Indeks 
 Prethodno 
 Sljedeće 
 Cjeloviti tekst 
Postupak : 2020/2789(RSP)
Faze dokumenta na plenarnoj sjednici
Odabrani dokument : B9-0267/2021

Podneseni tekstovi :

B9-0267/2021

Rasprave :

PV 20/05/2021 - 8
CRE 20/05/2021 - 7
CRE 20/05/2021 - 8

Glasovanja :

PV 20/05/2021 - 12
PV 20/05/2021 - 20
CRE 20/05/2021 - 12

Doneseni tekstovi :

P9_TA(2021)0256

Usvojeni tekstovi
PDF 184kWORD 53k
Četvrtak, 20. svibnja 2021. - Bruxelles
Povjerenik za zaštitu podataka protiv Facebook Ireland Limited-a i Maximilliana Schremsa („Schrems II”) - predmet C-311/18
P9_TA(2021)0256B9-0267/2021

Rezolucija Europskog parlamenta od 20. svibnja 2021. o presudi Suda Europske unije od 16. srpnja 2020. – Data Protection Commissioner protiv Facebook Ireland Limited i Maximillian Schrems („Schrems II”), predmet C-311/18 (2020/2789(RSP))

Europski parlament,

–  uzimajući u obzir Povelju Europske unije o temeljnim pravima („Povelja“), a posebno njezine članke 6., 7., 8., 16., 47. i 52.,

–  uzimajući u obzir presudu Suda Europske unije od 16. srpnja 2020. u predmetu C-311/18 Data Protection Commissioner protiv Facebook Ireland Limited i Maximillian Schrems („Schrems II”)(1),

–  uzimajući u obzir presudu Suda Europske unije od 6. listopada 2015. u predmetu C-362/14 Maximillian Schrems protiv Data Protection Commissioner („Schrems I”)(2),

–  uzimajući u obzir presudu Suda Europske unije od 6. listopada 2020. u predmetu C‑623/17 Privacy International protiv Secretary of State for Foreign and Commonwealth Affairs i ostali(3),

–  uzimajući u obzir svoju Rezoluciju od 26. svibnja 2016. o transatlantskom protoku podataka(4),

–  uzimajući u obzir svoju Rezoluciju od 6. travnja 2017. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti(5),

–  uzimajući u obzir svoju Rezoluciju od 5. srpnja 2018. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti(6),

–  uzimajući u obzir svoju Rezoluciju od 25. listopada 2018. o korištenju podataka korisnika Facebooka od strane poduzeća Cambridge Analytica i učinku na zaštitu podataka(7),

–  uzimajući u obzir Odluku Komisije 2010/87/EU od 5. veljače 2010. o standardnim ugovornim klauzulama za prijenos osobnih podataka obrađivačima u trećim zemljama u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća (priopćena pod brojem dokumenta C(2010) 593)(8),

–  uzimajući u obzir Provedbenu odluku Komisije (EU) 2016/1250 od 12. srpnja 2016. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti u skladu s Direktivom 95/46/EZ Europskog parlamenta i Vijeća (priopćeno pod brojem dokumenta C(2016) 4176)(9),

–  uzimajući u obzir svoju Rezoluciju od 26. studenoga 2020. o reviziji trgovinske politike EU-a(10),

–  uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)(11), a posebno njezino poglavlje V.,

–  uzimajući u obzir Komisijin Prijedlog uredbe o privatnosti i elektroničkim komunikacijama (COM(2017)0010), kao i odluku o pokretanju međuinstitucijskih pregovora koju je Parlament potvrdio na plenarnoj sjednici održanoj 25. listopada 2017. te opći pristup Vijeća usvojen 10. veljače 2021. (6087/21),

–  uzimajući u obzir Preporuke 01/2020 Europskog odbora za zaštitu podataka (EDPB) o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u i njegove Preporuke 02/2020 o europskim temeljnim jamstvima za mjere nadzora, kao i Izjavu tog odbora od 19. studenoga 2020. o uredbi o e-privatnosti i budućoj ulozi nadzornih tijela i Europskog odbora za zaštitu podataka,

–  uzimajući u obzir članak 132. stavak 2. Poslovnika,

A.  budući da mogućnost prekograničnog prijenosa osobnih podataka može postati ključni pokretač inovacija, produktivnosti i gospodarske konkurentnosti; budući da je to još važnije u kontekstu aktualne pandemije bolesti COVID-19 jer su takvi prijenosi ključni za osiguravanje kontinuiteta poslovanja i vladinih operacija, kao i društvenih interakcija; budući da oni također mogu poduprijeti strategije za okončanje pandemije i doprinijeti gospodarskom oporavku;

B.  budući da je Sud Europske unije (Sud) u presudi „Schrems I” odlučio da je odluka Komisije o sigurnoj luci nevaljana na temelju zaključka da se neselektivnim pristupom obavještajnih tijela sadržaju elektroničkih komunikacija povređuje bitan sadržaj prava na povjerljivost komunikacija kako je predviđeno člankom 7. Povelje;

