Rezolucja Parlamentu Europejskiego z dnia 6 kwietnia 2017 r. w sprawie adekwatności ochrony zapewnianej przez tzw. Tarczę Prywatności UE-USA (2016/3018(RSP))
Parlament Europejski,
– uwzględniając Traktat o Unii Europejskiej (TUE), Traktat o funkcjonowaniu Unii Europejskiej (TFUE) oraz art. 6, 7, 8, 11, 16, 47 i 52 Karty praw podstawowych Unii Europejskiej,
– uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1) (zwaną dalej „dyrektywą o ochronie danych”),
– uwzględniając decyzję ramową Rady 2008/977/WSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych(2),
– uwzględniając rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („ogólne rozporządzenie o ochronie danych”)(3), a także dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW(4),
– uwzględniając wyrok Europejskiego Trybunału Sprawiedliwości z dnia 6 października 2015 r. w sprawie C-362/14 Maximillian Schrems przeciwko Data Protection Commissioner(5),
– uwzględniając komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 6 listopada 2015 r. w sprawie przekazywania danych osobowych z UE do Stanów Zjednoczonych na mocy dyrektywy 95/46/WE w następstwie wyroku Trybunału Sprawiedliwości w sprawie C-362/14 (Schrems) (COM(2015)0566),
– uwzględniając komunikat Komisji do Parlamentu Europejskiego i Rady z dnia 10 stycznia 2017 r. w sprawie wymiany i ochrony danych osobowych w zglobalizowanym świecie (COM(2017)0007);
– uwzględniając wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 21 grudnia 2016 r. w sprawach C-203/15 Tele2 Sverige AB przeciwko Post- och telestyrelsen oraz C-698/15 Secretary of State for the Home Department przeciwko Tomowi Watsonowi i in.(6);
– uwzględniając decyzję wykonawczą Komisji (UE) 2016/1250 z dnia 12 lipca 2016 r. przyjętą na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA(7),
– uwzględniając opinię Europejskiego Inspektora Ochrony Danych (EIOD) nr 4/2016 w sprawie projektu decyzji w sprawie odpowiedniej ochrony danych osobowych w ramach unijno-amerykańskiej ochrony prywatności (Privacy Shield)(8),
– uwzględniając opinię grupy roboczej art. 29 z dnia 13 kwietnia 2016 r. dotyczącą projektu decyzji w sprawie adekwatności Tarczy Prywatności UE-USA(9) oraz oświadczenie tej grupy z dnia 26 lipca 2016 r.(10),
– uwzględniając swą rezolucję z dnia 26 maja 2016 r. w sprawie transatlantyckich przepływów danych(11),
– uwzględniając art. 123 ust. 2 Regulaminu,
A. mając na uwadze, że w wyroku z dnia 6 października 2015 r. w sprawie C-362/14 (Maximillian Schrems przeciwko Data Protection Commissioner) Europejski Trybunał Sprawiedliwości stwierdził nieważność decyzji w sprawie tzw. bezpiecznej przystani (ang. Safe Harbour) i wyjaśnił, że odpowiedni poziom ochrony w państwie trzecim należy rozumieć jako „merytorycznie równoważny” poziomowi ochrony gwarantowanemu w Unii Europejskiej na mocy dyrektywy 95/46/WE w świetle Karty praw podstawowych Unii Europejskiej (zwanej dalej Kartą), co pociąga za sobą potrzebę zakończenia negocjacji w sprawie nowego uzgodnienia, aby zapewnić pewność prawa co do tego, jak należy przekazywać dane osobowe z UE do USA;
B. mając na uwadze, że przy badaniu poziomu ochrony zapewnianej przez państwo trzecie Komisja zobowiązana jest ocenić treść przepisów obowiązujących w tym państwie wynikających z jego prawa krajowego lub zobowiązań międzynarodowych, a także praktyk mających na celu zapewnienie zgodności z tymi przepisami, gdyż na mocy art. 25 ust. 2 dyrektywy 95/46/WE musi ona uwzględnić wszystkie okoliczności dotyczące przekazywania danych osobowych do państwa trzeciego; mając na uwadze, że ocena ta musi odnosić się nie tylko do przepisów i praktyk związanych z ochroną danych osobowych do celów komercyjnych i prywatnych, ale musi również obejmować wszystkie aspekty ram prawnych mających zastosowanie do tego kraju lub sektora, w szczególności – lecz nie tylko – egzekwowanie prawa, bezpieczeństwo narodowe i poszanowanie praw podstawowych;
