NÁVRH UZNESENIA o primeranosti ochrany poskytovanej rámcom ochrany osobných údajov medzi EÚ a USA
5.5.2023 - (2023/2501(RSP))
v súlade s článkom 132 ods. 2 rokovacieho poriadku
Juan Fernando López Aguilar
v mene Výboru pre občianske slobody, spravodlivosť a vnútorné veci
B9‑0234/2023
Uznesenie Európskeho parlamentu o primeranosti ochrany poskytovanej rámcom ochrany osobných údajov medzi EÚ a USA
Európsky parlament,
– so zreteľom na Chartu základných práv Európskej únie (ďalej len „charta“), najmä na jej články 7, 8, 16, 47 a 52,
– so zreteľom na rozsudok Súdneho dvora Európskej únie zo 6. októbra 2015 vo veci C-362/14 Maximillian Schrems/Data Protection Commissioner (Schrems I)[1],
– so zreteľom na rozsudok Súdneho dvora Európskej únie zo 16. júla 2020 vo veci C-311/18 Data Protection Commissioner/Facebook Ireland Limited a Maximillian Schrems (Schrems II)[2],
– so zreteľom na svoje vyšetrovanie vo veci odhalení Edwarda Snowdena týkajúcich sa hromadného elektronického sledovania občanov EÚ vrátane zistení, ktoré sú uvedené v uznesení Parlamentu z 12. marca 2014 o programe sledovania Národnej bezpečnostnej agentúry Spojených štátov amerických, orgánoch sledovania v jednotlivých členských štátoch a ich vplyve na základné práva občanov EÚ a na transatlantickú spoluprácu v oblasti spravodlivosti a vnútorných vecí[3],
– so zreteľom na svoje uznesenie z 26. mája 2016 o transatlantických tokoch údajov[4],
– so zreteľom na svoje uznesenie zo 6. apríla 2017 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA[5],
– so zreteľom na svoje uznesenie z 5. júla 2018 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA[6],
– so zreteľom na svoje uznesenie z 20. mája 2021 o rozsudku Súdneho dvora Európskej únie zo 16. júla 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Schrems II), vec C-311/18[7],
– so zreteľom na návrh vykonávacieho rozhodnutia Komisie, v súlade s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679, o primeranej úrovni ochrany osobných údajov podľa rámca ochrany osobných údajov medzi EÚ a USA,
– so zreteľom na dekrét prezidenta USA č. 14086 zo 7. októbra 2022 o posilnení záruk pre činnosti signálového spravodajstva USA,
– so zreteľom na dekrét prezidenta USA č. 12333 zo 4. decembra 1981 o posilnení záruk pre činnosti signálového spravodajstva USA,
– so zreteľom na nariadenie o odvolacom súde pre ochranu údajov (DPRC), ktoré vydal generálny prokurátor USA,
– so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)[8], a najmä na jeho kapitolu V,
– so zreteľom na smernicu Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúcu sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií,[9]
– so zreteľom na referenčné kritérium primeranosti prijaté pracovnou skupinou zriadenou podľa článku 29 (WP 254 rev.01), ako ho podporil Európsky výbor pre ochranu údajov (EDPB), a so zreteľom na odporúčania EDPB č. 01/2020 o opatreniach, ktoré dopĺňajú nástroje na prenos s cieľom zabezpečiť súlad s úrovňou ochrany osobných údajov v EÚ, a na odporúčanie EDPB č. 02/2020 o európskych základných zárukách týkajúcich sa opatrení sledovania,
– so zreteľom na stanovisko Európskeho výboru pre ochranu údajov č. 5/2023 z 28. februára 2023 k návrhu vykonávacieho rozhodnutia Európskej komisie o primeranej ochrane osobných údajov podľa rámca EÚ a USA pre ochranu osobných údajov,