C.  budući da je Sud u presudi „Schrems II” zaključio da Sjedinjene Američke Države (SAD) ne pružaju dovoljno pravnih lijekova za nedržavljane SAD-a protiv masovnog nadzora te da se time povređuje bitan sadržaj prava na pravni lijek kako je predviđeno člankom 47. Povelje;

D.  budući da se Opća uredba o zaštiti podataka (GDPR) primjenjuje na sva trgovačka društva koja obrađuju osobne podatke ispitanika u Uniji ako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima u Uniji ili s praćenjem njihova ponašanja ako se to ponašanje odvija unutar Unije;

E.  budući da su podaci europskih građana koje pohranjuju i prenose telekomunikacijski operatori i poduzeća ključan resurs koji doprinosi strateškim interesima EU-a;

F.  budući da se masovnim nadzorom koji provode državni akteri narušava povjerenje europskih građana, vlada i poduzeća u digitalne usluge, a time i digitalno gospodarstvo;

G.  budući da organizacije potrošača i druge organizacije civilnog društva imaju ograničene resurse i da provedba prava i obveza u vezi sa zaštitom podataka ne može ovisiti o njihovu djelovanju; budući da postoji niz različitih nacionalnih postupaka i praksi, što je izazov za mehanizam suradnje utvrđen Općom uredbom o zaštiti podataka za prekogranične pritužbe; budući da rokovi nisu jasno utvrđeni, da su postupci općenito spori, da nedostaje sredstava za nadzorna tijela te da se u nekim slučajevima već dodijeljeni resursi nevoljko koriste ili se ne koriste na učinkovit način; budući da se trenutačno velik broj pritužbi protiv navodnih povreda koje su počinila velika tehnološka trgovačka društva nalazi u rukama samo jednog nacionalnog tijela, zbog čega dolazi do uskog grla u provedbi;

H.  budući da postupci koji su doveli do te presude Suda također pokazuju poteškoće s kojima se u obrani svojih prava suočavaju ispitanici i potrošači, što ima negativan učinak na njihovu sposobnost da brane svoja prava pred irskim povjerenikom za zaštitu podataka;

I.  budući da je u rezoluciji Europskog parlamenta od 25. listopada 2018., u kojoj je istaknuo da SAD nije poštovao rok za postizanje potpune usklađenosti sa sustavom zaštite privatnosti do 1. rujna 2018., Parlament već pozvao Komisiju da obustavi primjenu sustava zaštite privatnosti sve dok vlasti SAD-a ne ispune njegove uvjete;

J.  budući da bi se prava ispitanika koja su zajamčena zakonodavstvom EU-a o zaštiti podataka trebala poštovati bez obzira na razinu rizika s kojom se ispitanici suočavaju prilikom obrade osobnih podataka, među ostalim i u pogledu prijenosa osobnih podataka u treće zemlje; budući da bi voditelji obrade podataka uvijek trebali biti odgovorni za poštovanje obveza zaštite podataka, uključujući dokazivanje usklađenosti u vezi sa svakom obradom podataka bez obzira na prirodu, opseg, kontekst i svrhe obrade i rizike za ispitanike;

K.  budući da nadzorna tijela do danas nisu donijela odluku o korektivnim mjerama u vezi s prijenosom osobnih podataka u okviru mehanizma konzistentnosti iz Opće uredbe o zaštiti podataka unatoč znatnom napretku u sudskoj praksi Suda u posljednjih pet godina i efektivnoj primjeni Opće uredbe o zaštiti podataka od 25. svibnja 2018.; budući da nadzorna tijela na nacionalnoj razini nisu donijela nikakvu smislenu odluku o izricanju korektivnih mjera ili novčanih kazni u vezi s prijenosom osobnih podataka u treće zemlje;

L.  budući da je američki predsjednik Biden prvog dana svojeg mandata imenovao zamjenika pomoćnika ministrice za usluge pri Ministarstvu trgovine SAD-a, koji će biti glavni pregovarač za prijenos komercijalnih podataka između SAD-a i EU-a; budući da je Gina Raimondo, koju je predsjednik predložio za ministricu trgovine SAD-a, brzo zaključenje pregovora o sporazumu koji će naslijediti Sporazum o sustavu zaštite privatnosti proglasila jednim od „glavnih prioriteta” tijekom saslušanja u Senatu čiji je cilj bio njezina potvrda;

Opće napomene

1.  prima na znanje presudu Suda od 16. srpnja 2020., u kojoj je Sud u načelu potvrdio valjanost Odluke 2010/87/EU o standardnim ugovornim klauzulama, koje su najčešće korišteni mehanizam za međunarodni prijenos podataka; nadalje, napominje da je Sud odlučio da je Odluka Komisije (EU) 2016/1250 o primjerenosti zaštite u okviru europsko‑američkog sustava zaštite privatnosti nevaljana; napominje da do sada nijedan održivi jedinstveni mehanizam kojim bi se zajamčio zakoniti prijenos osobnih podataka za komercijalne potrebe između EU-a i SAD-a nije dobio pravni spor pred Sudom;

