Europski parlament,

–  uzimajući u obzir Ugovor o Europskoj uniji (UEU), Ugovor o funkcioniranju Europske unije (UFEU) i članke 6., 7., 8., 11., 16., 47. i 52. Povelje o temeljnim pravima Europske unije (Povelja EU-u),

–  uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)(1) i Direktivu (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP(2),

–  uzimajući u obzir presudu Suda Europske unije od 6. listopada 2015. u predmetu C-362/14 Maximillian Schrems protiv Data Protection Commissioner(3),

–  uzimajući u obzir presudu Suda Europske unije od 21. prosinca 2016. u predmetima C-203/15 Tele2 Sverige AB/Post- och telestyrelsen i C-698/15 Secretary of State for the Home Department/Toma Watsona i ostalih(4);

–  uzimajući u obzir Provedbenu odluku Komisije (EU)2016/1250 od 12. srpnja 2016. u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti(5),

–  uzimajući u obzir Mišljenje Europskog nadzornika za zaštitu podataka 4/2016 od 30. svibnja 2016. o nacrtu odluke o primjerenosti zaštite privatnosti između EU-a i SAD-a(6),

–  uzimajući u obzir mišljenje Radne skupine (WP29) osnovane na temelju članka 29. od 13. travnja 2016. o europsko-američkom sustavu zaštite privatnosti(7) i njezinu izjavu od 26. srpnja 2016.(8),

–  uzimajući u obzir izvješće Komisije od 18. listopada 2017. Europskom parlamentu i Vijeću o prvom godišnjem preispitivanju funkcioniranja europsko-američkog sustava zaštite privatnosti (COM(2017)0611) i radni dokument službi Komisije koji je priložen tom dokumentu (SWD(2017)0344),,

–  uzimajući u obzir dokument WP29 europsko-američki sustav zaštite privatnosti – prvo godišnje preispitivanje od 28. studenog 2017.(9),

–  uzimajući u obzir odgovor WP29 od 11. travnja 2018. o ponovnom odobrenju odjeljka 702. američkog Zakona o nadzoru stranih obavještajnih službi (FISA),

–  uzimajući u obzir Rezoluciju od 6. travnja 2017. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti(10),

–  uzimajući u obzir članak 123. stavak 2. Poslovnika,

A.  budući da je u presudi Suda Europske unije od 6. listopada 2015. u predmetu C-362/14 Maximillian Schrems protiv Data Protection Commissioner Odluka o „sigurnoj luci” proglašena nevaljanom te je pojašnjeno da se primjerenom razinom zaštite u trećim zemljama mora smatrati zaštita koja je „bitno ekvivalentna” onoj koju pruža Unija u vidu Direktive 95/46/EZ kako je protumačena u svjetlu Povelje EU-a, čime se potiče potreba da se dovrše pregovori o novom dogovoru kako bi se zajamčila pravna sigurnost u pogledu načina na koji bi se podaci trebali prenositi iz EU-a u SAD;

B.  budući da je Komisija pri analiziranju razine zaštite koju pruža treća zemlja obvezna procijeniti sadržaj pravila koja se primjenjuju u toj zemlji, a proizlaze iz njezina nacionalnog prava ili međunarodnih obveza, kao i praksu kojoj je cilj osigurati poštovanje tih pravila jer u skladu s člankom 25. stavkom 2. Direktive 95/46/EZ mora uzeti u obzir sve okolnosti prijenosa osobnih podataka u treću zemlju; budući da se ta procjena ne treba pozivati samo na zakonodavstvo i prakse povezane sa zaštitom osobnih podataka u komercijalne i osobne svrhe, već mora obuhvaćati i sve aspekte okvira primjenjivog na tu zemlju ili na taj sektor, a među ostalim posebno kazneni progon, nacionalnu sigurnost i poštovanje temeljnih prava;

C.  budući da su prijenosi osobnih podataka između komercijalnih organizacija EU-a i SAD-a važan element transatlantskih odnosa s obzirom na sve veću digitalizaciju globalnog gospodarstva; budući da bi te prijenose trebalo vršiti uz puno poštovanje prava na zaštitu osobnih podataka i prava na privatnost; budući da je zaštita temeljnih prava, kako je utvrđena u Povelji EU-a, jedan od temeljnih ciljeva EU-a;

D.  budući da je Facebook, potpisnik sustava zaštite privatnosti, potvrdio da su podaci 2,7 milijuna građana EU-a bili među onima koje je političko konzultantsko društvo Cambridge Analytica nepravilno upotrebljavalo;

