FÖRSLAG TILL RESOLUTION om transatlantiska dataflöden
23.5.2016 - (2016/2727(RSP))
i enlighet med artikel 123.2 i arbetsordningen
Cornelia Ernst, Marina Albiol Guzmán, Barbara Spinelli, Javier Couso Permuy, Luke Ming Flanagan, Tania González Peñas, Miguel Urbán Crespo, Lola Sánchez Caldentey, Xabier Benito Ziluaga, Estefanía Torres Martínez, Stelios Kouloglou, Kostas Chrysogonos, Dimitrios Papadimoulis, Marisa Matias, Eleonora Forenza, Patrick Le Hyaric, för GUE/NGL-gruppen
Europaparlamentet utfärdar denna resolution
– med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallat direktivet)[1], särskilt artikel 25,
– med beaktande av Europaparlamentets och rådets förordning (EU) nr 2016/679 av den 27 april 2016 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan kallad allmänna dataskyddsförordningen)[2], som trädde i kraft den 24 maj 2016 och som kommer att tillämpas två år efter detta datum,
– med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna och Europakonventionen om de mänskliga rättigheterna,
– med beaktande av EU-domstolens dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner,
– med beaktande av utkastet till kommissionens genomförandebeslut av den 29 februari 2016 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA samt av bilagorna till beslutet i form av skrivelser från den amerikanska administrationen och Förenta staternas federala handelskommission,
– med beaktande av kommissionens meddelande av den 29 februari 2016 om detta ämne (COM(2016)0117), kommissionens meddelande av den 27 november 2013 om hur principerna om integritetsskydd (safe harbour) fungerar när det gäller EU:s medborgare och företag som är etablerade i EU (COM(2013)0847) och kommissionens meddelande av den 27 november 2013 om återskapande av förtroendet för dataflöden mellan EU och Förenta staterna (COM(2013)0846),
– med beaktande av yttrandet (WP 238) i denna fråga, antaget den 13 april 2016 av den arbetsgrupp som tillsatts med stöd av artikel 29 i direktivet, och av de yttranden som tidigare avgetts i samma fråga (WP 12, WP 27 och WP 32),
– med beaktande av Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter[3], särskilt artikel 5 om granskningsförfarandet,
– med beaktande av sin resolution av den 5 juli 2000 om utkastet till kommissionens beslut om huruvida Förenta staternas safe harbour-principer ger ett adekvat skydd samt tillhörande frågor och svar som utfärdats av Förenta staternas handelsministerium[4],
– med beaktande av sin resolution av den 12 mars 2014 om amerikanska NSA:s övervakningsprogram, övervakningsorgan i olika medlemsstater samt inverkan på EU-medborgarnas grundläggande rättigheter och på det transatlantiska samarbetet i rättsliga och inrikes frågor[5], och av sin resolution av den 29 oktober 2015 om uppföljning av Europaparlamentets resolution av den 12 mars 2014 om den elektroniska massövervakningen av EU:s medborgare[6],
– med beaktande av artikel 123.2 i arbetsordningen, och av följande skäl:
A. Informationssamhällets och e-handelns utveckling har, tillsammans med utvecklingen av underrättelseväsendenas avlyssningsmöjligheter, i global skala lett till en exponentiell ökning av dataöverföring och elektroniska kommunikationer samt av riskerna för att dessa data missbrukas och kommunikationerna avlyssnas.
B. Missbruk av det här slaget är inte bara en bromskloss för e-handelns utveckling i och med att konsumenternas förtroende undergrävs, utan innebär också ofta en kränkning av människors fri- och rättigheter. Framför allt inkräktar det på rätten till personlig integritet.
C. Det råder en global trend med offentliga brottsbekämpande myndigheter som behandlar enorma mängder privatägda personuppgifter och på så vis suddar ut gränsen mellan brottsbekämpande och kommersiella aktörer. Detta väcker allvarliga farhågor om den grundläggande nyckelprincipen om ändamålsbegränsning.
D. Dataskydd innebär att man skyddar de människor till vilka den information som bearbetas hänför sig. Detta skydd är en av de grundläggande rättigheter som erkänts av unionen (artikel 8 i stadgan om de grundläggande rättigheterna och artikel 16 i EUF‑fördraget).