2.  napominje da je Sud utvrdio da su standardne ugovorne klauzule djelotvoran mehanizam za osiguravanje usklađenosti s razinom zaštite koja se pruža u EU-u, ali je zahtijevao da voditelj/izvršitelj obrade podataka s poslovnim nastanom u Europskoj uniji i primatelj osobnih podataka prije svakog transfera budu obvezni provjeriti poštuje li se u predmetnoj trećoj zemlji razina zaštite podataka koja je predviđena pravom EU-a; podsjeća da to uključuje procjenu pravnog režima u pogledu pristupa javnih tijela osobnim podacima kako bi se osiguralo da ispitanici i njihovi preneseni podaci nisu izloženi riziku od podvrgavanja američkim programima nadzora kojima se omogućuje masovno prikupljanje osobnih podataka; podsjeća da je Sud presudio da su voditelji ili izvršitelji obrade podataka obvezni obustaviti prijenos podataka i/ili raskinuti ugovor ako primatelj nije u mogućnosti pridržavati se standardnih ugovornih klauzula; napominje međutim da mnoga trgovačka društva, a posebno MSP-ovi, nemaju potrebno znanje ili kapacitet za provedbu takve provjere, što može dovesti do poremećaja u poslovanju;

3.  smatra da presuda Suda, iako je usmjerena na razinu zaštite podataka koja se pruža ispitanicima u EU-u čiji su podaci preneseni SAD-u u okviru mehanizma sustava zaštite privatnosti, također ima posljedice za odluke o primjerenosti koje se odnose na ostale treće zemlje, uključujući Ujedinjenu Kraljevinu; potvrđuje da je potrebna pravna jasnoća i sigurnost s obzirom na to da je mogućnost sigurnog prekograničnog prijenosa osobnih podataka postala sve važnija za pojedince u pogledu njihovih prava i zaštite osobnih podataka, kao i za sve vrste organizacija koje isporučuju robu i usluge na međunarodnoj razini te za poduzeća u pogledu pravnog režima u okviru kojeg posluju; naglašava, međutim, da su postojeće odluke o primjerenosti i dalje valjane sve dok ih Sud ne opozove, zamijeni ili proglasi nevaljanim;

4.  razočaran je činjenicom da je irski povjerenik za zaštitu podataka pokrenuo postupak protiv Maximiliana Schremsa i Facebooka pred irskim Visokim sudom, umjesto da donese odluku u okviru svojih ovlasti u skladu s člankom 4. Odluke 2010/87/EU i člankom 58. Opće uredbe o zaštiti podataka; podsjeća, međutim, da je povjerenik iskoristio pravni put kojim se tijelima za zaštitu podataka omogućuje da nacionalnom sucu skrenu pozornost na pitanje valjanosti provedbene odluke Komisije radi pokretanja postupka za prethodnu odluku pred Sudom; duboko je zabrinut zbog toga što irski povjerenik za zaštitu podataka, iako je glavno nadležno tijelo za takve predmete, još nije donio odluku o nekoliko pritužbi na kršenje Opće uredbe o zaštiti podataka podnesenih na dan početka njezine primjene 25. svibnja 2018. i o drugim pritužbama organizacija za privatnost i udruga potrošača; zabrinut je zbog toga što povjerenik za zaštitu podataka riječi „bez odgode” iz članka 60. stavka 3. Opće uredbe o zaštiti podataka, suprotno namjeri zakonodavaca, tumači kao više od nekoliko mjeseci; zabrinut je zbog toga što nadzorna tijela nisu poduzela proaktivne korake u skladu s člancima 61. i 66. Opće uredbe o zaštiti podataka kako bi prisilila irskog povjerenika za zaštitu podataka da poštuje svoje obveze u skladu s Općom uredbom o zaštiti podataka; zabrinut je zbog činjenice da povjerenik ne zapošljava dovoljno tehničkih stručnjaka i zbog toga što se oni koriste zastarjelim sustavima; osuđuje implikacije neuspjelog pokušaja povjerenika za zaštitu podataka da troškove sudskog postupka prebaci na tuženika, što bi imalo iznimno odvraćajući učinak; poziva Komisiju da protiv Irske pokrene postupak zbog povrede obveze jer ta zemlja ne izvršava pravilno Opću uredbu o zaštiti podataka;

