Resolucija Evropskega parlamenta z dne 5. julija 2018 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (2018/2645(RSP))
Evropski parlament,
– ob upoštevanju Pogodbe o Evropski uniji (PEU), Pogodbe o delovanju Evropske unije (PDEU) ter členov 6, 7, 8, 11, 16, 47 in 52 Listine Evropske unije o temeljnih pravicah (Listina EU),
– ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (splošna uredba o varstvu podatkov)(1) ter Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ(2),
– ob upoštevanju sodbe Sodišča Evropske unije z dne 6. oktobra 2015 v zadevi C-362/14, Maximillian Schrems proti Data Protection Commissioner(3),
– ob upoštevanju sodbe Sodišča Evropske unije z dne 21. decembra 2016 v zadevah C-203/15 Tele2 Sverige AB proti Post-och telestyrelsen in Secretary of State for the Home Department proti Tomu Watsonu in drugim in C-698/15 Watson in drugi(4);
– ob upoštevanju Izvedbenega sklepa Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA(5),
– ob upoštevanju mnenja št. 4/2016 evropskega nadzornika za varstvo podatkov (EDPS)z dne 30. maja 2016 o osnutku sklepa o ustreznosti zasebnostnega ščita EU-ZDA(6),
– ob upoštevanju mnenja št. 01/2016 delovne skupine iz člena 29 (WP29) z dne 13. aprila 2016 o osnutku sklepa o ustreznosti zasebnostnega ščita EU-ZDA(7) ter izjave WP29 z dne 26. julija 2016(8),
– ob upoštevanju poročila Komisije z dne 18. oktobra 2017 Evropskemu parlamentu in Svetu o prvem letnem pregledu delovanja zasebnostnega ščita EU-ZDA (COM(2017)0611) in priloženega delovnega dokumenta služb Komisije (SWD(2017)0344),
– ob upoštevanju dokumenta WP29 z dne 28. novembra 2017 z naslovom „Zasebnostni ščit EU-ZDA – Prvi skupni letni pregled“(9),
– ob upoštevanju povratnega pisma WP29 z dne 11. aprila 2018 o ponovni odobritvi člena 702 ameriškega zakona o nadzoru tujih obveščevalnih podatkov (zakon FISA),
– ob upoštevanju svoje resolucije z dne 6. aprila 2017 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA(10),
– ob upoštevanju člena 123(2) Poslovnika,
A. ker je Sodišče Evropske unije v sodbi z dne 6. oktobra 2015 v zadevi C-362/14 Maximilian Schrems proti Data Protection Commissioner razveljavilo odločbo o varnem pristanu in pojasnilo, da je treba ustrezno raven varstva v tretji državi razumeti kot dejansko enakovredno ravni, ki je v Evropski uniji zagotovljena na podlagi Direktive 95/46/ES, razlagane ob upoštevanju Listine EU, zato se zavzema za zaključek pogajanj o novem dogovoru, da bi zagotovili pravno varnost glede načinov prenosa osebnih podatkov iz EU v ZDA;
B. ker mora Komisija pri proučevanju ravni varstva, ki jo zagotavlja tretja država, oceniti vsebino pravil, ki se uporabljajo v tej državi na podlagi njene domače zakonodaje ali mednarodnih obveznosti, pa tudi prakso, zasnovano za zagotavljanje skladnosti s temi pravili, saj mora v skladu s členom 25(2) Direktive 95/46/ES upoštevati vse okoliščine prenosa osebnih podatkov v tretjo državo; ker se ta ocena ne sme nanašati le na zakonodajo in prakso glede varstva osebnih podatkov za poslovne in zasebne namene, temveč mora zajemati tudi vse vidike okvira, ki se uporablja za to državo ali sektor, pri tem pa med drugim tudi kazenski pregon, državno varnost in spoštovanje temeljnih pravic;
C. ker so prenosi osebnih podatkov med gospodarskimi organizacijami v EU in ZDA pomemben element čezatlantskih odnosov, saj je svetovno gospodarstvo vse bolj digitalizirano; ker bi bilo treba pri teh prenosih popolnoma spoštovati pravico do varstva osebnih podatkov in pravico do zasebnosti; ker je eden temeljnih ciljev EU varstvo temeljnih pravic, ki so zapisane v Listini EU;
