Rezoluția Parlamentului European din 11 mai 2023 referitoare la caracterul adecvat al protecției oferite de Cadrul UE-SUA privind confidențialitatea datelor (2023/2501(RSP))
Parlamentul European,
– având în vedere Carta drepturilor fundamentale a Uniunii Europene (Carta), în special articolele 7, 8, 16, 47 și 52,
– având în vedere hotărârea Curții de Justiție a Uniunii Europene (CJUE) din 6 octombrie 2015 pronunțată în cauza C-362/14, Maximillian Schrems/Data Protection Commissioner (Schrems I)(1),
– având în vedere hotărârea CJUE din 16 iulie 2020 pronunțată în cauza C-311/18, Data Protection Commissioner/Facebook Ireland Limited și Maximillian Schrems (Schrems II)(2),
– având în vedere ancheta sa privind dezvăluirile făcute de Edward Snowden în legătură cu supravegherea electronică în masă a cetățenilor UE, inclusiv concluziile din rezoluția sa din 12 martie 2014 referitoare la programul de supraveghere al Agenției Naționale de Securitate (NSA) a SUA, la organismele de supraveghere din diferite state membre și la impactul acestora asupra drepturilor fundamentale ale cetățenilor UE și asupra cooperării transatlantice în materie de justiție și de afaceri interne(3),
– având în vedere rezoluția sa din 26 mai 2016 referitoare la fluxurile de date transatlantice(4),
– având în vedere rezoluția sa din 6 aprilie 2017 referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA(5),
– având în vedere rezoluția sa din 5 iulie 2018 referitoare la caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA(6),
– având în vedere rezoluția sa din 20 mai 2021 referitoare la hotărârea CJUE din 16 iulie 2020 pronunțată în cauza C-311/18, Data Protection Commissioner/Facebook Ireland Limited și Maximillian Schrems (Schrems II)(7),
– având în vedere proiectul de decizie de punere în aplicare a Comisiei în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului privind nivelul adecvat de protecție a datelor cu caracter personal în temeiul Cadrului UE-SUA privind confidențialitatea datelor,
– având în vedere Decretul nr. 14086 al Președintelui Statelor Unite din 7 octombrie 2022 privind consolidarea garanțiilor pentru activitățile de colectare a informațiilor pe baza semnalelor electromagnetice desfășurate de Statele Unite,
– având în vedere Decretul nr. 12333 al Președintelui Statelor Unite din 4 decembrie 1981 privind activitățile de colectare a informațiilor desfășurate de Statele Unite,
– având în vedere Regulamentul privind instanța de reexaminare în materie de protecție a datelor, adoptat de Procurorul General al SUA (Regulamentul Procurorului General),
– având în vedere Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor)(8), în special capitolul V,
– având în vedere Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice(9),
– având în vedere Criteriile de referință privind caracterul adecvat al nivelului de protecție, adoptate de Grupul de lucru „Articolul 29” (WP 254 rev.01) și aprobate de Comitetul european pentru protecția datelor (CEPD), Recomandările 01/2020 ale CEPD privind măsurile care completează instrumentele de transfer pentru a asigura conformitatea cu nivelul UE de protecție a datelor cu caracter personal și Recomandările CEPD 02/2020 privind garanțiile esențiale europene pentru măsurile de supraveghere,
– având în vedere Avizul 5/2023 al Comitetului european pentru protecția datelor din 28 februarie 2023 referitor la proiectul de decizie de punere în aplicare a Comisiei Europene privind protecția adecvată a datelor cu caracter personal în temeiul Cadrului UE-SUA privind confidențialitatea datelor,
– având în vedere articolul 132 alineatul (2) din Regulamentul său de procedură,
A. întrucât, în hotărârea „Schrems I”, CJUE a anulat Decizia Comisiei din 26 iulie 2000 în temeiul Directivei 95/46/CE privind caracterul adecvat al protecției oferite de principiile „sferei de siguranță” privind protecția vieții private și întrebările de bază aferente, publicate de Departamentul Comerțului al S.U.A.(10) și a subliniat că accesul nediferențiat al serviciilor de informații la conținutul comunicațiilor electronice încalcă esența dreptului fundamental la confidențialitatea comunicațiilor prevăzut la articolul 7 din Cartă; întrucât Curtea a subliniat că, în scopul unei decizii privind caracterul adecvat al nivelului de protecție, o țară terță nu trebuie să asigure un nivel de protecție identic, ci „în esență echivalent” cu cel garantat în dreptul UE, care poate fi asigurat prin mijloace diferite;
