P8_TA(2017)0131

Tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred

Europa-Parlamentets beslutning af 6. april 2017 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred (2016/3018(RSP))

(2018/C 298/11)

Europa-Parlamentet,

—	der henviser til traktaten om Den Europæiske Union (TEU), traktaten om Den Europæiske Unions funktionsmåde (TEUF) og artikel 6, 7, 8, 11, 16, 47 og 52 i Den Europæiske Unions charter om grundlæggende rettigheder,

—	der henviser til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1) (»databeskyttelsesdirektivet«),

—	der henviser til Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (2),

—

der henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (3) og til Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (4),

—	der henviser til Den Europæiske Unions Domstols dom af 6. oktober 2015 i sag C-362/14, Maximillian Schrems mod Data Protection Commissioner (5),

—	der henviser til Kommissionens meddelelse til Europa-Parlamentet og Rådet af 6. november 2015 om overførsel af personoplysninger mellem EU og USA i henhold til direktiv 95/46/EF, og som efterfulgte Domstolens dom i sag C-362/14 (Schrems) (COM(2015)0566),

—	der henviser til Kommissionens meddelelse af 10. januar 2017 til Europa-Parlamentet og Rådet om udveksling og beskyttelse af personoplysninger i en globaliseret verden (COM(2017)0007),

—	der henviser til Den Europæiske Unions Domstols dom af 21. december 2016 i sag C-203/15, Tele2 Sverige AB mod Post- och telestyrelsen og sag C-698/15, Secretary of State for the Home Department mod Tom Watson m.fl. (6),

—	der henviser til Kommissionens gennemførelsesafgørelse (EU) 2016/1250 af 12. juli 2016 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred (7),

—	der henviser til udtalelse 4/2016 fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's værn om privatlivets fred (8),

—	der henviser til udtalelse af 13. april 2016 fra Artikel 29-Gruppen vedrørende Databeskyttelse om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's værn om privatlivets fred (9) og erklæringen fra Artikel 29-Gruppen af 26. juli 2016 (10),

—	der henviser til sin beslutning af 26. maj 2016 om transatlantiske datastrømme (11),

—	der henviser til forretningsordenens artikel 123, stk. 2,

der henviser til, at Den Europæiske Unions Domstol (EU-Domstolen) i sin dom af 6. oktober 2015 i sag C-362/14, Maximillian Schrems mod Data Protection Commissioner, kendte safe harbour-beslutningen ugyldig og præciserede, at udtrykket »et tilstrækkeligt beskyttelsesniveau« i et tredjeland skal forstås således, at der kræves et beskyttelsesniveau, der »i det væsentlige svarer« til det niveau, der er sikret inden for Unionen i medfør af direktiv 95/46/EF sammenholdt med Den Europæiske Unions charter om grundlæggende rettigheder (EU-chartret), hvorfor der er behov for at afslutte forhandlingerne om en ny ordning med henblik på at sikre retssikkerhed omkring, hvordan personoplysninger bør overføres fra EU til USA;

der henviser til, at Kommissionen i forbindelse med undersøgelsen af beskyttelsesniveauet i et tredjeland er forpligtet til at vurdere indholdet af de regler, der finder anvendelse i det pågældende land i medfør af dets nationale ret eller dets internationale forpligtelser, og at den har pligt til at vurdere den praksis, der har til formål at sikre overholdelsen af disse regler, eftersom den i henhold til artikel 25, stk. 2, i direktiv 95/46/EF skal foretage sin vurdering på grundlag af samtlige de forhold, der har indflydelse på en videregivelse af personoplysninger til et tredjeland; der henviser til, at denne vurdering ikke kun må henvise til lovgivning og praksis vedrørende beskyttelsen af personoplysninger, som anvendes til erhvervsmæssige og private formål, men også skal omfatte alle aspekter af de rammer, der finder anvendelse på det pågældende land eller den pågældende sektor, navnlig, men ikke begrænset til, retshåndhævelse, national sikkerhed og respekten for de grundlæggende rettigheder;

