Resolutie van het Europees Parlement van 5 juli 2018 over de gepastheid van de door het EU-VS-privacyschild geboden bescherming (2018/2645(RSP))
Het Europees Parlement,
– gezien het Verdrag betreffende de Europese Unie (VEU), het Verdrag betreffende de werking van de Europese Unie (VWEU) en de artikelen 6, 7, 8, 11, 16, 47 en 52 van het Handvest van de grondrechten van de Europese Unie (het "EU-Handvest"),
– gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)(1), en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad(2),
– gezien het arrest van het Hof van Justitie van de Europese Unie van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems/Data Protection Commissioner(3),
– gezien het arrest van het Hof van Justitie van de Europese Unie van 21 december 2016 in zaak C-203/15, Tele2 Sverige AB/Post- och telestyrelsen, en in zaak C-698/15, Secretary of State for the Home Department/Tom Watson e.a.(4),
– gezien Uitvoeringsverordening (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming(5),
– gezien Advies 4/2016 van de Europese Toezichthouder voor gegevensbescherming (EDPS) van 30 mei 2016 inzake het ontwerpbesluit betreffende de gepastheid van de bescherming geboden door het EU-VS-privacyschild(6),
– gezien Advies 01/2016 van de Groep gegevensbescherming artikel 29 (WP29) van 13 april 2016 over het ontwerpbesluit betreffende de gepastheid van het EU-VS-privacyschild(7) en de verklaring WP29 van de Groep van 26 juli 2016(8),
– gezien het verslag van de Commissie aan het Europees Parlement en de Raad van 18 oktober 2017 over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild (COM(2017)0611) en het begeleidende werkdocument van de diensten van de Commissie (SWD(2017)0344),
– gezien het WP29-document van 28 november 2017 getiteld "EU-U.S. Privacy Shield – First Annual Review" (Het EU-VS-privacyschild – Eerste jaarlijkse evaluatie)(9),
– gezien de brief van de WP29 van 11 april 2018 als reactie op de hernieuwde toestemming voor Section 702 van de Amerikaanse Foreign Intelligence Surveillance Act (FISA),
– gezien zijn resolutie van 6 april 2017 over de gepastheid van de door het EU-VS-privacyschild geboden bescherming(10),
– gezien artikel 123, lid 2, van zijn Reglement,
A. overwegende dat het Hof van Justitie van de Europese Unie in zijn arrest van 6 oktober 2015 in zaak C-362/14, Maximillian Schrems/Data Protection Commissioner, de veiligehavenregeling ongeldig heeft verklaard en heeft verduidelijkt dat de uitdrukking "passend beschermingsniveau" zo moet worden opgevat dat die vereist dat het beschermingsniveau in een derde land "in grote lijnen overeenkomt" met het beschermingsniveau dat binnen de Europese Unie wordt gewaarborgd op grond van Richtlijn 95/46/EG, gelezen in samenhang met het EU-Handvest, en overwegende dat het Hof erop wees dat de onderhandelingen over een nieuwe regeling dringend afgerond moeten worden om rechtszekerheid te waarborgen met betrekking tot de manier waarop persoonsgegevens van de EU naar de VS moeten worden overgedragen;
B. overwegende dat de Commissie bij de beoordeling van het in een derde land geboden beschermingsniveau verplicht is de inhoud te beoordelen van de in dat land toepasselijke regels die zijn afgeleid van de nationale wetgeving of internationale verbintenissen van dat land, alsook de praktijken die zijn ingevoerd om de naleving van deze regels te waarborgen, aangezien ze volgens artikel 25, lid 2, van Richtlijn 95/46/EG rekening moet houden met alle omstandigheden die op de doorgifte van gegevens van invloed zijn; overwegende dat bij deze beoordeling niet alleen naar de wetgeving en praktijken met betrekking tot de bescherming van persoonsgegevens voor commerciële en particuliere doeleinden moet worden gekeken, maar naar alle aspecten van het kader dat van toepassing is op dat land of die sector, in het bijzonder, maar niet uitsluitend, rechtshandhaving, nationale veiligheid en eerbieding van de grondrechten;
C. overwegende dat de overdracht van persoonsgegevens tussen commerciële organisaties uit de EU en de VS gezien de almaar toenemende digitalisering van de wereldeconomie een belangrijk aspect vormt van de trans-Atlantische betrekkingen; overwegende dat deze overdrachten moeten worden uitgevoerd met volledige inachtneming van het recht op de bescherming van persoonsgegevens en het recht op privacy; overwegende dat de bescherming van de in het EU-Handvest verankerde grondrechten tot de hoofddoelstellingen van de EU behoort;
