PÄÄTÖSLAUSELMAESITYS EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä
26.6.2018 - (2018/2645(RSP))
työjärjestyksen 123 artiklan 2 kohdan mukaisesti
Claude Moraes kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnan puolesta
B8-0305/2018
Euroopan parlamentin päätöslauselma EU:n ja Yhdysvaltojen Privacy Shield ‑järjestelyn tarjoaman suojan riittävyydestä
Euroopan parlamentti, joka
– ottaa huomioon Euroopan unionista tehdyn sopimuksen (SEU), Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) ja Euroopan unionin perusoikeuskirjan 6, 7, 8, 11, 16, 47 ja 52 artiklan,
– ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus)[1] ja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680[2],
– ottaa huomioon Euroopan unionin tuomioistuimen 6. lokakuuta 2015 antaman tuomion asiassa C-362/14 Maximillian Schrems v. Data Protection Commissioner[3],
– ottaa huomioon Euroopan unionin tuomioistuimen 21. joulukuuta 2016 antamat tuomiot asioissa C-203/15 Tele2 Sverige AB v. Post- och telestyrelsen ja C-698/15 Secretary of State for the Home Department v. Tom Watson ym.[4],
– ottaa huomioon Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä 12. heinäkuuta 2016 annetun komission täytäntöönpanopäätöksen (EU)2016/1250[5],
– ottaa huomioon Euroopan tietosuojavaltuutetun lausunnon 4/2016 EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyyttä koskevasta päätösluonnoksesta[6],
– ottaa huomioon 29 artiklan mukaisen työryhmän 13. huhtikuuta 2016 antaman lausunnon EU:n ja Yhdysvaltojen Privacy Shield -järjestelystä[7] ja sen 26. heinäkuuta 2016 antaman julkilausuman[8],
– ottaa huomioon komission kertomuksen Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan ensimmäisestä vuosittaisesta tarkastelusta[9] ja asiakirjan yhteydessä annetun komission yksiköiden valmisteluasiakirjan[10],
– ottaa huomioon 29 artiklan mukaisen tietosuojatyöryhmän 28. marraskuuta 2017 julkaistun asiakirjan ”EU-US Privacy Shield – First Annual Joint Review”[11],
– ottaa huomioon 29 artiklan mukaisen työryhmän 11. huhtikuuta 2018 kirjeen muodossa antaman vastauksen, joka koskee Yhdysvaltain ulkomaantiedustelun valvontaa koskevan lain (FISA) 702 pykälän uudistamista,
– ottaa huomioon 6. huhtikuuta 2017 antamansa päätöslauselman EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä[12],
– ottaa huomioon työjärjestyksen 123 artiklan 2 kohdan,
A. toteaa, että Euroopan unionin tuomioistuimen 6. lokakuuta 2015 antama tuomio asiassa C-362/14 (Maximillian Schrems v. Data Protection Commissioner) mitätöi Safe Harbour -päätöksen ja selvensi, että kolmannen maan suojan tasoa on pidettävä riittävänä, kun se vastaa olennaisilta osin perusoikeuskirjan mukaisesti tulkitun direktiivin 95/46/EY nojalla unionissa tarjottua suojaa; toteaa myös, että siinä kannustettiin saattamaan päätökseen neuvottelut uudesta järjestelystä, jolla varmistetaan oikeusvarmuus siitä, miten henkilötietoja olisi siirrettävä EU:sta Yhdysvaltoihin;
B. toteaa, että kun tarkastellaan kolmannen maan takaaman suojan tasoa, komission on arvioitava sellaisten kyseisessä maassa sovellettavien sääntöjen sisältöä, jotka johtuvat maan omasta lainsäädännöstä tai kansainvälisistä sitoumuksista, sekä näiden sääntöjen noudattamisen takaamiseksi sovellettavaa käytäntöä, koska komission on direktiivin 95/46/EY 25 artiklan 2 kohdan nojalla otettava huomioon kaikki henkilötietojen kolmanteen maahan siirtämiseen liittyvät olosuhteet; toteaa, että tämän arvioinnin ei pidä koskea ainoastaan henkilötietojen suojaamiseen kaupallisia ja yksityisiä tarkoituksia varten liittyvää lainsäädäntöä ja käytäntöjä vaan sen on katettava myös kaikki kyseiseen maahan tai alaan sovellettavan kehyksen näkökohdat, erityisesti, mutta ei pelkästään, lainvalvonta, kansallinen turvallisuus ja perusoikeuksien kunnioittaminen;
C. katsoo, että henkilötietojen siirrot EU:n ja Yhdysvaltojen kaupan alan organisaatioiden välillä ovat transatlanttisten suhteiden kannalta tärkeä tekijä, kun otetaan huomioon maailmanlaajuisen talouden jatkuvasti lisääntyvä digitalisointi; katsoo, että nämä siirrot olisi suoritettava noudattaen kaikilta osin oikeutta henkilötietojen suojaan ja yksityisyyteen; toteaa, että yksi EU:n keskeisistä tavoitteista on perusoikeuksien suojelu, kuten perusoikeuskirjassa todetaan;
D. ottaa huomioon, että Privacy Shield -järjestelyn allekirjoittanut Facebook on vahvistanut, että Cambridge Analytica -konsulttiyhtiö käytti epäasianmukaisesti myös 2,7 miljoonan EU:n kansalaisen tietoja;
