacy shield"), og til bilagene til denne i form af skrivelser fra den amerikanske regering og den amerikanske Forbundskommission for Handel,

–  der henviser til Kommissionens meddelelse af 29. februar 2016 om dette emne (COM(2016)0117), Kommissionens meddelelse af 27. november 2013 om, hvordan safe harbour-ordningen fungerer for så vidt angår EU-borgerne og virksomhederne i EU (COM(2013)0847), og Kommissionens meddelelse af 27. november 2013 om genopbygning af tilliden til datastrømmene mellem EU og USA (COM(2013)0846),

–  der henviser til den udtalelse (WP 238) om dette emne, som blev vedtaget den 13. april 2016 af den i henhold til artikel 29 i direktivet nedsatte arbejdsgruppe, og til de udtalelser, der tidligere er fremsat om samme spørgsmål (WP 12, WP 27 og WP 32),

–  der henviser til Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser(3), navnlig artikel 5 om undersøgelsesproceduren,

–  der henviser til sin beslutning af 5. juli 2000 om udkast til Kommissionens beslutning om tilstrækkeligheden af de amerikanske safe harbour-principper og relaterede hyppige spørgsmål (FAQ) udstedt af det amerikanske handelsministerium(4),

–  der henviser til sin beslutning af 12. marts 2014 om USA's NSA-overvågningsprogram, overvågningsorganer i forskellige medlemsstater og deres indvirkning på EU-borgeres grundlæggende rettigheder samt om det transatlantiske samarbejde inden for retlige og indre anliggender(5) og til sin beslutning af 29. oktober 2015 om opfølgning på Europa-Parlamentets beslutning af 12. marts 2014 om elektronisk masseovervågning af EU-borgere(6),

–  der henviser til forretningsordenens artikel 123, stk. 2,

A.  der henviser til, at udviklingen af informationssamfundet og elektronisk handel samt opbygningen af efterretningstjenesternes opsnapningskapacitet på globalt plan har medført en eksponentiel forøgelse i databevægelser og elektronisk kommunikation og ligeledes i den medfølgende risiko for misbrug af disse data og opsnapning af denne kommunikation;

B.  der henviser til, at dette misbrug ikke blot virker som en bremse på udviklingen af e-handel, for så vidt som det undergraver forbrugernes tillid, men også ofte udgør en krænkelse af menneskers rettigheder og frihedsrettigheder og navnlig er en krænkelse af privatlivets fred;

C.  der henviser til, at der er en global tendens til, at retshåndhævende myndigheder behandler enorme mængder af privatejede personoplysninger og derved udvisker grænsen mellem retshåndhævende og kommercielle aktører, hvilket giver anledning til alvorlig bekymring for så vidt angår det centrale grundlæggende princip om formålsbegrænsning;

D.  der henviser til, at beskyttelse af data er ensbetydende med beskyttelse af de personer, som de behandlede data vedrører, og der henviser til, at denne beskyttelse er anerkendt af Unionen som en af de grundlæggende rettigheder (artikel 8 i chartret for grundlæggende rettigheder og artikel 16 i TEUF);

E.  der henviser til, at direktiv 95/46/EF ("databeskyttelsesdirektivet"), der i 2018 vil blive erstattet af den generelle forordning om databeskyttelse, fastsætter den dataregistreredes rettigheder og de tilsvarende forpligtelser for dem, der behandler data eller udøver kontrol over denne behandling, herunder når personoplysninger overføres uden for Unionen;

F.  der henviser til, at tilstrækkeligheden af beskyttelse af personoplysninger i tredjelande skal vurderes gennem en omhyggelig undersøgelse af hele deres lovkompleks, som i sin helhed skal tilvejebringe et beskyttelsesniveau for personoplysninger svarende til EU's beskyttelsesniveau;

G.  der henviser til, at EU's databeskyttelseslovgivning pålægger Kommissionen en forpligtelse til på vegne af EU-borgerne og medlemsstaterne at sikre, at der er et tilstrækkeligt niveau af beskyttelse i tredjelande;