D. ker je Facebook, ki je eden od podpisnikov zasebnostnega ščita, potrdil, da je bila politična svetovalna družba Cambridge Analytica ena od tistih, ki so neupravičeno uporabili podatke 2,7 milijona državljanov EU;
E. ker je evropski nadzornik za varstvo podatkov v svojem mnenju št. 4/2016 izrazil več pomislekov glede osnutka zasebnostnega ščita; ker v istem mnenju pozdravlja prizadevanja vseh strani, da bi našle rešitev za prenos osebnih podatkov iz Evropske unije v ZDA v komercialne namene na podlagi sistema samopotrjevanja;
F. ker je WP29 v svojem mnenju št. 01/2016 o osnutku izvedbenega sklepa o ustreznosti zasebnostnega ščita EU-ZDA pozdravila izboljšave v zasebnostnem ščitu v primerjavi z odločbo o varnem pristanu, obenem pa je imela velike pomisleke tako glede gospodarskih vidikov kot glede dostopa javnih organov do podatkov, prenesenih v okviru zasebnostnega ščita;
G. ker je Komisija 12. julija 2016 po nadaljnjih razpravah z vlado ZDA sprejela Izvedbeni sklep (EU) 2016/1250, s katerim je raven varstva osebnih podatkov, ki so iz Unije preneseni organizacijam v ZDA v okviru zasebnostnega ščita EU-ZDA, razglasila za ustrezno;
H. ker je zasebnostnemu ščitu EU-ZDA priloženih več enostranskih izjav in jamstev vlade ZDA, v katerih med drugim pojasnjuje načela varstva podatkov in delovanje nadzora, izvrševanja in pravnih sredstev ter zaščitne ukrepe in varovala, v skladu s katerimi lahko varnostne agencije dostopajo do osebnih podatkov in jih obdelujejo;
I. ker je WP29 v svoji izjavi z dne 26. julija 2016 pozdravila izboljšave, ki jih mehanizem zasebnostnega ščita EU-ZDA prinaša v primerjavi z varnim pristanom, ter pohvalila Komisijo in ameriške oblasti za upoštevanje njenih pomislekov; ker je WP29 navedla, da številni pomisleki vseeno ostajajo, tako glede gospodarskih vidikov kot dostopa javnih organov ZDA do podatkov, prenesenih iz EU, pa tudi glede odsotnosti specifičnih pravil o avtomatiziranih odločitvah in splošne pravice do pritožbe, potrebe po strožjih jamstvih glede neodvisnosti in pristojnosti mehanizma varuha pravic ter odsotnosti konkretnih zagotovil, da se ne bo izvajalo množično in vsesplošno zbiranje osebnih podatkov;
J. ker je Parlament v svoji resoluciji z dne 6. aprila 2017 sicer priznal, da je zasebnostni ščit EU-ZDA v primerjavi s preteklim okvirom EU-ZDA o varnem pristanu znatno izboljšan, meni pa, da odprta ostajajo pomembna vprašanja, na primer nekateri gospodarski vidiki, državna varnost ter sodno preiskovanje in pregon; poziva Komisijo, naj v prvem skupnem letnem pregledu temeljito in poglobljeno preuči vse pomanjkljivosti in slabosti in naj prikaže, kako so bile obravnavane in kako zagotovljena skladnost z Listino EU in pravom Unije, ter natančno oceni, ali so mehanizmi in zaščitni ukrepi iz jamstev in pojasnil vlade ZDA učinkoviti in izvedljivi;
K. ker je bilo v poročilu Komisije za Parlament in Svet o prvem letnem pregledu delovanja zasebnostnega ščita EU-ZDA in v spremnem delovnem dokumenta služb Komisije sicer priznano, da so ameriški organi vzpostavili potrebne strukture in postopke za pravilno delovanje ščita, in ugotovljeno, da ZDA s tem še naprej zagotavljajo ustrezno raven varstva osebnih podatkov, ki se prenašajo v okviru zasebnostnega ščita, oblikovanih pa je bilo tudi deset priporočil za ameriške organe za obravnavanje pomislekov glede del in nalog ameriškega ministrstva za trgovino, ki bo kot odgovorni administrator nadzorovalo potrjevanje organizacij v okviru zasebnostnega ščita in izvrševanje njegovih načel, in tudi glede vprašanj državne varnosti, na primer ponovne odobritve člena 702 zakona FISA ali imenovanja stalnega varuha pravic, in glede tega, da člani Nadzornega odbora za zasebnost in državljanske svoboščine (PCLOB) še vedno niso začeli izvajati svoje funkcije;