E. I direktiv 95/46/EG (dataskyddsdirektivet), som 2018 kommer att ersättas av den allmänna dataskyddsförordningen, fastställs rättigheter för den registrerade och motsvarande skyldigheter för dem som bearbetar data eller utövar kontroll över denna bearbetning, även när personuppgifter överförs utanför unionen.
F. Huruvida personuppgiftsskyddet i tredjeländer är adekvat måste bedömas genom en noggrann granskning av hela deras regelverk, som i sin helhet måste tillhandahålla ett personuppgiftsskydd på en nivå som motsvarar den i EU.
G. Genom EU:s dataskyddslagstiftning anförtros kommissionen uppgiften att på unionsmedborgarnas och medlemsstaternas vägnar säkerställa att tredjeländer har en adekvat skyddsnivå.
H. Med sin dom av den 6 oktober 2015 ogiltigförklarade Europeiska unionens domstol kommissionens beslut om huruvida Förenta staternas safe harbour-principer ger ett adekvat skydd samt tillhörande frågor och svar som utfärdats av Förenta staternas handelsministerium.
I. Domstolen klarlade i domen att en adekvat skyddsnivå i ett tredjeland måste anses betyda att nivån är ”väsentligen likvärdig” med det skydd som erbjuds i unionen.
Inledning
1. Europaparlamentet uttrycker sin orubbliga tro på de mänskliga rättigheter som personlig integritet och personuppgiftsskydd utgör.
2. Europaparlamentet varnar för den växande trenden mot en kultur där både privata och offentliga aktörer kategoriskt åsidosätter rätten till dataskydd och utarbetar affärsmodeller och brottsbekämpande modeller som inkräktar på denna grundläggande rättighet, som är en grundbult i varje demokratiskt samhälle.
3. Europaparlamentet understryker att internationell kommersiell verksamhet utan vidare är möjlig inom ramen för EU:s dataskyddsram, som erbjuder en hög nivå av personuppgiftsskydd i enlighet med vad som står inskrivet i EU:s stadga om de grundläggande rättigheterna.
4. Europaparlamentet avvisar därför den falska dikotomi i samband med grundläggande rättigheter enligt vilken ett starkt integritets- och personuppgiftsskydd på något vis skulle hindra ett fritt flöde av personuppgifter mellan EU och Förenta staterna.
5. Europaparlamentet trycker i stället på att människor över hela världen alltmer tittar på företag som låter sina produkter omfattas av principen om ”inbyggt integritetsskydd”, vilket vittnar om en förståelse bland både medborgare (i egenskap av konsumenter) och företag att integritet är ett väsentligt inslag i allas vardag.
6. Europaparlamentet pekar på utvecklingen i Förenta staterna, där privata företag alltmer sätter sig upp mot inkräktande statsmakter som aktivt försöker undergräva den policy för inbyggda integritetsskyddsmekanismer som de tillämpar på sina produkter och tjänster.
Privat sektor
7. Europaparlamentet understryker att det största problemet med safe harbour-avtalet var den skrattretande ”självcertifieringsprocess” genom vilken företag betroddes att själva certifiera att de efterlevde centrala principer för personuppgiftsskydd, i kombination med den federala handelskommissionens totala avsaknad av kapacitet att säkerställa efterlevnaden.
8. Europaparlamentet påpekar att det inom grundläggande rättigheter inte räcker med enbart självreglering för att säkerställa balansen mellan de kontroller och garantier som krävs för att förverkliga den grundläggande rättigheten.
9. Europaparlamentet befarar att den nyligen framförhandlade skölden för skydd av privatlivet inte kommer att uppfylla kraven i stadgan om de grundläggande rättigheterna, dataskyddsdirektivet, den allmänna dataskyddsförordningen eller relevanta domar från både Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna.
10. Europaparlamentet konstaterar att principerna för skölden för skydd av privatlivet (bilaga II) inte är ”väsentligen likvärdiga” principer, eftersom de inte kräver den registrerades samtycke, inte innefattar principen om uppgiftsminimering och tillåter bearbetning av personuppgifter för ändamål som är oförenliga med det ändamål för vilket uppgifterna insamlats, och att de därigenom inte stämmer överens med de centrala principerna för EU:s dataskyddslagstiftning.
