Rezolucija Europskog parlamenta od 11. svibnja 2023. o primjerenosti zaštite koju pruža okvir EU-a i SAD-a za zaštitu podataka (2023/2501(RSP))
Europski parlament,
– uzimajući u obzir Povelju Europske unije o temeljnim pravima („Povelja”), a posebno njezine članke 7., 8., 16., 47. i 52.,
– uzimajući u obzir presudu Suda Europske unije (Sud EU-a) od 6. listopada 2015. u predmetu C-362/14 Maximillian Schrems/Data Protection Commissioner („Schrems I”)(1),
– uzimajući u obzir presudu Suda EU-a od 16. srpnja 2020. u predmetu C-311/18 Data Protection Commissioner/Facebook Ireland Limited i Maximillian Schrems („Schrems II”)(2),
– uzimajući u obzir svoju istragu o otkrićima Edwarda Snowdena o masovnom elektroničkom nadzoru građana EU-a, uključujući zaključke iz Rezolucije od 12. ožujka 2014. o programu nadzora Agencije za nacionalnu sigurnost SAD-a (NSA), nadzornim tijelima u različitim državama članicama i njihovu utjecaju na temeljna prava građana EU-a te o transatlantskoj suradnji u pravosuđu i unutarnjim poslovima(3);
– uzimajući u obzir svoju Rezoluciju od 26. svibnja 2016. o transatlantskom protoku podataka(4),
– uzimajući u obzir svoju Rezoluciju od 6. travnja 2017. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti(5),
– uzimajući u obzir Rezoluciju od 5. srpnja 2018. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti(6),
– uzimajući u obzir svoju Rezoluciju od 20. svibnja 2021. o presudi Suda Europske unije od 16. srpnja 2020. Data Protection Commissioner protiv Facebook Ireland Limited i Maximillian Schrems („Schrems II”) – predmet C-311/18(7),
– uzimajući u obzir Nacrt provedbene odluke Komisije u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća o primjerenosti zaštite osobnih podataka na temelju Okvira EU-a i SAD-a za zaštitu podataka,
– uzimajući u obzir Izvršni nalog br. 14086 predsjednika Sjedinjenih Američkih Država od 7. listopada 2022. o jačanju zaštitnih mjera za obavještajne aktivnosti elektroničkog izviđanja Sjedinjenih Američkih Država,
– uzimajući u obzir Izvršni nalog br. 12333 predsjednika Sjedinjenih Američkih Država od 4. prosinca 1981. o obavještajnim aktivnostima Sjedinjenih Američkih Država,
– uzimajući u obzir Uredbu o sudu za preispitivanje zaštite podataka koju je izdao glavni američki državni odvjetnik („Uredba glavnog državnog odvjetnika”),
– uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)(8), a posebno njezino poglavlje V.,
– uzimajući u obzir Direktivu 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija(9),
– uzimajući u obzir referentni dokument o primjerenosti koji je donijela Radna skupina iz članka 29. (WP 254 rev.01), a odobrio Europski odbor za zaštitu podataka (EDPB), uzimajući u obzir Preporuku 01/2020 EDPB-a o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u i Preporuku 02/2020 EDPB-a o europskim temeljnim jamstvima za mjere nadzora,
– uzimajući u obzir mišljenje Europskog odbora za zaštitu podataka 5/2023 od 28. veljače 2023. o Nacrtu provedbene odluke Europske komisije o primjerenosti zaštite osobnih podataka na temelju Okvira EU-a i SAD-a za zaštitu podataka,
– uzimajući u obzir članak 132. stavak 2. Poslovnika,
A. budući da je u presudi „Schrems I” Sud EU-a poništio Odluku Komisije od 26. srpnja 2000. sukladno s Direktivom 95/46/EZ o primjerenosti zaštite koju pružaju načela privatnosti „sigurne luke” i uz njih vezana često postavljana pitanja koje je izdalo Ministarstvo trgovine SAD‑a(10) te istaknuo da se neselektivnim pristupom obavještajnih tijela sadržaju elektroničkih komunikacija krši bit temeljnog prava na povjerljivost komunikacija iz članka 7. Povelje; budući da je Sud istaknuo da za potrebe odluke o primjerenosti treća zemlja ne mora osigurati jednaku, već „bitno ekvivalentnu” razinu zaštite onoj koja se jamči pravom EU-a, koja se može osigurati različitim sredstvima;