– so zreteľom na článok 132 ods. 2 rokovacieho poriadku,
A. keďže v rozsudku vo veci Schrems I SDEÚ zrušil rozhodnutie Komisie z 26. júla 2000 v súlade so smernicou 95/46/ES o primeranosti ochrany poskytovanej zásadami bezpečného prístavu a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA[10] a poukázal na to, že nediferencovaný prístup spravodajských orgánov k obsahu elektronických komunikácií porušuje podstatu základného práva na dôvernosť komunikácií stanoveného v článku 7 charty; keďže Súdny dvor poukázal na to, že na účely rozhodnutia o primeranosti nemusí tretia krajina zabezpečiť rovnakú, ale „v podstate rovnocennú“ úroveň ochrany, akú zaručuje právo EÚ, čo možno zabezpečiť rôznymi prostriedkami;
B. keďže SDEÚ v rozsudku vo veci Schrems II zrušil vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 z 12. júla 2016 podľa smernice 95/46/ES o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA[11] a dospel k záveru, že osobám, ktoré nie sú štátnymi príslušníkmi USA, neposkytuje dostatočné právne prostriedky nápravy proti hromadnému sledovaniu a že sa tým porušuje podstata základného práva na právny prostriedok nápravy stanoveného v článku 47 charty;
C. keďže prezident USA podpísal 7. októbra 2022 dekrét č. 14086 o posilnení záruk pre činnosti signálového spravodajstva Spojených štátov (ďalej len „prezidentský dekrét č. 14086“),
D. keďže 13. decembra 2022 Komisia začala proces prijímania rozhodnutia o primeranosti rámca ochrany osobných údajov medzi EÚ a USA;
E. keďže pri skúmaní úrovne ochrany poskytovanej treťou krajinou je Komisia povinná posúdiť obsah pravidiel platných v danej krajine, ktoré vyplývajú z jej vnútroštátneho práva alebo jej medzinárodných záväzkov, ako aj postupy určené na zabezpečenie súladu s týmito pravidlami; keďže ak by sa takéto posúdenie považovalo za neuspokojivé z hľadiska primeranosti a rovnocennosti, Komisia by sa mala zdržať prijatia rozhodnutia o primeranosti, pretože je podmienené prijatím príslušných záruk; keďže Komisia je povinná pozastaviť rozhodnutie o primeranosti, keď už neexistuje rovnocennosť; keďže vo všeobecnom nariadení o ochrane údajov (GDPR) sa vyžaduje, aby príslušné posúdenie bolo nepretržitým procesom, v ktorom sa zohľadnia zmeny platných pravidiel a postupov;
F. keďže schopnosť prenášať osobné údaje cez hranice môže byť kľúčovou hnacou silou inovácií, produktivity a hospodárskej konkurencieschopnosti, pokiaľ sú poskytnuté primerané záruky; keďže takýto prenos by sa mal uskutočňovať pri plnom rešpektovaní práva na ochranu osobných údajov a práva na súkromie; keďže jedným z cieľov EÚ je ochrana základných práv, ako sú zakotvené v charte;
G. keďže všeobecné nariadenie o ochrane údajov sa vzťahuje na všetky spoločnosti, ktoré spracúvajú osobné údaje dotknutých osôb, ktoré sa nachádzajú v EÚ, ak sa činnosti spracúvania týkajú ponuky tovaru alebo služieb takýmto dotknutým osobám v Únii alebo monitorovania ich správania, pokiaľ k tomuto správaniu dochádza v Únii;
H. keďže hromadné sledovanie vrátane hromadného zberu údajov štátnymi aktérmi poškodzuje dôveru európskych občanov a podnikov k digitálnym službám a v širšom zmysle aj k digitálnemu hospodárstvu; keďže agentúry USA majú zakázané zbierať hromadné údaje o občanoch USA žijúcich v Spojených štátoch, tento zákaz sa však nevzťahuje na občanov EÚ; keďže hromadné sledovanie štátnymi aktérmi poškodzuje dôveru európskych občanov a podnikov k digitálnym službám a v širšom zmysle aj k digitálnemu hospodárstvu;