der henviser til, at videregivelse af personoplysninger mellem kommercielle organisationer i EU og USA er et vigtigt element i de transatlantiske forbindelser, der henviser til, at disse videregivelser bør gennemføres med fuld respekt for retten til beskyttelse af personoplysninger og retten til privatlivets fred; der henviser til, at et af EU's grundlæggende mål er beskyttelsen af de grundlæggende rettigheder som nedfældet i EU-chartret;

der henviser til, at EDPS i sin udtalelse 4/2016 pegede på en række betænkeligheder ved udkastet til værnet om privatlivets fred; der henviser til, at EDPS i den samme udtalelse ser med tilfredshed på den indsats, som parterne har udvist for at finde en løsning for videregivelse af personoplysninger fra EU til USA til kommercielle formål på grundlag af et selvcertificeringssystem;

der henviser til, at Artikel 29-Gruppen i sin udtalelse 01/2016 om udkastet til afgørelse om tilstrækkeligheden af beskyttelsesniveauet i EU's og USA's værn om privatlivets fred påskønnede de væsentlige forbedringer, som værnet om privatlivets fred indebar i forhold til safe harbour-beslutningen, og udtrykte samtidig stærke betænkeligheder ved såvel de kommercielle aspekter som offentlige myndigheders adgang til oplysninger overført under værnet om privatlivets fred;

der henviser til, at Kommissionen den 12. juli 2016 efter yderligere drøftelser med den amerikanske regering vedtog sin gennemførelsesafgørelse (EU) 2016/1250, hvori den fastslog, at beskyttelsesniveauet i henhold til EU's og USA's værn om privatlivets fred for personoplysninger, der overføres fra EU til organisationer i USA, er tilstrækkeligt;

der henviser til, at EU's og USA's værn om privatlivets fred er ledsaget af flere skrivelser og ensidige erklæringer fra den amerikanske regering, der bl.a. forklarer databeskyttelsesprincipperne, reglerne om tilsyn, håndhævelse og klageadgang og de beskyttelsesforanstaltninger og garantier, der gælder i forbindelse med sikkerhedstjenesternes adgang til og behandling af personoplysninger;

der henviser til, at Artikel 29-Gruppen i sin erklæring af 26. juli 2016 bifalder de forbedringer, som EU's og USA's værn om privatlivets fred giver sammenlignet med safe harbour-ordningen, og roser Kommissionen og de amerikanske myndigheder for at have taget hensyn til dens betænkeligheder; der henviser til, at Artikel 29-Gruppen dog anfører, at flere af dens betænkeligheder fortsat består, hvad angår såvel de kommercielle aspekter som de amerikanske offentlige myndigheders adgang til oplysninger, der overføres fra EU, f.eks. manglen på specifikke regler om automatiske afgørelser og på en generel ret til at gøre indsigelse, behovet for strengere garantier for ombudsmandsmekanismens uafhængighed og beføjelser samt manglen på konkrete løfter om ikke at foretage massiv og vilkårlig indsamling af personoplysninger (masseindsamling);

ser med tilfredshed på de bestræbelser, som både Kommissionen og den amerikanske regering har gjort sig for at adressere betænkelighederne rejst af EU-Domstolen, medlemsstaterne, Europa-Parlamentet, databeskyttelsesmyndigheder og interessenter, således at Kommissionen kan vedtage gennemførelsesafgørelsen om tilstrækkeligheden af EU's og USA's værn om privatlivets fred;

anerkender, at EU's og USA's værn om privatlivets fred indeholder væsentlige forbedringer med hensyn til tydeligheden af standarder i sammenligning med den tidligere safe harbour-ordning mellem EU og USA, og at de amerikanske organisationer, der deltager i EU's og USA's værn om privatlivets fred på grundlag af selvcertificering, skal opfylde tydeligere databeskyttelsesstandarder end under safe harbour-ordningen;

