NÁVRH USNESENÍ o přiměřenosti ochrany poskytované štítem EU a USA na ochranu soukromí
29.3.2017 - (2016/3018(RSP))
v souladu s čl. 123 odst. 2 jednacího řádu
Claude Moraes za Výbor pro občanské svobody, spravedlnost a vnitřní věci
B8-0235/2017
Usnesení Evropského parlamentu o přiměřenosti ochrany poskytované štítem EU a USA na ochranu soukromí
Evropský parlament,
– s ohledem na Smlouvu o Evropské unii (SEU), Smlouvu o fungování Evropské unie (SFEU) a na články 6, 7, 8, 11, 16, 47 a 52 Listiny základních práv Evropské unie,
– s ohledem na směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (směrnice o ochraně údajů)[1],
– s ohledem na rámcové rozhodnutí Rady 2008/977/SVV ze dne 27. listopadu 2008 o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech[2],
– s ohledem na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně údajů)[3] a na směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV[4],
– s ohledem na rozsudek Evropského soudního dvora ze dne 6. října 2015 ve věci C-362/14 Maximillian Schrems v. komisař pro ochranu údajů[5],
– s ohledem na sdělení Komise Evropskému parlamentu a Radě ze dne 6. listopadu 2015 o předávání osobních údajů Evropskou unií Spojeným státům americkým na základě směrnice 95/46/ES v návaznosti na rozsudek Soudního dvora ve věci C-362/14 (Schrems) (COM(2015)0566),
– s ohledem na sdělení Komise Evropskému parlamentu a Radě ze dne 10. ledna 2017 o výměně a ochraně osobních údajů v globalizovaném světě (COM(2017)0007),
– s ohledem na rozsudek Soudního dvora Evropské unie ze dne 21. prosince 2016 ve spojených věcech C-203/15 Tele2 Sverige AB v. Post- och telestyrelsen a C-698/15 Secretary of State for the Home Department v. Tom Watson a další[6],
– s ohledem na prováděcí rozhodnutí (EU) 2016/1250, které přijala Komise dne 12. července 2016 podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí[7],
– s ohledem na stanovisko evropského inspektora ochrany údajů č. 4/2016 k rozhodnutí ve věci přiměřenosti návrhu systému EU–USA na ochranu soukromí[8],
– s ohledem na stanovisko pracovní skupiny pro ochranu údajů zřízené podle článku 29 ze dne 13. dubna 2016 ve věci přiměřenosti návrhu systému EU–USA na ochranu soukromí[9] a na její prohlášení ze dne 26. července 2016[10],
– s ohledem na své usnesení ze dne 26. května 2016 o transatlantickém toku údajů[11],
– s ohledem na čl. 123 odst. 2 jednacího řádu,
A. vzhledem k tomu, že Evropský soudní dvůr ve svém rozsudku ze dne 6. října 2015 ve věci C-362/14 Maximillian Schrems v. komisař pro ochranu údajů prohlásil rozhodnutí o bezpečném přístavu za neplatné a objasnil, že odpovídající úroveň ochrany ve třetí zemi musí být chápána jako „v zásadě rovnocenná“ úrovni, již v Evropské unii zaručuje směrnice 95/46/ES vykládaná ve světle Listiny základních práv Evropské unie (dále jen „Listina EU“), což vyžaduje dokončení jednání o nové dohodě, aby byla zajištěna právní jistota ohledně toho, jak mají být soukromé údaje předávány z EU do USA;
B. vzhledem k tomu, že při přezkumu úrovně ochrany poskytované třetí zemí je Komise povinna posoudit obsah pravidel platných v této zemi, která vyplývají z vnitrostátních předpisů nebo mezinárodních závazků této země, i praxi zajišťující dodržování těchto pravidel, neboť Komise musí podle čl. 25 odst. 2 směrnice 95/46/ES přihlédnout ke všem okolnostem souvisejícím s předáním osobních údajů do třetí země; vzhledem k tomu, že toto posouzení musí zahrnovat nejen předpisy a praxi související s ochranou osobních údajů pro obchodní a soukromé účely, ale musí se zabývat všemi aspekty rámce platného v dotčené zemi či oblasti, k nimž patří mj. zejména vymáhání práva, národní bezpečnost a dodržování základních práv;