B. întrucât, în hotărârea „Schrems II”, CJUE a anulat Decizia de punere în aplicare (UE) 2016/1250 a Comisiei din 12 iulie 2016 în temeiul Directivei 95/46/CE privind caracterul adecvat al protecției oferite de Scutul de confidențialitate UE-SUA(11) și a concluzionat că aceasta nu oferă suficiente căi de atac împotriva supravegherii în masă pentru resortisanții din afara SUA și că acest lucru încalcă esența dreptului fundamental la o cale de atac, așa cum se prevede la articolul 47 din Cartă;
C. întrucât, la 7 octombrie 2022, Președintele Statelor Unite ale Americii a semnat Decretul nr. 14086 privind consolidarea garanțiilor pentru activitățile de colectare a informațiilor pe baza semnalelor electromagnetice desfășurate de Statele Unite (Decretul nr. 14086);
D. întrucât, la 13 decembrie 2022, Comisia a lansat procesul de adoptare a unei decizii privind caracterul adecvat al nivelului de protecție a Cadrului UE-SUA privind confidențialitatea datelor;
E. întrucât, atunci când examinează nivelul de protecție oferit de o țară terță, Comisia este obligată să evalueze conținutul normelor aplicabile în țara respectivă care decurg din dreptul său intern sau din angajamentele sale internaționale, precum și practica menită să asigure respectarea acestor norme; întrucât, în cazul în care o astfel de evaluare ar fi considerată nesatisfăcătoare referitor la caracterul adecvat al nivelului de protecție și echivalența, Comisia ar trebui să se abțină de la adoptarea unei decizii privind caracterul adecvat al nivelului de protecție, deoarece este condiționată de punerea în aplicare a garanțiilor relevante; întrucât Comisia este obligată să suspende caracterul adecvat atunci când nu mai există echivalență; întrucât Regulamentul general privind protecția datelor (RGPD) prevede că evaluarea relevantă ar trebui să fie un proces continuu, care să țină seama de modificările aduse normelor și practicilor aplicabile;
F. întrucât capacitatea de a transfera date cu caracter personal peste granițe poate constitui un factor-cheie de inovare, productivitate și competitivitate economică, atât timp cât sunt oferite garanții adecvate; întrucât aceste transferuri ar trebui efectuate cu respectarea deplină a dreptului la protecția datelor cu caracter personal și a dreptului la viața privată; întrucât unul dintre obiectivele UE este protecția drepturilor fundamentale, astfel cum este consacrată în Cartă;
G. întrucât RGPD se aplică tuturor întreprinderilor care prelucrează date cu caracter personal ale persoanelor vizate care se află în UE, în cazul în care activitățile de prelucrare sunt legate de furnizarea de bunuri sau servicii unor astfel de persoane sau de monitorizarea comportamentului acestora în măsura în care comportamentul lor are loc în interiorul Uniunii;
H. întrucât supravegherea în masă, și anume colectarea nediferențiată de date fără garanții care să limiteze ingerințele în viața privată a persoanelor, de către actorii statali afectează încrederea cetățenilor și întreprinderilor UE în serviciile digitale și, prin extensie, în economia digitală; întrucât, deși agențiilor SUA le este interzis să colecteze date în masă ale cetățenilor SUA care locuiesc în Statele Unite, această interdicție nu se aplică cetățenilor UE; întrucât supravegherea în masă de către actorii statali este ilegală și afectează încrederea cetățenilor și întreprinderilor UE în serviciile digitale și, prin extensie, în economia digitală;
I. întrucât operatorii ar trebui să fie întotdeauna răspunzători pentru respectarea obligațiilor în materie de protecție a datelor, inclusiv pentru demonstrarea conformității în ceea ce privește orice prelucrare a datelor, indiferent de natura, domeniul de aplicare, contextul, scopurile și riscurile pentru persoanele vizate;
J. întrucât în Statele Unite nu există o legislație federală privind protecția vieții private și a datelor; întrucât Decretul nr. 14086 introduce definiții ale conceptelor-cheie de protecție a datelor, cum ar fi principiile necesității și proporționalității, constituind un progres semnificativ în comparație cu mecanismele de transfer anterioare; întrucât modul în care sunt interpretate aceste principii necesită o monitorizare atentă; întrucât o evaluare cuprinzătoare a modului în care sunt transpuse aceste principii în ordinea juridică a SUA ar putea să nu fie posibilă din cauza lipsei de transparență a procedurilor instanței de reexaminare în materie de protecție a datelor (DPRC),
