Euroopan parlamentti, joka

–  ottaa huomioon Euroopan unionin perusoikeuskirjan ja erityisesti sen 7, 8, 16, 47 ja 52 artiklan,

–  ottaa huomioon Euroopan unionin tuomioistuimen 6. lokakuuta 2015 antaman tuomion asiassa C-362/14 Maximillian Schrems v. Data Protection Commissioner(1) (Schrems I),

–  ottaa huomioon unionin tuomioistuimen 16. heinäkuuta 2020 antaman tuomion asiassa C-311/18 Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems(2) (Schrems II),

–  ottaa huomioon tutkimuksensa Edward Snowdenin tekemistä paljastuksista, jotka liittyivät EU:n kansalaisten sähköiseen joukkovalvontaan, ja myös huomiot, jotka sisältyvät sen 12. maaliskuuta 2014 antamaan päätöslauselmaan Yhdysvaltojen kansallisen turvallisuusviraston valvontaohjelmasta, eri jäsenvaltioiden valvontaelimistä ja niiden vaikutuksesta EU:n kansalaisten perusoikeuksiin ja transatlanttiseen yhteistyöhön oikeus- ja sisäasioissa(3),

–  ottaa huomioon 26. toukokuuta 2016 antamansa päätöslauselman transatlanttisista tietovirroista(4),

–  ottaa huomioon 6. huhtikuuta 2017 antamansa päätöslauselman EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä(5),

–  ottaa huomioon 5. heinäkuuta 2018 antamansa päätöslauselman EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä(6),

–  ottaa huomioon 20. toukokuuta 2021 antamansa päätöslauselman Euroopan unionin tuomioistuimen 16. heinäkuuta 2020 antamasta tuomiosta – Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems (”Schrems II”), asia C-311/18(7),

–  ottaa huomioon ehdotuksen Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 nojalla annettavaksi komission täytäntöönpanopäätökseksi henkilötietojen suojan riittävästä tasosta EU:n ja Yhdysvaltojen tietosuojakehyksessä,

–  ottaa huomioon 7. lokakuuta 2022 annetun Yhdysvaltojen presidentin toimeenpanomääräyksen nro 14086 Yhdysvaltojen signaalitiedustelun suojatoimien tehostamisesta,

–  ottaa huomioon 4. joulukuuta 1981 annetun Yhdysvaltojen presidentin toimeenpanomääräyksen nro 12333 Yhdysvaltojen tiedustelutoimista,

–  ottaa huomioon Yhdysvaltojen oikeusministerin antaman määräyksen tietosuoja-asioita käsittelevästä muutoksenhakutuomioistuimesta (Data Protection Review Court),

–  ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679(8) (yleinen tietosuoja-asetus) ja erityisesti sen V luvun,

–  ottaa huomioon henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12. heinäkuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY(9),

–  ottaa huomioon 29 artiklan mukaisen tietosuojatyöryhmän antaman ja Euroopan tietosuojaneuvoston hyväksymän tietosuojan riittävyyden viitearvoja koskevan asiakirjan (WP 254 rev.01), ottaa huomioon Euroopan tietosuojaneuvoston suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamisen varmistamiseksi, ja suositukset 2/2020 tiedustelua koskevista eurooppalaisista olennaisista takeista,

–  ottaa huomioon 28. helmikuuta 2023 annetun Euroopan tietosuojaneuvoston lausunnon 5/2023 ehdotuksesta Euroopan komission täytäntöönpanopäätökseksi henkilötietojen suojan riittävästä tasosta EU:n ja Yhdysvaltojen tietosuojakehyksessä,

–  ottaa huomioon työjärjestyksen 132 artiklan 2 kohdan,

A.  ottaa huomioon, että Euroopan unionin tuomioistuin totesi Schrems I -tuomiossa pätemättömäksi direktiivin 95/46/EY mukaisesti yksityisyyden suojaa koskevien safe harbor -periaatteiden antaman suojan riittävyydestä ja niihin liittyvistä Yhdysvaltojen kauppaministeriön julkaisemista tavallisimmista kysymyksistä 26. heinäkuuta 2000 tehdyn komission päätöksen(10) ja huomautti, että tiedusteluviranomaisten rajoittamaton pääsy sähköisen viestinnän sisältöön loukkaa perusoikeuskirjan 7 artiklassa vahvistetun viestinnän luottamuksellisuutta koskevan perusoikeuden keskeistä sisältöä; toteaa tuomioistuimen huomauttaneen, että tietosuojan riittävyyttä koskevaa päätöstä tehtäessä kolmannen maan ei tarvitse taata samantasoista suojaa, vaan ”olennaisilta osin” EU:n lainsäädännössä taattua suojan tasoa vastaava taso, joka voidaan varmistaa eri keinoin;

