Postopek : 2016/2727(RSP)
Potek postopka na zasedanju
Potek postopka za dokument : B8-0642/2016

Predložena besedila :

B8-0642/2016

Razprave :

PV 25/05/2016 - 18
CRE 25/05/2016 - 18

Glasovanja :

PV 26/05/2016 - 6.6
Obrazložitev glasovanja

Sprejeta besedila :


PREDLOG RESOLUCIJE
PDF 354kWORD 97k
23.5.2016
PE582.663v01-00
 
B8-0642/2016

ob zaključku razprave o izjavah Sveta in Komisije

v skladu s členom 123(2) Poslovnika


o čezatlantskem pretoku podatkov (2016/2727(RSP))


Cornelia Ernst, Marina Albiol Guzmán, Barbara Spinelli, Javier Couso Permuy, Luke Ming Flanagan, Tania González Peñas, Miguel Urbán Crespo, Lola Sánchez Caldentey, Xabier Benito Ziluaga, Estefanía Torres Martínez, Stelios Kuloglu (Stelios Kouloglou), Kostas Hrisogonos (Kostas Chrysogonos), Dimitrios Papadimulis (Dimitrios Papadimoulis), Marisa Matias, Eleonora Forenza, Patrick Le Hyaric v imenu skupine GUE/NGL

Resolucija Evropskega parlamenta o čezatlantskem pretoku podatkov (2016/2727(RSP))  
B8-0642/2016

Evropski parlament,

–  ob upoštevanju Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (v nadaljnjem besedilu: direktiva)(1), zlasti člena 25 Direktive,

–  ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES(2) (v nadaljnjem besedilu: splošna uredba o varstvu podatkov), ki je začela veljati 24. maja 2016 in se bo začela uporabljati dve leti po tem datumu,

–  ob upoštevanju Listine Evropske unije o temeljnih pravicah in Evropske konvencije o človekovih pravicah,

–  ob upoštevanju sodbe Sodišča z dne 6. oktobra 2015 v zadevi C-362/14, Maximillian Schrems proti Data Protection Commissioner,

–  ob upoštevanju osnutka izvedbenega sklepa Komisije z dne 29. februarja 2016 o ustrezni ravni zaščite, ki jo zagotavlja zasebnostni ščit EU-ZDA, in prilog k temu osnutku v obliki dopisov administracije ZDA in zvezne komisije ZDA za trgovino,

–  ob upoštevanju sporočila Komisija z dne 29. februarja 2016 v zvezi s tem (COM(2016)0117), sporočila Komisije z dne 27. novembra 2013 o delovanju varnega pristana z vidika državljanov EU in družb, ustanovljenih v EU (COM(2013)0847), in sporočila Komisije z dne 27. novembra 2013 o obnovitvi zaupanja v pretok podatkov med EU in ZDA (COM(2013)0846),

–  ob upoštevanju mnenja (WP 238) v zvezi s tem, ki ga je 13. aprila 2016 sprejela delovna skupina, ustanovljena v skladu s členom 29 direktive, in prejšnjih mnenj na isto temo (WP 12, WP 27 in WP 32),

–  ob upoštevanju Uredbe (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije(3), zlasti člena 5 v zvezi s postopkom pregleda,

–  ob upoštevanju svoje resolucije z dne 5. julija 2000 o osnutku odločbe Komisije o primernosti zaščite, ki jo zagotavljajo načela zasebnosti varnega pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo ministrstvo za trgovino ZDA(4),

–  ob upoštevanju svoje resolucije z dne 12. marca 2014 o programu nadzora agencije ZDA za nacionalno varnost, organih nadzora v različnih državah članicah ter njihovem učinku na temeljne pravice državljanov EU in čezatlantsko sodelovanje na področju pravosodja in notranjih zadev(5) ter resolucije z dne 29. oktobra 2015 o nadaljnjem ukrepanju na podlagi resolucije Evropskega parlamenta z dne 12. marca 2014 o elektronskem množičnem nadzoru državljanov EU(6),

–  ob upoštevanju člena 123(2) Poslovnika,

A.  ker so se zaradi razvoja informacijske družbe in elektronskega trgovanja ter izboljšanja sposobnosti prestrezanja obveščevalnih agencij na svetovni ravni eksponentno povečali pretok podatkov in elektronske komunikacije ter tudi tveganja, povezana z zlorabo teh podatkov in prestrezanjem te komunikacije;

