PROJEKT REZOLUCJI w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA

3.4.2017 - (2016/3018(RSP))

złożony w następstwie oświadczenia Komisji
zgodnie z art. 123 ust. 2 Regulaminu

Axel Voss, Anna Maria Corazza Bildt, Barbara Kudrycka w imieniu grupy PPE
Helga Stevens w imieniu grupy ECR

B8-0244/2017

Rezolucja Parlamentu Europejskiego w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA

(2016/3018(RSP))

Parlament Europejski,

–  uwzględniając Traktat o Unii Europejskiej (TUE), Traktat o Funkcjonowaniu Unii Europejskiej (TFUE) oraz Kartę praw podstawowych Unii Europejskiej,

–  uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwaną dalej „dyrektywą o ochronie danych”)[1],

–  uwzględniając rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („ogólne rozporządzenie o ochronie danych”)[2], a także dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW[3],

–  uwzględniając wyrok Europejskiego Trybunału Sprawiedliwości z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner[4],

–  uwzględniając komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 6 listopada 2015 r. w sprawie przekazywania danych osobowych z UE do Stanów Zjednoczonych na mocy dyrektywy 95/46/WE w następstwie wyroku Trybunału Sprawiedliwości w sprawie C-362/14 (Schrems) (COM(2015)0566),

–  uwzględniając decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętą na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA[5],

–  uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) nr 4/2016 w sprawie projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach unijno-amerykańskiej ochrony prywatności (Privacy Shield)[6],

–  uwzględniając opinię Grupy Roboczej Art. 29 z dnia 13 kwietnia 2016 r. dotyczącą projektu decyzji w sprawie adekwatności Tarczy Prywatności UE-USA[7] oraz oświadczenie tej grupy z dnia 26 lipca 2016 r.[8],

–  uwzględniając swą rezolucję z dnia 26 maja 2016 r. w sprawie transatlantyckich przepływów danych[9],

–  uwzględniając art. 123 ust. 2 Regulaminu,

A.  mając na uwadze, że w 2015 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) uchylił decyzję w sprawie bezpiecznej przystani w odniesieniu do wymiany danych osobowych między UE a USA w związku z niewystarczającą ochroną danych obywateli UE; mając na uwadze, że Komisja wynegocjowała następnie w 2016 r. nową umowę, Tarczę Prywatności UE-USA;

B.  mając na uwadze, że Parlament nie był bezpośrednio zaangażowany w negocjacje, lecz w maju 2016 r. przyjął rezolucję w sprawie transatlantyckich przepływów danych, w której z zadowoleniem odnotował „znaczne ulepszenie” Tarczy Prywatności w porównaniu z decyzją w sprawie bezpiecznej przystani, a także wezwał do dalszej poprawy;

C.  mając na uwadze, że Komisja przeprowadzi wkrótce pierwszą coroczną ocenę Tarczy Prywatności i ogłosi jej wyniki;

1.  z zadowoleniem przyjmuje zakończenie negocjacji między UE i USA w sprawie Tarczy Prywatności UE-USA po ponad dwóch latach rokowań prowadzonych przez Komisję i Departament Handlu USA, a także przyjęcie w dniu 12 lipca 2016 r. decyzji w sprawie Tarczy Prywatności UE-USA;

2.  przyjmuje do wiadomości, że przedsiębiorstwa mogą przystąpić do Tarczy Prywatności UE-USA w ramach Departamentu Handlu USA, który sprawdzi, czy ich polityka prywatności jest zgodna z rygorystycznymi normami ochrony danych wymaganymi w ramach Tarczy Prywatności;

3.  zwraca uwagę, że dotychczas do Tarczy Prywatności UE-USA przyłączyło się 1937 przedsiębiorstw;

4.  z zadowoleniem odnotowuje fakt, że Kongres USA przyjął ustawę o sądowych środkach odwoławczych, i przypomina, że Parlament od dawna domagał się takiego aktu jako warunku zawarcia porozumienia ramowego między UE a USA oraz zakończenia negocjacji w sprawie Tarczy Prywatności;

5.  przyznaje, że Tarcza Prywatności UE-USA istotnie różni się od ram bezpiecznej przystani, gdyż przewiduje znacznie bardziej szczegółową dokumentację nakładającą bardziej konkretne obowiązki na przedsiębiorstwa, które chciały dołączyć do tych ram, w tym nowe mechanizmy kontroli i równowagi umożliwiające podmiotom danych z UE wykonywanie praw, kiedy ich dane są przetwarzane w USA;