C. mając na uwadze, że przekazywanie danych pomiędzy organizacjami handlowymi w UE i USA to ważny element stosunków transatlantyckich; mając na uwadze, że przekazywanie tych danych powinno odbywać się przy pełnym poszanowaniu prawa do ochrony danych osobowych oraz prawa do prywatności; mając na uwadze, że jednym z podstawowych celów UE jest ochrona praw podstawowych zapisanych w Karcie;
D. mając na uwadze, że w opinii EIOD nr 4/2016 dano wyraz szeregowi obaw co do projektu Tarczy Prywatności; mając na uwadze, że tej samej opinii EIOD z zadowoleniem przyjmuje wysiłki wszystkich stron na rzecz znalezienia rozwiązania dotyczącego przekazywania danych osobowych z UE do Stanów Zjednoczonych w celach komercyjnych w ramach systemu samocertyfikacji;
E. mając na uwadze, że w opinii nr 1/2016 w sprawie projektu decyzji wykonawczej Komisji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA, grupa robocza art. 29 z zadowoleniem przyjęła znaczną poprawę wynikającą z Tarczy Prywatności w porównaniu z decyzją o bezpiecznej przystani, zgłosiła jednak poważne obawy zarówno o aspekt handlowy, jak i aspekt dostępu władz publicznych do danych przekazywanych w ramach Tarczy Prywatności;
F. mając na uwadze, że w dniu 12 lipca 2016 r., po dalszych dyskusjach z administracją USA, Komisja przyjęła decyzję wykonawczą (UE) 2016/1250, oświadczając, że zapewniony zostanie odpowiedni poziom ochrony danych osobowych przekazywanych z UE do organizacji w Stanach Zjednoczonych na mocy Tarczy Prywatności UE-USA;
G. mając na uwadze, że instrumentowi temu towarzyszy szereg listów i jednostronnych oświadczeń administracji USA, w których wyjaśniono m.in. zasady ochrony danych, sposób prowadzenia nadzoru, egzekwowanie prawa i ochronę prawną, a także zabezpieczenia, w oparciu o które agencje bezpieczeństwa mogą uzyskać dostęp do danych osobowych oraz przetwarzać je;
H. mając na uwadze, że w oświadczeniu z dnia 26 lipca 2016 r. grupa robocza art. 29 z zadowoleniem odniosła się do usprawnień, jakie przyniósł mechanizm Tarczy Prywatności UE-USA w porównaniu do mechanizmu bezpiecznej przystani oraz wyraził uznanie dla Komisji i władz USA w związku z uwzględnieniem jego obaw; mając na uwadze, że ww. grupa robocza zwraca uwagę, iż pozostaje jeszcze szereg obaw zarówno co do aspektów handlowych, jak i dostępu amerykańskich władz publicznych do danych przekazanych z UE, np. brak konkretnych zasad dotyczących zautomatyzowanego procesu decyzyjnego oraz ogólnego prawa do sprzeciwu, potrzeba bardziej rygorystycznych gwarancji niezależności oraz uprawnień mechanizmu rzecznika, czy też brak konkretnych gwarancji nieprowadzenia masowego i nieograniczonego gromadzenia danych;
1. z zadowoleniem odnosi się do wysiłków podejmowanych zarówno przez Komisję, jak i administrację USA na rzecz ustosunkowania się do obaw zgłoszonych przez Trybunał Sprawiedliwości, państwa członkowskie, Parlament Europejski, organy oraz podmioty zajmujące się ochroną danych, aby umożliwić Komisji przyjęcie decyzji wykonawczej o adekwatności Tarczy Prywatności UE-USA;
2. przyznaje, że tarcza ta stanowi znaczne usprawnienie, jeśli chodzi o przejrzystość norm, w stosunku do wcześniejszej zasady bezpiecznej przystani UE-USA, a także stwierdza, że deklaracje administracji USA co do stosowania się do Tarczy Prywatności będą musiały być zgodne z jaśniejszymi normami ochrony danych niż te obowiązujące w ramach bezpiecznej przystani;
