Europaparlamentet utfärdar denna resolution

–  med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), särskilt artiklarna 7, 8, 16, 47 och 52,

–  med beaktande av Europeiska unionens domstols dom av den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems (Schrems II)(1),

–  med beaktande av Europeiska unionens domstols dom av den 6 oktober 2015 i mål C-362/14, Maximillian Schrems mot Data Protection Commissioner (Schrems I)(2),

–  med beaktande av Europeiska unionens domstols dom av den 6 oktober 2020 i mål C‑623/17 Privacy International mot Secretary of State of Foreign and Commonwealth affairs m.fl.(3),

–  med beaktande av sin resolution av den 26 maj 2016 om transatlantiska dataflöden(4),

–  med beaktande av sin resolution av den 6 april 2017 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA(5),

–  med beaktande av sin resolution av den 5 juli 2018 om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och USA(6),

–  med beaktande av sin resolution av den 25 oktober 2018 om Cambridge Analyticas utnyttjande av Facebooks användaruppgifter och dess inverkan på uppgiftsskyddet(7),

–  med beaktande av kommissionens beslut 2010/87/EU av den 5 februari 2010 om standardavtalsklausuler för överföring av personuppgifter till registerförare etablerade i tredjeland i enlighet med Europaparlamentets och rådets direktiv 95/46/EG (delgivet med nr C(2010) 593)(8),

–  med beaktande av kommissionens genomförandebeslut (EU) 2016/1250 av den 12 juli 2016 enligt Europaparlamentets och rådets direktiv 95/46/EG om huruvida ett adekvat skydd säkerställs genom skölden för skydd av privatlivet i EU och Förenta staterna (delgivet med nr C(2016) 4176)(9),

–  med beaktande av sin resolution av den 26 november 2020 om översynen av EU:s handelspolitik(10),

–  med beaktande av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)(11), särskilt kapitel V,

–  med beaktande av kommissionens förslag till förordning om integritet och elektronisk kommunikation (COM(2017)0010), med beaktande av beslutet att inleda interinstitutionella förhandlingar som bekräftades av parlamentets plenarsammanträde den 25 oktober 2017, och rådets allmänna strategi som antogs den 10 februari 2021 (6087/21),

–  med beaktande av Europeiska dataskyddsstyrelsens rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelse med EU:s nivå för skydd av personuppgifter och Europeiska dataskyddsstyrelsens rekommendationer 02/2020 om europeiska nödvändiga garantier för övervakningsåtgärder, samt Europeiska dataskyddsstyrelsens uttalande av den 19 november 2020 om integritet och elektronisk kommunikation och tillsynsmyndigheternas och Europeiska dataskyddsstyrelsens framtida roll,

–  med beaktande av artikel 132.2 i arbetsordningen, och av följande skäl:

A.  Möjligheten att överföra personuppgifter över gränserna kan bli en viktig drivkraft för innovation, produktivitet och ekonomisk konkurrenskraft. Detta är ännu viktigare mot bakgrund av den pågående covid-19-pandemin, eftersom sådana överföringar är avgörande för att säkerställa fortsatt verksamhet i företag och förvaltningar samt sociala interaktioner. De kan även vara till stöd för exitstrategier från pandemin och bidra till den ekonomiska återhämtningen.

B.  Europeiska unionens domstol ogiltigförklarade i sin dom i ”Schrems I”-målet kommissionens beslut om safe harbour på grundval av sina slutsatser, och påpekade att odifferentierad tillgång för underrättelsemyndigheter till innehållet i elektronisk kommunikation kränker det väsentliga innehållet i rätten till konfidentialitet vid kommunikation enligt artikel 7 i stadgan.

C.  I sin dom i ”Schrems II”-målet fastställde domstolen att Förenta staterna (USA) inte tillhandahåller tillräckliga rättsmedel mot massövervakning av icke-amerikanska medborgare och att detta strider mot den väsentliga rätten till rättsmedel enligt artikel 47 i stadgan.

D.  Den allmänna dataskyddsförordningen gäller för alla företag som behandlar personuppgifter om registrerade i unionen när behandlingen avser erbjudande av varor eller tjänster till registrerade i unionen eller övervakning av deras beteende i den mån beteendet sker inom unionen.

E.  EU-medborgares uppgifter som lagras och överförs av telekommunikationsoperatörer och företag är en viktig resurs som bidrar till EU:s strategiska intressen.

F.  Statliga aktörers omfattande massövervakning skadar europeiska medborgares, förvaltningars och företags förtroende för digitala tjänster och i förlängningen för den digitala ekonomin.