1. reamintește că respectarea vieții private și de familie și protecția datelor cu caracter personal reprezintă drepturi fundamentale exercitabile legal consacrate în tratate, în Cartă și în Convenția europeană a drepturilor omului, precum și în legislație și jurisprudență; subliniază că deciziile privind caracterul adecvat al nivelului de protecție în temeiul RGPD sunt decizii juridice, nu alegeri politice, și că drepturile la viață privată și la protecția datelor nu pot fi puse în balanță cu interesele comerciale sau politice, ci numai cu alte drepturi fundamentale;
2. recunoaște eforturile făcute în Decretul nr. 14086 de a stabili limite pentru activitățile SUA de colectare a informațiilor pe baza semnalelor electromagnetice, aplicând principiile proporționalității și necesității în cazul cadrului juridic al SUA privind colectarea informațiilor pe baza semnalelor electromagnetice și furnizând o listă de obiective legitime pentru astfel de activități; observă că aceste principii ar fi obligatorii pentru întreaga comunitate a serviciilor de informații din SUA și ar putea fi invocate de persoanele vizate în cadrul procedurii prevăzute în Decretul nr. 14086; accentuează că acest decret prevede îmbunătățiri semnificative menite să asigure că aceste principii sunt, în esență, echivalente în temeiul legislației UE; subliniază totuși că aceste principii sunt elemente-cheie care se înscriu de mult în regimul UE de protecție a datelor și că definițiile lor materiale din Decretul nr. 14086 nu sunt conforme cu definițiile lor din dreptul UE și nici cu interpretarea lor de către CJUE; subliniază, de asemenea, că, în sensul Cadrului UE-SUA privind confidențialitatea datelor, aceste principii ar fi interpretate exclusiv în lumina dreptului și tradițiilor juridice ale SUA, nu și a celor ale UE; observă că Decretul nr. 14086 enumeră 12 obiective legitime care pot fi urmărite atunci când se efectuează colectarea de informații pe baza semnalelor electromagnetice și cinci obiective pentru care colectarea de informații pe baza semnalelor electromagnetice este interzisă; constată că lista obiectivelor legitime de securitate națională poate fi modificată și extinsă de Președintele SUA, fără obligația de a face publice actualizările relevante și nici de a informa UE; subliniază că Decretul nr. 14086 impune o colectare de informații pe baza semnalelor electromagnetice care să fie efectuată în mod necesar și proporțional cu „prioritatea validată în materie de informații”, ceea ce pare a fi o interpretare largă a acestor concepte; evidențiază că, pentru o evaluare cuprinzătoare a principiilor proporționalității și necesității în contextul Decretului nr. 14086, acestea ar trebui să fie operaționalizate și puse în aplicare în politicile și procedurile serviciilor de informații ale SUA; este preocupat totuși că nu există o cerință ca analiștii să efectueze o evaluare a proporționalității pentru fiecare decizie de supraveghere;
3. observă că Decretul nr. 14086 permite colectarea în masă a datelor prin intermediul informațiilor colectate pe baza semnalelor electromagnetice în anumite cazuri, inclusiv a conținutului comunicațiilor; în același timp, observă că Decretul nr. 14086 prevede că colectarea direcționată ar trebui să aibă prioritate față de colectarea în masă; reamintește că, deși Decretul nr. 14086 conține mai multe garanții în cazul colectării în masă, acesta nu prevede o autorizare prealabilă independentă pentru colectarea în masă, care nu este prevăzută nici în Decretul nr. 12333; reamintește că, în cauza „Schrems II”, CJUE a explicat că supravegherea SUA nu a respectat legislația UE, deoarece nu a impus un „criteriu obiectiv” „care să poată justifica” ingerința guvernului în viața privată; subliniază că acest lucru ar submina scopul obiectivelor de a garanta limitarea activităților serviciilor de informații ale SUA; reamintește că, după Directiva de politică prezidențială nr. 28 (PPD-28), care a constituit baza pentru decizia privind caracterul adecvat al nivelului de protecție oferit de „Scutul de confidențialitate”, Comitetul de supraveghere a vieții private și a libertăților civile (PCLOB) a emis un raport de reexaminare(12) și a concluzionat că PPD-28 a menținut, în esență, practicile existente ale serviciilor de informații; este convins că PPD-28 nu va opri supravegherea electronică în masă a cetățenilor UE de către autoritățile SUA;
