FÖRSLAG TILL RESOLUTION om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA
26.6.2018 - (2018/2645(RSP))
i enlighet med artikel 123.2 i arbetsordningen
Claude Moraes för utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
B8‑0305/2018
Europaparlamentets resolution om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA
Europaparlamentet utfärdar denna resolution
– med beaktande av fördraget om Europeiska unionen (EU-fördraget), fördraget om Europeiska unionens funktionssätt (EUF-fördraget) och artiklarna 6, 7, 8, 11, 16, 47 och 52 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan),
– med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)[1], och av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF[2],
– med beaktande av EU-domstolens dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner[3],
– med beaktande av domstolens domar av den 21 december 2016 i mål C-203/15, Tele2 Sverige AB mot Post- och telestyrelsen, och mål C-698/15, Secretary of State for the Home Department mot Tom Watson m.fl.1a[4],
– med beaktande av kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA[5],
– med beaktande av Europeiska datatillsynsmannens (EDPS) yttrande 4/2016 om utkastet till beslut om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA[6],
– med beaktande av artikel 29-gruppens yttrande av den 13 april 2016 om utkastet till beslut om adekvat skydd genom skölden för skydd av privatlivet i EU och USA[7], samt dess uttalande av den 26 juli 2016[8],
– med beaktande av rapporten från kommissionen till Europaparlamentet och rådet om den första årliga översynen av skölden för skydd av privatlivet i EU och USA[9] och dess funktion och arbetsdokumentet från kommissionens avdelningar som åtföljer dokumentet[10],
– med beaktande av dokumentet av den 28 november 2017 från artikel 29-arbetsgruppen för uppgiftsskydd (WP 29) om den första årliga översynen av skölden för skydd av privatlivet i EU och USA[11],
– med beaktande av svarsbrevet från WP29 av den 11 april 2018 om det förnyade godkännandet av avsnitt 702 i den amerikanska Foreign Intelligence Surveillance Act (Fisa),
– med beaktande av sin resolution av den 6 april 2017 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA[12],
– med beaktande av artikel 123.2 i arbetsordningen, och av följande skäl:
A. I sin dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner, ogiltigförklarade EU-domstolen Safe Harbour-beslutet och klargjorde att en adekvat skyddsnivå i ett tredjeland måste förstås som ”väsentligen likvärdig” med den som garanteras av EU enligt direktiv 95/46/EG jämfört med stadgan, vilket medför ett behov av att genomföra förhandlingar om en ny ordning för att säkerställa juridisk visshet om hur personuppgifter ska överföras från EU till USA.
B. När kommissionen granskar skyddsnivån i ett tredjeland måste den bedöma innehållet i de bestämmelser som är tillämpliga i det landet enligt landets interna lagstiftning eller dess internationella förpliktelser, samt det förfarande som ska se till att dessa bestämmelser iakttas, eftersom kommissionen enligt artikel 25.2 i direktiv 95/46/EG måste beakta alla de förhållanden som har samband med en överföring av personuppgifter till ett tredjeland. Denna bedömning ska inte bara avse lagstiftning och förfaranden med avseende på skyddet av personuppgifter för kommersiella och privata ändamål, utan även alla aspekter av den ram som är tillämplig för detta land eller denna sektor, framför allt, men inte uteslutande, brottsbekämpning, nationell säkerhet och respekt för de grundläggande rättigheterna.
C. Överföringar av personuppgifter mellan kommersiella organisationer i EU och USA är ett viktigt inslag i de transatlantiska förbindelserna, med tanke på att den globala ekonomin hela tiden digitaliseras allt mer. Dessa överföringar bör göras med full respekt för rätten till uppgiftsskydd och rätten till personlig integritet. Ett av EU:s grundläggande mål är att skydda de grundläggande rättigheterna, i enlighet med stadgan.
D. Facebook, som har undertecknat skölden för skydd av privatlivet, har bekräftat att uppgifterna för 2,7 miljoner EU-medborgare var bland dem som otillbörligt användes av det politiska konsultföretaget Cambridge Analytica.
E. I sitt yttrande 4/2016 aktualiserade EDPS ett flertal farhågor om utkastet till sköld för skydd av privatlivet. I samma yttrande välkomnade EDPS de ansträngningar som samtliga parter gjort för att finna en lösning för överföringar av personuppgifter från EU till Förenta staterna för kommersiella ändamål inom ramen för ett system med självcertifiering.