G.  Konsumentorganisationer och organisationer i det civila samhället har begränsade resurser och verkställandet av rättigheterna och skyldigheterna när det gäller dataskydd kan inte göras beroende av deras åtgärder. Det finns ett lapptäcke av nationella förfaranden och metoder, vilket är en utmaning för den samarbetsmekanism som anges i den allmänna dataskyddsförordningen för gränsöverskridande klagomål. Det saknas tydliga tidsfrister, förfarandena går allmänt långsamt, det saknas tillräckliga resurser för tillsynsmyndigheter och i vissa fall saknas beredvillighet eller effektiv användning av redan tilldelade resurser. För närvarande finns dessutom en koncentration av klagomål mot påstådda överträdelser som begåtts av stora teknikföretag i händerna på en enda nationell myndighet, vilket har lett till en flaskhals när det gäller verkställandet.

H.  De förfaranden som ledde till Europeiska unionens domstols dom visar också på de svårigheter som de registrerade och konsumenterna har stött på när de har försvarat sina rättigheter, vilket har försämrat deras möjlighet att försvara sina rättigheter inför Irlands dataskyddskommissionär.

I.  Eftersom Förenta staterna inte hade respekterat tidsfristen 1 september 2018 för att fullständigt uppfylla villkoren i skölden för skydd av privatlivet, uppmanade Europaparlamentet redan i sin resolution av den 25 oktober 2018 kommissionen att upphäva skölden för skydd av privatlivet tills de amerikanska myndigheterna uppfyller dess villkor.

J.  Registrerades rättigheter som garanteras enligt EU:s dataskyddslagstiftning bör respekteras oavsett vilken risknivå de utsätts för genom behandlingen av personuppgifter, inklusive när det gäller överföring av personuppgifter till tredjeländer. Personuppgiftsansvariga bör alltid ansvara för att skyldigheter i fråga om dataskydd efterlevs, inbegripet genom att visa att all uppgiftsbehandling, oavsett behandlingens typ, omfattning, sammanhang, ändamål eller risk för de registrerade, görs i enlighet med dessa skyldigheter.

K.  Fram till i dag och trots betydande utveckling av Europeiska unionens domstols rättspraxis under de senaste fem åren samt den effektiva tillämpningen av den allmänna dataskyddsförordningen sedan den 25 maj 2018 har tillsynsmyndigheterna inte fattat något beslut om utförande av korrigerande åtgärder med avseende på överföringar av personuppgifter i enlighet med mekanismen för enhetlighet i den allmänna dataskyddsförordningen. Tillsynsmyndigheter på nationell nivå har inte antagit något meningsfullt beslut om genomförande av korrigerande åtgärder eller utdömande av avgifter med avseende på överföring av personuppgifter till tredjeländer.

L.  Förenta staternas president Biden utsåg under sin första ämbetsdag en biträdande tjänsteminister vid Förenta staternas handelsministerium, som kommer att vara chefsförhandlare när det gäller kommersiella dataöverföringar till och från EU. Presidentens kandidat till den amerikanska handelsministerposten, Gina Raimondo, kallade ett snabbt slutförande av förhandlingar om ett avtal som ersätter avtalet om skölden för skydd av privatlivet för en ”topprioritering” under en utfrågning i senaten.

Allmänna kommentarer

1.  Europaparlamentet noterar Europeiska unionens domstols dom av den 16 juli 2020, där domstolen i princip bekräftade giltigheten av beslut 2010/87/EU om standardavtalsklausuler, som är den mest använda mekanismen vid internationell överföring av uppgifter. Parlamentet noterar vidare att domstolen ogiltigförklarade kommissionens beslut (EU) 2016/1250 om huruvida det skydd som erbjuds genom skölden för skydd av privatlivet i EU och Förenta staterna är tillräckligt. Parlamentet noterar att fram till i dag har ingen hållbar enskild mekanism för att garantera laglig överföring av kommersiella personuppgifter mellan EU och Förenta staterna godkänts i en rättslig prövning i Europeiska unionens domstol.

2.  Europaparlamentet noterar att Europeiska unionens domstol ansåg att standardavtalsklausuler var en effektiv mekanism för att säkerställa efterlevnaden av den skyddsnivå som tillhandahålls i EU, men föreskrev att en personuppgiftsansvarig/ett personuppgiftsbiträde som är etablerat i EU och mottagaren av personuppgifter före varje överföring ska kontrollera om den skyddsnivå som krävs enligt EU-lagstiftningen respekteras i det berörda tredjelandet. Parlamentet påminner om att detta inbegriper en bedömning av det rättsliga systemet för offentliga myndigheters tillgång till personuppgifter, för att säkerställa att de registrerade och deras överförda uppgifter inte riskerar att omfattas av Förenta staternas övervakningsprogram som möjliggör massinsamling av personuppgifter. Parlamentet påminner om att domstolen fastställde att när mottagaren inte kan följa standardavtalsklausulerna är de personuppgiftsansvariga eller personuppgiftsbiträdena skyldiga att avbryta överföringen av uppgifter och/eller häva avtalet. Parlamentet noterar dock att många företag, särskilt små och medelstora företag, inte har den kunskap eller kapacitet som krävs för att genomföra en sådan kontroll, vilket kan leda till störningar i verksamheten.

