Hakemisto 
 Edellinen 
 Seuraava 
 Koko teksti 
Menettely : 2016/3018(RSP)
Elinkaari istunnossa
Asiakirjan elinkaari : B8-0235/2017

Käsiteltäväksi jätetyt tekstit :

B8-0235/2017

Keskustelut :

PV 05/04/2017 - 19
CRE 05/04/2017 - 19

Äänestykset :

PV 06/04/2017 - 7.7
CRE 06/04/2017 - 7.7
Äänestysselitykset

Hyväksytyt tekstit :

P8_TA(2017)0131

Hyväksytyt tekstit
PDF 191kWORD 49k
Torstai 6. huhtikuuta 2017 - Strasbourg
EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyys
P8_TA(2017)0131B8-0235/2017

Euroopan parlamentin päätöslauselma 6. huhtikuuta 2017 EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä (2016/3018(RSP))

Euroopan parlamentti, joka

–  ottaa huomioon Euroopan unionista tehdyn sopimuksen (SEU), Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) ja Euroopan unionin perusoikeuskirjan 6, 7, 8, 11, 16, 47 ja 52 artiklan,

–  ottaa huomioon yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24. lokakuuta 1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY(1) (jäljempänä ”tietosuojadirektiivi”),

–  ottaa huomioon rikosasioissa tehtävässä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta 27. marraskuuta 2008 tehdyn neuvoston puitepäätöksen 2008/977/YOS(2),

–  ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679(3) (yleinen tietosuoja-asetus) ja luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680(4),

–  ottaa huomioon Euroopan unionin tuomioistuimen 6. lokakuuta 2015 antaman tuomion asiassa C-362/14 (Maximillian Schrems v. Data Protection Commissioner)(5),

–  ottaa huomioon 6. marraskuuta 2015 annetun komission tiedonannon Euroopan parlamentille ja neuvostolle direktiiviin 95/46/EY perustuvasta henkilötietojen siirtämisestä EU:sta Yhdysvaltoihin unionin tuomioistuimen asiassa C-362/14 (Schrems) antaman tuomion johdosta (COM(2015)0566),

–  ottaa huomioon 10. tammikuuta 2017 annetun komission tiedonannon Euroopan parlamentille ja neuvostolle henkilötietojen vaihtamisesta ja suojaamisesta globaalistuneessa maailmassa (COM(2017)0007),

–  ottaa huomioon Euroopan unionin tuomioistuimen 21. joulukuuta 2016 antamat tuomiot asioissa C-203/15 (Tele2 Sverige AB v. Post- och telestyrelsen) ja C-698/15 (Secretary of State for the Home Department v. Tom Watson ym.)(6),

–  ottaa huomioon Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä 12. heinäkuuta 2016 annetun komission täytäntöönpanopäätöksen (EU)2016/1250(7),

–  ottaa huomioon Euroopan tietosuojavaltuutetun lausunnon 4/2016 päätösluonnoksesta EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tietosuojan tason riittävyydestä(8),

–  ottaa huomioon 29 artiklan mukaisen tietosuojatyöryhmän 13. huhtikuuta 2016 antaman lausunnon EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä koskevasta päätösluonnoksesta(9) ja sen 26. heinäkuuta 2016 antaman lausuman(10),

–  ottaa huomioon 26. toukokuuta 2016 antamansa päätöslauselman transatlanttisista tietovirroista(11),

–  ottaa huomioon työjärjestyksen 123 artiklan 2 kohdan,

A.  toteaa, että Euroopan unionin tuomioistuin 6. lokakuuta 2015 asiassa C-362/14 (Maximillian Schrems v. Data Protection Commissioner) antamassaan tuomiossa mitätöi Safe Harbour -päätöksen ja selvensi, että suojan tasoa kolmannessa maassa on pidettävä riittävänä, kun se ”pääosiltaan vastaa” Euroopan unionin perusoikeuskirjan (jäljempänä ”perusoikeuskirja”) valossa tulkitun direktiivin 95/46/EY nojalla unionissa tarjottua suojaa, mikä kannusti saattamaan päätökseen neuvottelut uudesta järjestelystä, jolla varmistetaan oikeusvarmuus siitä, miten henkilötietoja olisi siirrettävä EU:sta Yhdysvaltoihin;