F. I sitt yttrande 1/2016 över kommissionens förslag till genomförandebeslut om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA välkomnade artikel 29-gruppen de förbättringar som skölden för skydd av privatlivet fört med sig, jämfört med Safe Harbour-beslutet, men samtidigt aktualiserades starka farhågor både om de kommersiella aspekterna och om myndigheternas åtkomst till uppgifter som överförts med hjälp av denna sköld.
G. Den 12 juli 2016, efter ytterligare diskussioner med Förenta staternas administration, antog kommissionen sitt genomförandebeslut (EU) 2016/1250, och förklarade att skölden för skydd av privatlivet i EU och USA medger en adekvat skyddsnivå för personuppgifter som, med hjälp av denna sköld, överförs från unionen till organisationer i Förenta staterna.
H. Skölden för skydd av privatlivet i EU och USA åtföljs av ett flertal ensidiga åtaganden och försäkringar från USA:s administration, där man förklarar bl.a. vilka principer som gäller för uppgiftsskyddet, hur tillsynen, verkställigheten och rättsmedlen fungerar, och vilka skyddsåtgärder säkerhetsorganen måste rätta sig efter för att komma åt personuppgifter och få behandla dem.
I. I sitt uttalande av den 26 juli 2016 välkomnade artikel 29-gruppen de förbättringar som skölden för skydd av privatlivet i EU och USA fört med sig, jämfört med Safe Harbour‑programmet, och samtidigt berömdes kommissionen och de amerikanska myndigheterna för att de beaktat arbetsgruppens farhågor. Det oaktat anger artikel 29‑gruppen att ett antal av dess farhågor kvarstår, både om de kommersiella aspekterna och om de amerikanska myndigheternas åtkomst till uppgifter som överförts från EU, bl.a. att det varken finns särskilda regler för automatiserat beslutsfattande eller en allmän rätt att göra invändningar, att det behövs striktare garantier för ombudspersonens oberoende och befogenheter, eller att det saknas konkreta försäkringar om att massinsamling och slumpartad insamling av personuppgifter (bulkinsamling) inte ska förekomma.
J. I sin resolution av den 6 april 2017 erkänner visserligen Europaparlamentet att skölden för skydd av privatlivet i EU och USA innebär avsevärda förbättringar gällande tydligheten i standarderna jämfört med den tidigare Safe Harbour mellan EU och USA, men anser att det återstår viktiga frågor när det gäller vissa kommersiella aspekter, nationell säkerhet och brottsbekämpning. Kommissionen uppmanas att under den första gemensamma årliga utvärderingen göra en noggrann och djupgående undersökning av alla brister och svagheter och visa hur de har åtgärdats, för att säkerställa efterlevnad av EU-stadgan och unionslagstiftningen, och noggrant bedöma om de mekanismer och skydd som anges i försäkringarna och klargörandena från USA:s administration är ändamålsenliga och genomförbara.
K I rapporten från kommissionen till Europaparlamentet och rådet om den första årliga översynen av skölden för skydd av privatlivet i EU och USA och dess funktion, och i det arbetsdokument från kommissionens avdelningar som åtföljer detta dokument, erkänns det att USA:s myndigheter har upprättat de nödvändiga strukturerna och förfarandena för att säkerställa att skölden för skydd av privatlivet fungerar korrekt, med slutsatsen att USA fortsätter att säkerställa en lämplig skyddsnivå för personuppgifter som överförs enligt skölden för skydd av privatlivet, men samtidigt lämnas tio rekommendationer till USA:s myndigheter för att ta itu med problem som inte bara rör det amerikanska handelsdepartementets uppgifter och verksamheter som administratör med ansvar för att övervaka certifieringen av organisationer inom skölden för skydd av privatlivet och verkställandet av principerna, utan även problem som rör den nationella säkerheten, såsom det förnyade godkännandet av avsnitt 702 i Foreign Intelligence Surveillance Act (Fisa) eller utnämningen av en permanent ombudsperson och det faktum att det fortfarande saknas ledamöter i översynspanelen för civila friheter i privatlivet (PCLOB).
L. I artikel 29-gruppens yttrande om den första årliga översynen av skölden för skydd av privatlivet i EU och USA av den 28 november 2017, efter den första årliga gemensamma översynen, erkänns framstegen för skölden för skydd av privatlivet jämfört med det upphävda Safe Harbour-beslutet. Artikel 29-gruppen erkänner de insatser som gjorts av USA:s myndigheter och kommissionen för att genomföra skölden för skydd av privatlivet.
