Europa-Parlamentets beslutning af 5. juli 2018 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred (2018/2645(RSP))
Europa-Parlamentet,
– der henviser til traktaten om Den Europæiske Union (TEU), traktaten om Den Europæiske Unions funktionsmåde (TEUF) og artikel 6, 7, 8, 11, 16, 47 og 52 i Den Europæiske Unions charter om grundlæggende rettigheder (chartret),
– der henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)(1) og til Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA(2),
– der henviser til EU-Domstolens dom af 6. oktober 2015 i sag C-362/14, Maximillian Schrems mod Data Protection Commissioner(3),
– der henviser til EU-Domstolens dom af 21. december 2016 i sag C-203/15, Tele2 Sverige AB mod Post- och telestyrelsen, og sag C-698/15, Secretary of State for the Home Department mod Tom Watson m.fl.(4),
– der henviser til Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred(5),
– der henviser til udtalelse 4/2016 fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) af 30. maj 2016 om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's værn om privatlivets fred(6),
– der henviser til udtalelse 01/2016 fra Artikel 29-Gruppen vedrørende Databeskyttelse (WP29) af 13. april 2016 om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's værn om privatlivets fred(7) og WP29-erklæringen af 26. juli 2016(8),
– der henviser til rapport fra Kommissionen af 18. oktober 2017 til Europa-Parlamentet og Rådet om den første årlige evaluering af EU's og USA's værn om privatlivets fred (COM(2017)0611) og arbejdsdokumentet fra Kommissionens tjenestegrene, der ledsager dokumentet (SWD(2017)0344),
– der henviser til dokument fra WP29 af 28. november 2017 med titlen "EU's og USA's værn om privatlivets fred — Første årlige fælles evaluering"(9),
– der henviser til WP29's svarskrivelse af 11. april 2018 om fornyet godkendelse af afsnit 702 i den amerikanske Foreign Intelligence Surveillance Act (FISA),
– der henviser til sin beslutning af 6. april 2017 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred(10)
– der henviser til forretningsordenens artikel 123, stk. 2,
A. der henviser til, at EU-Domstolen i sin dom af 6. oktober 2015 i sag C-362/14, Maximillian Schrems mod Data Protection Commissioner, kendte safe harbour-beslutningen ugyldig og præciserede, at udtrykket et tilstrækkeligt beskyttelsesniveau i et tredjeland skal forstås således, at der kræves et beskyttelsesniveau, der "i det væsentlige svarer" til det niveau, der er sikret inden for Unionen i medfør af direktiv 95/46/EF, sammenholdt med chartret, hvorfor der er behov for at afslutte forhandlingerne om en ny ordning med henblik på at sikre retssikkerhed om, hvordan personoplysninger bør overføres fra EU til USA;
B. der henviser til, at Kommissionen i forbindelse med undersøgelsen af beskyttelsesniveauet i et tredjeland er forpligtet til at vurdere indholdet af de regler, der finder anvendelse i det pågældende land i medfør af dets nationale ret eller dets internationale forpligtelser, samt den praksis, der har til formål at sikre overholdelsen af disse regler, eftersom den i henhold til artikel 25, stk. 2, i direktiv 95/46/EF skal foretage sin vurdering på grundlag af samtlige de forhold, der har indflydelse på en videregivelse af personoplysninger til et tredjeland; der henviser til, at denne vurdering ikke kun må henvise til lovgivning og praksis vedrørende beskyttelsen af personoplysninger, som anvendes til erhvervsmæssige og private formål, men også skal omfatte alle aspekter af de rammer, der finder anvendelse på det pågældende land eller den pågældende sektor, navnlig, men ikke begrænset til, retshåndhævelse, national sikkerhed og respekten for de grundlæggende rettigheder;
C. der henviser til, at videregivelser af personoplysninger mellem kommercielle organisationer i EU og USA i lyset af den stigende digitalisering af den globale økonomi er et vigtigt element i de transatlantiske forbindelser; der henviser til, at disse videregivelser derfor bør gennemføres med fuld respekt for retten til beskyttelse af personoplysninger og retten til privatlivets fred; der henviser til, at et af EU's grundlæggende mål er beskyttelsen af grundlæggende rettigheder som nedfældet i chartret;