noterer sig, at 1 893 amerikanske foretagender pr. 23. marts 2017 har tilsluttet sig EU's og USA's værn om privatlivets fred; beklager, at værnet om privatlivets fred er baseret på frivillig selvcertificering og således kun finder anvendelse på amerikanske foretagender, der frivilligt har tilsluttet sig den, hvilket betyder, at mange virksomheder ikke er omfattet af ordningen;

anerkender, at EU's og USA's værn om privatlivets fred letter dataoverførsler fra SMV'er og andre virksomheder i EU til USA;

bemærker, at de europæiske databeskyttelsesmyndigheders beføjelser i overensstemmelse med EU-Domstolens dom i Schrems-sagen ikke berøres af afgørelsen om tilstrækkeligheden af beskyttelsesniveauet, og at de derfor kan udøve deres beføjelser, herunder suspendere eller forbyde dataoverførsler til en organisation, der er registreret i EU's og USA's værn om privatlivets fred; bifalder i den forbindelse den fremtrædende rolle, som værnet om privatlivets fred giver medlemsstaternes databeskyttelsesmyndigheder med hensyn til at undersøge og behandle krav vedrørende beskyttelse af retten til privatliv og familieliv i henhold til EU's charter og med hensyn til at suspendere overførsler af data, samt den forpligtelse, som det amerikanske handelsministerium har til at behandle sådanne klager;

konstaterer, at EU-registrerede inden for rammerne af værnet om privatlivets fred har adgang til flere forskellige retsmidler i USA: for det første kan der indgives en klage, enten direkte til det pågældende selskab, via handelsministeriet efter anmodning fra databeskyttelsesmyndigheden, eller til et uafhængigt tvistbilæggelsesorgan, eller til et uafhængigt tvistbilæggelsesorgan; for det andet kan der med hensyn til indskrænkninger i de grundlæggende rettigheder af hensyn til den nationale sikkerhed anlægges civilt søgsmål ved de amerikanske domstole, og klager kan også behandles af den nyligt oprettede uafhængige ombudsmand, og endelig kan klager over krænkelse af grundlæggende rettigheder begrundet i retshåndhævelse og den offentlige interesse tage form af indsigelser mod pålæg om udlevering af oplysninger; anmoder om yderligere retningslinjer fra Kommissionen og databeskyttelsesmyndigheder med henblik på at gøre alle disse retsmidler endnu lettere tilgængelige;

anerkender det klare tilsagn fra USA's handelsministerium om, at det nøje vil overvåge amerikanske organisationers overholdelse af principperne i EU's og USA's værn om privatlivets fred og agter at træffe håndhævelsesforanstaltninger over for organisationer, der ikke overholder dem;

gentager sin opfordring til Kommissionen til at tilstræbe fuld klarhed over den juridiske status af USA's »skriftlige garantier« og til at sikre, at enhver forpligtelse eller ordning i henhold til værnet om privatlivets fred opretholdes efter tiltrædelsen af en ny regering i USA;

mener, at der på trods af de forpligtelser og garantier, som den amerikanske regering har givet ved hjælp af de skrivelser, der er knyttet til aftalen om værn om privatlivets fred, stadig er betydelige uafklarede spørgsmål, hvad angår kommercielle aspekter, national sikkerhed og retshåndhævelse;

10.

bemærker navnlig den store forskel mellem den beskyttelse, der følger af artikel 7 i direktiv 95/46/EF, og principperne om oplysningspligt og valgfrihed i aftalen om værnet om privatlivets fred samt de betydelige forskelle mellem artikel 6 i direktiv 95/46/EF og princippet om dataintegritet og formålsbegrænsning i aftalen om værnet om privatlivets fred; påpeger, at den registreredes rettigheder i henhold til principperne til værn om privatlivets fred — i stedet for et retsgrundlag (f.eks. samtykke eller kontrakt), som finder anvendelse på alle behandlinger af oplysninger — kun finder anvendelse på to begrænsede former for databehandling (offentliggørelse og ændring af formålet) og kun giver en ret til at gøre indsigelse (»opt-out«);