3.  Europaparlamentet anser att domstolens dom, som fokuserar på den uppgiftsskyddsnivå som erbjuds registrerade i EU vars uppgifter överförts till Förenta staterna inom ramen för mekanismen för skölden för skydd av privatlivet, även har konsekvenser för beslut om adekvat skyddsnivå som rör andra tredjeländer, inklusive Förenade kungariket. Parlamentet upprepar att rättsläget måste vara tydligt och att det måste finnas rättslig förutsebarhet, eftersom förmågan att på ett säkert sätt överföra personuppgifter över gränserna har blivit allt viktigare för enskilda personer när det gäller skyddet av deras personuppgifter och rättigheter, samt för alla typer av organisationer som levererar varor och tjänster internationellt och för företag när det gäller den rättsliga ordning som gäller för deras verksamhet. Parlamentet understryker dock att aktuella beslut om adekvat skyddsnivå fortfarande gäller fram till dess att de har upphävts, ersatts eller ogiltigförklarats av Europeiska unionens domstol.

4.  Europaparlamentet är bekymrat över att den irländska dataskyddsmyndigheten väckte talan mot Maximilian Schrems och Facebook vid Förvaltningsöverdomstolen i Irland, i stället för att fatta ett beslut inom ramen för sina befogenheter enligt artikel 4 i beslut 2010/87/EU och artikel 58 i den allmänna dataskyddsförordningen. Parlamentet påminner emellertid om att den irländska dataskyddsmyndigheten använde sig av den rättsliga möjligheten för dataskyddsmyndigheter att uppmärksamma en nationell domare på farhågor om giltigheten av ett genomförandebeslut från kommissionen i syfte att få till stånd en begäran om förhandsavgörande till Europeiska unionens domstol. Parlamentet är djupt oroat över att flera klagomål om överträdelser av den allmänna dataskyddsförordningen, vilka ingavs den 25 maj 2018, dagen då den allmänna dataskyddsförordningen trädde i kraft, och andra klagomål från personskyddsorganisationer och konsumentgrupper fortfarande inte har avgjorts av den irländska dataskyddsmyndigheten, som är ansvarig myndighet i dessa fall. Parlamentet oroas över att dataskyddsmyndigheten tolkar ”utan dröjsmål” i artikel 60.3 i den allmänna dataskyddsförordningen – i motsats till lagstiftarnas avsikt – som längre än några månader. Parlamentet oroas över att tillsynsmyndigheterna inte har vidtagit proaktiva åtgärder enligt artiklarna 61 och 66 i den allmänna dataskyddsförordningen för att se till att den irländska dataskyddsmyndigheten uppfyller sina skyldigheter enligt den allmänna dataskyddsförordningen. Parlamentet oroas även över bristen på tekniska specialister som arbetar för den irländska dataskyddsmyndigheten och dess användning av föråldrade system. Parlamentet beklagar konsekvenserna av den irländska dataskyddsmyndighetens misslyckade försök att överföra kostnaderna för rättsförfarandet till svaranden, vilket skulle skapat en enorm dämpande effekt. Parlamentet uppmanar kommissionen att inleda överträdelseförfaranden mot Irland för att landet inte genomför den allmänna dataskyddsförordningen på korrekt sätt.

5.  Europaparlamentet oroas över den bristfälliga efterlevnadsnivån av den allmänna dataskyddsförordningen, särskilt när det gäller internationella överföringar. Parlamentet är bekymrat över att nationella tillsynsmyndigheter inte prioriterar eller på det hela taget granskar överföringar av personuppgifter till tredjeländer, trots den betydande utvecklingen av rättspraxis i Europeiska unionens domstol under de senaste fem åren. Parlamentet beklagar djupt avsaknaden av meningsfulla beslut och korrigerande åtgärder i detta hänseende, och uppmanar Europeiska dataskyddsstyrelsen och de nationella tillsynsmyndigheterna att inkludera överföring av personuppgifter som en del av sina strategier för revision, efterlevnad och verkställighet. Parlamentet betonar att harmoniserade bindande administrativa förfaranden för företrädande av registrerade och tillåtlighet behövs för att tillhandahålla rättssäkerhet och hantera gränsöverskridande klagomål.

6.  Europaparlamentet noterar kommissionens utkast till genomförandebeslut om standardavtalsklausuler för överföring av personuppgifter till länder utanför EU. Parlamentet uppmanar Europeiska dataskyddsstyrelsen att offentliggöra ytterligare vägledning om internationella dataöverföringar för företag, särskilt för små och medelstora företag, däribland en checklista för bedömning av överföringar, verktyg för att bedöma huruvida regeringar får eller kan ha tillgång till data och information om de kompletterande åtgärder som krävs för överföringar med hjälp av standardavtalsklausuler. Parlamentet uppmanar Europeiska dataskyddsstyrelsen att även inhämta synpunkter från oberoende forskare om potentiellt motstridig nationell lagstiftning i länder som är viktiga handelspartner.