5.  zabrinut je zbog nedovoljne razine provedbe Opće uredbe o zaštiti podataka, osobito u području međunarodnih prijenosa podataka; izražava zabrinutost zbog toga što nacionalna nadzorna tijela nisu odredila prioritete i ne provode opće nadziranje u pogledu prijenosa osobnih podataka u treće zemlje, unatoč znatnom napretku u sudskoj praksi Suda u posljednjih pet godina; žali zbog nedostatka smislenih odluka i korektivnih mjera u tom pogledu te potiče Europski odbor za zaštitu podataka i nacionalna nadzorna tijela da prijenose osobnih podataka uvrste u svoje strategije za reviziju, jamčenje usklađenosti i provedbu; ističe da su potrebni usklađeni obvezujući administrativni postupci u vezi sa zastupanjem ispitanika i prihvatljivošću kako bi se osigurala pravna sigurnost i riješile prekogranične pritužbe;

6.  prima na znanje Komisijin Nacrt provedbene odluke o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje; potiče Europski odbor za zaštitu podataka da objavi daljnje smjernice o međunarodnim prijenosima podataka za trgovačka društva, osobito za MSP-ove, uključujući kontrolni popis za ocjenu prijenosa, alate kojima se može procijeniti smiju li i mogu li vlade pristupiti podacima te informacije o dodatnim zaštitnim mjerama nužnima za prijenose u kojima se koriste standardne ugovorne klauzule; poziva Europski odbor za zaštitu podataka da također traži mišljenje neovisnih stručnjaka u vezi s potencijalno proturječnim nacionalnim pravom glavnih trgovinskih partnera;

7.  podsjeća da, u skladu sa Smjernicama Europskog odbora za zaštitu podataka 2/2018(12) o odstupanjima iz članka 49. Uredbe (EU) 2016/679, kada se prijenosi odvijaju izvan okvira odluka o primjerenosti ili drugih instrumenata kojima se pružaju odgovarajuće zaštitne mjere, ali se oslanjaju na odstupanja za posebne situacije u skladu s člankom 49. Opće uredbe o zaštiti podataka, ona se moraju strogo tumačiti kako iznimka ne bi postala pravilo; napominje, međutim, da je nakon odluke o nevaljanosti europsko-američkog sustava zaštite privatnosti transatlantski protok podataka zadržan u svrhu digitalnog oglašavanja, unatoč sumnjama u pravnu osnovu prijenosa u svrhe oglašavanja; poziva Europski odbor za zaštitu podataka i tijela za zaštitu podataka da osiguraju dosljedno tumačenje u primjeni i kontroli takvih odstupanja u skladu sa smjernicama Europskog odbora za zaštitu podataka;

8.  pozdravlja međunarodne rasprave o prekograničnom prijenosu osobnih podataka u skladu s Općom uredbom o zaštiti podataka i Direktivom o zaštiti podataka pri izvršavanju zakonodavstva(13); ističe da se Opća uredba o zaštiti podataka, Direktiva o zaštiti podataka pri izvršavanju zakonodavstva te pravila o e-privatnosti i druge postojeće i buduće mjere za zaštitu temeljnih prava na privatnost i zaštitu osobnih podataka ne smiju ugroziti međunarodnim trgovinskim sporazumima ili uvrstiti u njih; potiče Komisiju da slijedi horizontalno stajalište EU-a iz 2018.(14) i da od njega ne odstupa te da uzme u obzir relevantne obveze trećih zemalja u okviru trgovinskog prava pri ocjeni njihove primjerenosti, među ostalim u vezi s daljnjim prijenosima podataka;

Standardne ugovorne klauzule

9.  prima na znanje nacrt provedbene odluke Komisije i nacrt standardnih ugovornih klauzula; pozdravlja činjenicu da je Komisija s pomoću javnog saslušanja tražila povratne informacije od dionika o tom nacrtu; napominje da su Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka zajedničkim mišljenjem objavljenim 15. siječnja 2021.(15) pozitivno komentirali nacrt standardnih ugovornih klauzula, ali su predložili dodatna poboljšanja; očekuje od Komisije da prije pokretanja postupka komitologije uzme u obzir primljene informacije;

10.  podsjeća na to da velik broj MSP-ova koristi standardne ugovorne klauzule; naglašava da su svim vrstama trgovačkih društava hitno potrebne jasne smjernice i pomoć kako bi se zajamčila pravna sigurnost u primjeni i tumačenju presude Suda;

11.  prima na znanje Preporuke 01/2020(16) Europskog odbora za zaštitu podataka o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u; pozdravlja činjenicu da je Europski odbor za zaštitu podataka organizirao javno savjetovanje o svojim preporukama; zabrinut je zbog mogućih proturječnosti između tih preporuka i prijedloga standardnih ugovornih klauzula koji je izradila Komisija; poziva Komisiju i Europski odbor za zaštitu podataka da surađuju na finalizaciji svojih dokumenata kako bi se zajamčila pravna sigurnost slijedom presude Suda; smatra da bi Komisija trebala slijediti smjernice Europskog odbora za zaštitu podataka;