D. der henviser til, at Facebook, der har skrevet under på værnet om privatlivets fred, har bekræftet, at oplysninger om 2,7 millioner EU-borgere var blandt de oplysninger, som blev misbrugt af den politiske rådgivningsvirksomhed Cambridge Analytica;
E. der henviser til, at EDPS i sin udtalelse 4/2016 pegede på en række betænkeligheder ved udkastet til værnet om privatlivets fred; der henviser til, at EDPS i den samme udtalelse udtrykker sin tilfredshed med de bestræbelser, som alle parter har udfoldet, for at finde en løsning for videregivelse af personoplysninger fra EU til USA til kommercielle formål på grundlag af et selvcertificeringssystem;
F. der henviser til, at WP29 i sin udtalelse 01/2016 om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's værn om privatlivets fred bifaldt de væsentlige forbedringer, som værnet om privatlivets fred indebar i forhold til safe harbour-beslutningen, og udtrykte samtidig stærke betænkeligheder ved såvel de kommercielle aspekter som offentlige myndigheders adgang til oplysninger videregivet under værnet om privatlivets fred;
G. der henviser til, at Kommissionen den 12. juli 2016 efter yderligere drøftelser med den amerikanske regering vedtog sin gennemførelsesafgørelse (EU) 2016/1250, hvori den fastslog, at beskyttelsesniveauet i henhold til EU's og USA's værn om privatlivets fred for personoplysninger, der videregives fra EU til organisationer i USA, er tilstrækkeligt;
H. der henviser til, at EU's og USA's værn om privatlivets fred er ledsaget af flere ensidige forpligtelser og forsikringer fra den amerikanske regering, der bl.a. forklarer databeskyttelsesprincipperne, reglerne om tilsyn, håndhævelse og klageadgang og de beskyttelsesforanstaltninger og garantier, der gælder i forbindelse med sikkerhedstjenesternes adgang til og behandling af personoplysninger;
I. der henviser til, at WP29 i sin erklæring af 26. juli 2016 bifalder de forbedringer, som EU's og USA's værn om privatlivets fred giver sammenlignet med safe harbour-ordningen, og roser Kommissionen og de amerikanske myndigheder for at have taget hensyn til dens betænkeligheder; der henviser til, at WP29 dog anfører, at flere af dens betænkeligheder, såvel med hensyn til de kommercielle aspekter som de amerikanske offentlige myndigheders adgang til oplysninger, der videregives fra EU, fortsat er aktuelle, heriblandt manglen på specifikke regler om automatiske afgørelser og en generel ret til at gøre indsigelse, behovet for strengere garantier for ombudsmandsmekanismens uafhængighed og beføjelser samt manglen på konkrete løfter om ikke at foretage massiv og vilkårlig indsamling af personoplysninger (masseindsamling)
J. der henviser til, at Parlamentet i sin beslutning af 6. april 2017 anerkender, at EU og USA's værn om privatlivets fred indeholder væsentlige forbedringer med hensyn til tydeligheden af standarder i sammenligning med den tidligere safe harbour-aftaler mellem EU og USA, men samtidig mener, at vigtige spørgsmål for så vidt angår visse kommercielle aspekter, national sikkerhed og retshåndhævelse er uafklarede; der henviser til, at det opfordrer Kommissionen til i forbindelse med den første årlige fælles evaluering at foretage en grundig og dybtgående undersøgelse af alle manglerne og svaghederne og redegøre for, hvad man har gjort for at afhjælpe dem med henblik på at sikre overholdelsen af chartret og EU-lovgivningen, samt til at foretage en omhyggelig evaluering af, om de ordninger og garantier, som der henvises til i forsikringerne og præciseringerne fra den amerikanske regering, er effektive og gennemførlige;
K. der henviser til, at der i rapporten fra Kommissionen til Parlamentet og Rådet om den første årlige evaluering af funktionen af EU's og USA's værn om privatlivets fred og det arbejdsdokument fra Kommissionens tjenestegrene, der ledsager dette dokument, samtidig med at det blev anerkendt, at de amerikanske myndigheder har indført de nødvendige strukturer og procedurer til sikring af, at værnet om privatlivets fred fungerer korrekt, og konkluderet, at USA fortsat sikrer et tilstrækkeligt beskyttelsesniveau for personoplysninger, der videregives under værnet om privatlivets fred, blev fremsat ti anbefalinger til de amerikanske myndigheder med henblik på at løse problemer vedrørende ikke blot det amerikanske handelsministeriums opgaver og aktiviteter i sin egenskab af administrator med ansvar for overvågning af certificeringen af organisationer, der indgår i værnet om privatlivets fred, og håndhævelse af principperne, men også spørgsmål vedrørende den nationale sikkerhed, eksempelvis fornyet godkendelse af afsnit 702 i FISA, indførelsen af en permanent ombudsmand samt den omstændighed, at medlemmerne af Privacy Civil Liberties Oversight Board (PCLOB) (rådet for tilsyn med privatlivets fred og borgerlige rettigheder) endnu ikke er udpeget;