6.  z zadowoleniem przyjmuje fakt, że Grupa Robocza Art. 29 odnotowała znaczną poprawę, jaką stanowi Tarcza Prywatności w porównaniu z decyzją w sprawie bezpiecznej przystani;

7.  odnotowuje obawy wyrażone przez Grupę Roboczą Art. 29 oraz jej konstruktywne podejście, a ponadto podkreśla, że zasadę ograniczenia zatrzymania danych, o której mowa w opinii Grupy Roboczej, należy najpierw wyjaśnić w Unii Europejskiej, ponieważ sytuacja i standardy w UE wciąż nie są do końca jasne w związku z wyrokiem TSUE z 2014 r.;

8.  odnotowuje oświadczenie przewodniczącego Grupy Roboczej Art. 29, zgodnie z którym podstawowe gwarancje wskazane przez Grupę Roboczą powinny obowiązywać również państwa członkowskie UE;

9.  ubolewa, że procedura przyjęcia decyzji w sprawie odpowiedniej ochrony danych osobowych nie przewiduje oficjalnych konsultacji z odnośnymi zainteresowanymi podmiotami, takimi jak przedsiębiorstwa, a w szczególności organizacje reprezentujące MŚP;

10.  zauważa, że ramy bezpiecznej przystani nie odnosiły się do żadnych szczególnych ograniczeń w dostępie rządu USA do danych przekazywanych do USA, natomiast dokumentacja ram Tarczy Prywatności obejmują obecnie wiążące zobowiązania rządu USA w postaci pism dyrektora Wywiadu Narodowego, sekretarza stanu USA i Departamentu Sprawiedliwości USA;

11.  podkreśla, że od 2013 r. Kongres i rząd USA wprowadziły ponad dwadzieścia reform przepisów i programów dotyczących nadzoru, w tym amerykańskiej ustawy o wolności, zabraniającej masowego gromadzenia danych, i rozporządzenia prezydenckiego (PPD-28), zgodnie z którym ochrona prawa do prywatności i wolności obywatelskich osób spoza USA stanowi nieodłączny element amerykańskiej polityki nadzoru; wprowadzono także poprawki do amerykańskiej ustawy o wywiadzie zagranicznym i przyjęto ustawę o sądowych środkach odwoławczych, która rozszerza środki ochrony danych na obywateli UE; uważa, że reformy te mają kluczowe znaczenie dla oceny skutków konfliktu z podstawowymi prawami do ochrony prywatności i danych, o których mowa w art. 7 i 8 Karty Praw Podstawowych UE;

12.  docenia i z zadowoleniem przyjmuje inicjatywy rządu i Kongresu USA, np. ustawę o prywatności poczty elektronicznej, przyjętą jednogłośnie przez Izbę Reprezentantów w kwietniu 2016 r. i zmieniającą ustawę o prywatności komunikacji elektronicznej z 1986 r., a także przyjęcie przez Izbę Reprezentantów (w styczniu 2016 r.) i przez Senat (w marcu 2016 r.) ustawy o poprawie wolności informacji, i zdecydowanie popiera ogłoszenie tej ustawy, będące dowodem determinacji USA w zwiększaniu ochrony prywatności wszystkich osób;

13.  z zadowoleniem przyjmuje utworzenie w Departamencie Stanu stanowiska rzecznika praw obywatelskich niezależnego od krajowych służb bezpieczeństwa, który przyczyni się do zapewnienia indywidualnych środków odwoławczych i niezależnego nadzoru; apeluje o szybkie mianowanie pierwszego rzecznika praw obywatelskich;

14.  zauważa, że chociaż prawo USA oferuje szczególną ochronę przed niekorzystnymi decyzjami w dziedzinach, w których występuje największe prawdopodobieństwo korzystania przez przedsiębiorstwa z automatycznego przetwarzania danych (np. zatrudnienie i udzielanie kredytów), to jednak Tarcza Prywatności UE-USA nie przewiduje szczególnych zasad w odniesieniu do zautomatyzowanego podejmowania decyzji, dlatego apeluje do Komisji o monitorowanie sytuacji, w tym w ramach corocznych wspólnych przeglądów;