11.

er af den opfattelse, at disse mange betænkeligheder kan føre til, at beslutningen om tilstrækkeligheden af beskyttelsen igen anfægtes ved domstolene i fremtiden; understreger de skadelige konsekvenser, både for respekten for grundlæggende rettigheder og for den nødvendige retssikkerhed for de berørte parter;

12.

noterer sig bl.a. manglen på specifikke regler om automatiske afgørelser og på en generel ret til at gøre indsigelse og manglen på klare principper for, hvordan principperne i værnet om privatlivets fred finder anvendelse på databehandlere (mandatarer);

13.

bemærker, at selv om borgerne har mulighed for at gøre indsigelse over for den dataansvarlige i EU mod enhver overførsel af personoplysninger til USA og mod den yderligere behandling af disse oplysninger i USA, hvor selskabet i værnet om privatlivets fred fungerer som en databehandler på vegne af den dataansvarlige i EU, indeholder værnet om privatlivets fred ikke specifikke regler om en generel ret til at gøre indsigelse mod den amerikanske selvcertificerede virksomhed;

14.

bemærker, at kun en brøkdel af de amerikanske organisationer, der har tilsluttet sig værnet om privatlivets fred, har valgt at anvende en databeskyttelsesmyndighed i EU for tvistbilæggelsesmekanismen; er bekymret over, at dette udgør en ulempe for EU-borgere, når de forsøger at håndhæve deres rettigheder;

15.

bemærker manglen på eksplicitte principper om, hvordan principperne til værn om privatlivets fred finder anvendelse på databehandlere (mandatarer), samtidig med at det erkendes, at alle principper finde anvendelse på behandlingen af personoplysninger i alle amerikanske selvcertificerede virksomheder »[s]åfremt ikke andet er anført«, og at overførslen til forarbejdning altid kræver en kontrakt med den dataansvarlige i EU, som fastlægger formålene med og hjælpemidlerne til behandling, herunder spørgsmålet om, hvorvidt databehandleren er godkendt til at foretage videreoverførsler (f.eks. udlicitering);

16.

understreger, at det, hvad angår den nationale sikkerhed og overvågning uanset præciseringerne fra direktøren for direktoratet for den nationale efterretningsvirksomhed (ODNI) i de skrivelser, der er knyttet til aftalen om værn om privatlivets fred, fortsat er muligt at foretage »masseovervågning«, selv om der anvendes en anden terminologi af de amerikanske myndigheder; beklager manglen på en ensartet definition af begrebet »masseovervågning« og vedtagelsen af amerikansk terminologi og opfordrer derfor til en ensartet definition af masseovervågning, der er knyttet til den europæiske opfattelse af begrebet, hvor evalueringen ikke er betinget af selektorer; understreger, at enhver form for masseovervågning er i strid med EU-chartret;

17.

minder om, at det i bilag VI (skrivelse fra Robert S. Litt, ODNI (direktoratet for den nationale efterretningsvirksomhed)) præciseres, at masseindsamling af personoplysninger og kommunikation fra ikke-amerikanske personer stadig er tilladt i seks tilfælde, jf. præsidentielt politikdirektiv 28 (»PPD-28«); gør opmærksom på, at en sådan masseindsamling kun skal være »så skræddersyet som muligt« og »rimelig«, hvad der ikke opfylder de strengere kriterier om nødvendighed eller proportionalitet, som chartret fastsætter;

18.