E.  budući da je Europski nadzornik za zaštitu podataka u svojem Mišljenju 4/2016 istaknuo nekoliko zabrinjavajućih elemenata u vezi s nacrtom sustava zaštite privatnosti; budući da u istom Mišljenju Europski nadzornik za zaštitu podataka pozdravlja napore koje su sve stranke poduzele kako bi pronašle rješenje za prijenos osobnih podataka iz EU-a u SAD-a u komercijalne svrhe u okviru sustava vlastitog potvrđivanja;

F.  budući da je WP29 u svom Mišljenju 01/2016 o nacrtu provedbene odluke Komisije o primjerenosti europsko-američkog sustava zaštite privatnosti pozdravila poboljšanja koja je sustav zaštite privatnosti donio u odnosu na Odluku o „sigurnoj luci”, ali je istovremeno izrazila ozbiljnu zabrinutost zbog komercijalnih aspekata i pristupa javnih tijela podacima koji se prenose u okviru sustava zaštite privatnosti;

G.  budući da je Komisija 12. srpnja 2016. nakon dodatnih rasprava s vladom SAD-a donijela svoju Provedbenu odluku (EU) 2016/1250 u kojoj je proglasila odgovarajućom razinu zaštite osobnih podataka koji se prenose iz Unije organizacijama u SAD-u u okviru europsko-američkog sustava zaštite privatnosti;

H.  budući da je europsko-američki sustav zaštite privatnosti popraćen s nekoliko jednostranih obveza i jamstava vlade SAD-a u kojima se razjašnjavaju, između ostalog, načela zaštite podataka, funkcioniranje nadzora, provedba zakona i pravna zaštita te zaštitne mjere u skladu s kojima sigurnosne agencije mogu pristupiti osobnim podacima i obrađivati ih;

I.  budući da WP29 u svojoj izjavi od 26. srpnja 2016. pozdravlja znatna poboljšanja koja je europsko-američki sustav zaštite privatnosti donio u odnosu na „sigurnu luku” te je pohvalila Komisiju i vladu SAD-a zbog toga što su uzeli u obzir njezine dvojbe; budući da ta skupina navodi da je i dalje zabrinuta zbog nekoliko pitanja u vezi s komercijalnim aspektima i pristupom javnih tijela podacima prenesenim iz EU-a, kao što su primjerice nedostatak konkretnih pravila o automatiziranim odlukama i općem pravu na prigovor, potreba za strožim jamstvima neovisnosti te ovlasti mehanizma pravobranitelja ili pak nedostatak konkretnih jamstava da se ne provodi masovno neselektivno prikupljanje osobnih podataka;

J.  budući da u Rezoluciji od 6. travnja 2017. Parlament priznaje da europsko-američki sustav zaštite privatnosti sadržava znatna poboljšanja u pogledu jasnoće standarda u usporedbi s prethodnom američko-europskom Odlukom o „sigurnoj luci” te da ujedno smatra da i dalje postoje važni problemi u pogledu određenih komercijalnih aspekata, nacionalne sigurnosti i provedbe zakona te budući da poziva Komisiju da tijekom prvog zajedničkog godišnjeg preispitivanja provede detaljno i temeljito ispitivanje svih nedostataka i slabosti te da pokaže kako su oni riješeni kako bi se osigurala usklađenost s Poveljom EU-a i pravom Unije te da pažljivo procijeni jesu li su mehanizmi i zaštitne mjere koje je vlada SAD-a navela među jamstvima i pojašnjenjima učinkoviti i izvedivi;

K.  budući da se u izvješću Komisije Parlamentu i Vijeću o prvom godišnjem preispitivanju funkcioniranja europsko-američkog sustava zaštite privatnosti i radnom dokumentu službi Komisije koji ga prati, prepoznaje da su tijela SAD-a uspostavila potrebne strukture i postupke za jamčenje ispravnog funkcioniranja sustava zaštite privatnosti te se zaključuje da Sjedinjene Države i dalje osiguravaju primjerenu razinu zaštite osobnih podataka koji su preneseni u okviru sustava zaštite privatnosti te se tijelima SAD-a upućuje deset preporuka kako bi se riješila pitanja koja se odnose na zadatke i aktivnosti američkog Ministarstva trgovine kao tijela odgovornog za praćenje certifikacije organizacija sustava zaštite privatnosti i provedbu načela, ali i za pitanja u pogledu nacionalne sigurnosti, kao što je ponovno odobrenje odjeljka 702. FISA-e ili imenovanje stalnog ombudsmana i članova Nadzornog odbora za zaštitu privatnosti i građanskih sloboda (PCLOB) koji nedostaju;