4. împărtășește preocupările CEPD cu privire la incapacitatea Decretului nr. 14086 de a oferi garanții suficiente în cazul colectării în masă a datelor, și anume lipsa unei autorizații prealabile independente, lipsa unor norme clare și stricte de păstrare a datelor, colectarea în masă „temporară” și lipsa unor garanții mai stricte privind diseminarea datelor colectate în masă; evidențiază mai ales preocuparea specifică legată de faptul că, fără mai multe restricții privind diseminarea către autoritățile SUA, autoritățile de aplicare a legii ar putea să acceseze date pe care altfel nu ar fi avut permisiunea de a le accesa; reamintește că transferurile ulterioare înmulțesc efectiv riscurile la adresa protecției datelor; constată că CEPD a solicitat includerea unei obligații juridice de a analiza și de a stabili dacă o țară terță oferă un nivel minim acceptabil de garanții;
5. subliniază că Decretul nr. 14086 nu se aplică datelor accesate de autoritățile publice prin alte mijloace, de exemplu prin Legea Cloud (Cloud Act) sau Legea Patriot (Patriot Act) din SUA, prin achiziționarea de date comerciale sau prin acorduri voluntare privind schimbul de date;
6. subliniază că problema subiacentă este supravegherea persoanelor care nu au cetățenie SUA în temeiul legislației SUA și incapacitatea cetățenilor europeni de a recurge la căi de atac eficace în această privință; solicită ca cetățenii UE să aibă aceleași drepturi și privilegii pe care le au cetățenii SUA când este vorba despre activitățile comunității serviciilor de informații ale SUA și accesul la instanțele SUA;
7. observă că, în conformitate cu interpretarea SUA, „colectarea de informații pe baza semnalelor electromagnetice” acoperă toate metodele de acces la date prevăzute în Legea privind supravegherea activităților străine de spionaj (FISA), inclusiv de la furnizorii de „servicii de informatică la distanță” adăugați prin Actul de modificare a FISA §1881a din 2008; invită Comisia să clarifice în cadrul negocierilor viitoare definiția și domeniul de aplicare ale „colectării de informații pe baza semnalelor electromagnetice” din Decretul nr. 14086; reamintește că, în conformitate cu secțiunea 702 din FISA, Guvernul SUA încă revendică competența de a viza orice persoană din străinătate care nu este cetățean american pentru a obține informații externe, definite în sens larg;
8. evidențiază că a fost creat un nou mecanism de recurs care permite persoanelor vizate din UE să depună o plângere; subliniază, în același timp, că deciziile DPRC ar fi clasificate și nu ar fi făcute publice sau puse la dispoziția reclamantului, care doar ar fi informat fie că reexaminarea nu a identificat niciuna dintre încălcările menționate, fie că DPRC a emis o hotărâre care impune luarea unor măsuri adecvate, subminând astfel dreptul său de a accesa sau de a rectifica datele proprii; este preocupat că acest lucru înseamnă că o persoană care ar sesiza instanța nu ar avea nicio șansă de a fi informată cu privire la soluționarea cauzei pe fond, iar decizia ar fi definitivă; observă că procedura de recurs propusă nu prevede posibilitatea unei căi de atac în fața unei instanțe federale și, prin urmare, nu oferă reclamantului, printre altele, nicio posibilitate de a solicita despăgubiri; invită Comisia să continue negocierile cu Statele Unite pentru a realiza modificările necesare pentru a răspunde acestor preocupări;
9. observă că Decretul nr. 14086 introduce unele garanții pentru a asigura independența judecătorilor DPRC, astfel cum a recunoscut CEPD în avizul său; subliniază că DPRC face parte din puterea executivă și nu din cea judiciară, iar judecătorii săi sunt numiți pentru un mandat fix de patru ani; accentuează că Președintele SUA poate anula deciziile DPRC chiar și în secret; subliniază că deși noul mecanism de recurs nu permite Procurorului General al SUA să demită și să supervizeze judecătorii DPRC, nu afectează competențele relevante ale Președintelui SUA; evidențiază că, atât timp cât Președintele SUA poate revoca judecătorii DPRC în cursul mandatului lor, independența acestor judecători nu este garantată; observă că, în cazul adoptării, Comisia ar