B.  ker ta zloraba zavira razvoj e-trgovanja, saj slabi zaupanje potrošnikov ter pogosto pomeni tudi kršitev pravic in svoboščin posameznikov ter zlasti poseganje v pravico do zasebnosti;

C.  ker se po svetu čedalje pogosteje dogaja, da javni organi kazenskega pregona obdelujejo ogromne količine osebnih podatkov v zasebni lasti, s čimer se brišejo meje med nosilci kazenskega pregona in komercialnimi akterji, to pa vzbuja resne pomisleke o bistvenem temeljnem načelu omejitve namena;

D.  ker varstvo podatkov pomeni varstvo ljudi, na katere se nanašajo informacije, ki se obdelujejo, in ker je to varstvo ena od temeljnih pravic, ki jih priznava Unija (člen 8 Listine o temeljnih pravicah in člen 16 PDEU);

E.  ker Direktiva 95/46/ES (t. i. direktiva o varstvu podatkov), ki jo bo leta 2018 nadomestila splošna uredba o varstvu podatkov, določa pravice posameznika, na katerega se osebni podatki nanašajo, in ustrezne obveznosti tistih, ki podatke obdelujejo ali to obdelavo nadzorujejo, tudi v primeru prenosa osebnih podatkov iz Unije;

F.  ker je treba pri ocenjevanju ustreznosti ravni varstva osebnih podatkov, ki jo zagotavlja tretja država, proučiti z natančno pregledati vse dele njene zakonodajo, ki morajo skupaj zagotavljati enako raven varstva osebnih podatkov, kot velja v EU;

G.  ker zakonodaja EU o varstvu podatkov Komisiji nalaga, da v imenu državljanov Unije in držav članic zagotovi ustrezno raven varstva v tretjih državah;

H.  ker je Sodišče EU v sodbi z dne 6. oktobra 2015 razglasilo neveljavnost odločbe Komisije o primernosti zaščite, ki jo zagotavljajo načela zasebnosti varnega pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo ministrstvo za trgovino ZDA;

I.  ker je Sodišče v tej sodbi pojasnilo, da je treba ustrezno raven varstva v tretji državi razumeti kot „v bistvenem enako“ ravni varstva, zagotovljeni v Uniji;

Uvod

1.  izraža trdno zavezanost človekovim pravicam do zasebnosti in varstva osebnih podatkov;

2.  svari pred naraščajočim pojavom kulture, v kateri zasebni in javni akterji sploh ne upoštevajo pravice do varstva podatkov ter razvijajo poslovne modele in modele kazenskega pregona, s katerimi kršijo to temeljno pravico, ki je bistvena za demokratično družbo;

3.  poudarja, da je mednarodne poslovne dejavnosti povsem možno izvajati v skladu z okvirom EU za varstvo podatkov, ki zagotavlja visoko raven varstva osebnih podatkov, kot to določa Listina EU o temeljnih pravicah;

4.  zato zavrača zmotno prepričanje, da bi na področju temeljnih pravic visoka raven zasebnosti in varstva osebnih podatkov kakorkoli zavirala prosti pretok osebnih podatkov med Evropo in ZDA;

5.  nasprotno vztraja, da se državljani po svetu vse pogosteje odločajo za podjetja, ki v svojih izdelkih uveljavljajo načelo vgrajene zasebnosti, kar kaže, da se tako državljani (v vlogi potrošnikov) kot podjetja zavedajo, da je zasebnost bistveni element vsakdanjega življenja vseh;

6.  želi opozoriti na razvoj dogodkov v ZDA, kjer se vse več zasebnih podjetij zoperstavlja vsiljivim državnim silam, ki skušajo dejavno oslabiti njihove politike zagotavljanja vgrajene in privzete zasebnosti v njihovih izdelkih in storitvah;

Zasebni sektor

7.  poudarja, da je bil ključni problem sporazuma o varnem pristanu absurden postopek „samopotrjevanja“, na podlagi katerega so podjetja sama potrdila, da spoštujejo ključna načela o varstvu osebnih podatkov, pri čemer zvezna komisija za trgovino ni imela prav nobene izvršilne zmogljivosti;

8.  poudarja, da na področju temeljnih pravic zgolj s samoregulacijo ni mogoče zagotoviti ravnovesja med preverjanji in zaščitnimi ukrepi, ki je potrebno za uresničevanje temeljnih pravic;

9.  je zaskrbljen, da nova ureditev zasebnostnega ščita ne bo v celoti izpolnila zahtev iz Listine o temeljnih pravicah, direktive o varstvu podatkov, splošne uredbe o varstvu podatkov ter ustreznih sodb Sodišča Evropske unije in Evropskega sodišča za človekove pravice;