B.  ottaa huomioon, että Euroopan unionin tuomioistuin totesi Schrems II -tuomiossa pätemättömäksi Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä 12. heinäkuuta 2016 annetun komission täytäntöönpanopäätöksen (EU) 2016/1250(11) ja totesi, että se ei tarjonnut muille kuin Yhdysvaltojen kansalaisille riittäviä oikeussuojakeinoja joukkovalvontaa vastaan ja että tämä loukkaa perusoikeuskirjan 47 artiklassa vahvistetun oikeussuojakeinoja koskevan perusoikeuden keskeistä sisältöä;

C.  ottaa huomioon, että Yhdysvaltojen presidentti allekirjoitti 7. lokakuuta 2022 toimeenpanomääräyksen nro 14086 Yhdysvaltojen signaalitiedustelun suojatoimien tehostamisesta;

D.  toteaa, että komissio käynnisti 13. joulukuuta 2022 prosessin EU:n ja Yhdysvaltojen tietosuojakehyksen tietosuojan riittävyyttä koskevan päätöksen hyväksymiseksi;

E.  toteaa, että komissio on kolmannen maan antaman suojan tasoa tutkiessaan velvollinen arvioimaan kyseisen maan sisäisen lainsäädännön tai kansainvälisten sitoumusten johdosta tässä maassa sovellettavien sääntöjen sisältöä sekä käytäntöä, jonka tarkoituksena on varmistaa näiden sääntöjen noudattaminen; katsoo, että jos tällaisessa arvioinnissa riittävyys ja vastaavuus todetaan epätyydyttäviksi, komission olisi pidättäydyttävä tekemästä tietosuojan riittävyyttä koskevaa päätöstä, koska sen edellytyksenä on asiaankuuluvien takeiden täytäntöönpano; ottaa huomioon, että komissio on velvollinen keskeyttämään tietosuojan riittävyyttä koskevan päätöksen soveltamisen, jos vastaavuutta ei enää ole; toteaa, että yleisessä tietosuoja-asetuksessa edellytetään, että asiaankuuluvan arvioinnin olisi oltava jatkuva prosessi, jossa otetaan huomioon sovellettavien sääntöjen ja käytäntöjen muutokset;

F.  katsoo, että mahdollisuus siirtää henkilötietoja yli rajojen voi olla keskeinen innovoinnin, tuottavuuden ja taloudellisen kilpailukyvyn edistäjä, kunhan huolehditaan riittävistä suojatoimista; katsoo, että nämä siirrot olisi suoritettava noudattaen kaikilta osin oikeutta henkilötietojen suojaan ja oikeutta yksityisyyteen; toteaa, että yksi EU:n tavoitteista on perusoikeuksien suojelu, kuten perusoikeuskirjassa todetaan;

G.  ottaa huomioon, että yleistä tietosuoja-asetusta sovelletaan kaikkiin yrityksiin, jotka käsittelevät EU:ssa olevien rekisteröityjen henkilötietoja, jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa, tai näiden toiminnan seurantaan siltä osin kuin toiminta tapahtuu unionissa;

H.  ottaa huomioon, että valtiollisten toimijoiden harjoittama joukkovalvonta eli tietojen rajoittamaton kerääminen ilman minkäänlaisia suojatoimia henkilöiden yksityisyydensuojan loukkaamisen rajoittamiseksi heikentää unionin kansalaisten ja yritysten luottamusta digitaalisiin palveluihin ja siten myös digitaalitalouteen; ottaa huomioon, että vaikka Yhdysvaltojen virastot eivät saa kerätä valikoimattomia tietoja Yhdysvalloissa asuvista Yhdysvaltojen kansalaisista, tätä kieltoa ei sovelleta unionin kansalaisiin; ottaa huomioon, että valtiollisten toimijoiden harjoittama joukkovalvonta on laitonta ja heikentää unionin kansalaisten ja yritysten luottamusta digitaalisia palveluja ja siten myös digitaalitaloutta kohtaan;

