—

έχοντας υπόψη τον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (ο «Χάρτης»), και συγκεκριμένα τα άρθρα 7, 8, 16, 47 και 52,

—

έχοντας υπόψη την απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ), της 16ης Ιουλίου 2020, στην υπόθεση C-311/18, Επίτροπος για την προστασία των δεδομένων κατά Facebook Ireland Limited και Maximillian Schrems (απόφαση Schrems II) (1),

—

έχοντας υπόψη την απόφαση του ΔΕΕ, της 6ης Οκτωβρίου 2015, στην υπόθεση C-362/14, Maximillian Schrems κατά Επιτρόπου για την προστασία των δεδομένων (απόφαση Schrems I) (2),

—

έχοντας υπόψη την απόφαση του ΔΕΕ, της 6ης Οκτωβρίου 2020, στην υπόθεση C-623/17, Privacy International κατά Secretary of State of Foreign and Commonwealth affairs (3),

—

έχοντας υπόψη το ψήφισμά του, της 12ης Μαρτίου 2014, σχετικά με το πρόγραμμα παρακολούθησης της υπηρεσίας εθνικής ασφάλειας (NSA) των ΗΠΑ, τα όργανα παρακολούθησης σε διάφορα κράτη μέλη και τον αντίκτυπό τους στα θεμελιώδη δικαιώματα των πολιτών της ΕΕ, και με τη διατλαντική συνεργασία στον τομέα της δικαιοσύνης και των εσωτερικών υποθέσεων (4),

—

έχοντας υπόψη το ψήφισμά του, της 5ης Ιουλίου 2018, σχετικά με την επάρκεια της προστασίας που παρέχεται από την Ασπίδα Προστασίας της Ιδιωτικής Ζωής ΕΕ-ΗΠΑ (5),

—

έχοντας υπόψη το ψήφισμά του, της 25ης Οκτωβρίου 2018, σχετικά με τη χρήση των δεδομένων των χρηστών του Facebook από την Cambridge Analytica και τον αντίκτυπο στην προστασία των δεδομένων (6),

—

έχοντας υπόψη το ψήφισμά του, της 20ής Μαΐου 2021, σχετικά με την απόφαση του ΔΕΕ της 16ης Ιουλίου 2020, στην υπόθεση C-311/18, Data Protection Commissioner κατά Facebook Ireland Limited και Maximillian Schrems (7),

—

έχοντας υπόψη το ψήφισμά του, της 26ης Νοεμβρίου 2020, σχετικά με την επανεξέταση της εμπορικής πολιτικής της ΕΕ (8),

—

έχοντας υπόψη τη συμφωνία εμπορίου και συνεργασίας, της 31ης Δεκεμβρίου 2020, μεταξύ της Ευρωπαϊκής Ένωσης και της Ευρωπαϊκής Κοινότητας Ατομικής Ενέργειας, αφενός, και του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας, αφετέρου (9),

—

έχοντας υπόψη το ψήφισμά του, της 28ης Απριλίου 2021, σχετικά με την έκβαση των διαπραγματεύσεων ΕΕ-Ηνωμένου Βασιλείου (10),

—

έχοντας υπόψη τον κανονισμό (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (Γενικός Κανονισμός για την Προστασία Δεδομένων) (11) (ΓΚΠΔ),

—

έχοντας υπόψη την οδηγία (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (12) (οδηγία για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου),

—

έχοντας υπόψη την οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (13),

—

έχοντας υπόψη την πρόταση της Επιτροπής, της 10ης Ιανουαρίου 2017, σχετικά με έναν κανονισμό του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες (COM(2017)0010) και τη θέση του Ευρωπαϊκού Κοινοβουλίου που εγκρίθηκε στις 20 Οκτωβρίου 2017 (14),

—

έχοντας υπόψη τις συστάσεις του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (ΕΣΠΔ), συμπεριλαμβανομένης της δήλωσής του της 9ης Μαρτίου 2021 σχετικά με τον κανονισμό για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και τις συστάσεις 01/2020 της 10ης Νοεμβρίου 2020 σχετικά με ορισμένα μέτρα που συμπληρώνουν τα εργαλεία διαβίβασης για τη διασφάλιση της συμμόρφωσης με το επίπεδο προστασίας δεδομένων προσωπικού χαρακτήρα στην ΕΕ,

—

έχοντας υπόψη τα σημεία αναφοράς για την επάρκεια που εγκρίθηκαν από την ομάδα εργασίας του άρθρου 29 για την προστασία των δεδομένων στις 6 Φεβρουαρίου 2018 και υιοθετήθηκαν από το ΕΣΠΔ,