B. budući da je Sud EU-a u presudi „Schrems II” poništio Provedbenu odluku Komisije (EU) 2016/1250 od 12. srpnja 2016. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti u skladu s Direktivom 95/46/EZ(11) te zaključio da se njime ne osigurava dovoljno pravnih lijekova protiv masovnog nadzora osoba koje nisu državljani SAD-a te da se time krši bit temeljnog prava na pravni lijek kako je predviđeno člankom 47. Povelje;
C. budući da je 7. listopada 2022. predsjednik Sjedinjenih Američkih Država potpisao Izvršni nalog br. 14086 o jačanju zaštitnih mjera za obavještajne aktivnosti elektroničkog izviđanja Sjedinjenih Američkih Država („Izvršni nalog br. 14086”);
D. budući da je Komisija 13. prosinca 2022. pokrenula postupak donošenja odluke o primjerenosti Okvira EU-a i SAD-a za zaštitu podataka;
E. budući da je pri ispitivanju razine zaštite koju pruža treća zemlja Komisija obvezna procijeniti sadržaj pravila koja se primjenjuju u toj zemlji, a koja proizlaze iz njezina nacionalnog prava ili njezinih međunarodnih obveza, kao i praksu čiji je cilj osigurati usklađenost s tim pravilima; budući da bi se, ako bi se ishod takve procjene smatrao nezadovoljavajućim u smislu primjerenosti i ekvivalentnosti, Komisija trebala suzdržati od donošenja odluke o primjerenosti jer je ona uvjetovana provedbom relevantnih jamstava; budući da je Komisija obvezna suspendirati odluku o primjerenosti ako više ne postoji ekvivalentnost; budući da se Općom uredbom o zaštiti podataka (GDPR) zahtijeva da relevantna procjena bude kontinuirani proces kojim se uzimaju u obzir promjene primjenjivih pravila i praksi;
F. budući da mogućnost prekograničnog prijenosa osobnih podataka može postati ključni pokretač inovacija, produktivnosti i gospodarske konkurentnosti pod uvjetom da se osiguraju odgovarajuće zaštitne mjere; budući da bi te prijenose trebalo obavljati uz puno poštovanje prava na zaštitu osobnih podataka i prava na privatnost; budući da je jedan od ciljeva EU-a zaštita temeljnih prava koja su utvrđena u Povelji;
G. budući da se Opća uredba o zaštiti podataka (GDPR) primjenjuje na sva poduzeća koja obrađuju osobne podatke ispitanika u EU-u ako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima u Uniji ili s praćenjem njihova ponašanja ako se to ponašanje odvija unutar Unije;
H. budući da se masovnim nadzorom, tj. neselektivnim prikupljanjem podataka bez zaštitnih mjera kojima bi se ograničilo zadiranje u privatnost pojedinaca, koji provode državni akteri narušava povjerenje europskih građana i poduzeća u digitalne usluge, a time i digitalno gospodarstvo; budući da, iako je američkim agencijama zabranjeno masovno prikupljanje podataka o državljanima SAD-a koji žive u Sjedinjenim Američkim Državama, ta se zabrana ne primjenjuje na građane EU-a; budući da je masovni nadzor koji provode državni akteri nezakonit i negativno utječe na povjerenje europskih građana i poduzeća u digitalne usluge, a time i digitalno gospodarstvo;
I. budući da bi voditelji obrade uvijek trebali biti odgovorni za poštovanje obveza zaštite podataka, uključujući dokazivanje usklađenosti u vezi sa svakom obradom podataka bez obzira na prirodu, opseg, kontekst, svrhu i rizike za ispitanike;
J. budući da u Sjedinjenim Američkim Državama ne postoji savezno zakonodavstvo o zaštiti privatnosti i podataka; budući da se Izvršnim nalogom br. 14086 uvode definicije ključnih koncepata zaštite podataka kao što su načela nužnosti i proporcionalnosti, što predstavlja važan korak naprijed u usporedbi s prethodnim mehanizmima prijenosa; budući da je potrebno pomno pratiti način na koji se ta načela tumače; budući da sveobuhvatna procjena načina na koji se ta načela provode u pravnom poretku SAD-a možda neće biti moguća zbog nedostatka transparentnosti u postupcima suda za preispitivanje zaštite podataka („DPRC”);