bemærker med stor bekymring, at Privacy and Civil Liberties Oversight Board (PCLOB), der i bilag VI (skrivelse fra Robert S. Litt, ODNI) omtales som et uafhængigt organ oprettet ved lov, og som har til opgave at analysere og gennemgå terrorbekæmpelsesprogrammer og -politikker, herunder anvendelsen af signalefterretning, for at sikre, at de i tilstrækkelig grad beskytter privatlivets fred og borgerlige rettigheder, mistede sin beslutningsdygtighed den 7. januar 2017 og vil ikke være beslutningsdygtigt før de nye bestyrelsesmedlemmer udpeges af den amerikanske præsident og godkendes af det amerikanske Senat; fremhæver, at så længe PCLOB ikke er beslutningsdygtigt, vil det være mere begrænset i sine beføjelser og kan ikke træffe visse foranstaltninger, der kræver godkendelse af bestyrelsen, såsom iværksættelse af tilsynsprojekter eller fremsættelse af anbefalinger om tilsyn, hvilket således i alvorlig grad undergraver garantierne og forsikringerne fra USA's myndigheder på dette område om overholdelse og tilsyn;

19.

beklager, at EU's og USA's værn om privatlivets fred ikke forbyder indsamling af massedata med henblik på retshåndhævelse;

20.

understreger, at EU-Domstolen i sin dom af 21. december 2016 præciserede, at EU's charter »skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der med henblik på bekæmpelse af kriminalitet fastsætter en generel og udifferentieret lagring af samtlige trafikdata og lokaliseringsdata vedrørende samtlige abonnenter og registrerede brugere i forbindelse med samtlige midler til elektronisk kommunikation«; påpeger, at masseovervågningen i USA derfor ikke giver et i væsentlighed tilsvarende beskyttelsesniveau for personoplysninger og kommunikation;

21.

er foruroliget over de nylige afsløringer af overvågning, der blev foretaget af en amerikansk udbyder af elektroniske kommunikationstjenester af alle e-mails, der blev modtaget på dens servere, efter anmodning af Det Nationale Sikkerhedsagentur (NSA) og FBI, så sent som i 2015, dvs. et år efter, at det præsidentielle politikdirektiv 28 var blevet vedtaget og under forhandlingerne om EU's og USA's værn om privatlivets fred; insisterer på, at Kommissionen tilstræber fuld klarhed fra de amerikanske myndigheder og stiller de afgivne svar til rådighed for Rådet, Parlamentet og de nationale databeskyttelsesmyndigheder; betragter dette som en grund til at have stærk tvivl om garantierne afgivet af ODNI; er klar over, at EU's og USA's værn om privatlivets fred bygger på PPD-28, der blev udstedt af præsidenten, og som også kan ophæves af enhver fremtidig præsident uden Kongressens godkendelse;

22.

bemærker med bekymring, at det amerikanske Senat og Repræsentanternes Hus henholdsvis den 23. og den 28. marts 2017 begge stemte for at forkaste den regel, der blev forelagt af Federal Communications Commission vedrørende »Beskyttelse af privatlivets fred for kunder til bredbånd og andre telekommunikationstjenesteydelser«, hvilket i praksis fjerner regler om privatlivets fred for bredbånd, som ville have krævet, at internetudbyderne skulle få forbrugernes udtrykkelige godkendelse til, at websøgningshistorik og andre private oplysninger blev solgt til eller delt med annoncører og andre virksomheder; mener, at dette er endnu en trussel mod privatlivets fred i USA;

23.

udtrykker stor bekymring over USA’s nationale sikkerhedsagenturs (NSA) indførelse af procedurer for tilgængelighed eller formidling af rå signalefterretninger i henhold til afsnit 2.3 i Executive Order 12333 (»Procedures for the Availability or Dissemination of Raw Signals Intelligence Information by the National Security Agency under Section 2.3 of Executive Order 12333«), hvilket blev godkendt af justitsministeren den 3. januar 2017, og som gør det muligt for NSA at dele enorme mængder af personoplysninger, der er indsamlet uden dommerkendelse, retsafgørelse eller Kongressens godkendelse med 16 andre agenturer, herunder FBI, Drug Enforcement Agency og Department of Homeland Security; opfordrer Kommissionen til straks at undersøge foreneligheden af disse nye regler med de tilsagn, som de amerikanske myndigheder har givet under værnet om privatlivets fred samt deres indvirkning på beskyttelse af personoplysninger i USA;

24.