L. ker WP29 v svojem mnenju z dne 28. novembra 2017 z naslovom „Zasebnostni ščit EU-ZDA – prvi skupni letni pregled“ priznava, da je zasebnostni ščit precej napredoval v primerjavi z razveljavljeno odločbo o varnem pristanu; ker WP29 priznava tudi prizadevanja ameriških organov in Komisije za izvajanje zasebnostnega ščita;
M. ker je WP29 opozorila na več pomembnih nerešenih vprašanj, ki vzbujajo velike pomisleke, in sicer tako glede gospodarskih vprašanj kot vprašanj dostopanja ameriških organov do podatkov, prenesenih v ZDA v okviru zasebnostnega ščita (bodisi za namene izvrševanja ali državne varnosti), kar bodo morali ameriški organi in Komisija še ustrezno obravnavati; ker je WP29 tudi zaprosila, naj se najkasneje ob drugem skupnem pregledu oblikuje akcijski načrt, v katerem ob prikazano, kako bodo ta vprašanja obravnavana;
N. ker nameravajo člani WP29 ustrezno ukrepati, če ti pomisleki v postavljenih rokih ne bodo rešeni, med drugim se bodo glede sklepa o ustreznosti zasebnostnega ščita obrnili na državna sodišča, ta pa bodo morala zaprositi Sodišče Evropske unije za predhodno odločanje;
O. ker je bil pri Sodišču Evropske unije že vložen postopek za razveljavitev (zadeva T-738/16 La Quadrature du Net in drugi proti Komisiji) in ker mu je irsko vrhovno sodišče posredovalo zadevo irskega pooblaščenca za varstvo podatkov, družbe Facebook Ireland Limited in Maximiliana Schremsa (zadeva Schrems II); ker je v posredovani zadevi navedeno, da se podatki še vedno množično nadzorujejo, in tudi analizirano, ali imajo državljani EU, katerih osebni podatki so preneseni v ZDA, po ameriškem pravu na voljo učinkovita pravna sredstva;
P. ker je kongres ZDA 11. januarja 2018 dopolnil člen 702 zakona FISA in ga ponovno odobril za šest let, pri tem pa ni upošteval pomislekov iz poročila Komisije o skupnem pregledu in mnenja WP29;
Q. ker je kongres ZDA v okviru globalnega proračunskega svežnja, sprejetega 23. marca 2018, uveljavil zakon o razkritju zakonite čezmejne uporabe podatkov (zakon CLOUD), ki organom za preiskovanje in pregon omogoča dostopanje do vsebine in sorodnih podatkov iz komunikacij, saj lahko sodno zahtevajo predložitev teh podatkov, četudi so shranjeni zunaj ZDA, in omogoča celo sklenitev izvršilnih sporazumov med tujimi državami in ZDA, tako da se smejo ameriški ponudniki storitev odzvati na nekatere tuje zahtevke glede dostopanja podatkov iz komunikacij;
R. ker so podjetja Facebook Inc., Cambridge Analytica in SCL Elections Ltd potrjena v okviru zasebnostnega ščita, tako da lahko sklep o ustreznosti uporabijo kot pravno podlago za prenos podatkov in nadaljnjo obdelavo osebnih podatkov iz Evropske unije v ZDA;
S. ker člen 45(5) splošne uredbe o varstvu podatkov določa, da ko razpoložljive informacije pokažejo, da tretja država ne zagotavlja več ustrezne ravni varstva, Komisija svoj sklep o ustreznosti razveljavi, spremeni ali začasno odloži njegovo izvajanje;
1. poudarja, da so v zasebnostnem ščitu trajne pomanjkljivosti pri spoštovanju temeljnih pravic posameznikov; poudarja vse večje tveganje, da bi lahko Sodišče EU razveljavilo Izvedbeni sklep Komisije (EU) 2016/1250 o zasebnostnem ščitu;