1. podsjeća da su poštovanje privatnog i obiteljskog života te zaštita osobnih podataka pravno zaštićena temeljna prava sadržana u Ugovorima, Povelji i Europskoj konvenciji o ljudskim pravima kao i zakonima i sudskoj praksi; naglašava da su odluke o primjerenosti u skladu s Općom uredbom o zaštiti podataka pravne, a ne političke odluke te da se prava na privatnost i zaštitu podataka mogu odvagivati samo u odnosu na druga temeljna prava, a ne u odnosu na komercijalne ili političke interese;
2. primjećuje napore uložene u Izvršnom nalogu br. 14086 da se ograniče američke obavještajne aktivnosti elektroničkog izviđanja uvođenjem načela proporcionalnosti i nužnosti u pravni okvir SAD-a za obavještajne aktivnosti elektroničkog izviđanja te utvrđivanjem popisa legitimnih ciljeva za takve aktivnosti; napominje da bi ta načela bila obvezujuća za cijelu obavještajnu zajednicu SAD-a i da bi se ispitanici mogli na njih pozivati u postupcima predviđenima Izvršnim nalogom br. 14086; naglašava da se tim izvršnim nalogom predviđaju znatna poboljšanja kako bi se zajamčilo da su ta načela bitno ekvivalentna prema pravu EU-a; ističe, međutim, da su ta načela dugotrajni ključni elementi sustava EU-a za zaštitu podataka i da njihove suštinske definicije u Izvršnom nalogu br. 14086 nisu u skladu s njihovom definicijom u okviru prava EU-a i tumačenjem Suda Europske unije; nadalje ističe da bi se za potrebe Okvira EU-a i SAD-a za zaštitu podataka ta načela tumačila isključivo u svjetlu prava i pravne tradicije SAD-a, a ne EU-a; napominje da se u Izvršnom nalogu br. 14086 navodi 12 legitimnih ciljeva koji se mogu ostvarivati pri prikupljanju obavještajnih podataka elektroničkim izviđanjem i pet ciljeva za koje je ono zabranjeno; napominje da predsjednik SAD-a može izmijeniti i proširiti popis legitimnih ciljeva nacionalne sigurnosti, ali da nema obvezu objaviti relevantne ažurirane informacije niti obavijestiti EU; ističe da se Izvršnim nalogom br. 14086 zahtijeva da se obavještajne aktivnosti elektroničkog izviđanja provode na način koji je nužan i razmjeran „potvrđenom prioritetu obavještajnih podataka”, što se čini širokim tumačenjem tih pojmova; naglašava da bi se za sveobuhvatnu procjenu načela proporcionalnosti i nužnosti u kontekstu Izvršnog naloga br. 14086 ona morala operacionalizirati i provoditi u politikama i postupcima obavještajnih agencija SAD-a; međutim, zabrinut je zbog toga što analitičari nisu obvezni provoditi test proporcionalnosti za svaku odluku o nadzoru;
3. napominje da se Izvršnim nalogom br. 14086 omogućuje masovno prikupljanje podataka elektroničkim izviđanjem, uključujući sadržaj komunikacija; istodobno primjećuje da se u Izvršnom nalogu br. 14086 predviđa da bi ciljano prikupljanje trebalo imati prednost pred masovnim prikupljanjem; napominje da Izvršni nalog br. 14086 sadržava nekoliko zaštitnih mjera u slučaju masovnog prikupljanja, ali ne predviđa neovisno prethodno odobrenje za masovno prikupljanje, što također nije predviđeno ni Izvršnim nalogom br. 12333; podsjeća da je u predmetu „Schrems II” Sud EU-a objasnio da nadzor SAD-a nije ispunio zahtjeve prava EU-a jer nije zahtijevao „objektivni kriterij” koji „može opravdati” zadiranje vlade u privatnost; ističe da bi se time ugrozila svrha ciljeva kao zaštitne mjere za ograničavanje obavještajnih aktivnosti SAD-a; podsjeća da je nakon Predsjedničkog ukaza br. 28 (PPD-28), koji je bio temelj za odluku o primjerenosti sustava zaštite privatnosti, Odbor za nadzor privatnosti i građanskih sloboda (PCLOB) objavio izvješće o preispitivanju(12) i zaključio da je PPD-28 u biti utvrdio već postojeće prakse obavještajne zajednice; uvjeren je da PPD-28 neće zaustaviti elektronički masovni nadzor građana EU-a koji provode vlasti SAD-a;