7.  Europaparlamentet påminner om att i enlighet med Europeiska dataskyddsstyrelsens riktlinjer 2/2018 för undantagen i artikel 49 enligt förordning (EU) 2016/679(12) ska de överföringar som sker utanför ramen för beslut om adekvat skyddsnivå eller andra instrument som tillhandahåller lämpliga skyddsåtgärder men som grundas på undantag i särskilda situationer enligt artikel 49 i den allmänna dataskyddsförordningen tolkas strikt så att undantaget inte blir regel. Parlamentet noterar dock att sedan skölden för skydd av privatlivet i EU och Förenta staterna ogiltigförklarades har transatlantiska dataflöden upprätthållits för digitala reklamsyften även när det råder osäkerhet om deras rättsliga grund för överföringar i reklamsyfte. Parlamentet uppmanar Europeiska dataskyddsstyrelsen och dataskyddsmyndigheterna att säkerställa konsekvent tolkning i tillämpningen och kontrollen av sådana undantag i linje med Europeiska dataskyddsstyrelsens riktlinjer.

8.  Europaparlamentet välkomnar de internationella diskussionerna om gränsöverskridande personuppgiftsflöden som är förenliga med den allmänna dataskyddsförordningen och brottsbekämpningsdirektivet(13). Parlamentet betonar att den allmänna dataskyddsförordningen, brottsbekämpningsdirektivet, reglerna om integritet och elektronisk kommunikation samt andra befintliga och framtida åtgärder som skyddar de grundläggande rättigheterna till privatliv och personuppgiftsskydd inte får undergrävas av eller införlivas i internationella handelsavtal. Parlamentet uppmanar kommissionen att följa och inte avvika från EU:s horisontella ståndpunkt från 2018(14) och att beakta tredjeländers relevanta åtaganden inom ramen för handelslagstiftningen vid bedömningen av deras adekvata skyddsnivå, däribland vidare överföring av data.

Standardavtalsklausuler

9.  Europaparlamentet noterar kommissionens utkast till genomförandebeslut och till standardavtalsklausuler. Parlamentet välkomnar att kommissionen har efterlyst återkoppling från berörda parter genom att anordna ett offentligt samråd om sitt utkast. Parlamentet noterar att Europeiska dataskyddsstyrelsen och Europeiska datatillsynsmannen i ett gemensamt yttrande av den 15 januari 2021(15) lämnade positiva kommentarer till utkastet till standardavtalsklausuler men föreslog vissa ytterligare förbättringar. Parlamentet förväntar sig att kommissionen beaktar den mottagna återkopplingen innan kommittéförfarandet inleds.

10.  Europaparlamentet påminner om att ett stort antal små och medelstora företag använder sig av standardavtalsklausuler. Parlamentet betonar att alla typer av företag snarast behöver tydliga riktlinjer och stöd för att säkerställa rättssäkerheten vid tillämpningen och tolkningen av domstolens dom.

11.  Europaparlamentet noterar Europeiska dataskyddsstyrelsens rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelse med EU:s nivå för skydd av personuppgifter(16). Parlamentet välkomnar att Europeiska dataskyddsstyrelsen anordnade ett offentligt samråd om sina rekommendationer. Parlamentet är oroat över de potentiella konflikterna mellan dessa rekommendationer och kommissionens förslag till standardavtalsklausuler. Parlamentet uppmanar kommissionen och Europeiska dataskyddsstyrelsen att samarbeta för att slutföra sina respektive dokument i syfte att säkerställa rättssäkerhet enligt domstolens dom. Parlamentet anser att kommissionen bör följa Europeiska dataskyddsstyrelsens vägledning.

12.  Europaparlamentet välkomnar särskilt Europeiska dataskyddsstyrelsens rekommendationer om att personuppgiftsansvariga ska förlita sig på objektiva faktorer vid bedömningen av huruvida något i tredjelandets lagstiftning eller praxis kan inverka på ändamålsenligheten hos lämpliga skyddsåtgärder i överföringsverktygen för de aktuella överföringarna, snarare än på subjektiva faktorer, såsom sannolikheten för att offentliga myndigheter får tillgång till uppgifterna på ett sätt som inte överensstämmer med EU:s standarder, vilket upprepade gånger har avvisats av Europeiska unionens domstol. Parlamentet uppmanar i detta avseende kommissionen att säkerställa att dess förslag om standardavtalsklausuler är fullständigt förenligt med domstolens tillämpliga rättspraxis.