trebui să monitorizeze îndeaproape aplicarea garanțiilor pentru a asigura independența în practică; subliniază că un reclamant ar fi reprezentat de un „avocat special” desemnat de DPRC, care nu trebuie să fie independent; invită Comisia să asigure introducerea unei cerințe de independență în cazul adoptării unei decizii privind caracterul adecvat al nivelului de protecție; conchide că, în forma actuală, DPRC nu îndeplinește standardele de independență și imparțialitate prevăzute la articolul 47 din Cartă; observă că, deși PCLOB ar reexamina în mod independent funcționarea noului proces de recurs, domeniul de aplicare al acestei reexaminări ar fi limitat;
10. constată că SUA a prevăzut un nou mecanism de recurs pentru problemele legate de accesul autorităților publice la date, dar că persistă întrebări legate de eficiența căilor de atac disponibile în materie comercială, care rămân nemodificate în temeiul deciziei privind caracterul adecvat al nivelului de protecție; constată că mecanismele care vizează rezolvarea acestor aspecte sunt lăsate în mare măsură la latitudinea întreprinderilor, care pot alege căi alternative de atac, cum ar fi mecanismele de soluționare a litigiilor sau utilizarea programelor de protecție a vieții private ale întreprinderilor; invită Comisia ca, în cazul în care se adoptă o decizie privind caracterul adecvat al nivelului de protecție, să analizeze îndeaproape eficacitatea acestor mecanisme de recurs;
11. constată că întreprinderile europene au nevoie de securitate juridică și merită această securitate; subliniază că succesiunea mecanismelor de transfer de date, care au fost ulterior abrogate de CJUE, a creat costuri suplimentare pentru întreprinderile europene; recunoaște, prin urmare, necesitatea de a asigura securitatea juridică și de a evita situația în care întreprinderile trebuie să se adapteze constant la noi soluții juridice, care ar putea fi deosebit de împovărătoare pentru microîntreprinderi și pentru întreprinderile mici și mijlocii; este preocupat că decizia privind caracterul adecvat al nivelului de protecție, în cazul adoptării, ar putea fi invalidată de CJUE (la fel ca deciziile anterioare), ceea ce ar duce la o lipsă continuă de securitate juridică, la costuri suplimentare și la perturbări pentru cetățenii și întreprinderile europene;
12. evidențiază că, spre deosebire de toate celelalte țări terțe care au primit o decizie privind caracterul adecvat al nivelului de protecție în temeiul RGPD, SUA nu dispune încă de o lege federală privind protecția datelor; subliniază că aplicarea Decretului nr. 14086 nu este clară, precisă sau previzibilă, deoarece acesta poate fi modificat sau revocat în orice moment de către Președintele SUA, care are totodată competența de a emite decrete secrete; observă că reexaminarea constatării privind caracterul adecvat al nivelului de protecție ar avea loc după un an de la data notificării deciziei privind caracterul adecvat al nivelului de protecție către statele membre și, ulterior, cel puțin o dată la patru ani; invită Comisia ca, în cazul în care se adoptă orice decizie viitoare privind caracterul adecvat al nivelului de protecție, să efectueze reexaminări ulterioare cel puțin o dată la trei ani, astfel cum se solicită în avizul CEPD; își exprimă îngrijorarea cu privire la absența unei clauze de caducitate astfel încât decizia să expire automat la patru ani de la intrarea sa în vigoare, după care Comisia ar trebui să ia o nouă hotărâre; este preocupat că lipsa respectivă a unei clauze de caducitate în această decizie privind caracterul adecvat al nivelului de protecție reprezintă o abordare mai indulgentă față de SUA, deși cadrul de confidențialitate al SUA se bazează pe un decret care permite modificări secrete și care poate fi modificat fără consultarea Congresului sau fără informarea omologilor din UE; invită, prin urmare, Comisia să introducă o astfel de clauză;
13. împărtășește preocupările exprimate de CEPD în legătură cu drepturile persoanelor vizate, absența unor definiții-cheie și a unor norme specifice privind procesul decizional automatizat și crearea de profiluri, lipsa de claritate cu privire la aplicarea principiilor Cadrului UE-SUA privind confidențialitatea datelor în cazul persoanelor împuternicite de operator și necesitatea de a evita transferuri ulterioare care subminează nivelul de protecție;