L.  budući da se u mišljenju WP29 o europsko-američkom sustavu zaštite privatnosti, u prvom godišnjem preispitivanju od 28. studenoga 2017. nakon prvog godišnjeg zajedničkog preispitivanja, potvrđuje napredak sustava zaštite privatnosti u odnosu na Odluku o „sigurnoj luci” koja je proglašena nevaljanom; budući da WP29 prepoznaje napore tijela SAD-a i Komisije u provedbi sustava zaštite privatnosti;

M.  budući da je WP29 utvrdila niz važnih neriješenih problema u vezi s komercijalnim pitanjima te pitanjima koja se odnose na pristup javnih tijela SAD-a podacima prenesenima u Sjedinjene Američke Države u okviru sustava zaštite privatnosti (za provedbu zakona ili svrhe nacionalne sigurnosti) koja Komisija i tijela SAD-a trebaju riješiti; budući da je zatražila da se odmah uspostavi akcijski plan kojim će pokazati da će se sva pitanja riješiti najkasnije u drugom zajedničkom preispitivanju;

N.  budući da ako se WP29 u određenim rokovima ne predstavi pravni lijek, njezini članovi poduzimaju odgovarajuće mjere, uključujući podnošenje odluke o primjerenosti europsko-američkog sustava zaštite privatnosti nacionalnim sudovima kako bi je oni uputili Sudu EU-a na prethodnu odluku;

O.  budući da su tužba za poništenje u predmetu La Quadrature du Net i drugi protiv Komisije (predmet T-738/16) i upućivanje Visokog suda Irske u predmetu Data Protection Commissioner of Ireland i Facebook Ireland Limited i Maximilian Schrems (predmet Schrems II) podneseni Sudu EU-a; upućivanjem se uzima u obzir da se masovni nadzor i dalje provodi te se analizira postoji li u američkom pravu učinkovit pravni lijek za građane EU-a čiji se osobni podaci prenose u Sjedinjene Države;

P.  budući da je 11. siječnja 2018. američki Kongres ponovno odobrio i izmijenio odjeljak 702. FISA-e na sljedećih šest godina, a da pritom nije riješio probleme iz izvješća o zajedničkom preispitivanju Komisije i mišljenja WP29;

Q.  budući da je, u okviru skupnog zakonodavstva o proračunu potpisanog 23. ožujka 2018., američki Kongres donio Zakon o objašnjenju zakonite prekomorske upotrebe podataka („CLOUD”) kojime se tijelima kaznenog progona olakšava pristup sadržaju komunikacija i drugim srodnim podacima te se američkim tijelima kaznenog progona omogućuje prinudni pristup komunikacijskim podacima, čak i onima pohranjenima izvan Sjedinjenih Američkih Država, dopuštajući određenim stranim zemljama da sklapaju izvršne sporazume sa Sjedinjenim Državama kako bi američkim pružateljima usluga omogućili da odgovaraju na određene strane naloge kojima se traži pristup komunikacijskim podacima;

R.  budući da su Facebook Inc., Cambridge Analytica i SCL Elections Ltd društva certificirana u okviru sustava zaštite privatnosti te da su kao takva imala koristi od odluke o primjerenosti kao pravne osnove za prijenos i daljnju obradu osobnih podataka iz Europske unije u Sjedinjenim Državama;

S.  budući da Komisija, u skladu s člankom 45. stavkom 5. Opće uredbe o zaštiti podataka, ukida, mijenja ili obustavlja svoju odluku o primjerenosti kada se u dostupnim informacijama otkrije da treća zemlja više ne osigurava primjerenu razinu zaštite;

1.  naglašava da se u sustavu zaštite privatnosti mogu vidjeti sustavne slabosti u odnosu na poštovanje temeljnih prava osoba čiji se podaci obrađuju; te naglašava sve veći rizik da će Sud EU-a poništiti provedbenu odluku Komisije (EU) 2016/1250 o sustavu zaštite privatnosti;