13.  Europaparlamentet understryker att det är av avgörande betydelse att EU:s företag förlitar sig på solida mekanismer som är förenliga med domen av Europeiska unionens domstol. Parlamentet anser i detta avseende att kommissionens nuvarande förslag till mall för standardavtalsklausuler bör ta hänsyn till Europeiska dataskyddsstyrelsens alla relevanta rekommendationer. Parlamentet stöder inrättandet av en verktygslåda med kompletterande åtgärder att välja från, t.ex. säkerhetscertifiering och certifiering av uppgiftsskydd samt krypteringsgarantier och pseudonymisering, som godtas av regleringsmyndigheterna, samt allmänt tillgängliga resurser om relevant lagstiftning för EU:s viktigaste handelspartner.

14.  Europaparlamentet påpekar att för personuppgiftsansvariga som omfattas av den amerikanska lag som reglerar övervakning av utländsk underrättelseverksamhet (Foreign Intelligence Surveillance Act (FISA)) är en överföring av personuppgifter från EU inte möjlig enligt dessa standardavtalsklausuler, på grund av den höga risken för massövervakning. Parlamentet förväntar sig att dessa överföringar tillfälligt upphör tills situationen är löst, om inget arrangemang snabbt ingås med Förenta staterna för att säkerställa en väsentligen likvärdig och därmed adekvat skyddsnivå jämfört med den som föreskrivs i den allmänna dataskyddsförordningen och i EU-stadgan. Parlamentet understryker att domstolens slutsats att varken avsnitt 702 i FISA eller Executive Order 12333 (presidentorder 12333), jämförda med Presidential Policy Directive 28 (presidentens policydirektiv 28), motsvarar de lägsta skyddsåtgärder som enligt EU:s lagstiftning följer av proportionalitetsprincipen, vilket medför att de övervakningsprogram som grundas på dessa bestämmelser inte kan anses vara begränsade till vad som är absolut nödvändigt. Parlamentet betonar behovet av att lösa de problem som fastställdes i domstolens dom på ett hållbart sätt för att skapa adekvat skydd av personuppgifter för registrerade. Parlamentet påminner om att avtal mellan företag inte kan tillhandahålla vare sig skydd mot underrättelsemyndigheters odifferentierade tillgång till innehållet i elektronisk kommunikation eller tillräckliga rättsmedel mot massövervakning. Parlamentet betonar att detta kräver en reform av den amerikanska övervakningslagstiftningen och praxis i syfte att säkerställa att de amerikanska säkerhetsmyndigheternas tillgång till uppgifter som överförs från EU begränsas till vad som är nödvändigt och proportionellt samt att europeiska registrerade har tillgång till effektiv rättslig prövning vid amerikanska domstolar.

15.  Europaparlamentet framhåller den begränsade förhandlingsstyrkan och rättskapaciteten och den finansiella kapaciteten hos de europeiska små och medelstora företagen samt icke-vinstdrivande organisationer och föreningar, som genom de föreskrivna självbedömningarna av huruvida skyddsnivån är adekvat i tredjeländer förväntas söka sig igenom de komplexa rättsliga ramarna i olika länder utanför EU. Parlamentet uppmanar kommissionen och Europeiska dataskyddsstyrelsen att tillhandahålla vägledning om den praktiska användningen av tillförlitliga kompletterande åtgärder, särskilt för små och medelstora företag.

16.  Europaparlamentet uppmanar dataskyddsmyndigheterna att efterleva sina skyldigheter, vilket betonas i domstolens dom, för att säkerställa ett korrekt och snabbt genomförande av den allmänna dataskyddsförordningen genom att noga övervaka verkställandet av standardavtalsklausulerna. Parlamentet uppmanar dataskyddsmyndigheterna att hjälpa företag att efterleva domstolens rättspraxis. Parlamentet uppmanar dataskyddsmyndigheterna att även använda alla sina utredningsbefogenheter och korrigerande befogenheter enligt artikel 58 i den allmänna dataskyddsförordningen i fall där uppgiftsutföraren överför personuppgifter trots att det finns lagstiftning i det mottagande tredjelandet som hindrar uppgiftsutföraren från att uppfylla standardavtalsklausulerna och bristen på effektiva kompletterande åtgärder. Parlamentet påminner om att domstolen ansåg att varje tillsynsmyndighet är ”skyldig att fullgöra sitt uppdrag [...] och att därvid tillse att DSF [den allmänna dataskyddsförordningen] iakttas fullt ut”.

Skölden för skydd av privatlivet

17.  Europaparlamentet noterar att Europeiska unionens domstol fann att skölden för skydd av privatlivet i EU och Förenta staterna inte garanterar en väsentligen likvärdig och därmed adekvat skyddsnivå jämfört med den som föreskrivs i den allmänna dataskyddsförordningen och i stadgan, bland annat på grund av att amerikanska myndigheters masstillgång till personuppgifter som överförs inom ramen för skölden för skydd av privatlivet inte är förenlig med principerna om nödvändighet och proportionalitet, samt på grund av att registrerade i EU saknar rättigheter att föra talan mot de amerikanska myndigheterna i amerikanska domstolar eller inför någon annan oberoende myndighet som agerar som domstol. Parlamentet förväntar sig att den nuvarande amerikanska administrationen i högre grad uppfyller sina skyldigheter enligt eventuella framtida överföringsmekanismer jämfört med tidigare administrationer, som saknade politiskt engagemang att efterleva safe harbour-reglerna och reglerna för skölden för skydd av privatlivet.