15.  z zadowoleniem zauważa, że ramy Tarczy Prywatności UE-USA oferują podmiotom danych z UE kilka możliwości skorzystania ze środków odwoławczych w USA: po pierwsze mogą one złożyć skargę bezpośrednio do danego przedsiębiorstwa albo za pośrednictwem Departamentu Handlu USA po skierowaniu sprawy do odpowiedniego organu ochrony danych lub do niezależnego organu rozstrzygania sporów; po drugie w przypadku ingerencji w prawa podstawowe ze względów dotyczących bezpieczeństwa narodowego można wnieść pozew cywilny do sądu w USA, przy czym podobne skargi można również kierować do niezależnego rzecznika praw obywatelskich, którego stanowisko zostało niedawno utworzone; po trzecie skargi dotyczące ingerencji w prawa podstawowe ze względów dotyczących egzekwowania prawa i interesu publicznego mogą być rozpatrywane z wykorzystaniem wniosków o odrzucenie wezwania sądowego; zachęca Komisję i organy ochrony danych do opracowania dalszych wytycznych, które ułatwią dostęp do wszystkich tych środków odwoławczych i zwiększą ich przystępność;

16.  zauważa, że choć osoby fizyczne mogą wnieść do unijnego administratora danych sprzeciw wobec przekazywania ich danych osobowych do USA oraz wobec ich dalszego przetwarzania w USA, gdy przedsiębiorstwo objęte Tarczą Prywatności UE-USA przetwarza dane w imieniu unijnego administratora danych, to jednak w przepisach o Tarczy Prywatności UE-USA brakuje konkretnych uregulowań ogólnego prawa do wniesienia sprzeciwu w stosunku do przedsiębiorstwa z USA, które dokonało samocertyfikacji;

17.  zwraca uwagę na brak jasnych zasad określających, jak zasady Tarczy Prywatności UE-USA stosują się do podmiotów przetwarzających dane (agentów), a jednocześnie zauważa, że o ile nie wskazano inaczej, wszystkie zasady mają zastosowanie do przetwarzania danych osobowych przez wszelkie przedsiębiorstwa z USA, które dokonały samocertyfikacji, a przekazywanie danych w celach przetwarzania zawsze wymaga umowy z unijnym administratorem danych, który określa cele i środki przetwarzania, w tym to, czy podmiot przetwarzający dane jest uprawniony do ich dalszego przekazywania (np. w celu podwykonawstwa przetwarzania danych);

18.  zauważa, że Komisja opublikowała przewodnik dla obywateli, w którym wyjaśnia, jak Tarcza Prywatności UE-USA gwarantuje prawa osób prywatnych do ochrony danych i jakie środki odwoławcze są dostępne dla osób fizycznych, które uznają, że ich dane zostały niewłaściwie wykorzystane, a prawa do ochrony danych – naruszone; zaleca upowszechnianie tego przewodnika, by obywatele byli świadomi korzyści płynących z Tarczy Prywatności;

19.  z zadowoleniem przyjmuje fakt, że ramy Tarczy Prywatności przyznają organom ochrony danych państw członkowskich istotną rolę w rozpatrywaniu skarg dotyczących ochrony prawa do prywatności i życia rodzinnego zgodnie z Kartą praw podstawowych UE, w prowadzeniu dochodzeń w takich sprawach i w zawieszaniu przekazywania danych, a także fakt, że Departament Handlu USA ma obowiązek rozpatrywać takie skargi;

20.  przypomina, że jednym z zasadniczych celów UE w tej dziedzinie powinna być ochrona danych osobowych przepływających do jej głównych międzynarodowych partnerów handlowych, a Tarcza Prywatności przyczyni się do zapewnienia ochrony praw podstawowych podmiotów danych z UE w czasie przekazywania danych;

21.  z zadowoleniem przyjmuje fakt, że przedsiębiorstwa nie działają już w próżni prawnej, gdyż ramy Tarczy Prywatności UE-USA przewidują podstawę prawną przekazywania danych;

22.  przypomina również, że pewność prawa, a zwłaszcza jasne i jednolite przepisy, to element kluczowy dla rozwoju i wzrostu przedsiębiorstw, zwłaszcza MŚP, dlatego przestrzega przed próbami utrudnienia wprowadzenia Tarczy Prywatności UE-USA, gdyż oznaczałoby to niepewność dla tysięcy przedsiębiorstw wszelkich typów i rozmiarów, zarówno w Unii Europejskiej, jak i w Stanach Zjednoczonych, i spowodowałoby poważne konsekwencje dla ich działalności i możliwości działania po obu stronach Atlantyku;