2.  uzima u obzir poboljšanja u odnosu na Sporazum o „sigurnoj luci”, uključujući dodavanje ključnih definicija, strože obveze u pogledu zadržavanja podataka i njihovog prenošenja u treće zemlje, određivanje ombudsmana koji osigurava pravne lijekove i neovisni nadzorni mehanizam, provjere i ravnoteže prava osoba čiji se podaci obrađuju (PCLOB), vanjske i unutarnje revizije usklađenosti, redovitije i strože dokumentiranje i praćenje, dostupnost nekoliko načina za ostvarivanje pravnog lijeka, istaknutu ulogu nacionalnih nadležnih tijela za zaštitu podataka pri istraživanju tvrdnji;

3.  podsjeća da je WP29 odredila 25. svibnja 2018. kao rok za rješavanje otvorenih pitanja te ako se taj rok ne poštuje da ta Skupina može odlučiti podnijeti sustav zaštite privatnosti nacionalnim sudovima kako bi oni to pitanje uputili Sudu Europske unije na prethodnu odluku(11);

Institucije/imenovanja

4.  žali što je bilo potrebno tako dugo vrijeme da se imenuju dodatna dva člana, zajedno s predsjednikom PCLOB-a te poziva Senat da pregleda njihove profile radi ratifikacije imenovanja i ponovne uspostave neovisnog djelovanja u kvorumu te mu omogući da izvršava svoje zadaće u okviru kojih sprečava terorizam te štiti privatnost i građanske slobode;

5.  izražava zabrinutost da je odsutnost predsjednika i kvoruma prouzročila ograničenje sposobnosti PCLOB-a da djeluje i da ispunjava svoje obveze; naglašava da PCLOB tijekom razdoblja podkvoruma ne smije pokretati nove savjete ili projekte nadzora, niti zapošljavati osoblje; podsjeća da PCLOB još nije objavio svoje dugoočekivano izvješće o provedbi nadzora iz Izvršnog naloga br. 12333 kojime bi pružio informacije o konkretnom djelovanju tog Izvršnog naloga te o njegovoj nužnosti i razmjernosti s obzirom na učinak na zaštitu podataka u tom kontekstu; napominje da je to izvješće vrlo traženo s obzirom na neizvjesnost i nepredvidljivost provedbe Izvršnog naloga br. 12333; žali što PCLOB nije objavio novo izvješće o odjeljku 702. FISA-e prije nego je on ponovno odobren u siječnju 2018.; smatra da se statusom podkvoruma ozbiljno narušava poštovanje jamstava tijela SAD-a i nadzor nad njima; stoga poziva tijela SAD-a da bez odgađanja imenuju i potvrde nove članove Odbora;

6.  s obzirom na činjenicu da je Predsjednički ukaz br. 28 jedan od središnjih elemenata na kojima se temelji sustav zaštite privatnosti, poziva na objavljivanje izvješća PCLOB-a o Predsjedničkom ukazu br. 28 koje i dalje podliježe predsjedničkim pravima te stoga još nije objavljeno;

7.  ponavlja svoje stajalište da mehanizam pravobranitelja koji je uspostavilo američko Ministarstvo vanjskih poslova nije dovoljno neovisan i nema dostatne stvarne ovlasti za provedbu svojih zadataka i pružanje učinkovite pravne zaštite građanima EU-a; naglašava da je potrebno pojasniti točne ovlasti mehanizma pravobranitelja, osobito u pogledu njegovih ovlasti u smislu objavještajne zajednice i razine djelotvornog pravnog lijeka za njegove odluke; žali što pravobranitelj može samo zatražiti djelovanje i informacije od tijela američke vlade, ali ne može narediti nadležnim tijelima da prekinu i obustave nezakoniti nadzor ili da trajno unište informacije; ističe da, iako postoji vršitelj dužnosti pravobranitelja, vlada SAD-a dosad nije imenovala novog stalnog pravobranitelja, što ne doprinosi uzajamnom povjerenju; smatra da su zbog nepostojanja imenovanog neovisnog iskusnog pravobranitelja koji ima dostatne ovlasti jamstva SAD-a u pogledu pružanja učinkovite pravne zaštite građanima EU-a ništavna;

8.  prima na znanje da je Senat nedavno potvrdio novog predsjedatelja Savezne trgovinskoj komisije FTC-a i četiri povjerenika FTC-a; s obzirom na činjenicu da je FTC nadležna agencija koja osigurava da organizacije iz SAD-a primjenjuju načela sustava zaštite privatnosti, žali zbog toga što je do te potvrde četiri od pet položaja u FTC-u bilo prazno;