12.  posebno pozdravlja preporuke Europskog odbora za zaštitu podataka u pogledu potrebe za time da se voditelji obrade podataka oslanjaju na objektivne čimbenike kada procjenjuju može li što u pravu ili praksi treće države utjecati na djelotvornost odgovarajućih zaštitnih mjera u alatima za prijenos za predmetne prijenose, umjesto na subjektivne čimbenike, kao što je vjerojatnost da će tijela javne vlasti dobiti pristup podacima na način koji nije u skladu sa standardima EU-a, koje je Sud u više navrata odbio; u tom pogledu poziva Komisiju da osigura potpunu usklađenost svojeg prijedloga o standardnim ugovornim klauzulama s mjerodavnom sudskom praksom Suda;

13.  naglašava da je ključno da se trgovačka društva Unije koja prenose osobne podatke izvan EU-a mogu osloniti na čvrste mehanizme u skladu s presudom Suda; u tom pogledu smatra da bi se u aktualnom prijedlogu Komisije za obrazac standardnih ugovornih klauzula trebale uzeti u obzir sve relevantne preporuke Europskog odbora za zaštitu podataka; podržava izradu paketa izbornih dodatnih mjera, poput sigurnosnih certifikacija i certifikacija zaštite podataka te zaštitnih enkripcijskih mjera i pseudonimizacije, koje prihvaćaju regulatorna tijela, kao i javno dostupne izvore o relevantnom zakonodavstvu glavnih trgovinskih partnera Unije;

14.  ističe da za voditelje obrade podataka koji su obuhvaćeni područjem primjene američkog Zakona o nadzoru stranih obavještajnih službi (FISA) prijenos osobnih podataka iz Unije nije moguć u okviru tih standardnih ugovornih klauzula zbog visokog rizika od masovnog nadzora; očekuje da će se, ako se ne postigne brz dogovor s SAD-om kojim se jamči u načelu istovjetna i time primjerena razina zaštite u usporedbi s onom koju pružaju Opća uredba o zaštiti podataka i Povelja, zabraniti takvi prijenosi dok se situacija ne riješi; ističe zaključak Suda da ni odjeljak 702. FISA-e ni Izvršni nalog br. 12333 (E.O. 12333) u vezi s Predsjedničkim ukazom br. 28 (PPD‑28) nisu povezani s minimalnim zaštitnim mjerama koje u okviru prava EU-a proizlaze iz načela proporcionalnosti, tako da se programi nadzora temeljeni na tim odredbama ne mogu smatrati ograničenima na ono što je strogo nužno; naglašava da na održiv način treba riješiti probleme utvrđene presudom Suda kako bi se ispitanicima pružila odgovarajuća zaštita osobnih podataka; podsjeća da nijedan ugovor između trgovačkih društava ne može pružiti zaštitu od neselektivnog pristupa obavještajnih tijela sadržaju elektroničkih komunikacija, kao ni dostatne pravne lijekove protiv masovnog nadzora; ističe da to zahtijeva reformu američkih zakona i praksi o nadzoru kako bi se zajamčilo da pristup američkih sigurnosnih službi podacima prenesenima iz EU-a bude ograničen na ono što je nužno i proporcionalno i da europski ispitanici imaju pristup djelotvornoj sudskoj zaštiti pred sudovima SAD-a;

15.  ističe da se od europskih MSP-ova kao i od neprofitnih organizacija i udruženja očekuje da se, unatoč ograničenoj pregovaračkoj moći i pravnoj te financijskoj sposobnosti, s pomoću obveznih samoprocjena primjerenosti trećih zemalja snalaze u složenim pravnim okvirima različitih trećih zemalja; apelira na Komisiju i Europski odbor za zaštitu podataka da pruže smjernice o praktičnoj primjeni pouzdanih dodatnih mjera, naročito za MSP-ove;

16.  potiče tijela za zaštitu podataka da ispune svoje obveze istaknute u presudi Suda kako bi osigurala pravilnu i brzu provedbu Opće uredbe o zaštiti podataka pomnim praćenjem primjene standardnih ugovornih klauzula; poziva ta tijela da pomažu trgovačkim društvima u poštovanju sudske prakse Suda; potiče tijela za zaštitu podataka da također u potpunosti iskoriste svoje istražne i korektivne ovlasti u skladu s člankom 58. Opće uredbe o zaštiti podataka kada izvoznici podataka prenose osobne podatke unatoč postojanju propisa treće zemlje odredišta kojima se uvoznik podataka sprečava u poštovanju standardnih ugovornih klauzula i unatoč nedostatku učinkovitih dodatnih mjera; podsjeća na stajalište Suda da svako nadzorno tijelo „mora, uz svu dužnu pažnju, ispunjavati svoju zadaću nadziranja punog poštovanja GDPR-a”;