C. vzhledem k tomu, že předávání osobních údajů mezi komerčními organizacemi v EU a USA je důležitým prvkem transatlantických vztahů; vzhledem k tomu, že toto předávání by mělo probíhat plně v souladu s právem na ochranu osobních údajů a právem na ochranu soukromí; vzhledem k tomu, že jedním ze základních cílů EU je ochrana základních práv zakotvených v Listině EU;
D. vzhledem k tomu, že evropský inspektor ochrany údajů ve svém stanovisku 4/2016 poukázal na několik problémů spojených s návrhem štítu na ochranu soukromí; vzhledem k tomu, že ve stejném stanovisku vítá úsilí všech stran o nalezení řešení pro předávání osobních údajů z EU do USA pro obchodní účely na základě systému autocertifikace (dobrovolného přihlášení organizací z USA do rejstříku federálního ministerstva obchodu);
E. vzhledem k tomu, že pracovní skupina zřízená podle článku 29 ve svém stanovisku č. 01/2016 o přiměřenosti návrhu rozhodnutí o štítu EU–USA na ochranu soukromí uvítala značný pokrok v porovnání s rozhodnutím o bezpečném přístavu, ale vyjádřila také vážné znepokojení nad komerčními aspekty předávání údajů v rámci navrženého štítu a nad přístupem veřejných orgánů k těmto údajům;
F. vzhledem k tomu, že Komise dne 12. července 2016 po dalším jednání s úřady USA přijala prováděcí rozhodnutí (EU) 2016/1250 o odpovídající úrovni ochrany poskytované štítem EU–USA na ochranu soukromí, které zaručuje ochranu osobních údajů předávaných z Unie organizacím ve Spojených státech;
G. vzhledem k tomu, že štít EU–USA na ochranu soukromí doprovází několik dopisů a jednostranných prohlášení úřadů USA vysvětlujících mj. zásady ochrany údajů, fungování dohledu, vynucování, opravné prostředky a záruky, v jejichž rámci získávají bezpečnostní agentury přístup k osobním údajům a mohou je zpracovávat;
H. vzhledem k tomu, že pracovní skupina zřízená podle článku 29 ve svém prohlášení ze dne 26. července 2016 vítá pokrok, který představuje štít EU–USA na ochranu soukromí ve srovnání s bezpečným přístavem, a oceňuje, že Komise a orgány USA zohlednily její připomínky; vzhledem k tomu, že pracovní skupina nicméně uvádí, že je stále znepokojena několika problematickými body v souvislosti s komerčním hlediskem i s přístupem veřejných orgánů USA k údajům předaným z EU, jako jsou chybějící konkrétní pravidla pro automatizovaná rozhodnutí a absence obecného práva vznést námitku, potřeba přísnějších záruk nezávislosti a pravomocí mechanismu veřejného ochránce práv a absence konkrétních záruk, že nebude prováděn masový a neselektivní sběr osobních údajů (hromadný sběr);
1. vítá úsilí Komise i orgánů USA o vyřešení problémů, na něž poukázal Evropský soudní dvůr, členské státy, Evropský parlament, úřady pro ochranu údajů a zúčastněné strany, což Komisi umožnilo přijmout prováděcí rozhodnutí, v němž štít EU–USA na ochranu soukromí prohlašuje za přiměřený;
2. uznává, že štít EU–USA na ochranu soukromí obsahuje oproti předchozímu systému EU–USA bezpečný přístav výrazná zlepšení a že organizace z USA, které se samy přihlásí k tomuto systému, budou muset splňovat jasnější normy pro ochranu údajů, než byly normy bezpečného přístavu;