11. Europaparlamentet påpekar att principerna för skölden för skydd av privatlivet innebär en blankofullmakt för all slags bearbetning av personuppgifter, utan att den registrerade vare sig behöver ge sitt samtycke eller har någon fullständig rätt att göra invändningar. Parlamentet oroar sig över att till och med undantagsklausuler (”tillkännagivande och val”) är tillgängliga endast om ändamålet förändras i sak eller om uppgifterna avslöjas för tredje part. Parlamentet oroar sig över att den registrerades samtycke krävs endast i dessa två fall till och med när det handlar om känsliga uppgifter.
12. Europaparlamentet påpekar att den kompletterande principen 2 a är oförenlig med domstolens dom av den 13 maj 2014 i mål C-131/12, Google Spain mot Costeja, och med rätten till radering (”rätten att bli bortglömd”) enligt EU:s dataskyddslagstiftning.
13. Europaparlamentet befarar att ett verkställande enligt principerna för skölden för skydd av privatlivet skulle bli en ytterst krävande process, eftersom en registrerad skulle bli tvungen att vidta fem på varandra följande åtgärder (klagomål till den registeransvarige; alternativ tvistlösning; klagomål till Förenta staternas handelsdepartement eller Förenta staternas federala handelskommission via en europeisk tillsynsmyndighet för dataskydd; panelen för skölden för skydd av privatlivet; amerikansk domstol). Parlamentet erinrar om att det enligt rådets direktiv 93/13/EEG av den 5 april 1993 är förbjudet med alternativ tvistlösning i samband med konsumentavtal.
14. Europaparlamentet påpekar att den enda påföljd som en registeransvarig kan drabbas av vid överträdelse av principerna för skölden för skydd av privatlivet är att strykas från den förteckning som ingår i skölden. Parlamentet kan inte anse detta som väsentligen likvärdigt med de administrativa påföljder och andra sanktioner som finns i EU:s dataskyddslagstiftning, framför allt i den allmänna dataskyddsförordningen.
15. Europaparlamentet påpekar att varken Förenta staternas federala handelskommission eller handelsdepartement eller de som tillhandahåller möjligheter till alternativ tvistlösning har sådana utredningsbefogenheter som kan jämföras med de europeiska tillsynsmyndigheternas. Parlamentet erinrar om att domstolen förklarat att effektiva tillsynsbefogenheter är nödvändiga för tillsynen över dataskyddet enligt EU:s primärrätt.
16. Europaparlamentet vill att skölden för skydd av privatlivet ska förenkla och rationalisera verkställighetsförfarandet för att säkerställa likvärdigt verkställande och göra det möjligt för den nationella datasskyddsmyndigheten att på den registrerades vägnar bli direkt delaktig i förfarandet.
17. Europaparlamentet erinrar om att ett beslut om att dataskyddet är adekvat ger registeransvariga från tredjeländer privilegierat tillträde till EU:s marknad. Parlamentet befarar att de mindre rigorösa kraven i principerna för skölden för skydd av privatlivet, jämfört med i EU:s dataskyddslagstiftning, skulle ge registeransvariga och databehandlare i Förenta staterna en konkurrensfördel i förhållande till dem som är etablerade i EU.
18. Europaparlamentet beklagar att Förenta staterna fortfarande inte har någon heltäckande rättsakt om skydd för konsumentuppgifter, trots vissa ansatser till det under de senaste åren.
Statlig övervakning
19. Europaparlamentet är mycket oroat över möjligheten för offentliga myndigheter att komma åt uppgifter som överförts i enlighet med skölden för skydd av privatlivet, som inte är tillräckligt detaljerad för att omöjliggöra urskillningslös massinsamling av personuppgifter med ursprung i EU. Parlamentet erinrar om att detta var en central del i domstolens dom i mål C-362/14 (Maximillian Schrems mot Data Protection Commissioner), i vilken domstolen ogiltigförklarade safe harbour-beslutet eftersom det inte skyddade käranden mot de amerikanska myndigheternas inkräktande övervakningsbefogenheter enligt vad som framkommit av Snowdens avslöjanden.