I. keďže prevádzkovatelia by mali vždy niesť zodpovednosť za dodržiavanie povinností týkajúcich sa ochrany údajov vrátane preukazovania súladu v súvislosti s akýmkoľvek spracúvaním údajov bez ohľadu na jeho povahu, rozsah, kontext, účely a riziká pre dotknuté osoby;
J. keďže v USA neexistujú žiadne federálne právne predpisy o ochrane súkromia a údajov; keďže prezidentským dekrétom č. 14086 sa zavádzajú vymedzenia kľúčových pojmov ochrany údajov, ako sú zásady nevyhnutnosti a proporcionality, čo predstavuje významný krok vpred v porovnaní s predchádzajúcimi mechanizmami prenosu; keďže spôsob, akým sa tieto zásady vykladajú, si vyžaduje dôkladné monitorovanie; keďže komplexné posúdenie spôsobu uplatňovania týchto zásad v právnom poriadku USA nemusí byť možné z dôvodu nedostatočnej transparentnosti postupov odvolacieho súdu pre ochranu údajov (DPRC);
1. pripomína, že rešpektovanie súkromného a rodinného života a ochrana osobných údajov je právne vynútiteľným základným právom zakotveným v zmluvách, v charte a v Európskom dohovore o ľudských právach, ako aj v zákonoch a judikatúre; zdôrazňuje, že rozhodnutia o primeranosti podľa GDPR sú právne, a nie politické rozhodnutia a že právo na súkromie a ochranu údajov nemožno vyvážiť obchodnými alebo politickými záujmami, ale len inými základnými právami;
2. berie na vedomie úsilie vynaložené v rámci prezidentského dekrétu č. 14086 na stanovenie obmedzení pre činnosti signálového spravodajstva USA tým, že sa do právneho rámca USA v oblasti signálového spravodajstva zavádzajú zásady proporcionality a nevyhnutnosti a uvádza sa zoznam legitímnych cieľov pre takéto činnosti; poznamenáva, že tieto zásady by boli záväzné pre všetky spravodajské služby USA a dotknuté osoby by sa ich mohli dovolávať v rámci postupu stanoveného v prezidentskom dekréte č. 14086; zdôrazňuje, že tento prezidentský dekrét prináša významné zlepšenia, ktorých cieľom je zabezpečiť, aby tieto zásady boli v podstate rovnocenné s právom EÚ; poukazuje však na to, že tieto zásady sú dlhodobými kľúčovými prvkami režimu EÚ na ochranu údajov a že ich vecné vymedzenia v prezidentskom dekréte č. 14086 nie sú v súlade s ich vymedzením podľa práva EÚ a s ich výkladom Súdnym dvorom EÚ; okrem toho poukazuje na skutočnosť, že na účely rámca ochrany osobných údajov medzi EÚ a USA by sa tieto zásady vykladali výlučne s ohľadom na právne predpisy a právne tradície USA, a nie EÚ; poznamenáva, že v prezidentskom dekréte č. 14086 sa uvádza 12 legitímnych cieľov, ktoré možno sledovať pri získavaní informácií pomocou zachytávania signálov, a 5 cieľov, na ktoré je získavanie informácií pomocou zachytávania signálov zakázané; poznamenáva, že prezident USA môže zoznam legitímnych cieľov národnej bezpečnosti zmeniť a rozšíriť, a to bez povinnosti zverejniť príslušné aktualizácie či informovať partnerov z EÚ; poukazuje na to, že v prezidentskom dekréte č. 14086 sa vyžaduje, aby sa signálové spravodajstvo vykonávalo spôsobom, ktorý je nevyhnutný a primeraný „potvrdenej spravodajskej priorite“, čo sa javí ako široký výklad primeranosti; zdôrazňuje, že na komplexné posúdenie zásad proporcionality a nevyhnutnosti v kontexte prezidentského dekrétu č. 14086 by bolo potrebné ich sfunkčniť a zaviesť do politík a postupov spravodajských agentúr USA; vyjadruje však znepokojenie nad tým, že sa nevyžaduje, aby analytici pri každom rozhodnutí o sledovaní vykonali posúdenie proporcionality;