9.  naglašava da nedavna otkrića u pogledu praksi društava Facebook i Cambridge Analytica ističu potrebu za proaktivnim nadzorom i provedbenim djelovanjima koja se ne temelje samo na pritužbama, nego koja obuhvaćaju i sustavne provjere stvarne sukladnosti politika privatnosti s načelima sustava zaštite privatnosti tijekom čitavog životnog vijeka certifikacije; pozivna nadležna tijela EU-a za zaštitu podataka da poduzmu prikladne mjere i obustave prijenose u slučajevima nesukladnosti;

Komercijalna pitanja

10.  smatra da, svrhu osiguranja transparentnosti i izbjegavanja navoda o lažnoj certifikaciji, Ministarstvo trgovine ne bi trebalo dopustiti da američka poduzeća daju javne izjave o svojoj certifikaciji sukladno sustavu zaštite privatnosti prije dovršetka postupka certifikacije i uvrštavanja poduzeća na Popis organizacija u sustavu zaštite privatnosti; zabrinut je zbog činjenice da Ministarstvo trgovine nije iskoristilo mogućnost predviđenu sustavom zaštite privatnosti, prema kojoj može zatražiti primjerke ugovornih uvjeta koje certificirana poduzeća koriste u svojim ugovorima s trećim stranama radi osiguranja sukladnosti; stoga smatra da se ne može učinkovito kontrolirati jesu li certificirana poduzeća zaista sukladna s odredbama sustava zaštite privatnosti; poziva Ministarstvo trgovine da proaktivno i redovito provodi vrednovanje sukladnosti po službenoj dužnosti kako bi pratilo stvarnu sukladnost poduzeća s pravilima i zahtjevima sustava zaštite privatnosti;

11.  smatra da se različiti postupci pristupanja pravnim lijekovima za građane EU-a mogu pokazati presloženim, teškim za korištenje, a time i manje učinkovitim; primjećuje da, kako su naglasila poduzeća koja pružaju neovisne mehanizme pravne zaštite, većinu pritužbi podnose pojedinci koji traže opće informacije o sustavu zaštite privatnosti i obradi svojih podataka, i to izravno poduzećima; stoga preporučuje nadležnim tijelima SAD-a da pojedincima pruže konkretnije informacije na mrežnoj stranici sustava zaštite privatnosti na pristupačan i lako razumljiv način u pogledu njihovih prava te dostupnih pravnih lijekova;

12.  s obzirom na nedavna otkrića o zlouporabi osobnih podataka koju su provodila poduzeća certificirana sukladno sustavu zaštite privatnosti, kao što su Facebook i Cambridge Analytica, poziva nadležna tijela SAD-a koja mogu provoditi sustav zaštite privatnosti da bez odlaganja djeluju u skladu s tim otkrićima, uz potpuno poštovanje jamstava i preuzetih obveza u smislu poštovanja trenutačnog dogovora o sustavu zaštite privatnosti te da, ako je to potrebno, uklone takva poduzeća s Popisa organizacija u sustavu zaštite privatnosti; također poziva nadležna tijela EU-a za zaštitu podataka da istraže takva otkrića te da, ako je to potrebno, obustave ili zabrane prijenose podataka u okviru sustava zaštite privatnosti; smatra da otkrića jasno ukazuju na to da mehanizam sustava zaštite privatnosti ne pruža dostatnu zaštitu prava na zaštitu podataka;

13.  ozbiljno je zabrinut zbog promjena u uvjetu pružanja usluga Facebooka za korisnike izvan EU-a koji se nalaze izvan SAD-a i Kanade, koji su dosad uživali prava u skladu sa zakonom EU-a o zaštiti podataka, a koji sada moraju prihvatiti američki Facebook umjesto irskog Facebooka kao voditelja obrade podataka; smatra da to predstavlja prijenos osobnih podataka približno 1,5 milijarde korisnika u treću zemlju; ozbiljno sumnja da je takvo dosad neviđeno ograničenje velikih razmjera temeljnih prava korisnika platforme koja ima de facto monopol namjera sustava zaštite privatnosti; poziva nadležna tijela EU-a za zaštitu privatnosti da istraže ovo pitanje;

14.  snažno je zabrinut da, ako se ne riješe, takve zlouporabe osobnih podataka ljudi koje provodi različiti subjekti koji žele manipulirati njihovom političkom voljom ili načinom na koji glasuju mogu ugroziti demokratski proces i njegovo temeljno načelo, prema kojem glasači mogu sami donijeti informirane odluke koje se temelje na činjenicama;

15.  pozdravlja i podržava pozive zakonodavcu SAD-a da krene u smjeru donošenja skupnog zakona o privatnosti i zaštiti podataka;