L. der henviser til, at udtalelsen af 28. november 2017 fra WP29 med titlen "databeskyttelsesskjoldet mellem EU og USA – første årlige fælles evaluering" efter den første årlige fælles evaluering anerkender fremskridtene i værnet om privatlivets fred i forhold til den omstødte safe harbour-afgørelse; der henviser til, at WP29 anerkender de amerikanske myndigheders og Kommissionens bestræbelser for at gennemføre værnet om privatlivets fred;
M. der henviser til, at WP29 har identificeret en række vigtige uløste spørgsmål af væsentlig betydning både for så vidt angår handelsmæssige spørgsmål og spørgsmål vedrørende de amerikanske offentlige myndigheders adgang til oplysninger, der videregives til USA under værnet om privatlivets fred (enten til formål i forbindelse med retshåndhævelse eller den nationale sikkerhed), som både Kommissionen og de amerikanske myndigheder skal tage hånd om; der henviser til, at Parlamentet har anmodet om, at der straks, og senest ved den anden fælles evaluering, iværksættes en handlingsplan for at vise, at der vil blive taget hånd om alle disse spørgsmål;
N. der henviser til, at medlemmerne af WP29, såfremt dens betænkeligheder ikke bliver afhjulpet inden for de fastsatte tidsfrister, vil træffe passende foranstaltninger, herunder indbringe afgørelsen om tilstrækkeligheden af værnet om privatlivets fred, for nationale domstole med henblik på at få dem til at anmode EU-Domstolen om en præjudiciel afgørelse;
O. der henviser til, at et annullationssøgsmål (sag T-738/16, La Quadrature du Net m.fl. mod Kommissionen) og en henvisning fra den irske højesteret i sagen mellem Data Protection Commissioner of Ireland og Facebook Ireland Ltd og Maximilian Schrems (Schrems II-sagen) er blevet indbragt for EU-Domstolen; der henviser til, at det i henvisningen bemærkes, at der fortsat foregår masseovervågning, og undersøges, om der i den amerikanske lovgivning findes effektive retsmidler for EU-borgere, hvis personoplysninger videregives til USA;
P. der henviser til, at den amerikanske kongres den 11. januar 2018 igen godkendte og ændrede afsnit 702 i FISA for seks år uden at tage hensyn til de bekymringer, som var blevet fremsat i Kommissionens fælles evalueringsrapport og i WP29’s udtalelse;
Q. der henviser til, at den amerikanske Kongres som led i den almindelige finanslov, som blev undertegnet den 23. marts 2018, vedtog loven om præcisering af lovlig udenlandsk anvendelse af data (Clarifying Lawful Overseas Use of Data – CLOUD) som letter retshåndhævende myndigheders adgang til indholdet af kommunikation og andre relaterede data ved at tillade amerikanske retshåndhævende myndigheder til at pålægge fremlæggelse af kommunikationsdata, selv om disse lagres uden for USA, og ved at tillade visse lande at indgå gennemførelsesaftaler med USA med henblik på at gør det muligt for amerikanske tjenesteudbydere at reagere på visse udenlandske ordrer, der søger adgang til kommunikationsdata;
R. der henviser til, at Facebook Inc., Cambridge Analytica og SCL elections Ltd er virksomheder, der er certificeret inden for rammerne af værnet om privatlivets fred, og som sådan nød godt af afgørelsen om et tilstrækkeligt beskyttelsesniveau som retligt grundlag for videregivelse og viderebehandling af personoplysninger fra EU til USA;
S. der henviser til, at Kommissionen i henhold til artikel 45, stk. 5, i den generelle forordning om databeskyttelse, skal ophæve, ændre eller suspendere sin afgørelse om tilstrækkeligt beskyttelsesniveau, hvis tilgængelige oplysninger viser, at et tredjeland ikke længere sikrer et tilstrækkeligt beskyttelsesniveau;