E. toteaa, että Euroopan tietosuojavaltuutettu esitti lausunnossaan 4/2016 useita huolenaiheita Privacy Shield -järjestelyä koskevasta päätösluonnoksesta; toteaa, että Euroopan tietosuojavaltuutettu pitää samassa lausunnossaan myönteisenä kaikkien osapuolten pyrkimyksiä löytää ratkaisu henkilötietojen siirtämiseen EU:sta Yhdysvaltoihin kaupallisessa tarkoituksessa omaehtoisen varmennusjärjestelmän avulla;
F. toteaa, että 29 artiklan mukaisen työryhmän lausunnossa 01/2016 EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä koskevasta päätösluonnoksesta Privacy Shield -järjestelyn myötä tulleita parannuksia Safe Harbour -päätökseen pidettiin myönteisinä, mutta esille nostettiin myös voimakkaita huolenaiheita kaupallisista näkökohdista ja julkisten viranomaisten mahdollisuuksista tutustua Privacy Shield -järjestelyn mukaisesti siirrettyihin tietoihin;
G. toteaa, että komissio hyväksyi 12. heinäkuuta 2016 täytäntöönpanopäätöksensä (EU) 2016/1250 keskusteltuaan Yhdysvaltojen hallinnon kanssa ja ilmoitti suojan tason olevan riittävän henkilötiedoille, jotka siirretään unionista yhdysvaltalaisille organisaatioille EU:n ja Yhdysvaltojen Privacy Shield ‑järjestelyn mukaisesti;
H. toteaa, että EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä täydentävät lukuisat Yhdysvaltojen hallinnon antamat yksipuoliset sitoumukset ja vakuutukset, joissa selvitetään muun muassa tietosuojan periaatteet, valvonnan toiminta, täytäntöönpanon valvonta ja oikeussuojakeinot sekä ne suojakeinot ja varotoimet, joita noudattaen turvallisuuspalvelut voivat saada ja käsitellä henkilötietoja;
I. ottaa huomioon, että 29 artiklan mukainen työryhmä pitää 26. heinäkuuta 2016 antamassaan julkilausumassa myönteisenä, että EU:n ja Yhdysvaltojen Privacy Shield ‑järjestely toi mukanaan parannuksia Safe Harbour -järjestelyyn; toteaa, että työryhmä kiitti komissiota ja Yhdysvaltojen viranomaisia huolenaiheidensa ottamisesta huomioon; toteaa silti, että 29 artiklan mukaisen työryhmän mukaan jotkin työryhmän huolenaiheista, jotka koskevat EU:sta siirrettyjen tietojen kaupallisia näkökohtia ja niiden saatavuutta Yhdysvaltojen viranomaisille, ovat edelleen ajankohtaisia, kuten se, että automaattisesta päätöksenteosta ja yleisestä vastustamisoikeudesta ei ole annettu erityisiä sääntöjä, oikeusasiamiesmekanismin riippumattomuudesta ja toimivallasta tarvitaan tiukempia takuita tai että henkilötietojen summittaisen massakeräyksen kieltämisestä ei ole olemassa konkreettisia takeita;
J. ottaa huomioon, että Euroopan parlamentti toteaa 6. huhtikuuta 2017 antamassaan päätöslauselmassa, että vaikka EU:n ja Yhdysvaltojen Privacy Shield -järjestely sisältää merkittäviä normien selkeyttä koskevia parannuksia aikaisempaan Safe Harbour ‑järjestelyyn verrattuna, jäljelle jää merkittäviä kysymyksiä tietyistä kaupallisista näkökohdista, kansallisesta turvallisuudesta ja lainvalvonnasta; ottaa huomioon, että Euroopan parlamentti kehottaa komissiota toteuttamaan ensimmäisen yhteisen vuosittaisen tarkastelun yhteydessä perinpohjaisen ja seikkaperäisen tutkimuksen kaikista puutteista ja heikkouksista sekä selvittämään, mihin toimiin niiden johdosta on ryhdytty EU:n perusoikeuskirjan ja unionin lainsäädännön noudattamiseksi, sekä arvioimaan perinpohjaisesti, ovatko Yhdysvaltojen hallinnon vakuutuksissa ja selvennyksissä mainitut mekanismit ja varotoimet tehokkaita ja toteuttamiskelpoisia;
K ottaa huomioon, että komission kertomuksessa Euroopan parlamentille ja neuvostolle EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn toiminnan ensimmäisestä vuosittaisesta tarkastelusta ja asiakirjan yhteydessä annetussa komission yksiköiden valmisteluasiakirjassa todetaan, että Yhdysvaltojen viranomaiset ovat luoneet tarvittavat rakenteet ja menettelyt Privacy Shield -järjestelyn asianmukaisen toiminnan varmistamiseksi ja että Yhdysvallat takaa edelleen tietosuojan riittävän tason henkilötiedoille, jotka siirretään Privacy Shield -järjestelyn puitteissa, minkä lisäksi siinä esitetään Yhdysvaltojen viranomaisille kymmenen suositusta liittyen huolenaiheisiin, jotka koskevat Yhdysvaltojen kauppaministeriön tehtäviä ja toimintaa elimenä, joka vastaa Privacy Shield -järjestelyyn kuuluvien organisaatioiden varmentamisen seurannasta ja periaatteiden täytäntöönpanon valvonnasta, mutta myös kansalliseen turvallisuuteen liittyvien kysymyksien johdosta, kuten Yhdysvaltain ulkomaantiedustelun valvontaa koskevan lain (FISA) 702 pykälän uudistamista tai vakinaisen oikeusasiamiehen nimittämistä ja sitä, että yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan (PCLOB) jäseniä ei ole vielä nimitetty;
