ONTWERPRESOLUTIE over de gepastheid van de door het EU-VS-privacyschild geboden bescherming
3.4.2017 - (2016/3018(RSP))
ingediend overeenkomstig artikel 123, lid 2, van het Reglement
Axel Voss, Anna Maria Corazza Bildt, Barbara Kudrycka namens de PPE-Fractie
Helga Stevens namens de ECR-Fractie
B8-0244/2017
Resolutie van het Europees Parlement over de gepastheid van de door het EU‑VS‑privacyschild geboden bescherming
Het Europees Parlement,
– gezien het Verdrag betreffende de Europese Unie (VEU), het Verdrag betreffende de werking van de Europese Unie (VWEU) en het Handvest van de grondrechten van de Europese Unie,
– gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna "richtlijn gegevensbescherming")[1],
– gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)[2], en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad[3],
– gezien het arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015 in zaak C‑362/14, Maximillian Schrems/Data Protection Commissioner[4],
– gezien de mededeling van de Commissie aan het Europees Parlement en de Raad van 6 november 2015 over de doorgifte van persoonsgegevens van de EU naar de Verenigde Staten van Amerika krachtens Richtlijn 95/46/EG naar aanleiding van het arrest van het Hof van Justitie in zaak C-362/14 (Schrems) (COM(2015)0566),
– gezien Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming[5],
– gezien Advies 4/2016 van de Europese Toezichthouder voor gegevensbescherming (EDPS) inzake het ontwerpbesluit betreffende de gepastheid van de door het EU‑VS‑privacyschild geboden bescherming[6],
– gezien het advies van de Groep gegevensbescherming artikel 29 van 13 april 2016 inzake het ontwerpbesluit betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming[7] en zijn verklaring van 26 juli 2016[8],
– gezien zijn resolutie van 26 mei 2016 over trans-Atlantische gegevensstromen[9],
– gezien artikel 123, lid 2, van zijn Reglement,
A. overwegende dat het Hof van Justitie van de Europese Unie in 2015 het EU-VS-veiligehavenbesluit betreffende de uitwisseling van persoonsgegevens nietig heeft verklaard omdat het de rechten van EU-burgers inzake gegevensbescherming onvoldoende beschermt; overwegende dat de Commissie daarop in 2016 heeft onderhandeld over een nieuwe overeenkomst, het EU-VS-privacyschild;
B. overwegende dat het Europees Parlement niet rechtstreeks bij de onderhandelingen betrokken was, maar in mei 2016 een resolutie over trans-Atlantische gegevensstromen heeft aangenomen waarin het zijn tevredenheid uit over de "aanzienlijke verbeteringen" in het privacyschild ten opzichte van het veiligehavenbesluit, maar ook om een aantal bijkomende verbeteringen vraagt;
C. overwegende dat de Commissie binnenkort haar eerste jaarlijkse toetsing van het privacyschild zal verrichten en de resultaten daarvan zal bekendmaken;
1. is verheugd over de afronding van de onderhandelingen tussen de EU en de VS over de invoering van het EU-US-privacyschild, na meer dan twee jaar onderhandelingen tussen de Commissie en het ministerie van Handel van de VS, en over de vaststelling van het besluit betreffende het EU-US-privacyschild op 12 juli 2016;
2. neemt er kennis van dat bedrijven zich voor het EU-VS-privacyschild kunnen inschrijven bij het Amerikaanse ministerie van Handel, dat vervolgens controleert of hun privacybeleid voldoet aan de strenge gegevensbeschermingsnormen die het privacyschild oplegt;
3. neemt er nota van dat tot dusver 1 937 bedrijven zich bij het EU-VS-privacyschild hebben aangesloten;
4. is verheugd dat het Amerikaanse Congres de Judicial Redress Act heeft aangenomen, en wijst erop dat het Europees Parlement al lang om een dergelijke wet vroeg als voorwaarde voor de voltooiing van de raamovereenkomst tussen de EU en de VS en voor de afronding van de onderhandelingen over het privacyschild;