D. overwegende dat Facebook, een van de ondertekenende partijen bij het privacyschild, heeft bevestigd dat zich onder de gegevens die zijn misbruikt door het politiek consultancybureau Cambridge Analytica ook de gegevens van 2,7 miljoen EU-burgers bevonden;
E. overwegende dat de EDPS in Advies 4/2016 op een aantal vlakken zijn bezorgdheid heeft geuit over het ontwerpbesluit betreffende het privacyschild; overwegende dat de EDPS zich in hetzelfde advies positief uitspreekt over de inspanningen van alle partijen om een oplossing te vinden voor de overdracht van persoonsgegevens van de EU naar de VS voor commerciële doeleinden in het kader van een systeem van zelfcertificering;
F. overwegende dat de WP29 zich in Advies 01/2016 over het ontwerpuitvoeringsbesluit inzake de gepastheid van het EU-VS-privacyschild positief heeft uitgesproken over de verbeteringen die door het privacyschild teweeg zijn gebracht in vergelijking met het veiligehavenbesluit, hoewel ze ook haar ernstige bezorgdheid heeft geuit over zowel de commerciële aspecten als het verlenen van toegang aan overheidsdiensten tot gegevens die in het kader van het privacyschild zijn doorgegeven;
G. overwegende dat de Commissie, na verdere besprekingen met de Amerikaanse regering, op 12 juli 2016 haar Uitvoeringsverordening (EU) 2016/1250 heeft aangenomen, waarin de gepastheid van de door het EU-VS-privacyschild geboden bescherming van persoonsgegevens die vanuit de Unie worden doorgegeven aan organisaties in de Verenigde Staten wordt afgekondigd;
H. overwegende dat het EU-VS-privacyschild vergezeld gaat van verscheidene unilaterale verbintenissen en toezeggingen van de Amerikaanse regering waarin onder meer uitleg wordt gegeven over de beginselen van gegevensbescherming, over de werking van toezichts-, handhavings- en verhaalmechanismen en over de beschermingsregelingen en garanties die gelden wanneer veiligheidsdiensten persoonsgegevens willen raadplegen en verwerken;
I. overwegende dat de WP29 zich in haar verklaring van 26 juli 2016 positief uitspreekt over de verbeteringen die het mechanisme van het EU-VS-privacyschild teweeg heeft gebracht in vergelijking met de veiligehavenregeling, en woorden van lof heeft voor de Commissie en de Amerikaanse autoriteiten omdat deze de bezwaren van de Groep in overweging hebben genomen; overwegende dat de WP29 niettemin aangeeft dat niet alle bezwaren zijn weggenomen, zowel over de commerciële aspecten als over het verlenen van toegang aan Amerikaanse overheidsdiensten tot overgedragen gegevens uit de EU, zoals het gebrek aan specifieke regels inzake geautomatiseerde besluitvorming en aan een algemeen recht om bezwaar te maken, de noodzaak van strengere waarborgen in verband met de onafhankelijkheid en de bevoegdheden van het ombudsmechanisme, of het gebrek aan concrete toezeggingen om niet massaal en ongedifferentieerd persoonsgegevens te vergaren (gegevensverzameling op grote schaal);
J. overwegende dat het Parlement in zijn resolutie van 6 april 2017 weliswaar erkent dat het EU-VS-privacyschild aanzienlijke verbeteringen bevat wat de duidelijkheid van de normen betreft in vergelijking met de voormalige EU-VS-veiligehavenregeling, maar ook aangeeft dat er belangrijke kwesties onopgelost blijven over bepaalde commerciële aspecten, nationale veiligheid en rechtshandhaving; overwegende dat de Commissie wordt verzocht om in het kader van de eerste jaarlijkse gezamenlijke evaluatie een grondige en diepgaande analyse te maken van alle tekortkomingen en zwakheden en aan te tonen hoe deze zijn aangepakt om ervoor te zorgen dat het EU-Handvest en het Unierecht worden nageleefd, alsook om nauwkeurig de effectiviteit en uitvoerbaarheid te beoordelen van de in de toezeggingen en verduidelijkingen van de Amerikaanse regering genoemde mechanismen en garanties;
K. overwegende dat in het verslag van de Commissie aan het Parlement en de Raad over de eerste jaarlijkse evaluatie van de werking van het EU-VS-privacyschild en het begeleidende werkdocument van de diensten van de Commissie weliswaar wordt erkend dat de Amerikaanse autoriteiten de nodige structuren en procedures hebben ingevoerd om te waarborgen dat het privacyschild naar behoren functioneert en wordt geconcludeerd dat de Verenigde Staten nog steeds een passend beschermingsniveau waarborgen voor persoonsgegevens die in het kader van het EU-VS-privacyschild worden doorgegeven, maar toch tien aanbevelingen formuleert ter attentie van de Amerikaanse autoriteiten om een aantal bezorgdheden aan te pakken met betrekking tot de taken en activiteiten van het Amerikaanse ministerie van Handel (Department of Commerce, DoC) als bevoegde beheerder voor toezicht op de certificering van privacyschild-organisaties en de handhaving van de beginselen, alsook met betrekking tot kwesties die verband houden met nationale veiligheid, zoals de hernieuwde toestemming voor Section 702 van de FISA of de benoeming van een permanente ombudsman en het feit dat een aantal leden van het Privacy and Civil Liberties Oversight Board (PCLOB) nog steeds niet is benoemd;
