Europaparlamentets resolution av den 25 oktober 2018 om Cambridge Analyticas utnyttjande av Facebooks användaruppgifter och dess inverkan på uppgiftsskyddet (2018/2855(RSP)).
Europaparlamentet utfärdar denna resolution
– med beaktande av fördraget om Europeiska unionen (EU-fördraget), fördraget om Europeiska unionens funktionssätt (EUF-fördraget), Europeiska unionens stadga om de grundläggande rättigheterna, framför allt artiklarna 7, 8, 11, 12, 39, 40, 47 och 52, den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, framför allt artiklarna 8, 9, 10, 11, 13, 16 och 17, och protokollet till den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, framför allt artikel 3,
– med beaktande av Internationella konventionen om medborgerliga och politiska rättigheter, särskilt artiklarna 2, 17, 19, 20 och 25,
– med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)(1), och av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF(2),
– med beaktande av Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter och dess tillhörande protokoll,
– med beaktande av den undersökning som det brittiska underhuset gjort av falska nyheter och den femte interimsrapporten från dess utskott för digitala frågor, kultur, medier och idrott om desinformation och falska nyheter (Disinformation and ‘fake news’),
– med beaktande av de utfrågningar som hållits i det amerikanska representanthusets utskott för energi och handel,
– med beaktande av kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna(3),
– med beaktande av sin resolution av den 5 juli 2018 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA(4),
– med beaktande av Europeiska unionens domstols (nedan kallad domstolen) dom av den 6 oktober 2015, Maximillian Schrems mot Data Protection Commissioner(5), C-362/14,
– med beaktande av domstolens dom av den 25 januari 2018, Maximilian Schrems mot Facebook Ireland Limited(6), C-498/16,
– med beaktande av domstolens dom av den 5 juni 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein mot Wirtschaftsakademie Schleswig-Holstein GmbH, C-210/161(7),
– med beaktande av den formella begäran från David Caroll riktad till Cambridge Analytica om att ta fram hans personuppgifter och uppge källan,
– med beaktande av Europeiska datatillsynsmannens yttrande 3/2018 av den 19 mars 2018 om manipulation via internet och personuppgifter(8),
– med beaktande av artikel 29-gruppens riktlinjer av den 3 oktober 2017 om automatiserat individuellt beslutsfattande och profilering vid tillämpning av förordning (EU) 2016/679(9),
– med beaktande av de två uppsättningarna skriftliga svar på frågor som inte besvarades vid mötet mellan Europaparlamentets gruppledare och Facebooks verkställande direktör, Mark Zuckerberg, offentliggjorda av Facebook den 23 maj(10) respektive den 4 juni 2018(11),
– med beaktande av kommissionens rekommendation (EU) 2018/234 av den 14 februari 2018 om förstärkning av den europeiska dimensionen i och ett effektivt genomförande av valet till Europaparlamentet 2019(12), kommissionens rekommendation av den 12 september 2018 om nätverk för valsamarbete, insyn på nätet, skydd mot cyberincidenter och bekämpning av desinformationskampanjer i samband med val till Europaparlamentet, (C(2018)5949), och kommissionens meddelande av den 12 september 2018 Att säkerställa fria och rättvisa val till Europaparlamentet (COM(2018)0637),
– med beaktande av kommissionens förslag av den 12 september 2018 till Europaparlamentets och rådets förordning om ändring av förordning (EU, Euratom) nr 1141/2014 vad gäller ett kontrollförfarande avseende överträdelser av reglerna om skydd av personuppgifter i samband med val till Europaparlamentet (COM(2018)0636),
– med beaktande av kommissionens vägledning av den 12 september 2018 om tillämpningen av EU:s dataskyddslagstiftning i samband med val (COM(2018)0638),
– med beaktande av de djupgående utfrågningar som på uppdrag av Europaparlamentet hållits av utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor om Cambridge Analyticas utnyttjande av Facebooks användaruppgifter och dess inverkan på uppgiftsskyddet,
– med beaktande av rapporterna från den brittiska dataskyddsmyndigheten (Information Commissioner’s Office) om utredningen av användning av dataanalys och politiska kampanjer samt rapporten Democracy disrupted(13),
– med beaktande av beläggen från den europeiska konsumentorganisationen (BEUC), vilka presenterades den 25 juni 2018(14),
– med beaktande av uttalandet från kommissionen av den 23 oktober 2018,
– med beaktande av förslaget till resolution från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor,
– med beaktande av artikel 123.2 i arbetsordningen, och av följande skäl:
A. Undersökande journalistik avslöjade och offentliggjorde betydande dataläckor i form av Facebooks användaruppgifter i samband med det tillträde som Facebook beviljade tredjepartsapplikationer och det därpå följande missbruket av dessa uppgifter för valkampanjer samt andra personuppgiftsincidenter som senare uppdagades i fråga om personuppgifter som innehades och hade samlats in av stora företag inom sociala medier.