I.  toteaa, että rekisterinpitäjien olisi aina oltava vastuussa tietosuojavelvoitteiden noudattamisesta ja niiden olisi muun muassa osoitettava tietojenkäsittelyä koskevien velvoitteiden noudattaminen riippumatta käsittelyn luonteesta, laajuudesta, asiayhteydestä, tarkoituksesta ja rekisteröidyille aiheutuvista riskeistä;

J.  toteaa, että Yhdysvalloissa ei ole annettu yksityisyyden suojaa ja tietosuojaa koskevaa liittovaltion tason lainsäädäntöä; ottaa huomioon, että toimeenpanomääräyksellä nro 14086 otetaan käyttöön keskeisten tietosuojakäsitteiden, kuten tarpeellisuus- ja suhteellisuusperiaatteiden, määritelmät, mikä on merkittävä edistysaskel aiempiin siirtomekanismeihin verrattuna; katsoo, että näiden periaatteiden tulkintatapoja on seurattava tiiviisti; ottaa huomioon, että näiden periaatteiden täytäntöönpanotavasta Yhdysvaltojen oikeusjärjestyksessä ei ole välttämättä mahdollista tehdä kattavaa arviointia, koska tietosuoja-asioita käsittelevän muutoksenhakutuomioistuimen menettelyt eivät ole avoimia;

1.  muistuttaa, että yksityis- ja perhe-elämän kunnioittaminen sekä henkilötietojen suoja ovat oikeudellisesti täytäntöönpanokelpoisia perusoikeuksia, jotka on vahvistettu perussopimuksissa, perusoikeuskirjassa ja Euroopan ihmisoikeussopimuksessa sekä lainsäädännössä ja oikeuskäytännössä; korostaa, että yleisen tietosuoja-asetuksen mukaiset tietosuojan riittävyyttä koskevat päätökset ovat oikeudellisia päätöksiä eivätkä poliittisia valintoja ja että oikeutta yksityisyyteen ja tietosuojaan ei voida suhteuttaa kaupallisiin tai poliittisiin etuihin vaan ainoastaan muihin perusoikeuksiin;

2.  panee merkille toimeenpanomääräyksessä nro 14086 vahvistetut merkittävät toimet, joilla asetetaan rajoituksia Yhdysvaltojen signaalitiedustelutoiminnalle määräämällä, että signaalitiedustelua koskevassa Yhdysvaltojen lainsäädännössä on sovellettava oikeasuhteisuus- ja välttämättömyysperiaatteita, ja esittämällä luettelo tavoitteista, joiden saavuttamiseksi tällainen toiminta on laillista; panee merkille, että nämä periaatteet olisivat sitovia Yhdysvaltojen koko tiedusteluyhteisölle ja että rekisteröidyt voisivat vedota niihin toimeenpanomääräyksessä nro 14086 tarkoitetun menettelyn mukaisesti; korostaa, että tämä toimeenpanomääräys sisältää merkittäviä parannuksia, joilla pyritään varmistamaan, että nämä periaatteet vastaavat olennaisilta osin EU:n lainsäädäntöä; huomauttaa kuitenkin, että nämä periaatteet ovat olleet jo pitkään EU:n tietosuojajärjestelmän keskeisiä osatekijöitä ja että niiden aineelliset määritelmät toimeenpanomääräyksessä nro 14086 eivät vastaa niille EU:n lainsäädännössä vahvistettuja määritelmiä ja sitä, miten unionin tuomioistuin tulkitsee niitä; huomauttaa lisäksi, että EU:n ja Yhdysvaltojen tietosuojakehystä sovellettaessa näitä periaatteita tulkittaisiin yksinomaan Yhdysvaltojen, ei EU:n, lainsäädännön ja oikeusperinteiden valossa; toteaa, että toimeenpanomääräyksessä nro 14086 määritetään 12 tavoitetta, joiden saavuttamiseksi tietojen kerääminen signaalitiedustelun avulla on laillista, ja viisi tavoitetta, joiden osalta keruu signaalitiedustelun avulla on kielletty; panee merkille, että Yhdysvaltojen presidentti voi muuttaa ja laajentaa kansallista turvallisuutta koskevien oikeutettujen tavoitteiden luetteloa ja että presidentillä ei ole velvollisuutta julkistaa näitä muutoksia tai tiedottaa asiasta EU:lle; huomauttaa, että toimeenpanomääräyksen nro 14086 mukaan signaalitiedustelu on toteutettava tarvittavalla tavalla, joka on oikeassa suhteessa ”vahvistettuun tiedustelun painopisteeseen”, ja toteaa, että tämä vaikuttaa olevan näiden käsitteiden laaja tulkinta; korostaa, että suhteellisuus- ja tarpeellisuusperiaatteiden kattava arviointi toimeenpanomääräyksen nro 14086 yhteydessä edellyttää, että ne otetaan käyttöön ja pannaan täytäntöön Yhdysvaltojen tiedusteluvirastojen toimintaperiaatteissa ja menettelyissä; on kuitenkin huolissaan siitä, ettei kunkin valvontapäätöksen osalta edellytetä analyytikkojen suorittamaa oikeasuhteisuuden arviointia;