B.  toteaa, että kun tarkastellaan kolmannen maan takaaman suojan tasoa, komission on arvioitava sellaisten kyseisessä maassa sovellettavien sääntöjen sisältöä, jotka johtuvat maan omasta lainsäädännöstä tai kansainvälisistä sitoumuksista, sekä näiden sääntöjen noudattamisen takaamiseksi sovellettavaa käytäntöä, koska komission on direktiivin 95/46/EY 25 artiklan 2 kohdan nojalla otettava huomioon kaikki henkilötietojen kolmanteen maahan siirtämiseen liittyvät olosuhteet; toteaa, että tämän arvioinnin ei pidä koskea ainoastaan henkilötietojen suojaamiseen kaupallisia ja yksityisiä tarkoituksia varten liittyvää lainsäädäntöä ja käytäntöjä vaan sen on katettava myös kaikki kyseiseen maahan tai alaan sovellettavan kehyksen näkökohdat ja erityisesti mutta ei pelkästään lainvalvonta, kansallinen turvallisuus ja perusoikeuksien kunnioittaminen;

C.  toteaa, että henkilötietojen siirrot EU:n ja Yhdysvaltojen kaupallisten organisaatioiden välillä ovat tärkeä osa transatlanttisia suhteita; katsoo, että nämä siirrot olisi suoritettava noudattaen kaikilta osin oikeutta henkilötietojen suojaan ja yksityisyyteen; toteaa, että yksi EU:n keskeisistä tavoitteista on perusoikeuksien suojelu, kuten perusoikeuskirjassa todetaan;

D.  toteaa, että lausunnossaan 4/2016 Euroopan tietosuojavaltuutettu nosti esille useita huolenaiheita Privacy Shield -järjestelyä koskevan päätösluonnoksen suhteen; toteaa, että Euroopan tietosuojavaltuutettu toteaa samassa lausunnossaan pitävänsä myönteisenä kaikkien osapuolten pyrkimyksiä löytää ratkaisu EU:sta Yhdysvaltoihin kaupallisessa tarkoituksessa tapahtuviin henkilötietojen siirtoihin omaan varmennukseen perustuvan järjestelmän avulla;

E.  toteaa, että 29 artiklan mukainen tietosuojatyöryhmä piti EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä koskevasta päätösluonnoksesta antamassaan lausunnossa 01/2016 Privacy Shield -järjestelyn myötä tulleita parannuksia Safe Harbour -päätökseen myönteisinä, mutta otti esille myös suuria huolenaiheita, jotka koskevat sekä kaupallisia näkökohtia että julkisten viranomaisten mahdollisuuksia tutustua Privacy Shield ‑järjestelyn mukaisesti siirrettyihin tietoihin;

F.  toteaa, että keskusteltuaan Yhdysvaltojen hallinnon kanssa komissio hyväksyi 12. heinäkuuta 2016 täytäntöönpanopäätöksensä (EU) 2016/1250, jossa todetaan riittävä suojan taso niille henkilötiedoille, jotka siirretään Euroopan unionista yhdysvaltalaisille organisaatioille EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn mukaisesti;

G.  toteaa, että EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä täydentävät lukuisat Yhdysvaltojen hallinnon laatimat kirjeet ja yksipuoliset lausumat, joissa selvitetään muun muassa tietosuojan periaatteet, valvonnan toiminta, täytäntöönpanon valvonta ja oikeussuojakeinot sekä ne suojakeinot ja varotoimet, joita noudattaen turvallisuuspalvelut voivat saada ja käsitellä henkilötietoja;

H.  ottaa huomioon, että 29 artiklan mukainen tietosuojatyöryhmä toteaa 26. heinäkuuta 2016 antamassaan lausumassa, että EU:n ja Yhdysvaltojen Privacy Shield -järjestely toi mukanaan parannuksia Safe Harbour -järjestelyyn; toteaa, että työryhmä kiitti komissiota ja Yhdysvaltojen viranomaisia huolenaiheidensa ottamisesta huomioon; toteaa, että 29 artiklan mukaisen tietosuojatyöryhmän mukaan jotkut sen esittämistä huolenaiheista, jotka koskevat EU:sta siirrettyjen tietojen kaupallisia näkökohtia ja Yhdysvaltojen viranomaisten tiedonsaantia, ovat silti edelleen ajankohtaisia, kuten se, että automatisoidusta päätöksenteosta ja yleisestä vastustamisoikeudesta ei ole olemassa nimenomaisia sääntöjä, oikeusasiamiesmekanismin riippumattomuudesta ja toimivallasta tarvitaan tiukemmat takuut tai että henkilötietojen valikoimattoman massakeräämisen kieltämisestä ei ole olemassa konkreettisia takeita;