H.  der henviser til, at EU-Domstolen i sin dom af 6. oktober 2015 underkendte Kommissionens afgørelse om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af safe harbour-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium;

I.  der henviser til, at Domstolen i dommen tydeliggjorde, at et tilstrækkeligt beskyttelsesniveau i et tredjeland skal forstås som et, der "i det væsentlige svarer til det niveau" af beskyttelse, der er sikret inden for Unionen;

Indledning

1.  udtrykker sin stærke støtte til menneskerettigheden vedrørende privatlivets fred og beskyttelsen af personoplysninger;

2.  advarer mod den voksende tendens i retning af en kultur, hvor både private og offentlige aktører direkte tilsidesætter retten til databeskyttelse og udarbejder forretnings- og retshåndhævelsesmodeller, som krænker denne grundlæggende ret, der er kernen i ethvert demokratisk samfund;

3.  understreger, at internationale kommercielle aktiviteter fuldt ud er mulige inden for EU's ramme for databeskyttelse, der fastsætter et højt niveau for beskyttelse af personoplysninger, som er forankret i EU's charter om grundlæggende rettigheder;

4.  afviser derfor det falske modsætningsforhold i forbindelse med grundlæggende rettigheder, ifølge hvilket høje niveauer for beskyttelse af privatlivets fred og personoplysninger på den ene eller den anden måde vil hæmme en fri udveksling af personoplysninger mellem Europa og USA;

5.  understreger i stedet, at borgere rundt om i verden i stigende grad retter blikket mod virksomheder, der fastlægger princippet om indbygget privatlivsbeskyttelse i deres produkter, hvilket indikerer, at der er en forståelse mellem både borgere (som forbrugere) og virksomheder om, at privatlivets fred er et væsentligt element i alle menneskers dagligdag;

6.  påpeger udviklingen i USA, hvor private virksomheder i stigende grad tager kampen op mod indgribende statslige styrker, som aktivt forsøger at underminere deres privatliv gennem design- og standardpolitikker i deres produkter og tjenester;

Den private sektor

7.  understreger, at hovedproblemet med safe harbour-aftalen var den latterlige selvcertificeringsproces, gennem hvilken virksomheder blev betroet at selvcertificere, at de opretholder de centrale principper om beskyttelse af personoplysninger kombineret med en total mangel på håndhævelseskapacitet hos den amerikanske Forbundskommission for Handel;

8.  påpeger, at selvregulering alene, inden for rammerne af de grundlæggende rettigheder, ikke kan sikre balancen mellem de kontroller og garantier, der kræves for at gøre de grundlæggende rettigheder effektive;

9.  er bekymret over, at den nyforhandlede privacy shield-ordning ikke vil leve op til kravene i chartret om grundlæggende rettigheder, databeskyttelsesdirektivet og den generelle forordning om databeskyttelse eller de relevante domme afsagt af både EU-Domstolen og Den Europæiske Menneskerettighedsdomstol;

10.  bemærker, at privacy shield-principperne (bilag II) ikke opstiller et i væsentlighed tilsvarende sæt principper, idet de ikke kræver samtykke fra den dataregistrerede, ikke omfatter et princip om dataminimering og tillader behandling af personoplysninger til formål, der ikke er forenelige med det formål, hvortil dataene blev indsamlet, og derved ikke overholder de centrale principper i EU's databeskyttelseslovgivning;

11.  gør opmærksom på, at privacy shield-principperne giver carte blanche til alle former for behandling af personoplysninger uden krav om den dataregistreredes samtykke eller fulde ret til at gøre indsigelse; er foruroliget over, at selv fravalg ("notice and choice") kun er en mulighed i tilfælde, hvor der sker en væsentlig ændring af formål eller indvielse af tredjepart; er bekymret over, at den dataregistreredes samtykke, selv i forbindelse med følsomme oplysninger, kun er påkrævet i disse to situationer;

12.  påpeger, at suppleringsprincippet 2(a) ikke stemmer overens med Domstolens dom af 13. maj 2014 (C-131/12) i sagen Google Spain/Costeja og med retten til sletning ("ret til at blive glemt") under EU's databeskyttelsesret;