5. erkent dat het EU-VS-privacyschild in belangrijke mate verschilt van het veiligehavenkader, doordat is voorzien in aanzienlijk meer gedetailleerde documentatie, die meer specifieke verplichtingen oplegt aan bedrijven die zich bij het kader willen aansluiten, inclusief nieuwe controlemechanismen om ervoor te zorgen dat de rechten van Europese betrokkenen kunnen worden uitgeoefend wanneer hun gegevens worden verwerkt in de VS;
6. is tevreden dat de Groep artikel 29 heeft erkend dat het privacyschild aanzienlijke verbeteringen inhoudt in vergelijking met het veiligehavenbesluit;
7. neemt kennis van de punten waarover de Groep artikel 29 zijn bezorgdheid uitspreekt en de constructieve aanpak van de Groep, en benadrukt voorts dat het principe van beperking van de bewaartermijn van gegevens waarnaar in het advies wordt verwezen, eerst in de Europese Unie moet worden verduidelijkt, aangezien de situatie en de normen in de EU nog onduidelijk zijn als gevolg van de uitspraak van het Hof van Justitie van 2014;
8. neemt kennis van de verklaring van de voorzitter van de Groep artikel 29 volgens welke de essentiële waarborgen die door de Groep zijn geïdentificeerd, ook voor EU‑lidstaten moeten gelden;
9. betreurt het dat de procedure tot vaststelling van een gepastheidsbesluit niet voorziet in formeel overleg met belanghebbenden zoals bedrijven, en met name organisaties die kmo's vertegenwoordigen;
10. merkt op dat, terwijl in het veiligehavenkader niet werd verwezen naar specifieke beperkingen van de toegang van de Amerikaanse overheid tot naar de VS overgedragen gegevens, de documentatie in het kader van het nieuwe EU-VS-privacyschild bindende toezeggingen van de Amerikaanse regering omvat in de vorm van brieven van de directeur van de nationale inlichtingendiensten, de Amerikaanse minister van Buitenlandse Zaken en het Amerikaanse ministerie van Justitie;
11. benadrukt dat het Amerikaanse Congres en de Amerikaanse regering sinds 2013 ruim twintig hervormingen van surveillancewetten en -programma's hebben doorgevoerd, waaronder de USA Freedom Act, die massale gegevensverzameling verbiedt, presidentiële beleidsrichtlijn 28, waarbij de bescherming van de privacyrechten en de burgerlijke vrijheden van personen buiten de VS tot integraal onderdeel van het Amerikaanse toezichtbeleid wordt gemaakt, de wijzigingen in de US Foreign Intelligence Act, en de Judicial Redress Act, waarbij de maatregelen op het gebied van gegevensbescherming worden uitgebreid tot EU-burgers; is van mening dat deze hervormingen cruciaal zijn bij de beoordeling van het interferentie-effect op de grondrechten van privacy en gegevensbescherming, die zijn vastgelegd in de artikelen 7 en 8 van het Handvest van de grondrechten van de EU;
12. erkent en verwelkomt de recente initiatieven van de Amerikaanse regering en het Amerikaanse Congres, zoals de Email Privacy Bill, die in april 2016 unaniem is aangenomen door het Huis van Afgevaardigden en waarbij wijzigingen zijn aangebracht in de Electronic Communications Privacy Act van 1986, en de aanneming van de Freedom of Information Improvement Act door het Huis van Afgevaardigden in januari 2016 en door de Senaat in maart 2016, en staat volledig achter de ondertekening van de wet door de president, waarmee wordt aangetoond dat de VS grote politieke inspanningen leveren om de privacybescherming voor iedereen te verbeteren;
13. is tevreden met de creatie van het ombudsmanmechanisme binnen het ministerie van Buitenlandse Zaken, dat onafhankelijk is van de nationale veiligheidsdiensten en zal helpen zorgen voor individuele beroepsmogelijkheden en onafhankelijk toezicht; vraagt dat de eerste ombudsman snel wordt benoemd;
14. constateert dat er, hoewel het Amerikaanse recht specifieke bescherming biedt tegen nadelige besluiten op gebieden waar ondernemingen naar alle waarschijnlijkheid gebruikmaken van geautomatiseerde verwerking (bijvoorbeeld werk en kredietverlening), in het EU-VS-privacyschild geen specifieke regels inzake geautomatiseerde besluitvorming zijn opgenomen, en verzoekt de Commissie daarom de situatie te volgen, onder meer aan de hand van de jaarlijkse gezamenlijke toetsingen;