M. Artikel 29-gruppen har identifierat ett antal viktiga olösta frågor av stor betydelse, gällande både de kommersiella frågorna och de som angår de amerikanska offentliga myndigheternas tillgång till uppgifter som överförs till USA inom ramen för skölden för skydd av privatlivet (antingen för brottsbekämpning eller nationell säkerhet), som behöver tas upp av både kommissionen och USA:s myndigheter. Gruppen har begärt att det genast upprättas en handlingsplan för att visa att alla dessa frågor kommer att bemötas, senast vid den andra gemensamma översynen.
N. Om de problem som artikel 29-arbetsgruppen har påtalat inte åtgärdas inom de angivna tidsramarna kommer ledamöterna i artikel 29-arbetsgruppen att vidta lämpliga åtgärder, däribland att dra beslutet om adekvat skydd genom skölden för skydd av privatlivet inför nationella domstolar så att de kan begära ett förhandsavgörande hos EU‑domstolen.
O. En ogiltighetstalan av La Quadrature du Net m.fl. mot kommissionen (mål T-738/16) och en begäran av Irlands High Court i målet mellan Irlands Data Protection Commissioner och Facebook Ireland Limited och Maximilian Schrems (Schrems II‑målet) har överlämnats till Europeiska unionens domstol. I begäran noteras att massövervakning fortfarande pågår och det analyseras om det finns ändamålsenliga rättsmedel i amerikansk lagstiftning för EU-medborgare vars personuppgifter överförs till USA.
P. Den 11 januari 2018 godkände och ändrade USA:s kongress avsnitt 702 i Fisa för ytterligare sex år utan att ta upp orosmomenten i kommissionens rapport från den gemensamma översynen och artikel 29-gruppens yttrande.
Q. Som en del i den omnibusbudgetlagstiftning som godkändes som lag den 23 mars 2018 antog USA:s kongress Clarifying Overseas Use of Data (”CLOUD”) Act, som underlättar brottsbekämpande myndigheters tillgång till innehållet i kommunikation och besläktade uppgifter genom att amerikanska brottsbekämpande myndigheter tillåts att kräva ut kommunikationsuppgifter även om den lagras utanför Förenta staterna, och genom att vissa främmande länder tillåts ingå exekutiva avtal med Förenta staterna så att amerikanska tjänsteleverantörer kan bemöta vissa utländska beslut om tillgång till kommunikationsuppgifter.
R. Företagen Facebook Inc., Cambridge Analytica och SCL Elections Ltd har certifierats enligt ramen för skölden för skydd av privatlivet, och har som sådana dragit nytta av beslutet om adekvat skydd som rättslig grund för överföring och vidare behandling av personuppgifter från EU till Förenta staterna.
S. Enligt artikel 45.5 i den allmänna dataskyddsförordningen ska kommissionen återkalla, ändra eller upphäva sitt beslut om adekvat skydd när tillgänglig information visar att ett tredjeland inte längre säkerställer skydd på en tillräcklig nivå.
1. Europaparlamentet framhåller de kvarvarande bristerna i skölden för skydd av privatlivet när det gäller respekten för registrerade personers grundläggande rättigheter. Parlamentet understryker risken för att domstolen ogiltigförklarar kommissionens genomförandebeslut (EU) 2016/1250 om skölden för skydd av privatlivet.
2. Europaparlamentet noterar förbättringarna jämfört med Safe Harbour‑överenskommelsen, bland annat införandet av viktiga definitioner, strängare skyldigheter när det gäller lagring och vidare överföring av uppgifter till tredjeländer, inrättandet av en ombudsman som ska säkerställa enskildas rätt till gottgörelse och oberoende tillsyn, kontroller och motvikter för registrerade personernas rättigheter (PCLOB), intern- och externkontroller av regelefterlevnad, mer regelbunden och utförlig dokumentation och kontroll, flera olika sätt för omprövning av rättsliga avgöranden och de nationella dataskyddsmyndigheternas roll i utredningar av klagomål.
3. Europaparlamentet påminner om att artikel 29-gruppen angett den 25 maj 2018 som sista datum för när alla kvarvarande problem skulle vara lösta och om de inte var det kunde artikel 29-gruppen besluta att anmäla skölden för skydd av privatlivet till nationella domstolar så att dessa kan vända sig till domstolen för ett förhandsavgörande[13].
