P9_TA(2021)0256

Andmekaitsevolinik vs. Facebook Ireland Limited ja Maximillian Schrems (Schrems II) – kohtuasi C311/18

Euroopa Parlamendi 20. mai 2021. aasta resolutsioon Euroopa Kohtu 16. juuli 2020. aasta otsuse kohta – Data Protection Commissioner vs. Facebook Ireland Limited ja Maximillian Schrems (Schrems II) – kohtuasi C-311/18 (2020/2789(RSP))

(2022/C 15/18)

Euroopa Parlament,

—	võttes arvesse Euroopa Liidu põhiõiguste hartat (edaspidi „harta“), eriti selle artikleid 7, 8, 16, 47 ja 52,

—	võttes arvesse Euroopa Kohtu 16. juuli 2020. aasta otsust kohtuasjas C-311/18, Data Protection Commissioner vs. Facebook Ireland Limited ja Maximillian Schrems (Schrems II) (1),

—	võttes arvesse Euroopa Kohtu 6. oktoobri 2015. aasta otsust kohtuasjas C-362/14, Maximillian Schrems vs. Data Protection Commissioner (Schrems I) (2),

—	võttes arvesse Euroopa Kohtu 6. oktoobri 2020. aasta otsust kohtuasjas C-623/17, Privacy International vs. Secretary of State for Foreign and Commonwealth Affairs jt (3),

—	võttes arvesse oma 26. mai 2016. aasta resolutsiooni Atlandi-üleste andmevoogude kohta (4),

—	võttes arvesse oma 6. aprilli 2017. aasta resolutsiooni ELi-USA andmekaitseraamistikuga Privacy Shield ette nähtud kaitse piisavuse kohta (5),

—	võttes arvesse oma 5. juuli 2018. aasta resolutsiooni ELi-USA andmekaitseraamistikuga Privacy Shield ette nähtud kaitse piisavuse kohta (6),

—	võttes arvesse oma 25. oktoobri 2018. aasta resolutsiooni Facebooki kasutajate andmete kasutamise kohta Cambridge Analytica poolt ja selle mõju kohta andmekaitsele (7),

—	võttes arvesse komisjoni 5. veebruari 2010. aasta otsust 2010/87/EL kolmandates riikides asuvatele volitatud töötlejatele isikuandmete edastamise lepingu tüüptingimuste kohta nõukogu ja Euroopa Parlamendi direktiivi 95/46/EÜ alusel (teatavaks tehtud numbri C(2010) 593) (8),

—	võttes arvesse komisjoni 12. juuli 2016. aasta rakendusotsust (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield vastavalt Euroopa Parlamendi ja nõukogu direktiivile 95/46/EÜ (teatavaks tehtud dokumendis C(2016) 4176) (9),

—	võttes arvesse oma 26. novembri 2020. aasta resolutsiooni ELi kaubanduspoliitika läbivaatamise kohta (10),

—

võttes arvesse Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrust (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (11) ja eelkõige selle määruse V peatükki,

—

võttes arvesse komisjoni ettepanekut võtta vastu määrus privaatsuse ja elektroonilise side kohta (COM(2017)0010), võttes arvesse otsust alustada institutsioonidevahelisi läbirääkimisi, mille Euroopa Parlamendi täiskogu kinnitas 25. oktoobril 2017, ning 10. veebruaril 2021. aastal vastu võetud nõukogu üldist lähenemisviisi (6087/21),

—

võttes arvesse Euroopa Andmekaitsenõukogu soovitusi 01/2020 edastusvahendeid täiendavate meetmete kohta, et tagada vastavus isikuandmete kaitse ELi tasemega, Euroopa Andmekaitsenõukogu soovitusi 02/2020 Euroopa oluliste tagatiste kohta jälgimismeetmete kontekstis ning Euroopa Andmekaitsenõukogu 19. novembri 2020. aasta avaldust e-privaatsuse määruse ning järelevalveasutuste ja Euroopa Andmekaitsenõukogu tulevase rolli kohta,

—	võttes arvesse kodukorra artikli 132 lõiget 2,

arvestades, et isikuandmete piiriülese edastamise suutlikkus võib kujuneda innovatsiooni, tootlikkuse ja majandusliku konkurentsivõime oluliseks tõukejõuks; arvestades, et see on praeguse COVID-19 pandeemia kontekstis veelgi olulisem, kuna selline edastamine on hädavajalik, et tagada äritegevuse ja valitsuse tegevuse järjepidevus ning sotsiaalne suhtlus; arvestades, et see võib toetada ka pandeemiast väljumise strateegiaid ja aidata kaasa majanduse taastamisele;

arvestades, et Euroopa Liidu Kohus tunnistas kohtuasjas Schrems I tehtud otsuses kehtetuks komisjoni otsuse ELi-USA programmi Safe Harbor kohta ning juhtis tähelepanu asjaolule, et luureasutuste valimatu juurdepääs elektroonilise side sisule rikub harta artiklis 7 sätestatud õigust edastatavate sõnumite saladusele;