1.  pitää myönteisinä komission ja Yhdysvaltojen hallinnon toimia, joilla puututaan Euroopan unionin tuomioistuimen, jäsenvaltioiden, Euroopan parlamentin, tietosuojaviranomaisten ja sidosryhmien esittämiin huolenaiheisiin, jotta komissio voisi hyväksyä täytäntöönpanopäätöksen, jossa todetaan EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn suojan tason riittävyys;

2.  toteaa, että EU:n ja Yhdysvaltojen Privacy Shield -järjestely sisältää merkittäviä normien selkeyttä koskevia parannuksia aikaisempaan Safe Harbour -järjestelyyn verrattuna ja että yhdysvaltalaisten organisaatioiden, jotka varmentavat itse toimivansa EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn mukaisesti, on noudatettava Safe Harbour -järjestelyä selkeämpiä tietosuojanormeja;

3.  panee merkille, että 23. maaliskuuta 2017 mennessä 1 893 yhdysvaltalaista organisaatiota oli liittynyt mukaan EU:n ja Yhdysvaltojen Privacy Shield -järjestelyyn; pitää valitettavana, että Privacy Shield perustuu vapaaehtoiseen omaan varmennukseen ja sitä sovelletaan näin ollen vain niihin yhdysvaltalaisiin organisaatioihin, jotka ovat liittyneet siihen vapaaehtoisesti, joten monet yritykset ovat järjestelyn ulkopuolella;

4.  toteaa, että EU:n ja Yhdysvaltojen Privacy Shield -järjestelyllä helpotetaan unionin pk‑yritysten ja liikeyritysten tiedonsiirtoa Yhdysvaltoihin;

5.  panee merkille, että unionin tuomioistuimen Schremsin asiassa tekemän päätöksen mukaisesti Euroopan tietosuojaviranomaisten toimivalta säilyy koskemattomana tietosuojan tason riittävyydestä tehdystä päätöksestä huolimatta ja viranomaiset voivat siten käyttää toimivaltaansa esimerkiksi keskeyttämällä tai kieltämällä tiedonsiirron sellaiseen organisaatioon, joka on rekisteröitynyt EU:n ja Yhdysvaltojen Privacy Shield -järjestelyyn; pitää tässä suhteessa myönteisenä, että Privacy Shield -järjestelyssä annetaan jäsenvaltioiden tietosuojaviranomaisille näkyvä rooli tarkastella ja tutkia vaateita, jotka liittyvät perusoikeuskirjan mukaiseen yksityisyyden ja perhe-elämän suojaan, ja keskeyttää tietojen siirtäminen; pitää myönteisenä myös, että Yhdysvaltojen kauppaministeriö velvoitetaan ratkaisemaan asiaa koskevat valitukset;

6.  panee merkille, että EU:n rekisteröidyillä on Privacy Shield -järjestelyssä käytettävissään useita tapoja hyödyntää oikeussuojakeinoja Yhdysvalloissa: ensinnäkin voidaan jättää valitus joko suoraan yritykselle tai kauppaministeriön kautta tietosuojaviranomaisen lausunnon perusteella tai riippumattomalle riitojenratkaisuelimelle, toiseksi, kun perusoikeuksiin puututaan kansallisen turvallisuuden vuoksi, asiasta voidaan esittää siviilikanne yhdysvaltalaisessa tuomioistuimessa ja vastaavia valituksia voidaan esittää myös äskettäin perustetulle riippumattomalle oikeusasiamiehelle ja kolmanneksi, kun perusoikeuksiin puututaan lainvalvontatarkoituksessa ja yleisen edun nimissä, asiaa koskevia valituksia voidaan käsitellä esittämällä vetoomuksia, joilla riitautetaan haasteet; kehottaa komissiota ja tietosuojaviranomaisia antamaan lisäohjeita, jotta nämä oikeussuojakeinot olisivat helpommin käytettävissä ja saatavilla;