3. zwraca uwagę, że w dniu 23 marca 2017 r. 1893 organizacji amerykańskich przyłączyło się do Tarczy Prywatności UE-USA; ubolewa, że Tarcza Prywatności opiera się wyłącznie na dobrowolnej samocertyfikacji i dlatego też dotyczy tylko organizacji amerykańskich, które dobrowolnie poddały się certyfikacji, oraz że wskutek tego wiele przedsiębiorstw w ogóle nie podlega tej regulacji;
4. przyznaje, że tarcza ta ułatwia przekazywanie danych z MŚP oraz przedsiębiorstw w Unii do USA;
5. zwraca uwagę, że zgodnie z wyrokiem Trybunału w sprawie Schrems uprawnienia europejskich organów ochrony danych nie zmieniają się pod wpływem decyzji o adekwatności, zatem organy te mogą wykonywać swe uprawnienia, w tym zawieszenie lub zakaz przekazywania danych organizacji zarejestrowanej w Tarczy Prywatności UE-USA; w związku z tym z zadowoleniem przyjmuje fakt, że w ramach Tarczy Prywatności przyznano organom ochrony danych państw członkowskich istotną rolę w rozpatrywaniu skarg dotyczących ochrony prawa do prywatności i życia rodzinnego zgodnie z Kartą Praw Podstawowych UE, w prowadzeniu dochodzeń w tych sprawach i w zawieszaniu przekazywania danych, a także fakt, że Departament Handlu USA ma obowiązek rozpatrywać takie skargi;
6. odnotowuje, że w ramach Tarczy Prywatności podmioty danych z UE mają kilka możliwości skorzystania ze środków odwoławczych w USA: po pierwsze mogą złożyć skargę albo bezpośrednio do danego przedsiębiorstwa, albo za pośrednictwem Departamentu Handlu USA po uzyskaniu skierowania od odpowiedniego organu ochrony danych, albo do niezależnego organu rozstrzygania sporów; po drugie w odniesieniu do ingerencji w prawa podstawowe ze względów dotyczących bezpieczeństwa narodowego można wnieść pozew cywilny do sądu w USA, podobne skargi mogą również być kierowane do niezależnego rzecznika, który został niedawno powołany; po trzecie skargi dotyczące ingerencji w prawa podstawowe ze względów dotyczących egzekwowania prawa i interesu publicznego mogą być rozpatrywane z wykorzystaniem wniosków o odrzucenie wezwania sądowego; zachęca Komisję i organy ochrony danych do opracowania dalszych wytycznych, które ułatwią dostęp do wszystkich tych środków odwoławczych;
7. dostrzega zdecydowane zobowiązanie Departamentu Handlu Stanów Zjednoczonych do uważnego śledzenia, czy organizacje amerykańskie przestrzegają zasad Tarczy Prywatności UE-USA oraz czy zamierzają podejmować działania służące egzekwowaniu zasad wobec podmiotów, które tych zasad nie przestrzegają;
8. ponawia apel do Komisji o dążenie do wyjaśnienia statusu prawnego „pisemnych zapewnień” przedstawionych przez Stany Zjednoczone oraz o zagwarantowanie, że wszelkie zobowiązania lub ustalenia na mocy Tarczy Prywatności zostaną utrzymane po objęciu władzy przez nową administrację w Stanach Zjednoczonych;
9. jest zdania, że pomimo zobowiązań i zapewnień złożonych przez rząd USA w pismach załączonych do postanowień odnoszących się do Tarczy Prywatności, bez odpowiedzi pozostają ważne pytania co do pewnych aspektów handlowych, bezpieczeństwa narodowego oraz egzekwowania prawa;
10. w szczególności odnotowuje znaczną różnicę między ochroną przewidzianą na mocy art. 7 dyrektywy 95/46/WE a zasadą „powiadomienia i wyboru” zawartą w postanowieniach odnoszących się do Tarczy Prywatności oraz duże różnice między art. 6 dyrektywy 95/46/WE a zasadą „integralności danych i celowości” zawartą w postanowieniach odnoszących się do Tarczy Prywatności; wskazuje na potrzebę podstawy prawnej (np. zgody lub umowy), która obowiązywałaby w stosunku do wszystkich czynności przetwarzania danych, a także na to, że prawa podmiotów danych na mocy zasad Tarczy Prywatności dotyczą jedynie dwóch wąsko ujętych rodzajów czynności przetwarzania (ujawnianie i zmiana celu) i zapewniają jedynie prawo do sprzeciwu (klauzula opt-out);