L. toteaa, että 29 artiklan mukaisen työryhmän ensimmäisen yhteisen vuosittaisen tarkastelun jälkeen 28. marraskuuta 2017 antamassa lausunnossa EU:n ja Yhdysvaltojen Privacy Shield -järjestelystä ja sen ensimmäisestä vuosittaisesta tarkastelusta tunnustetaan Privacy Shield -järjestelyn myötä saavutettu edistys pätemättömäksi julistettuun Safe Harbour -järjestelyyn verrattuna; toteaa, että 29 artiklan mukainen työryhmä antaa tunnustusta Yhdysvaltojen viranomaisten ja komission toteuttamille toimille Privacy Shield -järjestelyn täytäntöön panemiseksi;
M. toteaa, että 29 artiklan mukainen työryhmä on havainnut joitakin tärkeitä ja erityisen huolestuttavia ratkaisemattomia ongelmia, jotka koskevat sekä kaupallisia kysymyksiä että Yhdysvaltojen viranomaisten mahdollisuutta tutustua Privacy Shield -järjestelyn puitteissa Yhdysvaltoihin siirrettyihin tietoihin (joko lainvalvontaan tai kansalliseen turvallisuuteen liittyvissä tarkoituksissa) ja joiden johdosta sekä komission että Yhdysvaltojen viranomaisten on toteutettava toimia; ottaa huomioon, että työryhmä on pyytänyt laatimaan välittömästi ja viimeistään toisen yhteisen tarkastelun yhteydessä toimintasuunnitelman, jotta osoitetaan, että kaikkien huolenaiheiden johdosta toteutetaan toimia;
N. ottaa huomioon, että jos 29 artiklan mukaisen työryhmän esille tuomiin seikkoihin ei puututa määräaikaan mennessä, 29 artiklan mukaisen työryhmän jäsenet toteuttavat asianmukaisia toimia, joihin kuuluu Privacy Shield -järjestelyn riittävyyttä koskevan päätöksen toimittaminen kansallisille tuomioistuimille, jotta ne voivat esittää Euroopan unionin tuomioistuimelle ennakkoratkaisupyynnön;
O. ottaa huomioon, että Euroopan unionin tuomioistuimessa on nostettu kumoamiskanne asiassa La Quadrature du Net ym. vastaan komissio (asia T-738/16) ja Irlannin korkein oikeus on saattanut asian Irlannin tietosuojavaltuutettu (Data Protection Commissioner) vastaan Facebook Ireland Limited ja Maximilian Schrems (asia Schrems II) unionin tuomioistuimen ratkaistavaksi; toteaa, että unionin tuomioistuimelle esitetyssä ratkaisupyynnössä huomautetaan, että joukkovalvontaa harjoitetaan edelleen, ja pohditaan, onko Yhdysvaltojen lainsäädännössä tehokkaita oikeussuojakeinoja EU:n kansalaisille, joiden henkilötietoja siirretään Yhdysvaltoihin;
P. ottaa huomioon, että Yhdysvaltojen kongressi hyväksyi 11. tammikuuta 2018 ulkomaantiedustelun valvontaa koskevan lain 702 pykälän uudelleen kuudeksi vuodeksi ja muutti tätä sitä käsittelemättä komission yhteisessä tarkastelukertomuksessa ja 29 artiklan mukaisen työryhmän lausunnossa esitettyjä huolenaiheita;
Q. ottaa huomioon, että Yhdysvaltojen kongressi hyväksyi osana 23. maaliskuuta 2018 allekirjoitettua yleistä talousarviolainsäädäntöä merentakaista tietojen käyttöä selventävän lain (CLOUD), jolla helpotetaan Yhdysvaltojen lainvalvontaviranomaisten pääsyä viestinnän sisältöihin ja muihin siihen liittyviin tietoihin antamalla viranomaisille mahdollisuus velvoittaa esittämään viestintätietoja, vaikka näitä tietoja säilytettäisiin Yhdysvaltojen ulkopuolella, ja antamalla joillekin kolmansille maille mahdollisuus tehdä Yhdysvaltojen kanssa korkean tason sopimuksia, joilla sallitaan se, että yhdysvaltalaiset palveluntarjoajat voivat vastata tiettyjen kolmansien maiden määräyksiin, jotka koskevat pääsyä viestintätietoihin;
R. toteaa, että Facebook Inc., Cambridge Analytica ja SCL Elections Ltd ovat Privacy Shield -järjestelyn puitteissa varmennettuja yrityksiä ja että sen vuoksi ne hyötyivät tietosuojan riittävyyttä koskevasta päätöksestä, joka muodostaa oikeusperustan henkilötietojen siirrolle EU:sta Yhdysvaltoihin ja niiden jatkokäsittelylle Yhdysvalloissa;
S. toteaa, että yleisen tietosuoja-asetuksen 45 artiklan 5 kohdan mukaisesti komissio kumoaa tietosuojan riittävyyttä koskevan päätöksen, muuttaa sitä tai lykkää sen voimaantuloa, jos saatavilla olevista tiedoista käy ilmi, että kolmas maa ei tarjoa enää riittävää tietosuojan tasoa;
1. panee merkille, että Privacy Shield -järjestelyssä on edelleen rekisteröityjen henkilöiden perusoikeuksia koskevia puutteita; korostaa, että on enenevässä määrin vaarana, että unionin tuomioistuin kumoaa Privacy Shield -järjestelyä koskevan komission täytäntöönpanopäätöksen (EU) 2016/1250;