L. overwegende dat in het advies van de WP29 van 28 november 2017 getiteld "EU-U.S. Privacy Shield – First Annual Review", dat is gepubliceerd naar aanleiding van de eerste jaarlijkse gezamenlijke evaluatie, wordt erkend dat het privacyschild een vooruitgang betekent in vergelijking met de ongeldig verklaarde veiligehavenregeling; overwegende dat de WP29 zich bewust is van de inspanningen die zijn geleverd door de Amerikaanse autoriteiten en de Commissie om het privacyschild ten uitvoer te leggen;
M. overwegende dat de WP29 heeft gewezen op een aantal belangrijke onopgeloste kwesties die zorgen baren, zowel wat commerciële kwesties betreft als in verband met het verlenen van toegang aan Amerikaanse overheidsdiensten tot aan de VS in het kader van het privacyschild overgedragen gegevens (met het oog op rechtshandhaving dan wel nationale veiligheid), en die nog moeten worden aangepakt door de Commissie en de Amerikaanse autoriteiten; overwegende dat het heeft verzocht onmiddellijk een actieplan op te stellen om aan te tonen dat aan al deze kwesties aandacht zal worden besteed, ten laatste bij de tweede gezamenlijke evaluatie;
N. overwegende dat de leden van de WP29 in het geval dat er binnen de gegeven termijnen geen oplossing wordt gevonden voor de bezwaren van de Groep passende maatregelen zullen nemen, onder meer door het besluit over de gepastheid van het privacyschild te verwijzen naar nationale rechtbanken, zodat deze de zaak op hun beurt kunnen verwijzen naar het HvJ-EU met het oog op een prejudiciële beslissing;
O. overwegende dat een beroep tot nietigverklaring (zaak T-738/16, La Quadrature du Net e.a./Commissie) en een verwijzing door het Ierse hooggerechtshof in de zaak tussen de Data Protection Commissioner van Ierland en Facebook Ireland Limited en Maximilian Schrems (de zaak Schrems II) voor het Europees Hof van Justitie zijn gebracht; overwegende dat in de verwijzing wordt opgemerkt dat grootschalig toezicht nog steeds plaatsvindt en wordt onderzocht of er in het Amerikaanse recht doeltreffende rechtsmiddelen voorhanden zijn voor EU-burgers wier persoonsgegevens worden doorgegeven aan de Verenigde Staten;
P. overwegende dat het Amerikaanse Congres op 11 januari 2018 via een amendement hernieuwde toestemming heeft gegeven voor Section 702 van de FISA voor een periode van zes jaar, zonder in te gaan op de bezwaren uit het Commissieverslag over de gezamenlijke evaluatie en het advies van de WP29;
Q. overwegende dat het Amerikaanse congres de Clarifying Overseas Use of Data Act (CLOUD) heeft vastgesteld als onderdeel van de omnibuswetgeving betreffende de begroting die wettelijk is bekrachtigd op 23 maart 2018; overwegende dat de toegang uit rechtshandhavingsoverwegingen tot de inhoud van communicatie en andere bijbehorende gegevens met deze wet gemakkelijker wordt, doordat de Amerikaanse rechtshandhavingsinstanties de overdracht van communicatiegegevens kunnen afdwingen, ook al zijn die gegevens buiten de Verenigde Staten opgeslagen, en doordat bepaalde derde landen uitvoeringsovereenkomsten kunnen afsluiten met de Verenigde Staten waardoor Amerikaanse dienstverleners wordt toegestaan in te gaan op bepaalde instructies van derde landen om toegang te krijgen tot communicatiegegevens;
R. overwegende dat Facebook Inc., Cambridge Analytica en SCL Elections Ltd in het kader van het privacyschild gecertificeerde bedrijven zijn en als zodanig voordeel hebben gehaald uit het gepastheidsbesluit, omdat dit een rechtsgrond vormt voor de overdracht en de verdere verwerking van persoonsgegevens uit de Europese Unie naar de Verenigde Staten;
S. overwegende dat de Commissie op grond van artikel 45, lid 5, van de algemene verordening gegevensbescherming wanneer uit beschikbare informatie blijkt dat een derde land niet langer een passend beschermingsniveau waarborgt, overgaat tot intrekking, wijziging of schorsing van het gepastheidsbesluit;