3. bere na vědomí, že 23. březnu 2017 se ke štítu EU–USA na ochranu soukromí připojilo 1 893 organizací z USA; vyjadřuje politování nad tím, že štít na ochranu soukromí se zakládá pouze na dobrovolné autocertifikaci, a tudíž platí jenom pro americké organizace, které se k němu dobrovolně přihlásily, což znamená, že na řadu společností se systém nevztahuje;
4. uznává, že štít EU–USA na ochranu soukromí usnadňuje přenos údajů MSP a podniků v Unii do USA;
5. konstatuje, že v souladu s rozsudkem Soudního dvora EU ve věci Schrems nejsou rozhodnutím o přiměřenosti nového systému dotčeny pravomoci evropských úřadů pro ochranu údajů, a tudíž je mohou nadále uplatňovat, včetně možnosti pozastavit nebo zakázat přenos údajů ve prospěch organizace, která je zaregistrována v systému štít EU–USA na ochranu soukromí; v tomto ohledu vítá, že štít na ochranu soukromí přisuzuje úřadům pro ochranu údajů členských států EU prominentní roli zkoumat a prošetřovat stížnosti týkající se ochrany práva na soukromí a rodinný život podle Listiny EU a pozastavovat předávání údajů a že ministerstvu obchodu USA ukládá povinnost tyto stížnosti vyřešit;
6. s uspokojením konstatuje, že v rámci štítu na ochranu soukromí mají subjekty údajů z EU k dispozici několik způsobů, jak v USA usilovat o právní nápravu: 1) stížnosti lze podat buď přímo dané společnosti nebo prostřednictvím federálního ministerstva obchodu USA, kterému stížnost předá příslušný úřad pro ochranu údajů, nebo prostřednictvím nezávislého subjektu pro řešení sporů; 2) v případě zásahů do základních práv v zájmu národní bezpečnosti lze podat občanskoprávní žalobu k soudu v USA a podobné stížnosti může řešit i nové zřízený nezávislý úřad ochránce práv; a 3) stížnosti na zásahy do základních práv v důsledku vymáhání práva či ve veřejném zájmu lze řešit návrhy na zrušení výzvy k podání svědectví či předložení důkazu; vyzývá k tomu, aby Komise a úřady pro ochranu údajů poskytly další pokyny, aby byly tyto právní prostředky nápravy snáze přístupné a dostupné;
7. oceňuje, že ministerstvo obchodu USA se jasně zavázalo k přísnému sledování toho, jak organizace z USA dodržují zásady štítu EU–USA na ochranu soukromí, a k přijetí donucovacích opatření proti subjektům, které je dodržovat nebudou;
8. znovu vyzývá Komisi, aby usilovala o ujasnění právního vymezení „písemných ujištění“ poskytovaných Spojenými státy a aby zajistila zachování všech závazků či ujednání stanovených v rámci štítu na ochranu soukromí i po nástupu nové vlády Spojených států;
9. domnívá se, že navzdory závazkům a ujišťování ze strany vlády USA, které jsou předmětem dopisů připojených k ujednání o štítu na ochranu soukromí, i nadále zůstávají nevyřešeny důležité otázky ohledně jistých komerčních aspektů, národní bezpečnosti a prosazování práva;
10. obzvlášť si všímá výrazného rozdílu mezi ochranou, kterou zaručuje článek 7 směrnice 95/46/ES, a zásadou „oznamovací povinnosti a možnosti volby“ obsaženou v ujednání o štítu na ochranu soukromí a rovněž značných rozdílů mezi článkem 6 směrnice 95/46/ES a zásadou „úplnosti údajů a omezení účelu“ obsaženou v ujednání o štítu na ochranu soukromí; upozorňuje na to, že místo právního základu (jako je souhlas či smlouva), který by platil pro veškeré úkony zpracování, se práva subjektů údajů podle zásad štítu na ochranu soukromí vztahují jen na dva konkrétní úkony zpracování (zveřejňování údajů a změnu účelu) a zaručují pouze právo na námitku (ustanovení o výjimce);