2. panee merkille parannukset Safe Harbour -sopimukseen verrattuna, kuten keskeisten määritelmien lisääminen, tietojen säilyttämistä ja tietojen edelleen siirtämistä kolmansiin maihin koskevat tiukemmat velvoitteet, oikeusasiamiehen viran perustaminen yksityishenkilöiden oikeussuojakeinojen ja riippumattoman valvonnan varmistamiseksi, tarkastukset rekisteröityjen henkilöiden oikeuksien varmistamiseksi (yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaava lautakunta, PCLOB), periaatteiden noudattamista koskevat ulkoiset ja sisäiset tarkastelut, aiempaa säännöllisempi ja tarkempi dokumentointi ja seuranta, useiden erilaisten oikeussuojakeinojen saatavuus ja kansallisten tietosuojaviranomaisten merkittävä rooli väitteiden tutkinnassa;
3. muistuttaa, että 29 artiklan mukainen työryhmä asetti avointen kysymysten ratkaisun määräajaksi 25. toukokuuta 2018, jonka jälkeen työryhmä voi päättää saattaa Privacy Shield -järjestelyn kansallisten tuomioistuinten käsiteltäväksi, jotta ne voivat pyytää unionin tuomioistuimelta ennakkoratkaisua asiaan[13];
Eri elimiin liittyvät ongelmat / nimitykset
4. pitää valitettavana, että on kestänyt niin kauan nimittää yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavaan lautakuntaan puheenjohtaja ja nimetä kaksi muuta jäsentä, ja kehottaa senaattia tarkastelemaan jäsenten profiileja, jotta nimitykset voidaan vahvistaa ja palauttaa tämän riippumattoman viraston päätösvaltaisuus, jotta se voi toteuttaa terrorismin ehkäisyä ja yksityisyyden suojan ja kansalaisvapauksien varmistamista koskevia tehtäviään;
5. on huolissaan siitä, että puheenjohtajan ja päätösvaltaisuuden puuttuminen on rajoittanut yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaavan lautakunnan toimintakykyä ja edellytyksiä täyttää velvollisuutensa; korostaa, että päätösvaltaisuuden puuttuessa lautakunta ei voi aloittaa uusia neuvonta- tai valvontahankkeita eikä palkata henkilöstöä; toteaa, että lautakunta ei ole vielä julkaissut kauan odotettua kertomusta toimeenpanoasetuksen 12333 nojalla tehdystä valvonnasta, jotta saataisiin tietoa toimeenpanoasetuksen käytännön soveltamisesta sekä sen tarpeellisuudesta ja oikeasuhteisuudesta, kun otetaan huomioon sen vaikutukset tietosuojaan; huomauttaa, että kertomuksen julkaiseminen on erittäin toivottavaa, kun otetaan huomioon epävarmuus ja ennakoimattomuus toimeenpanoasetuksen 12333 soveltamisessa; pitää valitettavana, että lautakunta ei julkaissut uutta raporttia ulkomaantiedustelun valvontaa koskevan lain 702 pykälästä ennen kuin se hyväksyttiin uudelleen tammikuussa 2018; katsoo, että lautakunnan päätösvaltaisuuden puute heikentää vakavasti Yhdysvaltojen viranomaisten antamia, periaatteiden noudattamista ja valvontaa koskevia takuita ja vakuutuksia; kehottaa siksi Yhdysvaltojen viranomaisia nimeämään ja vahvistamaan lautakunnan uudet jäsenet viipymättä;
6. toteaa, että presidentin määräys 28 (PPD-28) on keskeinen osa Privacy Shield -järjestelyn perustaa; kehottaa siksi julkaisemaan PPD-28:aa koskevan lautakunnan raportin, joka on edelleen presidentin tarkasteltavana ja jota ei siksi ole vielä julkaistu;
7. toteaa jälleen, että Yhdysvaltojen ulkoasiainministeriön perustama oikeusasiamiesmekanismi ei ole riittävän riippumaton eikä sillä ole riittävää toimivaltaa hoitaakseen tehtävänsä ja tarjotakseen tehokkaita oikeussuojakeinoja EU:n kansalaisille; painottaa, että oikeusasiamiesmekanismin toimivaltaa on selkeytettävä erityisesti sen toimivaltuuksien osalta tiedusteluyhteisöön nähden ja sen osalta, kuinka tehokkaan oikeussuojakeinon sen päätökset tarjoavat; pitää valitettavana, että oikeusasiamies voi ainoastaan kehottaa Yhdysvaltojen valtiollisia elimiä toimimaan ja pyytää niiltä tietoja mutta ei voi määrätä viranomaisia lopettamaan ja keskeyttämään laitonta valvontaa tai tuhoamaan tietoja pysyvästi; huomauttaa, että Yhdysvalloissa on tällä hetkellä virkaa tekevä oikeusasiamies mutta Yhdysvaltojen hallinto ei ole edelleenkään nimittänyt uutta pysyvää oikeusasiamiestä, mikä ei edistä keskinäistä luottamusta; katsoo, että niin kauan kuin Yhdysvaltoihin ei ole nimitetty riippumatonta ja kokenutta oikeusasiamiestä, jolla on riittävät toimivaltuudet, Yhdysvaltojen vakuutukset tehokkaiden oikeussuojakeinojen tarjoamisesta EU:n kansalaisille ovat pätemättömiä;