3.  toteaa, että toimeenpanomääräyksessä nro 14086 sallitaan tietyissä tapauksessa valikoimattomien tietojen, viestinnän sisältö mukaan lukien, kerääminen signaalitiedustelun avulla; panee samalla merkille, että toimeenpanomääräyksen nro 14086 mukaan kohdennettu keruu olisi asetettava valikoimattomien tietojen keruun edelle; muistuttaa, että vaikka toimeenpanomääräys nro 14086 sisältää useita valikoimattomien tietojen keruun tapaukseen sovellettavia suojatoimia, siinä ei määrätä erillisestä ennakkoluvasta valikoimattomien tietojen keruulle, eikä tällaista edellytetä myöskään toimeenpanomääräyksessä nro 12333; muistuttaa, että asiassa Schrems II unionin tuomioistuin selitti, että Yhdysvaltojen valvontatoiminta ei ollut EU:n lainsäädännön mukaista, koska siinä ei edellytetty ”objektiivista perustetta”, joka ”on omiaan oikeuttamaan” viranomaisen puuttumisen yksityisyydensuojaan; huomauttaa, että tämä heikentäisi tavoitteiden tarkoitusta toimia suojatoimena Yhdysvaltojen tiedustelutoiminnan rajoittamiseksi; palauttaa mieliin, että Privacy Shield -järjestelyn tietosuojan riittävyyttä koskevan päätöksen perustana olleen presidentin määräyksen nro 28 (Presidential Policy Directive, PPD-28) jälkeen yksityisyyden ja kansalaisvapauksien valvontalautakunta (PCLOB) julkaisi tarkastelukertomuksen(12) ja totesi, että kyseisessä määräyksessä oli pohjimmiltaan vain vahvistettu tiedusteluyhteisön jo käyttämät käytännöt; on vakuuttunut siitä, että presidentin määräys nro 28 ei lopeta Yhdysvaltojen viranomaisten harjoittamaa EU:n kansalaisten sähköistä joukkovalvontaa;

4.  on Euroopan tietosuojaneuvoston lailla huolissaan siitä, että toimeenpanomääräyksellä nro 14086 ei taata riittäviä suojatoimia valikoimattomien tietojen keräämisen tapauksessa, ja erityisesti siitä, ettei se sisällä erillistä ennakkolupaa, selkeitä ja tiukkoja tietojen säilyttämistä ja valikoimattomien tietojen ”tilapäistä” keruuta koskevia sääntöjä eikä tiukempia suojatoimia valikoimattomasti kerättyjen tietojen levittämisen osalta; kehottaa erityisesti kiinnittämään huomiota siihen nimenomaiseen huoleen, että jos tietojen levittämistä Yhdysvaltojen viranomaisille ei rajoiteta enemmän, lainvalvontaviranomaisilla olisi mahdollisuus päästä käsiksi tietoihin, joihin heillä ei muutoin olisi pääsyä; muistuttaa, että tietojen edelleen siirtäminen moninkertaistaa tosiasiallisesti tietosuojaan kohdistuvat riskit; panee merkille, että Euroopan tietosuojaneuvosto on kehottanut ottamaan käyttöön oikeudellisesti sitovan velvoitteen analysoida ja määrittää, tarjoaako kolmas maa hyväksyttävän vähimmäistason suojatoimet;