7.  toteaa, että Yhdysvaltojen kauppaministeriö on selkeästi sitoutunut tarkkailemaan, miten yhdysvaltalaiset organisaatiot noudattavat EU:n ja Yhdysvaltojen Privacy Shield ‑järjestelyn periaatteita ja että ministeriö pyrkii toteuttamaan lainvalvontatoimia noudattamisen laiminlyöneitä tahoja kohtaan;

8.  muistuttaa jälleen komissiota, että sen on pyrittävä saamaan selvyys Yhdysvaltojen antamien ”kirjallisten vakuutusten” (written assurances) oikeudellisesta asemasta ja varmistamaan, että Privacy Shield -järjestelyn mukaiset sitoumukset tai järjestelyt pidetään voimassa Yhdysvaltojen uuden hallinnon ottaessa tehtävänsä vastaan;

9.  katsoo, että Yhdysvaltojen hallituksen Privacy Shield -järjestelyyn liitetyillä kirjeillä antamista sitoumuksista ja vakuutuksista huolimatta jäljelle jää merkittäviä kysymyksiä tietyistä kaupallisista näkökohdista, kansallisesta turvallisuudesta ja lainvalvonnasta;

10.  panee erityisesti merkille huomattavat erot direktiivin 95/46/EY 7 artiklan tarjoaman suojan ja Privacy Shield -järjestelyn ilmoitus- ja valintaperiaatteen välillä samoin kuin huomattavat erot direktiivin 95/46/EY 6 artiklan ja Privacy Shield -järjestelyn tietojen eheyttä ja käyttötarkoituksen rajoittamista koskevan periaatteen välillä; huomauttaa, että kaikkia käsittelyvaiheita koskevan oikeusperustan (esimerkiksi hyväksyntä tai sopimus) sijaan Privacy Shield -periaatteiden mukaan rekisteröityjen oikeuksia sovelletaan vain kahteen kapeaan käsittelyalaan (julkistaminen ja käyttötarkoituksen muutos) ja ne sisältävät vain oikeuden vastustaa (ulkopuolelle jättäytyminen, ”opt-out”);

11.  toteaa, että nämä lukuisat huolenaiheet saattavat aiheuttaa sen, että tulevaisuudessa tuomioistuimissa nostetaan kanteita suojelun riittävyyttä koskevan päätöksen haastamiseksi; korostaa, että tästä olisi vahingollisia seurauksia niin perusoikeuksien kuin sidosryhmien välttämättömän oikeusvarmuuden suhteen;

12.  panee muun muassa merkille, että automatisoidusta päätöksenteosta ja yleisestä vastustamisoikeudesta ei ole olemassa nimenomaisia sääntöjä, eikä Privacy Shield ‑järjestelyn periaatteiden soveltamisesta käsittelijöihin (edustajiin) ole olemassa selkeitä periaatteita;

13.  toteaa, että vaikka yksityishenkilöillä on mahdollisuus vastustaa sitä, että EU:n rekisterinpitäjä siirtää heidän henkilötietonsa Yhdysvaltoihin ja että tietoja käsitellään edelleen siellä, jolloin Privacy Shield -yritys toimii käsittelijänä EU:n valvontaviranomaisen puolesta, Privacy Shield -järjestelyssä ei ole täsmällisiä sääntöjä yleisestä oikeudesta vastustaa yhdysvaltalaista oman varmennuksen antanutta yritystä;

14.  toteaa, että vain murto-osa yhdysvaltalaisista Privacy Shield -järjestelyyn liittyneistä organisaatioista on valinnut riitojenratkaisumekanismiksi EU:n tietosuojaviranomaisen; on huolissaan, että tämä aiheuttaa vaikeuksia EU:n kansalaisille, jotka yrittävät saada oikeuksiaan kunnioitettavan;

15.  toteaa, että Privacy Shield -periaatteiden soveltamisesta käsittelijöihin (edustajiin) ei ole olemassa täsmällisiä periaatteita, mutta toisaalta kaikkia periaatteita sovelletaan kaikkien yhdysvaltalaisten oman varmennuksen antaneiden yritysten suorittamaan henkilötietojen käsittelyyn ”ellei toisin ilmoiteta” ja että käsittelytarkoituksessa tapahtuvassa siirrossa on aina oltava sopimus EU:n rekisterinpitäjän kanssa, joka määrittelee käsittelyn tarkoituksen ja keinot, mukaan luettuna sen, onko käsittelijällä valtuudet siirtää tietoja edelleen (esimerkiksi alihankintana teetettyä tietojen käsittelyä varten);