B. Dessa personuppgiftsincidenter påverkade människor överallt i världen, även unionsmedborgare och tredjelandsmedborgare bosatta i unionen, och en rad olika nationella parlament höll utfrågningar, gjorde utredningar och offentliggjorde sina slutsatser i detta sammanhang.
C. Nämnda personuppgiftsincidenter ägde rum under en längre tid. De berörda företagen agerade då i strid med tillämplig dataskyddslagstiftning på unionsnivå, särskilt direktiven 95/46/EG och 2002/58/EG.
D. Det missbruk av uppgifter som avslöjades inom ramen för Cambridge Analytica-skandalen ägde rum innan den allmänna dataskyddsförordningen började tillämpas.
E. Facebook har bekräftat att inga uppgifter om vare sig bankkonton, kreditkort eller nationella identitetsuppgifter delats med Cambridge Analytica.
F. Cambridge Analytica har påstått att uppgiftsbehandlingen officiellt gjordes för forskningsändamål, men i ett senare skede överläts de insamlade uppgifterna för att användas för politiska och kommersiella ändamål.
G. Den första reaktionen från de berörda företagens sida motsvarade inte de förväntningar som man kan ställa och gjorde det inte heller möjligt för de berörda myndigheterna på nationell nivå och unionsnivå att genomföra en fullständig och oberoende utredning och revision.
H. Ordförandena för de politiska grupperna i Europaparlamentet höll en inledande diskussion inom stängda dörrar med Facebooks verkställande direktör och grundare, Mark Zuckerberg, den 22 maj 2018, och detta möte resulterade i talmanskonferensens begäran till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor om att, tillsammans med utskottet för konstitutionella frågor, utskottet för rättsliga frågor och utskottet för industrifrågor, forskning och energi, hålla djupgående uppföljande utfrågningar.
I. Tre utfrågningar om Facebook/Cambridge Analytica-fallets inverkan på frågor med anknytning till uppgiftsskydd, valprocesser, falska nyheter och sociala mediers marknadsposition hölls den 4 juni, den 25 juni och den 2 juli 2018 med deltagande av de berörda ledamöterna av Europeiska kommission, den verkställande direktören för Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), Europeiska datatillsynsmannen, Europeiska dataskyddsstyrelsens ordförande, den brittiska dataskyddsmyndigheten, den brittiska valkommissionens verkställande direktör, berörda medborgare och Facebook.
J. Facebook vägrade för samtliga tre utfrågningar att avdela personal på lämplig teknisk nivå och på passande ansvarsnivå, med den tekniska sakkunskap och de kunskaper i övrigt som efterlystes av utskottsordförandena, och skickade i stället personer ur sitt Public Policy-team. De uppgifter som Facebooks företrädare tillhandahöll under utfrågningarna var vaga när det gällde de konkreta och specifika åtgärder som vidtagits för att säkerställa fullständig efterlevnad av EU:s dataskyddslagstiftning, och var snarare av allmän karaktär.
K. I sitt yttrande 3/2018 uttrycker Europeiska datatillsynsmannen upp farhågor i samband med manipulation via internet och personuppgifter, och argumenterar även för att konkurrensrätten spelar en avgörande roll i arbetet med att säkerställa ansvarsskyldighet för de dominerande aktörerna på marknaden och skydda demokratin mot en alltför stark ställning på marknaden för sådana aktörer. De enskilda medborgarnas intressen bör avspeglas bättre när man bedömer potentiellt missbruk av en dominerande ställning eller fusioner av företag, som kan ha samlat på sig en betydande informationsbaserad makt.
L. I sitt yttrande av den 3 oktober 2017 framhöll artikel 29-gruppen att profilering och automatiska beslutsprocesser kan utgöra betydande risker för privatpersoners rättigheter och friheter, och att det därför är nödvändigt att vidta ändamålsenliga skyddsåtgärder.
M. Europeiska dataskyddsstyrelsens ordförande påpekade att Facebook/Cambridge Analytica-fallet ägde rum innan den allmänna dataskyddsförordningen trädde i kraft, vilket innebär att systemet med ansvarig tillsynsmyndighet enligt den allmänna dataskyddsförordningen inte var tillämpligt. Utredningen leddes av den brittiska dataskyddsmyndigheten.