C.	arvestades, et Euroopa Liidu Kohus leidis kohtuasjas Schrems II tehtud otsuses, et Ameerika Ühendriigid ei paku kolmandate riikide kodanikele piisavaid õiguskaitsevahendeid massilise jälgimise vastu ning et see rikub harta artiklis 47 sätestatud õigust õiguskaitsevahendile;

arvestades, et isikuandmete kaitse üldmäärust kohaldatakse kõigi liidus asuvate andmesubjektide isikuandmeid töötlevate äriühingute suhtes, kui töötlemistoimingud on seotud kaupade või teenuste pakkumisega liidus asuvatele nimetatud andmesubjektidele või nende käitumise jälgimisega niivõrd, kuivõrd see käitumine toimub liidus;

E.	arvestades, et Euroopa kodanike andmed, mida säilitavad ja edastavad telekommunikatsioonioperaatorid ja ettevõtjad, on oluline ressurss, mis aitab kaasa ELi strateegiliste huvide saavutamisele;

F.	arvestades, et riiklike osalejate poolne massiline koordineeritud jälgimine kahjustab Euroopa kodanike, valitsuste ja ettevõtjate usaldust digiteenuste ja seega ka digimajanduse vastu;

arvestades, et tarbijaorganisatsioonidel ja teistel kodanikuühiskonna organisatsioonidel on piiratud ressursid ning andmekaitseõiguste ja -kohustuste täitmise tagamine ei saa sõltuda nende tegevusest; arvestades, et liikmesriikide menetlused ja tavad on erinevad, mis tekitab probleeme isikuandmete kaitse üldmääruses sätestatud piiriüleste kaebustega seotud koostöömehhanismile; arvestades, et puuduvad selged tähtajad, menetlused kulgevad üldiselt aeglaselt, järelevalveasutustel ei ole piisavalt vahendeid, mõnel juhul puudub ka tahe või ei kasutata juba eraldatud vahendeid tõhusalt; arvestades, et praegu koonduvad suurte tehnoloogiaettevõtete väidetavate rikkumiste kohta esitatud kaebused ühe riikliku ametiasutuse kätte, mis on toonud kaasa kitsaskoha õiguskaitses;

H.	arvestades, et Euroopa Liidu Kohtu käesoleva otsuseni viinud menetlused näitavad samuti, et andmesubjektidel ja tarbijatel on raskusi oma õiguste kaitsmisel, mis pärsib nende suutlikkust kaitsta oma õigusi Iiri andmekaitsevoliniku ees;

arvestades, et Euroopa Parlament kutsus juba oma 25. oktoobri 2018. aasta resolutsioonis, milles ta juhtis tähelepanu USA suutmatusele pidada kinni andmekaitseraamistikuga Privacy Shield täieliku kooskõlla viimise 1. septembri 2018. aasta tähtajast, komisjoni üles peatama andmekaitseraamistiku Privacy Shield kehtivus seni, kuni USA ametivõimud selle tingimusi täitma hakkavad;

arvestades, et andmesubjektide õigusi, mis on tagatud ELi andmekaitseõigusega, tuleks austada olenemata sellest, kui suur on risk, mis andmesubjektidele isikuandmete töötlemisega kaasneb, sealhulgas juhul, kui tegemist on isikuandmete edastamisega kolmandatesse riikidesse; arvestades, et vastutavad töötlejad peaksid alati vastutama andmekaitsekohustuste täitmise eest, sealhulgas tõendama, et nad järgivad õigusnorme mis tahes andmetöötluses, olenemata selle laadist, ulatusest, kontekstist, töötlemise eesmärkidest ja andmesubjektidele avalduvatest ohtudest;

arvestades, et hoolimata Euroopa Liidu Kohtu praktika viimase viie aasta märkimisväärsest arengust ja isikuandmete kaitse üldmääruse tulemuslikust kohaldamisest alates 25. maist 2018, ei ole järelevalveasutused seni teinud ühtegi isikuandmete kaitse üldmääruse järjepidevuse mehhanismi kohast otsust isikuandmete edastamisega seotud parandusmeetmete kehtestamise kohta; arvestades, et järelevalveasutused ei ole seoses isikuandmete edastamisega kolmandatesse riikidesse teinud riigi tasandil ühtegi sisulist otsust parandusmeetmete või trahvide kehtestamise kohta;

arvestades, et USA president Biden nimetas oma esimesel ametisoleku päeval ametisse USA kaubandusministeeriumi teenuste asesekretäri, kes on ELiga äriandmete edastamise pealäbirääkija; arvestades, et Gina Raimondo, kes on presidendi kandidaat USA kaubandusministri kohale, teatas oma ametissemääramisele eelneval kuulamisel Senatis, et läbirääkimiste kiire lõpuleviimine andmekaitseraamistiku Privacy Shield jätkulepingu üle on üks tema peamisi prioriteete;