3. poznamenáva, že prezidentský dekrét č. 14086 v rámci signálového spravodajstva umožňuje hromadný zber údajov, a to aj pokiaľ ide o obsah komunikácie; pripomína, že v prezidentskom dekréte č. 14086 sa stanovuje, že cielený zber by sa mal uprednostňovať pred hromadným zberom; pripomína, že hoci prezidentský dekrét č. 14086 obsahuje v prípade hromadného zberu údajov niekoľko záruk, nestanovuje sa v ňom nezávislé predchádzajúce povolenie hromadného zberu, ktoré sa nestanovuje ani v prezidentskom dekréte č. 12333; pripomína, že Súdny dvor EÚ v rozsudku vo veci Schrems II vysvetlil, že sledovanie zo strany USA nespĺňa právne predpisy EÚ, pretože sa nevyžaduje „objektívne kritérium“, ktoré „môže odôvodniť“ zásah vlády do súkromia; poukazuje na to, že by to ohrozilo účel cieľov ako záruky na obmedzenie spravodajských činností USA; pripomína, že po prezidentskej politickej smernici PPD-28, ktorá tvorí základ rozhodnutia o primeranosti štítu na ochranu osobných údajov, Rada pre dohľad nad ochranou súkromia a občianskych slobôd (PCLOB) vydala správu o preskúmaní[12] a dospela k záveru, že smernicou PPD-28 sa v podstate zachovali existujúce postupy spravodajských služieb; vyjadruje presvedčenie, že smernica PPD-28 nezastaví hromadné elektronické sledovanie občanov EÚ orgánmi USA;
4. zdieľa znepokojenie EDPB nad tým, že prezidentský dekrét č. 14086 neposkytuje dostatočné záruky v prípade hromadného zberu údajov, a to najmä nad chýbajúcim nezávislým predchádzajúcim povolením, jasnými a prísnymi pravidlami uchovávania údajov, „dočasným“ hromadným zberom a nedostatkom prísnejších záruk týkajúcich sa šírenia hromadne zozbieraných údajov; poukazuje najmä na konkrétnu obavu, že bez ďalšieho obmedzenia informácií poskytovaných orgánom USA by orgány presadzovania práva mali prístup k údajom, ku ktorým by im inak bol prístup zakázaný; pripomína, že ďalšie prenosy účinne znásobujú riziká pre ochranu údajov; konštatuje, že EDPB vyzval na zahrnutie právne záväznej povinnosti analyzovať a určiť, či tretia krajina ponúka prijateľnú minimálnu úroveň záruk;
5. poukazuje na to, že prezidentský dekrét č. 14086 sa nevzťahuje na údaje, ku ktorým majú verejné orgány prístup inými prostriedkami, napríklad na základe zákona USA o cloude (Cloud Act) alebo vlasteneckého zákona USA (Patriot Act), prostredníctvom nákupu komerčných údajov alebo dohodami o dobrovoľnom spoločnom využívaní údajov;
6. poukazuje na to, že základným problémom je, že na základe právnych predpisov USA sú sledované osoby, ktoré nie sú občanmi USA, a že európski občania nemajú možnosť požadovať v tejto súvislosti účinnú súdnu nápravu; žiada, aby občania EÚ mali rovnaké práva a výsady ako občania USA, pokiaľ ide o činnosť spravodajských služieb USA a prístup k súdom USA;
7. poznamenáva, že v súlade s výkladom USA sa pojem „signálové spravodajstvo“ vzťahuje na všetky metódy prístupu k údajom stanovené v zákone o dohľade nad zahraničnou rozviedkou (FISA) vrátane tých, ktoré poskytujú poskytovatelia „vzdialenej počítačovej služby“ a ktoré boli doplnené do článku 1881a novely zákona FISA v roku 2008; vyzýva Komisiu, aby v rámci budúcich rokovaní objasnila vymedzenie a rozsah pojmu „signálové spravodajstvo“ v prezidentskom dekréte č. 14086; pripomína, že podľa článku 702 zákona FISA vláda USA stále tvrdí, že je oprávnená zamerať sa na všetky osoby v zahraničí, ktoré nie sú občanmi USA, s cieľom získať zahraničné spravodajské informácie, ktoré sú široko vymedzené;
