Resolutsiooni ettepanek - B9-0272/2021Resolutsiooni ettepanek
B9-0272/2021

RESOLUTSIOONI ETTEPANEK isikuandmete piisava kaitse kohta Ühendkuningriigis

12.5.2021 - (2021/2594(RSP))

komisjoni avalduse alusel
vastavalt kodukorra artikli 132 lõikele 2

Juan Fernando López Aguilar
kodanikuvabaduste, justiits- ja siseasjade komisjoni nimel


Menetlus : 2021/2594(RSP)
Menetluse etapid istungitel
Dokumendi valik :  
B9-0272/2021
Esitatud tekstid :
B9-0272/2021
Vastuvõetud tekstid :

B9‑0272/2021

Euroopa Parlamendi resolutsioon isikuandmete piisava kaitse kohta Ühendkuningriigis

(2021/2594(RSP))

Euroopa Parlament,

 võttes arvesse Euroopa Liidu põhiõiguste hartat (edaspidi „põhiõiguste harta“), eriti selle artikleid 7, 8, 47 ja 52,

 võttes arvesse Euroopa Liidu Kohtu 16. juuli 2020. aasta otsust kohtuasjas C-311/18, andmekaitsevolinik vs. Facebook Ireland Limited ja Maximillian Schrems (Schrems II kohtuotsus)[1],

 võttes arvesse Euroopa Liidu Kohtu 6. oktoobri 2015. aasta otsust kohtuasjas C-362/14, Maximillian Schrems vs. andmekaitsevolinik (Schrems I kohtuotsus)[2],

 võttes arvesse Euroopa Liidu Kohtu 6. oktoobri 2020. aasta otsust kohtuasjas C-623/17, Privacy International vs. välis- ja Rahvaste Ühenduse asjade minister[3],

 võttes arvesse oma 12. märtsi 2014. aasta resolutsiooni USA Riikliku Julgeolekuagentuuri jälgimisprogrammi ja ELi liikmesriikide jälgimisasutuste ning nende mõju kohta ELi kodanike põhiõigustele ja Atlandi-ülesele koostööle justiits- ja siseküsimustes[4],

 võttes arvesse oma 5. juuli 2018. aasta resolutsiooni ELi-USA andmekaitseraamistikuga Privacy Shield ette nähtud kaitse piisavuse kohta[5],

 võttes arvesse oma 25. oktoobri 2018. aasta resolutsiooni Facebooki kasutajate andmete kasutamise kohta Cambridge Analytica poolt ja selle mõju kohta andmekaitsele[6],

 võttes arvesse oma XX. mai 2021. aasta resolutsiooni Euroopa Liidu Kohtu 16. juuli 2020. aasta otsuse kohta kohtuasjas andmekaitsevolinik vs. Facebook Ireland Limited ja Maximillian Schrems kohta[7];

 võttes arvesse oma 26. novembri 2020. aasta resolutsiooni ELi kaubanduspoliitika läbivaatamise kohta[8],

 võttes arvesse 31. detsembri 2020. aasta kaubandus- ja koostöölepingut ühelt poolt Euroopa Liidu ja Euroopa Aatomienergiaühenduse ning teiselt poolt Suurbritannia ja Põhja-Iiri Ühendkuningriigi vahel[9],

 võttes arvesse oma 28. aprilli 2021. aasta resolutsiooni ELi ja Ühendkuningriigi läbirääkimiste tulemuste kohta[10],

 võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (isikuandmete kaitse üldmäärus)[11],

 võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist (isikuandmete kaitset õiguskaitses käsitlev direktiiv)[12],

 võttes arvesse Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris[13],

 võttes arvesse komisjoni 10. jaanuari 2017. aasta ettepanekut võtta vastu Euroopa Parlamendi ja nõukogu määrus, milles käsitletakse eraelu austamist ja isikuandmete kaitset elektroonilise side puhul (COM(2017)0010) ning Euroopa Parlamendi 20. oktoobril 2017 vastu võetud seisukohta selle kohta[14],

 võttes arvesse Euroopa Andmekaitsenõukogu soovitusi, sealhulgas 9. märtsi 2021. aasta avaldust e-privaatsuse määruse kohta ja 10. novembri 2020. aasta soovitusi 01/2020 meetmete kohta, mis täiendavad isikuandmete kaitse ELi taseme järgimise tagamiseks kasutatavaid andmeedastusvahendeid,

 võttes arvesse artikli 29 alusel asutatud andmekaitse töörühma 6. veebruaril 2018 vastu võetud ja Euroopa Andmekaitsenõukogu kinnitatud kaitse piisavuse viitedokumenti,

 võttes arvesse Euroopa Andmekaitsenõukogu 2. veebruari 2021. aasta soovitusi 01/2021 kaitse piisavuse viitedokumendi kohta isikuandmete kaitset õiguskaitses käsitleva direktiivi alusel,