16.  korostaa kansallisen turvallisuuden ja valvonnan suhteen, että massavalvonta on edelleen mahdollista, vaikka Privacy Shield -järjestelyyn liitetyissä kansallisen tiedusteluviraston johtajan (Office of the Director of National Intelligence) kirjeissä selkeytettiin asiaa, huolimatta siitä, että Yhdysvaltojen viranomaiset käyttävät erilaista terminologiaa; pitää valitettavana, että massavalvonnan käsitteelle ei ole olemassa yhtenäistä määritelmää ja että amerikkalainen terminologia on otettu käyttöön; kehottaa siksi antamaan massavalvonnalle yhtenäisen määritelmän termin eurooppalaisen käsityksen mukaisesti, jossa arviointi ei ole riippuvainen valinnasta; korostaa, että kaikenlainen massavalvonta on perusoikeuskirjan vastaista;

17.  korostaa tässä yhteydessä, että liitteessä VI (kansallisen tiedusteluviraston johtajan Robert S. Littin kirje) täsmennetään, että ei-yhdysvaltalaisten henkilöiden henkilötietojen ja viestinnän valikoimaton keruu on presidentin määräyksen PPD-28 (Presidential Policy Directive 28) nojalla edelleen sallittua kuudessa tapauksessa; tähdentää, että valikoimattoman keruun on pelkästään oltava mahdollisimman räätälöityä ja kohtuullista, mikä ei täytä perusoikeuskirjassa asetettuja tiukempia tarpeellisuuden ja suhteellisuuden kriteereitä;

18.  panee erittäin huolestuneena merkille, että liitteessä VI (Kansallisen tiedusteluviraston päälakimiehen Robert Littin kirje) mainittu yksityisyyden suojan ja kansalaisvapauksien valvonnasta vastaava lautakunta (Privacy and Civil Liberties Oversight Board, PCLOB), joka on lailla perustettu riippumaton elin, jonka tehtävänä on analysoida ja tarkastaa terrorismin vastaisia ohjelmia ja toimintaperiaatteita ja muun muassa signaalitiedustelun hyödyntämistä sen varmistamiseksi, että kyseisissä toimissa suojataan yksityisyyttä ja kansalaisvapauksia riittävästi, menetti päätösvaltaisuutensa 7. tammikuuta 2017 eikä siitä tule päätösvaltaista ennen kuin Yhdysvaltojen presidentti nimittää uudet jäsenet ja senaatti vahvistaa heidän nimityksensä; tähdentää, että kun lautakunta ei ole päätösvaltainen, sillä on vähemmän valtaa eikä se voi ryhtyä tiettyihin lautakunnan hyväksyntää edellyttäviin toimiin, joten se ei voi esimerkiksi käynnistää valvontahankkeita tai tehdä valvontasuosituksia, mikä heikentää vakavasti Yhdysvaltojen viranomaisten tämän alan säännösten noudattamisen valvonnasta antamia takeita ja vakuutuksia;

19.  pitää valitettavana, että EU:n ja Yhdysvaltojen Privacy Shield -järjestely ei estä massadatan keräämistä lainvalvonnan tarpeisiin;

20.  korostaa, että Euroopan unionin tuomioistuin selvitti 21. joulukuuta 2016 antamassaan tuomiossa, että perusoikeuskirjaa on tulkittava sitten, että ”se on esteenä pääasiassa kyseessä olevan kaltaiselle kansalliselle säännöstölle, jossa rikollisuuden torjumiseksi säädetään kaikkien tilaajien ja rekisteröityjen käyttäjien liikenne- ja paikkatietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä kaikkien sähköisten viestintävälineiden osalta”; korostaa, että Yhdysvalloissa tapahtuva massavalvonta ei tarjoa pääosiltaan vastaavaa suojan tasoa henkilötiedoille ja viestinnälle;