Üldised märkused

võtab teadmiseks Euroopa Liidu Kohtu 16. juuli 2020. aasta otsuse, milles kohus kinnitas põhimõtteliselt lepingu tüüptingimusi käsitleva otsuse 2010/87/EL kehtivust, ning tõdeb, et lepingu tüüptingimused kujutavad endast rahvusvahelise andmeedastuse kõige laialdasemalt kasutatavat mehhanismi; märgib lisaks, et Euroopa Kohus tunnistas kehtetuks komisjoni otsuse (EL) 2016/1250 isikuandmete kaitse piisavuse kohta ELi-USA andmekaitseraamistikus Privacy Shield; märgib, et Euroopa Liidu Kohtu toetust ei ole saanud ükski kestlik mehhanism, mis tagaks ELi ja USA vahel kaubanduslike isikuandmete seadusliku edastamise;

võtab teadmiseks, et Euroopa Liidu Kohus leidis, et lepingu tüüptingimused on tõhus mehhanism, mis tagab ELis pakutava kaitse taseme järgimise, kuid nõudis, et Euroopa Liidus asuv vastutav töötleja/volitatud töötleja ning isikuandmete vastuvõtja peavad enne edastamist kontrollima, kas asjaomases kolmandas riigis järgitakse ELi õigusega nõutavat kaitsetaset; tuletab meelde, et see hõlmab avaliku sektori asutuste juurdepääsu isikuandmetele käsitleva õiguskorra hindamist, tagamaks, et andmesubjekte ja nende edastatud andmeid ei ohusta USA jälgimisprogrammid, mis võimaldavad isikuandmete massilist kogumist; tuletab meelde, et kui vastuvõtja ei suuda lepingu tüüptingimusi täita, on vastutavad töötlejad või volitatud töötlejad vastavalt Euroopa Kohtu otsusele kohustatud andmete edastamise peatama ja/või lepingu lõpetama; märgib siiski, et paljudel ettevõtetel, eriti VKEdel, puuduvad selle kontrollimiseks vajalikud teadmised või suutlikkus, mis võib kaasa tuua äritegevuse katkemise;

usub, et kuigi Euroopa Kohtu otsuses keskendutakse andmekaitse tasemele, mis on tagatud ELi andmesubjektidele, kelle andmed edastati USA-le andmekaitseraamistiku Privacy Shield raames, on see avaldanud mõju ka muid kolmandaid riike, sh Ühendkuningriiki puudutavatele kaitse piisavuse otsustele; kinnitab veel kord vajadust õigusselguse ja -kindluse järele, kuna isikuandmete turvalise piiriülese edastamise suutlikkus on muutunud üha olulisemaks üksikisikute jaoks nende isikuandmete kaitse ja õiguste seisukohast, samuti nagu ka igat liiki organisatsioonide jaoks, kes tarnivad kaupu ja osutavad teenuseid rahvusvahelises keskkonnas, ning ettevõtjate jaoks seoses õigusliku korraga, mille alusel nad tegutsevad; rõhutab siiski, et seni, kuni Euroopa Liidu Kohus ei ole kaitse piisavuse otsuseid tühistanud, asendanud või kehtetuks tunnistanud, on need endiselt jõus;

väljendab pettumust, et Iirimaa andmekaitsevolinik esitas Maximilian Schremsi ja Facebooki vastu hagi Iirimaa kõrgele kohtule (High Court), selle asemel et teha otsus oma pädevuse piires vastavalt otsuse 2010/87/EL artiklile 4 ja isikuandmete kaitse üldmääruse artiklile 58; tuletab siiski meelde, et Iiri andmekaitsevolinik kasutas õiguslikku võimalust, mis võimaldab andmekaitseasutustel väljendada liikmesriigi kohtunikule muret komisjoni rakendusotsuse kehtivuse pärast, pidades silmas eelotsusetaotluse esitamist Euroopa Liidu Kohtule; väljendab sügavat muret selle pärast, et andmekaitsevolinik, kes on nende juhtumite puhul juhtiv asutus, ei ole ikka veel lahendanud mitmeid kaebusi isikuandmete kaitse üldmääruse rikkumise kohta, mis esitati 25. mail 2018, s.o päeval, mil isikuandmete kaitse üldmäärust kohaldama hakati, ning muid kaebusi eraelu puutumatuse vallas tegutsevatelt organisatsioonidelt ja tarbijarühmadelt; on mures selle pärast, et andmekaitsevoliniku tõlgenduses tähendab isikuandmete kaitse üldmääruse artikli 60 lõikes 3 toodud väljend „viivitamata“ pikemat aega kui mõned kuud, mis ei vasta seadusandja kavatsusele; on mures selle pärast, et järelevalveasutused ei ole võtnud isikuandmete kaitse üldmääruse artiklite 61 ja 66 alusel ennetavaid meetmeid, et sundida andmekaitsevolinikku täitma isikuandmete kaitse üldmäärusest tulenevaid kohustusi; on mures ka andmekaitsevoliniku heaks töötavate tehnoloogiaspetsialistide vähesuse ja aegunud süsteemide kasutamise pärast; väljendab nördimust seoses tagajärgedega, mida toob kaasa Iirimaa andmekaitsevoliniku ebaõnnestunud katse jätta kohtumenetluse kulud kostja kanda, millel oleks olnud ulatuslik heidutav mõju; kutsub komisjoni üles algatama Iirimaa vastu rikkumismenetlused isikuandmete kaitse üldmääruse mittenõuetekohase jõustamise tõttu;

on mures isikuandmete kaitse üldmääruse ebapiisava jõustamise pärast, eelkõige andmete rahvusvahelise edastamise valdkonnas; väljendab muret asjaolu pärast, et riiklikud järelevalveasutused ei ole seadnud isikuandmete kolmandatele riikidele edastamisel prioriteete ega teostanud üldist kontrolli, kuigi viimase viie aasta jooksul on Euroopa Kohtu praktikas toimunud olulisi arenguid; taunib sellega seoses sisuliste otsuste ja parandusmeetmete puudumist ning nõuab tungivalt, et Euroopa Andmekaitsenõukogu ja riiklikud järelevalveasutused lisaksid isikuandmete edastamise oma auditi-, vastavus- ja õiguskaitsestrateegiatesse; juhib tähelepanu asjaolule, et õiguskindluse tagamiseks ja piiriüleste kaebuste käsitlemiseks on vaja ühtlustatud siduvat halduskorda vastuvõetavuse ja andmesubjektide esindamise kohta;