N. Facebook har medgett att företaget ingick ett avtal med en applikationsutvecklare utan att ha gjort en förhandskontroll av dess villkor, enligt vilka den sistnämnda förbehöll sig rätten att lämna ut personuppgifter till tredje part. Detta förbiseende fick allvarliga konsekvenser, och sådana metoder var olagliga redan enligt den då tillämpliga dataskyddslagstiftningen.
O. I skrivande stund pågår förhandlingar om förordningen om integritet och elektronisk kommunikation.
P. Europeiska dataskyddsstyrelsen har uppgett att cirka 100 gränsöverskridande fall redan är under behandling inom ramen för mekanismen för enhetlighet enligt den allmänna dataskyddsförordningen. Denna mekanism samordnar de nationella dataskyddsmyndigheternas åtgärder för att säkerställa en gemensam strategi för upprätthållande av EU:s dataskyddslagstiftning.
Q. Facebook, som har undertecknat skölden för skydd av privatlivet, har bekräftat att personuppgifter för upp till 2,7 miljoner unionsmedborgare fanns med bland dem som otillbörligt användes av det politiska konsultföretaget Cambridge Analytica.
R. Den 28 september 2018 offentliggjorde Facebook att en extern aktör hade attackerat företagets system och utnyttjat en sårbarhet som avslöjade åtkomsttokens för 50 miljoner Facebook-konton. Den irländska dataskyddsmyndigheten och andra dataskyddsmyndigheter har inlett utredningar av dessa uppgifter för att bedöma efterlevnaden av EU:s dataskyddslagstiftning.
S. Förenta staternas federala handelskommission (Federal Trade Commission, FTC) undersöker för närvarande huruvida Facebook underlåtit att agera i enlighet med sina utfästelser vad gäller skydd av privatlivet, inbegripet att följa skölden för skydd av privatlivet, eller om företaget gjort sig skyldigt till illojala metoder som åsamkat konsumenterna betydande skada, i strid med FTC-akten och den tidigare uppgörelsen mellan FTC och Facebook, från 2011.
T. Fyra konsumentorganisationer i Belgien, Italien, Spanien och Portugal har väckt kollektiv talan mot Facebook och kräver i detta sammanhang ekonomisk ersättning för berörda Facebookanvändare i respektive land.
U. BEUC konstaterade i samband med de belägg som presenterades den 25 juni 2018 att det är nödvändigt att säkerställa ansvarsskyldighet för plattformar vad avser tredjeparters tillgång till personuppgifter. BEUC argumenterar också, i anslutning till nämnda belägg, för att företag bör göra mer i syfte att säkerställa robusta ansvarsstrukturer med avseende på sina partners tillgång till personuppgifter och fortsatta utnyttjande av uppgifterna i fråga.
V. Den brittiska dataskyddsmyndighetens utredning omfattade även kopplingen mellan Cambridge Analytica, dess moderbolag SCL Elections Limited och företaget Aggregate IQ och inbegrep påståenden om att personuppgifter från Facebook kan ha missbrukats av båda sidorna i samband med den brittiska folkomröstningen om EU-medlemskapet och kan ha använts för att nå väljare under 2016 års presidentval i Förenta staterna. Den brittiska dataskyddsmyndighetens utredning bedrevs huvudsakligen på grundval av 1998 års dataskyddsakt (Data Protection Act) och 2003 års förordningar om skydd av privatlivet samt elektronisk kommunikation (Privacy and Electronic Communications Regulations), även om man försökte dra slutsatser mot bakgrund av den kommande allmänna dataskyddsförordningen, när så krävdes.
W. Det brittiska underhusets utskott för kultur, medier och idrott har tagit del av belägg som visat på påstådd rysk inblandning i valprocesser inom EU, och har eftertryckligen uppmanat de behöriga nationella myndigheterna att utreda dessa anklagelser. I Förenta staterna tillsattes i maj 2017 en särskild åklagare med uppdrag att utreda eventuell rysk inblandning i 2016 års presidentval och därmed sammanhängande frågor. Denna utredning pågår fortfarande.
X. Den brittiska dataskyddsmyndigheten har tillställt Facebook en avsiktsanmälan att ålägga böter på 500 000 brittiska pund för bristande transparens och säkerhetsproblem med anknytning till den insamling av uppgifter som utgjorde en överträdelse av den första och den sjunde dataskyddsprincipen enligt 1998 års dataskyddsakt.