 võttes arvesse kaitse piisavuse otsuste eelnõusid, mille komisjon avaldas 19. veebruaril 2021 ning millest üks koostati vastavalt isikuandmete kaitse üldmäärusele[15] ja teine vastavalt isikuandmete kaitset õiguskaitses käsitlevale direktiivile[16],

 võttes arvesse Euroopa Andmekaitsenõukogu 13. aprilli 2021. aasta arvamusi 14/2021 ja 15/2021 direktiivi (EL) 2016/680 kohase Euroopa Komisjoni rakendusotsuse eelnõu kohta, mis käsitleb isikuandmete piisavat kaitset Ühendkuningriigis,

 võttes arvesse Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni ja konventsiooni üksikisikute kaitse kohta isikuandmete automaattöötlusel, mille osaline Ühendkuningriik on,

 võttes arvesse Euroopa Parlamendi ja nõukogu 16. veebruari 2011. aasta määrust (EL) nr 182/2011, millega kehtestatakse eeskirjad ja üldpõhimõtted, mis käsitlevad liikmesriikide läbiviidava kontrolli mehhanisme, mida kohaldatakse komisjoni rakendamisvolituste teostamise suhtes,

 võttes arvesse kodukorra artikli 132 lõiget 2,

 võttes arvesse kodanikuvabaduste, justiits- ja siseasjade komisjoni resolutsiooni ettepanekut,

A. arvestades, et isikuandmete piiriülese edastamise suutlikkus võib kujuneda innovatsiooni, tootlikkuse ja majanduse konkurentsivõime oluliseks tõukejõuks;

B. arvestades, et Euroopa Liidu Kohtu otsuses Schrems I kohtuasjas juhiti tähelepanu sellele, et luureasutuste valimatu juurdepääs elektroonilise side sisule rikub põhiõiguste harta artiklis 7 sätestatud õigust teabevahetuse konfidentsiaalsusele ning et Ameerika Ühendriigid ei paku kolmandatele isikutele piisavaid õiguskaitsevahendeid massilise jälgimise vastu, mis on vastuolus harta artikliga 47;

C. arvestades, et komisjoni poolt enne oma rakendusotsuse eelnõu esitamist läbi viidud hindamine oli poolik ega vastanud Euroopa Liidu Kohtu seatud piisavuse hindamise nõuetele, mille tõi välja ka Euroopa Andmekaitsenõukogu oma kaitse piisavust käsitlevates arvamustes, milles soovitati komisjonil põhjalikumalt hinnata Ühendkuningriigi õiguse ja praktika teatavaid aspekte, mis on seotud massilise andmekogumisega, rahvusvahelise avalikustamisega ja rahvusvaheliste lepingutega luureteabe jagamise valdkonnas, õiguskaitse eesmärgil kogutud teabe edasise kasutamisega ja kohtuvolinike sõltumatusega;

D. arvestades, et komisjon ei ole Ühendkuningriigi õiguse ja/või praktika teatavaid aspekte arvesse võtnud, mille tagajärjeks on rakendusotsuste eelnõud, mis ei ole kooskõlas ELi õigusega; arvestades, et isikuandmete kaitse üldmääruse artiklis 45 sätestatakse, et kaitse taseme piisavuse hindamisel võtab komisjon eelkõige arvesse asjaolusid, nagu „.. asjaomased õigusaktid, nii üldised kui ka valdkondlikud, sealhulgas õigusaktid, mis käsitlevad avalikku julgeolekut, kaitset, riiklikku julgeolekut, karistusõigust ja riigiasutuste juurdepääsu isikuandmetele, ning selliste õigusaktide, andmekaitsenormide, ametieeskirjade ja turvameetmete (sealhulgas isikuandmete edasisaatmist teisele kolmandale riigile või rahvusvahelisele organisatsioonile käsitlevad eeskirjad, mida kõnealune kolmas riik või rahvusvaheline organisatsioon täidab) rakendamine, kohtupraktikast tulenevad nõuded ..“, ning „.. asjaomase kolmanda riigi või rahvusvahelise organisatsiooni rahvusvahelised kohustused või muud kohustused, mis tulenevad õiguslikult siduvatest konventsioonidest või õigusaktidest või selle kolmanda riigi või rahvusvahelise organisatsiooni osalemisest mitmepoolsetes või piirkondlikes süsteemides, eelkõige seoses isikuandmete kaitsega“, mis hõlmab rahvusvahelisi lepinguid muudes valdkondades, millega kaasneb juurdepääs andmetele või teabe jagamine ning mis seetõttu nõuab selliste rahvusvaheliste lepingute hindamist;

E. arvestades, et Euroopa Liidu Kohus väljendas oma otsuses Schrems I kohtuasjas selgelt, et „.. komisjon [on] kolmanda riigi pakutava kaitsetaseme analüüsimisel kohustatud hindama selle riigi siseriiklikust õigusest või endale võetud rahvusvahelistest kohustustest tulenevate kohaldatavate õigusnormide sisu ning nende õigusnormide järgimise tagamise praktikat, kusjuures institutsioon peab direktiivi 95/46 artikli 25 lõike 2 kohaselt arvesse võtma kõiki isikuandmete kolmandasse riiki edastamisega seotud asjaolusid“ (punkt 75);