5.  huomauttaa, että toimeenpanomääräystä nro 14086 ei sovelleta tietoihin, jotka viranomaiset saavat muilla keinoin, esimerkiksi Yhdysvaltojen Cloud Act -lain tai Patriot Act -lain nojalla taikka kaupallisten tietojen ostojen tai datan vapaaehtoista yhteiskäyttöä koskevien sopimusten kautta;

6.  huomauttaa, että perimmäisenä ongelmana on se, että Yhdysvallat valvoo lainsäädäntönsä nojalla muita kuin yhdysvaltalaisia henkilöitä, ja se, ettei unionin kansalaisilla ole mahdollisuutta tehokkaisiin oikeussuojakeinoihin tässä asiassa; painottaa, että EU:n kansalaisilla olisi oltava samat oikeudet ja etuoikeudet kuin Yhdysvaltojen kansalaisilla, kun on kyse Yhdysvaltojen tiedusteluyhteisön toiminnasta ja oikeudesta saattaa asia yhdysvaltalaisen tuomioistuimen käsiteltäväksi;

7.  toteaa, että Yhdysvaltojen tulkinnan mukaan ”signaalitiedustelu” kattaa kaikki ulkomaantiedustelun valvontaa koskevassa laissa (FISA) vahvistetut tietojensaantimenetelmät, mukaan lukien etäkäyttöpalvelujen (”remote computing service”) tarjoajilta saadut tiedot, jotka lisättiin soveltamisalaan vuonna 2008 annetulla FISA-lain muutossäädöksellä 1881 a; kehottaa komissiota selventämään tulevissa neuvotteluissa ”signaalitiedustelun” määritelmää ja soveltamisalaa toimeenpanomääräyksessä nro 14086; muistuttaa, että FISA-lain 702 pykälän mukaan Yhdysvaltojen viranomaisilla on edelleen valtuudet ottaa kohteeksi kenet tahansa ulkomailla oleva muu kuin Yhdysvaltojen kansalainen laveasti määriteltyä ulkomaantiedustelutietojen hankkimista varten;

8.  toteaa, että on perustettu uusi oikeussuojamekanismi, jonka avulla EU:n rekisteröidyt voivat tehdä kantelun; korostaa samalla, että tietosuoja-asioita käsittelevän muutoksenhakutuomioistuimen päätökset luokiteltaisiin salaisiksi eikä niitä julkistettaisi tai asetettaisi valituksen tekijän saataville, vaan tälle ilmoitettaisiin ainoastaan joko että tarkastelussa ei havaittu rikkomuksia tai että muutoksenhakutuomioistuin antoi ratkaisun, joka edellytti asianmukaisia toimia, ja toteaa, että tämä heikentäisi valituksen tekijän oikeutta tutustua tietoihinsa tai oikaista niitä; on huolissaan siitä, että tämä tarkoittaa, että asian vireillepanijalla ei olisi mahdollisuutta saada tietoa asian todellisesta ratkaisusta ja että päätös olisi lopullinen; panee merkille, että ehdotetussa oikeussuojamenettelyssä ei voi kääntyä liittovaltion tuomioistuimen puoleen, minkä vuoksi kantelun tekijällä ei muun muassa ole mahdollisuutta vaatia vahingonkorvausta; kehottaa komissiota jatkamaan neuvotteluja Yhdysvaltojen kanssa, jotta saadaan aikaan tarvittavat muutokset näiden ongelmien ratkaisemiseksi;