võtab teadmiseks komisjoni rakendusotsuse eelnõu kolmandatele riikidele isikuandmete edastamise lepingu tüüptingimuste kohta; nõuab tungivalt, et Euroopa Andmekaitsenõukogu avaldaks ettevõtetele, eelkõige VKEdele mõeldud täiendavad suunised rahvusvahelise andmeedastuse kohta, sealhulgas andmeedastuse hindamise kontrollnimekirja, vahendid, mille abil hinnata, kas valitsustel on lubatud või võimalik andmetele juurde pääseda, ning teabe täiendavate meetmete kohta, mida nõutakse andmeedastuseks lepingu tüüptingimuste alusel; kutsub Euroopa Andmekaitsenõukogu üles küsima ka sõltumatutelt teadlastelt teavet peamiste kaubanduspartnerite võimalike vastuoluliste siseriiklike õigusaktide kohta;

tuletab meelde, et kooskõlas Euroopa Andmekaitsenõukogu suunistega 2/2018 (12) määruse (EL) 2016/679 artiklis 49 sätestatud erandite kohta tuleb juhul, kui edastamine toimub väljaspool kaitse piisavuse otsuste raamistikku või muid asjakohaseid kaitsemeetmeid pakkuvaid vahendeid, kuid tugineb konkreetsetes olukordades tehtavatele eranditele vastavalt isikuandmete kaitse üldmääruse artiklile 49, neid tõlgendada kitsendavalt nii, et erand ei muutuks reegliks; märgib siiski, et pärast ELi-USA andmekaitseraamistiku Privacy Shield kehtetuks tunnistamist on jätkunud Atlandi-ülesed andmevood digitaalse reklaami eesmärgil, hoolimata kahtlustest, mis on seotud õigusliku alusega andmete edastamiseks reklaami eesmärgil; kutsub Euroopa Andmekaitsenõukogu ja andmekaitseasutusi üles tagama selliste erandite kohaldamisel ja kontrollimisel järjepideva tõlgenduse kooskõlas Euroopa Andmekaitsenõukogu suunistega;

väljendab heameelt selle üle, et toimumas on rahvusvahelised arutelud isikuandmete kaitse üldmääruse ja isikuandmete kaitset õiguskaitse valdkonnas käsitleva direktiiviga (õiguskaitsedirektiiv) (13) kooskõlas olevate piiriüleste isikuandmete voogude üle; rõhutab, et rahvusvahelised kaubanduslepingud ei tohi kahjustada ega inkorporeerida isikuandmete kaitse üldmäärust, õiguskaitsedirektiivi ja e-privaatsuse reegleid ega muid kehtivaid ja tulevasi meetmeid, millega kaitstakse põhiõigusi eraelu puutumatusele ja isikuandmete kaitsele; nõuab tungivalt, et komisjon järgiks kõrvalekaldumatult ELi 2018. aasta horisontaalset seisukohta (14) ja võtaks kolmandate riikide asjakohaseid kaubandusõigusest tulenevaid kohustusi arvesse nende piisavuse hindamisel, sealhulgas seoses andmete edasise edastamisega;

Lepingu tüüptingimused

võtab teadmiseks komisjoni rakendusotsuse eelnõu ja lepingu tüüptingimuste eelnõu; on rahul sellega, et komisjon korraldas sidusrühmadelt eelnõu kohta tagasiside saamiseks avaliku konsultatsiooni; märgib, et Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektor andsid 15. jaanuaril 2021. aastal esitatud ühisarvamuses (15) lepingu tüüptingimuste eelnõu kohta positiivse hinnangu, kuid tegid ettepaneku teha veel mõningaid parandusi; loodab, et komisjon võtab saadud tagasisidet enne komiteemenetluse algatamist arvesse;

10.

tuletab meelde, et lepingu tüüptingimusi kasutavad paljud VKEd; rõhutab, et igat liiki äriühingud vajavad kiiresti selgeid suuniseid ja abi õiguskindluse tagamiseks Euroopa Liidu Kohtu otsuse kohaldamisel ja tõlgendamisel;

11.

võtab teadmiseks Euroopa Andmekaitsenõukogu soovitused 01/2020 (16) edastusvahendeid täiendavate meetmete kohta, et tagada vastavus isikuandmete kaitse ELi tasemega; väljendab heameelt asjaolu üle, et Euroopa Andmekaitsenõukogu korraldas oma soovituste kohta avaliku konsultatsiooni; on mures võimalike vastuolude pärast nende soovituste ja lepingu tüüptingimusi käsitleva komisjoni ettepaneku vahel; kutsub komisjoni ja Euroopa Andmekaitsenõukogu üles tegema oma vastavate dokumentide lõplikul viimistlemisel koostööd, et tagada õiguskindlus, arvestades Euroopa Liidu Kohtu otsust; on seisukohal, et komisjon peaks järgima Euroopa Andmekaitsenõukogu suuniseid;