1. henviser til de vedvarende svagheder i værnet om privatlivets fred for så vidt angår overholdelsen af de registreredes grundlæggende rettigheder; understreger den tiltagende risiko for, at EU-Domstolen kan erklære Kommissionens gennemførelsesafgørelse (EU) 2016/1250 om værnet om privatlivets fred for ugyldig;
2. noterer sig forbedringer i forhold til safe harbour-aftalen, herunder indsættelsen af centrale definitioner, strengere forpligtelser med hensyn til lagring af data og videregivelse til tredjelande, oprettelse af en ombudsmand til at sikre klageadgang for enkeltpersoner og uafhængigt tilsyn, kontrolmekanismer, der sikrer de registreredes rettigheder (PCLOB), eksterne og interne vurderinger af overholdelsen, mere regelmæssig og grundig dokumentation og overvågning, tilstedeværelsen af en række måder, hvorpå man kan få adgang til retsmidler, samt at nationale databeskyttelsesmyndigheder har en fremtrædende rolle i forbindelse med behandlingen af klager;
3. minder om, at WP29 fastsatte den 25. maj 2018 som frist for afhjælpe de udestående spørgsmål, hvorefter den kan beslutte at indbringe værnet om privatlivets fred for de nationale domstole med henblik på at få dem til at anmode EU-Domstolen om en præjudiciel afgørelse(11).
Institutionelle spørgsmål/udpegelser
4. beklager, at det har taget så lang tid at udpege to yderligere medlemmer i tilknytning til udpegelsen af PCLOB's formand og opfordrer indtrængende til at kontrollere deres profiler for at ratificere udpegelsen, således at det uafhængige agentur atter bliver beslutningsdygtigt og i stand til at varetage sin opgave med at forebygge terrorisme og sikre behovet for at beskytte privatlivets fred og borgerrettighederne;
5. er bekymret over, at manglen på en formand og de ubesatte poster har begrænset PCLOB's handleevne og evne til at varetage sine forpligtelser; fremhæver, at PCLOB i en periode, hvor det ikke er fuldtalligt, ikke kan ikke indlede nye rådgivnings- eller tilsynsprojekter eller ansætte personale; minder om, at PCLOB endnu ikke har offentliggjort sin længe ventede rapport om gennemførelsen af overvågning i henhold til præsidentielt dekret 12333 for at give oplysninger om den konkrete funktion af dette præsidentielle dekret og om dets nødvendighed og forholdsmæssighed med hensyn til interferens i databeskyttelsen i den forbindelse; bemærker, at denne rapport er særdeles ønskværdig i betragtning af usikkerheden og uforudsigeligheden med hensyn til, hvordan dekret 12333 anvendes; beklager, at PCLOB ikke offentliggjorde en ny rapport om afsnit 702 i FISA inden før dets fornyede godkendelse i januar 2018; mener, at det, at PCLOB ikke er fuldtalligt, i alvorlig grad undergraver garantierne og forsikringerne om overholdelse og tilsyn fra USA's myndigheder; opfordrer indtrængende de amerikanske myndigheder til hurtigst muligt at udpege nye bestyrelsesmedlemmer og bekræfte udpegelserne;
6. opfordrer i lyset af, at præsidentielt politikdirektiv 28 (i det efterfølgende benævnt PPD 28) er et af de centrale elementer, som værnet om privatlivets fred bygger på, opfordrer til udsendelse af PCLOB's rapport om PPD 28, som stadig er omfattet af præsidentiel fortrolighed og derfor endnu ikke er blevet offentliggjort;
7. gentager sit synspunkt om, at den ombudsmandsordning, der er oprettet af det amerikanske udenrigsministerium, ikke er tilstrækkeligt uafhængig og ikke er udstyret med tilstrækkelige beføjelser til at kunne udføre sine opgaver og sikre EU-borgere en effektiv klageadgang; understreger, at det er nødvendigt at fastlægge hvilke beføjelser ombudsmanden præcist har, særligt med hensyn til hans/hendes beføjelser over for efterretningsvæsener og med hensyn til, i hvilken udstrækning hans/hendes afgørelser skal følges; beklager, at ombudsmanden kun kan anmode om tiltag og oplysninger fra amerikanske regeringsorganer, og ikke kan pålægge myndighederne at ophøre med og indstille uretmæssig overvågning eller permanent at tilintetgøre oplysninger; påpeger, at der ganske vist findes en fungerende ombudsmand, men at den amerikanske regering fortsat ikke har udpeget en ny permanent ombudsmand, hvilket ikke bidrager til den gensidige tillid; mener, at såfremt der ikke er en udpeget, uafhængig og erfaren ombudsmand med tilstrækkelige beføjelser, ville USA’s forsikringer med hensyn til effektiv klageadgang være ugyldige;