11. uważa, że te liczne obawy mogą w przyszłości prowadzić do ponownego zakwestionowania w sądach decyzji w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA; podkreśla szkodliwe skutki zarówno w kontekście poszanowania praw podstawowych, jak i w kontekście pewności prawa niezbędnej dla zainteresowanych stron;
12. zwraca między innymi uwagę na brak konkretnych uregulowań dotyczących zautomatyzowanego procesu decyzyjnego, ogólnego prawa sprzeciwu, a także jasnych zasad określających, w jaki sposób zasady Tarczy Prywatności odnoszą się do podmiotów przetwarzających dane (agentów);
13. zauważa, że choć osoby fizyczne mogą wnieść sprzeciw do unijnego administratora danych w związku z jakimkolwiek przekazywaniem ich danych osobowych do Stanów Zjednoczonych oraz ich dalszym przetwarzaniem w Stanach Zjednoczonych w sytuacjach, w których przedsiębiorstwo podlegające Tarczy Prywatności przetwarza dane w imieniu unijnego administratora danych, w postanowieniach dotyczących Tarczy Prywatności brakuje konkretnych uregulowań w sprawie ogólnego prawa do sprzeciwu w stosunku do przedsiębiorstwa ze Stanów Zjednoczonych, które dokonało samocertyfikacji;
14. zauważa, że tylko niewielki odsetek organizacji ze Stanów Zjednoczonych, które dołączyły do Tarczy Prywatności, wybrało unijny organ ochrony danych jako mechanizm rozstrzygania sporów; wyraża zaniepokojenie z powodu faktu, że jest to niekorzystne dla obywateli UE próbujących egzekwować swoje prawa;
15. zwraca uwagę na brak jasnych zasad określających, w jaki sposób zasady Tarczy Prywatności odnoszą się do podmiotów przetwarzających dane (agentów), przyznając jednocześnie, że wszystkie zasady odnoszą się do przetwarzania danych osobowych przez każde przedsiębiorstwo ze Stanów Zjednoczonych, które dokonało samocertyfikacji „o ile nie wskazano inaczej”, a przekazywanie danych w celach przetwarzania zawsze wymaga umowy z unijnym administratorem danych, który określa cele i środki przetwarzania, w tym to, czy podmiot przetwarzający dane jest uprawniony do ich dalszego przekazywania (np. w celu podwykonawstwa przetwarzania danych);
16. jeżeli chodzi o bezpieczeństwo narodowe i nadzór podkreśla, że niezależnie od wyjaśnień złożonych przez Biuro Dyrektora Wywiadu Narodowego USA w pismach załączonych do ram Tarczy Prywatności, nadal możliwe jest prowadzenie masowej inwigilacji, pomimo iż władze amerykańskie określają ją innym terminem; ubolewa, że masowa inwigilacja nie jest pojęciem zdefiniowanym jednolicie i że do określenia go przejęto terminologię amerykańską, w związku z czym domaga się jednolitej, powiązanej z europejskim rozumieniem tego pojęcia, definicji masowej inwigilacji, w której ocena nie jest uzależniana od wyboru; podkreśla, że każdy rodzaj masowej inwigilacji stanowi naruszenie Karty;
17. przypomina, że w załączniku VI (pismo Roberta S. Litta z Biura Dyrektora Wywiadu Narodowego (ODNI)) wyjaśniono, iż zgodnie z rozporządzeniem prezydenckim nr 28 (zwanym dalej „PPD-28”) wykorzystywanie gromadzonych masowo danych osobowych osób spoza USA oraz ich prywatnych wiadomości jest wciąż dozwolone w sześciu przypadkach; zwraca uwagę, że takie masowe gromadzenie danych musi być jedynie „możliwie najlepiej dostosowane” i „rozsądne”, a wymóg ten nie odpowiada bardziej rygorystycznym kryteriom konieczności i proporcjonalności określonym w Karcie;