15. stelt met voldoening vast dat het EU-VS-privacyschild betrokkenen in de EU verscheidene mogelijkheden biedt om beroep aan te tekenen in de VS: ten eerste kan hetzij rechtstreeks bij de onderneming of via het ministerie van Handel een klacht worden ingediend na verwijzing door een gegevensbeschermingsautoriteit, ofwel bij een onafhankelijk orgaan voor geschilbeslechting; ten tweede kan een civielrechtelijke procedure worden aangespannen bij een Amerikaanse rechtbank als het gaat om schending van de grondrechten omwille van de nationale veiligheid en kunnen dergelijke klachten ook worden behandeld door de nieuwe onafhankelijke dienst van de ombudsman; tot slot kunnen klachten over schending van de grondrechten omwille van wetshandhaving en algemeen belang ook het onderwerp vormen van een dagvaardingsprocedure; pleit voor verdere begeleiding door de Commissie en de autoriteiten voor gegevensbescherming om die beroepsmogelijkheden meer toegankelijk en beter beschikbaar te maken;
16. constateert dat betrokkenen weliswaar de mogelijkheid hebben om bij de EU‑verwerkingsverantwoordelijke bezwaar aan te tekenen tegen doorgifte van hun persoonsgegevens aan de VS en tegen verdere verwerking van deze gegevens in de VS als de onderneming handelt als verwerker namens de EU‑verwerkingsverantwoordelijke, maar dat het EU-VS-privacyschild geen specifieke regels omvat over het algemene recht om bezwaar aan te tekenen bij de zelfgecertificeerde Amerikaanse onderneming;
17. wijst op het gebrek aan uitdrukkelijke beginselen betreffende de wijze waarop de beginselen van het EU-VS-privacyschild van toepassing zijn op verwerkers (vertegenwoordigers); erkent evenwel dat alle beginselen, tenzij anders is aangegeven, van toepassing zijn op de verwerking van persoonsgegevens door alle Amerikaanse zelfgecertificeerde ondernemingen en dat voor de doorgifte voor verwerkingsdoeleinden altijd een overeenkomst met de EU‑verwerkingsverantwoordelijke nodig is waarin wordt vastgesteld wat de verwerkingsdoeleinden en ‑middelen zijn, en of de verwerker bevoegd is tot verdere doorgifte (bijvoorbeeld subverwerking);
18. neemt er nota van dat de Commissie een gids voor de burger heeft gepubliceerd waarin wordt uitgelegd hoe de rechten van personen inzake gegevensbescherming in het kader van het EU-VS-privacyschild worden gegarandeerd en over welke beroepsmogelijkheden personen beschikken als zij van oordeel zijn dat hun gegevens zijn misbruikt en hun rechten op gegevensbescherming niet zijn geëerbiedigd; beveelt aan dat deze gids wordt gepromoot om burgers bewust te maken van de voordelen van het privacyschild;
19. is verheugd dat de autoriteiten voor gegevensbescherming van de lidstaten in het kader van het privacyschild een prominente rol krijgen bij het onderzoek van klachten in verband met de bescherming van het recht op privacy en gezinsleven in het kader van het EU‑Handvest van de grondrechten en bij de opschorting van gegevensstromen, en dat het Amerikaanse ministerie van Handel wordt verplicht om een oplossing te vinden voor dergelijke klachten;
20. brengt in herinnering dat een van de fundamentele doelstellingen van de EU op dit gebied erin moet bestaan dat persoonsgegevens bij doorgifte naar haar belangrijkste internationale handelspartner worden beschermd, en wijst erop dat het privacyschild ervoor zal helpen zorgen dat de fundamentele rechten van betrokkenen in de EU met hun gegevens meestromen;
21. is verheugd dat bedrijven niet langer in juridische onzekerheid verkeren nu het EU‑VS‑privacyschild een rechtsgrond vormt voor de doorgifte van gegevens;