Institutionella frågor/utnämningar
4. Europaparlamentet beklagar att det har tagit så lång tid att utse de två ytterligare ledamöter samt att tillsätta ordföranden för PCLOB och uppmanar senaten att granska dessas bakgrund för att sedan godkänna de utsedda ledamöterna så att det oberoende organet återfår sin beslutsförhet och kan utföra sitt uppdrag att förhindra terrorism och säkerställa behovet att skydda den personliga integriteten och medborgerliga friheter.
5. Europaparlamentet uttrycker oro över att avsaknaden av ordförande och beslutsförhet har begränsat PCLOB:s möjligheter att agera och uppfylla sina skyldigheter. Parlamentet betonar att PCLOB så länge organet inte är beslutsmässigt inte kan ta initiativ till nya råd eller tillsynsprojekt eller anställa personal. Parlamentet påminner om att PCLOB ännu inte har släppt den sedan länge efterfrågade rapporten om hur övervakningen enligt presidentorder 12333 utförs, vilken ska innehålla information om hur denna presidentorder följs i praktiken och om nödvändigheten och proportionaliteten vad gäller intrång i skyddet av personuppgifter i detta sammanhang. Parlamentet noterar att denna rapport är högst önskvärd med tanke på osäkerheten och oförutsägbarheten i hur presidentorder 12333 används. Parlamentet beklagar att PCLOB inte släppte någon ny rapport om paragraf 702 i FISA-lagen innan denna lag godkändes på nytt i januari 2018. Parlamentet anser att avsaknaden av beslutsförhet allvarligt undergräver garantierna och försäkringarna om efterlevnad och översyn som myndigheterna i USA gett. Parlamentet uppmanar därför myndigheterna i USA med kraft att utan dröjsmål utse och bekräfta de nya styrelseledamöterna.
6. Europaparlamentet efterlyser med tanke på att Presidential Policy Directive 28 (PPD 28) är en av de centrala grundstenarna som skölden för skydd av privatlivet bygger på att PCLOB släpper rapporten om PPD 28, som fortfarande är underkastat ett presidentprivilegium och därför ännu inte har offentliggjorts.
7. Europaparlamentet upprepar sin ståndpunkt att ombudsmannen som inrättats av USA:s utrikesministerium inte är tillräckligt oberoende och inte har tilldelats tillräckligt effektiva befogenheter för att kunna utföra sitt uppdrag och förse EU-medborgare med tillgång till effektiv tvistlösning. Parlamentet betonar att det måste förtydligas exakt vilka befogenheter ombudsmannen har, särskilt när det gäller dennes befogenhet gentemot underrättelseorganen, och vilken vikt dennes beslut har. Parlamentet beklagar att ombudsmannen endast kan efterfråga åtgärder och information från USA:s statliga organ och inte beordra att myndigheterna upphör med olaglig övervakning eller att de permanent förstör information. Parlamentet poängterar att även om det finns en tillförordnad ombudsman så har Förenta staternas administration ännu inte utsett någon ny permanent ombudsman, vilket inte bidrar till ömsesidigt förtroende. Parlamentet anser att USA:s försäkringar om att man ska tillhandahålla tillgång till effektiv tvistlösning för EU-medborgare är av noll och intet värde om inte en oberoende och erfaren ombudsman med tillräckliga befogenheter utnämns.
8. Europaparlamentet sätter värde på att senaten nyligen bekräftat en ny ordförande och fyra kommissionärer i FTC. Parlamentet beklagar djupt att fyra av de fem platserna i FTC fram till ovan nämnda bekräftelse varit tomma, med tanke på att FTC är det behöriga organ som ser till att principerna i skölden för skydd av privatlivet följs av organisationer i USA.
9. Europaparlamentet betonar att de senaste avslöjandena om Facebooks och Cambridge Analyticas agerande visar på att det behövs proaktiv tillsyn och tvingande åtgärder inte endast efter att klagomål inkommit utan även systematisk kontroll av huruvida integritetspolicyer i praktiken faktiskt lever upp till principerna i skölden för skydd av privatlivet under hela certifieringens giltighetstid. Parlamentet uppmanar de behöriga dataskyddsmyndigheterna i EU att vidta lämpliga åtgärder och att stoppa överföringar i de fall då principerna inte följs.