F. arvestades, et luureteenistuste tegevus ja kolmandate riikidega andmete jagamine ei kuulu liikmesriikide puhul aluslepingute kohaselt ELi õiguse kohaldamisalasse, kuid need on kolmandate riikide poolt pakutava isikuandmete kaitse piisavuse hindamise kohaldamisalas, nagu on kinnitanud Euroopa Liidu Kohus Schrems I ja Schrems II otsustes;

G. arvestades, et andmekaitsestandardid ei sõltu ainult kehtivatest õigusaktidest, vaid ka nende kohaldamisest tegelikkuses, ja arvestades, et komisjon on oma otsuse ettevalmistamisel hinnanud ainult õigusakte, kuid mitte nende tegelikku kohaldamist;

I. ISIKUANDMETE KAITSE ÜLDMÄÄRUS

Üldised tähelepanekud

1. märgib, et Ühendkuningriik on alla kirjutanud Euroopa inimõiguste ja põhivabaduste kaitse konventsioonile ja Euroopa Nõukogu konventsioonile üksikisikute kaitse kohta isikuandmete automatiseeritud töötlemisel; ootab, et Ühendkuningriik tagaks sama minimaalse andmekaitseraamistiku, vaatamata sellele, et ta on Euroopa Liidust lahkunud;

2. väljendab heameelt Ühendkuningriigi võetud kohustuse üle austada demokraatiat ja õigusriigi väärtusi ning jõustada oma riigis põhiõigused, nagu need on sätestatud Euroopa inimõiguste ja põhivabaduste kaitse konventsioonis, sealhulgas kõrgetasemeline andmekaitse; tuletab meelde, et see on vajalik eeltingimus ELi koostööks Ühendkuningriigiga; tuletab meelde, et kuigi Euroopa inimõiguste konventsiooni artikkel 8, mis käsitleb õigust eraelu puutumatusele, on 1998. aasta inimõiguste seadusega Ühendkuningriigi õiguse osa, samuti on see osa tavaõigusest tänu privaatsusteabe väärkasutamise uueks kuriteoliigiks tunnistamisele, hääletas valitsus jõupingutuste vastu lisada põhiõiguste hulka õigus andmekaitsele;

3. juhib tähelepanu sellele, et EL on valinud andmehalduses inimõiguste-keskse lähenemise, arendades välja ranged andmekaitsereeglid isikuandmete kaitse üldmääruses, ja väljendab seepärast suurt muret Ühendkuningriigi peaministri avalduste pärast, milles ta teatas, et Ühendkuningriik kavatseb ELi andmekaitsereeglitest eemalduda ja kehtestada selles valdkonnas oma „suveräänse“ kontrolli; on seisukohal, et Ühendkuningriigi 2020. aasta riiklik andmestrateegia kujutab endast üleminekut isikuandmete kaitselt andmete laiemale kasutamisele ja jagamisele, mis on vastuolus isikuandmete kaitse üldmääruses sätestatud õigluse, võimalikult väheste andmete kogumise ja eesmärgi piirangu põhimõtetega; märgib, et Euroopa Andmekaitsenõukogu rõhutas oma piisavust käsitlevates arvamustes, et see võib viia võimalike riskideni EList edastatavate isikuandmete kaitses;

4. osutab tõsiasjale, et kehtivate kaitse piisavuse otsustega edendatakse oluliselt isikute põhiõiguste kaitset ja ettevõtjate õiguskindlust; rõhutab siiski, et puudulikel hindamistel põhinevatel piisavusotsustel, mida komisjon nõuetekohaselt täitmisele ei pööra, võib kohtuliku vaidlustamise korral olla vastupidine mõju;

5. juhib tähelepanu sellele, komisjoni poolt enne oma rakendusotsuse eelnõu esitamist läbi viidud hindamine oli poolik ega vastanud Euroopa Kohtu seatud piisavuse hindamise nõuetele, mille tõi välja ka Euroopa Andmekaitsenõukogu oma kaitse piisavust käsitlevates arvamustes, milles soovitati komisjonil põhjalikumalt hinnata Ühendkuningriigi õiguse ja praktika teatavaid aspekte, mis on seotud massilise andmekogumisega, rahvusvahelise avalikustamisega ja rahvusvaheliste lepingutega luureteabe jagamise valdkonnas, õiguskaitse eesmärgil kogutud teabe edasise kasutamisega ja kohtuvolinike sõltumatusega;