10.  ugotavlja, da načela zasebnostnega ščita (Priloga II) ne zagotavljajo v bistvenem enakega sklopa načel, saj ne zahtevajo privolitve posameznika, na katerega se osebni podatki nanašajo, ne vključujejo načela zmanjšanja količine podatkov in omogočajo obdelavo osebnih podatkov za namene, ki niso združljivi z namenom, s katerim so bili podatki zbrani, zato niso skladni s ključnimi načeli prava EU o varstvu podatkov;

11.  poudarja, da načela zasebnostnega ščita na splošno dovoljujejo vse vrste obdelave osebnih podatkov brez potrebne privolitve posameznika, na katerega se ti podatki nanašajo, ali njegove polne pravice do ugovora; je zaskrbljen, ker so celo izvzetja (obvestilo in izbira) zagotovljena le v primeru pomembnejše spremembe namena ali posredovanja tretji stranki; je zaskrbljen, ker je tudi pri občutljivih podatkih privolitev posameznika, na katerega se osebni podatki nanašajo, potrebna le v teh dveh primerih;

12.  poudarja, da dopolnilno načelo 2.a ni v skladu s sodbo Sodišča z dne 13. maja 2014 v zadevi Google Spain proti Costeja (C-131/12) in pravico do izbrisa (pravica do pozabe) po zakonodaji EU o varstvu podatkov;

13.  je zaskrbljen, da bi bilo izvrševanje v skladu z načeli zasebnostnega ščita izredno zahteven proces, saj bi moral posameznik, na katerega se osebni podatki nanašajo, izvesti pet zaporednih korakov (pritožba pri upravljavcu; alternativno reševanje sporov; pritožba pri ministrstvu za trgovino ZDA ali zvezni komisiji ZDA za trgovino prek evropskega nadzornika za varstvo podatkov; senat zasebnostnega ščita, Sodišče ZDA); opozarja, da je v skladu z Direktivo Sveta 93/13/EGS z dne 5. aprila 1993 alternativno reševanje sporov prepovedano za potrošniške pogodbe;

14.  poudarja, da je za upravljavca, ki krši načela zasebnostnega ščita, edina kazen izbris s seznama zasebnostnega ščita; te kazni ne šteje za v bistvenem enake upravnim sankcijam in drugim kaznim, predvidenim v zakonodaji EU o varstvu podatkov, zlasti v splošni uredbi o varstvu podatkov;

15.  poudarja, da niti zvezna komisija ZDA za trgovino niti ministrstvo za trgovino ZDA niti izvajalci alternativnega reševanja sporov nimajo preiskovalnih pooblastil, primerljivih s pooblastili evropskih nadzornih organov; opozarja, da je Sodišče Evropske unije razglasilo, da so učinkovita nadzorna pooblastila ključna za nadzor varstva podatkov v skladu s primarno zakonodajo EU;

16.  poziva, naj se z zasebnostnim ščitom poenostavi in racionalizira postopek izvrševanja, da bi se zagotovilo enako izvrševanje ter omogočilo neposredno sodelovanje nacionalnega organa za varstvo podatkov, ki deluje v imenu posameznika, v postopku;

17.  opozarja, da sklep o ustreznosti upravljavcem podatkov iz zadevne tretje države zagotavlja privilegiran dostop do trga EU; je zaskrbljen, da bi nižje zahteve načel zasebnostnega ščita v primerjavi z zakonodajo EU o varstvu podatkov upravljavcem in obdelovalcem podatkov s sedežem v ZDA zagotovile konkurenčno prednost pred tistimi, ki imajo sedež v EU;

18.  obžaluje, da v ZDA kljub nekaterim prizadevanjem v zadnjih letih še vedno ni bil oblikovan celovit zakon o varstvu podatkov potrošnikov;

Vladni nadzor

19.  je zelo zaskrbljen, ker imajo javni organi možnost dostopa do podatkov, prenesenih v okviru zasebnostnega ščita, ki ni dovolj podroben, da bi izključeval masovno in nediskriminatorno zbiranje osebnih podatkov, ki izvirajo iz EU; opozarja, da je bil to ključni element v sodbi Sodišča v zadevi C-362/14 (Maximillian Schrems proti Data Protection Commissioner), v kateri je razglasilo, da je odločba o varnem pristanu neveljavna, saj pritožnika ni zaščitila pred vsiljivimi nadzornimi pooblastili organov ZDA, kot je razkril Edward Snowden;