Handelsfrågor
10. Europaparlamentet anser att handelsministeriet, för att säkerställa öppenhet och undvika falska påstående om deltagande i skölden, inte bör tillåta att företag i USA offentliggör påståenden om att de följer principerna i skölden innan kontrollförfarandena är avklarade och företagen är upptagna i förteckningen över organisationer som anslutit sig till skölden. Parlamentet uttrycker oro över det faktum att handelsministeriet inte har utnyttjat den möjlighet som man enligt skölden för skydd av privatlivet har att begära kopior av de avtalsvillkor som de certifierade företagen använder i sina avtal med tredje parter för att säkerställa att principerna följs. Parlamentet anser därför att det inte finns någon verkningsfull kontroll av om de certifierade företagen faktiskt följer bestämmelserna i skölden för skydd av privatlivet. Parlamentet uppmanar handelsministeriet att proaktivt och regelbundet på eget initiativ genomföra kontroller av om företagen faktiskt följer reglerna och uppfyller kraven.
11. Europaparlamentet anser att de olika klagomålsförfarandena för EU-medborgare kan visa sig vara för krångliga och svåra att använda och därför mindre verkningsfulla. Parlamentet noterar, vilket också framhållits av de företag som erbjuder oberoende hjälp vid klagomål, att de flesta klagomål riktas direkt till företagen och kommer från enskilda som vill ha allmän information om skölden för skydd av privatlivet och om hur deras uppgifter behandlas. Parlamentet rekommenderar därför USA:s myndigheter att på webbplatsen om skölden för skydd av privatlivet tillhandahålla mer konkret information i ett tillgänglighetsanpassat och lättläst format om enskildas rättigheter och om vilka förfaranden för klagomål och gottgörelse som finns att tillgå.
12. Med anledning av de senaste avslöjandena om att personuppgifter missbrukats av företag som certifierats enligt skölden för skydd av privatlivet, som Facebook och Cambridge Analytica, uppmanar Europaparlamentet de myndigheter i USA som har ansvar för att upprätthålla skölden för skydd av privatlivet att utan dröjsmål agera på denna typ av avslöjanden, i enlighet med de garantier och åtaganden man har gjort om att upprätthålla systemet med skölden för skydd av privatlivet, och om så blir nödvändigt stryka dessa företag från förteckningen över organisationer som anslutit sig till skölden. Parlamentet uppmanar även behöriga dataskyddsmyndigheter i EU att utreda denna typ av avslöjanden och, om så är nödvändigt, tillfälligt eller permanent förbjuda överföringar av uppgifter som omfattas av skölden för skydd av privatlivet. Parlamentet anser att avslöjandena tydligt visar att skölden för skydd av privatlivet inte ger tillräckligt skydd när det gäller rätten till skydd av personuppgifter.
13. Europaparlamentet är allvarligt oroat över ändringarna i villkoren för Facebooks användare utanför USA och Kanada som inte är EU-medborgare, vilka tidigare varit skyddade av EU:s dataskyddslagstiftning men som nu måste godta att det är Facebook USA i stället för Facebook Irland är personuppgiftsansvarig. Parlamentet anser att detta innebär att personuppgifter från cirka 1,5 miljarder användare överförs till ett tredjeland. Parlamentet betvivlar i högsta grad att en sådan aldrig tidigare skådad begränsning av de grundläggande rättigheterna för användare av en de facto monopolplattform är vad som var tanken med skölden för skydd av privatlivet. Parlamentet uppmanar dataskyddsmyndigheterna i EU att utreda denna fråga.
14. Europaparlamentet uttrycker stark oro över att denna typ av missbruk av personuppgifter i syfte att påverka politiska uppfattningar och röstningsbeteenden, om det inte stoppas, kan bli ett hot mot demokratin och den underliggande tanken om att väljare kan fatta egna informerade och faktabaserade beslut.
15. Europaparlamentet välkomnar och stöder uppmaningarna till USA:s lagstiftare om att arbeta för en samlad lag om personlig integritet och skydd av personuppgifter.