4. dijeli zabrinutost Europskog odbora za zaštitu podataka zbog toga što se Izvršnim nalogom br. 14086 ne pružaju dostatne zaštitne mjere za masovno prikupljanje podataka, odnosno zbog nepostojanja neovisnog prethodnog odobrenja, jasnih i strogih pravila o zadržavanju podataka, „privremenog” masovnog prikupljanja i nepostojanja strožih zaštitnih mjera za dijeljenje masovno prikupljenih podataka; posebno ističe konkretnu zabrinutost da bi tijela kaznenog progona bez dodatnih ograničenja za dijeljenje informacija američkim tijelima mogla pristupiti podacima kojima inače ne bi smjela pristupiti; podsjeća da daljnji prijenosi zapravo višestruko povećavaju rizike za zaštitu podataka; napominje da je Europski odbor za zaštitu podataka pozvao da se predvidi pravno obvezujuća obveza analize i utvrđivanja nudi li treća zemlja prihvatljivu minimalnu razinu zaštitnih mjera;
5. ističe da se Izvršni nalog br. 14086 ne primjenjuje na podatke kojima javna tijela pristupaju drugim sredstvima, na primjer na temelju američkog Zakon o pojašnjenju zakonite prekomorske upotrebe podataka (Cloud Act) ili Zakona o borbi protiv terorizma (Patriot Act), kupnjom komercijalnih podataka ili sporazumima o dobrovoljnoj razmjeni podataka;
6. ističe da je temeljni problem nadzor osoba koje nisu državljani SAD-a na temelju američkog prava i nemogućnost europskih građana da zatraže pravnu zaštitu u tom pogledu; traži da građani EU-a imaju ista prava i povlastice koje imaju građani SAD-a kad je riječ o aktivnostima obavještajne zajednice SAD-a i pristupu američkim sudovima;
7. shvaća da američko tumačenje „elektroničkog izviđanja” obuhvaća sve metode pristupa podacima iz Zakona o nadzoru stranih obavještajnih službi (Foreign Intelligence Surveillance Act, FISA), uključujući od pružatelja "računalnih usluga na daljinu", što je dodano člankom 1881.a Zakona o izmjeni FISA-e iz 2008.; poziva Komisiju da pojasni definiciju i opseg „elektroničkog izviđanja” iz Izvršnog naloga br.14086; podsjeća da u skladu s odjeljkom 702. FISA-e američka vlada i dalje prisvaja ovlast da cilja bilo koju osobu koja nije državljanin SAD-a u inozemstvu radi pribavljanja stranih obavještajnih podataka, koji su široko definirani;
8. ističe da je uspostavljen novi mehanizam pravne zaštite kojim se osobama iz EU-a čiji se podaci obrađuju omogućuje podnošenje pritužbe; istodobno naglašava da bi odluke DPRC-a bile klasificirane i ne bi bile objavljene niti dostupne podnositelju pritužbe, koji bi bio obaviješten samo da preispitivanjem nisu utvrđena nikakva obuhvaćena kršenja ili da je DPRC donio odluku kojom zahtijeva poduzimanje odgovarajućih mjera, čime bi se ugrozilo njihovo pravo na pristup svojim podacima ili njihov ispravak; zabrinut je da to znači da osoba koja pokreće postupak ne bi imala mogućnost biti obaviještena o suštinskom ishodu predmeta te da bi odluka bila konačna; napominje da se predloženim postupkom pravne zaštite ne predviđa mogućnost žalbe pred saveznim sudom i stoga, među ostalim, podnositelju pritužbe ne pruža nikakvu mogućnost da zatraži naknadu štete; poziva Komisiju da nastavi pregovore sa Sjedinjenim Američkim Državama kako bi se postigle potrebne izmjene za rješavanje tih pitanja;