Isikuandmete kaitse üldmääruse täitmine

6. väljendab muret selle pärast, et kui Ühendkuningriik oli veel ELi liige, täitis ta isikuandmete kaitse üldmäärust puudulikult ja sageli ei täitnud seda üldse; juhib tähelepanu eelkõige sellele, et Ühendkuningriigi teabevoliniku büroo ei ole seda määrust minevikus nõuetekohaselt täitnud; osutab näitele, kus teabevolinik lõpetas reklaamitehnoloogiat käsitlenud kaebuse menetlemise pärast seda, kui oli korraldanud poolte kohtumise, koostanud aruande („Update Report on Adtech“) ja märkinud, et „reklaamitehnoloogia sektori arusaam andmekaitsenõuetest näib olevat ebaküps“, ent ei kasutanud ühtegi oma täitevvolitustest[17]; tunneb muret tõsiasja pärast, et täitevvolituste kasutamata jätmine on struktuurne probleem, mis tuleneb teabevoliniku büroo regulatiivse tegevuse poliitikast (Regulatory Action Policy), milles on selgelt sätestatud, et „enamikel juhtudel kasutame oma volitusi kõige tõsisemate juhtude korral, mille puhul rikutakse kõige rängemalt teabeõigustega seotud kohustusi. Nende hulka kuuluvad tavaliselt tahtlikud, sihilikud või hooletusest tulenevad teod või korduvad teabeõiguste kohustuste rikkumised, mis tekitavad kahju üksikisikutele.“; rõhutab, et tegelikkuses ei ole sel põhjusel Ühendkuningriigis reageeritud suurele osale andmekaitseõiguse rikkumistele;

7. võtab teadmiseks Ühendkuningriigi riikliku andmestrateegia, mida ajakohastati 9. detsembril 2020. aastal, ning see lubab oletada üleminekut isikuandmete kaitselt andmete laialdasemale kasutamisele ja jagamisele; juhib tähelepanu sellele, et strateegias osutatud seisukoht, nagu oleks andmete esitamisest hoidumisel ebasoodne mõju ühiskonnale, ei ole kooskõlas isikuandmete kaitse üldmääruses ja esmases õiguses sätestatud võimalikult väheste andmete kogumise ja eesmärgi piiritlemise põhimõttega;

8. võtab teadmiseks, et põhiseaduskomisjon soovitas 2004. aastal[18] ja Ühendkuningriigi parlamendi avaliku halduse komisjon soovitas 2014. aastal[19] tagada teabevoliniku sõltumatus ja teha temast parlamendi ametikandja, kes annab aru parlamendile, selle asemel, et voliniku nimetaks ametisse endiselt digimeedia- ja spordiminister; avaldab kahetsust, et soovitusele ei järgnenud tegusid;

Andmete töötlemine sisserändekontrolli eesmärgil

9. väljendab muret selle pärast, et Ühendkuningriigi immigratsiooniamet kasutab süsteemi, kus töödeldakse ulatuslikult andmeid, et otsustada inimeste õiguse üle riiki jääda; märgib, et Ühendkuningriigi andmekaitseseadus sisaldab ulatuslikku erandit andmekaitse õiguste ja aluspõhimõtete aspektidest, nagu õigus andmetega tutvuda ja andmesubjekti õigus teada, kellega tema andmeid on jagatud, kui selline kaitse „ohustaks tõhusat sisserändekontrolli“[20]; juhib tähelepanu asjaolule, et seda erandit saavad kasutada kõik Ühendkuningriigi vastutavad töötlejad, sealhulgas kohalikud ametivõimud, tervishoiuteenuste osutajad ja eratöövõtjad, kes on seotud immigratsioonisüsteemiga; on mures hiljuti avaldatud teabe pärast, et 2020. aastal kasutati sisserännet puudutavat erandit enam kui 70 % puhul andmesubjektide taotlustest siseministeeriumile[21]; rõhutab, et erandi kasutamise järelevalvet ja vastavuskontrolli tuleb läbi viia vastavalt piisavuse viitedokumendis nõutavatele standarditele, mis nõuavad nii praktika kui ka põhimõtete arvesse võtmist, tuues välja, et on vaja arvesse võtta mitte ainult kolmandasse riiki edastatavatele isikuandmetele kohaldatavate reeglite sisu, vaid ka selliste reeglite tõhususe tagamiseks kasutatavat süsteemi; rõhutab, et see mööndus ei olnud kooskõlas isikuandmete kaitse üldmäärusega ajal, mil Ühendkuningriik oli veel liikmesriik, ja komisjon ignoreeris seda oma rollis aluslepingute täitmise järelevalvajana; rõhutab, et Euroopa Andmekaitsenõukogu järeldas oma arvamuses, et on vaja põhjalikumalt selgitada sisserännet puudutava erandi kohaldamist;

10. märgib, et seda erandit kohaldatakse nüüd ELi kodanike suhtes, kes elavad Ühendkuningriigis või kavatsevad sinna elama asuda; tunneb suurt muret selle pärast, et erandiga kaotatakse peamised vastutuse ja õiguskaitsevahendite kasutamise võimalused, ning rõhutab, et see ei tasa piisavat kaitsetaset;