1. benadrukt dat het privacyschild zwakheden blijft vertonen met betrekking tot de eerbiediging van de grondrechten van de betrokkenen; onderstreept tevens dat het risico toeneemt dat het Hof van Justitie van de Europese Unie Uitvoeringsverordening (EU) 2016/1250 van de Commissie betreffende het privacyschild ongeldig zal verklaren;
2. stelt vast dat er verbeteringen zijn aangebracht in vergelijking met de veiligehavenovereenkomst, waaronder de toevoeging van essentiële definities, strengere verplichtingen in verband met gegevensbewaring en de verdere doorgifte aan derde landen, de aanstelling van een ombudsman om individuele verhaalmogelijkheden en onafhankelijk toezicht te waarborgen, checks-and-balances om de rechten van betrokkenen te waarborgen (PCLOB), externe en interne nalevingscontroles, regelmatigere en zorgvuldigere documentering en monitoring, de beschikbaarheid van diverse middelen om naar de rechtbank te stappen, en een prominente rol voor nationale gegevensbeschermingsautoriteiten bij het onderzoeken van vorderingen;
3. wijst erop dat de WP29 de uiterste termijn van 25 mei 2018 heeft vastgesteld om openstaande kwesties op te lossen, en dat de Groep bij het uitblijven van oplossingen kan besluiten het privacyschild te verwijzen naar nationale rechtbanken, zodat deze de zaak op hun beurt kunnen verwijzen naar het Europees Hof van Justitie met het oog op een prejudiciële beslissing(11);
Institutionele kwesties/benoemingen
4. betreurt dat het erg lang geduurd heeft om voor het PCLOB twee bijkomende leden aan te stellen in samenhang met de benoeming van een voorzitter en dringt er bij de Senaat op aan hun profielen te onderzoeken met het oog op de ratificatie van hun aanstelling, zodat het quorum van de onafhankelijke instantie weer op peil is en het PCLOB zijn opdracht kan vervullen met betrekking tot de preventie van terrorisme en de noodzakelijke bescherming van de privacy en de burgerlijke vrijheden;
5. stelt met bezorgdheid vast dat de afwezigheid van een voorzitter en een quorum tot gevolg heeft gehad dat het PCLOB slechts in beperkte mate heeft kunnen handelen en aan zijn verplichtingen heeft kunnen voldoen; wijst erop dat het PCLOB in een periode waarin het quorum niet wordt bereikt geen initiatieven mag nemen voor het opstellen van nieuwe adviezen of het uitoefenen van toezicht, en ook geen personeel mag aanwerven; wijst erop dat het PCLOB zijn langverwachte verslag over het uitvoeren van surveillance uit hoofde van presidentieel besluit 12333 nog niet heeft bekendgemaakt; merkt op dat in dit verslag informatie moet worden verstrekt over de concrete werking van dit presidentieel besluit en over de noodzaak en de evenredigheid ervan met betrekking tot interferenties die in deze context worden veroorzaakt ten aanzien van gegevensbescherming; merkt op dat dit verslag zeer wenselijk is, gezien de onzekerheid en de onvoorspelbaarheid over de manier waarop presidentieel besluit 12333 wordt gebruikt; betreurt dat het PCLOB geen nieuw verslag heeft gepubliceerd over Section 702 van de FISA voor er in januari 2018 hernieuwde toestemming werd gegeven; is van mening dat het ontbreken van het vereiste quorum de garanties en toezeggingen van de Amerikaanse autoriteiten in verband met naleving en toezicht ernstig ondermijnt; dringt er bij de Amerikaanse autoriteiten dan ook op aan onverwijld over te gaan tot de aanstelling en bekrachtiging van nieuwe leden voor het PCLOB;
6. dringt erop aan dat het verslag van het PCLOB over presidentiële beleidsrichtlijn 28 (PPD 28) wordt gepubliceerd, aangezien deze richtlijn een van de centrale onderdelen is waarop het privacyschild is gebaseerd; merkt op dat dit verslag nog onder het presidentieel privilege valt en dus nog niet is vrijgegeven;
7. herhaalt zijn standpunt dat het ombudsmechanisme dat door het Amerikaanse ministerie van Buitenlandse Zaken is ingesteld onvoldoende onafhankelijk is en dat de bevoegdheden waarover het beschikt niet doeltreffend genoeg zijn om zijn taken te kunnen uitvoeren en te voorzien in doeltreffende rechtsmiddelen voor EU-burgers; benadrukt dat nog niet helemaal duidelijk is wat de bevoegdheden van het ombudsmechanisme precies inhouden, vooral met betrekking tot de bevoegdheden van de ombudsman ten aanzien van het inlichtingennetwerk en de mate waarin zijn of haar besluiten een doeltreffend rechtsmiddel vormen; betreurt dat de ombudsman slechts kan verzoeken om maatregelen en informatie van de Amerikaanse overheidsorganen en de autoriteiten niet kan opdragen te stoppen en op te houden met onwettige surveillancepraktijken of informatie permanent te vernietigen; wijst erop dat er dan wel een fungerende ombudsman is, maar dat de Amerikaanse regering nog steeds geen nieuwe permanente ombudsman heeft benoemd, hetgeen niet bevorderlijk is voor het wederzijdse vertrouwen; is van mening dat bij gebrek aan een benoemde onafhankelijke en ervaren ombudsman met voldoende bevoegdheden, de garanties van de VS inzake doeltreffende rechtsmiddelen voor EU-burgers van nul en generlei waarde zijn;