21.  on huolissaan viimeaikaisista paljastuksista, joiden mukaan yhdysvaltalainen sähköisten viestintäpalvelujen tarjoaja on valvonut NSA:n ja FBI:n puolesta kaikkia palvelimiinsa päätyneitä sähköpostiviestejä niinkin myöhään kuin vuonna 2015 eli yksi vuosi PPD 28 -määräyksen hyväksymisen jälkeen ja EU:n ja Yhdysvaltojen Privacy Shield -järjestelyä koskevien neuvottelujen aikana; vaatii, että komissio pyytää kattavaa selvitystä Yhdysvaltojen viranomaisilta ja toimittaa vastaukset neuvostolle, parlamentille ja kansallisille tietosuojaviranomaisille; katsoo, että tämä on peruste epäillä vahvasti kansallisen tiedusteluviraston johtajan esittämiä vakuutuksia; toteaa, että EU:n ja Yhdysvaltojen Privacy Shield -järjestely perustuu täysin presidentin antamaan määräykseen PPD-28, jonka kuka tahansa tuleva presidentti voi kumota ilman kongressin hyväksyntää;

22.  panee huolestuneena merkille, että Yhdysvaltojen senaatti puolsi 23. maaliskuuta 2017 ja edustajainhuone 28. maaliskuuta 2017 pitämässään äänestyksessä Yhdysvaltojen telehallintoviraston (Federal Communications Commission) esittämän, laajakaistapalvelujen ja muiden televiestintäpalvelujen asiakkaiden yksityisyyden suojaa koskevan säännön hylkäämistä; toteaa, että näin käytännössä poistetaan laajakaistapalveluihin liittyvät yksityisyyssäännöt, jotka olisivat edellyttäneet, että internetpalveluntarjoajat hankkivat kuluttajien nimenomaisen suostumuksen ennen selaustietojen ja muiden yksityisten tietojen myymistä mainostajille ja muille yrityksille tai jakamista näiden kanssa; pitää tätä jälleen uutena uhkana yksityisyyden suojalle Yhdysvalloissa;

23.  ilmaisee vakavan huolestumisensa Yhdysvaltojen oikeusministerin 3. tammikuuta 2017 hyväksymästä asiakirjasta "Procedures for the Availability or Dissemination of Raw Signals Intelligence Information by the National Security Agency under Section 2.3 of Executive Order 12333", joka antaa NSA:lle luvan jakaa 16:lle muulle virastolle (esimerkiksi FBI, DEA ja sisäisen turvallisuuden ministeriö) valtavia tietomääriä, jotka on kerätty ilman etsintälupaa, tuomioistuimen määräystä tai kongressin lupaa; kehottaa komissiota arvioimaan välittömästi näiden uusien sääntöjen soveltuvuutta Yhdysvaltojen viranomaisten Privacy Shield -järjestelyn puitteissa tekemiin sitoumuksiin sekä niiden vaikutusta henkilötietojen suojelun tasoon Yhdysvalloissa;

24.  muistuttaa, että vaikka henkilöiden, myös EU:n rekisteröityjen, käytettävissä on Yhdysvalloissa useita oikeussuojakeinoja, kun he ovat olleet laittoman (sähköisen) valvonnan kohteena kansallisen turvallisuuden nimissä, on kuitenkin selvää, että tämä ei koske eräitä Yhdysvaltojen tiedusteluviranomaisten käytössä olevia oikeusperustoja (esimerkiksi toimeenpanoasetus 12333); toteaa lisäksi, että vaikka periaatteessa ei‑yhdysvaltalaisten henkilöiden käytettävissä on oikeussuojakeinoja, esimerkiksi kun on kyse FISAn mukaisesta valvonnasta, käytössä olevat kanneperusteet ovat vähäiset ja henkilöiden (myös yhdysvaltalaisten) nostamat kanteet jätetään tutkimatta, jos ne eivät pysty osoittamaan kanneoikeuttaan, mikä rajoittaa pääsyä yleisiin tuomioistuimiin;

25.  kehottaa komissiota arvioimaan yleisen turvallisuuden parantamisesta Yhdysvaltojen alueella 25. tammikuuta 2017 annetun toimeenpanoasetuksen vaikutusta ja erityisesti sitä, mitä vaikutusta on sen 14 pykälällä, jonka mukaan ulkomaalaiset on jätettävä yksityisyyden suojaa koskevassa laissa säädetyn henkilön tunnistamisen mahdollistavia tietoja koskevan suojan ulkopuolelle, mikä on vastoin kirjallisia vakuutuksia, joiden mukaan henkilöillä on käytössään oikeussuojakeinoja tapauksissa, joissa Yhdysvaltojen viranomaiset ovat päässeet käsiksi tietoihin; pyytää komissiota toimittamaan yksityiskohtaisen oikeudellisen analyysin toimeenpanoasetuksen toimenpiteiden vaikutuksesta eurooppalaisten mahdollisuuksiin käyttää oikeussuojakeinoja ja oikeuteen hakea muutosta oikeusteitse Yhdysvalloissa;