11. kordab oma suurt muret erandi pärast, mis puudutab andmesubjektide õigusi Ühendkuningriigi sisserändepoliitikas; kinnitab oma seisukohta, et Ühendkuningriigi andmekaitseseaduses sätestatud erandit, mida kohaldatakse isikuandmete töötlemisel sisserändega seotud eesmärkidel, tuleb muuta enne, kui on võimalik teha kehtiv piisavusotsus, mida on korduvalt väljendatud, sealhulgas 12. veebruari 2020. aasta resolutsioonis Suurbritannia ja Põhja‑Iiri Ühendkuningriigiga uue partnerluse üle peetavate läbirääkimiste kavandatud mandaadi kohta[22] ning kodanikuvabaduste, justiits- ja siseasjade komisjoni 5. veebruari 2021. aasta arvamuses[23]; kutsub komisjoni üles taotlema sisserännet puudutava erandi kaotamist või tagama, et seda muudetaks nii, et erand ja selle kasutamine pakuksid piisavaid kaitsemeetmeid andmesubjektidele ega rikuks kolmandalt riigilt oodatavaid standardeid;

Massiline jälgimine

12. tuletab meelde rikkumisest teataja Edward Snowdeni paljastusi USAs ja Ühendkuningriigis toimuva massilise jälgimise kohta; tuletab meelde, et Ühendkuningriigi valitsusside peakorteri (Government Communications Headquarters, GCHQ) hallatav programm Tempora jälgib teabevahetust reaalajas kiudoptiliste interneti magistraalkaablite kaudu ning salvestab andmed, et neid hiljem töödelda ja neis otsinguid teha; tuletab meelde, et suhtlussisu ja metaandmeid jälgitakse massiliselt, sõltumata sellest, kas on erilisi kahtlusi või valitud sihtandmeid;

13. tuletab meelde, et kohtuasjades Schrems I ja Schrems II tehtud otsustes oli Euroopa Liidu Kohus seisukohal, et massiline juurdepääs erasuhtluse sisule riivab eraelu puutumatuse õiguse olemust ning selliste juhtumite korral ei ole vajalikkuse ja proportsionaalsuse kontrollimine isegi enam vajalik; rõhutab, et neid põhimõtteid kohaldatakse andmete edastamisele kolmandatele riikidele peale USA, sealhulgas Ühendkuningriigile;

14. tuletab meelde oma 12. märtsi 2014. aasta resolutsiooni, milles leiti, et Ühendkuningriigi luureagentuuri GCHQ valimatud massilise jälgimise programmid, mida ei rakendata kahtluste alusel, on vastuolus demokraatlikus ühiskonnas kehtivate vajalikkuse ja proportsionaalsuse põhimõtetega ega ole ELi andmekaitseõiguse kohaselt piisava kaitsetasemega;

15. tuletab meelde, et 2018. aasta septembris kinnitas Euroopa Inimõiguste Kohus, et Ühendkuningriigi massilise andmete pealtkuulamise ja säilitamise programmid, sealhulgas Tempora, on „ebaseaduslikud ja vastuolus demokraatliku ühiskonna jaoks vajalike tingimustega“[24];

16. peab vastuvõetamatuks, et kaitse piisavuse otsuste eelnõudes ei võeta arvesse Ühendkuningriigi massiandmetega seotud volituste piirangute puudumist ega Ühendkuningriigi ja USA jälgimistegevuse tegelikku kasutamist, mille paljastas Edward Snowden, sealhulgas järgmised asjaolud:

a) puudub tõhus oluline teabevoliniku või kohtute poolne järelevalve riikliku julgeoleku erandi kasutamise üle Ühendkuningriigi andmekaitseõiguses;

b) Ühendkuningriigi nn massiandmetega seotud volituste kasutamise piiranguid ei ole sätestatud seadustes endis, nagu nõuab Euroopa Liidu Kohus (vaid pigem on need jäetud täitevorganite kaalutlusõiguse kohaldamisalasse, mis on allutatud „mõõdukale“ kohtulikule kontrollile);

c) teiseste andmete (metaandmete) kirjeldus otsuste eelnõudes on tõsiselt eksitav ega ole tähelepanu juhitud tõsiasjale, et sellised andmed võivad olla äärmiselt paljastavad ja kujutada eraellu sekkumist ning nendega tehakse keerukaid automatiseeritud analüüse (nagu leidis Euroopa Liidu Kohus Digital Rights Ireland kohtuasjas[25]), samas kui Ühendkuningriigi õiguse kohaselt ei kaitsta metaandmeid sisuliselt Ühendkuningriigi luureagentuuride volitamata juurdepääsu, masskogumise ja tehisintellektil põhineva analüüsimise eest;

d) 5EYES agentuurid, eriti GCHQ ja Riiklik Julgeolekuamet (NSA), jagavad tegelikult kõiki luureandmeid;

juhib lisaks tähelepanu asjaolule, et USA puhul kohaldatakse Ühendkuningriigi kodanike suhtes GCHQ ja NSA vahelisi mõningaid mitteametlikke kaitsemeetmeid; väljendab suurt muret selle pärast, et need kaitsemeetmed ei kaitseks ELi kodanikke ega elanikke, kelle andmeid võidakse edasi saata ja NSAga jagada;