16.  ponavlja svoju zabrinutost zbog manjka konkretnih pravila i jamstava u sustavu zaštite privatnosti za odluke koje se temelje na automatskoj obradi/profiliranju, koje stvaraju pravni učinak i značajno utječu na pojedinca; prima na znanje namjeru Komisije da naloži provedbu studije u svrhu prikupljanja činjeničnih dokaza i daljnjeg ocjenjivanja relevantnosti automatskog donošenja odluka za prijenose politike u okviru sustava zaštite privatnosti; poziva Komisiju da utvrdi konkretna pravila o automatskom donošenju odluka u svrhu pružanja prikladne zaštite ako to bude preporučeno studijom; u tom pogledu prima na znanje informacije koje proizlaze iz zajedničkog preispitivanja, prema kojima se automatsko donošenje odluka ne smije provoditi na temelju osobnih podataka koji su preneseni u okviru sustava zaštite privatnosti; međutim, žali zbog toga što su, kako tvrdi radna skupina osnovana na temelju članka 29., „povratne informacije od tih poduzeća i dalje vrlo općenite, zbog čega je nejasno odgovaraju li ove tvrdnje stvarnom stanju svih poduzeća koja poštuju sustav zaštite privatnosti”; dodatno ističe primjenjivost GDPR-a u skladu s uvjetima članka 3. stavka 2. GDPR-a;

17.  ističe da je potrebno ostvariti daljnja poboljšanja u pogledu tumačenja i rukovanja podacima o ljudskim resursima zbog činjenice da vlada SAD-a s jedne strane te Komisija i radna skupina osnovana na temelju članka 29. s druge strane različito tumače pojam „podataka o ljudskim resursima”; u potpunosti se slaže s pozivom koji je radna skupina osnovana na temelju članka 29. uputila Komisiji, kojim od nje traži da se uključi u pregovore s nadležnim tijelima SAD-a radi izmjene mehanizma sustava zaštite privatnosti u pogledu ovog pitanja;

18.  ponavlja svoju zabrinutost zbog toga što načela sustava zaštite privatnosti ne slijede model EU-a o obradi koja se temelji na privoli, nego je njima omogućeno izuzimanje/pravo na prigovor samo u vrlo konkretnim okolnostima; stoga u svjetlu zajedničkog preispitivanja potiče Ministarstvo trgovine da surađuje s europskim nadležnim tijelima za zaštitu podataka radi izrade preciznijih smjernica u pogledu temeljnih načela sustava zaštite privatnosti, kao što su načelo izbora, načelo obavješćivanja, načelo daljnjeg prijenosa, odnos voditelja i izvršitelja obrade te pristup, koji su znatno usklađeniji s pravima osobe čiji se podaci obrađuju u skladu s Uredbom (EU) 2016/679;

19.  ponavlja zabrinutost zbog činjenice da je Kongres u ožujku 2017. poništio pravilo Savezne komisije za komunikacije koje se odnosi na „zaštitu privatnosti klijenata širokopojasnih i drugih telekomunikacijskih usluga”, čime se u praksi eliminiraju pravila o širokopojasnoj privatnosti kojima bi se od pružatelja internetskih usluga zahtijevalo da od klijenata dobiju izričitu suglasnost prije nego što oglašivačima i drugim trgovačkim društvima prodaju ili s njima podijele informacije o pretraživanju mreže i druge privatne informacije; smatra to još jednom prijetnjom za mehanizme zaštite privatnosti u Sjedinjenim Američkim Državama;

Pitanja kazneno-pravnog progona i nacionalne sigurnosti

20.  smatra da pojam „nacionalne sigurnosti” u mehanizmu sustava zaštite nije posebno definirana kako bi se osigurala učinkovita revizija kršenja zaštite podataka na sudovima radi osiguranja usklađenosti sa strogim testom onoga što je nužno i razmjerno; stoga poziva na jasno definiranje pojma nacionalne sigurnosti”.