minder om, at selv om fysiske personer, herunder registrerede i EU, har en række klagemuligheder, når de har været genstand for ulovlig (elektronisk) overvågning af hensyn til den nationale sikkerhed i USA, står det ligeledes klart, at i hvert fald nogle af de retsgrundlag, som de amerikanske efterretningsmyndigheder kan anvende (f.eks. Executive Order 12333), ikke er omfattet; understreger endvidere, at selv når ikke-amerikanske personer i princippet har klageadgang, f.eks. i forbindelse med overvågning i henhold til FISA, er de tilgængelige klagemuligheder begrænsede, og søgsmål fra registrerede (herunder amerikanere) vil blive afvist, hvis de ikke kan dokumentere deres søgsmålskompetence (»standing«), hvilket begrænser adgangen til almindelige domstole;

25.

opfordrer Kommissionen til at vurdere indvirkningen af Executive Order af 25. januar 2017 om »styrkelse af den offentlige sikkerhed i USA«, særlig punkt 14 om udelukkelse af udenlandske statsborgere fra beskyttelsen i loven om privatlivets fred (Privacy Act) med hensyn til personligt identificerbare oplysninger, hvilket modsiger de skriftlige forsikringer om, at der findes retlige klagemuligheder for fysiske personer i tilfælde, hvor de amerikanske myndigheder opnåede adgang til data; anmoder Kommissionen om at fremsende en detaljeret juridisk analyse af konsekvensen af Executive Order for EU-borgeres mulige retsmidler og retten til domstolsprøvelse i USA;

26.

beklager, at hverken principperne i værnet om privatlivets fred eller skrivelserne fra den amerikanske regering med præciseringer og forsikringer påviser, at der findes effektive rettigheder til retslig prøvelse for borgere i EU, hvis personoplysninger overføres til en amerikansk organisation i henhold til principperne i værnet om privatlivets fred og derefter gøres tilgængelige for og bliver behandlet af amerikanske offentlige myndigheder med henblik på retshåndhævelse og andre offentlige interesser, hvilket blev fremhævet af Domstolen i sin dom af 6. oktober 2015 som det væsentligste indhold af den grundlæggende ret, således som denne er sikret ved chartrets artikel 47;

27.

minder om sin beslutning af 26. maj 2016, hvori det bemærkes, at den ombudsmandsinstitution, der er oprettet af det amerikanske udenrigsministerium, ikke er tilstrækkelig uafhængig og ikke er udstyret med tilstrækkelige beføjelser til at kunne udføre sine opgaver og sikre en effektiv klageadgang for EU-borgere; påpeger, at den nye amerikanske regering ikke har udnævnt en ny ombudsmand, efter at mandatet for statssekretæren for økonomisk vækst, energi og miljø, der blev udnævnt til denne funktion i juli 2016, er udløbet; mener, at såfremt der ikke er en udpeget uafhængig ombudsmand med tilstrækkelige beføjelser, ville USA’s forsikringer med hensyn til effektiv klageadgang være ugyldige; er generelt bekymret over, at en borger, som berøres af en overtrædelse af reglerne, kun kan anmode om oplysninger og om at få data slettet og/eller få standset yderligere forarbejdning uden at have ret til erstatning;

28.

bemærker med bekymring, at pr. 30. marts 2017 har Federal Trade Commission (FTC), som håndhæver værnet om privatlivets fred, tre af sine fem pladser ubesat;

29.

beklager, at proceduren for vedtagelse af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet ikke foreskriver en formel høring af relevante interessenter som f.eks. organisationer, der repræsenterer virksomheder og navnlig SMV'er;

30.

beklager, at Kommissionen i praksis fulgte proceduren for vedtagelse af Kommissionens gennemførelsesafgørelse på en måde, der de facto ikke har gjort det muligt for Parlamentet at udøve sin kontrolbeføjelse i relation til udkastet til gennemførelsesretsakt på en effektiv måde;

31.