16. Europaparlamentet upprepar sin oro över att det i skölden för skydd av privatlivet inte finns några särskilda regler och garantier för beslut fattade utifrån automatiserad behandling/profilering som har rättslig verkan och i hög grad påverkar enskilda. Parlamentet ser positivt på kommissionens avsikt att beställa en studie, i vilken man ska samla in faktiska bevis och ytterligare utvärdera hur automatiserat beslutsfattande påverkar överföringar av personuppgifter som omfattas av skölden för skydd av privatlivet. Parlamentet uppmanar kommissionen att ta fram särskilda regler för automatiserat beslutsfattande, så att det finns ett fullgott skydd, om så rekommenderas i studien Parlamentet noterar i detta sammanhang informationen från den gemensamma översynen om att automatiserade beslut inte får fattas utifrån personuppgifter som överförts i enlighet med skölden för skydd av privatlivet. Parlamentet beklagar dock djupt att återkopplingen från företagen enligt artikel 29-gruppen fortsatt varit väldigt allmän, vilket innebär att det fortfarande är oklart om dessa försäkranden överensstämmer med verkligheten i alla företag som anslutit sig till skölden för skydd av privatlivet. Parlamentet betonar vidare den allmänna dataskyddsförordningens tillämplighet enligt villkoren i artikel 3.2 i den allmänna dataskyddsförordningen.
17. Europaparlamentet betonar att ytterligare förbättringar bör göras när det gäller tolkningen och hanteringen av uppgifter om personalresurser på grund av olika tolkningar av begreppet ”uppgifter om personalresurser” av den amerikanska regeringen, å ena sidan, och av kommissionen och artikel 29-gruppen, å andra sidan. Parlamentet instämmer helt med artikel 29-gruppens uppmaning till kommissionen att inleda förhandlingar med de amerikanska myndigheterna i syfte att ändra mekanismen för skölden för skydd av privatlivet i denna fråga.
18. Europaparlamentet upprepar sin oro över att principerna om skölden för skydd av privatlivet inte följer EU:s modell med samtyckesbaserad behandling, utan gör det möjligt att välja att undantas/göra invändningar endast under mycket speciella omständigheter. Mot bakgrund av den gemensamma översynen uppmanas därför handelsministeriet med kraft att samarbeta med europeiska dataskyddsmyndigheter för att ge mer exakt vägledning när det gäller grundläggande principer om skölden för skydd av privatlivet, såsom principen om valmöjlighet, principen om meddelande, vidare överföring, den personuppgiftsansvariges och personuppgiftsbiträdets relation och åtkomst, som mycket närmare anpassats till den registrerade personens rättigheter i enlighet med förordning (EU) 2016/679.
19. Europaparlamentet upprepar sin oro över att kongressen i mars 2017 röstade emot den bestämmelse som framlagts av Federal Communications Commission om integritetsskydd för kunder som använder bredbands- och andra kommunikationstjänster (Protecting the Privacy of Customers of Broadband and Other Telecommunications Services), vilket i praktiken innebär slutet för regler om integritetsskydd som skulle ha gällt för bredbandstjänster och ålagt internetleverantörerna att utverka kundernas uttryckliga samtycke innan de säljer eller delar med sig av uppgifter om webbsökning eller annan privat information till annonsörer eller andra företag. Parlamentet anser detta vara ännu ett hot mot skyddet för privatlivet i Förenta staterna.
Brottsbekämpning och nationell säkerhet
20. Europaparlamentet anser att begreppet ”nationell säkerhet” i mekanismen för skölden för skydd av privatlivet inte specifikt avgränsas i syfte att se till att brott mot uppgiftsskyddet kan prövas i domstolar på ett effektivt sätt för att säkerställa överensstämmelse med ett strikt prov av vad som är nödvändigt och proportionerligt. Parlamentet efterlyser därför en tydlig definition av ”nationell säkerhet”.
21. Europaparlamentet noterar att antalet mål enligt avsnitt 702 i Fisa har ökat på grund av förändringar i teknik och kommunikationsmönster samt en föränderlig hotbild.