13.  er bekymret over, at håndhævelsen under privacy shield-principperne vil være en særdeles krævende proces, idet en dataregistreret vil skulle tage hele fem skridt (klage til den dataansvarlige, alternativ tvistbilæggelse, klage til det amerikanske handelsministerium eller Forbundskommissionen for Handel gennem Den Europæiske Tilsynsførende for Databeskyttelse, privacy shield-panelet, de amerikanske domstole); minder om, at alternativ tvistbilæggelse i henhold til Rådets direktiv 93/13/EØF af 5. april 1993 er forbudt i forbindelse med forbrugerkontrakter;

14.  gør opmærksom på, at den eneste sanktion, der kan pålægges en dataansvarlig, som overtræder privacy shield-principperne, er, at vedkommende slettes af privacy shield-listen; anser ikke dette for i det væsentlige at svare til de administrative sanktioner og andre sanktioner, der er fastsat i EU's databeskyttelsesret, navnlig i den generelle forordning om databeskyttelse;

15.  gør opmærksom på, at hverken Forbundskommissionen for Handel eller handelsministeriet eller de agenturer, der tilbyder alternative tvistbilæggelse, er tillagt undersøgelsesbeføjelser, der kan sammenlignes med dem, som de europæiske tilsynsførende myndigheder udøver; minder om, at Domstolen har fastslået, at virkningsfulde tilsynsbeføjelser er nødvendige for databeskyttelsestilsynet under EU's primærret;

16.  opfordrer til, at databeskyttelsesskjoldet forenkler og strømliner håndhævelsesproceduren for at sikre ensartet håndhævelse og for at muliggøre, at den nationale databeskyttelsesmyndighed kan deltage direkte i proceduren på vegne af den berørte dataregistrerede;

17.  minder om, at en tilstrækkelighedsafgørelse giver dataansvarlige fra det pågældende tredjeland privilegeret adgang til EU-markedet; er bekymret over, at de mindre krav, som privacy shield-principperne indebærer, i forhold til EU's databeskyttelsesret vil give en konkurrencemæssig fordel til dataansvarlige og dataforvaltere baseret i USA i forhold til deres modparter baseret i EU;

18.  beklager dybt, at USA stadig ikke har nogen generel lov om beskyttelse af forbrugerdata til trods for de bestræbelser, der er gjort i de seneste år;

Statslig overvågning

19.  er dybt bekymret over, at det er muligt for offentlige myndigheder at få adgang til data, der er overført under databeskyttelsesskjoldet, som ikke giver tilstrækkelige detaljerede oplysninger til at udelukke den massive og ufiltrerede indsamling af personoplysninger med oprindelse i EU; minder om, at dette element var det centrale element i EU-Domstolens dom i sag C-362/14 (Maximillian Schrems mod Kommissæren for databeskyttelse), hvori Domstolen erklærede safe harbour-afgørelsen ugyldig, idet den ikke beskyttede klageren mod de amerikanske myndigheders indgribende overvågningsbeføjelser, sådan som det fremgår af Snowden-afsløringerne;

20.  bemærker, at det i bilag VI (skrivelse fra Robert S. Litt, det amerikanske kontor for direktøren for den nationale efterretningstjeneste (ODNI) præciseres, at anvendelse af personoplysninger og kommunikation fra ikke-amerikanske personer anskaffet ved masseindsamling stadig er tilladt i seks tilfælde, jf. præsidentielt politikdirektiv 28 (i det efterfølgende benævnt "PPD-28"); gør opmærksom på, at en sådan masseindsamling kun skal være "så skræddersyet som muligt" og "rimelig", hvad der ikke opfylder de strengere kriterier om nødvendighed eller proportionalitet, som kræves i henhold til chartret; påpeger, at Den Europæiske Menneskerettighedsdomstol sidste år afgjorde, at en autorisation til opsnapning – med det formål at sikre, at prøvelse af nødvendighed og proportionalitet er foretaget på behørig vis – klart skal angive "en specifik person, der sættes under overvågning eller én bestemt lokalitet som værende den lokalitet, som den beordrede autorisation vedrører", og at "en sådan angivelse kan ske ved angivelse af navne, adresser, telefonnumre eller andre relevante oplysninger" (Zakharov mod Rusland (2015), 47143/06, 4. december 2015, præmis 264); påpeger, at Den Europæiske Menneskerettighedsdomstol sidste år også specificerede, at nødvendighedsprøvelsen kræver, at indgrebet er "strengt nødvendigt, som en specifik overvejelse, for at indhente vitale efterretninger under en individuel operation" (Szabó og Vissy mod Ungarn, 37138/14, 12. januar 2016, præmis 73);