18. stwierdza z wielkim zaniepokojeniem, że Rada Nadzoru nad Prywatnością i Wolnościami Obywatelskimi, o której mowa w załączniku VI (pismo Roberta S. Litta z ODNI), jako niezależny organ ustawowy zobowiązany do analizy i oceny programów i polityki w ramach walki z terroryzmem, w tym stosowania rozpoznania radioelektronicznego w celu zapewnienia w nich odpowiedniej ochrony prywatności i wolności obywatelskich, utraciła kworum w dniu 7 stycznia 2017 r. i znajduje się w stanie braku kworum aż do momentu mianowania nowych członków Rady przez prezydenta Stanów Zjednoczonych i ich zatwierdzenia przez Senat USA; podkreśla, że w sytuacji braku kworum Rada ma ograniczoną władzę i nie może podejmować niektórych działań, które wymagają aprobaty Rady, takich jak inicjowanie projektów nadzoru lub wydawanie zaleceń dotyczących nadzoru, co poważnie osłabia złożone przez USA gwarancje i zapewnienia dotyczące przestrzegania zasad i nadzoru;
19. ubolewa nad tym, że Tarcza Prywatności UE-USA nie zabrania gromadzenia danych masowych do celów egzekwowania prawa;
20. podkreśla, że w wyroku z dnia 21 grudnia 2016 r. Trybunał Sprawiedliwości Unii Europejskiej wyjaśnił, że Kartę „należy interpretować w ten sposób, iż stoi on(a) na przeszkodzie uregulowaniu krajowemu przewidującemu do celów zwalczania przestępczości uogólnione i niezróżnicowane zatrzymywanie wszystkich danych o ruchu oraz danych dotyczących lokalizacji wszystkich abonentów i zarejestrowanych użytkowników wszystkich środków łączności elektronicznej”; zaznacza, że masowa inwigilacja w Stanach Zjednoczonych nie zapewnia zatem zasadniczo takiego samego poziomu ochrony danych osobowych i komunikacji osobistej;
21. wyraża ogromne zaniepokojenie niedawnymi doniesieniami o inwigilacji prowadzonej na zlecenie Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) przez amerykańskiego dostawcę usług komunikacyjnych w odniesieniu do wszystkich wiadomości poczty elektronicznej docierających na jego serwery jeszcze w 2015 r., czyli rok po przyjęciu PPD-28 i podczas negocjacji nad Tarczą Prywatności UE-USA; nalega, aby Komisja dążyła do uzyskania od władz Stanów Zjednoczonych pełnych wyjaśnień i udostępniła uzyskane odpowiedzi Radzie, Parlamentowi i krajowym organom ochrony danych; postrzega to jako powód zdecydowanego podania w wątpliwość zapewnień ze strony ODNI; zdaje sobie sprawę, że Tarcza Prywatności UE-USA opiera się wyłącznie na rozporządzeniu PPD-28, które zostało wydane przez prezydenta i może zostać uchylone przez każdego przyszłego prezydenta bez zgody Kongresu;
22. zauważa z niepokojem, że odpowiednio w dniu 23 i 28 marca 2017 r. Senat i Izba Reprezentantów USA przegłosowały odrzucenie zasady zaproponowanej przez Federalną Komisję Łączności, a dotyczącej „ochrony prywatności osób korzystających z usług szerokopasmowych i innych usług telekomunikacyjnych”, co w praktyce oznacza usunięcie zasad ochrony prywatności w łączności szerokopasmowej, które wymagałyby od dostawców usług internetowych uzyskania od konsumentów jednoznacznej zgody przed sprzedaniem lub udostępnieniem agencjom reklamowym i innym przedsiębiorstwom danych o przeglądanych stronach internetowych i innych informacji prywatnych; uważa to za kolejne zagrożenie dla gwarancji prywatności w Stanach Zjednoczonych;
23. wyraża ogromne zaniepokojenie publikacją dokumentu pt. „Procedures for the Availability or Dissemination of Raw Signals Intelligence Information by the National Security Agency under Section 2.3 of Executive Order 12333” [„Procedury udostępniania lub rozpowszechniania informacji pochodzących z rozpoznania radioelektronicznego (SIGINT) przez Agencję Bezpieczeństwa Narodowego na podstawie rozdziału 2.3 dekretu nr 12333”], zatwierdzonego przez Prokuratora Generalnego w dniu 3 stycznia 2017 r., umożliwiającego NSA przekazywanie dużych ilości danych osobowych zgromadzonych bez stosownego nakazu, postanowienia sądu lub zezwolenia Kongresu 16 innym agencjom, w tym FBI, Drug Enforcement Administration [Agencji ds. Egzekwowania Przepisów dotyczących Narkotyków] i Departamentowi Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych; wzywa Komisję do niezwłocznego dokonania oceny zgodności tych nowych zasad z zobowiązaniami podjętymi przez władze Stanów Zjednoczonych w ramach Tarczy Prywatności oraz ich wpływu na poziom ochrony danych osobowych w Stanach Zjednoczonych;