8. neemt kennis van de bekrachtiging door de Senaat van een nieuwe voorzitter voor de Federal Trade Commission (FTC) en van vier FTC-commissarissen; betreurt dat tot op de dag van deze bekrachtiging vier van de vijf FTC-zetels onbezet zijn gebleven, aangezien de FTC de bevoegde instantie is voor de handhaving van de beginselen van het privacyschild door Amerikaanse organisaties;
9. benadrukt dat de recente onthullingen in verband met de praktijken van Facebook en Cambridge Analytica duidelijk aantonen dat er behoefte is aan proactief toezicht en handhavingsmaatregelen die niet enkel gebaseerd zijn op klachten maar ook systematische controles omvatten om na te gaan of privacybeleid in de praktijk conform de beginselen van het privacyschild is gedurende de hele certificeringscyclus; verzoekt de bevoegde EU-gegevensbeschermingsautoriteiten passende maatregelen te nemen en overdrachten op te schorten in het geval van niet-naleving;
Commerciële kwesties
10. is van mening dat het DoC met het oog op transparantie en om valse beweringen over certificering te vermijden niet mag aanvaarden dat Amerikaanse bedrijven openbare verklaringen over hun certificering in het kader van het privacyschild doen uitgaan voordat het DoC de certificering heeft afgerond en het bedrijf op de privacyschildlijst heeft geplaatst; stelt met bezorgdheid vast dat het DoC geen gebruik heeft gemaakt van de mogelijkheid waarin wordt voorzien in de privacyschildregeling om in verband met toezicht op naleving te verzoeken om een exemplaar van de contractuele voorwaarden die door gecertificeerde bedrijven worden gebruikt in hun contracten met derde partijen; is daarom van mening dat er geen sprake is van daadwerkelijke controle om na te gaan of gecertificeerde bedrijven de bepalingen van het privacyschild feitelijk naleven; verzoekt het DoC proactief en op regelmatige basis nalevingsevaluaties van rechtswege te verrichten om erop toe te zien dat bedrijven de regels en voorschriften van het privacyschild daadwerkelijk naleven;
11. is van mening dat de diverse verhaalmogelijkheden voor EU-burgers mogelijk te ingewikkeld, weinig gebruiksvriendelijk en bijgevolg minder doeltreffend zullen blijken te zijn; merkt op dat volgens bedrijven die onafhankelijke verhaalmechanismen aanbieden de meeste klachten rechtstreeks bij het bedrijf terechtkomen en afkomstig zijn van personen die algemene informatie zoeken over het privacyschild en de verwerking van hun gegevens; beveelt de Amerikaanse autoriteiten daarom aan om op de website van het privacyschild concretere informatie te publiceren in een toegankelijke en gemakkelijk te begrijpen vorm om personen te informeren over hun rechten en de beschikbare rechtsmiddelen en verhaalmogelijkheden;
12. verzoekt de Amerikaanse autoriteiten die bevoegd zijn voor de handhaving van het privacyschild om als reactie op de recente onthullingen in verband met het misbruik van persoonsgegevens door bedrijven die gecertificeerd zijn in het kader van het privacyschild (zoals Facebook en Cambridge Analytica) onverwijld maatregelen te nemen die ten volle overeenstemmen met hun toezeggingen en verbintenissen tot handhaving van de huidige privacyschildregeling, en om deze bedrijven in voorkomend geval te schrappen van de privacyschildlijst; richt zich tevens tot de bevoegde EU-gegevensbeschermingsautoriteiten om deze onthullingen te onderzoeken en om gegevensoverdrachten in het kader van het privacyschild in voorkomend geval op te schorten of te verbieden; is van mening dat de onthullingen duidelijk aantonen dat de privacyschildregeling geen gepaste bescherming biedt voor het recht op gegevensbescherming;
13. toont zich ernstig bezorgd over de wijziging van de gebruiksvoorwaarden van Facebook voor niet-EU-gebruikers buiten de Verenigde Staten en Canada, die tot nu toe beschikten over rechten uit hoofde van het EU-recht inzake gegevensbescherming, maar zich nu akkoord moeten verklaren met de voorwaarde dat hun gegevens worden beheerd door Facebook US in plaats van Facebook Ireland; meent dat dit over een overdracht van persoonsgegevens naar een derde land gaat van ongeveer 1,5 miljard gebruikers; betwijfelt ten zeerste of een dergelijke ongeziene grootschalige inperking van de grondrechten van gebruikers van een platform dat de facto monopoliehouder is tot de doelstellingen van het privacyschild behoort; verzoekt de EU-gegevensbeschermingsautoriteiten deze kwestie te onderzoeken;