23.  podkreśla, że MŚP stanowiły 60 % przedsiębiorstw korzystających z porozumienia w sprawie bezpiecznej przystani i że to MŚP mogą najwięcej zyskać na wprowadzeniu nowej Tarczy Prywatności UE-USA, a także wzywa Komisję, by w ścisłej współpracy z organami ochrony danych zapewniła tym przedsiębiorstwom więcej jasności, dokładności i dostępności przy wdrażaniu i w funkcjonowaniu Tarczy Prywatności;

24.  uważa, że Tarcza Prywatności odgrywa kluczową rolę w godzeniu europejskiego i amerykańskiego podejścia do prywatności, dlatego ma zasadnicze znaczenie dla odbudowania zaufania po obu stronach Atlantyku; wyraża nadzieję, że jako ustalone ramy zgodności Tarcza Prywatności UE-USA będzie podlegać ścisłej kontroli ze strony regulatorów i Komisji dzięki mechanizmowi corocznego wspólnego przeglądu, by zapewnić jej solidność i ważność z punktu widzenia prawa;

25.  wzywa Komisję, by w pełni wywiązywała się ze spoczywającego na niej w związku z ramami Tarczy Prywatności UE-USA obowiązku przeprowadzania okresowych przeglądów ustaleń dotyczących odpowiedniości oraz ich prawnego uzasadnienia, by zapewnić odpowiednią ochronę danych osobowych i wydajne funkcjonowanie Tarczy Prywatności bez zbędnego oddziaływania na pozostałe prawa podstawowe, np. prawo do prywatności i bezpieczeństwa, do otrzymywania i przekazywania informacji oraz do prowadzenia działalności gospodarczej, a także by co roku składała Parlamentowi sprawozdanie zawierające dokładne ustalenia w tej sprawie i metody usuwania niedociągnięć;

26.  wzywa Komisję, by w mechanizmie corocznego wspólnego przeglądu zapewniła skupienie się na liczbie zarejestrowanych skarg od obywateli, na skuteczności i dostępności mechanizmów odwoławczych, w tym rzecznika praw obywatelskich, dla podmiotów danych z UE, na postępach w reformowaniu przepisów USA dotyczących nadzoru, na współpracy między unijnymi organami ochrony danych a Departamentem Handlu USA i Federalną Komisją Handlu USA, monitorowaniu i egzekwowaniu udziału tych organów USA w zapewnianiu zgodności amerykańskich przedsiębiorstw z Tarczą Prywatności i ich polityką ochrony prywatności, a także na liczbie uczestniczących przedsiębiorstw;

27.  odnotowuje fakt, że Tarcza Prywatności UE-USA to element szerszego dialogu między UE a państwami trzecimi, w tym Stanami Zjednoczonymi, dotyczącego prywatności danych, handlu, bezpieczeństwa oraz powiązanych praw i celów będących przedmiotem wspólnego zainteresowania; dlatego apeluje do wszystkich stron o współpracę na rzecz utworzenia i ciągłego doskonalenia praktycznych ram międzynarodowych i przepisów krajowych służących osiąganiu tych celów;

28.  ubolewa nad planowanym harmonogramem debaty i uważa, że prezentacja pierwszego corocznego wspólnego przeglądu byłaby bardziej odpowiednim momentem na opracowanie wstępnych wniosków z funkcjonowania ram Tarczy Prywatności UE-USA;

29.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Komisji, Radzie, parlamentom państw członkowskich oraz Kongresowi i rządowi USA.

• [1]  Dz.U. L 281 z 23.11.1995, s. 31.
• [2]  Dz.U. L 119 z 4.5.2016, s. 1.
• [3]  Dz.U. L 119 z 4.5.2016, s. 89.
• [4]  ECLI:EU:C:2015:650.
• [5]  Dz.U. L 207 z 1.8.2016, s. 1.
• [6]  Dz.U. C 257 z 15.7.2016, s. 8.
• [7]  http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
• [8]  http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
• [9]  Teksty przyjęte, P8_TA(2016)0233.