11. zastává názor, že tyto četné obavy by mohly podnítit k novému zpochybnění rozhodnutí o přiměřené ochraně a v budoucnu k jeho napadnutí u soudů; zdůrazňuje negativní důsledky, ať už jde o dodržování základních práv, či potřebnou právní jistotu pro zúčastněné strany;
12. poukazuje mj. na absenci konkrétních pravidel pro automatické rozhodování a pro obecné právo vznést námitku a na absenci jednoznačných pravidel k tomu, jak se zásady štítu na ochranu soukromí uplatní na zpracovatele (zmocněnce);
13. konstatuje, že zatímco fyzické osoby mají možnost vznést u správce EU námitku vůči jakémukoli předání svých osobních údajů do USA a jejich dalšímu zpracování v USA, kde společnosti, které se účastní štítu na ochranu soukromí, jednají jako zpracovatelé v pověření správce EU, chybí štítu na ochranu soukromí konkrétní pravidla pro obecné právo na vznesení námitky vůči autocertifikované společnosti z USA;
14. konstatuje, že pouze zlomek organizací z USA přidružených ke štítu na ochranu soukromí si zvolil některý z úřadů pro ochranu údajů z EU jako mechanismus pro řešení sporů; vyjadřuje znepokojení nad tím, že by to mohlo znevýhodnit občany Unie, když by se snažili prosadit svá práva;
15. konstatuje, že chybí jasná pravidla uplatňování zásad štítu na ochranu soukromí pro zpracovatele (zmocněnce), přičemž uznává, že všechny tyto zásady se vztahují na zpracovávání osobních údajů jakoukoli americkou autocertifikovanou společností, „pokud není stanoveno jinak“, a že předání údajů pro účely zpracování vždy vyžaduje smlouvu se správcem EU, která vymezí účely a prostředky zpracování i to, zda je zpracovatel oprávněn k dalšímu předávání (např. k dílčímu zpracování);
16. zdůrazňuje, že pokud jde o národní bezpečnost a sledování, zůstává „hromadné sledování“, navzdory vyjasněním, která v dopisech připojených k právnímu rámci štítu na ochranu soukromí uvedl ředitel Národní zpravodajské kanceláře (National Intelligence Office), a rozdílné terminologii, již používají úřady USA, i nadále možné; vyjadřuje politování nad tím, že neexistuje jednotná definice pojmu „hromadné sledování“ a že se přejímá americká terminologie, a požaduje proto jednotnou definici „hromadného sledování“, která bude vycházet z evropského chápání tohoto výrazu a v níž hodnocení nebude záviset na výběru; zdůrazňuje, že hromadné sledování v jakékoli podobě je v rozporu s Listinou EU;
17. připomíná, že v příloze VI (dopis Roberta S. Litta z Úřadu ředitele národního zpravodajství (ODNI)) je uvedeno, že podle prezidentské politické směrnice č. 28 („PPD-28“) je hromadné shromažďování osobních údajů a komunikace osob, které nejsou občany USA, v šesti případech nadále povoleno; poukazuje na to, že hromadný sběr údajů musí být pouze „co nejúčelnější“ a „přiměřený“, což nesplňuje přísnější kritéria nutnosti a proporcionality uvedená v Listině EU;
18. vyjadřuje politování nad tím, že štít EU–USA na ochranu soukromí nezakazuje hromadný sběr údajů pro účely vymáhání práva;
19. zdůrazňuje, že Evropský soudní dvůr ve svém rozsudku ze dne 21. prosince 2016 jasně stanovil, že Listina EU „musí být vykládána v tom smyslu, že brání takové vnitrostátní právní úpravě, která za účelem boje proti trestné činnosti stanoví plošné a nerozlišující uchovávání veškerých provozních a lokalizačních údajů všech účastníků a registrovaných uživatelů všech prostředků elektronické komunikace“; poukazuje na to, že hromadné sledování v USA tudíž nezaručuje v zásadě rovnocennou úroveň ochrany osobních údajů a komunikace;