14. spreekt er zijn oprechte bezorgdheid over uit dat dergelijke gevallen van misbruik van persoonsgegevens door diverse entiteiten die op die manier de politieke voorkeur of het stemgedrag van mensen willen manipuleren, wanneer deze kwestie niet wordt aangepakt een bedreiging kunnen vormen voor het democratische proces en de onderliggende gedachte dat stemgerechtigden in staat zijn hun eigen geïnformeerde, op feiten gebaseerde beslissingen te nemen;
15. waardeert en steunt elke oproep aan de Amerikaanse wetgever om toe te werken naar een omnibuswet inzake privacy en gegevensbescherming;
16. spreekt nogmaals zijn bezorgdheid uit over het gebrek aan specifieke regels en garanties in het privacyschild voor besluiten die gebaseerd zijn op geautomatiseerde verwerking/profilering, waaraan voor een persoon rechtsgevolgen zijn verbonden of die een persoon wezenlijk treffen; neemt kennis van het voornemen van de Commissie om een studie te bestellen om feitelijk bewijsmateriaal te verzamelen en verder te beoordelen of geautomatiseerde besluitvorming relevant is voor gegevensoverdrachten in het kader van het privacyschild; verzoekt de Commissie specifieke regels op te stellen voor geautomatiseerde besluitvorming, teneinde te voorzien in voldoende waarborgen, indien de studie daarvoor pleit; neemt in dit verband kennis van de informatie die is verstrekt in de gezamenlijke evaluatie en die stelt dat geautomatiseerde besluitvorming niet mag plaatsvinden op basis van persoonsgegevens die zijn overgedragen in het kader van het privacyschild; betreurt echter dat de WP29 in deze evaluatie opmerkt dat de feedback van de bedrijven erg algemeen van aard bleef, zodat het moeilijk te bepalen is of deze beweringen overeenstemmen met de realiteit van alle bij het privacyschild aangesloten bedrijven; benadrukt voorts de toepasbaarheid van de algemene verordening gegevensbescherming wat betreft de voorwaarden van artikel 3, lid 2, van deze verordening;
17. benadrukt dat er verbeteringen nodig zijn met betrekking tot de uitlegging en behandeling van HR-gegevens vanwege de verschillende interpretatie van het concept "HR-gegevens" door de Amerikaanse regering enerzijds en de Commissie en de WP29 anderzijds; is het volmondig eens met de oproep van de WP29 aan de Commissie om onderhandelingen aan te knopen met de Amerikaanse autoriteiten om de privacyschildregeling op dit gebied te wijzigen;
18. spreekt er nogmaals zijn bezorgdheid over uit dat de beginselen van het privacyschild niet in overeenstemming zijn met het EU-model van verwerking op basis van toestemming, maar slechts in zeer specifieke omstandigheden een opt-out/recht van bezwaar mogelijk maken; dringt er daarom in het licht van de gezamenlijke evaluatie op aan dat het DoC samenwerkt met de Europese gegevensbeschermingsautoriteiten om nauwkeuriger omschreven richtsnoeren te verstrekken over essentiële beginselen van het privacyschild, zoals het Keuzebeginsel, het Kennisgevingsbeginsel, verdere doorgifte, de betrekkingen tussen verwerkingsverantwoordelijken en verwerkers, alsook het Toegangsbeginsel, die beter aansluiten op de rechten van de betrokkene uit hoofde van Verordening (EU) 2016/679;
19. uit nogmaals zijn bezorgdheid over de verwerping door het Congres in maart 2017 van de door de Federal Communications Commission ingediende regel met betrekking tot de bescherming van de privacy van klanten van breedband- en andere telecommunicatiediensten, waardoor in de praktijk een eind werd gemaakt aan de privacyregels voor breedband die aanbieders van internetdiensten ertoe verplicht zouden hebben alleen met de expliciete toestemming van consumenten gegevens over bezochte websites en andere privé-informatie te mogen verkopen aan of delen met adverteerders en andere bedrijven; beschouwt dit als de zoveelste bedreiging voor de privacywaarborgen in de Verenigde Staten;
Kwesties in verband met rechtshandhaving en nationale veiligheid
20. is van mening dat de term "nationale veiligheid" in de privacyschildregeling niet voldoende specifiek wordt omschreven om te kunnen waarborgen dat inbreuken op de gegevensbescherming op doeltreffende wijze kunnen worden beoordeeld door de rechter om naleving te garanderen aan de hand van een strenge analyse van wat noodzakelijk en evenredig is; dringt dan ook aan op een duidelijke definitie van "nationale veiligheid";