18.  Europaparlamentet påpekar att vissa företag, som ett svar på domen i Schrems II-målet, skyndsamt har sett över sina integritetspolicyer och tredjepartsavtal som avser deras åtaganden inom ramen för skölden för skydd av privatlivet utan att göra en bedömning av de bästa åtgärderna för att överföra uppgifter på ett lagligt sätt.

19.  Europaparlamentet beklagar att kommissionen har underlåtit att agera i enlighet med artikel 45.5 i den allmänna dataskyddsförordningen, trots parlamentets många uppmaningar till kommissionen i sina resolutioner från 2016, 2017 och 2018 att vidta alla nödvändiga åtgärder för att säkerställa att skölden för skydd av privatlivet helt och hållet följer den allmänna dataskyddsförordningen och stadgan. Parlamentet beklagar att kommissionen har underlåtit att agera trots parlamentets uppmaningar att upphäva skölden för skydd av privatlivet tills de amerikanska myndigheterna uppfyller dess villkor, vilket understryker risken att skölden för skydd av privatlivet ogiltigförklaras av Europeiska unionens domstol. Parlamentet påminner om att problemen med hur skölden för skydd av privatlivet fungerar upprepade gånger togs upp av artikel 29-arbetsgruppen och Europeiska dataskyddsstyrelsen.

20.  Europaparlamentet beklagar djupt att kommissionen satte förbindelserna med Förenta staterna framför EU-medborgarnas intressen, och att kommissionen därmed lämnade över uppgiften att försvara EU-lagstiftningen till enskilda medborgare.

Massövervakning och rättsliga ramar

21.  Europaparlamentet uppmuntrar kommissionen att fortsätta att proaktivt övervaka användningen av massövervakningsteknik i Förenta staterna och i andra tredjeländer som omfattas av eller kan komma att omfattas av ett konstaterande om adekvat skyddsnivå, såsom Förenade kungariket. Parlamentet uppmanar kommissionen att inte anta beslut om adekvat skyddsnivå i länder där lagar och program om massövervakning inte uppfyller Europeiska unionens domstols kriterier, varken i lydelse eller andemening.

22.  Europaparlamentet noterar att Kaliforniens Consumer Privacy Act (lag om skydd av konsumenters personuppgifter) nyligen trädde i kraft i Förenta staterna. Parlamentet noterar relaterade diskussioner och lagstiftningsförslag på federal nivå. Parlamentet påpekar att varken Kaliforniens Consumer Privacy Act eller något av de federala förslagen hittills uppfyller den allmänna dataskyddsförordningens krav avseende en adekvat skyddsnivå, även om de utgör steg i rätt riktning. Parlamentet uppmanar eftertryckligen den amerikanska lagstiftaren att anta lagstiftning som uppfyller dessa krav och därigenom bidra till att se till att amerikansk lagstiftning i huvudsak ger en likvärdig skyddsnivå jämfört med den som för närvarande garanteras i EU.

23.  Europaparlamentet påpekar att sådan lagstiftning om uppgiftsskydd och skydd av personlig integritet för konsumenter inte i sig kommer att räcka för att avhjälpa de grundläggande problem som domstolen identifierat avseende amerikanska underrättelsetjänsters massövervakning och den otillräckliga tillgången till rättsmedel. Parlamentet uppmanar Förenta staternas federala lagstiftare att ändra avsnitt 702 i Foreign Intelligence Surveillance Act samt Förenta staternas president att ändra Executive Order 12333 och Presidential Policy Directive 28, särskilt när det gäller massövervakning och beviljande av samma skyddsnivå för EU-medborgare och amerikanska medborgare. Parlamentet uppmuntrar Förenta staterna att tillhandahålla mekanismer för att säkerställa att individer får (fördröjda) meddelanden och ges möjlighet att ifrågasätta otillbörlig övervakning enligt avsnitt 702 och Executive Order 12333 samt att fastställa en lagstadgad mekanism för att säkerställa att icke-amerikanska medborgare har verkställbara rättigheter utöver Judicial Redress Act (lagen om rättslig prövning).