12.

tunneb erilist heameelt Euroopa Andmekaitsenõukogu soovituste üle, mis käsitlevad vastutavate töötlejate vajadust tugineda objektiivsetele teguritele, kui nad hindavad, kas miski kolmanda riigi õiguses või tavades võib kõnealuse andmeedastuse puhul mõjutada andmeedastusvahendite asjakohaste kaitsemeetmete tõhusust, ja mitte subjektiivsetele teguritele, nagu tõenäosus, et avaliku sektori asutused pääsevad andmetele ligi viisil, mis ei ole ELi standarditega kooskõlas, mille Euroopa Liidu Kohus on korduvalt tagasi lükanud; kutsub sellega seoses komisjoni üles tagama, et tema ettepanek lepingu tüüptingimuste kohta oleks täielikult kooskõlas kohaldatava Euroopa Liidu Kohtu praktikaga;

13.

peab äärmiselt oluliseks, et ELis tegutsevad äriühingud, kes edastavad isikuandmeid liidust väljapoole, saaksid tugineda kindlatele mehhanismidele, mis on kooskõlas Euroopa Liidu Kohtu otsusega; on sellega seoses seisukohal, et komisjoni praeguses ettepanekus lepingu tüüptingimuste vormi kohta tuleks nõuetekohaselt arvesse võtta kõiki asjakohaseid Euroopa Andmekaitsenõukogu soovitusi; toetab ideed luua täiendavate valikuliste meetmete (nt turvalisuse ja andmekaitse sertifitseerimine, krüpteerimise kaitsemeetmed ja pseudonüümimine) kogum, mida reguleerivad asutused aktsepteerivad, ja avalikult kättesaadavad ressursid ELi peamiste kaubanduspartnerite asjaomaste õigusaktide kohta;

14.

juhib tähelepanu sellele, et USA välisluure jälitustegevuse seaduse (FISA) kohaldamisalasse kuuluvate vastutavate töötlejate puhul ei ole isikuandmete edastamine liidust nende lepingu tüüptingimuste alusel võimalik, kuna massilise jälgimise oht on suur; eeldab, et kui USAga ei saavutata kiiresti kokkulepet, mis tagaks isikuandmete kaitse üldmääruses ja hartas ettenähtuga sisuliselt samaväärse ja seega piisava kaitsetaseme, peatataks selline isikuandmete edastamine kuni olukorra lahendamiseni; rõhutab Euroopa Liidu Kohtu järeldust, et välisluure jälitustegevuse seaduse paragrahv 702 ega korraldus 12333 (E.O. 12333) koostoimes presidendi poliitikasuunisega nr 28 (PPD-28) ei ole kooskõlas minimaalsete kaitsemeetmetega, mis tulenevad proportsionaalsuse põhimõttest liidu õiguses, mistõttu ei saa nendel sätetel põhinevaid jälgimisprogramme pidada rangelt vajalikeks; rõhutab vajadust leida Euroopa Liidu Kohtu otsuses kindlaks tehtud probleemidele püsivad lahendused, et tagada andmesubjektide isikuandmete piisav kaitse; tuletab meelde, et ükski ettevõtjatevaheline leping ei saa pakkuda kaitset luureasutuste piiramatu juurdepääsu eest elektroonilise side sisule, ja samuti ei saa ükski ettevõtjatevaheline leping pakkuda piisavaid õiguskaitsevahendeid massilise jälgimise vastu; toonitab, et USA jälitustegevuse õigusakte ja tavasid tuleb reformida, tagamaks, et USA julgeolekuasutuste juurdepääs EList edastatavatele andmetele piirduks vajaliku ja proportsionaalsega ning et Euroopa andmesubjektidel oleks juurdepääs tõhusale õiguskaitsele USA kohtutes;

15.

rõhutab, et Euroopa VKEde ning kasumit mittetaotlevate organisatsioonide ja ühingute – kellelt eeldatakse, et nad orienteeruksid erinevate kolmandate riikide keerulistes õigusraamistikes, hinnates ise volitatud kolmandate riikide kaitse piisavust – läbirääkimisjõud, õigus- ja teovõime ning finantssuutlikkus on piiratud; nõuab tungivalt, et komisjon ja Euroopa Andmekaitsenõukogu annaksid suuniseid usaldusväärsete täiendavate meetmete praktilise kasutamise kohta, eriti VKEde puhul;

16.

nõuab tungivalt, et andmekaitseasutused täidaksid oma kohustusi, mida on rõhutatud Euroopa Liidu Kohtu otsuses, et tagada isikuandmete kaitse üldmääruse nõuetekohane ja kiire jõustamine, jälgides tähelepanelikult lepingu tüüptingimuste kasutamist; palub andmekaitseasutustel aidata ettevõtetel järgida Euroopa Liidu Kohtu praktikat; nõuab tungivalt, et andmekaitseasutused kasutaksid ka kõiki isikuandmete kaitse üldmääruse artikli 58 kohaseid uurimis- ja parandusvolitusi, juhul kui andmeeksportijad edastavad isikuandmeid hoolimata tõhusate lisameetmete puudumisest ja sihtriigiks oleva kolmanda riigi õigusaktidest, mis takistavad andmeimportijat lepingu tüüptingimusi täitmast; tuletab meelde Euroopa Liidu Kohtu seisukohta, et kõik järelevalveasutused „[peavad täitma] oma ülesannet jälgida, et isikuandmete kaitse üldmäärust täielikult järgitaks“;