8. panee merkille, että senaatti vahvisti äskettäin liittovaltion kauppakomission puheenjohtajan ja neljän komission jäsenen nimitykset; pitää valitettavana, että ennen edellä mainittuja nimityksiä neljä viidestä liittovaltion kauppakomission tehtävästä oli täyttämättä, kun otetaan huomioon, että kauppakomissio on toimivaltainen virasto, joka valvoo Privacy Shield -järjestelyn periaatteiden täytäntöönpanoa yhdysvaltalaisissa organisaatioissa;
9. painottaa, että Facebookin ja Cambridge Analytican käytäntöjä koskevat viimeaikaiset paljastukset korostavat, että tarvitaan ennakoivaa valvontaa ja täytäntöönpanon valvontatoimia, jotka eivät perustu vain valituksiin vaan joihin kuuluu myös järjestelmällisiä tarkastuksia, joissa varmistetaan käytännön tasolla yksityisyydensuojakäytäntöjen yhteensopivuus Privacy Shield -järjestelyn periaatteiden kanssa koko varmennuksen voimassaolon ajan; kehottaa toimivaltaisia EU:n tietosuojaviranomaisia toteuttamaan tarvittavat toimet ja keskeyttämään tietojen siirron tapauksissa, joissa periaatteita ei noudateta;
Kaupalliset kysymykset
10. katsoo, että avoimuuden varmistamiseksi ja virheellisten varmennusta koskevien väitteiden välttämiseksi Yhdysvaltojen kauppaministeriön ei pitäisi sallia sitä, että yhdysvaltalaiset yritykset esittelevät julkisesti Privacy Shield -varmennuksiaan ennen kuin varmennusmenettely on päättynyt ja kauppaministeriö on lisännyt yritykset Privacy Shield -luetteloon; on huolissaan siitä, että kauppaministeriö ei ole periaatteiden noudattamisen varmistamiseksi käyttänyt Privacy Shield -järjestelyn tarjoamaa mahdollisuutta pyytää jäljennöksiä sopimusehdoista, joita varmennetut yritykset käyttävät sopimuksissaan kolmansien osapuolten kanssa; katsoo siksi, tällä hetkellä ei valvota tehokkaasti, noudattavatko varmennetut yritykset tosiasiallisesti Privacy Shield -säännöksiä; kehottaa kauppaministeriötä tekemään viran puolesta ennakoivia ja säännöllisiä periaatteiden noudattamisen tarkasteluja sen seuraamiseksi, noudattavatko yritykset tosiasiallisesti Privacy Shield -järjestelyn sääntöjä ja vaatimuksia;
11. katsoo, että useat EU:n kansalaisille tarjottavat oikeussuojakeinot voivat osoittautua liian monimutkaisiksi, vaikeakäyttöisiksi ja siten vähemmän tehokkaiksi; huomauttaa, että suurin osa valituksista osoitetaan suoraan yrityksille ja niitä tekevät yksityishenkilöt, jotka haluavat yleistä tietoa Privacy Shield -järjestelystä ja tietojensa käsittelystä, kuten riippumattomia muutoksenhakumekanismeja tarjoavat yritykset ovat korostaneet; suosittelee siksi, että Yhdysvaltojen viranomaiset tarjoaisivat Privacy Shield -verkkosivustolla yksityishenkilöille aiempaa käytännönläheisempää tietoa heidän oikeuksistaan ja käytettävissä olevista oikeussuojakeinoista helposti saatavilla olevassa ja ymmärrettävässä muodossa;
12. panee merkille viimeaikaiset paljastukset, jotka koskevat henkilötietojen väärinkäyttöä Privacy Shield -järjestelyn puitteissa varmennetuissa yrityksissä, kuten Facebookissa ja Cambridge Analyticassa, ja kehottaa siksi Privacy Shield -järjestelyn täytäntöönpanon valvonnasta vastaavia Yhdysvaltojen viranomaisia ryhtymään viipymättä toimiin näiden paljastusten johdosta noudattaen täysimääräisesti nykyisen Privacy Shield -järjestelyn ylläpitämistä koskevia vakuutuksia ja sitoumuksia ja tarvittaessa poistamaan tällaiset yritykset Privacy Shield -luettelosta; kehottaa myös toimivaltaisia EU:n tietosuojaviranomaisia tutkimaan tällaisia paljastuksia ja tarvittaessa keskeyttämään tai kieltämään Privacy Shield -järjestelyn puitteissa tehtävät tietojen siirrot; katsoo paljastusten osoittavan selvästi, että Privacy Shield -järjestely ei turvaa riittävällä tavalla oikeutta tietosuojaan;
13. on syvästi huolissaan Facebookin palveluehtojen muutoksista EU:n ulkopuolisten, muualla kuin Yhdysvalloissa tai Kanadassa asuvien käyttäjien kohdalla, sillä heihin on tähän saakka sovellettu EU:n tietosuojalainsäädännön mukaisia oikeuksia mutta he joutuvat nyt hyväksymään rekisterinpitäjäksi Facebook Irelandin sijasta Facebook US:n; katsoo, että tämä tarkoittaa noin 1,5 miljardin käyttäjän henkilötietojen siirtoa kolmanteen maahan; uskoo vahvasti, että tällainen käytännössä monopoliasemassa olevan alustan käyttäjien ennennäkemättömän laajamittainen perusoikeuksien rajoittaminen ei ollut Privacy Shield -järjestelyn tarkoituksena; kehottaa EU:n tietosuojaviranomaisia tutkimaan asiaa;