2. je seznanjen z izboljšavami v primerjavi s sporazumom o varnem pristanu, vključno z vstavitvijo ključnih opredelitev, strožjimi obveznostmi v zvezi s hrambo podatkov in nadaljnjimi prenosi v tretje države, vzpostavitvijo funkcije varuha pravic, da se zagotovijo individualna pravna sredstva in neodvisen nadzor, v zvezi z nadzorom in ravnovesjem, ki zagotavljata pravice posameznikov, na katere se nanašajo osebni podatki (Nadzorni odbor za zasebnost in državljanske svoboščine), zunanjimi in notranjimi pregledi skladnosti, rednejšim in strožjim dokumentiranjem in spremljanjem, več možnimi načini za izvajanje pravnega varstva ter pomembno vlogo državnih organov za varstvo podatkov pri preiskovanju zahtevkov;
3. opozarja, da je WP29 določila rok za rešitev nerešenih vprašanj, in sicer 25. maj 2018. Če to ne bo izpolnjeno, pa se lahko odloči, da se bo zasebnostni ščit obravnaval pred državnimi sodišči, da bi ta zadevo predložila Sodišču Evropske unije v predhodno odločanje(11);
Institucionalna vprašanja/imenovanja
4. obžaluje, da je bilo potrebnega toliko časa za imenovanje dveh dodatnih članov in predsednika Nadzornega odbora za zasebnost in državljanske svoboščine, ter poziva ameriški senat, naj pregleda njihove profile in ratificira imenovanje, tako da bo ta neodvisna agencija znova sklepčna in bo lahko izpolnjevala svoje naloge preprečevanja terorizma in varstva zasebnosti in državljanskih svoboščin;
5. ima pomisleke zaradi omejene zmožnosti Nadzornega odbora za zasebnost in državljanske svoboščine za ukrepanje in izpolnjevanje obveznosti, ker ni imel predsednika in ni bil sklepčen; poudarja, da odbor v obdobju nesklepčnosti ne more začeti novih svetovalnih ali nadzornih projektov ali zaposlovati osebja; opozarja, da odbor še ni izdal dolgo pričakovanega poročila o izvajanju nadzora na podlagi odredbe št. 12333, v katerem naj bi zagotovil informacije o konkretnem izvajanju te odredbe ter o nujnosti in sorazmernosti motnenj, do katerih v tem okviru prihaja pri varstvu podatkov; ugotavlja, da je to poročilo zaradi negotovosti in nepredvidljive uporabe odredbe št. 12333 težko pričakovano; obžaluje, da Odbor za nadzor zasebnosti in državljanskih svoboščin ni izdal novega poročila o členu 702 zakona FISA, preden je bil ta januarja 2018 ponovno odobren; meni, da status nesklepčnosti resno spodkopava jamstva za skladnost in nadzor ter zagotovila organov ZDA; zato jih poziva, naj nemudoma imenujejo in potrdijo nove člane odbora;
6. glede na dejstvo, da je predsedniška politična direktiva št. 28 eden od ključnih elementov, na katerih temelji zasebnostni ščit, poziva k izdaji poročila Nadzornega odbora za zasebnost in državljanske svoboščine o tej direktivi, za katero še vedno velja predsedniški privilegij in zato še ni bilo objavljeno;
7. ponavlja, da po njegovem mnenju mehanizem varuha pravic, ki ga je vzpostavilo ministrstvo za zunanje zadeve ZDA, ni dovolj neodvisen in nima dovolj učinkovitih pooblastil za opravljanje svojih dolžnosti in zagotavljanje učinkovitih pravnih sredstev državljanom EU; poudarja, da je treba pojasniti točna pooblastila tega mehanizma, zlasti kar zadeva njegova pooblastila v razmerju do obveščevalne skupnosti in raven učinkovitih pravnih sredstev zoper njegove odločitve; obžaluje, da lahko varuh pravic zahteva le ukrepe vladnih organov ZDA in informacije od njih ter oblastem ne more odrediti, naj opustijo in prekinejo nezakonit nadzor ali trajno uničijo informacije; poudarja, da vlada ZDA še vedno ni imenovala novega stalnega varuha pravic, čeprav to funkcijo opravlja njegov namestnik, kar pa ne prispeva k medsebojnemu zaupanju; meni, da so zagotovila ZDA v zvezi z zagotavljanjem učinkovitih pravnih sredstev državljanom EU brez imenovanega neodvisnega in izkušenega varuha pravic z ustreznimi pooblastili nična in neveljavna;