9. primjećuje da se Izvršnim nalogom br. 14086 uvode neka jamstva neovisnosti sudaca DPRC-a, što je u svojem mišljenju utvrdio i Europski odbor za zaštitu podataka; ističe da je DPRC dio izvršne vlasti, a ne sudske te da se njegovi suci imenuju na mandat od četiri godine; ističe da predsjednik SAD-a može poništiti odluke DPRC-a čak i u tajnosti; ističe da novi mehanizam pravne zaštite ne omogućuje glavnom državnom odvjetniku SAD-a da razriješi i nadzire suce DPRC-a, ali da ne utječe na odgovarajuće ovlasti predsjednika SAD-a; naglašava da neovisnost tih sudaca nije zajamčena sve dok predsjednik SAD-a može smijeniti suce DPRC-a tijekom njihova mandata; napominje da bi Komisija u slučaju usvajanja mjera za zaštitu neovisnosti trebala pomno pratiti njihovu praktičnu primjenu; ističe da bi podnositelja pritužbe predstavljao „posebni zastupnik” kojeg imenuje DPRC te za kojeg ne postoji zahtjev neovisnosti; poziva Komisiju da osigura uvođenje zahtjeva neovisnosti u slučaju donošenja odluke o primjerenosti; zaključuje da DPRC trenutačno ne ispunjava standarde neovisnosti i nepristranosti iz članka 47. Povelje; napominje da, iako bi PCLOB neovisno preispitivao funkcioniranje novog postupka pravne zaštite, opseg tog preispitivanja bio bi ograničen;
10. primjećuje da je SAD predvidio novi mehanizam pravne zaštite za probleme povezane s pristupom javnih tijela podacima, ali da i dalje postoje nejasnoće u vezi s djelotvornosti pravnih sredstava dostupnih za komercijalne predmete, koja nisu izmijenjena odlukom o primjerenosti; napominje da je primjena mehanizama za rješavanje tih pitanja u velikoj mjeri prepuštena nahođenju poduzeća, koja mogu odabrati alternativna rješenja kao što su mehanizmi za rješavanje sporova ili primjena programa poduzeća za zaštitu privatnosti; poziva Komisiju da u slučaju donošenja odluke o primjerenosti pomno prati djelotvornost tih mehanizama pravne zaštite;
11. napominje da europska poduzeća trebaju i zaslužuju pravnu sigurnost; naglašava da je niz mehanizama prijenosa podataka, koje je Sud EU-a naknadno stavio izvan snage, stvorio dodatne troškove za europska poduzeća; stoga uviđa da je potrebno zajamčiti pravnu sigurnost i izbjeći situaciju u kojoj se poduzeća stalno moraju prilagoditi novim pravnim rješenjima što osobito opterećuje mikropoduzeća te mala i srednja poduzeća; zabrinut je zbog toga što bi Sud EU-a mogao, ako se donese, poništiti odluku o primjerenosti (kao i prethodne odluke), što bi dovelo do kontinuiranog nedostatka pravne sigurnosti, dodatnih troškova i poremećaja za europske građane i poduzeća;
12. ističe da, za razliku od svih ostalih trećih zemalja koje su dobile odluku o primjerenosti u skladu s Općom uredbom o zaštiti podataka, SAD još uvijek nema savezni zakon o zaštiti podataka; ističe da provedba Izvršnog naloga nije jasna, precizna niti predvidljiva jer ga predsjednik SAD-a može izmijeniti ili ukinuti u bilo kojem trenutku te je također ovlašten donositi tajne izvršne naloge; napominje da bi se preispitivanje zaključka o primjerenosti trebalo provesti jednu godinu nakon datuma obavješćivanja država članica o odluci o primjerenosti, a zatim najmanje svake četiri godine; poziva Komisiju da u slučaju donošenja bilo koje buduće odluke o primjerenosti provede naknadna preispitivanja najmanje svake tri godine, u skladu sa zahtjevom iz mišljenja Europskog odbora za zaštitu podataka; zabrinut je zbog nepostojanja klauzule o vremenskom ograničenju valjanosti kojom bi se omogućilo da odluka automatski istekne četiri godine nakon njezina stupanja na snagu, nakon čega bi Komisija morala donijeti novu odluku; zabrinut je zbog toga što to nepostojanje klauzule o vremenskom ograničenju valjanosti u toj odluci o primjerenosti predstavlja blaži pristup Sjedinjenim Američkim Državama, unatoč činjenici da se američki okvir za zaštitu privatnosti temelji na izvršnom nalogu kojim se omogućuju tajne izmjene i koji se može izmijeniti bez odobrenja Kongresa ili bez obavješćivanja partnera u EU-u; traži od Komisije da uvede takvu klauzulu;