8. tager Senatets seneste bekræftelse af udnævnelsen af en ny formand for Federal Trade Commission (FTC) og fire medlemmer; beklager, i betragtning af at FTC er det kompetente organ for håndhævelse af principperne i henhold til værnet om privatlivets fred over for amerikanske organisationer, at fire ud af fem pladser indtil ovennævnte bekræftelse ikke havde været besat;
9. fremhæver, at de nylige afsløringer vedrørende Facebooks og Cambridge Analyticas praksis understreger behovet for proaktive tilsyns- og håndhævelsesforanstaltninger, der ikke kun bygger på klager, men omfatter systematiske kontroller af, om privatlivspolitikkerne i praksis overholder principperne i henhold til værnet om privatlivets fred gennem hele livscyklussen for certificering; opfordrer EU's kompetente databeskyttelsesmyndigheder til at træffe passende foranstaltninger og suspendere videregivelser i tilfælde af manglende overholdelse;
Handelsmæssige spørgsmål
10. finder, at handelsministeriet for at sikre gennemsigtighed og undgå falske påstande om certificering ikke bør tillade amerikanske virksomheder offentligt at henvise til deres certificering i henhold til værnet om privatlivets fred, før det har afsluttet certificeringsprocessen og opført dem på listen over organisationer, der har tilsluttet sig værnet om privatlivets fred; er bekymret over, at handelsministeriet ikke har gjort brug af den mulighed, der er fastsat inden for rammerne af værnet om privatlivets fred, for at anmode om kopier af de kontraktvilkår, der anvendes af certificerede virksomheder i deres kontrakter med tredjeparter med henblik på at sikre overholdelse; mener derfor, at der ikke er nogen effektiv kontrol med, om certificerede virksomheder faktisk overholder bestemmelserne i værnet om privatlivets fred; opfordrer handelsministeriet til proaktivt og regelmæssigt at foretage kontroller i embeds medfør for at overvåge virksomhedernes faktiske overholdelse af bestemmelser og krav i værnet om privatlivets fred;
11. finder, at de forskellige klageprocedurer for EU's borgere kan vise sig at være for komplekse, vanskelige at anvende og dermed ikke så effektive; bemærker – som det understreges af de selskaber, der leverer uafhængige klageinstanser (IRM'er) – at de fleste klager indgives direkte til selskaberne af enkeltpersoner, der søger generelle oplysninger om værnet om privatlivets fred og behandlingen af deres data; anbefaler derfor, at de amerikanske myndigheder tilbyder mere konkrete oplysninger på webstedet for værnet om privatlivets fred i en tilgængelig og letforståelig form til enkeltpersoner om deres rettigheder og forhåndenværende retsmidler og klagemuligheder;
12. opfordrer i lyset af de seneste afsløringer af misbrug af personoplysninger af selskaber, der er certificeret under værnet om privatlivets fred, såsom Facebook og Cambridge Analytica, de amerikanske myndigheder med ansvar for håndhævelsen af værnet om privatlivets fred til straks at reagere på sådanne afsløringer i fuld overensstemmelse med de afgivne garantier og forpligtelser om at opretholde det nuværende værn for privatlivets fred og om fornødent fjerne disse selskaber fra listen over organisationer, der har tilsluttet sig værnet om privatlivets fred; opfordrer ligeledes EU's kompetente databeskyttelsesmyndigheder til at undersøge sådanne afsløringer og i givet fald suspendere eller forbyde videregivelse af oplysninger, som er beskyttede under værnet om privatlivets fred; mener, at afsløringerne klart viser, at værnet om privatlivets fred ikke i tilstrækkelig grad tilgodeser retten til beskyttelse af data;
13. er alvorligt bekymret over ændringen af Facebooks servicevilkår for ikke-EU-brugere uden for USA og Canada, som hidtil har haft rettigheder i henhold til EU's databeskyttelseslovgivning, og som nu skal acceptere Facebook USA som dataansvarlig i stedet for Facebook Ireland. mener, at dette udgør en overførsel af ca. 1,5 milliarder brugeres personoplysninger til et tredjeland; tvivler alvorligt på, hvorvidt en sådan hidtil uset omfattende begrænsning af de grundlæggende rettigheder for brugere af en platform, som de facto er et monopol, var det, der var hensigten med værnet om privatlivets fred; opfordrer EU's databeskyttelsesmyndigheder til at undersøge dette spørgsmål;