8. poukazuje na to, že bol vytvorený nový mechanizmus nápravy, ktorý umožňuje dotknutým osobám z EÚ podať sťažnosť; zároveň zdôrazňuje, že rozhodnutia DPRC by boli utajené a neboli by zverejnené ani prístupné sťažovateľovi, ktorý by bol informovaný len o tom, že pri preskúmaní sa buď nezistilo žiadne skryté porušenie, alebo že DPRC vydal rozhodnutie, ktoré si vyžaduje primerané opatrenia, čím by sa narušilo jeho právo na prístup k svojim údajom alebo na ich opravu; je znepokojený tým, že to znamená, že osoba, ktorá podáva žalobu, by nemala možnosť byť informovaná o vecnom výsledku konania a rozhodnutie by bolo konečné; konštatuje, že navrhovaný postup nápravy neumožňuje odvolať sa na federálnom súde, a preto okrem iného sťažovateľovi neposkytuje žiadnu možnosť domáhať sa náhrady škody; vyzýva Komisiu, aby pokračovala v rokovaniach so Spojenými štátmi s cieľom dosiahnuť potrebné zmeny na riešenie týchto problémov;
9. poznamenáva, že v prezidentskom dekréte č. 14086 sa zavádza niekoľko záruk na zabezpečenie nezávislosti sudcov DPRC, ako to vo svojom stanovisku uznal aj EDPB; pripomína, že DPRC je súčasťou výkonnej moci, a nie súdnictva, a jeho sudcovia sú menovaní na obdobie štyroch rokov; zdôrazňuje, že prezident USA môže zrušiť rozhodnutia DPRC, a to aj v utajení; poukazuje na to, že hoci nový mechanizmus nápravy neumožňuje generálnemu prokurátorovi USA odvolať sudcov DPRC ani vykonávať nad nimi dohľad, neovplyvňuje to príslušné právomoci prezidenta USA; zdôrazňuje, že pokiaľ môže prezident USA odvolávať sudcov DPRC počas ich funkčného obdobia, nie je zaručená nezávislosť týchto sudcov; poznamenáva, že v prípade prijatia by Komisia musela pozorne monitorovať uplatňovanie záruk na zabezpečenie nezávislosti v praxi; poukazuje na to, že sťažovateľa by zastupoval „osobitný advokát“, ktorého určí DPRC a na ktorého sa nevzťahuje požiadavka nezávislosti; vyzýva Komisiu, aby v prípade prijatia rozhodnutia o primeranosti zabezpečila zavedenie požiadavky nezávislosti; usudzuje, že DPRC v súčasnej podobe nespĺňa normy nezávislosti a nestrannosti uvedené v článku 47 charty; poznamenáva, že hoci PCLOB nezávisle preskúma fungovanie nového procesu nápravy, rozsah tohto preskúmania bude obmedzený;
10. konštatuje, že USA stanovili nový mechanizmus nápravy v otázkach týkajúcich sa prístupu verejných orgánov k údajom, ale naďalej pretrvávajú otázky, pokiaľ ide o účinnosť prostriedkov nápravy, ktoré sú k dispozícii v obchodných veciach a podľa rozhodnutia o primeranosti sa nemenia; poznamenáva, že mechanizmy zamerané na vyriešenie týchto otázok sú vo veľkej miere ponechané na uváženie spoločností, ktoré si môžu zvoliť alternatívne spôsoby nápravy, napr. mechanizmy riešenia sporov alebo využívanie programov spoločností na ochranu súkromia; vyzýva Komisiu, aby v prípade prijatia rozhodnutia o primeranosti pozorne monitorovala účinnosť týchto mechanizmov nápravy;