26.  pitää valitettavana, että sen paremmin Privacy Shield -järjestelyn periaatteet kuin Yhdysvaltojen hallinnon selventävät kirjeet ja vakuutukset eivät osoita, että yksilöillä EU:ssa olisi tehokkaita oikeussuojakeinoja käytettävissään, jos heidän henkilötietonsa siirretään yhdysvaltalaisille organisaatioille Privacy Shield -periaatteiden mukaisesti ja jos Yhdysvaltojen viranomaiset käsittelevät niitä edelleen lainvalvonnan ja yleisen edun nimissä, mitä Euroopan unionin tuomioistuin piti perusoikeuskirjan 47 artiklassa perusoikeuden keskeisenä sisältönä 6. lokakuuta 2015 antamassaan tuomiossa;

27.  muistuttaa, että 26. toukokuuta 2016 antamassaan päätöslauselmassa parlamentti katsoi, että Yhdysvaltojen ulkoministeriön perustama oikeusasiamiesmekanismi ei ole riittävän riippumaton ja sillä ei ole asianmukaista toimivaltaa hoitaakseen tehtävänsä ja tarjotakseen tehokkaita oikeussuojakeinoja EU:n kansalaisille; huomauttaa, että tähän mennessä Yhdysvaltojen uusi hallinto ei ole nimittänyt uutta oikeusasiamiestä tähän tehtävään heinäkuussa 2016 nimitetyn talouskasvusta, energiasta ja ympäristöstä vastaavan alivaltiosihteerin toimikauden päätyttyä; katsoo, että niin kauan kuin Yhdysvaltoihin ei ole nimitetty riippumatonta oikeusasiamiestä, jolla on riittävät toimivaltuudet, sen vakuutukset tehokkaiden oikeussuojakeinojen tarjoamisesta EU:n alueella asuville henkilöille ovat pätemättömiä; toteaa, että Yhdysvaltojen hallituksen lausuntojen ja vakuutusten mukaan oikeusasiamiehen virasto on riippumaton Yhdysvaltojen tiedustelupalveluista, että mikään ei vaikuta epäasianmukaisesti sen toimintaan ja että lisäksi se toimii yhteistyössä muiden sellaisten riippumattomien valvontaviranomaisten kanssa, joilla on todellista valvontavaltaa Yhdysvaltojen tiedusteluyhteisöön; kantaa yleisesti huolta siitä, että sääntöjen rikkomisesta vahinkoa kärsinyt henkilö voi ainoastaan pyytää tietojen hävittämistä ja/tai niiden käsittelyn keskeyttämistä, mutta ei ole oikeutettu korvauksiin;

28.  panee huolestuneena merkille, että 30. maaliskuuta 2017 Privacy Shield ‑järjestelyn täytäntöönpanoa valvovan Yhdysvaltojen liittovaltion kauppakomission (Federal Trade Commission, FTC) viidestä paikasta kolme oli täyttämättä;

29.  pitää valitettavana, että suojan riittävyyden hyväksymistä koskevaan menettelyyn ei sisälly asianomaisten sidosryhmien, kuten yritysten ja etenkin pk-yritysten, etujärjestöjen virallista kuulemista;

30.  pitää valitettavana, että komissio järjesti täytäntöönpanopäätöksen hyväksyntämenettelyn käytännössä siten, ettei parlamentti ole voinut tosiasiallisesti käyttää oikeuttaan täytäntöönpanosäädösluonnoksen valvontaan;

31.  kehottaa komissiota ryhtymään kaikkiin tarpeellisiin toimiin varmistaakseen, että Privacy Shield -järjestely on kaikin puolin asetuksen (EU) 2016/679, jota sovelletaan 16. toukokuuta 2018 alkaen, sekä perusoikeuskirjan mukainen;