24.  Europaparlamentet påminner om att medlemsstaterna fortsätter att utbyta personuppgifter med Förenta staterna inom ramen för programmet för att spåra finansiering av terrorism (TFTP), avtalet mellan EU och Förenta staterna om passageraruppgiftssamlingar (PNR), det automatiska utbytet av skatteinformation via de mellanstatliga avtal som genomför USA:s utlandsskattelag (FATCA), som inverkar negativt på ”oavsiktliga amerikaner”, enligt parlamentets resolution av den 5 juli 2018 om de negativa effekterna av USA:s utlandsskattelag FATCA på EU-medborgare och särskilt ”ofrivilliga amerikaner”(17). Parlamentet påminner om att Förenta staterna fortfarande har tillgång till medlemsstaternas databaser för brottsbekämpande som innehåller EU-medborgarnas fingeravtryck och DNA-uppgifter. Parlamentet uppmanar kommissionen att analysera hur domarna i målen Schrems I och II inverkar på dessa uppgiftsutbyten samt att offentliggöra sin analys och förklara hur den har för avsikt att anpassa dem till domarna, och lägga fram den skriftligen för utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor senast den 30 september 2021.

25.  Europaparlamentet uppmanar också kommissionen att analysera situationen för molnleverantörer som omfattas av avsnitt 702 i FISA och som överför data med hjälp av standardavtalsklausulerna. Parlamentet uppmanar även kommissionen att analysera inverkan på de rättigheter som beviljas enligt paraplyavtalet mellan EU och Förenta staterna, inbegripet rätten till rättslig prövning, med tanke på att Förenta staterna uttryckligen endast beviljar denna rätt till medborgare i utsedda länder som tillåter dataöverföringar till Förenta staterna för kommersiella ändamål. Parlamentet anser att det är oacceptabelt att kommissionen fortfarande inte har offentliggjort sina resultat av den första gemensamma översynen av paraplyavtalet ett år efter tidsfristen och uppmanar kommissionen att i förekommande fall utan dröjsmål anpassa avtalet till de standarder som fastställs i domstolens dom.

26.  Europaparlamentet anser att det mot bakgrund av de tydliga luckorna i skyddet av EU-medborgarnas uppgifter som överförs till Förenta staterna är nödvändigt att stödja investeringar i europeiska verktyg för datalagring (t.ex. molntjänster) för att minska unionens beroende av tredjeländer för lagringskapacitet och stärka unionens strategiska oberoende när det gäller hantering och skydd av uppgifter.

Beslut om adekvat skyddsnivå

27.  Europaparlamentet uppmanar kommissionen att vidta alla nödvändiga åtgärder för att se till att alla nya beslut om adekvat skyddsnivå med avseende på Förenta staterna är helt förenliga med förordning (EU) 2016/679, med stadgan och med alla aspekter av domen från Europeiska unionens domstol. Parlamentet påminner om att de rättsliga ramarna för adekvat skyddsnivå avsevärt underlättar den ekonomiska verksamheten, särskilt för små och medelstora företag och nystartade företag, som till skillnad från stora företag ofta inte besitter finansiell, rättslig och teknisk kapacitet att använda sig av andra överföringsverktyg. Parlamentet uppmanar medlemsstaterna att ingå ett antispionageavtal med Förenta staterna. Parlamentet uppmanar kommissionen att använda sina kontakter med amerikanska motparter för att förmedla budskapet att om Förenta staternas övervakningslagar och övervakningspraxis inte ändras skulle det enda möjliga alternativet för att underlätta ett framtida beslut om adekvat skyddsnivå vara att ingå ett antispionageavtal med medlemsstaterna.

28.  Europaparlamentet anser att inga av kommissionens framtida beslut om adekvat skyddsnivå ska grundas på system med självcertifiering, vilket var fallet med både safe harbour och skölden för skydd av privatlivet. Parlamentet uppmanar kommissionen att till fullo involvera Europeiska dataskyddsstyrelsen i bedömningen av efterlevnad och verkställande av alla nya beslut om adekvat skyddsnivå med avseende på Förenta staterna. Parlamentet uppmanar kommissionen att i detta avseende komma överens med den amerikanska administrationen om de åtgärder som krävs för att Europeiska dataskyddsstyrelsen ska kunna utföra denna uppgift effektivt. Parlamentet förväntar sig att kommissionen mer seriöst överväger parlamentets ståndpunkt om alla nya beslut om adekvat skyddsnivå med avseende på Förenta staterna innan ett sådant beslut antas.

29.  Europaparlamentet påminner om att kommissionen för närvarande håller på att se över alla beslut om adekvat skyddsnivå som antagits enligt direktiv 95/46/EG. Parlamentet betonar att kommissionen bör tillämpa de strängare standarder som fastställs i den allmänna dataskyddsförordningen och i Europeiska domstolens dom i målen Schrems I och II för att bedöma huruvida en i grunden likvärdig skyddsnivå ges jämfört med den som anges i den allmänna dataskyddsförordningen, inbegripet när det gäller tillgång till ett effektivt rättsmedel och skydd mot otillbörlig tillgång till personuppgifter för tredjelandets myndigheter. Parlamentet uppmanar kommissionen att skyndsamt slutföra dessa översyner och att upphäva eller tillfälligt upphäva beslut som fattats före den allmänna dataskyddsförordningen om den finner att tredjelandet i fråga inte tillhandahåller en i grunden likvärdig skyddsnivå och om situationen inte kan avhjälpas.