Andmekaitseraamistik Privacy Shield

17.

juhib tähelepanu Euroopa Liidu Kohtu järeldusele, et ELi-USA andmekaitseraamistik Privacy Shield ei taga sisuliselt samaväärset ja seega piisavat kaitsetaset võrreldes isikuandmete kaitse üldmääruses ja hartas sätestatuga, eelkõige seetõttu, et USA ametiasutuste juurdepääs tervele andmekaitseraamistiku Privacy Shield alusel edastatud isikuandmete kogumile ei vasta vajalikkuse ja proportsionaalsuse põhimõttele, ning seetõttu, et ELi andmesubjektidel puuduvad õigused, millele saaks USA ametiasutuste vastu tugineda kas USA kohtutes või muudes vahekohtuna tegutsevates sõltumatutes asutustes; loodab, et USA praegune valitsus on võimalikest tulevastest andmeedastusmehhanismidest tulenevate kohustuste täitmisel aktiivsem kui varasemad valitsused, mille puhul võis täheldada poliitilise tahte puudumist programmi Safe Harbor eeskirjade järgimisel ja jõustamisel ning andmekaitseraamistiku Privacy Shield jõustamisel;

18.

juhib tähelepanu sellele, et mõned ettevõtjad on tulenevalt Schrems II kohtuotsusest kiirustades muutnud oma isikuandmete kaitse teatisi ja kolmandate isikutega sõlmitud lepinguid, viidates oma kohustustele andmekaitseraamistiku Privacy Shield raames, hindamata, millised on parimad meetmed andmete seaduslikuks edastamiseks;

19.

peab kahetsusväärseks, et hoolimata parlamendi 2016., 2017. ja 2018. aasta resolutsioonides komisjonile esitatud arvukatest üleskutsetest teha kõik vajalik selleks, et tagada andmekaitseraamistiku Privacy Shield täielik vastavus isikuandmete kaitse üldmäärusele ja hartale, ei ole komisjon isikuandmete kaitse üldmääruse artikli 45 lõike 5 kohaselt tegutsenud; peab kahetsusväärseks, et komisjon on eiranud parlamendi üleskutset peatada andmekaitseraamistiku Privacy Shield kehtivus seniks, kuni USA ametivõimud hakkavad selle tingimusi täitma, ning seetõttu on suurenenud oht, et Euroopa Liidu Kohus tunnistab andmekaitseraamistiku kehtetuks; tuletab meelde, et artikli 29 töörühm ja Euroopa Andmekaitsenõukogu on juhtinud korduvalt tähelepanu andmekaitseraamistiku Privacy Shield toimimisega seotud probleemidele;

20.

taunib asjaolu, et komisjon pidas suhteid USAga ELi kodanike huvidest tähtsamaks ja jättis sellega ELi õiguse kaitsmise ülesande üksikkodanikele;

Massiline jälgimine ja õigusraamistik

21.

õhutab komisjoni ennetavalt jälgima massilise jälgimise tehnoloogiate kasutamist Ameerika Ühendriikides ja muudes kolmandates riikides, kelle kohta tehakse või võidakse teha kaitse piisavuse otsus, näiteks Ühendkuningriigis; nõuab tungivalt, et komisjon ei teeks piisava kaitse otsuseid riikide kohta, kus massilise jälgimise seadused ja programmid ei vasta sisu või mõtte poolest Euroopa Liidu Kohtu kriteeriumidele;

22.

võtab teadmiseks California tarbijate privaatsuse seaduse (California Consumer Privacy Act, CCPA) hiljutise jõustumise Ameerika Ühendriikides; võtab teadmiseks sellega seotud arutelud ja föderaaltasandil esitatud seadusandlikud ettepanekud; rõhutab, et kuigi tegu on sammudega õiges suunas, ei vasta ei CCPA ega ükski föderaaltasandi ettepanek praegu isikuandmete kaitse üldmääruses kaitse piisavuse otsusele esitatavatele nõuetele; soovitab tungivalt USA seadusandjal võtta vastu nendele nõuetele vastavad õigusaktid ning aidata sellega tagada, et USA õigus pakuks sisuliselt samaväärset kaitsetaset, kui on praegu tagatud ELis;

23.

rõhutab, et sellised tarbijate andmekaitset ja privaatsust käsitlevad õigusaktid iseenesest ei ole piisavad, et lahendada kohtu tuvastatud põhiküsimusi seoses USA luureteenistuste poolse massilise jälgimisega ning ebapiisava juurdepääsuga õiguskaitsevahenditele; ergutab USA seadusandjat muutma välisluure jälitustegevuse seaduse paragrahvi 702 ning USA presidenti muutma korraldust 12333 ja presidendi poliitikasuunist nr 28, eelkõige seoses massilise jälgimisega ning ELi ja USA kodanikele samaväärse kaitsetaseme tagamisega; ergutab USAd looma mehhanisme, mis tagaksid, et üksikisikud saavad (hilinenud) teateid ja neil on võimalik vaidlustada lubamatu jälgimine paragrahvi 702 ja korralduse 12333 alusel, ning looma seaduses sätestatud mehhanismi, mis tagaks kolmandate riikide kodanikele kohtulikult kaitstavad õigused, mis ulatuvad õiguskaitsevahendite seadusega ettenähtust kaugemale;