20.  ugotavlja, da je v Prilogi VI (dopis Roberta S. Litta, urad direktorja nacionalne obveščevalne službe) pojasnjeno, da je v skladu s predsedniško politično direktivo 28 (v nadaljnjem besedilu: PPD-28) množično zbiranje osebnih podatkov in komunikacij posameznikov, ki niso državljani ZDA, še vedno dovoljeno v šestih primerih; poudarja, da mora biti to množično zbiranje zgolj čim bolj prilagojeno in razumno, kar pa ne izpolnjuje strožjih meril nujnosti in sorazmernosti iz Listine; poudarja, da je Evropsko sodišče za človekove pravice lani razsodilo, da je treba za zagotovitev pravilnega preskusa nujnosti in sorazmernosti v dovoljenju za prestrezanje jasno identificirati osebo, ki bo nadzorovana, ali en sklop prostorov kot prostorov, v zvezi s katerimi je bilo zahtevano dovoljenje, in da se lahko ta identifikacija opravi na podlagi imen, naslovov, telefonskih številk ali drugih ustreznih informacij (sodba Roman Zakharov proti Rusiji (2015), 47143/06, 4. december 2015, § 264); poudarja, da je to sodišče lani prav tako navedlo, da preskus nujnosti zahteva, da je prestrezanje kot poseben premislek nujno za pridobitev ključnih obveščevalnih podatkov v posamezni operaciji (sodba Szabó in Vissy proti Madžarski, 37138/14, 12. januar 2016, § 73);

21.  ugotavlja, da je v Prilogi VI pojasnjeno tudi, da se lahko osebni podatki in komunikacije hranijo pet let ali celo dlje, če je to v interesu nacionalne varnosti ZDA; je zaskrbljen, da je to v nasprotju s sodbo Sodišča o hrambi podatkov iz leta 2014 (združeni zadevi C-293/12 in C-594/12);

22.  ugotavlja, da PPD-28 uvaja nova pravila, ki omejujejo uporabo in razširjanje osebnih podatkov in komunikacij nedržavljanov ZDA, ne omejujejo pa njihovega množičnega zbiranja; je seznanjen, da je v PPD-28 v opombi 5 pojasnjeno, da množično zbiranje po mnenju administracije ZDA ne vključuje množičnega nadzora in dostopa do osebnih podatkov ali komunikacij, temveč le njihovo množično hrambo; je zaskrbljen, da je to v nasprotju s sodbo Sodišča v zadevi Schrems, v kateri je navedeno, da ureditev, ki omogoča splošen dostop do vsebine elektronskih komunikacij, pomeni poseg v bistvo temeljne pravice do spoštovanja zasebnega življenja;

23.  ugotavlja, da je splošna izjema v zvezi z nacionalno varnostjo v točki 5 Priloge II k načelom zasebnostnega ščita dobesedno prepisana iz načel varnega pristana in ni dodatno omejena;

24.  je seznanjen z imenovanjem varuha človekovih pravic v okviru ministrstva za zunanje zadeve ZDA kot kontaktne točke za nadzorne organe EU v zvezi z vladnim nadzorom; poudarja, da je treba posamezniku, na katerega se osebni podatki nanašajo, v skladu s členom 47 Listine omogočiti dostop do pravnega varstva; je seznanjen, da je v Prilogi III (dopis ameriškega zunanjega ministra Johna F. Kerryja) navedeno, da varuh človekovih pravic ne bo niti potrdil niti zanikal, da je bil posameznik nadzorovan, niti ne bo potrdil uporabe posebnega pravnega sredstva (točka 4(e)); poudarja še, da varuh človekovih pravic ni ustrezno neodvisen od izvršilne veje, saj poroča zunanjemu ministru;

25.  ugotavlja, da ZDA od razglasitve neveljavnosti odločbe o varnem pristanu niso sprejele ukrepov za omejitev programov nadzora, na katere se sklicuje Sodišče, temveč so namesto tega leta 2015 sprejele zakon o izmenjavi informacij v zvezi s kibernetsko varnostjo (Cybersecurity Information Sharing Act), zdaj pa nameravajo dokončno oblikovati spremembe člena 41 zveznih pravil o kazenskem postopku (Federal Rules of Criminal Procedure), ki bodo dodatno ogrozile zasebnost nedržavljanov ZDA;