24. przypomina, że chociaż osoby fizyczne, w tym osoby z UE, których dane dotyczą, mają liczne możliwości dochodzenia roszczeń, jeżeli zostały objęte bezprawnym dozorem (elektronicznym) do celów bezpieczeństwa narodowego w Stanach Zjednoczonych, równie oczywiste jest, że nie uwzględniono przynajmniej niektórych podstaw prawnych, na jakie mogą powołać się amerykańskie organy wywiadowcze (np. dekret nr 12333); podkreśla ponadto, że nawet jeżeli osoby niebędące obywatelami ani rezydentami USA mogą zasadniczo korzystać z sądowych środków odwoławczych, np. w przypadku nadzoru na mocy ustawy o kontroli wywiadu, dostępne podstawy wszczęcia powództwa są jednak ograniczone, a roszczenia zgłaszane przez osoby fizyczne (w tym osoby będące obywatelami lub rezydentami USA) zostaną uznane za niedopuszczalne, jeżeli osoby te nie mogą wykazać interesu prawnego, co ogranicza dostęp do sądów powszechnych;
25. wzywa Komisję do oceny skutków dekretu z dnia 25 stycznia 2017 r. w sprawie poprawy bezpieczeństwa publicznego na terenie Stanów Zjednoczonych, zwłaszcza jego sekcji 14 dotyczącej wyjęcia cudzoziemców spod ochrony ustawy o ochronie prywatności (Privacy Act) jeśli chodzi o informacje pozwalające ustalić tożsamość, co stoi w sprzeczności z pisemnym zapewnieniem, że osoby fizyczne mają dostęp do sądowych mechanizmów odwoławczych, jeżeli amerykańskie władze miały dostęp do ich danych; zwraca się do Komisji o przekazanie szczegółowej analizy prawnej skutków dekretu jeśli chodzi o możliwości zastosowania środków ochrony prawnej i prawa do dochodzenia odszkodowania na drodze sądowej przysługujące Europejczykom przebywającym w Stanach Zjednoczonych;
26. ubolewa nad faktem, że ani zasady Tarczy Prywatności, ani wyjaśnienia i zapewnienia w pismach administracji USA nie dowodzą istnienia skutecznych mechanizmów ochrony prawnej dla obywateli UE, których dane osobowe przekazywane są do organizacji amerykańskiej w oparciu o zasady Tarczy Prywatności, a następnie do których mają dostęp amerykańskie organy publiczne w celu ich przetwarzania na potrzeby egzekwowania prawa oraz w interesie publicznym, co podkreślił Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 6 października 2015 r. jako istotę prawa podstawowego, o którym mowa w art. 47 Karty;
27. przypomina swą rezolucję z dnia 26 maja 2016 r., w której stwierdza, że rzecznik powołany przez amerykański departament stanu nie jest w wystarczającym stopniu niezależny i nie posiada skutecznych uprawnień do wykonywania swych obowiązków oraz gwarantowania obywatelom UE skutecznych środków odwoławczych; zaznacza, że do tej pory nowa administracja Stanów Zjednoczonych nie powołała nowego rzecznika po upływie kadencji podsekretarz stanu ds. wzrostu gospodarczego, energii i środowiska, powołanej na to stanowisko w lipcu 2016 r.; uważa, że z uwagi na brak powołania niezależnego rzecznika o wystarczających uprawnieniach zapewnienia Stanów Zjednoczonych dotyczące skutecznych środków odwoławczych dla obywateli UE należy uznać za nieważne; jest ponadto ogólnie zaniepokojony faktem, że osoba, której prawo do ochrony danych zostało naruszone, może tylko wnioskować o uzyskanie informacji i usunięcie danych bądź wstrzymanie ich dalszego przetwarzania, ale nie przysługuje jej prawo do odszkodowania;
28. zauważa z niepokojem, że na dzień 30 marca 2017 r. nieobsadzone są trzy z pięciu miejsc w Federalnej Komisji Handlu, która egzekwuje Tarczę Prywatności;