21.  bemærker, at bilag VI også gør det klart, at personoplysninger og kommunikation kan opbevares i fem år eller længere, hvis det anses for at være "af interesse for USA's nationale sikkerhed"; er bekymret over, at dette er en overtrædelse af Domstolens dom fra 2014 vedrørende databevarelse (forenede sager C-293/12 og C-594/12);

22.  bemærker, at PPD-28 indfører nye regler, der begrænser anvendelsen og udbredelsen af ikke-amerikanske personers personoplysninger og kommunikation, men ikke begrænser massedataindsamling heraf; bemærker, at det i fodnote 5 til PPD-28 gøres klart, at "massedataindsamling", som det defineres af den amerikanske regering, ikke omfatter masseovervågning af eller adgang til personoplysninger og kommunikationer, men alene hentyder til masselagring af sådanne data eller kommunikationer; er bekymret over, at dette er i modstrid med Domstolens Schrems-dom, hvoraf det fremgår, at lovgivning, der tillader "adgang til indholdet af elektronisk kommunikation, skal anses for at udgøre et indgreb i det væsentlige indhold af den grundlæggende ret til respekt for privatlivet";

23.  bemærker, at den generelle undtagelse for national sikkerhed i bilag II, punkt 5, i privacy shield-principperne er kopieret ordret fra safe harbour-principperne og ikke yderligere afgrænset;

24.  tager til efterretning, at der er udpeget en ombudsmand under det amerikanske udenrigsministerium som kontaktperson for EU's tilsynsmyndigheder i relation til statslig overvågning; gør opmærksom på, at der i henhold til artikel 47 i chartret dog gælder krav om den dataregistreredes mulighed for domstolsprøvelse; bemærker, at det af bilag III (skrivelse fra udenrigsminister John F. fremgår, at ombudsmanden "hverken vil be- eller afkræfte, hvorvidt personen har været genstand for overvågning" og ej heller "bekræfte det specifikke retsmiddel", der har været anvendt (afsnit 4(e)); gør desuden opmærksom på, at ombudsmanden mangler den fornødne uafhængighed fra den udøvende magt, eftersom vedkommende aflægger beretning til udenrigsministeren;

25.  bemærker, at USA siden underkendelsen af safe harbour-afgørelsen ikke har truffet nogen foranstaltninger til at indskrænke de overvågningsprogrammer, som Domstolen henviser til, men tværtimod har vedtaget Cybersecurity Information Sharing-loven fra 2015 og er ved at lægge sidste hånd på ændringer af artikel 41 i forbundsloven om strafferetspleje, hvilket yderligere vil undergrave ikke-amerikanske personers privatlivs fred;

26.  bemærker, at USA til trods for disse tiltag fortsat er det eneste land, der har taget skridt til at beskytte de grundlæggende rettigheder i kølvandet på afsløringerne om globale overvågningsoperationer, nemlig med vedtagelsen af USA Freedom-loven fra 2015, der har begrænset den masseovervågning, der udøves af de amerikanske efterretningstjenester inden for USA's grænser; er imidlertid bekymret over, at den juridiske situation vedrørende masseovervågning foretaget af de amerikanske efterretningstjenester uden for USA og af ikke-amerikanske individer, der opholder sig i USA, jf. amerikansk ret, titel 50, §1881a ("Sektion 702"), ikke har ændret sig; mener, at USA bør indføre yderligere lovgivning for at rette op på denne situation;