22. Europaparlamentet beklagar att USA inte utnyttjade det faktum att avsnitt 702 i Fisa nyligen godkändes på nytt för att omfatta garantierna i den amerikanske presidentens policydirektiv 28 (PPD-28). Parlamentet efterlyser bevis och rättsligt bindande åtaganden som garanterar att datainsamlingen enligt avsnitt 702 i Fisa inte är godtycklig och att åtkomst inte sker på generell basis (bulkinsamling) i motsats till EU:s stadga om de grundläggande rättigheterna. Parlamentet noterar kommissionens förklaring i dess arbetsdokument att övervakning enligt avsnitt 702 i Fisa alltid baseras på underrättelseprioriteringar och därför inte tillåter massinsamling. Parlamentet ansluter sig därför till artikel 29-gruppens krav på en uppdaterad rapport från PCLOB om definitionen av ”mål”, om ”avdelade underrättelseprioriteringar” och om den konkreta tillämpningen av underrättelseprioriteringar i samband med programmet Upstream, för att klargöra och bedöma huruvida massåtkomst till personuppgifter förekommer i detta sammanhang. Parlamentet beklagar att enskilda personer i EU är undantagna från ytterligare skydd som tillhandahålls av förnyat godkännande av avsnitt 702 i Fisa. Parlamentet beklagar att det förnyade godkännandet av avsnitt 702 innehåller flera ändringar av rent formell natur och inte tar itu med de mest problematiska frågorna, vilket också påpekats av artikel 29-gruppen. Parlamentet uppmanar kommissionen att ta den kommande analysen från artikel 29-gruppen om avsnitt 702 i Fisa på allvar och agera därefter.
23. Europaparlamentet bekräftar att det förnyade godkännandet av avsnitt 702 i Fisa för ytterligare sex år bestrider lagenligheten av skölden för skydd av privatlivet.
24. Europaparlamentet upprepar sin oro beträffande dekret (executive order) nr 12333, som tillåter NSA att utbyta stora mängder privata uppgifter som insamlats utan tillstånd, domstolsbeslut eller kongressens tillstånd med 16 andra myndigheter, inklusive FBI, Förenta staternas federala narkotikabekämpningsbyrå (Drug Enforcement Agency) och Department of Homeland Security. Parlamentet beklagar avsaknaden av domstolsprövning av övervakningsverksamhet som bedrivs på grundval av dekret nr 12333.
25. Europaparlamentet framhåller de kvarvarande hindren när det gäller ersättning för icke‑amerikanska medborgare som utsatts för en övervakningsåtgärd som bygger på avsnitt 702 i Fisa eller på dekret nr 12333 på grund av formkraven att de ska vara ”stående” såsom det för närvarande tolkas av amerikanska domstolar, för att göra det möjligt för icke-amerikanska medborgare att väcka talan vid amerikanska domstolar mot beslut som påverkar dem.
26. Europaparlamentet uttrycker sin oro över konsekvenserna av dekret nr 13768 om att öka allmänhetens säkerhet i Förenta staternas inland (Enhancing Public Safety in the Interior of the United States) för de rättsliga och administrativa rättsmedel som är tillgängliga för individer i USA, eftersom skyddet i lagen om integritetsskydd (Privacy Act) inte längre tillämpas på icke-amerikanska medborgare. Parlamentet noterar kommissionens ståndpunkt att lämplighetsbedömningen inte grundar sig på skyddet i lagen om integritetsskydd (Privacy Act) och att detta dekret därför inte påverkar skölden för skydd av privatlivet. Parlamentet anser emellertid att dekret nr 13768 indikerar den amerikanska verkställande maktens avsikter att upphäva de dataskyddsgarantier som tidigare beviljats EU-medborgare och att åsidosätta åtaganden som gjorts gentemot EU under Barack Obamas tid som president.
27. Europaparlamentet uttrycker sin starka oro över den nyligen antagna lagen om att förtydliga laglig användning av uppgifter utomlands (Clarifying Lawful Overseas Use of Data Act) eller CLOUD Act (H.R. 4943), som ökar amerikanska och utländska brottsbekämpande myndigheters möjligheter att inrikta sig på och komma åt människors uppgifter över internationella gränser utan att använda sig av instrumentet för ömsesidig rättslig hjälp, som tillhandahåller lämpliga skyddsåtgärder och respekterar de rättsliga befogenheterna för de länder där informationen finns. Parlamentet framhåller att CLOUD Act skulle kunna få allvarliga konsekvenser för EU, eftersom den är långtgående och skapar en potentiell konflikt med EU:s dataskyddslagstiftning.
28. Europaparlamentet anser att en mer balanserad lösning hade varit att stärka befintliga internationella system för ömsesidig rättslig hjälp, i syfte att främja internationellt och rättsligt samarbete. Parlamentet upprepar att ömsesidig rättslig hjälp och andra internationella överenskommelser enligt artikel 48 i förordning (EU) 2016/679 (den allmänna dataskyddsförordningen) är de lämpligaste mekanismerna för att möjliggöra tillgång till personuppgifter utanför EU.