17. kutsub liikmesriike üles sõlmima spionaaživastaseid lepinguid Ühendkuningriigiga ja kutsub komisjoni kasutama oma teabevahetust Ühendkuningriigi kolleegidega selleks, et edastada sõnum, et kui Ühendkuningriigi jälgimisseadusi ja -praktikat ei muudeta, on ainus võimalik võimalus piisavusotsuse tegemiseks nn spionaaživastaste lepingute sõlmimine liikmesriikidega;

Andmete edasisaatmine

18. rõhutab kindlalt, et Euroopa Liidust väljaastumise 2018. aasta seaduses on sätestatud, et üleminekuperioodi lõppemisele eelnenud Euroopa Liidu Kohtu kohtupraktika jääb endiselt kohaldatavaks ELi õiguseks ja seega Ühendkuningriigile õiguslikult siduvaks; juhib tähelepanu sellele, et muude kolmandate riikide andmekaitse piisavuse hindamisel on Ühendkuningriik seotud Euroopa Liidu Kohtu otsustes Schrems I ja Schrems II kindlaks määratud põhimõtete ja tingimustega; väljendab muret selle pärast, et Ühendkuningriigi kohtud ei kohalda enam põhiõiguste hartat; osutab sellele, et Ühendkuningriik ei ole enam põhiõiguste harta tõlgendamise kõrgeima instantsi, Euroopa Liidu Kohtu kohtualluvuses;

19. juhib tähelepanu sellele, et Ühendkuningriigi 2017. aasta digitaalmajanduse seaduse kohased reeglid isikuandmete jagamise ja teadusandmete edasisaatmise kohta ilmselgelt ei ole sisuliselt samaväärsed isikuandmete kaitse üldmääruses sätestatud reeglitega, nagu Euroopa Liidu Kohus neid on tõlgendanud;

20. on mures selle pärast, et Ühendkuningriik on võtnud endale õiguse kinnitada, et teised kolmandad riigid või territooriumid pakuvad piisavat andmekaitset, olenemata sellest, kas ELi arvates pakub kõnealune kolmas riik või territoorium sellist kaitset; tuletab meelde, et Ühendkuningriik on juba kinnitanud, et Gibraltar pakub sellist kaitset, kuigi EL ei ole seda teinud; tunneb suurt muret selle pärast, et Ühendkuningriigi antud andmekaitse piisavuse staatus tooks seetõttu kaasa ELi reeglitest möödaminemise andmete edastamisel riikidele või territooriumidele, kus kehtivat kaitset ei peeta ELi õiguse kohaselt piisavaks;

21. võtab teadmiseks, et 1. veebruaril 2021 esitas Ühendkuningriik taotluse ühineda laiaulatusliku ja progressiivse Vaikse ookeani ülese partnerluse lepinguga (CPTTP), eelkõige selleks, et „oleks võimalik kasutada nüüdisaegseid digitaalkaubanduse reegleid, mis võimaldavad andmete vaba liikumist liikmete vahel, kaotavad tarbetud tõkked ettevõtjate tegevuses [jne]“; märgib murega, et CPTTP-l on 11 liiget, kellest kaheksa kohta ei ole EL kaitse piisavuse otsust teinud; on tõsiselt mures ELi kodanike ja elanike isikuandmete võimaliku edasisaatmise pärast nendele riikidele, kui Ühendkuningriigi suhtes tehakse kaitse piisavuse otsus[26];

22. avaldab kahetsust, et komisjon ei hinnanud Suurbritannia ja Põhja-Iiri Ühendkuningriigi ja Jaapani vahel sõlmitud ulatusliku majanduspartnerluslepingu mõju ja võimalikke riske, kuna leping sisaldab isikuandmeid ja andmekaitse taset käsitlevaid sätteid;

23. on mures selle pärast, et kui Ühendkuningriik lisab tulevastesse kaubanduslepingutesse, muu hulgas USA ja Ühendkuningriigi vahelistesse kaubanduslepingutesse, sätted andmete edastamise kohta, kahjustab see isikuandmete kaitse üldmäärusega võimaldatava kaitse taset;

II. Isikuandmete kaitset õiguskaitses käsitlev direktiiv

24. rõhutab, et Ühendkuningriik on esimene riik, mille kohta komisjon on teinud ettepaneku võtta direktiivi (EL) 2016/680 alusel vastu kaitse piisavuse otsus;

25. võtab teadmiseks Ühendkuningriigi piiriülese andmetele juurdepääsu lepingu USAga[27] USA seaduse CLOUD Act alusel, mis hõlbustab andmete edastamist õiguskaitse eesmärgil; on sügavalt mures selle pärast, et lepinguga antakse USA ametiasutustele põhjendamatu juurdepääsu ELi kodanike ja elanike isikuandmetele; jagab Euroopa Andmekaitsenõukogu muret selle pärast, et ELi ja USA vahel sõlmitud raamleping[28], mida kohaldatakse mutatis mutandis, ei pruugi vastata selgete, täpsete ja kättesaadavate reeglite kriteeriumidele isikuandmetele juurdepääsu puhul ega näha piisavalt ette selliseid kaitsemeetmeid, mis oleksid tõhusad ja jõustatavad Ühendkuningriigi õiguse kohaselt;