20. je zneklidněn nedávným zjištěním, že jistý americký poskytovatel služeb elektronické komunikace na výzvu Národní agentury pro bezpečnost (NSA) a FBI sledoval v roce 2015, tj. rok po přijetí prezidentské směrnice č. 28 a během jednání o štítu EU–USA na ochranu soukromí, všechny e-maily přicházející na jeho servery; trvá na tom, aby Komise po orgánech USA požadovala plné vysvětlení a jejich odpovědi poskytla Radě, Parlamentu a vnitrostátním úřadům pro ochranu údajů; spatřuje v tom důvod k vážným pochybám o ujištěních ze stany ODNI; je si vědom toho, že štít EU–USA na ochranu soukromí se opírá o prezidentskou politickou směrnici č. 28, kterou vydal prezident a jakýkoli budoucí prezident ji může bez souhlasu Kongresu kdykoli odvolat;
21. vyjadřuje hluboké znepokojení nad vydáním „Postupů pro dostupnost nebo šíření nezpracovaných signálových zpravodajských informací Národní bezpečnostní kanceláří (NSA) na základě oddílu 2.3 prezidentského výnosu 12333“, které dne 3. ledna 2017 schválila ministryně spravedlnosti, čímž Národní bezpečnostní kanceláři umožnila sdílet obrovské množství soukromých údajů nashromážděných bez povolení, soudního příkazu či svolení Kongresu s 16 jinými agenturami, včetně FBI, Agentury pro prosazování protidrogové politiky (DEA) a ministerstva vnitřní bezpečnosti; vyzývá Komisi, aby bezodkladně posoudila slučitelnost těchto nových pravidel se závazky amerických orgánů v rámci štítu na ochranu soukromí i jejich dopad na stupeň ochrany osobních údajů ve Spojených státech;
22. s politováním konstatuje, že ani zásady štítu EU–USA na ochranu soukromí, ani dopisy úřadů USA, které vyjasňují a formulují určité záruky, neprokazují, že existují účinná práva na nápravu před soudem pro fyzické osoby z EU, jejichž osobní údaje jsou na základě výše uvedených zásad předány některé organizaci z USA, přičemž k těmto údajům mají přístup veřejné orgány Spojených států, které je také dále zpracovávají pro účely prosazování práva a ve veřejném zájmu; poukazuje na to, že Evropský soudní dvůr ve svém rozsudku ze dne 6. října 2015 zdůraznil, že tato práva na nápravu tvoří podstatu základního práva zakotveného v článku 47 Listiny EU;
23. připomíná své usnesení ze dne 26. května 2016, podle nějž není úřad veřejného ochránce zavedený ministerstvem zahraničních věcí USA dostatečně nezávislý a nebyly mu ani uděleny dostatečně účinné pravomoci, které by mu umožňovaly provádět své úkoly a poskytovat účinnou nápravu fyzickým osobám z EU; konstatuje, že vláda USA ve svých prohlášení ujišťuje o nezávislosti úřadu veřejného ochránce na zpravodajských službách USA i o absenci jakéhokoli nepatřičného ovlivňování, které by mohlo ohrozit fungování úřadu, a kromě toho poukazuje na to, že úřad spolupracuje s jinými nezávislými orgány dohledu, které mají účinné kontrolní pravomoci nad zpravodajskými složkami USA; je obecně znepokojen tím, fyzická osoba, jíž se porušení pravidel dotýká, může pouze žádat o informace a požadovat, aby byly údaje vymazány nebo aby bylo zabráněno jejich dalšímu zpracovávání, ale nemá nárok na odškodnění;
24. lituje toho, že postup přijímání rozhodnutí o přiměřenosti nepočítá s formální konzultací s relevantními zúčastněnými stranami, například s podniky a zejména s organizacemi zastupujícími MSP;
25. s politováním konstatuje, že Komise zvolila v praxi postup pro přijímání prováděcích rozhodnutí Komise, který de facto Parlamentu znemožnil účinným způsobem uplatnit právo na účinný přezkum návrhu prováděcího aktu;