27.  påpeger, at indtil flere EU-medlemsstater, herunder Frankrig og Det Forenede Kongerige, overvejer at indføre eller har indført love, som i betydelig grad øger deres overvågningsbeføjelser og -kapacitet, men som hverken er i overensstemmelse med artikel 7 og 8 i chartret om grundlæggende rettigheder eller med Domstolens eller Den Europæiske Menneskerettighedsdomstols retspraksis; opfordrer Kommissionen til at iværksætte traktatbrudsprocedurer mod disse medlemsstater;

Andre spørgsmål

28.  gør opmærksom på, at Kommissionen ikke har foretaget nogen vurdering af EU-personers rettigheder og beskyttelse i tilfælde, hvor data om personen overføres af en amerikansk dataansvarlig, der er underlagt databeskyttelsesskjoldet, til en amerikansk håndhævelsesmyndighed; påpeger, at bilag VII (skrivelse fra Bruce C. Swartz, det amerikanske justitsministerium) om ordensmagtens adgang til data kun vedrører adgang til data opbevaret af selskaber, men ikke omhandler den dataregistrerede og de retslige klagemuligheder for individer, hvis data der gives adgang til;

29.  glæder sig over, at EU's tilsynsmyndigheder for databeskyttelse i henhold til artikel 3 i udkastet til Kommissionens gennemførelsesafgørelse fortsat kan suspendere overførsler af personoplysninger til dataansvarlige, som deltager i privacy shield-ordningen; påpeger, at dette er i tråd med artikel 4 i Kommissionens afgørelse 2001/497/EF om standardkontraktklausuler for overførsel af personoplysninger til tredjelande;

30.  fremhæver princippet om ydelseslandet, der er indføjet i den generelle forordning om databeskyttelse; gør opmærksom på, at når først forordningen finder anvendelse, vil mange amerikanske dataansvarlige, der har anvendt safe harbour-ordningen og vil kunne anvende privacy shield-ordningen, skulle efterleve forordningen direkte, når de tilbyder tjenesteydelser på EU's marked eller overvåger personer inden for Unionen, herunder håndhævelsesordningen som fastsat i forordningen;

Konklusioner

31.  konkluderer, at privacy shield-ordningen og situationen i USA ikke fremviser tilstrækkelige væsentlige forbedringer i forhold til safe harbour-ordningen;

32.  gør opmærksom på, at det er højst sandsynligt, at udkastet til tilstrækkelighedsafgørelsen, når den først er vedtaget, vil blive prøvet ved domstolene; gør opmærksom på, at dette skaber en situation med juridisk usikkerhed for både enkeltpersoner og erhvervsliv; bemærker, at databeskyttelseseksperter og virksomhedsorganisationer allerede råder virksomheder til at anvende andre former for overførsel af personoplysninger til USA;

33.  er bekymret over, at Kommissionen muligvis har overskredet sine gennemførelsesbeføjelser ved sin afgørelse om, at privacy shield-ordningen giver et tilstrækkeligt niveau af beskyttelse i USA, uden at have foretaget en fuldstændig vurdering af det amerikanske system og uden at have taget de forhold, som er påpeget i denne beslutning, i betragtning;

34.  opfordrer Kommissionen til at indføje en toårig automatisk udløbsklausul for gyldigheden af tilstrækkelighedsafgørelsen og til at påbegynde nye forhandlinger med USA om forbedrede rammer på grundlag af den generelle forordning om databeskyttelse;

35.  pålægger sin formand at sende denne beslutning til Rådet, Kommissionen, medlemsstaternes regeringer og parlamenter og til den amerikanske regering og den amerikanske Kongres.

(1)

EFT L 281 af 23.11.1995, s. 31.

(2)

EUT L 119 af 4.5.2016, s. 1.

(3)

EUT L 55 af 28.2.2011, s. 13.

(4)

EFT C 121 af 24.4.2001, s. 152.

(5)

Vedtagne tekster, P7_TA(2014)0230.

(6)

Vedtagne tekster, P8_TA(2015)0388.

Juridisk meddelelse - Databeskyttelsespolitik