14. er stærkt bekymret over, at et sådant misbrug af personoplysninger af forskellige enheder med sigte på at manipulere politiske holdninger eller vælgeradfærd kan udgøre en trussel mod den demokratiske proces og dens underliggende idé om, at vælgerne på egen hånd er i stand til at træffe informerede, faktabaserede beslutninger, såfremt der ikke tages hånd om problemet;
15. glæder sig over og støtter opfordringerne til de amerikanske lovgivere om at bevæge sig i retning af en samlet lov om beskyttelse af privatlivets fred og databeskyttelse;
16. gentager sine betænkeligheder over manglen på specifikke regler og garantier i værnet om privatlivets fred for beslutninger, der er truffet på grundlag af automatisk behandling/profilering, og som har retsvirkning eller væsentligt påvirker enkeltpersoner; anerkender Kommissionens hensigt om at bestille en undersøgelse for at indsamle faktuel dokumentation og yderligere vurdere relevansen af automatisk beslutningstagning for så vidt angår videregivelse af oplysninger, der er omfattet af værnet om privatlivets fred; opfordrer Kommissionen til at fastsætte specifikke regler om automatisk beslutningstagning for at sikre tilstrækkelige garantier, hvis det anbefales i undersøgelsen; noterer sig i denne forbindelse oplysningerne fra den fælles evaluering om, at automatiske afgørelser ikke må ikke finde sted på grundlag af personoplysninger, der er blevet videregivet i henhold til værnet om privatlivets fred; beklager, at feedbacken fra virksomhederne ifølge WP29, "var meget generel, så det ikke var klart, om disse udsagn svarer til virkeligheden i alle de virksomheder, der har tilsluttet sig værnet om privatlivets fred"; understreger endvidere anvendeligheden af den generelle forordning om databeskyttelse i henhold til vilkårene i artikel 3, stk. 2, i den generelle forordning om databeskyttelse;
17. understreger, at der bør foretages yderligere forbedringer foretages med hensyn til fortolkningen og håndteringen af HR-data, fordi den amerikanske regering på den ene side og Kommissionen og WP29 på den anden fortolker begrebet "HR-data" forskelligt; deler fuldt ud WP29’s opfordring til Kommissionen om at indlede forhandlinger med de amerikanske myndigheder med henblik på at ændre værnet privatlivets fred for så vidt dette angår;
18. gentager sin bekymring over, at principperne for værnet for privatlivets fred ikke følger EU's model for samtykkebaseret databehandling, men kun under meget specifikke omstændigheder giver mulighed for at springe fra/ret til at gøre indsigelse; opfordrer derfor i lyset af den fælles evaluering, at handelsministeriet samarbejder med de europæiske databeskyttelsesmyndigheder om at give mere præcise retningslinjer med hensyn til væsentlige principper i værnet om privatlivets fred, f.eks. princippet om valgfrihed, princippet om oplysningspligt, yderligere videregivelser, dataansvarliges og databehandleres forhold og adgang, som er meget mere på linje med den registreredes rettigheder i henhold til forordning (EU) 2016/679;
19. gentager sin bekymring over Kongressens afvisning i marts 2017 af den regel, der blev forelagt af Federal Communications Commission vedrørende "Beskyttelse af privatlivets fred for kunder til bredbånd og andre telekommunikationstjenesteydelser", hvilket i praksis eliminerer regler om privatlivets fred for bredbånd, som ville have krævet, at internetudbydere indhentede forbrugernes udtrykkelige godkendelse til, at websøgningshistorik og andre private oplysninger blev solgt til eller delt med annoncører og andre virksomheder; mener, at dette er endnu en trussel mod privatlivets fred i USA;
Retshåndhævelse og nationale sikkerhedsanliggender
20. mener, at termen "national sikkerhed", som det indgår i EU's og USA's værn om privatlivets fred-mekanismen, ikke er tilstrækkeligt afgrænset til at sikre, at databeskyttelsesbrister i nogen væsentlig grad kan prøves ved domstolene i den hensigt at sikre overensstemmelse med en nøje prøvning af, hvad der er nødvendigt og forholdsmæssigt afpasset; opfordrer derfor til en klar definition af "national sikkerhed".