Sustav zaštite privatnosti

17.  primjećuje da je Sud utvrdio da europsko-američki sustav zaštite privatnosti ne jamči u načelu istovjetnu i time primjerenu razinu zaštite u usporedbi s onom koju pružaju Opća uredba o zaštiti podataka i Povelja, osobito zbog neselektivnog pristupa američkih javnih tijela osobnim podacima prenesenima u okviru sustava zaštite privatnosti, koji nije u skladu s načelima nužnosti i proporcionalnosti te zbog činjenice da ispitanici iz EU-a nemaju prava na koja se u postupku pred američkim sudovima ili drugim nezavisnim tijelima koja djeluju kao sudovi mogu pozivati protiv američkih tijela; od aktualne američke vlade očekuje da se u ispunjavanju svojih obveza u okviru mogućih budućih mehanizama prijenosa angažira više nego prethodne vlade, koje su pokazale nedostatak političke predanosti poštovanju i provedbi pravila o sigurnoj luci i provedbi pravila u sklopu sustava zaštite privatnosti;

18.  ističe da su neka trgovačka društva, kao odgovor na presudu u predmetu Schrems II, na brzinu revidirala svoje obavijesti o privatnosti i ugovore s trećim stranama u kojima se upućuje na njihove obveze u okviru sustava zaštite privatnosti, a da nisu procijenila najbolje mjere za zakonit prijenos podataka;

19.  žali zbog činjenice da Komisija, unatoč brojnim pozivima Parlamenta u rezolucijama iz 2016., 2017. i 2018. da poduzme sve potrebne mjere kako bi se osigurala potpuna usklađenost sustava zaštite privatnosti s Općom uredbom o zaštiti podataka i Poveljom, nije djelovala u skladu s člankom 45. stavkom 5. Opće uredbe o zaštiti podataka; žali zbog toga što je Komisija ignorirala pozive Parlamenta da obustavi sustav zaštite privatnosti sve dok vlasti SAD-a ne budu u skladu s njegovim uvjetima, čime je naglašen rizik da bi Sud mogao poništiti taj sustav; podsjeća na probleme u vezi s funkcioniranjem sustava zaštite privatnosti koje su u više navrata istaknuli Radna skupina iz članka 29. i Europski odbor za zaštitu podataka;

20.  žali zbog toga što je Komisija odnose s SAD-om stavila ispred interesa građana EU-a te da je time zadaću obrane prava EU-a prepustila pojedinačnim građanima;

Masovni nadzor i pravni okvir

21.  potiče Komisiju da proaktivno prati uporabu tehnologija masovnog nadzora u Sjedinjenim Državama i drugim zemljama koje su predmet ili koje će biti predmet zaključaka o primjerenosti, kao što je Ujedinjena Kraljevina; potiče Komisiju da ne donosi odluke o primjerenosti zabrinjavajućim zemljama u kojima zakoni i programi o masovnom nadzoru ne odgovaraju kriterijima Suda, bilo sadržajem bilo duhom;

22.  prima na znanje nedavno stupanje na snagu kalifornijskog Zakona o privatnosti potrošača (CCPA) u SAD-u; primjećuje nedavne rasprave i zakonodavne prijedloge na saveznoj razini; ističe da, iako je riječ o koracima u pravom smjeru, ni CCPA ni savezni prijedlozi ne ispunjavaju uvjete Opće uredbe o zaštiti podataka za zaključak o primjerenosti; snažno potiče saveznog zakonodavca SAD-a da donese zakonodavstvo koje ispunjava te uvjete i time pridonese tomu da američko zakonodavstvo pruža razinu zaštite koja je u načelu istovjetna onoj koju trenutačno osigurava EU;

23.  naglašava da takvo zakonodavstvo o zaštiti podataka i privatnosti potrošača nije dovoljno za rješavanje temeljnih problema koje je Sud utvrdio u pogledu masovnog nadzora koji provode obavještajne službe SAD-a i nedovoljnog pristupa pravnim lijekovima; potiče zakonodavca SAD-a da izmijeni odjeljak 702. FISA-e, a predsjednika SAD-a da izmijeni Izvršni nalog br. 12333 i Predsjednički ukaz br. 28, posebno s ciljem okončanja masovnog nadzora i pružanja jednake razine zaštite građanima EU-a i SAD-a; potiče SAD da uspostavi mehanizme kojima bi se zajamčilo da pojedinci primaju (naknadne) obavijesti i da mogu osporavati neprimjereni nadzor u skladu s odjeljkom 702. i Izvršnim nalogom br. 12333 te da uspostavi zakonski mehanizam kojim bi se zajamčilo da nedržavljani SAD-a imaju ostvariva prava izvan okvira Zakona o sudskoj zaštiti;