9.  toteaa, että toimeenpanomääräyksellä nro 14086 otetaan käyttöön joitakin takeita tietosuoja-asioita käsittelevän muutoksenhakutuomioistuimen tuomareiden riippumattomuuden varmistamiseksi, minkä myös Euroopan tietosuojaneuvosto on todennut lausunnossaan; huomauttaa, että tietosuoja-asioita käsittelevä muutoksenhakutuomioistuin on toimeenpanovallan käyttäjä eikä osa oikeuslaitosta ja että sen tuomarit nimitetään neljän vuoden määräajaksi; korostaa, että Yhdysvaltojen presidentti voi kumota tietosuoja-asioita käsittelevän muutoksenhakutuomioistuimen päätökset jopa salaa; huomauttaa, että vaikka uusi oikeussuojamekanismi ei anna Yhdysvaltojen oikeusministerille mahdollisuutta erottaa ja valvoa muutoksenhakutuomioistuimen tuomareita, tämä ei vaikuta Yhdysvaltojen presidentin asiaankuuluvaan toimivaltaan; korostaa, että niin kauan kuin Yhdysvaltojen presidentti voi erottaa tietosuoja-asioita käsittelevän muutoksenhakutuomioistuimen tuomareita heidän toimikautensa aikana, kyseisten tuomareiden riippumattomuus ei ole taattu; toteaa, että jos suojatoimet otetaan käyttöön, komission olisi seurattava tiiviisti niiden soveltamista, jotta voidaan taata riippumattomuuden toteutuminen käytännössä; huomauttaa, että kantelun tekijää edustaisi tietosuoja-asioita käsittelevän muutoksenhakutuomioistuimen nimeämä ”erityisasianajaja”, jolta ei edellytetä riippumattomuutta; kehottaa komissiota varmistamaan riippumattomuutta koskevan vaatimuksen käyttöönoton, jos tietosuojan riittävyyttä koskeva päätös tehdään; toteaa, että tietosuoja-asioita käsittelevä muutoksenhakutuomioistuin ei täytä nykyisessä muodossaan perusoikeuskirjan 47 artiklan mukaisia riippumattomuutta ja puolueettomuutta koskevia vaatimuksia; panee merkille, että vaikka PCLOB tarkastelisi riippumattomasti uuden oikeussuojaprosessin toimintaa, tämän tarkastelun kattama ala olisi rajallinen;

10.  toteaa, että Yhdysvallat on perustanut uuden oikeussuojamekanismin, jota sovelletaan viranomaisten tiedonsaantiin liittyviin ongelmiin, mutta on edelleen epäselvää, miten tehokkaita ovat kaupallisissa asioissa käytettävissä olevat oikeussuojakeinot, joita ei muuteta tietosuojan riittävyyttä koskevalla päätöksellä; toteaa, että näiden kysymysten ratkaisemiseksi tarkoitetut mekanismit on jätetty suurelta osin yritysten harkintavaltaan ja ne voivat käyttää vaihtoehtoisia oikeussuojakeinoja, kuten riidanratkaisumekanismeja tai yritysten yksityisyydensuojaohjelmia; kehottaa komissiota seuraamaan tiiviisti näiden oikeussuojakeinomekanismien tehokkuutta, jos tietosuojan riittävyyttä koskeva päätös tehdään;

11.  toteaa, että eurooppalaiset yritykset tarvitsevat oikeusvarmuutta ja myös ansaitsevat sen; korostaa, että toisiaan seuranneet tiedonsiirtomekanismit, jotka unionin tuomioistuin on sittemmin kumonnut, ovat aiheuttaneet eurooppalaisille yrityksille lisäkustannuksia; toteaa siksi, että on taattava oikeusvarmuus ja vältettävä tilannetta, jossa yritysten on jatkuvasti sopeuduttava uusiin oikeudellisiin ratkaisuihin ja joka saattaa olla erityisen raskas mikroyrityksille sekä pienille ja keskisuurille yrityksille; on huolissaan siitä, että jos tietosuojan riittävyyttä koskeva päätös hyväksytään, unionin tuomioistuin voisi todeta sen aiempien päätösten tapaan pätemättömäksi, minkä johdosta oikeusvarmuutta ei vieläkään saataisi ja unionin kansalaisille ja eurooppalaisille yrityksille aiheutuisi lisäkustannuksia ja häiriöitä;