21. tager til efterretning, at antallet af overvågningsmål under Afsnit 702 i FISA er blevet forhøjet som følge af ændringer i teknologi- og kommunikationsmønstre såvel som et stadigt foranderligt trusselsbillede;
22. beklager, at USA ikke benyttede lejligheden i forbindelse med den seneste fornyelse af godkendelse af Afsnit 702 i FISA til at indføje de sikkerhedsmekanismer, som er omhandlet i PPD-28; anmoder om beviser for og juridisk bindende tilsagn om, at dataindsamling i medfør af Afsnit 702 ikke er vilkårlig, og at adgang ikke foretages på generelt grundlag (masseindsamling) i modsætning til chartret; noterer sig Kommissionens redegørelse i sit arbejdsdokument om, at overvågning i medfør af Afsnit 702 altid er baseret på selektorer og derfor ikke tager højde for masseindsamling; tilslutter sig derfor opfordringen fra WP29 til, at PCLOB fremkommer med en opdateret rapport om definition af overvågningsmål, selektor-opgavetildeling og den konkrete procedure for anvendelse af selektorerne inden for rammerne af UPSTREAM-programmet i den hensigt at afklare og vurdere, hvorvidt masseadgang til personoplysninger forekommer i denne sammenhæng; beklager dybt, at personer fra EU er udelukket fra den supplerende beskyttelse, der gælder i medfør af den fornyede godkendelse af Afsnit 702; beklager, at den fornyede godkendelse af Afsnit 702 indeholder indtil flere ændringer af ren proceduremæssig art, men ikke berører de mest problematiske forhold, som også fremhævet af WP29; opfordrer Kommissionen til at tage WP29's snarlige analyse af Afsnit 702 alvorligt og tage skridt i overensstemmelse hermed;
23. fastslår, at den fornyede godkendelse af Afsnit 702 for yderligere 6 år sætter spørgsmålstegn ved legaliteten af EU's og USA's værn om privatlivets fred;
24. gentager sin bekymring over præsidentdekret 12333, der tillader NSA at udveksle store mængder persondata, der er indsamlet uden dommerkendelser, retslig bemyndigelse eller Kongressens bemyndigelse med 16 andre agenturer, herunder FBI, narkotikaagenturet DEA og agenturet for indenlandsk sikkerhed; beklager manglen på enhver form for domstolstilsyn med overvågningsaktiviteter udført med hjemmel i præsidentdekret 12333;
25. fremhæver de bestående hindringer vedrørende domstolsadgang for ikke-amerikanske borgere, der er genstand for et overvågningstiltag med hjemmel i Afsnit 702 i FISA eller dekret 12333 som følge af de proceduremæssige krav vedrørende "stående", som de i øjeblikket fortolkes af de amerikanske domstole, med henblik på at sætte ikke-amerikanske statsborgere i stand til at tage retslige skridt ved amerikanske domstole vedrørende afgørelser, der berører dem;
26. udtrykker sin bekymring over konsekvenserne af præsidentdekret 13768 om "højnelse af den offentlige sikkerhed inden for USA's grænser" for så vidt angår de retslige og administrative retsmidler, der er til rådighed for enkeltpersoner i USA, eftersom beskyttelsesmekanismerne i den amerikanske lov om privatlivets fred (Privacy Act) ikke længere gælder for ikke-amerikanske borgeres vedkommende; noterer sig Kommissionens holdning: at tilstrækkelighedsvurderingen ikke beror på beskyttelsesmekanismerne i Privacy Act, hvorfor dette dekret ikke berører EU's og USA's værn om privatlivets fred; finder, at dekret 13768 imidlertid vidner om, at den amerikanske regering har til hensigt at ophæve de databeskyttelsesgarantier, der tidligere er blevet indført for EU-borgerne, og at tilsidesætte de tilsagn, der blev fremsat over for EU under Obama-regeringen;
27. udtrykker dyb bekymring over den nylige vedtagelse af CLOUD-loven (H.R. 4943) om afklaring af lovlig oversøisk anvendelse af data, idet denne udvider amerikanske og udenlandske retshåndhævende myndigheders muligheder for at udpege mål og få adgang til personoplysninger på tværs af internationale grænser uden at gøre brug af MLAT-instrumentet til gensidig retshjælp, der opstiller hensigtsmæssige sikkerhedsmekanismer og holder sig til de juridiske beføjelser i de lande, hvor informationerne befinder sig; fremhæver, at CLOUD-loven kan få alvorlige implikationer for EU som følge af sin rækkevidde og skaber risiko for uoverensstemmelse med EU's databeskyttelseslove;
