Parlament Europejski,

–  uwzględniając Traktat o Unii Europejskiej (TUE), Traktat o funkcjonowaniu Unii Europejskiej (TFUE) oraz art. 6, 7, 8, 11, 16, 47 i 52 Karty praw podstawowych Unii Europejskiej,

–  uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwaną dalej „dyrektywą o ochronie danych”)(1),

–  uwzględniając decyzję ramową Rady 2008/977/WSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych(2),

–  uwzględniając rozporządzenie (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („ogólne rozporządzenie o ochronie danych”) oraz dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW(3),

–  uwzględniając decyzję Komisji 2000/520/WE z dnia 26 lipca 2000 r. („decyzja w sprawie 'bezpiecznej przystani'”),

–  uwzględniając komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 27 listopada 2013 r. zatytułowany „Odbudowa zaufania do przepływu danych między Unią Europejską a Stanami Zjednoczonymi” (COM(2013)0846),

–  uwzględniając komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 27 listopada 2013 r. w sprawie funkcjonowania zasad bezpiecznego transferu danych osobowych z punktu widzenia obywateli UE i przedsiębiorstw z siedzibą w UE („komunikat w sprawie 'bezpiecznej przystani'”) (COM(2013)0847),

–  uwzględniając wyrok Europejskiego Trybunału Sprawiedliwości z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner (EU:C:2015:650),

–  uwzględniając komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 6 listopada 2015 r. w sprawie przekazywania danych osobowych z UE do Stanów Zjednoczonych na mocy dyrektywy 95/46/WE w następstwie wyroku Trybunału Sprawiedliwości w sprawie C-362/14 (Schrems) (COM(2015)0566),

–  uwzględniając oświadczenie Grupy Roboczej Art. 29 z dnia 3 lutego 2016 r. w sprawie konsekwencji wyroku w sprawie Schrems,

–  uwzględniając ustawę o sądowych środkach odwoławczych z 2015 r. podpisaną przez prezydenta B. Obamę dnia 24 lutego 2016 r. (H.R.1428),

–  uwzględniając amerykańską ustawę o wolności z 2015 r.(4),

–  uwzględniając reformę amerykańskich przepisów w zakresie rozpoznania radioelektronicznego określoną w rozporządzeniu prezydenckim nr 28 (PPD-28)(5),

–  uwzględniając komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 29 lutego 2016 r. zatytułowany „Transatlantyckie przepływy danych: odbudowa zaufania dzięki ustanowieniu silniejszych gwarancji ” (COM(2016)0117),

–  uwzględniając opinię Grupy Roboczej Art. 29 nr 01/2016 z dnia 13 kwietnia 2016 r. dotyczącą projektu decyzji w sprawie odpowiedniej ochrony zapewnianej przez Tarczę Prywatności UE-USA,

–  uwzględniając swoją rezolucję z dnia 12 marca 2014 r. w sprawie realizowanych przez NSA amerykańskich programów nadzoru, organów nadzoru w różnych państwach członkowskich oraz ich wpływu na prawa podstawowe obywateli UE oraz na współpracę transatlantycką w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych(6), a także rezolucję z dnia 29 października 2015 r. w sprawie działań następczych w związku z rezolucją Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie masowej inwigilacji elektronicznej obywateli UE(7),

–  uwzględniając art. 123 ust. 2 i 4 Regulaminu,

A.  mając na uwadze, że w wyroku z dnia 6 października 2015 r. w sprawie C-362/14 (Maximillian Schrems przeciwko Data Protection Commissioner) Europejski Trybunał Sprawiedliwości stwierdził nieważność decyzji w sprawie „bezpiecznej przystani” i wyjaśnił, że odpowiedni poziom ochrony w państwie trzecim należy rozumieć jako „merytorycznie równoważny” poziomowi ochrony gwarantowanemu w Unii, co pociąga za sobą potrzebę zakończenia negocjacji w sprawie Tarczy Prywatności UE-USA, tak aby zapewnić pewność prawa co do tego, jak należy przekazywać dane osobowe z UE do USA;

B.  mając na uwadze, że ochrona danych oznacza ochronę osób, których dotyczą przetwarzane informacje, oraz mając na uwadze, że taka ochrona jest jednym z podstawowych praw uznawanych przez Unię (art. 8 karty praw podstawowych oraz art. 16 Traktatu o funkcjonowaniu Unii Europejskiej);

C.  mając na uwadze, że ochrona danych osobowych, poszanowanie życia prywatnego i komunikowania się, prawo do bezpieczeństwa, prawo do otrzymywania i przekazywania informacji oraz swoboda prowadzenia działalności gospodarczej są prawami podstawowymi, które należy chronić i które muszą być zrównoważone;