14. on syvästi huolissaan, että jos tällaiseen eri tahojen harjoittamaan ihmisten henkilötietojen väärinkäyttöön, jolla pyritään vaikuttamaan ihmisten poliittiseen tahtoon tai äänestyskäyttäytymiseen, ei puututa, se voi uhata demokraattista päätöksentekoa ja demokratian perusajatusta, jonka mukaan äänestäjät voivat tehdä itsenäisesti tietoon ja tosiasioihin perustuvia päätöksiä;
15. pitää myönteisinä ja tukee kehotuksia, joiden mukaan Yhdysvaltojen lainsäätäjän olisi laadittava yleinen yksityisyydensuoja- ja tietosuojalaki;
16. palauttaa mieliin huolensa siitä, ettei Privacy Shield -järjestelyssä ole erityisiä sääntöjä ja takeita päätöksille, jotka perustuvat automaattiseen tietojenkäsittelyyn tai profilointiin, vaikka niillä on oikeusvaikutus tai ne vaikuttavat merkittävästi yksilöön; panee merkille komission pyrkimyksen teettää tutkimus, jolla kerätään todisteet ja arvioidaan automatisoidun päätöksenteon merkitystä Privacy Shield -järjestelyn soveltamisalaan kuuluville tiedonsiirroille; kehottaa komissiota laatimaan erityiset säännöt automatisoidulle päätöksenteolle riittävien takeiden luomiseksi, mikäli tutkimuksessa sitä suositetaan; panee tähän liittyen merkille yhteisessä tarkastelussa esitetyt tiedot, joiden mukaan automatisoitu päätöksenteko ei saa pohjautua henkilötietoihin, jotka on siirretty Privacy Shield -järjestelyn piirissä; pitää erittäin valitettavana, että 29 artiklan mukaisen työryhmän mukaan yrityksiltä saatu palaute oli yhä hyvin yleisluonteista, minkä vuoksi jäi epäselväksi, pitävätkö nämä olettamukset paikkansa kaikkien Privacy Shield -järjestelyä noudattavien yritysten kohdalla; painottaa lisäksi, että yleistä tietosuoja-asetusta sovelletaan yleisen tietosuoja-asetuksen 3 artiklan 2 kohdan mukaisesti;
17. painottaa, että koska toisaalta Yhdysvaltojen hallituksella ja toisaalta Euroopan komissiolla ja 29 artiklan mukaisella työryhmällä on eri käsitykset siitä, mitä ’henkilöstöhallinnon tiedoilla’ (”HR data”) tarkoitetaan, olisi edelleen parannettava tämän käsitteen tulkintaa ja kehitettävä siihen kuuluvien tietojen käsittelyä; on täysin yhtä mieltä 29 artiklan mukaisen työryhmän kanssa siitä, että Euroopan komissiota on kehotettava aloittamaan neuvottelut Yhdysvaltojen viranomaisten kanssa, jotta Privacy Shield -järjestelyä voidaan korjata tältä osin;
18. muistuttaa olevansa huolissaan siitä, etteivät Privacy Shield -järjestelyn periaatteet noudata unionin mallia suostumukseen perustuvasta käsittelystä, vaan mahdollistavat tietojen keruun ulkopuolelle jäämisen tai vastustamisen vain tarkasti määritellyissä olosuhteissa; kehottaa siksi yhteisen tarkastelun perusteella Yhdysvaltojen kauppaministeriötä työskentelemään yhdessä Euroopan tietosuojeluviranomaisten kanssa tarkemman ohjeistuksen laatimiseksi Privacy Shield -järjestelyn keskeisistä periaatteista, joita ovat esimerkiksi valintaperiaate ja huomautusperiaate, edelleen siirtäminen, rekisterinpitäjän ja käsittelijän suhde sekä saavutettavuus, niin että ne noudattavat paljon paremmin asetuksen (EU) 2016/679 mukaisia rekisteröidyn henkilön oikeuksia;
19. muistuttaa olevansa huolissaan siitä, että maaliskuussa 2017 Yhdysvaltain kongressi hylkäsi Yhdysvaltojen telehallintoviraston (Federal Communications Commission) esittämän laajakaistapalvelujen ja muiden televiestintäpalvelujen asiakkaiden yksityisyyden suojaa koskevan säännön, mikä käytännössä poistaa laajakaistapalveluihin liittyvät yksityisyydensuojasäännöt, jotka olisivat edellyttäneet, että internetpalveluntarjoajat hankkivat kuluttajien nimenomaisen suostumuksen ennen kuin ne myyvät tai jakavat selaustietoja ja muita yksityisiä tietoja mainostajille ja muille yrityksille; pitää tätä jälleen uutena uhkana yksityisyyden suojalle Yhdysvalloissa;
Lainvalvontaa ja kansallista turvallisuutta koskevat kysymykset
20. katsoo, ettei termiä ’kansallinen turvallisuus’ ole Privacy Shield -järjestelyssä täsmällisesti rajattu sen varmistamiseksi, että tietosuojarikkeitä voitaisiin tehokkaasti käsitellä tuomioistuimissa, niin että voitaisiin täsmällisen testin avulla varmistaa sen noudattaminen, mikä on tarpeen ja kohtuullista; kehottaa siksi selkeästi määrittelemään käsitteen ’kansallinen turvallisuus’;
21. panee merkille, että ulkomaantiedustelun valvontaa koskevan lain 702 pykälään kuuluvien kohteiden määrä on kasvanut teknologiassa ja viestintätavoissa tapahtuneiden muutosten sekä muuttuvan uhkaympäristön vuoksi;