24.

tuletab meelde, et liikmesriigid jätkavad isikuandmete vahetamist Ameerika Ühendriikidega terroristide rahastamise jälgimisprogrammi (TFTP), ELi ja USA vahelise broneeringuinfo (PNR) lepingu ja automaatse maksuteabe vahetamise valitsustevaheliste kokkulepete kaudu, millega rakendatakse USA välismaiste kontode maksukuulekuse seadust (FATCA), mis seab ebasoodsasse olukorda nn juhuslikud ameeriklased, nagu on osutatud Euroopa Parlamendi 5. juuli 2018. aasta resolutsioonis USA välismaiste kontode maksukuulekuse seaduse (FATCA) kahjuliku mõju kohta ELi kodanikele ja eelkõige nn juhuslikele ameeriklastele (17); tuletab meelde, et USA-l on jätkuvalt juurdepääs liikmesriikide õiguskaitse andmebaasidele, mis sisaldavad ELi kodanike sõrmejälgi ja DNA-andmeid; nõuab, et komisjon analüüsiks kohtuasjades Schrems I ja II tehtud otsuste mõju sedalaadi andmevahetusele ning esitaks analüüsi 30. septembriks 2021 avalikult ja kirjalikult kodanikuvabaduste, justiits- ja siseasjade komisjonile ja teataks, kuidas ta kavatseb viia andmevahetuse kohtuotsustega kooskõlla;

25.

kutsub komisjoni üles analüüsima ka FISA paragrahvi 702 alla kuuluvate ning lepingu tüüptingimuste alusel andmeid edastavate pilveteenuste osutajate olukorda; kutsub komisjoni üles analüüsima ka mõju ELi ja USA vahelise raamlepingu alusel antud õigustele, kaasa arvatud õigus õiguskaitsele, arvestades, et USA annab selle õiguse sõnaselgelt ainult selliste määratud riikide kodanikele, kes lubavad andmete edastamist USA-le ärilistel eesmärkidel; peab vastuvõetamatuks, et komisjon ei ole aasta pärast tähtaega ikka veel avaldanud raamlepingu esimese ühise läbivaatamise tulemusi, ja kutsub komisjoni üles vajaduse korral viima kokkuleppe viivitamata kooskõlla Euroopa Liidu Kohtu otsustes osutatud nõuetega;

26.

peab Ameerika Ühendriikidele edastatavate Euroopa kodanike andmete kaitses esinevaid märkimisväärseid lünki arvestades vajalikuks toetada investeeringuid Euroopa andmesalvestusvahenditesse (nt pilveteenus), et vähendada liidu sõltuvust kolmandate riikide salvestusvõimsusest ning suurendada liidu strateegilist sõltumatust andmehalduse ja -kaitse alal;

Kaitse piisavuse otsused

27.

kutsub komisjoni üles tegema kõik vajaliku tagamaks, et iga uus USAga seotud kaitse piisavuse otsus oleks täielikult kooskõlas määrusega (EL) 2016/679, hartaga ja Euroopa Liidu Kohtu otsuste kõigi aspektidega; tuletab meelde, et kaitse piisavuse raamistikud hõlbustavad märkimisväärselt majandustegevust, eelkõige VKEde ja idufirmade jaoks, kellel erinevalt suurettevõtetest sageli puudub vajalik finants-, õigus- ja tehniline suutlikkus muude edastusvahendite kasutamiseks; kutsub liikmesriike üles sõlmima USAga spionaaživastaseid kokkuleppeid; kutsub komisjoni üles kasutama oma kontakte USA kolleegidega sõnumi edastamiseks selle kohta, et kui USA jälgimisseadusi ja -praktikaid ei muudeta, on edaspidi ainus võimalus piisavusotsuse tegemiseks spionaaživastaste lepingute sõlmimine liikmesriikidega;

28.

on seisukohal, et ükski komisjoni edaspidine kaitse piisavuse otsus ei tohiks tugineda enesesertifitseerimise süsteemile, nagu see oli nii programmi Safe Harbor kui ka andmekaitseraamistiku Privacy Shield puhul; kutsub komisjoni üles kaasama Euroopa Andmekaitsenõukogu täiel määral USAga seotud uute kaitse piisavuse otsuste täitmise ja jõustamise hindamisse; kutsub komisjoni sellega seoses üles leppima USA valitsusega kokku meetmetes, mis on vajalikud selleks, et Euroopa Andmekaitsenõukogu saaks seda rolli tulemuslikult täita; eeldab, et komisjon võtab põhjalikumalt arvesse Euroopa Parlamendi arvamust iga uue USAd puudutava piisava kaitse otsuse kohta enne otsuse vastuvõtmist;

29.

tuletab meelde, et komisjon vaatab praegu läbi kõik direktiivi 95/46/EÜ alusel vastu võetud kaitse piisavuse otsused; rõhutab, et komisjon peaks kohaldama isikuandmete kaitse üldmääruses ning Euroopa Liidu Kohtu otsustes Schrems I ja II sätestatud rangemaid standardeid, et hinnata, kas on tagatud sisuliselt samaväärne kaitsetase kui isikuandmete kaitse üldmääruses, muu hulgas seoses juurdepääsuga tõhusale õiguskaitsevahendile ja kaitsega põhjendamatu juurdepääsu eest isikuandmetele kolmanda riigi ametiasutuste poolt; nõuab tungivalt, et komisjon viiks need läbivaatamised kiiresti lõpule ja tühistaks või peataks kõik enne isikuandmete kaitse üldmäärust tehtud otsused, kui tema hinnangul kõnealune kolmas riik ei taga sisuliselt samaväärset kaitsetaset ja kui olukorda ei saa parandada;