28. finder, at en mere afbalanceret løsning ville have været at styrke det eksisterende internationale traktatsystem for gensidig retshjælp MLAT med henblik på at tilskynde til internationalt og juridisk samarbejde; gentager, at gensidig retshjælp og andre internationale aftaler som det fremgår af artikel 48 i den generelle forordning om databeskyttelse er det foretrukne redskab til at give adgang til personoplysninger i udlandet;
29. beklager dybt, at de amerikanske myndigheder ikke har formået på foregribende vis at indfri deres tilsagn om at give Kommissionen rettidige og altomfattende oplysninger om alt, hvad der kan være af relevans for EU's og USA's værn om privatlivets fred, herunder at Kommissionen ikke blev underrettet om ændringer af de amerikanske retlige rammer, som eksempelvis ved præsident Trumps dekret 13768 om højnelse af den offentlige sikkerhed inden for USA's grænser eller ophævelsen af privatlivets fred-reglerne gældende for internet-serviceudbydere;
30. minder, som det også fremgår af sin beslutning af 6. april 2017, om, at hverken principperne i EU's og USA's værn om privatlivets fred eller skrivelserne til den amerikanske forvaltning om at fremkomme med en afklaring på og forsikringer for eksistensen af reel ret til domstolsadgang for enkeltpersoner i EU for så vidt angår amerikanske myndigheders anvendelse af personoplysninger til formål knyttet til retshåndhævelse og offentlighedens interesse, hvilket blev fremhævet af EU-Domstolen i dens afgørelse af 6. oktober 2015 som kernen i de grundlæggende rettigheder i artikel 47 i EU's charter;
Konklusioner
31. opfordrer Kommissionen til at tage alle fornødne skridt til at sikre, at EU's og USA's værn om privatlivets fred vil være i nøje overensstemmelse med forordning (EU) 2016/679, der finder anvendelse fra og med 25. maj 2018, og med EU's charter, således at tilstrækkeligheden ikke afstedkommer smuthuller eller konkurrencemæssige fordele for amerikanske virksomheder;
32. beklager dybt, at Kommissionen og de kompetente amerikanske myndigheder ikke genoptog drøftelserne om principperne i EU's og USA's værn om privatlivets fred-ordningen med henblik på så hurtigt som muligt at tage hånd om de påpegede mangler, som opfordret til i WP29's rapport fra december om den fælles gennemgang; opfordrer Kommissionen og de kompetente amerikanske myndigheder til at tage dette skidt så snart som muligt;
33. minder om, at beskyttelse af data og privatlivets fred er juridisk håndhævelige grundlæggende rettigheder, der er fastsat i traktaterne, chartret og den europæiske menneskerettighedskonvention såvel som i lovgivningen og i retspraksis; fremhæver, at disse skal anvendes på en måde, der ikke i urimelig grad er til hinder for handel eller internationale forbindelser, men at de ikke kan "afvejes" i forhold til kommercielle eller politiske interesser;
34. er af den holdning, at den nuværende EU's og USA's værn om privatlivets fred-ordning ikke yder det tilstrækkelige niveau af beskyttelse, som kræves i henhold til EU's databeskyttelsesret og chartret som det er fortolket af EU-Domstolen;
35. mener, at såfremt USA ikke til fulde efterlever bestemmelserne pr. 1. september 2018, må Kommissionen anses for ikke at have efterlevet artikel 45, stk. 5, i den generelle forordning om databeskyttelse; opfordrer derfor Kommissionen til at suspendere EU's og USA's værn om privatlivets fred, indtil de amerikanske myndigheder efterlever dets bestemmelser;
36. pålægger Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender fortsat at føre opsyn med udviklingen på dette område, herunder sager indbragt for EU-Domstolen, og til at følge op på de henstillinger, der er fremsat i denne beslutning;
o o o
37. pålægger sin formand at sende denne beslutning til Rådet og Kommissionen, til medlemsstaternes regeringer og parlamenter samt til Europarådet.