24.  podsjeća da države članice i dalje razmjenjuju osobne podatke s SAD-om u okviru u Programa za praćenje financiranja terorizma (TFTP), Sporazuma o evidenciji podataka o putnicima između EU-a i SAD-a te automatske izmjene poreznih podataka s pomoću međuvladinih sporazuma o provedbi Zakona o izvršenju poreznih obveza s obzirom na račune u inozemnim financijskim institucijama (FACTA), koji negativno utječe na „slučajne Amerikance“, kako je navedeno u Rezoluciji Parlamenta od 5. srpnja 2018. o negativnim učincima američkog Zakona o izvršenju poreznih obveza s obzirom na račune u inozemnim financijskim institucijama (FATCA) na građane EU-a, a naročito na takozvane „slučajne Amerikance”(17); podsjeća da SAD i dalje ima pristup bazama podataka tijela kaznenog progona država članica koja sadržavaju otiske prstiju i podatke o DNK-u građana EU-a; traži od Komisije da analizira učinak presuda Schrems I i II na te razmjene podataka te da do 30. rujna 2021. Odboru za građanske slobode, pravosuđe i unutarnje poslove javno i u pisanom obliku predstavi svoju analizu i način na koji ih namjerava uskladiti s presudama;

25.  poziva Komisiju da analizira situaciju pružatelja usluga računalstva u oblaku obuhvaćenih odjeljkom 702. FISA-e koji prenose podatke s pomoću standardnih ugovornih klauzula; poziva Komisiju da analizira i učinak na prava priznata Krovnim sporazumom između EU-a i SAD-a, uključujući pravo na sudsku zaštitu, s obzirom na to da SAD izričito priznaje to pravo samo građanima određenih zemalja koje dopuštaju prijenos podataka u SAD u komercijalne svrhe; smatra neprihvatljivim da Komisija još uvijek nije objavila svoje zaključke prvog zajedničkog preispitivanja Krovnog sporazuma, jednu godinu nakon isteka roka, i poziva Komisiju da, po potrebi, bez odgode uskladi taj sporazum sa standardima utvrđenima u presudama Suda;

26.  smatra da je, s obzirom na očite nedostatke u zaštiti podataka europskih građana koji se prenose u SAD, potrebno podržati ulaganja u europske alate za pohranu podataka (npr. usluge računalstva u oblaku) kako bi se smanjila ovisnost Unije o kapacitetima za pohranu podataka u odnosu na treće zemlje i ojačala strateška autonomija Unije u upravljanju podacima i njihovoj zaštiti;

Odluke o primjerenosti

27.  poziva Komisiju da poduzme sve potrebne mjere kako bi se osiguralo da su sve nove odluke o primjerenosti u odnosu na SAD u potpunosti u skladu s Uredbom (EU) 2016/679, Poveljom i svim aspektima presuda Suda; podsjeća da okviri za primjerenost znatno olakšavaju gospodarsku aktivnost, osobito za MSP-ove i novoosnovana poduzeća koja, za razliku od velikih trgovačkih društava, često ne raspolažu potrebnim financijskim, pravnim i tehničkim kapacitetima za upotrebu drugih alata za prijenos; poziva države članice da s SAD-om sklope sporazume o zabrani špijunaže; poziva Komisiju da iskoristi svoje kontakte s odgovarajućim tijelima iz SAD-a kako bi prenijela poruku da bi, ako ne dođe do izmjene zakona i praksi SAD-a u pogledu nadzora, jedina izvediva mogućnost za olakšavanje donošenja budućih odluka o primjerenosti bilo sklapanje sporazuma o zabrani špijunaže s državama članicama;

28.  smatra da se nijedna buduća odluka Komisije o primjerenosti ne bi trebala temeljiti na sustavu samocertificiranja, kao što je bio slučaj sa sustavom sigurne luke i sa sustavom zaštite privatnosti; poziva Komisiju da Europski odbor za zaštitu podataka u potpunosti uključi u ocjenu usklađenosti s bilo kojom novom odlukom o primjerenosti u odnosu na SAD i ocjenu njezine provedbe; poziva Komisiju da u tom pogledu s vladom SAD-a postigne dogovor o mjerama koje su potrebne kako bi Europski odbor za zaštitu podataka mogao uspješno ispuniti tu zadaću; očekuje od Komisije da prije donošenja bilo kakve odluke o primjerenosti koja se odnosi na SAD ozbiljnije razmotri mišljenje Europskog parlamenta;

29.  podsjeća da Komisija trenutačno preispituje sve odluke o primjerenosti donesene u skladu s Direktivom 95/46/EZ; podsjeća da bi Komisija trebala primijeniti strože standarde utvrđene Općom uredbom o zaštiti podataka i presudama Suda u predmetima Schrems I i II kako bi procijenila pruža li se razina zaštite koja je u načelu istovjetna onoj iz Opće uredbe o zaštiti podataka, među ostalim i u pogledu pristupa djelotvornom pravnom lijeku te zaštite od neopravdanog pristupa tijela treće zemlje osobnim podacima; potiče Komisiju da hitno dovrši ta preispitivanja te da opozove ili suspendira bilo koju odluku donesenu prije Opće uredbe o zaštiti podataka ako utvrdi da predmetna treća zemlja ne pruža u načelu istovjetnu razinu zaštite i ako se situacija ne može popraviti;