21.  uzima u obzir da se broj ciljeva iz odjeljka 702. FISA-e povećao zbog promjena u tehnološkim i komunikacijskim uzorcima kao i okruženja u kojemu su prijetnje sve veće;

22.  žali jer SAD nije iskoristio priliku i pri nedavnom ponovnom odobrenju odjeljka 702. FISA-e uključio smjernice iz PPD-28; poziva na primjenu dokaza i pravno obvezujućih obveza kojima se osigurava da prikupljanje podataka u skladu s odjeljkom 702. FISA-e nije neselektivno te da se pristup ne provodi na općoj bazi (skupno prikupljanje) za razliku od Povelje EU-a; uzima u obzir objašnjenje Komisije iz radnog dokumenta službi Komisije prema kojemu se nadzor iz odjeljka702. FISA-e uvijek temelji na čimbenicima te stoga ne omogućuje skupno prikupljanje; stoga se pridružuje pozivima radne skupine osnovana na temelju članka 29. za ažuriranim izvješćem Nadzornog odbora za zaštitu privatnosti i građanskih sloboda (PCLOB) o definiciji pojma „ciljevi”, o „zadaćama čimbenika” te o konkretnom procesu primjene čimbenika u kontekstu programa UPSTREAM radi pojašnjenja i procjene dolazi li do skupnog pristupa osobnim podacima u tom kontekstu; žali što su pojedinci iz EU-a izostavljeni iz dodatne zaštite koju pruža ponovno odobrenje odjeljka 702. FISA-e; žali što ponovno odobrenje odjeljka 702. sadržava nekoliko izmjena koje su samo postupovne i ne bave se ovim najproblematičnijim pitanjima, koje je postavila i radna skupina osnovana na temelju članka 29.; poziva Komisiju da ozbiljno pristupi nadolazećoj analizi skupine osnovane na temelju članka 29. te da djeluje u skladu s njom;

23.  potvrđuje da ponovno odobrenje odjeljka 702. FISA-e na dodatnih šest godina dovodi u pitanje zakonitost sustava zaštite privatnosti;

24.  ponavlja zabrinutost zbog Izvršnog naloga br. 12333 kojim je Agenciji za nacionalnu sigurnost SAD-a (NSA-u) omogućeno da dijeli izuzetno velike količine privatnih podataka dobivenih bez sudskog naloga, sudskih odluka ili kongresnog odobrenja sa 16 drugih agencija, uključujući FBI, Upravu za suzbijanje droge (DEA) i Ministarstvo domovinske sigurnosti; žali zbog nepostojanja bilo kakva sudskog preispitivanja aktivnosti nadzora koje se provode na temelju Izvršnoga naloga br. 12333;

25.  ističe trajne prepreke koje se odnose na pravnu zaštitu građana koji nisu državljani SAD-a i koji podliježu mjeri nadzora na temelju odjeljka 702. FISA-e ili Izvršnoga naloga br. 12333 zbog postupovnih zahtjeva „osnovanosti”, kako ih trenutačno tumače sudovi SAD-a, kako bi se građanima koji nisu državljani SAD-a omogućilo pokretanje sudskih postupaka pred sudovima SAD-a protiv odluka koje se na njih odnose;

26.  izražava zabrinutost zbog posljedica Izvršnoga naloga br. 13768 o „Jačanju javne i unutarnje sigurnosti u Sjedinjenim Američkim Državama” (engl. Enhancing Public Safety in the Interior of the United States) na pravnu zaštitu i administrativne oblike pravne zaštite dostupne pojedincima u SAD-u jer se zaštite Zakona o privatnosti više ne primjenjuju na građane koji nisu državljani SAD-a; uzima u obzir stav Komisije da se procjena primjerenosti ne oslanja na zaštite iz Zakona o privatnosti te da stoga ovaj Izvršni nalog ne utječe na sustav zaštite privatnosti; Smatra, međutim, da Izvršni nalog br. 13768 naznačuje namjeru izvršnih vlasti SAD-a da ponište jamstva o zaštiti podataka koja su prethodno dodijeljena građanima EU-a te da ponište obveze prema EU-u preuzete tijekom predsjedanja predsjednika Obame;

27.  izražava snažnu zabrinutost zbog nedavnog usvajanja Zakona o objašnjenju zakonite prekomorske upotrebe podataka ili Zakona CLOUD (H.R. 4943) kojime se proširuju mogućnosti američkih i inozemnih tijela kazneno-pravnog progona da ciljaju i pristupaju podacima osoba i preko međunarodnih granica, a da pritom ne upotrebljavaju instrument ugovora o uzajamnoj pravnoj pomoći (MLAT) kojime se osiguravaju odgovarajuće zaštitne mjere i poštuju sudske nadležnosti zemalja u kojima se nalaze informacije; naglašava da bi Zakon CLOUD mogao imati ozbiljne posljedice za EU jer je dalekosežan i stvara potencijalni sukob sa zakonima EU-a o zaštiti podataka;