—

έχοντας υπόψη τις συστάσεις του ΕΣΠΔ 01/2021 της 2ας Φεβρουαρίου 2021 σχετικά με τα σημεία αναφοράς για την επάρκεια βάσει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου,

—

έχοντας υπόψη τα σχέδια αποφάσεων επάρκειας που δημοσίευσε η Επιτροπή στις 19 Φεβρουαρίου 2021, εκ των οποίων το ένα δυνάμει του ΓΚΠΔ (15) και το άλλο δυνάμει της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου (16),

—

έχοντας υπόψη τις γνώμες 14/2021 και 15/2021 του ΕΣΠΔ, της 13ης Απριλίου 2021, που αφορούν το σχέδιο εκτελεστικής απόφασης της Ευρωπαϊκής Επιτροπής δυνάμει της οδηγίας (ΕΕ) 2016/680 σχετικά με την επάρκεια της παρεχόμενης από το Ηνωμένο Βασίλειο προστασίας των δεδομένων προσωπικού χαρακτήρα,

—

έχοντας υπόψη την Ευρωπαϊκή Σύμβαση Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ) και τη Σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα, καθώς και το τροποποιητικό πρωτοκόλλό της («Σύμβαση 108+»), στα οποία το Ηνωμένο Βασίλειο είναι συμβαλλόμενο μέρος,

—

έχοντας υπόψη τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 16ης Φεβρουαρίου 2011, για τη θέσπιση κανόνων και γενικών αρχών σχετικά με τους τρόπους ελέγχου από τα κράτη μέλη της άσκησης των εκτελεστικών αρμοδιοτήτων από την Επιτροπή,

—

έχοντας υπόψη το άρθρο 132 παράγραφος 2 του Κανονισμού του,

—

έχοντας υπόψη την πρόταση ψηφίσματος της Επιτροπής Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων,

Α.

λαμβάνοντας υπόψη ότι η ικανότητα διασυνοριακής διαβίβασης προσωπικών δεδομένων μπορεί να αποτελέσει βασικό παράγοντα καινοτομίας, παραγωγικότητας και οικονομικής ανταγωνιστικότητας, και είναι κρίσιμης σημασίας για την αποτελεσματική συνεργασία στο πλαίσιο της καταπολέμησης του διασυνοριακού οργανωμένου και σοβαρού εγκλήματος, καθώς και της τρομοκρατίας, που εξαρτάται ολοένα και περισσότερο από την ανταλλαγή δεδομένων προσωπικού χαρακτήρα·

Β.

λαμβάνοντας υπόψη ότι το ΔΕΕ στην απόφασή του στην υπόθεση Schrems I επεσήμανε ότι η άνευ διακρίσεων πρόσβαση των υπηρεσιών πληροφοριών στο περιεχόμενο των ηλεκτρονικών επικοινωνιών παραβιάζει την ουσία του δικαιώματος στο απόρρητο των επικοινωνιών όπως προβλέπεται στο άρθρο 7 του Χάρτη και ότι οι Ηνωμένες Πολιτείες δεν προβλέπουν επαρκή μέσα έννομης προστασίας κατά της μαζικής παρακολούθησης για πρόσωπα που δεν είναι υπήκοοι των ΗΠΑ, κατά παράβαση του άρθρου 47 του Χάρτη·

Γ.

λαμβάνοντας υπόψη ότι το Ηνωμένο Βασίλειο παραδοσιακά αποτελεί σημαντικό εμπορικό εταίρο πολλών κρατών μελών της ΕΕ, καθώς και στενό σύμμαχο στον τομέα της ασφάλειας· λαμβάνοντας υπόψη ότι η ΕΕ και το Ηνωμένο Βασίλειο θα πρέπει να διατηρήσουν αυτή τη στενή συνεργασία παρά την αποχώρηση του Ηνωμένου Βασιλείου από την ΕΕ, καθώς αυτό θα είναι επωφελές και για αμφότερες τις πλευρές·

Δ.

λαμβάνοντας υπόψη ότι οι ευρωπαϊκές επιχειρήσεις χρειάζονται νομική σαφήνεια και ασφάλεια δικαίου, καθώς η ικανότητα διαβίβασης δεδομένων προσωπικού χαρακτήρα σε διασυνοριακό επίπεδο καθίσταται όλο και σημαντικότερη για όλους τους τύπους εταιρειών που παρέχουν αγαθά και υπηρεσίες διεθνώς· λαμβάνοντας υπόψη ότι μια απόφαση επάρκειας που αφορά το Ηνωμένο Βασίλειο βάσει του ΓΚΠΔ είναι ύψιστης σημασίας, διότι πολλές ευρωπαϊκές επιχειρήσεις διατηρούν εμπορικές σχέσεις με τη χώρα, ιδίως δεδομένου του γεγονότος ότι το Brexit είναι ακόμα πολύ πρόσφατο και οι ροές δεδομένων εντός της Ένωσης δεν υπόκεινται σε περιορισμούς· λαμβάνοντας υπόψη ότι η αδυναμία θέσπισης ισχυρού πλαισίου επάρκειας θα διακινδύνευε να προκαλέσει διαταραχές τις διασυνοριακές διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, και να αυξήσει το κόστος συμμόρφωσης·

Ε.