D.  mając na uwadze, że analizując poziom ochrony zapewnianej przez państwo trzecie, Komisja zobowiązana jest dokonać oceny treści odnośnych przepisów mających zastosowanie w tym kraju na mocy jego prawa krajowego lub jego zobowiązań międzynarodowych, a także praktyk mających na celu zapewnienie zgodności z tymi przepisami, jako że na mocy art. 25 ust. 2 dyrektywy o ochronie danych musi wziąć ona pod uwagę wszystkie okoliczności związane z przekazaniem danych osobowych państwu trzeciemu; mając na uwadze, że ocena ta musi odnosić się nie tylko do przepisów i praktyk związanych z ochroną danych osobowych do celów komercyjnych i prywatnych, ale musi również obejmować wszystkie aspekty ram prawnych mających zastosowanie do tego kraju lub sektora, w szczególności – lecz nie tylko – egzekwowanie prawa, bezpieczeństwo narodowe i poszanowanie praw podstawowych;

E.  mając na uwadze, że małe i średnie przedsiębiorstwa (MŚP) są najszybciej rozwijającym się sektorem gospodarki UE i w coraz większym stopniu są uzależnione od swobodnego przepływu danych; mając na uwadze, że MŚP stanowiły 60% przedsiębiorstw stosujących umowę o bezpiecznym transferze danych osobowych („bezpiecznej przystani”), która pozwoliła im na korzystanie z usprawnionych i racjonalnych pod względem kosztów procedur zapewniania zgodności;

F.  mając na uwadze, że gospodarki USA i UE odpowiadają za ponad 50% globalnego PKB, 25% światowego eksportu i ponad 30% światowego importu; mając na uwadze, że stosunki gospodarcze USA-UE są wyceniane najwyżej na świecie, ponieważ całkowita wartość transatlantyckiej wymiany handlowej w 2014 r. wyniosła 1,09 bln USD w porównaniu z całkowitą wartością wymiany handlowej USA-Kanada i USA-Chiny, która wyniosła odpowiednio 741 mld USD i 646 mld USD;

G.  mając na uwadze, że wolumen transgranicznego przepływu danych pomiędzy Stanami Zjednoczonymi a Europą jest największy na świecie – 50% większy niż wolumen przepływu danych między USA a Azją i niemal dwukrotnie większy niż wolumen przepływu danych między USA a Ameryką Łacińską; mając również na uwadze, że przekazywanie i wymiana danych osobowych to podstawowa kwestia będąca podstawą bliskich stosunków pomiędzy Unią Europejską a Stanami Zjednoczonymi, jeżeli chodzi o działalność handlową i egzekwowanie prawa;

H.  mając na uwadze, że w opinii nr 01/2016 Grupa Robocza Art. 29 z zadowoleniem przyjęła znaczną poprawę, jaką stanowi Tarcza Prywatności w porównaniu z decyzją w sprawie „bezpiecznej przystani”, a za pozytywne działania uznała w szczególności wprowadzenie kluczowych definicji, mechanizmów nadzoru nad wykazem Tarczy Prywatności oraz uznanie zewnętrznych i wewnętrznych przeglądów zgodności za obowiązkowe; mając na uwadze, że Grupa Robocza wyraziła również poważne obawy dotyczące zarówno aspektów handlowych, jak i dostępu organów publicznych do danych przekazywanych zgodnie z zasadami Tarczy Prywatności;

I.  mając na uwadze, że dotychczas uznano, iż następujące państwa/terytoria: Andora, Argentyna, Kanada, Wyspy Owcze, Guernsey, Wyspa Man, Jersey, Urugwaj, Izrael, Szwajcaria i Nowa Zelandia zapewniają odpowiedni poziom ochrony danych i uzyskały one uprzywilejowany dostęp do rynku UE;

1.  z zadowoleniem przyjmuje podejmowane przez Komisję i rząd USA działania mające na celu znaczne ulepszenie Tarczy Prywatności w porównaniu z decyzją w sprawie „bezpiecznej przystani”, a w szczególności wprowadzenie kluczowych definicji „danych osobowych”, „przetwarzania” i „administratora”, mechanizmów nadzoru nad wykazem Tarczy Prywatności oraz uznanie zewnętrznych i wewnętrznych przeglądów zgodności za obowiązkowe;

2.  podkreśla znaczenie stosunków transatlantyckich, które pozostają kwestią zasadniczą dla obu partnerów; podkreśla, że kompleksowe rozwiązanie wypracowane przez UE i USA powinno zakładać poszanowanie prawa do ochrony danych i prawa do prywatności; przypomina, że jednym z zasadniczych celów UE jest ochrona danych osobowych, w tym w przypadkach gdy są one przekazywane jej głównemu międzynarodowemu partnerowi handlowemu;

3.  podkreśla, że mechanizm Tarczy Prywatności musi być zgodny z pierwotnym i wtórnym prawem UE, a także z odnośnymi wyrokami Europejskiego Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka;