21. stelt vast dat het aantal doelwitten dat is opgenomen in Section 702 van de FISA is toegenomen vanwege veranderingen in technologie- en communicatiepatronen en een veranderende dreigingssituatie;
22. betreurt dat de VS bij de hernieuwde toestemming die onlangs is gegeven voor Section 702 van de FISA niet van de gelegenheid gebruik heeft gemaakt om de waarborgen waarin wordt voorzien in PPD 28 in de tekst op te nemen; dringt aan op bewijzen en wettelijk bindende toezeggingen die waarborgen dat gegevensverzameling in het kader van Section 702 van de FISA niet ongedifferentieerd is en dat toegang niet op gegeneraliseerde gronden verloopt (gegevensverzameling op grote schaal), hetgeen in tegenspraak zou zijn met het EU-Handvest; neemt kennis van de toelichting van de Commissie in het werkdocument van haar diensten dat surveillance in het kader van Section 702 van de FISA steeds gebaseerd is op selectoren en dat gegevensverzameling op grote schaal dus niet is toegestaan; treedt de oproep van de WP29 dus bij om het PCLOB te verzoeken een geactualiseerd verslag op te stellen over de definitie van "doelwitten", over de "tasking van selectoren" en over de concrete procedure voor het toepassen van de selectoren in de context van het UPSTREAM-programma om te verduidelijken en te beoordelen of grootschalige toegang tot persoonsgegevens in die context voorkomt; betreurt dat EU-burgers worden uitgesloten van de bijkomende bescherming die wordt geboden door de hernieuwde toestemming voor Section 702 van de FISA; betreurt dat de hernieuwde toestemming voor Section 702 verscheidene amendementen bevat die louter procedureel van aard zijn en geen antwoord bieden op de meest problematische kwesties, zoals ook wordt aangekaart door de WP29; verzoekt de Commissie de komende analyse van de WP29 over Section 702 van de FISA ernstig te nemen en dienovereenkomstig te handelen;
23. bevestigt dat de hernieuwde toestemming voor Section 702 van de FISA voor een periode van nog eens zes jaar vragen oproept over de wettelijkheid van het privacyschild;
24. wijst nogmaals op zijn bezwaren met betrekking tot presidentieel besluit 12333, dat de NSA toestaat enorme hoeveelheden privégegevens die zijn vergaard zonder enige volmacht, rechterlijke beslissing of toestemming van het Congres te delen met 16 andere instanties, waaronder de FBI, de federale narcoticadienst en het ministerie van Binnenlandse Veiligheid; betreurt het gebrek aan rechterlijke toetsing van surveillanceactiviteiten die worden uitgevoerd op basis van presidentieel besluit 12333;
25. wijst met nadruk op de belemmeringen in verband met verhaalmogelijkheden voor niet-VS-burgers op wie een surveillancemaatregel van toepassing is op grond van Section 702 van de FISA of presidentieel besluit 12333, die blijven bestaan als gevolg van de procedurele voorwaarden voor de kwestie van de procesbevoegdheid (locus standi) volgens de huidige interpretatie van de Amerikaanse rechtbanken, teneinde niet-VS-burgers in staat te stellen tegen een besluit dat hen treft een rechtszaak aan te spannen voor een Amerikaanse rechtbank;
26. uit zijn bezorgdheid over de gevolgen die presidentieel besluit 13768 "Enhancing Public Safety in the Interior of the United States" (Bevordering van de openbare veiligheid in het binnenland van de Verenigde Staten) kan hebben voor gerechtelijke en administratieve verhaalmogelijkheden waarover personen in de VS beschikken, aangezien de bescherming die werd geboden in de privacywet niet langer van toepassing is op niet-VS-burgers; neemt kennis van het standpunt van de Commissie dat de beoordeling van de gepastheid niet afhankelijk is van de bescherming die werd geboden in de privacywet en dat dit presidentieel besluit dan ook geen invloed heeft op het privacyschild; is van mening dat presidentieel besluit 13768 niettemin een indicatie geeft van de bedoelingen van de Amerikaanse uitvoerende macht om eerder aan EU-burgers toegekende garanties inzake gegevensbescherming terug te draaien en de toezeggingen aan de EU die tijdens het presidentschap van Obama zijn gedaan terzijde te schuiven;