26. vyzývá Komisi, aby přijala veškerá nezbytná opatření k zajištění toho, aby byl štít EU–USA na ochranu soukromí plně v souladu s nařízením (EU) 2016/679, které se má začít uplatňovat od 16. května 2018, a s Listinou EU;
27. žádá Komisi, aby zejména zajistila, aby osobní údaje, které byly předány v rámci štítu EU–USA na ochranu soukromí do USA, mohly být předány další třetí zemi pouze tehdy, je-li to v souladu s účelem, pro který byly tyto údaje původně shromážděny, a pokud v dotčené třetí zemi platí stejná pravidla zvláštního a cíleného přístupu donucovacích orgánů k těmto údajům;
28. vyzývá Komisi, aby sledovala, zda osobní údaje, které již nejsou nezbytné pro účel, za nímž byly původně shromážděny, jsou vymazány, a to i donucovacími orgány;
29. vyzývá Komisi, aby bedlivě sledovala, zda štít EU–USA na ochranu soukromí umožňuje úřadům pro ochranu údajů vykonávat veškeré jejich pravomoci, a pokud ne, aby určila, která ustanovení těmto úřadům ve výkonu pravomocí brání;
30. vyzývá Komisi, aby v průběhu prvního společného výročního přezkumu podrobně přezkoumala všechny nedostatky a slabiny uvedené v tomto usnesení a v usnesení ze dne 26. května 2016 o transatlantickém toku údajů a nedostatky zjištěné pracovní skupinou zřízenou podle článku 29, evropským inspektorem ochrany údajů a zúčastněnými stranami a aby doložila, jak byly tyto problémy vyřešeny tak, aby byla dodržována ustanovení Listiny EU a práva Unie, a aby důkladně vyhodnotila, zda jsou mechanismy a záruky uvedené v ujištěních a vyjasněních úřadů USA účinné a realizovatelné v praxi;
31. vyzývá Komisi, aby zajistila, aby při provádění společného výročního přezkumu měli všichni členové týmu plný a neomezený přístup ke všem dokumentům a do všech prostor, jak bude nezbytné pro plnění jejich úkolů, a to včetně prvků umožňujících řádné posouzení nezbytnosti a přiměřenosti sběru údajů a přístupu k údajům předávaným veřejnými orgány za účelem vymáhání práva nebo národní bezpečnosti;
32. zdůrazňuje, že všem členům týmu pro společný přezkum musí být zaručena nezávislost při provádění jejich úkolů a že tito členové jsou oprávněni vyjádřit v závěrečné zprávě společného přezkumu svá nesouhlasná stanoviska, která budou zveřejněna a připojena ke společné zprávě formou přílohy;
33. vyzývá úřady pro ochranu údajů v Unii, aby monitorovaly fungování štítu EU–USA na ochranu soukromí a vykonávaly své pravomoci, včetně možnosti pozastavit nebo definitivně zakázat přenos osobních údajů ve prospěch organizace, která je zaregistrována ve štítu EU–USA na ochranu soukromí, pokud se domnívají, že nejsou zaručena základní práva subjektů údajů v Unii na ochranu soukromí a osobních údajů;
34. zdůrazňuje, že Parlament by měl mít plný přístup ke všem důležitým dokumentům souvisejícím se společným ročním přezkumem;
35. pověřuje svého předsedu, aby předal toto usnesení Komisi, Radě, vládám a parlamentům členských států a vládě a Kongresu USA.
- [1] Úř. věst. L 281, 19.5.1995, s. 31.
- [2] Úř. věst. L 350, 30.12.2008, s. 60.
- [3] Úř. věst. L 119, 4.5.2016, s. 1
- [4] Úř. věst.. L 119, 4.5.2016, s. 89
- [5] ECLI:EU:C:2015:650.
- [6] ECLI:EU:C:2016:970.
- [7] Úř. věst. L 207, 1.8.2016, 1.
- [8] Úř. věst. C 257, 15.7.2016, s. 8.
- [9] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
- [10] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
- [11] Přijaté texty, P8_TA(2016)0233.