12.  huomauttaa, että Yhdysvalloilla ei ole vieläkään liittovaltion tietosuojalakia kuten kaikilla muilla kolmansilla mailla, joiden osalta on annettu yleisen tietosuoja-asetuksen mukainen tietosuojan riittävyyttä koskeva päätös; huomauttaa, ettei toimeenpanomääräyksen 14086 soveltaminen ole selkeää, täsmällistä tai ennakoitavissa olevaa, koska Yhdysvaltojen presidentti voi milloin tahansa muuttaa sitä tai peruuttaa sen ja antaa salaisia toimeenpanomääräyksiä; panee merkille, että tietosuojan riittävyyttä koskevaa päätelmää tarkasteltaisiin uudelleen vuoden kuluttua päivästä, jona tietosuojan riittävyyttä koskevasta päätöksestä ilmoitettiin jäsenvaltioille, ja sen jälkeen vähintään joka neljäs vuosi; kehottaa komissiota toteuttamaan seuraavat tarkastelut vähintään joka kolmas vuosi siinä tapauksessa, että tietosuojan riittävyyttä koskeva tuleva päätös tehdään, tietosuojaneuvoston lausunnon mukaisesti; on huolissaan siitä, ettei ole olemassa raukeamislauseketta, jonka mukaan päätöksen voimassaolo päättyisi automaattisesta neljän vuoden kuluttua sen voimaantulosta, minkä jälkeen komission olisi tehtävä uusi ratkaisu; on huolissaan siitä, että raukeamislausekkeen puuttumisessa tästä tietosuojan riittävyyttä koskevasta päätöksestä on kyse sallivammasta suhtautumisesta Yhdysvaltoihin huolimatta siitä, että Yhdysvaltojen yksityisyydensuojaa koskeva kehys perustuu toimeenpanomääräykseen, joka mahdollistaa muutosten tekemisen salassa ja jota voidaan muuttaa ilman kongressin hyväksyntää tai ilmoittamatta asiasta EU:n vastaaville viranomaisille; kehottaa tämän vuoksi komissiota ottamaan käyttöön tällaisen lausekkeen;

13.  yhtyy Euroopan tietosuojaneuvoston esille tuomiin huolenaiheisiin, jotka liittyvät rekisteröityjen oikeuksiin, automatisoitua päätöksentekoa ja profilointia koskevien keskeisten määritelmien ja erityisten sääntöjen puuttumiseen, tietosuojakehyksen periaatteiden soveltamista henkilötietojen käsittelijöihin koskeviin epäselvyyksiin ja tarpeeseen välttää tietojen edelleen siirtämistä, joka heikentää tietosuojan tasoa;

14.  korostaa, että tietosuojan riittävyyttä koskeviin päätöksiin on sisällyttävä selkeät ja tiukat seuranta- ja uudelleentarkastelumekanismit sen varmistamiseksi, että päätökset toimivat myös tulevaisuudessa tai että ne kumotaan tai niitä muutetaan tarpeen mukaan ja että niissä taataan aina EU:n kansalaisten perusoikeus tietosuojaan; korostaa, että tietosuojan riittävyyttä koskevaa mahdollista tulevaa päätöstä olisi tarkasteltava jatkuvasti uudelleen ja siinä olisi otettava huomioon lainsäädännön ja käytännön kehitys Yhdysvalloissa;

Päätelmät

15.  palauttaa mieliin, että parlamentti kehotti 20. toukokuuta 2021 antamassaan päätöslauselmassa komissiota olemaan hyväksymättä uutta Yhdysvaltoja koskevaa päätöstä tietosuojan riittävyydestä, ellei Yhdysvalloissa tehdä merkityksellisiä uudistuksia, jotka koskevat erityisesti kansallista turvallisuutta tai tiedustelutarkoituksia; katsoo, että toimeenpanomääräys nro 14086 ei ole riittävän merkityksellinen; toteaa jälleen, että komission ei pitäisi jättää EU:n kansalaisten perusoikeuksien suojelua Euroopan unionin tuomioistuimen tehtäväksi tällaisten yksittäisten kansalaisten tekemien kantelujen perusteella;

16.  muistuttaa, että komission on arvioitava kolmannen maan tietosuojan riittävyyttä voimassa olevan lainsäädännön ja käytäntöjen asiasisällön ja käytännön perusteella, kuten asioissa Schrems I ja Schrems II ja yleisessä tietosuoja-asetuksessa (johdanto-osan 104 kappale) on vahvistettu;