32.  kehottaa komissiota varmistamaan erityisesti, että Privacy Shield -järjestelyn puitteissa Yhdysvaltoihin siirretyt henkilötiedot voidaan siirtää toiseen kolmanteen maahan vain, jos siirto on alkuperäisen tiedon keräämistä koskevan tarkoituksen mukainen ja jos kyseisessä kolmannessa maassa sovelletaan samoja sääntöjä erityisestä ja kohdennetusta saatavuudesta lainvalvontatarkoituksiin;

33.  kehottaa komissiota seuraamaan, hävitetäänkö henkilötiedot, joita ei enää tarvita siihen tarkoitukseen, johon muun muassa lainvalvontaviranomaiset olivat ne alun perin keränneet;

34.  kehottaa komissiota valvomaan tarkasti, salliiko Privacy Shield -järjestely, että tietosuojaviranomaiset käyttävät kaikkia toimivaltuuksiaan, ja jos ei salli, mitkä säädökset estävät tietosuojaviranomaisten valtuuksien käytön;

35.  kehottaa komissiota toteuttamaan ensimmäisen yhteisen vuotuisen tarkastelun yhteydessä perinpohjaisen ja seikkaperäisen tutkimuksen kaikista tässä päätöslauselmassa sekä transatlanttisista tietovirroista 26. toukokuuta 2016 annetussa päätöslauselmassa esille otetuista puutteista ja heikkouksista ja niistä, jotka 29 artiklan mukainen tietosuojatyöryhmä, Euroopan tietosuojavaltuutetun toimisto ja sidosryhmät ovat havainneet, sekä selvittämään, mihin toimiin niiden johdosta on ryhdytty perusoikeuskirjan ja unionin lainsäädännön noudattamiseksi, sekä arvioimaan perinpohjaisesti, ovatko Yhdysvaltojen hallinnon vakuutuksissa ja selvennyksissä mainitut mekanismit ja varotoimet tehokkaita ja toteuttamiskelpoisia;

36.  kehottaa komissiota yhteistä vuotuista tarkastelua toteuttaessaan varmistamaan, että kaikilla ryhmän jäsenillä on tehtäviensä suorittamiseksi tarvittava kattava ja rajoittamaton pääsy kaikkiin asiakirjoihin ja toimitiloihin, mukaan luettuna ne osat, joiden avulla voidaan arvioida asianmukaisesti niiden tietojen keruun ja saatavuuden tarpeellisuutta ja suhteellisuutta, joita viranomaiset ovat siirtäneet joko lainvalvonnan tai kansallisen turvallisuuden tarpeisiin;

37.  korostaa, että yhteistä tarkastelua suorittavan ryhmän kaikille jäsenille on taattava riippumattomuus tehtäviensä hoidossa ja heillä on oltava oikeus eriävän mielipiteen ilmaisemiseen yhteisen tarkastelun loppuraportissa, joka julkaistaan ja liitetään yhteiseen kertomukseen;

38.  kehottaa unionin tietosuojaviranomaisia valvomaan EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn toimintaa ja käyttämään toimivaltaansa esimerkiksi keskeyttämällä tai kieltämällä henkilötietojen siirron EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn piirissä olevaan organisaatioon, jos ne katsovat, että EU:n rekisteröityjen yksityisyydensuojaa ja henkilötietojen suojaa koskevia perusoikeuksia ei taata;

39.  korostaa, että parlamentilla olisi oltava laaja-alainen oikeus tutustua kaikkiin vuotuista tarkastelua koskeviin keskeisiin asiakirjoihin;

40.  kehottaa puhemiestä välittämään tämän päätöslauselman komissiolle, neuvostolle, jäsenvaltioiden hallituksille ja kansallisille parlamenteille sekä Yhdysvaltojen hallitukselle ja kongressille.

(1)EYVL L 281, 23.11.1995, s. 31.
(2)EUVL L 350, 30.12.2008, s. 60.
(3)EUVL L 119, 4.5.2016, s. 1.
(4)EUVL L 119, 4.5.2016, s. 89.
(5)ECLI:EU:C:2015:650.
(6)ECLI:EU:C:2016:970.
(7)EUVL L 207, 1.8.2016, s. 1.
(8)EUVL C 257, 15.7.2016, s. 8.
(9)http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf
(10)http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf
(11)Hyväksytyt tekstit, P8_TA(2016)0233.

Oikeudellinen huomautus - Tietosuojakäytäntö