λαμβάνοντας υπόψη ότι η συμφωνία εμπορίου και εργασίας (TCA) περιλαμβάνει έναν αριθμό εγγυήσεων και όρων για την ανταλλαγή σχετικών δεδομένων στο πλαίσιο επιβολής του νόμου· λαμβάνοντας υπόψη ότι οι διαπραγματεύσεις σχετικά με τις ροές δεδομένων προσωπικού χαρακτήρα πραγματοποιήθηκαν παράλληλα με τις διαπραγματεύσεις για την TCA, όμως δεν ολοκληρώθηκαν έως το τέλος της μεταβατικής περιόδου στις 31 Δεκεμβρίου 2020· λαμβάνοντας υπόψη ότι συμπεριλήφθηκε μια ρήτρα «γέφυρας» στη συμφωνία εμπορίου και συνεργασίας ως ενδιάμεση λύση, η οποία εξαρτάται από τη δέσμευση του Ηνωμένου Βασιλείου περί μη μεταβολής του τρέχοντος καθεστώτος προστασίας δεδομένων, ώστε να διασφαλιστεί η συνέχιση των ροών δεδομένων μεταξύ του Ηνωμένου Βασιλείου και της ΕΕ μέχρι την έγκριση μιας απόφασης επάρκειας· λαμβάνοντας υπόψη ότι η αρχική περίοδος των τεσσάρων μηνών έχει παραταθεί και θα λήξει στα τέλη Ιουνίου του 2021·

ΣΤ.

επισημαίνει ότι η εκτίμηση που διεξήγαγε η Ευρωπαϊκή Επιτροπή πριν από την υποβολή του σχεδίου εκτελεστικής απόφασης δεν είναι ολοκληρωμένη, ούτε συνάδει με τις απαιτήσεις του ΔΕΕ για τις εκτιμήσεις επάρκειας, γεγονός που έχει επισημάνει το ΕΣΠΔ στις οικείες γνωμοδοτήσεις επάρκειας, στο πλαίσιο των οποίων συνιστά στην Ευρωπαϊκή Επιτροπή να αξιολογήσει περαιτέρω συγκεκριμένες πτυχές της νομοθεσίας ή της πράξης του Ηνωμένου Βασιλείου σε σχέση με τη μαζική συλλογή, τη γνωστοποίηση στο εξωτερικό και τις διεθνείς συμφωνίες στον τομέα της ανταλλαγής πληροφοριών, της περαιτέρω χρήσης πληροφοριών που συλλέγονται για σκοπούς επιβολής του νόμου, και της ανεξαρτησίας των δικαστικών λειτουργών·

Ζ.

λαμβάνοντας υπόψη ότι η Επιτροπή δεν έχει εξετάσει ορισμένες πτυχές της νομοθεσίας και/ή της πράξης του Ηνωμένου Βασιλείου, με αποτέλεσμα να υφίστανται σχέδια εκτελεστικών αποφάσεων που δεν συνάδουν με τη νομοθεσία της ΕΕ· λαμβάνοντας υπόψη ότι, σύμφωνα με το άρθρο 45 του ΓΚΠΔ, κατά την εκτίμηση της επάρκειας του επιπέδου προστασίας, η Επιτροπή λαμβάνει υπόψη, ιδίως «(…) τη σχετική νομοθεσία, τόσο τη γενική όσο και την τομεακή, μεταξύ άλλων όσον αφορά τη δημόσια ασφάλεια, την άμυνα, την εθνική ασφάλεια και το ποινικό δίκαιο και την πρόσβαση των δημόσιων αρχών σε δεδομένα προσωπικού χαρακτήρα, καθώς και την εφαρμογή αυτής της νομοθεσίας, τους κανόνες περί προστασίας δεδομένων, τους επαγγελματικούς κανόνες και τα μέτρα ασφάλειας, περιλαμβανομένων των κανόνων για τις περαιτέρω διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε άλλη χώρα ή διεθνή οργανισμό που τηρούνται στη συγκεκριμένη τρίτη χώρα ή τον διεθνή οργανισμό, νομολογία (…)» και «τις διεθνείς δεσμεύσεις που έχει αναλάβει η εν λόγω τρίτη χώρα ή ο διεθνής οργανισμός ή άλλες υποχρεώσεις οι οποίες απορρέουν από νομικά δεσμευτικές συμβάσεις ή πράξεις και από τη συμμετοχή τους σε πολυμερή ή περιφερειακά συστήματα, ιδίως όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα» που περιλαμβάνει διεθνείς συμφωνίες σε άλλες περιοχές συμπεριλαμβανομένης της πρόσβασης σε ανταλλαγή δεδομένων ή πληροφοριών, και, συνεπώς, απαιτείται αξιολόγηση των εν λόγω διεθνών συμφωνιών·

Η.