opfordrer Kommissionen til at træffe alle nødvendige foranstaltninger for at sikre, at værnet om privatlivets fred fuldt ud vil overholde bestemmelserne i forordning (EU) 2016/679, der skal anvendes fra den 16. maj 2018, og i EU-chartret;

32.

opfordrer Kommissionen til at sikre, at personoplysninger, der er overført til USA under værnet om privatlivets fred, kun kan overføres til et andet tredjeland, såfremt denne overførsel er forenelig med det formål, hvortil oplysningerne oprindeligt blev indsamlet, og hvis de samme regler for specifik og målrettet adgang med henblik på retshåndhævelse finder anvendelse i tredjelandet;

33.

opfordrer Kommissionen til at kontrollere, om personoplysninger, der ikke længere er nødvendige til det formål, hvortil de oprindeligt var blevet indsamlet, slettes, bl.a. af retshåndhævende myndigheder;

34.

opfordrer Kommissionen til nøje at overvåge, om værnet om privatlivets fred giver databeskyttelsesmyndighederne mulighed for fuldt ud at udøve alle deres beføjelser, og hvis ikke, da at udpege de bestemmelser, der medfører en hindring for udøvelse af databeskyttelsesmyndighedernes beføjelser;

35.

opfordrer Kommissionen til i forbindelse med den første årlige fælles evaluering at foretage en grundig og dybtgående undersøgelse af alle de mangler og svagheder, der er nævnt i denne beslutning og i Parlamentets beslutning af 26. maj 2016 om transatlantiske datastrømme, og dem, der er påpeget af Artikel 29-Gruppen, EDPS og interessenterne, og vise, hvordan man har adresseret dem for at sikre overholdelse af chartret og EU-retten, og til at foretage en omhyggelig evaluering af, om de ordninger og garantier, der er henvist til i forsikringerne og præciseringerne fra den amerikanske regering, er effektive og gennemførlige;

36.

opfordrer Kommissionen til at sikre, at alle medlemmer af teamet i forbindelse med den årlige fælles evaluering har fuld og ubegrænset adgang til alle de dokumenter og lokaler, som er nødvendige med henblik på udførelsen af deres opgaver, herunder elementer, der muliggør en korrekt vurdering af nødvendigheden og proportionaliteten af indsamlingen af og adgangen til oplysninger, som er overført af offentlige myndigheder med henblik på enten retshåndhævelse eller national sikkerhed;

37.

understreger, at alle medlemmerne af det fælles evalueringsteam skal sikres uafhængighed under udøvelsen af deres opgaver og bør have ret til at give udtryk for deres egen afvigende holdninger i den endelige rapport om den fælles evaluering, og at disse vil blive offentliggjort og vedføjet som bilag til den fælles evaluering;

38.

opfordrer databeskyttelsesmyndighederne i Unionen til at overvåge, hvordan EU's og USA's værn om privatlivets fred fungerer, og til at udøve deres beføjelser, herunder suspendere eller definitivt forbyde overførsler af personoplysninger til en organisation under EU's og USA's værn om privatlivets fred, hvis de skønner, at de grundlæggende rettigheder til privatlivets fred og beskyttelse af personoplysninger for Unionens registrerede ikke er sikret;

39.

understreger, at Europa-Parlamentet bør have fuld adgang til alle relevante dokumenter vedrørende den årlige fælles evaluering;

40.

pålægger sin formand at sende denne beslutning til Kommissionen, Rådet, medlemsstaternes regeringer og nationale parlamenter og til USA's regering og Kongres.

(1) EFT L 281 af 23.11.1995, s. 31.

(2) EUT L 350 af 30.12.2008, s. 60.

(3) EUT L 119 af 4.5.2016, s. 1.

(4) EUT L 119 af 4.5.2016, s. 89.

(5) ECLI:EU:C:2015:650.

(6) ECLI:EU:C:2016:970.

(7) EUT L 207 af 1.8.2016, s. 1.

(8) EUT C 257 af 15.7.2016, s. 8.

(9) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf

(10) http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf

(11) Vedtagne tekster, P8_TA(2016)0233.