20. Europaparlamentet konstaterar att bilaga VI (skrivelse från Robert S. Litt vid den amerikanska underrättelsemyndigheten Office of the Director of National Intelligence, ODNI) gör det klart att den amerikanske presidentens policydirektiv 28 (Presidential Policy Directive, nedan kallat PPD-28) i sex fall fortfarande tillåter bulkinsamling av personuppgifter och personliga kommunikationer från personer som inte är amerikanska medborgare. Parlamentet påpekar att denna bulkinsamling endast måste vara ”så skräddarsydd som möjligt” och ”rimlig”, något som inte uppfyller de striktare kriterierna för nödvändighet och proportionerlighet som krävs enligt stadgan. Parlamentet påpekar att Europeiska domstolen för de mänskliga rättigheterna i ett utslag i fjol slog fast att man, för att säkerställa korrekt tillämpning av nödvändighets- och proportionerlighetstestet, i ett avlyssningstillstånd tydligt måste identifiera ”en specifik person som skulle ställas under övervakning eller en viss uppsättning fastigheter, såsom de fastigheter tillståndet hänförde sig till” och att ”denna identifiering kan göras med hjälp av namn, adresser, telefonnummer eller annan relevant information” (Roman Zacharov mot Ryssland (2015), 47143/06, 4 december 2015, punkt 264). Parlamentet påpekar att Europadomstolen i fjol också klargjorde att nödvändighetstestet förutsatte att ingreppet var ”strikt nödvändigt, såsom ett särskilt övervägande, för erhållande av väsentlig information i en enskild operation” (Szabó och Vissy mot Ungern 37138/14, 12 januari 2016, punkt 73).
21. Europaparlamentet konstaterar att bilaga VI också gör det klart att personuppgifter och personliga kommunikationer får lagras i fem år, eller rentav ännu längre om det anses vara ”av intresse för Förenta staternas nationella säkerhet”. Parlamentet befarar att detta strider mot domstolens dom från 2014 om lagring av uppgifter (de förenade målen C‑293/12 och C-594/12).
22. Europaparlamentet konstaterar att PPD-28 uppställer nya begränsningar för användning och spridning av personuppgifter och personliga kommunikationer från personer som inte är amerikanska medborgare men att det inte begränsar bulkinsamling av dem. Parlamentet konstaterar att det i fotnot 5 i PPD-28 görs klart att ”bulkinsamling” enligt den amerikanska administrationen inte inbegriper massiv övervakning av och tillgång till personuppgifter eller personliga kommunikationer, utan endast massiv lagring av sådana uppgifter eller kommunikationer. Parlamentet befarar att detta strider mot domstolens dom i Schrems-målet, där det står att ”en lagstiftning som tillåter myndigheterna generell åtkomst till innehållet i elektroniska kommunikationer [måste] anses kränka det väsentliga innehållet i den grundläggande rätten till respekt för privatlivet”.
23. Europaparlamentet konstaterar att det generella undantaget med anledning av nationell säkerhet i bilaga II punkt 5 i principerna för skölden för skydd av privatlivet tagits över ordagrant från safe harbour-principerna och inte ålagts några ytterligare begränsningar.
24. Europaparlamentet noterar utnämningen av en ombudsman i Förenta staternas utrikesdepartement som ska fungera som kontaktpunkt för EU:s tillsynsmyndigheter i frågor om statlig övervakning. Parlamentet påpekar att artikel 47 i stadgan emellertid kräver att den registrerade själv ska ha möjlighet till prövning inför domstol. Parlamentet konstaterar att det i bilaga III (skrivelse från utrikesminister John F. Kerry) står att ombudsmannen ”varken kommer att bekräfta eller dementera att någon blivit föremål för övervakning” och inte heller kommer att ”bekräfta det specifika rättsmedlet” (punkt 4 e). Parlamentet påpekar även att ombudsmannen saknar nödvändigt oberoende från den verkställande makten, eftersom ombudsmannen rapporterar till utrikesministern.
25. Europaparlamentet konstaterar att Förenta staterna efter ogiltigförklarandet av safe harbour-principerna inte har gjort någonting för att skära ned på de övervakningsprogram som åsyftades av domstolen, utan tvärtom har antagit lagen om delgivning av information för it-säkerhetsändamål (Cybersecurity Information Sharing Act) från 2015 och för närvarande är på väg att slutföra ändringarna av de federala reglerna för rättegångar i brottmål, regel 41, vilket ytterligare skulle undergräva integriteten för personer som inte är amerikanska medborgare.
26. Europaparlamentet konstaterar att Förenta staterna trots dessa åtgärder kvarstår som det enda land som, efter avslöjandet av de globala övervakningsoperationerna, vidtagit åtgärder för att skydda de grundläggande rättigheterna genom antagandet av frihetslagen (USA Freedom Act) 2015, som begränsat de amerikanska underrättelsetjänsternas massövervakning inom Förenta staterna. Parlamentet oroar sig dock över att den rättsliga situationen inte ändrats vad gäller de amerikanska underrättelsetjänsternas massövervakning utanför Förenta staterna, samt inom Förenta staterna av personer som inte är amerikanska medborgare, i enlighet med avdelning 50 i den amerikanska lagen, punkt 1881a (”avsnitt 702”). Parlamentet anser att Förenta staterna bör anta ytterligare lagstiftning för att korrigera situationen.