4.  odnotowuje, że w załączniku VI (pismo Roberta S. Litta z Biura Dyrektora Wywiadu Narodowego (ODNI)) wyjaśniono, iż zgodnie z rozporządzeniem prezydenckim nr 28 (zwanym dalej „PPD-28”) masowe gromadzenie danych osobowych osób spoza USA oraz ich prywatnych wiadomości jest wciąż dozwolone w sześciu przypadkach; zwraca uwagę, że takie masowe gromadzenie musi być jedynie „jak najlepiej dostosowane” i „rozsądne”, a wymóg ten nie spełnia bardziej rygorystycznych kryteriów konieczności i proporcjonalności określonych w Karcie;

5.  przypomina, że pewność prawa, a zwłaszcza jasne i jednolite przepisy, to element kluczowy dla rozwoju i wzrostu przedsiębiorstw, zwłaszcza MŚP, dzięki któremu nie doświadczają one niepewności prawa i poważnych konsekwencji dla prowadzonej działalności i zdolności do działania po obu stronach Atlantyku;

6.  z zadowoleniem przyjmuje wprowadzenie na mocy Tarczy Prywatności mechanizmu środków odwoławczych dla osób fizycznych; wzywa Komisję i rząd USA do obniżenia obecnego stopnia złożoności, tak aby procedura ta stała się przyjazna dla użytkowników i skuteczna;

7.  wzywa Komisję do uzyskania wyjaśnień na temat statusu prawnego tzw. pisemnych zapewnień wydawanych przez USA;

8.  z zadowoleniem przyjmuje powołanie w Departamencie Stanu USA rzecznika praw obywatelskich, który będzie współpracował z niezależnymi organami, aby odpowiadać na przekazywane przez organy nadzorcze UE indywidualne żądania w związku z nadzorem rządowym; uważa jednak, że ta nowa instytucja nie jest wystarczająco niezależna i nie została wyposażona w odpowiednie uprawnienia do skutecznego wykonywania i egzekwowania obowiązków;

9.  z zadowoleniem przyjmuje fakt, że ramy Tarczy Prywatności przyznają organom ds. ochrony danych w państwach członkowskich istotną rolę w rozpatrywaniu skarg dotyczących ochrony danych osobowych zgodnie z Kartą praw podstawowych Unii Europejskiej, w prowadzeniu dochodzeń w tych sprawach i w zawieszaniu przekazywania danych, a także fakt, że Departament Handlu USA ma obowiązek rozpatrywać takie skargi;

10.  uznaje fakt, że Tarcza Prywatności to element szerszego dialogu między UE a państwami trzecimi, w tym Stanami Zjednoczonymi, dotyczącego prywatności danych, handlu, bezpieczeństwa oraz powiązanych praw i celów będących przedmiotem wspólnego zainteresowania; dlatego apeluje do wszystkich stron o współpracę na rzecz utworzenia i ciągłego doskonalenia praktycznych, wspólnych ram międzynarodowych i przepisów krajowych służących osiąganiu tych celów;

11.  podkreśla, że pewność prawa w odniesieniu do przekazywania danych osobowych między UE i USA ma zasadnicze znaczenie dla zaufania konsumentów, rozwoju przedsiębiorczości transatlantyckiej oraz współpracy w dziedzinie egzekwowania prawa, co powoduje, że z uwagi na ich skuteczność i długoterminowe stosowanie instrumenty umożliwiające takie przekazywanie muszą być zgodne z pierwotnym i wtórnym prawem UE;

12.  wzywa Komisję do pełnego wdrożenia zaleceń przedstawionych przez Grupę Roboczą Art. 29 w opinii nr 01/2016 dotyczącej projektu decyzji w sprawie odpowiedniej ochrony zapewnianej przez Tarczę Prywatności UE-USA;

13.  wzywa Komisję, by wywiązywała się ze spoczywającego na niej w związku z postanowieniami Tarczy Prywatności obowiązku przeprowadzania gruntownych okresowych przeglądów ustaleń dotyczących odpowiedniości oraz ich prawnego uzasadnienia, zwłaszcza w związku z faktem, że termin rozpoczęcia stosowania nowego ogólnego rozporządzenia o ochronie danych przypada za dwa lata;

14.  wzywa Komisję do kontynuowania dialogu z rządem USA w celu wynegocjowania dalszych usprawnień mechanizmu Tarczy Prywatności w związku z jej obecnymi brakami;

15.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Radzie, Komisji, rządom i parlamentom państw członkowskich oraz rządowi i Kongresowi USA.

(1) Dz.U. L 281 z 23.11.1995, s. 31. (2) Dz.U. L 350 z 30.12.2008, s. 60. (3) Dz.U. L 119 z 4.5.2016, s. 89. (4) https://www.congress.gov/114/plaws/publ23/PLAW-114publ23.pdf (5) https://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities (6) Teksty przyjęte, P7_TA(2014)0230. (7) Teksty przyjęte, P8_TA(2015)0388.