Y. Den brittiska dataskyddsmyndigheten har redan utfärdat 23 förhandsmeddelanden till 17 olika organisationer och privatpersoner – inbegripet Facebook den 23 februari 2018 – där man begär tillhandahållande av information från organisationerna på ett strukturerat sätt. Facebook bekräftade den 18 maj 2018 att företaget Aggregate IQ utformat och, i vissa fall, placerat ut reklam för kampanjerna Vote to Leave, Vote Leave, BeLeave och Veterans for Britain, vilka fördes i regi av det politiska partiet Democratic Unionist Party (DUP) .
Z. Den brittiska dataskyddsmyndigheten har uttryckt oro över de gällande kraven på information riktad till användarna om uppgiftskällorna samt tillgängligheten för – och transparensen med avseende på – de kontroller som erbjuds användarna, och den har också uppgett att Facebooks allmänna information om skydd av personuppgifter och tillhörande kontroller inte på ändamålsenligt sätt informerade användarna om de sannolika användningarna av deras personuppgifter. Den brittiska dataskyddsmyndigheten har tagit upp problem med uppgifter som åtkommits via Facebookplattformen och därefter använts för icke avsedda ändamål eller för ändamål som de registrerade inte rimligen skulle förväntat sig.
AA. Sifferuppgifter från den brittiska valkommissionen har visat att de politiska partierna i Förenade kungariket lagt ut 3,2 miljoner brittiska pund på direktreklam på Facebook under 2017 års allmänna val.
AB. Sociala nätverk utgör en viktig plattform för politiska partier och offentliga institutioner, där de får möjlighet att närma sig medborgarna.
AC. Globala onlineplattformar står inför utmaningen att motverka falska nyheter på ändamålsenligt sätt mot bakgrund av de olika hot och medielandskap som förekommer i olika länder och regioner.
AD. Dataanalys och algoritmer påverkar i allt större utsträckning den information som görs tillgänglig för medborgarna. Ett missbruk av sådana tekniker skulle kunna äventyra den grundläggande rätten till information samt mediernas frihet och mångfald.
AE. Algoritmisk ansvarsskyldighet och transparens är en förutsättning för att säkerställa att privatpersoner får korrekt information om och klart kan förstå hur deras personuppgifter behandlas. Det bör innebära genomförande av tekniska och operativa åtgärder som säkerställer transparens och icke-diskriminering genom automatiserat beslutsfattande samt förbjuder sannolikhetsberäkning av en privatpersons beteende. Transparensen bör ge privatpersoner meningsfull information om den berörda logiken, innebörden och de planerade konsekvenserna. Detta bör inbegripa information om vilka data som används för utbildning i stordataanalyser och göra det möjligt för privatpersoner att förstå och övervaka de beslut som påverkar dem.
AF. Vid sitt möte den 2 juli 2018 med ledamöter av Europeiska kommissionen gjorde Facebook utfästelser om att samarbeta med oberoende akademiker och ge dessa tillgång till uppgifter om påstådd manipulation av röster.
1. Europaparlamentet förväntar sig att alla onlineplattformar säkerställer full överensstämmelse med unionens dataskyddslagstiftning, närmare bestämt den allmänna dataskyddsförordningen och direktiv 2002/58/EG (om integritet och elektronisk kommunikation), och hjälper användarna att förstå hur deras personuppgifter behandlas inom ramen för systemet med riktad reklam, samt ser till att ändamålsenliga kontroller finns att tillgå, vilket förutsätter utverkande av separat samtycke för varje enskilt behandlingsändamål samt ökad transparens vad gäller integritetsinställningarna och utformningen av och synligheten för integritetsrelaterade meddelanden.
2. Europaparlamentet betonar att undantaget i EU:s dataskyddslagstiftning med hänvisning till forskning aldrig någonsin får användas som ett kryphål för missbruk av uppgifter.
3. Europaparlamentet noterar Facebooks uttalande om att företaget använder data från personer som inte använder Facebook uteslutande för att skapa aggregerade uppsättningar data som möjliggör slutsatser om hur tjänsten används.
4. Europaparlamentet betonar att det behövs en mycket större algoritmisk ansvarsskyldighet och transparens när det gäller databehandling och dataanalyser som utförs av den privata och den offentliga sektorn och av andra aktörer som använder dataanalyser, som ett centralt redskap för att privatpersoner vederbörligen ska få veta hur deras personuppgifter behandlas.