29. Europaparlamentet beklagar att de amerikanska myndigheterna har misslyckats med att aktivt fullgöra sitt åtagande att förse kommissionen med aktuell och uttömmande information om all utveckling som skulle kunna vara av betydelse för skölden för skydd av privatlivet, däribland underlåtenheten att underrätta kommissionen om ändringar i den amerikanska lagstiftningen, till exempel när det gäller president Trumps dekret nr 13768 om att öka allmänhetens säkerhet i Förenta staternas inland (Enhancing Public Safety in the Interior of the United States) eller upphävandet av bestämmelserna om personlig integritet för internetleverantörer.
30. Europaparlamentet erinrar i enlighet med sin resolution av den 6 april 2017 om att varken principerna för skölden för skydd av privatlivet eller skrivelserna från Förenta staternas administration ger några förtydliganden och försäkringar som påvisar rättigheterna till effektiva rättsmedel för personer i EU, när det gäller användningen av deras personuppgifter av amerikanska myndigheter som behandlar dem för brottsbekämpningsändamål och andra ändamål som rör allmänintresset, vilket EU‑domstolen i sin dom av den 6 oktober 2015 framhöll som kärnan i den grundläggande rättigheten i artikel 47 i EU-stadgan om de grundläggande rättigheterna.
Slutsatser
31. Europaparlamentet uppmanar kommissionen att vidta alla nödvändiga åtgärder för att se till att skölden för skydd för privatlivet fullt ut uppfyller kraven i förordning (EU) 2016/679, som ska tillämpas från och med den 25 maj 2018, och i EU-stadgan, så att anpassningen inte leder till kryphål eller konkurrensfördel för amerikanska företag.
32. Europaparlamentet beklagar att kommissionen och de behöriga amerikanska myndigheterna inte återupptog diskussionerna om arrangemanget kring skölden för skydd av privatlivet och inte upprättade någon handlingsplan för att så snart som möjligt ta itu med de fastställda bristerna, vilket efterlystes av artikel 29-gruppen i dess rapport från december om den gemensamma översynen. Parlamentet uppmanar kommissionen och de behöriga amerikanska myndigheterna att göra detta utan ytterligare dröjsmål.
33. Europaparlamentet erinrar om att integritet och dataskydd är rättsligt bindande grundläggande rättigheter som fastställs i fördragen, Europeiska unionens stadga om de grundläggande rättigheterna och Europakonventionen om de mänskliga rättigheterna, samt i lagar och rättspraxis. Parlamentet betonar att de måste tillämpas på ett sätt som inte i onödan hindrar handel eller internationella relationer, men att de inte kan ”vägas” mot kommersiella eller politiska intressen.
34. Europaparlamentet anser att det nuvarande arrangemanget kring skölden för skydd av privatlivet inte ger den skyddsnivå som krävs i unionens dataskyddslagstiftning och i EU-stadgan, såsom den tolkas av domstolen.
35. Europaparlamentet anser att kommissionen har underlåtit att vidta åtgärder i enlighet med artikel 45.5 i allmänna dataskyddsförordningen om USA inte följer lagstiftningen fullt ut senast den 1 september 2018. Parlamentet uppmanar därför kommissionen att tillfälligt upphäva skölden för skydd av privatlivet tills de amerikanska myndigheterna uppfyller villkoren.
36. Europaparlamentet uppmanar sitt utskott för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att fortsätta att övervaka utvecklingen på detta område, däribland de mål som prövas av domstolen, och uppföljningen av de rekommendationer som utfärdas i resolutionen.
37. Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet, kommissionen, medlemsstaternas regeringar och parlament samt Europarådet.
- [1] EUT L 119, 4.5.2016, s. 1.
- [2] EUT L 119, 4.5.2016, s. 89.
- [3] ECLI:EU:C:2015:650.
- [4] EU:C:2016:970.
- [5] EUT L 207, 1.8.2016, s. 1.
- [6] EUT C 257, 15.7.2016, s. 8.
- [7] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
- [8] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp236_en.pdf
- [9] COM(2017)0611, 18.10.2017.
- [10] SWD(2017)0344, 18.10.2017.
- [11] WP 255 som finns på http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621.
- [12] Antagna texter, P8_TA(2017)0131.
- [13] https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782