13. dijeli zabrinutost EDPB-a u vezi s pravima ispitanika, nepostojanjem ključnih definicija i posebnih pravila o automatiziranom donošenju odluka i izradi profila, nejasnoćama u pogledu primjene načela Okvira za zaštitu podataka na izvršitelje obrade te potrebom da se izbjegnu daljnji prijenosi kojima se umanjuje razina zaštite;
14. naglašava da odluke o primjerenosti moraju uključivati jasne i stroge mehanizme za praćenje i preispitivanje kako bi se osiguralo da su odluke prilagođene budućim promjenama ili prema potrebi ukinute ili izmijenjene te da je u svakom trenutku zajamčeno temeljno pravo građana EU-a na zaštitu podataka; ističe da bi svaka buduća odluka o primjerenosti trebala biti predmet stalnog preispitivanja, uzimajući u obzir razvoj prava i prakse u SAD-u;
Zaključci
15. podsjeća da je Parlament u svojoj Rezoluciji od 20. svibnja 2021. pozvao Komisiju da ne donese novu odluku o primjerenosti u odnosu na SAD osim ako se ne provedu značajne reforme, osobito u pogledu nacionalne sigurnosti i obavještajnih službi; smatra da se Izvršnim nalogom br. 14086 ne uvode dovoljno značajne reforme; ponavlja da Komisija svoju zadaću zaštite temeljnih prava građana EU-a ne bi smjela prepustiti Sudu Europske unije da je obavlja na temelju pritužbi takvih pojedinačnih građana;
16. podsjeća da Komisija mora ocijeniti primjerenost treće zemlje na temelju zakonodavstva i praksi na snazi, ne samo sadržajno nego i u praksi, kako je utvrđeno u predmetima Schrems I, Schrems II i Općoj uredbi o zaštiti podataka (uvodna izjava 104);
17. napominje da načela Okvira za zaštitu podataka koje je izdalo Ministarstvo trgovine SAD-a nisu dovoljno izmijenjena u usporedbi s načelima u okviru sustava zaštite privatnosti (engl. Privacy Shield) da bi se njime osigurala zaštita bitno ekvivalentna onoj koja se pruža Općom uredbom o zaštiti podataka;
18. napominje da, iako su Sjedinjene Američke Države preuzele važnu obvezu poboljšanja pristupa pravnim lijekovima i pravila o obradi podataka koju provode javna tijela, obavještajna zajednica SAD-a mora do listopada 2023. ažurirati svoje politike i prakse u skladu s obvezom iz Izvršnog naloga br. 14086 te da glavni državni odvjetnik SAD-a još nije odredio EU i njegove države članice kao zemlje koje ispunjavaju uvjete za pristup pravnom lijeku dostupnom u okviru DPRC-a; ističe da to znači da Komisija nije mogla ocijeniti djelotvornost predloženih pravnih lijekova i predloženih mjera za pristup podacima „u praksi”; stoga zaključuje da Komisiju može nastaviti sa sljedećim korakom odluke o primjerenosti tek nakon što SAD ispuni te rokove i ključne etape kako bi se osiguralo da su te obveze ispunjene u praksi;
19. zaključuje da se Okvirom EU-a i SAD-a za zaštitu podataka ne postiže bitna ekvivalentnost razine zaštite; poziva Komisiju da nastavi pregovore sa sugovornicima iz SAD-a kako bi se stvorio mehanizam kojim bi se osigurala takva ekvivalentnost i kojim bi se osigurala odgovarajuća razina zaštite koja se zahtijeva pravom Unije o zaštiti podataka i Poveljom kako ih tumači Sud EU-a; poziva Komisiju da ne donosi zaključak o primjerenosti dok se u potpunosti ne provedu sve preporuke iz ove Rezolucije i mišljenja Europskog odbora za zaštitu podataka;
20. poziva Komisiju da djeluje u interesu poduzeća i građana iz EU-a tako što će osigurati da će predloženi okvir pružiti čvrstu i dostatnu pravnu osnovu za prijenos podataka između EU-a i SAD-a koja je usmjerena na budućnost; očekuje da će se svaka odluka o primjerenosti, ako bude donesena, ponovno osporavati na Sudu EU-a; ističe odgovornost Komisije za neuspješnu zaštitu prava građana EU-a u scenariju u kojem Sud EU-a ponovno poništava odluku o primjerenosti;
o o o
21. nalaže svojoj predsjednici da ovu Rezoluciju proslijedi Vijeću i Komisiji te predsjedniku i Kongresu Sjedinjenih Američkih Država.