26.  ugotavlja, da so ZDA kljub tem ukrepom še vedno edina država, ki je po razkritjih o globalnih operacijah nadzora ukrepala, da bi zaščitila temeljne pravice, in sicer je leta 2015 sprejela zakon o svobodi (USA Freedom Act), s katerim je svojim obveščevalnim agencijam omejila množični nadzor v ZDA; je zaskrbljen, da se kljub temu pravne razmere v zvezi z množičnim nadzorom, ki ga izvajajo ameriške obveščevalne agencije zunaj ZDA in nad nedržavljani ZDA v ZDA, kot je določeno v zakoniku ZDA (poglavje 50, člen 1881a, (razddelek 702)), niso spremenile; meni, da bi morale ZDA sprejeti dodatno zakonodajo za odpravo teh razmer;

27.  poudarja, da več držav članic, vključno s Francijo in Združenim kraljestvom, razmišlja o sprejetju zakonodaje, ki bi pomembno povečala njihova nadzorna pooblastila in zmogljivosti, ali so jo že sprejele, vendar ta ni v skladu s členoma 7 in 8 Listine o temeljnih pravicah ter sodno prakso Sodišča Evropske unije in Evropskega sodišča za človekove pravice; poziva Komisijo, naj zoper te države članice začne postopek za ugotavljanje kršitev;

Druga vprašanja

28.  poudarja, da Komisija ni ocenila pravic in varstva posameznikov iz EU v primerih, ko upravljavec podatkov v ZDA, vključen v zasebnostni ščit, njihove osebne podatke posreduje organu kazenskega pregona ZDA; poudarja, da se Priloga VII (dopis Brucea C. Swartza, ministrstvo za pravosodje) o dostopu organov kazenskega pregona do podatkov nanaša le na dostop do podatkov, ki jih hranijo podjetja, ne obravnava pa posameznika, na katerega se ti osebni podatki nanašajo, in njegovih pravic do sodnega varstva;

29.  pozdravlja, da lahko nadzorni organi EU za varstvo podatkov v skladu s členom 3 osnutka izvedbenega sklepa Komisije še vedno začasno ustavijo posredovanje osebnih podatkov upravljavcem podatkov, vključenih v ureditev zasebnostnega ščita; poudarja, da je to v skladu s členom 4 Odločbe Komisije 2001/497/ES o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države;

30.  poudarja načelo lokacije trga, ki je bilo uvedeno s splošno uredbo o varstvu podatkov; poudarja, da bodo morali mnogi upravljavci podatkov v ZDA, ki so uporabljali ureditev varnega pristana in bodo morda uporabljali ureditev zasebnostnega ščita, pri zagotavljanju storitev na trgu EU ali nadzoru oseb v Uniji neposredno upoštevati to uredbo, ko se bo začela uporabljati;

Sklepi

31.  ugotavlja, da ureditev zasebnostnega ščita in razmere v ZDA ne zagotavljajo dovolj velikih izboljšanj v primerjavi z ureditvijo varnega pristana;

32.  poudarja, da bo osnutek sklepa o ustreznosti po njegovem sprejetju zelo verjetno znova izpodbijan na sodišču; poudarja, da to ustvarja pravno negotovost za posameznike in podjetja; ugotavlja, da strokovnjaki za varstvo podatkov in poslovna združenja že svetujejo podjetjem, naj uporabljajo druge načine prenosa osebnih podatkov v ZDA;

33.  je zaskrbljen, da utegne Komisija preseči svoja izvedbena pooblastila, če bo sklenila, da ureditev zasebnostnega ščita zagotavlja ustrezno raven varstva v ZDA, ne da bi celovito preučila sistem ZDA in upoštevala vprašanja, izpostavljena v tej resoluciji;

34.  poziva Komisijo, naj v sklep o ustreznosti vključi vsaj dveletno samoderogacijsko klavzulo in začne nova pogajanja z ZDA o izboljšanem okviru na podlagi splošne uredbe o varstvu podatkov;

35.  naroči svojemu predsedniku, naj to resolucijo posreduje Svetu, Komisiji, vladam in parlamentom držav članic ter vladi in kongresu ZDA.

(1)

UL L 281, 23.11.1995, str. 31.

(2)

UL L 119, 4.5.2016, str. 1.

(3)

UL L 55, 28.2.2011, str. 13.

(4)

UL C 121, 24.4.2001, str. 152.

(5)

Sprejeta besedila, P7_TA(2014)0230.

(6)

Sprejeta besedila, P8_TA(2015)0388.

Pravno obvestilo - Varstvo osebnih podatkov