22. pitää valitettavana, ettei Yhdysvallat tarttunut tilaisuuteen ja hyväksynyt uudelleen ulkomaantiedustelun valvontaa koskevan lain 702 pykälää niin, että se sisältäisi presidentin määräyksessä 28 (PPD-28) määritellyt suojatoimet; pyytää todisteita ja oikeudellisesti sitovia sitoumuksia, joilla varmistetaan, ettei ulkomaantiedustelun valvontaa koskevan lain 702 pykälän sovellusalaan kuuluva tiedonkeruu ole summittaista ja ettei tietoihin pääsyä toteuteta yleiseltä pohjalta (summittainen massakeräys), mikä on Euroopan unionin perusoikeuskirjan vastaista; panee merkille komission valmisteluasiakirjassaan antaman selityksen, jonka mukaan ulkomaantiedustelun valvontaa koskevan lain 702 pykälän mukainen valvonta perustuu aina kriteereihin eikä siten mahdollista summittaista massakeräystä; yhtyy siten 29 artiklan mukaisen työryhmän vaatimukseen, että yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaava lautakunta laatisi ajantasaisen kertomuksen sanan ’kohde’ (”target”) määritelmästä, kriteerien toimeksiannoista (”tasking of selectors”) ja siitä, miten kriteerejä käytännössä käytetään UPSTREAM-ohjelmassa, jotta voidaan selvittää arvioida, esiintyykö siinä henkilötietojen summittaista käyttöä; pitää erittäin valitettavana, että EU:n alueella asuvat henkilöt on suljettu pois ulkomaantiedustelun valvontaa koskevan lain 702 pykälän uudelleenhyväksynnän tarjoamalta lisäsuojalta; pitää valitettavana, että ulkomaantiedustelun valvontaa koskevan lain 702 pykälän uudelleenhyväksyminen sisältää useita tarkistuksia, jotka vaikuttavat pelkästään menettelyihin eivätkä näihin kaikkein ongelmallisimpiin kysymyksiin, kuten myös 29 artiklan mukainen työryhmä on todennut; kehottaa komissiota ottamaan vakavasti 29 artiklan mukaisen työryhmän tulevan analyysin ulkomaantiedustelun valvontaa koskevan lain 702 pykälästä ja toimimaan sen mukaisesti;
23. vahvistaa, että ulkomaantiedustelun valvontaa koskevan lain 702 pykälän uudelleenhyväksyminen seuraavien kuuden vuoden ajaksi kyseenalaistaa Privacy Shield -järjestelyn laillisuuden;
24. muistuttaa olevansa huolissaan toimeenpanoasetuksesta 12333, jonka mukaan kansallinen turvallisuusvirasto NSA saa antaa suuria määriä yksityisiä tietoja, jotka on kerätty ilman lupaa, tuomioistuimen päätöstä tai kongressin hyväksyntää, 16 muulle taholle, joihin kuuluvat esimerkiksi Yhdysvaltojen liittovaltion poliisi FBI, Yhdysvaltain huumevalvontavirasto ja Yhdysvaltojen sisäisen turvallisuuden ministeriö; pitää valitettavana, ettei toimeenpanoasetuksen 12333 perusteella toteutettuja valvontatoimia valvota tuomioistuinvalvonnalla;
25. korostaa, että ulkomaantiedustelun valvontaa koskevan lain 702 pykälään tai toimeenpanoasetukseen 12333 perustuvien valvontatoimien kohteeksi joutuneiden muiden kuin Yhdysvaltojen kansalaisten mahdollisuudelle käyttää oikeussuojakeinoja on yhä esteitä, jotka johtuvat asemaa (”standing”) koskevista menetelmällisistä edellytyksistä sellaisina kuin Yhdysvaltojen tuomioistuimet niitä nykyään tulkitsevat, jotta muut kuin Yhdysvaltojen kansalaiset voisivat nostaa heihin vaikuttavista päätöksistä kanteen Yhdysvaltojen tuomioistuimiin;
26. ilmaisee huolensa yleisen turvallisuuden lisäämisestä Yhdysvalloissa annetun toimeenpanoasetuksen 13768 (Enhancing Public Safety in the Interior of the United States) vaikutuksista Yhdysvalloissa olevien henkilöiden oikeudellisiin ja hallinnollisiin muutoksenhakukeinoihin, koska yksityisyydensuojalain suojaa ei enää sovelleta muihin kuin Yhdysvaltojen kansalaisiin; panee merkille komission näkemyksen siitä, ettei riittävyysarvio perustu yksityisyydensuojalain tarjoamaan suojaan ja ettei tämä toimeenpanoasetus siten vaikuta Privacy Shield -järjestelyyn; katsoo, että toimeenpanoasetus 13768 kuitenkin tuo ilmi Yhdysvaltojen hallitusvallan aikomuksen peruuttaa unionin kansalaisille aiemmin myönnetyt tietosuojatakeet ja sivuuttaa presidentti Obaman presidenttikaudella EU:lle annetut sitoumukset;
27. ilmaisee vakavan huolensa merentakaista tietojen käyttöä selventävän lain (CLOUD, H. R. 4943) viimeaikaisesta hyväksymisestä, koska se laajentaa Yhdysvaltojen ja ulkomaisen lainvalvonnan mahdollisuuksia etsiä henkilöiden tietoja kansainvälisten rajojen yli ja käyttää niitä ilman keskinäisen oikeusapusopimuksen välineitä, joilla tarjotaan asianmukaiset takeet ja joissa kunnioitetaan tiedon sijaintivaltioiden oikeudellista toimivaltaa; korostaa, että CLOUD-laki voi vaikuttaa voimakkaasti EU:hun, koska se on laajamittainen ja mahdollisesti ristiriidassa EU:n tietosuojalainsäädännön kanssa;