22. brengt eveneens in herinnering dat rechtszekerheid, en met name duidelijke en uniforme voorschriften, van cruciaal belang zijn voor de ontwikkeling en groei van bedrijven, in het bijzonder kmo's, en waarschuwt daarom tegen pogingen om het goedgekeurde EU‑VS‑privacyschild op losse schroeven te zetten, omdat dit voor duizenden bedrijven van allerlei soorten en grootten, zowel in de Europese Unie als in de Verenigde Staten, tot onzekerheid zou leiden, met ernstige gevolgen voor hun activiteiten en hun mogelijkheden om zaken te doen aan beide zijden van de Atlantische Oceaan;
23. wijst erop dat kmo's goed zijn voor 60 % van de ondernemingen die onder het veiligehavenkader vallen en dat kmo's het meest baat zullen hebben bij het nieuwe privacyschild; verzoekt de Commissie om in nauwe samenwerking met de GBA's voor meer duidelijkheid, nauwkeurigheid en toegankelijkheid te zorgen bij de uitvoering en werking van het privacyschild voor deze ondernemingen;
24. is van mening dat het privacyschild cruciaal is om de kloof tussen de Europese en Amerikaanse benadering van privacy te dichten, en bijgevolg essentieel is om het trans‑Atlantische vertrouwen te herstellen; heeft er vertrouwen in dat het EU‑VS-privacyschild, wanneer het als nalevingskader vastgesteld wordt, nauwgezet door de toezichthouders en de Commissie zal worden gemonitord via het mechanisme voor jaarlijkse gezamenlijke toetsing, waardoor de robuustheid en de rechtsgeldigheid ervan verzekerd zullen zijn;
25. vraagt de Commissie zich in het kader van het EU‑VS-privacyschild ten volle te kwijten van haar verantwoordelijkheid om op gezette tijden haar bevindingen over de gepastheid en de juridische rechtvaardiging daarvoor te evalueren teneinde te waarborgen dat persoonsgegevens naar behoren worden beschermd en dat het kader doeltreffend functioneert zonder dat de andere grondrechten, zoals het recht op privacy en veiligheid, het recht om informatie te ontvangen en te verspreiden en het recht op ondernemerschap, nodeloos in het gedrang komen, en jaarlijks aan het Parlement verslag uit te brengen over haar precieze bevindingen en eventuele oplossingen;
26. vraagt de Commissie erop toe te zien dat bij de jaarlijkse gezamenlijke toetsing vooral wordt gekeken naar het aantal geregistreerde klachten van burgers, de effectiviteit en toegankelijkheid van de beroepsmogelijkheden, waaronder de ombudsman, voor betrokkenen in de EU, de voortgang van de hervorming van de surveillancewetgeving in de VS, de samenwerking tussen de gegevensbeschermingsautoriteiten in de EU en het Amerikaanse ministerie van Handel (DoC) en de Federal Trade Commission (FTC), de toezichts- en handhavingsrol van het DoC en de FTC wat betreft de inachtneming door Amerikaanse bedrijven van het privacyschild en hun privacybeleid, en het aantal bedrijven dat zich hebben aangesloten;
27. erkent dat het EU‑VS-privacyschild deel uitmaakt van een ruimere dialoog tussen de EU en derde landen, waaronder de Verenigde Staten, over gegevensbescherming, handel, veiligheid en daarmee samenhangende rechten en doelstellingen van gemeenschappelijk belang; verzoekt alle partijen daarom samen te werken aan het vaststellen en voortdurend verbeteren van werkbare internationale kaders en binnenlandse wetgeving om die doelstellingen te verwezenlijken;
28. betreurt het dat dit debat zo vroeg plaatsvindt en is van oordeel dat de presentatie van de eerste jaarlijkse gezamenlijke toetsing een geschikter moment zou zijn om de eerste conclusies te trekken over het functioneren van het EU‑VS-privacyschild;
29. verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Commissie, de Raad, de nationale parlementen van de lidstaten en het Congres en de regering van de VS.
- [1] PB L 281 van 23.11.1995, blz. 31.
- [2] PB L 119 van 4.5.2016, blz. 1.
- [3] PB L 119 van 4.5.2016, blz. 89.
- [4] ECLI:EU:C:2015:650.
- [5] PB L 207 van 1.8.2016, blz. 1.
- [6] PB C 257 van 15.7.2016, blz. 8.
- [7] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
- [8] http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
- [9] Aangenomen teksten, P8_TA(2016)0233.