8. priznava nedavno odločitev ameriškega senata, ki je potrdil novega predsednika zvezne komisije za trgovino in štiri komisarje zvezne komisije za trgovino; glede na to, da je zvezna komisija za trgovino pristojna agencija ameriških organizacij za izvrševanje načel zasebnostnega ščita, obžaluje, da so bila pred to potrditvijo štiri od petih mest v tej komisiji nezasedena;
9. poudarja, da so nedavna razkritja v zvezi s praksami podjetij Facebook in Cambridge Analytica pokazala, da so potrebni proaktivni ukrepi za nadzor in izvrševanje, ki ne bodo temeljili le na pritožbah, ampak bodo vključevali tudi sistematične preglede skladnosti politik varstva zasebnosti z načeli zasebnostnega ščita v vsem ciklu potrjevanja; poziva pristojne organe EU za varstvo podatkov, naj sprejmejo ustrezne ukrepe in v primerih neskladnosti začasno ustavijo prenose;
Komercialna vprašanja
10. meni, da ameriško ministrstvo za trgovino, če naj zagotovi preglednost in prepreči lažne trditve o potrjevanju, ne sme dopuščati, da ameriška podjetja objavijo javna stališča o svoji potrditvi v okviru zasebnostnega ščita pred zaključkom postopka in preden je podjetje vključeno na seznam zasebnostnega ščita; je zaskrbljen, ker ameriško ministrstvo za trgovino ni izkoristilo možnosti, zagotovljene v okviru zasebnostnega ščita, da zahteva kopije pogodbenih pogojev, ki jih imajo potrjena podjetja v svojih pogodbah s tretjimi stranmi, da se zagotovi skladnost; zato meni, da nadzor nad tem, ali potrjene družbe dejansko izpolnjujejo določbe zasebnostnega ščita, ni učinkovit; poziva, naj ministrstvo za trgovino proaktivno in redno izvaja preglede skladnosti po uradni dolžnosti, da bi se spremljala učinkovita skladnost podjetij s pravili in zahtevami zasebnostnega ščita;
11. meni, da bi se lahko za različne pritožbene postopke za državljane EU izkazalo, da so prezapleteni, jih je težko uporabljati in so zato manj učinkoviti; ugotavlja, kot so poudarila podjetja, ki zagotavljajo neodvisne pritožbene mehanizme, da večino pritožb na podjetja vložijo neposredno posamezniki, ki iščejo splošne informacije v zvezi z zasebnostnim ščitom in obdelavo njihovih podatkov; zato priporoča, naj organi ZDA ponudijo konkretnejše informacije na spletnem mestu o zasebnostnem ščitu, in sicer v posameznikom zlahka dostopni obliki, ki jim bo zagotavljala lahko razumljive informacije o njihovih pravicah ter razpoložljivih pravnih možnostih in pravnih sredstvih;
12. ob upoštevanju nedavnih razkritj zlorabe osebnih podatkov, ki so jo zagrešila podjetja, potrjena v okviru zasebnostnega ščita, kot sta Facebook in Cambridge Analytica, poziva organe ZDA, pristojne za izvajanje zasebnostnega ščita, naj se brez odlašanja odzovejo na ta razkritja ter naj ta podjetja v popolni skladnosti z zagotovili in zavezami glede spoštovanja dogovora v zvezi z zasebnostnim ščitom po potrebi odstranijo s seznama zasebnostnega ščita; poziva tudi pristojne organe EU za varstvo podatkov, naj ta razkritja preiščejo ter po potrebi začasno prekličejo ali prepovedo prenose podatkov v okviru zasebnostnega ščita; meni, da ta razkritja jasno kažejo, da mehanizem zasebnostnega ščita ne zagotavlja ustreznega varstva pravice do varstva podatkov;