17.  panee merkille, että Yhdysvaltojen kauppaministeriön julkaisemiin tietosuojakehyksen periaatteisiin ei ole tehty sellaisia riittäviä muutoksia verrattuna Privacy Shield -järjestelyn periaatteisiin, jotka tarjoaisivat olennaisilta osin samantasoisen suojan kuin yleisessä tietosuoja-asetuksessa;

18.  panee merkille, että Yhdysvallat on sitoutunut merkittävällä tavalla parantamaan mahdollisuuksia käyttää oikeussuojakeinoja ja viranomaisten suorittamaa tietojenkäsittelyä koskevia sääntöjä, mutta Yhdysvaltojen tiedusteluyhteisön on silti päivitettävä toimintapolitiikkansa ja käytäntönsä lokakuuhun 2023 mennessä toimeenpanomääräyksessä nro 14086 annetun sitoumuksen mukaisesti, ja toteaa, että Yhdysvaltojen julkisasiamies ei ole vielä nimennyt EU:ta ja sen jäsenvaltioita sellaisiksi maiksi, jotka voivat käyttää tietosuoja-asioita käsittelevän muutoksenhakutuomioistuimen tarjoamia oikeussuojakeinoja; korostaa tämän merkitsevän, että komissio ei pystynyt arvioimaan ehdotettujen oikeussuojakeinojen tehokkuutta ja ehdotettuja tietojen saatavuutta koskevia toimenpiteitä ”käytännön” osalta; toteaa tämän vuoksi, että komissio voi edetä tietosuojan riittävyyttä koskevassa päätöksessä seuraavaan vaiheeseen vasta sitten, kun Yhdysvallat on ensin noudattanut mainittuja määräaikoja ja saavuttanut mainitut välitavoitteet, jotta varmistetaan, että sitoumukset on täytetty käytännössä;

19.  toteaa, että EU:n ja Yhdysvaltojen tietosuojakehys ei luo olennaisilta osin vastaavaa tietosuojan tasoa; kehottaa komissiota jatkamaan neuvotteluja Yhdysvaltojen edustajien kanssa sellaisen mekanismin perustamiseksi, jolla varmistettaisiin tällainen vastaavuus ja joka tarjoaisi unionin tietosuojalainsäädännön ja perusoikeuskirjan edellyttämän riittävän suojan tason, sellaisena kuin unionin tuomioistuin on sitä tulkinnut; kehottaa komissiota olemaan hyväksymättä tietosuojan riittävyyttä koskevaa päätelmää ennen kuin kaikki tässä päätöslauselmassa ja Euroopan tietosuojaneuvoston lausunnossa esitetyt suositukset on pantu täysimääräisesti täytäntöön;

20.  pyytää komissiota toimimaan EU:n yritysten ja kansalaisten etujen mukaisesti varmistamalla, että ehdotettu kehys tarjoaa vakaan, riittävän ja tulevaisuuteen suuntautuvan oikeusperustan EU:n ja Yhdysvaltojen välisille tiedonsiirroille; odottaa, että jos uusia tietosuojan riittävyyttä koskevia päätöksiä tehdään, nekin riitautetaan unionin tuomioistuimessa; korostaa komission vastuuta siitä, että EU:n kansalaisten oikeuksia ei suojella tilanteessa, jossa unionin tuomioistuin mitätöi jälleen tietosuojan riittävyyttä koskevan päätöksen;

o
o   o

21.  kehottaa puhemiestä välittämään tämän päätöslauselman neuvostolle ja komissiolle sekä Yhdysvaltojen presidentille ja kongressille.

(1) Tuomio 6. lokakuuta 2015, Maximillian Schrems v. Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650. (2) Tuomio 16. heinäkuuta 2020, Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559. (3) EUVL C 378, 9.11.2017, s. 104. (4) EUVL C 76, 28.2.2018, s. 82. (5) EUVL C 298, 23.8.2018, s. 73. (6) EUVL C 118, 8.4.2020, s. 133. (7) EUVL C 15, 12.1.2022, s. 176. (8) EUVL L 119, 4.5.2016, s. 1. (9) EYVL L 201, 31.7.2002, s. 37. (10) EYVL L 215, 25.8.2000, s. 7. (11) EUVL L 207, 1.8.2016, s. 1. (12) PCLOB, Report to the President on the Implementation of Presidential Directive 28: Signals Intelligence Activities.