5. Europaparlamentet anser att vallagarna, i denna digitala tidsålder, måste anpassas till den nya digitala verkligheten, och att konventionella valrelaterade skyddsåtgärder (för offlinebruk), t.ex. regler som är tillämpliga på politiska budskap i samband med val, insyn i och gränser för valutgifter, respekt för kampanjfria perioder och likabehandling av kandidater, bör tillämpas även online. Medlemsstaterna bör införa ett obligatoriskt system med digitala avtryck av elektroniska kampanj- och reklaminsatser och genomföra kommissionens rekommendation som syftar till ökad insyn i sponsrad politisk onlinereklam och tillhörande budskap. Varje form av politisk reklam bör innefatta lättillgänglig och begriplig information om den organisation som stått för offentliggörandet och om vem som är rättsligt ansvarig för kostnaderna så att det klart framgår vem som sponsrat kampanjerna, i likhet med de krav på valtrycksaker, som i dag gäller i olika medlemsstater. Unionsmedborgarna bör lätt kunna känna igen sponsrad politisk onlinereklam och tillhörande budskap samt det parti, den stiftelse eller den organisation som står bakom dem. Parlamentet vidhåller dessutom att transparensen även bör omfatta fullständig information om kriterierna för hur målgruppen valts ut för den specifika politiska reklamen och målgruppens förväntade storlek.
6. Europaparlamentet noterar att Facebook har uppdaterat sina integritetsinställningar för att användarna ska kunna välja att inte bli föremål för riktade budskap, inbegripet reklam baserad på uppgifter som erhållits från tredje part och för att personuppgifter om dem, som insamlats av Facebook, inte ska användas för placering av reklam på andra webbplatser eller plattformar.
7. Europaparlamentet rekommenderar att alla onlineplattformar klart ska skilja mellan dels politisk användning av sina onlinereklamprodukter, dels användning av dem för kommersiella ändamål. Parlamentet påminner om att behandling av personuppgifter för politisk reklam måste ske på annan rättslig grund än behandling av dem för kommersiell reklam.
8. Europaparlamentet anser att det krav på att kontrollera identitet, ort och sponsor i samband med politisk reklam som nyligen infördes av Facebook i Förenta staterna är ett bra initiativ som kommer att öka transparensen och bidra till kampen mot utländska aktörers inblandning i valprocesser. Facebook uppmanas eftertryckligen att införa samma krav för politisk reklam i Europa. Medlemsstaterna uppmanas att anpassa sina vallagar i detta avseende.
9. Europaparlamentet anser att profilering för politiska och valrelaterade ändamål och profilering på grundval av onlinebeteenden som kan avslöja politiska preferenser, till exempel interaktion med politiskt innehåll, bör förbjudas i den mån den enligt EU:s dataskyddslagstiftning bygger på politiska eller filosofiska åsikter. Parlamentet anser också att plattformar för sociala medier bör övervaka sådana metoder och aktivt underrätta myndigheterna om de förekommer. Parlamentet anser också att det bör vara förbjudet med profilering på grundval av andra uppgifter, såsom socioekonomiska eller demografiska faktorer, för politiska och valrelaterade ändamål. Parlamentet uppmanar politiska partier och andra aktörer som är involverade i val att inte använda profilering för politiska och valrelaterade ändamål. Politiska partier uppmanas att vara transparenta i fråga om sin användning av plattformar och data online.
10. Europaparlamentet påminner om de åtgärder som kommissionen har föreslagit för att säkerställa fria och rättvisa val till Europaparlamentet, i synnerhet lagändringen för att skärpa reglerna om finansiering av europeiska politiska partier, som medför en möjlighet att ålägga ekonomiska sanktioner för överträdelser av de gällande dataskyddsbestämmelserna som syftar till att avsiktligt påverka resultatet i val till Europaparlamentet. Parlamentet påminner om att politiska partiers behandling av personuppgifter i EU omfattas av den allmänna dataskyddsförordningen, och om att överträdelser av principer, rättigheter och skyldigheter enligt denna lag skulle resultera i ytterligare böter och sanktioner.
11. Europaparlamentet anser att valinblandning utgör en enorm fara för demokratin som kräver gemensamma insatser från tjänsteleverantörer, tillsynsmyndigheter och politiska aktörer och partier.
12. Europaparlamentet välkomnar det paket som kommissionen lade fram den 12 september 2018 om förberedelserna inför valet till Europaparlamentet.
13. Europaparlamentet påminner Facebook om dess utfästelser om att ge oberoende akademiker tillgång till uppgifter om påstådd manipulation av röster, och förväntar sig att senast i slutet av 2018 erhålla information om de huvudsakliga slutsatserna och föreslagna avhjälpande åtgärder.