13. je resno zaskrbljen zaradi spremembe Facebookovih pogojev za uporabnike iz držav zunaj EU ter ZDA in Kanade, ki so do zdaj imeli pravice v skladu z zakonodajo EU o varstvu podatkov, zdaj pa morajo kot upravljavca podatkov sprejeti podjetje Facebook ZDA namesto Facebook Ireland; meni, da gre v tem primeru za prenos osebnih podatkov približno 1,5 milijarde uporabnikov v tretjo državo; močno dvomi, da je bila z zasebnostnim ščitom predvidena doslej najbolj obsežna omejitev temeljnih pravic uporabnikov platforme, ki ima dejansko monopol; poziva organe EU za varstvo podatkov, naj preiščejo to zadevo;
14. je resno zaskrbljen, ker bi lahko, če se ta problem ne bo obravnaval in bodo osebne podatke na tak način zlorabili različni subjekti, ki želijo vplivati na politično mnenje ali glasovanje, to ogrozilo demokratični proces in njegovo temeljno idejo, da volivci sami sprejemajo odločitve na podlagi informacij in dejstev;
15. pozdravlja in podpira pozive zakonodajalcu ZDA, naj se pomakne v smeri celovitega zakona na področju varstva podatkov;
16. opozarja na pomisleke, da v zasebnostnem ščitu ni izrecnih pravil in jamstev za odločitve na podlagi avtomatizirane obdelave/profiliranja, ki imajo pravni učinek ali znatno vplivajo na posameznika; priznava namero Komisije, da naroči študijo za zbiranje dejstvenih dokazov in nadalje oceni ustreznost avtomatiziranega odločanja za prenose podatkov v okviru zasebnostnega ščita; poziva Komisijo, naj določi izrecna pravila v zvezi z avtomatiziranim odločanjem, da se zagotovijo zadostni zaščitni ukrepi, če bo študija to priporočala; v zvezi s tem upošteva informacije iz skupnega pregleda, da avtomatizirano odločanje ni mogoče na podlagi osebnih podatkov, ki so bili preneseni v okviru zasebnostnega ščita; obžaluje, da so v skladu s poročilom WP29 „povratne informacije podjetij zelo splošne, pri čemer ni jasno, ali te trditve ustrezajo dejanskemu stanju vseh podjetij, ki delujejo v skladu z zasebnostnim ščitom“; poudarja tudi, da se tu uporablja Splošna uredba o varstvu podatkov, in sicer v skladu z njenim členom 3(2);
17. poudarja, da bi bile potrebne še nadaljnje izboljšave glede razlaganja in obdelave kadrovskih podatkov, saj ta pojem ameriška vlada ter Komisija in WP29 različno razlagajo; popolnoma soglaša s pozivom PW29, naj se Komisija pogaja z organi ZDA o tem, da bi mehanizem zasebnostnega ščita v tem smislu dopolnili;
18. ponavlja svoj pomislek, da načela zasebnostnega ščita ne sledijo modelu EU, kjer obdelava podatkov temelji na soglasju, temveč dovoljujejo pravico do izvzetja ali ugovora samo v točno določenih okoliščinah; zato glede na skupni pregled poziva, naj ministrstvo za trgovino sodeluje z evropskimi organi za varstvo podatkov, ki mu bodo pomagali z natančnejšimi napotki o osnovnih načelih zasebnostnega ščita, na primer načelu izbire, načelu obvestila, posredovanju, razmerju med upravljavcem in obdelovalcem podatkov in o dostopu, saj so dosti bolj usklajena s pravicami posameznika v skladu z Uredbo (EU) 2016/679;
19. ponovno izraža pomisleke glede tega, da je ameriški kongres marca 2017 zavrnil pravilo o varstvu zasebnosti uporabnikov širokopasovnih in drugih telekomunikacijskih storitev, ki je bilo predloženo zvezni komisiji za komunikacije, zaradi česar so bila v praksi odpravljena pravila o zasebnosti pri širokopasovnih komunikacijah, po katerih bi morali ponudniki internetnih storitev pridobiti izrecno soglasje uporabnikov, preden njihove podatke o brskanju po spletu in druge zasebne informacije prodajo ali posredujejo oglaševalcem in drugim podjetjem; meni, da to še dodatno ogroža varstvo zasebnosti v Združenih državah Amerike;
Preiskovanje in pregon ter vprašanja državne varnosti