28.  smatra da bi uravnoteženije rješenje bilo osnažiti postojeći međunarodni sustav ugovora o uzajamnoj pravnoj pomoći (MLAT-ovi) u svrhu poticanja međunarodne i sudske suradnje; ponavlja da, kad je riječ o pristupu osobnim podacima u inozemstvu, prednost daje mehanizmima kao što su mehanizmi utvrđeni člankom 48. ugovori o uzajamnoj pravnoj pomoći i ostali međunarodni sporazumi;

29.  žali što tijela SAD nisu uspjela proaktivno ispuniti svoju obvezu i Komisiji pružiti pravovremene i sveobuhvatne informacije o bilo kakvu razvoju koji bi mogao biti važan za sustav zaštite privatnosti, uključujući neobavještavanje Komisije o promjenama pravnog okvira SAD-a, primjerice u pogledu Izvršnog naloga predsjednika Trumpa br. 13768 o „Jačanju javne i unutarnje sigurnosti u Sjedinjenim Američkim Državama” ili stavljanja izvan snage pravila o privatnosti za pružatelje internetskih usluga;

30.  podsjeća da, kako je navedeno u njegovoj Rezoluciji od 6. travnja 2017., ni načela sustava zaštite privatnosti ni pisma vlade SAD-a ne pružaju objašnjenja i jamstva koja dokazuju postojanje efektivnog prava na sudsku zaštitu za pojedince u EU-u u vezi s time što tijela SAD-a mogu upotrebljavati njihove osobne podatke za potrebe provođenja zakona ili u svrhu javnog interesa, što je Sud Europske unije u svojoj presudi od 6. listopada 2015. naglasio kao bit temeljnog prava iz članka 47. Povelje;

Zaključci

31.  poziva Komisiju da poduzme sve potrebne mjere kako bi osigurala da sustav zaštite privatnosti bude u potpunosti usklađen s Uredbom (EU) 2016/679 koja će se početi primjenjivati od 25. svibnja 2018. i s Poveljom EU-a kako primjerenost ne bi rezultirala poteškoćama ili konkurentnom prednosti za američka poduzeća);

32.  žali što Komisija i nadležna tijela SAD-a nisu ponovno pokrenula rasprave o sporazumu o sustavu zaštite privatnosti te što nisu utvrdili akcijski plan kako bi se čim prije riješili utvrđeni nedostatci, kao što je to tražila radna skupina osnovana na temelju članka 29. u svojem izvješću o zajedničkoj reviziji iz prosinca; poziva Komisiju i nadležna tijela SAD-a da to učine bez daljnjeg odlaganja;

33.  podsjeća da su privatnost i zaštita podataka zakonski provediva temeljna prava utvrđena ugovorima, Poveljom EU-a i Europskom konvencijom o ljudskim pravima kao i zakonima i sudskom praksom; naglašava da se moraju primjenjivati na način koji nepotrebno ne ometa trgovinske ili međunarodne odnose, no da se ne mogu „uskladiti” s komercijalnim ili političkim interesima;

34.  smatra da trenutačan sporazum o sustavu zaštite privatnosti ne pruža odgovarajuću razinu zaštite koju zahtijeva pravo Unije o zaštiti podataka i Povelja EU-a, u skladu s tumačenjem Suda Europske unije;

35.  smatra da je Komisija propustila djelovati u skladu s člankom 45. stavkom 5. Opće uredbe o zaštiti podataka (GDPR), osim ako SAD bude u potpunosti usklađen do 1. rujna 2018.; stoga poziva Komisiju da obustavi sustav zaštite privatnosti dok se tijela SAD-a ne usklade s njezinim uvjetima;

36.  nalaže svojem Odboru za građanske slobode, pravosuđe i unutarnje poslove da nastavi pratiti razvoje u ovom području, uključujući u predmetima koji su pokrenuti pred Sudom Europske unije, te da prati preporuke iz Rezolucije;

o
o   o

37.  nalaže svojem predsjedniku da ovu Rezoluciju proslijedi Vijeću, Komisiji, vladama i

(1) SL L 119, 4.5.2016., str. 1. (2) SL L 119, 4.5.2016., str. 89. (3) ECLI EU:C:2015:650. (4) ECLI EU:C:2016:970 (5) SL L 207, 1.8.2016., str. 1. (6) SL C 257, 15.7.2016., str. 8. (7) http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf (8) http://ec.europa.eu/justice/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf. (9) WP 255, dostupno na: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621 (10) Usvojeni tekst, P8_TA(2017)0131. (11) https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782