26. tuletab meelde, et Euroopa Liidu Kohtu otsust C-623/17 tuleb tõlgendada nii, et sellega on vastuolus riiklikud õigusnormid, mis võimaldavad riigiasutusel nõuda elektrooniliste sideteenuste osutajatelt liiklus- ja asukohaandmete üldist ja valimatut edastamist riigi julgeoleku- ja luureasutustele, et kaitsta riigi julgeolekut;

27. märgib, et selles kohtuasjas otsustas kohus, et Ühendkuningriigis 2000. aasta uurimisvolituste reguleerimise seaduse (Regulation of Investigatory Powers Act 2000) alusel toimunud massiline andmekogumine oli ebaseaduslik; juhib tähelepanu asjaolule, et see seadus on nüüdseks asendatud uurimisvolituste seadusega (IPA 2016), et tugevdada vajalikkuse ja proportsionaalsuse põhimõtteid; rõhutab, et IPA 2016 kohaselt tuleb pealtkuulamise suhtes kohaldada kohtulikku järelevalvet ning üksikisikutel on õigus oma andmetele juurde pääseda ja esitada kaebus uurimisvolituste kohta esitatud kaebusi lahendavale kohtule; peab siiski kahetsusväärseks, et IPA 2016 võimaldab jätkuvalt andmete massilist säilitamist;

28. on mures hiljutiste teadete pärast, et Ühendkuningriigi siseministeeriumi IPA 2016 alusel korraldatud katse hõlmab andmete massilise kogumise ja säilitamise kava;

29. tuletab meelde, et oma 12. veebruari 2020. aasta resolutsioonis rõhutas Euroopa Parlament, et „Ühendkuningriigil ei saa olla otsest juurdepääsu ELi infosüsteemide andmetele ning ta ei saa vabadusel, turvalisusel ja õigusel rajaneval alal osaleda ELi ametite juhtimisstruktuurides, ning et mis tahes teabe, sealhulgas isikuandmete jagamisel Ühendkuningriigiga tuleks kohaldada rangeid kaitsemeetmeid, auditi- ja järelevalvetingimusi, sealhulgas ELi õiguses sätestatuga samaväärset isikuandmete kaitse taset“; peab muret tekitavaks puudusi ja rikkumisi selles, kuidas Ühendkuningriik rakendas andmekaitseseadust ajal, mil ta oli veel ELi liige; tuletab meelde, et Ühendkuningriik kopeeris ebaseaduslikult Schengeni infosüsteemi ja säilitas salvestist; osutab tõsiasjale, et kuigi Ühendkuningriigil ei ole enam juurdepääsu Schengeni infosüsteemile, on need rikkumised näidanud, et Ühendkuningriigi ametiasutustele ei saanud liikmesriigiks oleku ajal usaldada ELi kodanike andmeid; avaldab seepärast kahetsust, et komisjonil ei ole õnnestunud täita oma ülesannet aluslepingute täitmise järelevalvajana, kuna komisjon ei ole Ühendkuningriiki piisavalt survestanud viivitamatult neid probleeme nõuetekohaselt ja kiiresti lahendama ja näitama, et Ühendkuningriigile võib usaldada isikuandmete töötlemist kriminaalkuritegude ennetamise, uurimise, tuvastamise või menetlemise või kriminaalkaristuste kohaldamise eesmärgil; tunneb seetõttu muret Ühendkuningriigi õiguskaitseasutustega andmete vahetamise, samuti tõsiasja pärast, et Ühendkuningriik säilitab juurdepääsu ELi õiguskaitse andmebaasidele;

30. väljendab muret 2021. aasta jaanuari teate pärast, mille kohaselt kustutati Ühendkuningriigi politsei arvutisüsteemist kogemata 400 000 karistusregistri kannet; rõhutab, et see ei ärata usaldust Ühendkuningriigi pingutuste vastu tagada õiguskaitse eesmärgil kasutatavate andmete kaitse;

31. märgib, et kaitse piisavuse otsuse eelnõus ei võeta arvesse Ühendkuningriigi tegelikke jälgimistavasid ning see kajastab ebatäpset ja piiratud arusaama sideandmete liikidest, mis kuuluvad Ühendkuningriigi andmete säilitamise ja seadusliku pealtkuulamise volituste alla;