14. Europaparlamentet noterar de åtgärder som Facebook vidtagit för att motverka missbruk av uppgifter, däribland avaktivering eller uteslutning av applikationer som misstänks missbruka användarnas uppgifter. Facebook förväntas agera skyndsamt som svar på rapporter om applikationer som framstår som misstänkta eller som fastställts missbruka uppgifter, och förhindra sådana applikationer från att tillåtas på plattformen från första början.
15. Europaparlamentet betonar att plattformar för sociala medier inte bara är passiva plattformar som helt enkelt för samman uppgifter från användarna. Den tekniska utvecklingen har nämligen utvidgat räckvidden och funktionen för sådana företag genom att introducera både reklam och annat innehåll som publiceras baserat på algoritmer. Parlamentet konstaterar att denna nya funktion bör återspeglas i gällande lagstiftning.
16. Europaparlamentet beklagar att Facebook inte var villigt att avdela personal med lämpliga tekniska kvalifikationer och tillräcklig ansvarsställning i företaget till utfrågningarna, och påpekar att detta skadar unionsmedborgarnas förtroende för sociala plattformar. Parlamentet beklagar även att Mark Zuckerberg inte önskade närvara vid en offentlig utfrågning med ledamöterna.
17. Europaparlamentet anser att Facebook brutit, inte bara mot EU-medborgarnas förtroende, utan faktiskt mot EU-rätten, och påminner om att en företrädare för Facebook under utfrågningarna bekräftade att Facebook var medvetet om att de allmänna villkoren för appen ”This is your digital life” innefattade att de uppgifter som appen samlade in skulle kunna sändas till tredje part. Parlamentet drar slutsatsen att Facebook medvetet ingick ett avtal med en applikationsutvecklare i vilket företaget uttryckligen tillkännagav att det förbehåller sig rätten att lämna ut personuppgifter till tredje part. Parlamentet drar dessutom slutsatsen att Facebook är registeransvarigt för personuppgifterna och därför juridiskt ansvarigt när det ingår ett avtal med en registerförare som bryter mot EU:s dataskyddslagstiftning.
18. Europaparlamentet noterar de förbättringar som Facebook åstadkommit på integritetsfronten efter Facebook/Cambridge Analytica-skandalen, men påminner om att Facebook gjort utfästelser om att genomföra en full intern revision, som parlamentet ännu inte fått veta något om. Facebook rekommenderas att genomgripande ändra sin plattform för att säkerställa överensstämmelse med EU:s dataskyddsrätt.
19. Europaparlamentet uppmanar eftertryckligen Facebook att tillåta och göra det möjligt för Enisa och Europeiska dataskyddsstyrelsen att, inom ramen för sina respektive ansvarsområden, genomföra en fullständig och oberoende granskning av företagets plattform, och att framlägga granskningsresultaten för kommissionen, parlamentet och de nationella parlamenten. Parlamentet anser att även andra större plattformar bör bli föremål för en sådan revision.
20. Europaparlamentet betonar det trängande behovet av att motverka varje försök att manipulera EU-valen och av att förstärka de regler som gäller för onlineplattformar när det gäller störning av kontons reklamintäkter och webbplatser som sprider desinformation. Parlamentet välkomnar de individuella färdplaner med konkreta åtgärder för att bekämpa desinformation i alla medlemsstater som onlineplattformar och reklamindustrin presenterade för kommissionen den 16 oktober 2018. Parlamentet uppmanar eftertryckligen onlineplattformar att markera innehåll som delats av bottar genom att tillämpa transparenta regler, att påskynda avlägsnandet av falska konton, att respektera rättsliga avgöranden med föreläggande att tillhandahålla uppgifter om dem som skapar olagligt innehåll samt att samarbeta med oberoende faktagranskare och den akademiska världen för att informera användare om desinformation med betydande spridning och att korrigera innehåll när så är möjligt.
21. Europaparlamentet uppmanar alla onlineplattformar som tillhandahåller reklamtjänster till politiska partier och kampanjer att i säljsupportteamet inkludera expertis som kan bistå politiska partier och kampanjer med specifika råd om transparens och ansvarsskyldighet med avseende på hur man kan förhindra att personuppgifter används för att nå användare. Parlamentet uppmanar alla onlineplattformar som tillåter köpare av reklamtjänster att göra vissa urval att tillhandahålla rättslig rådgivning om dessa köpares ansvar som gemensamt registeransvariga för uppgifterna, till följd av domstolens dom i mål C-210/16.