λαμβάνοντας υπόψη ότι το ΔΕΕ δήλωσε ξεκάθαρα στην απόφαση Schrems I ότι «η Επιτροπή, όταν εξετάζει το επίπεδο προστασίας που παρέχει η τρίτη χώρα, οφείλει να λαμβάνει υπόψη το περιεχόμενο των κανόνων που εφαρμόζονται στη χώρα αυτή βάσει της εσωτερικής νομοθεσίας ή των διεθνών δεσμεύσεων που έχει αναλάβει η συγκεκριμένη χώρα, καθώς και την πρακτική σχετικά με την εξασφάλιση της τηρήσεως των κανόνων αυτών, δεδομένου ότι οφείλει, σύμφωνα με το άρθρο 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, να λάβει υπόψη όλες τις περιστάσεις που σχετίζονται με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα προς την τρίτη χώρα» (σκέψη 75)·

Θ.

λαμβάνοντας υπόψη ότι οι δραστηριότητες των υπηρεσιών πληροφοριών και η σχετική ανταλλαγή με τρίτες χώρες αποκλείονται από το πεδίο εφαρμογής του ενωσιακού δικαίου σύμφωνα με τις συνθήκες όσον αφορά τα κράτη μέλη, όμως εντάσσονται στο πεδίο εφαρμογής της απαραίτητης εκτίμησης επάρκειας του επιπέδου προστασίας δεδομένων προσωπικού χαρακτήρα που προσφέρουν τρίτες χώρες, όπως επιβεβαιώνει το ΔΕΕ στο πλαίσιο των αποφάσεων Schrems I και II·

Ι.

λαμβάνοντας υπόψη ότι τα πρότυπα προστασίας εξαρτώνται όχι μόνο από την ισχύουσα νομοθεσία, αλλά και από την πρακτική εφαρμογή των εν λόγω νόμων, και λαμβάνοντας υπόψη ότι, κατά τη σύνταξη της απόφασής της, η Επιτροπή αξιολόγησε μόνο τη νομοθεσία και όχι την εφαρμογή στην πράξη·

ΙΑ.

λαμβάνοντας υπόψη ότι η Επιτροπή αναγνωρίζει επί του παρόντος ότι δώδεκα τρίτες χώρες παρέχουν επαρκή προστασία βάσει του ΓΚΠΔ και ότι έχει πρόσφατα ολοκληρώσει τις σχετικές συνομιλίες με τη Δημοκρατία της Κορέας· λαμβάνοντας υπόψη ότι το Ηνωμένο Βασίλειο είναι η πρώτη χώρα για την οποία η Επιτροπή έχει προτείνει τη χορήγηση επάρκειας βάσει της οδηγίας για την επιβολή του νόμου·

ΙΒ.

λαμβάνοντας υπόψη ότι η περίπτωση του Ηνωμένου Βασιλείου είναι διαφορετική από όλες τις προηγούμενες εκτιμήσεις επάρκειας, διότι αφορά ένα πρώην κράτος μέλος της ΕΕ που έχει πλήρως ενσωματώσει τις διατάξεις του ΓΚΠΔ στο οικείο εθνικό δίκαιο και προβλέπει ότι το σύνολο της «εγχώριας νομοθεσίας που προκύπτει από την ΕΕ», συμπεριλαμβανομένης της νομοθεσίας που μεταφέρει την οδηγία για την επιβολή του νόμου, θα συνεχίσει να ισχύει μετά το τέλος της μεταβατικής περιόδου·

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

επισημαίνει ότι, επιπρόσθετα, σε σχέση με τις ΗΠΑ, οι πολίτες του Ηνωμένου Βασιλείου απολαύουν ορισμένων ανεπίσημων εγγυήσεων μεταξύ της GCHQ και της NSA των ΗΠΑ· εκφράζει τη βαθιά του ανησυχία για το γεγονός ότι αυτές οι εγγυήσεις δεν προστατεύουν τους πολίτες ή τους κατοίκους της ΕΕ των οποίων τα δεδομένα ενδέχεται να υποστούν περαιτέρω διαβιβάσεις και ανταλλαγή με την NSA·

17.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30.

31.

32.

33.

34.

35.

36.

37.

38.

39.

40.

41.

42.