30.

usub, et nimetades andmekaitseraamistiku Privacy Shield järglase üle peetavate läbirääkimiste pealäbirääkijaks kogenud eraelu puutumatuse eksperdi, näitas Bideni valitsus üles kindlat soovi leida ELi ja USA vahel ärilistel eesmärkidel toimuva andmeedastuse küsimusele kiiresti lahendus; loodab, et komisjoni ja USA partnerite vaheline dialoog, mis algas kohe pärast Euroopa Liidu Kohtu otsust, muutub lähikuudel aktiivsemaks;

31.

kutsub komisjoni üles mitte võtma seoses USAga vastu ühtegi uut kaitse piisavuse otsust, välja arvatud juhul, kui eelkõige riikliku julgeoleku ja luure eesmärgil viiakse läbi sisulised uuendused, mida on võimalik saavutada USA seaduste ja tavade selge, õiguslikult kestliku, jõustatava ja mittediskrimineeriva reformiga; kordab sellega seoses, kui olulised on tugevad kaitsemeetmed, mis puudutavad avaliku sektori asutuste juurdepääsu isikuandmetele; kutsub komisjoni üles viima ellu oma geopoliitilisi ambitsioone, et jõustada ELi andmekaitsega sisuliselt samaväärne andmekaitse USAs ja muudes kolmandates riikides;

32.

soovitab riiklikel andmekaitseasutustel peatada selliste isikuandmete edastamine, millele võivad juurdepääsu saada USA ametiasutused, juhul kui komisjon võtab sisuliste reformide puudumisel USA kohta vastu uue piisava kaitse otsuse;

33.

tunneb heameelt selle üle, et komisjon järgib kriteeriume, mis on sätestatud artikli 29 alusel asutatud andmekaitse töörühma kaitse piisavuse viitedokumendis (18) (mille on kinnitanud Euroopa Andmekaitsenõukogu) ja andmekaitsenõukogu soovituses 01/2021 õiguskaitsedirektiivi kohase piisavuse võrdlusaluse kohta (19); on seisukohal, et hinnates, kas kolmanda riigi suhtes võib võtta vastu kaitse piisavuse otsuse, ei tohiks komisjon teha nendest kriteeriumidest järeleandmisi; võtab teadmiseks, et Euroopa Andmekaitsenõukogu ajakohastas hiljuti soovitusi Euroopa oluliste tagatiste kohta jälgimismeetmete kontekstis, võttes arvesse Euroopa Liidu Kohtu kohtupraktikat (20);

o o

34.

teeb presidendile ülesandeks edastada käesolev resolutsioon komisjonile, Euroopa Ülemkogule, Euroopa Liidu nõukogule, Euroopa Andmekaitsenõukogule, liikmesriikide parlamentidele, Ameerika Ühendriikide Kongressile ja valitsusele ning Ühendkuningriigi parlamendile ja valitsusele.

(1) Kohtuotsus, Euroopa Kohus, 16. juuli 2020, Data Protection Commissioner vs. Facebook Ireland Limited ja Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.

(2) Kohtuotsus, Euroopa Kohus, 6. oktoober 2015, Maximillian Schrems vs. Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.

(3) Kohtuotsus, Euroopa Kohus, 6. oktoober 2020, Privacy International vs. Secretary of State for Foreign and Commonwealth Affairs jt, C-623/17, ECLI:EU:C:2020:790.

(4) ELT C 76, 28.2.2018, lk 82.

(5) ELT C 298, 23.8.2018, lk 73.

(6) ELT C 118, 8.4.2020, lk 133.

(7) ELT C 345, 16.10.2020, lk 58.

(8) ELT L 39, 12.2.2010, lk 5.

(9) ELT L 207, 1.8.2016, lk 1.

(10) Vastuvõetud tekstid, P9_TA(2020)0337.

(11) ELT L 119, 4.5.2016, lk 1.

(12) https://edpb.europa.eu/sites/edpb/files/files/file1 /edpb_guidelines_2_2018_derogations_et.pdf

(13) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiiv (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT L 119, 4.5.2016, lk 89).

(14) ELi ettepanek piiriüleseid andmevooge ning isikuandmete ja eraelu puutumatuse kaitset käsitlevate sätete kohta, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf

(15) Euroopa Andmekaitsenõukogu ja Euroopa Andmekaitseinspektori 14. jaanuari 2021. aasta ühisarvamus 2/2021 kolmandatele riikidele isikuandmete edastamise lepingu tüüptingimuste kohta: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_en

(16) Euroopa Andmekaitsenõukogu 11. novembri 2020. aasta soovitused 01/2020 edastusvahendeid täiendavate meetmete kohta, et tagada vastavus isikuandmete kaitse ELi tasemega, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_et

(17) ELT C 118, 8.4.2020, lk 141.

(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108

(19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_et

(20) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_et