22. Europaparlamentet uppmanar alla onlineplattformar att utan dröjsmål sjösätta planerade transparensinslag i samband med politisk reklam, vilket bör inbegripa inte bara samråd utan även utvärdering av verktygen i fråga genom försorg av nationella myndigheter med ansvar för valövervakning och tillhörande kontroll. Parlamentet insisterar på att sådan politisk och valrelaterad reklam inte bör göras på grundval av individuella användarprofiler.
23. Europaparlamentet uppmanar medlemsstaterna att anpassa valbestämmelserna till onlinekampanjer, på områden såsom transparens om finansiering, kampanjfria perioder och den roll som media och desinformation spelar.
24. Europaparlamentet rekommenderar att det bör vara ett krav att tredjepartsrevisioner genomförs efter det att folkomröstningskampanjer slutförts för att säkerställa att personuppgifter som kampanjen har i sin besittning raderas, eller om de har delats, att adekvat samtycke erhållits.
25. Europaparlamentet uppmanar Facebook att öka transparensen för att göra det möjligt för användarna att förstå hur och varför ett politiskt parti eller en politisk kampanj kan tänkas rikta in sig på vederbörande.
26. Europaparlamentet anser att dataskyddsmyndigheterna bör ha tillräcklig finansiering för att bygga upp samma sakkunskap som de organisationer som de granskar. Parlamentet uppmanar medlemsstaterna att säkerställa att dataskyddsmyndigheterna förfogar över de personella, tekniska och finansiella resurser som krävs för att de på ett ändamålsenligt sätt ska kunna utföra sina uppgifter och utöva sina befogenheter, såsom krävs enligt artikel 52 i dataskyddsförordningen. Parlamentet uppmanar eftertryckligen kommissionen att noggrant granska medlemsstaternas skyldighet att ställa dessa resurser till förfogande och, om nödvändigt, inleda överträdelseförfaranden.
27. Europaparlamentet påminner om att Facebook är en självcertifierad organisation enligt skölden för skydd av privatlivet i EU och Förenta staterna och som sådan har dragit nytta av beslutet om adekvat skydd som rättslig grund för överföring och vidare behandling av personuppgifter från Europeiska unionen till Förenta staterna.
28. Europaparlamentet erinrar om sin resolution av den 5 juli 2018 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA. Mot bakgrund av att Facebook medgett att avsevärda integritetsintrång förekommit uppmana parlamentet de amerikanska myndigheterna med ansvar för efterlevnaden av skölden för skydd av privatlivet att, utan dröjsmål och i fullständig överensstämmelse med de försäkringar som getts och de åtaganden som ingått, handla med anledning av sådana avslöjanden för att upprätthålla det nuvarande arrangemanget för skölden för skydd av privatlivet samt, om så är nödvändigt, avregistrera sådana företag från skölden för skydd av privatlivet. Parlamentet välkomnar i detta avseende att Cambridge Analytica i juni 2018 avregistrerades från skölden för skydd av privatlivet. Parlamentet uppmanar även behöriga dataskyddsmyndigheter i EU att utreda denna typ av avslöjanden och, om så är nödvändigt, tillfälligt eller permanent förbjuda överföringar av uppgifter som omfattas av skölden för skydd av privatlivet. Parlamentet förväntar sig att FTC, i egenskap av ansvarig myndighet i Förenta staterna, tillhandahåller kommissionen en detaljerad sammanfattning av sina slutsatser när myndigheten väl slutfört utredningen av den uppgiftsincident som inbegrep Facebook och Cambridge Analytica, samt vidtar ändamålsenliga efterlevnadsåtgärder gentemot de berörda företagen för att åstadkomma en effektiv avskräckande verkan.
29. Europaparlamentet beklagar att tidsfristen för när Förenta staterna fullständigt ska efterleva skölden för skydd av privatlivet, fastställd till den 1 september 2018, har överskridits. Parlamentet anser därför att kommissionen inte har agerat i enlighet med artikel 45.5 i dataskyddsförordningen. Parlamentet kräver därför, i enlighet med sin resolution av den 5 juli 2018 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA, att kommissionen upphäver skölden för skydd av privatlivet till dess att Förenta staternas myndigheter uppfyller dess villkor.