20. meni, da izraz „državna varnost“ v mehanizmu zasebnostnega ščita ni zelo natančno opredeljena, tako da se bodo lahko kršitve varstva podatkov učinkovito preverile na sodiščih in bo zagotovljena skladnost s strogim preverjanjem, kaj je potrebno in sorazmerno; zato poziva, naj se izraz „državna varnost“ nedvoumno opredeli;
21. je seznanjen, da zdaj člen 702 zakona FISA zaradi tehnološkega razvoja in spremenjenih komunikacijskih vzorcev ter zaradi vse nevarnejšega okolja vsebuje dodatne cilje;
22. obžaluje, da ZDA pri ponovni odobritvi člena 702 zakona FISA niso izkoristile priložnosti za vključitev varoval iz predsedniške politične direktive št. 28; poziva, naj se z dokazi in pravnimi obveznostmi zagotovi, da se podatki po členu 702 zakona FISA ne bodo zbirali brez razlikovanja in da dostop ne bo kar vsesplošen (množično zbiranje), saj bi bilo to v nasprotju z Listino EU o temeljnih pravicah; je seznanjen z obrazložitvijo Komisije v delovnem dokumentu njenih služb, da nadzor po členu 702 zakona FISA vedno temelji na filtrih in zato ne omogoča množičnega zbiranja; zato se pridružuje pozivu WP29, naj Nadzorni odbor za zasebnost in državljanske svoboščine (PCLOB) v svojem poročilu posodobi opredelitev „ciljev“, „določanja filtrov“ in procesa uporabe filtrov pri programu UPSTREAM, ter naj pri tem naj pojasni in oceni, ali pri tem prihaja do množičnega dostopanja do podatkov; obžaluje, da so posamezniki iz EU izvzeti iz dodatnega varstva, kakor ga zagotavlja ponovno odobreni člen 702 zakona FISA; obžaluje, da ponovna odobritev člena 702 vsebuje več sprememb, a so zgolj postopkovne narave in ne urejajo najbolj problematičnih vprašanj, na katera je opozorila WP29; poziva Komisijo, naj skorajšnjo analizo člena 702 zakona FISA, ki jo bo izvedla WP29, vzame resno in naj ustrezno ukrepa;
23. trdi, da je s ponovno odobritvijo člena 702 zakona FISA za nadaljnjih šest let pod vprašaj postavljena zakonitost zasebnostnega ščita;
24. ponovno izraža zaskrbljenost glede odredbe št. 12333, ki državni varnostni službi NSA dovoljuje, da s še 16 državnimi agencijami, vključno s FBI, agencijo za boj proti drogam (DEA) in ministrstvom za domovinsko varnost, zbira ogromne količine osebnih podatkov brez uradnega naloga, sodne odločbe ali odobritve kongresa; obžaluje, da ni sodnega pregleda za nadzorne ukrepe, izvedene na podlagi odredbe št. 12333;
25. želi poudariti, da še vedno ostajajo ovire glede pravnih sredstev za nedržavljane ZDA, zoper katere bi uvedli nadzorne ukrepe na podlagi člena 702 zakona FISA ali odredbe št. 12333, in sicer zaradi zahteve glede postopkovne upravičenosti, kakor jo trenutno razlagajo ameriška sodišča, zato da bi lahko neameriški državljani pri ameriških sodiščih uporabiti pravna sredstva zoper odločitve, ki jih zadevajo;
26. ima pomisleke glede posledic predsedniške odredbe št. 13768 o izboljšanju javne varnosti v notranjih zadevah ZDA za pravosodno in upravno pravno varstvo, ki je v ZDA na voljo posameznikom, saj varstvo iz zakona o zasebnosti ne velja več za nedržavljane ZDA; je seznanjen s stališčem Komisije, da se ocena ustreznosti ne opira na varstvo iz zakona o zasebnosti, zato odredba ne vpliva na zasebnostni ščit; meni, da odredba št. 13768 vendarle kaže namero ameriške vlade, da bi razveljavila jamstva glede varstva podatkov, ki so bila državljanom EU že zagotovljena, in obšla obveznosti do EU, ki so bile sprejete pod predsednikom Obamo;
27. ima velike pomisleke glede tega, da je bil pred kratkim sprejet zakon CLOUD o preverbi zakonite čezmejne uporabe podatkov (H. R. 4943), ki povečuje pooblastila ameriških in tujih organov preiskovanja in pregona in jim omogoča čezmejni dostop do podatkov ljudi brez uporabe instrumentov medsebojne pravne pomoči, pri katerih so zagotovljena varovala in spoštovanje pravosodnih pristojnosti držav, v katerih so locirani podatki; poudarja, da bi mogel imeti zakon CLOUD resne posledice za EU, saj je precej daljnosežen in bi utegnil priti navzkriž s predpisi EU o varstvu podatkov;