28. katsoo, että olisi ollut tasapainoisempaa vahvistaa olemassa olevaa keskinäisten oikeusapusopimusten järjestelmää ja siten lisätä kansainvälistä ja oikeudellista yhteistyötä; muistuttaa, että asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 48 artiklan mukaisesti keskinäiset oikeusapusopimukset ja muut kansainväliset sopimukset ovat ensisijainen mekanismi mahdollistaa pääsy ulkomaisiin henkilötietoihin;
29. pitää erittäin valitettavana, etteivät Yhdysvaltojen viranomaiset ole täyttäneet sitoumustaan tarjota komissiolle ajantasaisia ja kattavia tietoja mahdollisista muutoksista, jotka saattaisivat vaikuttaa Privacy Shield -järjestelyyn, ja toteaa, etteivät ne ole ilmoittaneet komissiolle muutoksista Yhdysvaltojen lainsäädäntökehyksessä, esimerkiksi presidentti Trumpin yleisen turvallisuuden lisäämisestä koskevan toimeenpanoasetuksen 13768 (Enhancing Public Safety in the Interior of the United States) kohdalla tai internetpalveluntarjoajia koskevien yksityisyydensuojasääntöjen kumoamisen kohdalla;
30. muistuttaa 6. huhtikuuta 2017 antamansa päätöslauselman mukaisesti, etteivät Privacy Shield -järjestelyn periaatteet eivätkä Yhdysvaltojen hallinnon lähettämät kirjeet anna selvitystä tai vakuutuksia, jotka osoittaisivat EU:n alueella olevilla henkilöillä olevan toimivia oikeussuojakeinoja, jotka koskevat heidän henkilötietojensa käyttöä lainvalvonnan ja yleisen edun mukaisiin tarkoitusperiin Yhdysvaltojen viranomaisten parissa, vaikka Euroopan unionin tuomioistuin korosti 6. lokakuuta 2015 antamassaan päätöksessä näiden oikeussuojakeinojen olevan Euroopan unionin perusoikeuskirjan 47 artiklassa mainitun perusoikeuden ydin;
Päätelmät
31. kehottaa komissiota toteuttamaan kaikki tarvittavat toimet sen varmistamiseksi, että Privacy Shield -järjestely on täysin 25. toukokuuta 2018 alkaen sovellettavan asetuksen (EU) 2016/679 sekä Euroopan unionin perusoikeuskirjan mukainen, jottei riittävyystaso mahdollista porsaanreikiä tai anna kilpailuetua yhdysvaltalaisille yrityksille;
32. pitää valitettavana, etteivät komissio ja Yhdysvaltojen toimivaltaiset viranomaiset käynnistäneet uudelleen keskusteluja Privacy Shield -järjestelystä eivätkä laatineet uutta toimintasuunnitelmaa niiden puutteiden korjaamiseksi, jotka 29 artiklan mukainen työryhmä oli pyynnöstä eritellyt yhteistä tarkastelua koskevassa joulukuun kertomuksessaan; kehottaa komissiota ja Yhdysvaltojen toimivaltaisia viranomaisia tekemään näin viivytyksettä;
33. muistuttaa, että yksityisyydensuoja ja tietosuoja ovat oikeudellisesti täytäntöönpanokelpoisia perusoikeuksia, jotka on vahvistettu perussopimuksissa, Euroopan unionin perusoikeuskirjassa ja Euroopan ihmisoikeussopimuksessa sekä lainsäädännössä ja oikeuskäytännössä; painottaa, että niitä on sovellettava tavalla, joka ei tarpeettomasti haittaa kauppaa tai kansainvälisiä suhteita, mutta ettei niitä voi asettaa vastakkain kaupallisten tai poliittisten tarkoitusperien kanssa;
34. katsoo, ettei nykyinen Privacy Shield -järjestely tarjoa sitä riittävän tasoista suojaa, jota EU:n tietosuojalainsäädäntö ja Euroopan unionin perusoikeuskirja edellyttävät, siten kuin unionin tuomioistuin niitä tulkitsee;
35. katsoo, että ellei Yhdysvallat noudata järjestelyä kaikilta osin 1. syyskuuta 2018 mennessä, komissio on epäonnistunut yleisen tietosuoja-asetuksen 45 artiklan 5 kohdan toteuttamisessa; kehottaa näin ollen komissiota keskeyttämään Privacy Shield ‑järjestelyn, kunnes Yhdysvaltojen viranomaiset noudattavat sen ehtoja;
36. kehottaa kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokuntaa jatkamaan alan kehityksen seuraamista, mukaan lukien tapauksia, joita käsitellään unionin tuomioistuimessa, sekä päätöslauselmassa annettuja suosituksia koskevien jatkotoimien toteuttamisen valvontaa;
37. kehottaa puhemiestä välittämään tämän päätöslauselman neuvostolle, komissiolle, jäsenvaltioiden hallituksille ja parlamenteille ja Euroopan neuvostolle.
- [1] EUVL L 119, 4.5.2016, s. 1.
- [2] EUVL L 119, 4.5.2016, s. 89.
- [3] EU:C:2015:650.
- [4] EU:C:2016:970.
- [5] EUVL L 207, 1.8.2016, s. 1.
- [6] EUVL C 257, 15.7.2016, s. 8.
- [7] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
- [8] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp236_en.pdf
- [9] COM(2017)0611, 18.10.2017.
- [10] SWD(2017)0344, 18.10.2017.
- [11] WP 255 -asiakirja on saatavilla osoitteessa http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621
- [12] Hyväksytyt tekstit, P8_TA(2017)0131.
- [13] https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782