27. Europaparlamentet påpekar att flera av EU:s medlemsstater, bl.a. Frankrike och Förenade kungariket, överväger att anta eller har antagit lagstiftning som avsevärt ökar deras befogenheter och kapacitet att utöva övervakning men som inte följer vare sig artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna eller rättspraxis från domstolen och Europeiska domstolen för de mänskliga rättigheterna. Parlamentet uppmanar kommissionen att inleda överträdelseförfaranden mot dessa medlemsstater.
Övriga frågor
28. Europaparlamentet påpekar att kommissionen inte gjort någon bedömning av unionsmedborgares rättigheter och skydd i samband med att deras personuppgifter överförs av en amerikansk registeransvarig som omfattas av skölden för skydd av privatlivet till en brottsbekämpande myndighet i Förenta staterna. Parlamentet påpekar att bilaga VII (skrivelse från Bruce C. Swartz vid Förenta staterna justitiedepartement), om brottsbekämpande myndigheters tillgång till uppgifter, endast handlar om tillgång till uppgifter som lagras av företag men inte tar upp frågan om den registrerade och om vilka rättsmedel som står till buds för de personer vars uppgifter kommits åt.
29. Europaparlamentet välkomnar att artikel 3 i utkastet till kommissionens genomförandebeslut fortfarande ger EU:s tillsynsmyndigheter för dataskyddet möjlighet att tillfälligt inställa överföringen av personuppgifter till registeransvariga som medverkar i skölden för skydd av privatlivet. Parlamentet påpekar att detta stämmer överens med artikel 4 i kommissionens beslut 2001/497/EG om standardavtalsklausuler för överföring av personuppgifter till tredje land.
30. Europaparlamentet framhåller principen om marknadens belägenhet, som införts genom den allmänna dataskyddsförordningen. När den förordningen en gång börjar tillämpas kommer många registeransvariga i Förenta staterna som använt safe harbour-ordningen och som kan använda skölden för skydd av privatlivet att bli tvungna att direkt följa förordningen, inklusive verkställighetssystemet i enlighet med förordningen, när de erbjuder tjänster på EU:s marknad eller övervakar personer som befinner sig inom unionen.
Slutsatser
31. Europaparlamentet anser sammanfattningsvis att skölden för skydd av privatlivet och situationen i Förenta staterna inte innebär tillräckligt genomgripande förbättringar jämfört med safe harbour-ordningen.
32. Europaparlamentet påpekar att det är högst sannolikt att utkastet till beslut om adekvat skydd, när det väl antagits, åter kommer att ifrågasättas inför domstol. Parlamentet påpekar att detta ger upphov till en situation av rättslig osäkerhet både för enskilda personer och för företag. Parlamentet konstaterar att dataskyddsexperter och sammanslutningar av företag redan rekommenderar företagen att använda andra sätt att överföra personuppgifter till Förenta staterna.
33. Europaparlamentet befarar att kommissionen kan komma att överskrida sina genomförandebefogenheter genom att besluta att skölden för skydd av privatlivet ger en adekvat skyddsnivå i Förenta staterna, utan att göra någon fullständig bedömning av det amerikanska systemet och utan att beakta de frågor som aktualiserats i denna resolution.
34. Europaparlamentet uppmanar kommissionen att ta med en klausul om att beslutet om en adekvat skyddsnivå ska upphöra att gälla inom två år, och att inleda nya förhandlingar med Förenta staterna om en bättre ram på grundval av den allmänna dataskyddsförordningen.
35. Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet, kommissionen, medlemsstaternas regeringar och parlament samt Förenta staternas regering och kongress.
- [1] EGT L 281, 23.11.1995, s. 31.
- [2] EUT L 119, 4.5.2016, s. 1.
- [3] EUT L 55, 28.2.2011, s. 13.
- [4] EGT C 121, 24.4.2001, s. 152.
- [5] Antagna texter, P7_TA(2014)0230.
- [6] Antagna texter, P8_TA(2015)0388.