28. meni, da bi bila bolj uravnotežena rešitev, če bi okrepili obstoječi mednarodni sistem sporazumov o medsebojni pravni pomoči in tako spodbudili mednarodno in pravosodno sodelovanje; ponavlja, kot je določeno tudi v členu 48 splošne uredbe o varstvu podatkov, da so medsebojna pravna pomoč in drugi mednarodni sporazumi najprimernejši mehanizem za omogočanje dostopa do osebnih podatkov v tujini;
29. obžaluje, da organi ZDA niso proaktivno izpolnili svojih obveznosti in Komisiji niso pravočasno posredovali izčrpnih informacij o ustreznem razvoju dogodkov za zasebnostni ščit, niti je niso obvestili o spremembah v ameriškem pravnem okviru, na primer o odredbi predsednika Trumpa št. 13768 o izboljšanju javne varnosti v notranjih zadevah ZDA ali o razveljavitvi pravil o zasebnosti za ponudnike internetnih storitev;
30. želi spomniti, da je že v svoji resoluciji z dne 6. aprila 2017 navedel, da niti načela zasebnostnega ščita niti pisma ameriške administracije ne dajejo pojasnil in zagotovil, s katerimi bi bil dokazan obstoj dejanskih pravic sodnega varstva za posameznike v EU glede tega, kako ameriški organi uporabljajo njihove osebne podatke za sodno preiskovanje in pregon in v javnem interesu, kar je tudi Sodišče v svoji sodbi z dne 6. oktobra 2015 poudarilo kot bistvo temeljne pravice iz člena 47 Listine EU;
Sklepne ugotovitve
31. poziva Komisijo, naj sprejme vse potrebne ukrepe za zagotovitev, da bo zasebnostni ščit popolnoma skladen z Uredbo (EU) 2016/679, ki se je začela uporabljati 25. maja 2018, in z Listino EU, tako da potrjena ustreznost ne bi privedla do vrzeli ali konkurenčne prednosti za ameriška podjetja;
32. obžaluje, da Komisija in pristojni organi ZDA niso ponovno začeli razprav o ureditvi zasebnostnega ščita in niso vzpostavili akcijskega načrta, s katerim bi čim prej odpravili ugotovljene pomanjkljivosti, kakor je WP29 pozvala v svojem decembrskem poročilu o skupnem pregledu; poziva Komisijo in pristojne organe ZDA, naj to nemudoma storijo;
33. želi opomniti, da sta zasebnost in varstvo podatkov pravno izvršljivi temeljni pravici, določeni v primarnih pogodbah, Listini EU o temeljnih pravicah in Evropski konvenciji o človekovih pravicah ter v zakonodaji in sodni praksi; poudarja, da je treba ti pravici uporabljati tako, da ne bosta po nepotrebnem ovirali trgovine ali mednarodnih odnosov, ne smemo pa ju prilagajati poslovnim ali političnim interesom;
34. meni, da sedanja ureditev zasebnostnega ščita ne zagotavlja ustrezne ravni varstva, kakršna se zahteva po pravu Unije o varstvu podatkov in Listini EU o temeljnih pravicah, kakor ju razlaga Sodišče Evropske unije;
35. meni, da Komisija ni ukrepala v skladu s členom 45(5) splošne uredbe o varstvu podatkov, razen če bodo ZDA do 1. septembra 2018 izpolnile vse zahteve; zato poziva Komisijo, naj odloži izvajanje zasebnostnega ščita, dokler ZDA ne bodo izpolnile vseh pogojev;
36. naroči svojemu odboru za državljanske svoboščine, pravosodje in notranje zadeve naj še naprej spremlja razvoj na tem področju, vključno s primeri, predloženimi Sodišču Evropske unije, in spremlja nadaljnje ukrepanje na podlagi priporočil iz resolucije;
o o o
37. naroči svojemu predsedniku, naj to resolucijo posreduje Svetu, Komisiji, vladam in parlamentom držav članic ter Svetu Evrope.