27. toont zich uiterst verontrust door de recente aanneming van de CLOUD-wet ("Clarifying Lawful Overseas Use of Data Act", H.R. 4943), die een uitbreiding inhoudt van het vermogen van Amerikaanse en buitenlandse rechtshandhavingsinstanties om op doelgerichte wijze persoonsgegevens te raadplegen over de internationale grenzen heen, zonder gebruik te maken van de verdragsinstrumenten voor wederzijdse rechtshulp die zorgen voor passende waarborgen en eerbiediging van de rechterlijke bevoegdheden van de landen waar de informatie zich bevindt; benadrukt dat de CLOUD-wet ernstige gevolgen kan hebben voor de EU, vanwege de ingrijpende aard van de wet en doordat er een mogelijk conflict kan ontstaan met de EU-wetgeving inzake gegevensbescherming;
28. is van mening dat het een evenwichtigere oplossing zou vormen om het bestaande internationale stelsel van verdragen inzake wederzijdse rechtshulp te versterken, teneinde aan te sporen tot internationale en justitiële samenwerking; herhaalt dat wederzijdse rechtsbijstand en andere internationale overeenkomsten de voorkeur wegdragen als mechanisme om toegang te verlenen tot persoonsgegevens in het buitenland, zoals bepaald in artikel 48 van de algemene verordening gegevensbescherming;
29. betreurt dat de Amerikaanse autoriteiten er niet in zijn geslaagd op proactieve wijze tegemoet te komen aan hun toezegging om de Commissie te voorzien van tijdige en uitgebreide informatie over elke ontwikkeling die van belang kan zijn voor het privacyschild, waaronder het verzuim om de Commissie in kennis te stellen van wijzigingen aan het Amerikaanse rechtskader, bijvoorbeeld met betrekking tot presidentieel besluit 13768 "Enhancing Public Safety in the Interior of the United States" van president Trump of de intrekking van de privacyregels voor aanbieders van internetdiensten;
30. wijst op de opmerking in zijn resolutie van 6 april 2017 dat noch de beginselen van het privacyschild noch de door de Amerikaanse regering verstrekte brieven verduidelijkingen en garanties bevatten die het bestaan aantonen van doeltreffende wettelijke verhaalsrechten voor personen in de EU wier persoonsgegevens worden gebruikt door Amerikaanse overheidsinstanties voor rechtshandhavingsdoeleinden of andere doeleinden van openbaar belang, wat door het HvJ-EU in zijn arrest van 6 oktober 2015 als het wezen van het fundamentele recht in artikel 47 van het EU-Handvest is bestempeld;
Conclusies
31. verzoekt de Commissie alle nodige maatregelen te nemen om ervoor te zorgen dat het privacyschild volledig in regel wordt gesteld met Verordening (EU) 2016/679, die met ingang van 25 mei 2018 moet worden toegepast, en met het EU-Handvest, zodat gepastheid niet tot gevolg heeft dat er achterdeurtjes of concurrentievoordelen ontstaan voor Amerikaanse bedrijven;
32. betreurt dat de Commissie en de bevoegde Amerikaanse autoriteiten niet opnieuw in gesprek zijn gegaan over de privacyschildregeling en geen actieplan hebben opgesteld om zo snel mogelijk iets te doen aan de vastgestelde tekortkomingen, zoals is gevraagd door de WP29 in haar verslag over de gezamenlijke evaluatie van december; verzoekt de Commissie en de bevoegde Amerikaanse autoriteiten hier onverwijld mee te beginnen;
33. wijst erop dat privacy en gegevensbescherming wettelijk afdwingbare grondrechten zijn die verankerd zijn in de Verdragen, het EU-Handvest en het Europees Verdrag voor de rechten van de mens, alsook in wetgeving en jurisprudentie; benadrukt dat beide moeten worden toegepast op een wijze die geen onnodige belemmeringen veroorzaakt voor handel of internationale betrekkingen, maar niet kunnen worden "afgewogen" tegen commerciële of politieke belangen;
34. is van oordeel dat de huidige privacyschildregeling niet het gepaste beschermingsniveau biedt als vereist door het Unierecht inzake gegevensbescherming en het EU-Handvest als uitgelegd door het Europees Hof van Justitie;
35. meent dat de Commissie er niet in is geslaagd te handelen overeenkomstig artikel 45, lid 5, van de algemene verordening gegevensbescherming, tenzij de VS uiterlijk op 1 september 2018 volledig in overeenstemming zijn; verzoekt de Commissie daarom het privacyschild op te schorten tot de Amerikaanse autoriteiten voldoen aan de voorwaarden van de regeling;
36. verzoekt de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken te blijven toezien op de ontwikkelingen op dit gebied, met inbegrip van de zaken die voor het Hof van Justitie worden gebracht, en om toe te zien op het gevolg dat wordt gegeven aan de aanbevelingen van deze resolutie;
o o o
37. verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad, de Commissie, de regeringen en parlementen van de lidstaten, en de Raad van Europa.