30.  Europaparlamentet anser att Bidenadministrationen, genom att utse en erfaren integritetsexpert som chefsförhandlare för det avtal som ska efterfölja skölden för skydd av privatlivet, visade sitt prioriterade engagemang att hitta en lösning för kommersiella dataöverföringar mellan EU och Förenta staterna. Parlamentet förväntar sig att dialogen mellan kommissionen och dess amerikanska motparter, som inleddes direkt efter domstolens dom, kommer att intensifieras under de närmaste månaderna.

31.  Europaparlamentet uppmanar kommissionen att inte anta något nytt beslut om adekvat skyddsnivå i förhållande till Förenta staterna, såvida inte meningsfulla reformer införs, särskilt för nationella säkerhets- och underrättelseändamål, som kan uppnås genom tydliga, rättsligt hållbara, genomförbara och icke-diskriminerande reformer av Förenta staternas lagar och praxis. Parlamentet upprepar i detta avseende vikten av kraftfulla skyddsåtgärder när det gäller offentliga myndigheters tillgång till personuppgifter. Parlamentet uppmanar kommissionen att tillämpa sina ”geopolitiska ambitioner” i praktiken för att verkställa ett väsentligen likvärdigt uppgiftsskydd i Förenta staterna och andra tredjeländer jämfört med det som erbjuds i EU.

32.  Europaparlamentet rekommenderar att de nationella dataskyddsmyndigheterna avbryter överföringen av personuppgifter som amerikanska offentliga myndigheter kan komma att få tillgång till om kommissionen skulle anta något nytt beslut om adekvat skyddsnivå med avseende på Förenta staterna om sådana meningsfulla reformer uteblir.

33.  Europaparlamentet välkomnar att kommissionen följer kriterierna i artikel 29-arbetsgruppens referensram för adekvat skyddsnivå inom ramen för den allmänna dataskyddsförordningen(18) (som har godkänts av Europeiska dataskyddsstyrelsen) och i Europeiska dataskyddsstyrelsens rekommendation 01/2021 om referensramen för adekvat skyddsnivå enligt direktivet om uppgiftsskydd vid brottsbekämpning(19). Parlamentet anser att kommissionen inte bör gå under dessa kriterier vid bedömningen av huruvida ett tredjeland uppfyller kraven för ett beslut om adekvat skyddsnivå. Parlamentet noterar att Europeiska dataskyddsstyrelsen nyligen har uppdaterat sina rekommendationer om europeiska nödvändiga garantier för övervakningsåtgärder(20) mot bakgrund av EU-domstolens rättspraxis.

o
o   o

34.  Europaparlamentet uppdrar åt talmannen att översända denna resolution till kommissionen, Europeiska rådet, Europeiska unionens råd, Europeiska dataskyddsstyrelsen, medlemsstaternas nationella parlament, Förenta staternas kongress och regering samt Förenade kungarikets parlament och regering.

(1) Domstolens dom av den 16 juli 2020, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559. (2) Domstolens dom av den 6 oktober 2015, Maximillian Schrems mot Data Protection Commissioner, C‑362/14, ECLI:EU:C:2015:650. (3) Dom av den 6 oktober 2020, C‑623/17, Privacy International mot Secretary of State for Foreign and Commonwealth Affairs m.fl., ECLI:EU:C:2020:790. (4) EUT C 76, 28.2.2018, s. 82. (5) EUT C 298, 23.8.2018, s. 73. (6) EUT C 118, 8.4.2020, s. 133. (7) EUT C 345, 16.10.2020, s. 58. (8) EUT L 39, 12.2.2010, s. 5. (9) EUT L 207, 1.8.2016, s. 1. (10) Antagna texter, P9_TA(2020)0337. (11) EUT L 119, 4.5.2016, s. 1. (12) https://edpb.europa.eu/sites/default/files/files/file1/edpbguidelines_2_2018_derogations_sv.pdf (13) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89). (14) EU proposal for provisions on cross-border data flows and protection of personal data and privacy (EU:s förslag till bestämmelser om gränsöverskridande dataflöden samt skydd av personuppgifter och privatlivet), http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf. (15) EDPB-EDPS Joint Opinion 2/2021 on standard contractual clauses for the transfer of personal data to third countries (Europeiska dataskyddsstyrelsens och Europeiska datatillsynsmannens gemensamma yttrande 2/2021 om standardavtalsklausuler för överföring av personuppgifter till tredjeländer) av den 14 januari 2021, https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_sv. (16) Europeiska dataskyddsstyrelsens rekommendationer 01/2020 om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter av den 11 november 2020, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_sv. (17) EUT C 118, 8.4.2020, s. 141. (18) https://ec.europa.eu/newsroom/article29/items/614108. (19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_sv. (20) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_sv.