11. poznamenáva, že európske podniky potrebujú právnu istotu a zaslúžia si ju; zdôrazňuje, že po sebe nasledujúce mechanizmy prenosu údajov, ktoré Súdny dvor EÚ neskôr zrušil, spôsobili európskym podnikom dodatočné náklady; uznáva preto potrebu zabezpečiť právnu istotu a zabrániť situácii, keď sa podniky musia neustále prispôsobovať novým právnym riešeniam, čo môže byť obzvlášť zaťažujúce pre mikropodniky a malé a stredné podniky; vyjadruje znepokojenie nad tým, že Súdny dvor by mohol rozhodnutie o primeranosti (tak ako jeho predchodcov) v prípade jeho prijatia zrušiť, čo by viedlo k pretrvávajúcemu nedostatku právnej istoty, ďalším nákladom a narušeniu pre európskych občanov a podniky;
12. poukazuje na to, že na rozdiel od všetkých ostatných tretích krajín, v súvislosti s ktorými bolo vydané rozhodnutie o primeranosti ochrany podľa všeobecného nariadenia o ochrane údajov, v Spojených štátoch stále chýba federálny zákon o ochrane údajov; poukazuje na to, že uplatňovanie prezidentského dekrétu č. 14086 nie je jasné, presné ani predvídateľné, pretože prezident USA ho môže kedykoľvek zmeniť alebo zrušiť a zároveň je oprávnený vydávať tajné prezidentské dekréty; poznamenáva, že preskúmanie záveru o primeranosti by sa uskutočnilo po uplynutí jedného roka odo dňa oznámenia rozhodnutia o primeranosti členským štátom a následne prinajmenšom každé štyri roky; vyzýva Komisiu, aby v prípade prijatia akéhokoľvek budúceho rozhodnutia o primeranosti vykonávala následné preskúmania aspoň každé tri roky, ako sa požaduje v stanovisku EDPB; vyjadruje znepokojenie nad chýbajúcou doložkou o ukončení platnosti, podľa ktorej by platnosť rozhodnutia automaticky uplynula štyri roky po nadobudnutí jeho účinnosti a Komisia by potom musela prijať nové rozhodnutie; vyjadruje znepokojenie nad tým, že chýbajúca doložka o ukončení platnosti v tomto rozhodnutí o primeranosti predstavuje zhovievavejší prístup k Spojeným štátom, hoci rámec USA na ochranu súkromia je založený na prezidentskom dekréte, ktorý umožňuje tajné zmeny a ktorý možno zmeniť bez konzultácie s Kongresom alebo bez informovania partnerov z EÚ; vyzýva preto Komisiu, aby takúto doložku zaviedla;
13. zdieľa obavy vyjadrené EDPB, pokiaľ ide o práva dotknutých osôb, chýbajúce kľúčové vymedzenia pojmov a osobitné pravidlá týkajúce sa automatizovaného rozhodovania a profilovania, nejasnosti v súvislosti s uplatňovaním zásad rámca ochrany osobných údajov na spracovateľov a potrebu vyhnúť sa ďalším prenosom oslabujúcim úroveň ochrany;
14. zdôrazňuje, že rozhodnutia o primeranosti musia zahŕňať jasné a prísne mechanizmy monitorovania a preskúmania s cieľom zabezpečiť, aby rozhodnutia boli nadčasové alebo podľa potreby zrušené alebo zmenené a vždy sa zaručilo základné právo občanov EÚ na ochranu údajov; zdôrazňuje, že každé budúce rozhodnutie o primeranosti by malo podliehať priebežnému preskúmaniu s prihliadnutím na právny a praktický vývoj v USA;
Závery
15. pripomína, že Parlament vo svojom uznesení z 20. mája 2021 vyzval Komisiu, aby neprijala nové rozhodnutie o primeranosti vo vzťahu k Spojeným štátom, pokiaľ sa nezavedú zmysluplné reformy, najmä na účely národnej bezpečnosti a spravodajstva; nepovažuje prezidentský dekrét č. 14086 za dostatočne zmysluplný; opakuje, že Komisia by nemala ponechať úlohu ochrany základných práv občanov EÚ Súdnemu dvoru Európskej únie v nadväznosti na sťažnosti jednotlivých občanov;