29. ubolewa, że procedura przyjęcia decyzji w sprawie odpowiedniej ochrony danych osobowych nie przewiduje oficjalnych konsultacji z odnośnymi zainteresowanymi podmiotami, takimi jak przedsiębiorstwa, a w szczególności organizacje reprezentujące MŚP;
30. ubolewa, że Komisja w bardzo praktyczny sposób zastosowała procedurę przyjęcia decyzji wykonawczej, która de facto nie pozwoliła Parlamentowi na skuteczne wykonanie swych uprawnień kontrolnych w odniesieniu do projektu aktu wykonawczego;
31. wzywa Komisję, by podjęła wszelkie niezbędne działania na rzecz zapewnienia, że Tarcza Prywatności będzie w pełni zgodna z rozporządzeniem (UE) 2016/679, które ma wejść w życie od 16 maja 2018 r., i z Kartą;
32. wzywa Komisję do zapewnienia w szczególności, że dane osobowe przekazywane do Stanów Zjednoczonych na podstawie Tarczy Prywatności będą mogły być przekazywane do kolejnego państwa trzeciego jedynie wówczas, gdy takie przekazanie będzie zgodne z pierwotnym celem gromadzenia danych oraz jeśli w danym państwie trzecim obowiązują takie same zasady szczególnego i ukierunkowanego dostępu do danych w celach egzekwowania prawa;
33. wzywa Komisję do zapewnienia, że dane osobowe, które przestały być przydatne do celu, w którym zostały pierwotnie zgromadzone, będą usuwane, również przez organy egzekwowania prawa;
34. wzywa Komisję do ścisłego monitorowania, czy Tarcza Prywatności umożliwia organom ochrony danych pełne korzystanie z przysługujących im uprawnień, a jeśli nie – do identyfikacji przepisów, które im to uniemożliwiają;
35. wzywa Komisję, by podczas pierwszego wspólnego przeglądu rocznego przeprowadziła szczegółową i dogłębną analizę wszystkich niedociągnięć i słabych punktów, o których mowa w niniejszej rezolucji, w rezolucji z dnia 26 maja 2016 r. w sprawie transatlantyckich przepływów danych, a także tych wskazanych przez grupę roboczą art. 29, EIOD oraz zainteresowane podmioty, a także poinformowała, jakie podjęto w związku z nimi działania, by zapewnić zgodność z Kartą oraz prawem unijnym, jak również by szczegółowo przeanalizowała, czy mechanizmy i zabezpieczenia wskazane w gwarancjach i wyjaśnieniach administracji USA są skuteczne i wykonalne;
36. wzywa Komisję do dołożenia starań, by do celu prowadzenia wspólnego przeglądu rocznego wszyscy członkowie zespołu uzyskali pełny i nieograniczony dostęp do wszystkich dokumentów oraz obiektów niezbędnych do wykonywania ich zadań, w tym do elementów umożliwiających właściwą ocenę konieczności i proporcjonalności gromadzenia danych i dostępu do przekazywanych danych przez organy publiczne zarówno w celach egzekwowania prawa, jak i zapewnienia bezpieczeństwa narodowego;
37. podkreśla, że należy zagwarantować niezależność wszystkich członków zespołu ds. wspólnego przeglądu w wykonywaniu ich zadań, powinni oni też mieć prawo do zgłaszania odmiennych opinii w sprawozdaniu końcowym ze wspólnego przeglądu, które zostaną podane do wiadomości publicznej i załączone do wspólnego sprawozdania;
38. wzywa unijne organy ochrony danych, by nadzorowały funkcjonowanie Tarczy Prywatności UE-USA oraz wykonywały swe uprawnienia, w tym zawieszenie lub ostateczny zakaz przekazywania danych osobowych organizacjom w ramach Tarczy Prywatności UE-USA, jeżeli są zdania, że nie zapewniono podstawowego prawa do prywatności oraz ochrony danych osobowych unijnych podmiotów danych;
39. podkreśla, że Parlament powinien mieć pełny dostęp do wszelkich odnośnych dokumentów odnoszących się do wspólnego przeglądu rocznego;
40. zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Komisji, Radzie, rządom i parlamentom państw członkowskich oraz rządowi i Kongresowi USA.