32. juhib tähelepanu asjaolule, et ELi ja Ühendkuningriigi kaubandus- ja koostöölepingus on jaotised DNA, sõrmejälgede ja sõidukite registreerimisandmete vahetamise, broneeringuinfo edastamise ja töötlemise, operatiivteabe valdkonna koostöö ning Europoli ja Eurojustiga tehtava koostöö kohta, mida kohaldatakse olenemata kaitse piisavuse otsusest; tuletab siiski meelde kodanikuvabaduste, justiits- ja siseasjade komisjoni 2021. aasta veebruari arvamuses ELi ja Ühendkuningriigi kaubandus- ja koostöölepingu kohta väljendatud muret seoses Ühendkuningriigile selle lepingu Prümi ja broneeringuinfot käsitlevate jaotiste alusel võimaldatud isikuandmete erikasutuse ja pikema säilitamisega, mis ei ole kooskõlas ELi liikmesriikide isikuandmete kasutamise ja säilitamise viisidega; tuletab meelde õigust esitada hagi Euroopa Kohtule, et kontrollida kavandatava rahvusvahelise lepingu õiguspärasust ja eriti selle vastavust põhiõiguse kaitsele[29];

Järeldused

33. kutsub komisjoni üles tagama ELi ettevõtjatele, et kaitse piisavuse otsusega antakse andmete edastamiseks kindel, piisav ja tulevikku suunatud õiguslik alus; rõhutab, kui oluline on tagada, et kaitse piisavuse otsust peetakse vastuvõetavaks, kui Euroopa Liidu Kohus peaks selle läbi vaatama, ning rõhutab, et seetõttu tuleks arvesse võtta kõiki Euroopa Andmekaitsenõukogu arvamuses esitatud soovitusi;

34. on seisukohal, et kui komisjon võtab vastu kaks rakendusotsust, mis ei ole kooskõlas ELi õigusega, ega võta arvesse kõiki käesolevas resolutsioonis väljendatud probleeme, ületab komisjon määrusega (EL) 2016/679 ja direktiiviga (EL) 2016/680 antud rakendamisvolitusi; on seepärast vastu kahele rakendusaktile, kuna rakendusotsuste eelnõud ei ole kooskõlas ELi õigusega;

35. kutsub komisjoni üles muutma kahte komisjoni rakendusotsuse eelnõud, et viia need täielikku kooskõlla ELi õiguse ja kohtupraktikaga;

36. nõuab, et riikide andmekaitseasutused peataksid selliste isikuandmete edastamise, millele Ühendkuningriigi luureasutused võivad valimatult juurde pääseda, juhul kui komisjon võtab Ühendkuningriiki puudutava piisavusotsuse vastu enne seda, kui Ühendkuningriik on lahendanud eelmainitud probleemid;

37. kutsub komisjoni ja Ühendkuningriigi pädevaid asutusi üles looma tegevuskava selleks, et võimalikult kiiresti tegelda Euroopa Andmekaitsebüroo poolt kindlaks tehtud puuduste ja muude lahendamata probleemidega Ühendkuningriigi andmekaitses, mis peab olema lõpliku piisavusotsuse eeltingimus;

38. kutsub komisjoni üles jätkama andmekaitse taseme, samuti massilist jälgimist käsitlevate seaduste ja tavade hoolikat jälgimist Ühendkuningriigis; osutab sellele, et isikuandmete kaitse üldmääruse 5. peatükis on muid õiguslikke võimalusi isikuandmete edastamiseks Ühendkuningriigile; tuletab meelde, et vastavalt Euroopa Andmekaitsebüroo juhistele peavad edastamised, mis tuginevad vastavalt isikuandmete kaitse üldmääruse artiklile 49 tehtavatele eranditele konkreetsetes olukordades, olema erandlikud;

39. peab kahetsusväärseks, et komisjon on ignoreerinud parlamendi üleskutset peatada andmekaitseraamistik Privacy Shield seniks, kuni USA ametiasutused vastavad selle tingimustele, ja on selle asemel alati eelistanud olukorda jälgida, ilma et see annaks konkreetseid tulemusi üksikisikute andmete kaitsemisel ja ettevõtjatele õiguskindluse tagamisel; soovitab komisjonil tungivalt õppida minevikus tehtud vigadest, kui ignoreeriti parlamendi ja ekspertide üleskutseid varasemate piisavusotsuste vastuvõtmisel ja jälgimisel, ning mitte jätta ELi andmekaitseõiguse nõuetekohast rakendamist Euroopa Liidu Kohtu ülesandeks, kui üksikisikud asja kohtusse kaebavad;

40. kutsub komisjoni jälgima tähelepanelikult Ühendkuningriigis andmekaitseõigust ja -tavasid, teavitama viivitamata Euroopa Parlamenti ja konsulteerima temaga Ühendkuningriigi andmekaitsekorra tulevaste muudatuste korral ning andma Euroopa Parlamendile kontrollirolli uues institutsioonilises raamistikus, sealhulgas sellistes asjaomastes organites nagu õiguskaitse ja õigusalase koostöö erikomitee;

°

° °

41. teeb presidendile ülesandeks edastada käesolev resolutsioon komisjonile, liikmesriikidele ja Ühendkuningriigi valitsusele.

Viimane päevakajastamine: 17. mai 2021
Õigusteave - Privaatsuspoliitika