14. subliniază că deciziile privind caracterul adecvat al nivelului de protecție trebuie să includă mecanisme clare și stricte de monitorizare și reexaminare pentru a se asigura că deciziile sunt adaptate exigențelor viitorului, ori abrogate sau modificate după cum este necesar, și că dreptul fundamental al cetățenilor UE la protecția datelor este garantat în orice moment; evidențiază că orice viitoare decizie privind caracterul adecvat al nivelului de protecție ar trebui să facă obiectul unei reexaminări continue, ținând seama de evoluțiile juridice și practice din SUA;
Concluzii
15. reamintește că, în rezoluția sa din 20 mai 2021, Parlamentul a solicitat Comisiei să nu adopte o nouă decizie privind caracterul adecvat al nivelului de protecție în legătură cu SUA, cu excepția cazului în care se introduc reforme semnificative, în special în scopuri legate de securitatea națională și de serviciile de informații; nu consideră că Decretul nr. 14086 este suficient de semnificativ; reiterează că Comisia nu ar trebui să lase misiunea de a proteja drepturile fundamentale ale cetățenilor UE în sarcina Curții de Justiție a Uniunii Europene în urma plângerilor depuse cu titlu individual de acești cetățeni;
16. reamintește că Comisia trebuie să evalueze caracterul adecvat al nivelului de protecție oferit de o țară terță pe baza legislației și a practicilor în vigoare, nu numai pe fond, ci și în practică, astfel cum se prevede în Schrems I, Schrems II și RGPD (considerentul 104);
17. observă că principiile Cadrului privind confidențialitatea datelor publicat de Departamentul Comerțului al SUA nu au făcut obiectul unor modificări suficiente, în comparație cu cele ale Scutului de confidențialitate, pentru a oferi, în esență, o protecție echivalentă cu cea prevăzută în RGPD;
18. constată că, deși SUA își asumă un angajament important de a îmbunătăți accesul la căile de atac și normele privind prelucrarea datelor de către autoritățile publice, comunitatea serviciilor de informații ale SUA trebuie să își actualizeze politicile și practicile până în octombrie 2023, în conformitate cu angajamentul din Decretul nr. 14086, și că Avocatul General al SUA trebuie încă să desemneze UE și statele sale membre drept țări eligibile pentru a avea acces la căile de atac disponibile în fața DPRC; subliniază că acest lucru înseamnă că Comisia nu a fost în măsură să evalueze „în practică” eficacitatea căilor de atac și a măsurilor privind accesul la date care au fost propuse; concluzionează, prin urmare, că Comisia poate să treacă la următoarea etapă a unei decizii privind caracterul adecvat al nivelului de protecție numai după ce aceste termene și etape au fost mai întâi finalizate de SUA pentru a se asigura că angajamentele au fost îndeplinite în practică;
19. conchide că Cadrul UE-SUA privind confidențialitatea datelor nu creează o echivalență esențială în ceea ce privește nivelul de protecție; invită Comisia să continue negocierile cu omologii săi din SUA pentru a crea un mecanism care să asigure această echivalență și să ofere nivelul adecvat de protecție impus de legislația Uniunii privind protecția datelor și de Cartă potrivit interpretării CJUE; invită Comisia să nu adopte constatarea privind caracterul adecvat al nivelului de protecție până când nu sunt puse în aplicare pe deplin toate recomandările formulate în prezenta rezoluție și în avizul CEPD;
20. invită Comisia să acționeze în interesul întreprinderilor și cetățenilor UE, asigurându-se că cadrul propus oferă un temei juridic solid, suficient și orientat spre viitor pentru transferurile de date între UE și SUA; se așteaptă ca orice decizie privind caracterul adecvat al nivelului de protecție, dacă este adoptată, să fie contestată din nou la CJUE; subliniază responsabilitatea Comisiei pentru neprotejarea drepturilor cetățenilor UE în cazul în care decizia privind caracterul adecvat al nivelului de protecție va fi invalidată din nou de CJUE;
o o o
21. încredințează Președintei sarcina de a transmite prezenta rezoluție Consiliului, Comisiei, precum și Președintelui și Congresului Statelor Unite ale Americii.
PCLOB, Report to the President on the Implementation of Presidential Directive 28: Signals Intelligence Activities (Raport adresat Președintelui privind aplicarea Directivei prezidențiale nr. 28: activitățile de colectare a informațiilor pe baza semnalelor electromagnetice).