30. Europaparlamentet konstaterar att missbruk av personuppgifter påverkar de grundläggande rättigheterna för miljardtals människor världen över. Parlamentet anser att den allmänna dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation ger de strängaste skyddsstandarderna, och beklagar att Facebook beslutade att försätta 1,5 miljarder användare från länder utanför EU bortom räckvidden för det skydd som den allmänna dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation erbjuder. Parlamentet ifrågasätter det lagliga i ett sådant agerande. Parlamentet uppmanar eftertryckligen alla onlineplattformar att tillämpa standarderna enligt den allmänna dataskyddsförordningen (och direktivet om integritet och elektronisk kommunikation) på alla sina tjänster, oberoende av var de tillhandahålls, med tanke på att stränga standarder för skydd av personuppgifter i allt högre grad betraktas som en konkurrensfördel.
31. Europaparlamentet uppmanar kommissionen att uppgradera konkurrensreglerna för att avspegla den digitala verkligheten och att undersöka den företagsmodell som plattformar för sociala medier tillämpar och dessa företags eventuella monopolposition – med vederbörligt beaktande av att monopol skulle kunna föreligga till följd av varumärkets särdrag och mängden personuppgifter som innehas snarare än i form av en traditionell monopolsituation – samt att vidta de avhjälpande åtgärder som krävs. Parlamentet uppmanar kommissionen att föreslå ändringar av den europeiska kodexen för elektronisk kommunikation som också ställer krav på leverantörer av over-the-top-kommunikationstjänster om att kopplas samman med andra, i syfte att överbrygga inlåsningseffekten för sina användare.
32. Europaparlamentet begär att parlamentet, kommissionen, rådet och alla andra unionsinstitutioner, unionsbyråer och unionsorgan kontrollerar att de sidor för sociala medier och de analys- och marknadsföringsverktyg som de använder på respektive webbplats på intet sätt äventyrar medborgarnas personuppgifter. Parlamentet föreslår att de utvärderar sina nuvarande kommunikationsstrategier i detta avseende, vilket skulle kunna resultera i att de överväger att stänga sina Facebookkonton som en nödvändig åtgärd för att skydda personuppgifterna för varje enskild individ som kontaktar dem. Parlamentet instruerar sin egen kommunikationsavdelning att strikt följa Europeiska datatillsynsmannens vägledning om skydd för personuppgifter som bearbetas genom webbtjänster som EU-institutionerna tillhandahåller(15).
33. Europaparlamentet anser att den kommande kommissionen bör uppdra integritetsskyddet och uppgiftsskyddet åt en av sina ledamöter som en särskild portfölj, för att åstadkomma ett förhandsengagemang med partner inom och utanför EU och säkerställa att alla lagstiftningsförslag helt och hållet följer EU:s regelverk om integritetsskydd och uppgiftsskydd.
34. Europaparlamentet uppmanar eftertryckligen rådet att bryta dödläget när det gäller förordningen om integritet och elektronisk kommunikation och att slutligen nå en överenskommelse med Europaparlamentet, utan att sänka den skyddsnivå som för närvarande ges genom direktivet om integritet och elektronisk kommunikation, för att säkerställa att medborgarnas rättigheter upprätthålls, särskilt med avseende på skyddet för användarna mot riktade budskap.
35. Europaparlamentet begär att kommissionen granskar reklambranschens verksamheter inom ramen för sociala medier och lägger fram lagstiftningsförslag såvida denna sektor och de berörda parterna inte kan enas om frivilliga uppförandekoder som inbegriper avskräckande åtgärder.
36. Europaparlamentet uppmanar dataskyddsmyndigheterna på nationell nivå och unionsnivå att ingående utreda Facebook och dess nuvarande metoder, så att den nya mekanismen för enhetlighet i den allmänna dataskyddsförordningen verkligen medför något av värde när det gäller att uppnå lämpliga och effektiva efterlevnadsåtgärder på unionsnivå.
37. Europaparlamentet uppmanar medlemsstaterna att vidta åtgärder för att hantera riskerna mot säkerheten för de nätverks- och informationssystem som används för anordnandet av val.
38. Europaparlamentet anser att medlemsstaterna bör samarbeta med tredje part, däribland medier, onlineplattformar och it-leverantörer, i medvetandehöjande verksamheter i syfte att öka valtransparensen och bygga upp förtroendet för valprocesserna.
39. Europaparlamentet anser att medlemsstaterna utan dröjsmål, och vid behov med stöd från Eurojust, bör göra utredningar av påståendena om att utländska makter missbrukat det politiska rummet på internet.
40. Europaparlamentet uppdrar åt talmannen att översända denna resolution till rådet, kommissionen, medlemsstaternas regeringar och parlament, Amerikas förenta stater, Europarådet och Facebooks verkställande direktör.