16. pripomína, že Komisia musí posúdiť primeranosť tretej krajiny na základe platných právnych predpisov a postupov nielen z hľadiska vecnej podstaty, ale aj uplatňovania v praxi, ako sa stanovuje v rozsudkoch vo veci Schrems I a Schrems II a vo všeobecnom nariadení o ochrane údajov (odôvodnenie 104);
17. poznamenáva, že zásady rámca na ochranu osobných údajov, ktoré vydalo Ministerstvo obchodu USA, neboli v porovnaní so zásadami v rámci štítu na ochranu osobných údajov dostatočne zmenené tak, aby poskytovali ochranu v zásade rovnocennú ochrane, akú poskytuje všeobecné nariadenie o ochrane údajov;
18. poznamenáva, že zatiaľ čo Spojené štáty prijímajú dôležitý záväzok zlepšiť prístup k prostriedkom nápravy a pravidlá spracúvania údajov verejnými orgánmi, spravodajské služby USA musia do októbra 2023 aktualizovať svoje politiky a postupy v súlade so záväzkom vyplývajúcim z prezidentského dekrétu č. 14086 a že generálny advokát USA by ešte mal označiť EÚ a jej členské štáty za krajiny, ktoré spĺňajú podmienky na prístup k možnosti nápravy, ktorá je dostupná v rámci DPRC; zdôrazňuje, že to znamená, že Komisia nebola schopná „v praxi“ posúdiť účinnosť navrhovaných prostriedkov nápravy a navrhovaných opatrení týkajúcich sa prístupu k údajom; usudzuje preto, že Komisia môže pristúpiť k ďalšiemu kroku, ktorým je rozhodnutie o primeranosti, až po tom, ako Spojené štáty tieto lehoty a míľniky najskôr dokončia, aby sa zabezpečilo splnenie záväzkov v praxi;
19. usudzuje, že rámec ochrany osobných údajov medzi EÚ a USA nezabezpečuje skutočne rovnocennú úroveň ochrany; vyzýva Komisiu, aby pokračovala v rokovaniach so svojimi partnermi v USA s cieľom vytvoriť mechanizmus, ktorý by takúto rovnocennosť zabezpečil a poskytoval by primeranú úroveň ochrany vyžadovanú právnymi predpismi Únie o ochrane údajov a chartou, ako ich vykladá Súdny dvor EÚ; vyzýva Komisiu, aby neprijala záver o primeranosti, kým sa v plnej miere nevykonajú všetky odporúčania uvedené v tomto uznesení a v stanovisku EDPB;
20. vyzýva Komisiu, aby konala v záujme podnikov a občanov EÚ a zabezpečila, že navrhovaný rámec poskytne pevný, dostatočný a na budúcnosť orientovaný právny základ pre prenosy údajov medzi EÚ a USA; očakáva, že každé rozhodnutie o primeranosti, ak bude prijaté, bude opäť napadnuté na Súdnom dvore EÚ; zdôrazňuje zodpovednosť Komisie za zlyhanie pri ochrane práv občanov EÚ v prípade, že Súdny dvor EÚ opäť zruší rozhodnutie o primeranosti;
°
° °
21. poveruje svoju predsedníčku, aby toto uznesenie postúpila Rade, Komisii a prezidentovi a Kongresu Spojených štátov amerických.
- [1] Rozsudok zo 6. októbra 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, EU:C:2015:650.
- [2] Rozsudok zo 16. júla 2020, Data Protection Commissioner/Facebook Ireland Limited a Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
- [3] Ú. v. EÚ C 378, 9.11.2017, s. 104.
- [4] Ú. v. EÚ C 76, 28.2.2018, s. 82.
- [5] Ú. v. EÚ C 298, 23.8.2018, s. 73.
- [6] Ú. v. EÚ C 118, 8.4.2020, s. 133.
- [7] Ú. v. EÚ C 15, 12.1.2022, s. 176.
- [8] Ú. v. EÚ L 119, 4.5.2016, s. 1.
- [9] Ú. v. ES L 201, 31.7.2002, s. 37.
- [10] Ú. v. ES L 215, 25.8.2000, s. 7.
- [11] Ú. v. EÚ L 207, 1.8.2016, s. 1.
- [12] PCLOB, Report to the President on the Implementation of Presidential Directive 28: Signals Intelligence Activities (Správa pre prezidenta o vykonávaní prezidentskej smernice 28: činnosti signálového spravodajstva).