30.  smatra da je Bidenova vlada imenovanjem iskusnog stručnjaka za privatnost glavnim pregovaračem o pitanju sljednika sustava zaštite privatnosti pokazala svoju predanost pronalasku rješenja za komercijalne prijenose podataka između EU-a i SAD-a kao prioritetnog pitanja; očekuje da će se dijalog između Komisije i njezinih partnera u SAD-u koji je započeo odmah nakon presude Suda intenzivirati u nadolazećim mjesecima;

31.  poziva Komisiju da ne donosi nikakve nove odluke o primjerenosti u odnosu na SAD osim ako se ne provedu značajne reforme, naročito u pogledu primjene za potrebe nacionalne sigurnosti i obavještajnih službi, što se može postići jasnom, pravno održivom, provedivom i nediskriminirajućom reformom zakona i praksi SAD-a; u tom pogledu ponovno ističe važnost snažnih zaštitnih mjera u području pristupa javnih tijela osobnim podacima; poziva Komisiju da provede svoje „geopolitičke ambicije” kako bi ishodila u načelu istovjetnu zaštitu podataka u SAD-u i trećim zemljama kao u EU-u;

32.  preporučuje da nacionalna tijela za zaštitu podataka suspendiraju prijenos osobnih podataka kojima mogu pristupiti javna tijela u SAD-u u slučaju da Komisija donese novu odluku o primjerenosti u odnosu na SAD, a značajne reforme nisu provedene;

33.  pozdravlja činjenicu da Komisija slijedi kriterij primjerenosti koji je donijela Radna skupina iz članka 29. u skladu s Općom uredbom o zaštiti podataka(18) (uz podršku Europskog odbora za zaštitu podataka) i kriterij iz Preporuke 01/2021 Europskog odbora za zaštitu podataka o kriteriju primjerenosti u skladu s Direktivom o zaštiti podataka pri izvršavanju zakonodavstva(19); smatra da bi Komisija trebala primjenjivati barem te kriterije pri ocjenjivanju ispunjavaju li treće zemlje uvjete za donošenje odluke o primjerenosti; primjećuje da je Europski odbor za zaštitu podataka nedavno ažurirao svoje Preporuke o europskim temeljnim jamstvima za mjere nadzora(20) u svjetlu sudske prakse Suda;

o
o   o

34.  nalaže svojem predsjedniku da ovu Rezoluciju proslijedi Komisiji, Europskom vijeću, Vijeću Europske unije, Europskom odboru za zaštitu podataka, nacionalnim parlamentima država članica, kongresu i vladi Sjedinjenih Američkih Država te parlamentu i vladi Ujedinjene Kraljevine.

(1) Presuda Suda Europske unije od 16. srpnja 2020., Data Protection Commissioner protiv Facebook Ireland Limited i Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
(2) Presuda Suda Europske unije od 6. listopada 2015., Maximillian Schrems protiv Data Protection Commissioner C‑362/14, ECLI:EU:C:2015:650.
(3) Presuda Suda Europske unije od 6. listopada 2020., Privacy International protiv Secretary of State for Foreign and Commonwealth Affairs i ostali, C‑623/17, ECLI:EU:C:2020:790.
(4) SL C 76, 28.2.2018., str. 82.
(5) SL C 298, 23.8.2018., str. 73.
(6) SL C 118, 8.4.2020., str. 133.
(7) SL C 345, 16.10.2020., str. 58.
(8) SL L 39, 12.2.2010., str. 5.
(9) SL L 207, 1.8.2016., str. 1.
(10) Usvojeni tekstovi, P9_TA(2020)0337.
(11) SL L 119, 4.5.2016., str. 1.
(12) https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_derogations_hr.pdf
(13) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).
(14) Prijedlog EU-a u vezi s odredbama o prekograničnom protoku podataka te zaštiti osobnih podataka i privatnosti, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf
(15) Zajedničko mišljenje Europskog odbora za zaštitu podataka i Europskog nadzornika za zaštitu podataka 2/2021 o standardnim ugovornim klauzulama za prijenos osobnih podataka trećim zemljama od 14. siječnja 2021.: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_hr
(16) Preporuke 01/2020 Europskog odbora za zaštitu podataka o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u od 11. studenoga 2020., https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_hr.pdf
(17) SL C 118, 8.4.2020., str. 141.
(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
(19) https://edpb.europa.eu/system/files/2021-05/recommendations012021onart.36led.pdf_hr.pdf
(20) https://edpb.europa.eu/sites/default/files/files/file1/edpb_recommendations_202002_europeanessentialguaranteessurveillance_hr.pdf

Posljednje ažuriranje: 9. rujna 2021.Pravna obavijest - Politika zaštite privatnosti