This document is an excerpt from the EUR-Lex website
Document 52021IP0256
European Parliament resolution of 20 May 2021 on the ruling of the CJEU of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (‘Schrems II’), Case C-311/18 (2020/2789(RSP))
2021 m. gegužės 20 d. Europos Parlamento rezoliucija dėl 2020 m. liepos 16 d. ESTT sprendimo Data Protection Commissioner prieš Facebook Ireland Limited ir Maximillian Schrems („Schrems II“), byla C–311/18 (2020/2789(RSP))
2021 m. gegužės 20 d. Europos Parlamento rezoliucija dėl 2020 m. liepos 16 d. ESTT sprendimo Data Protection Commissioner prieš Facebook Ireland Limited ir Maximillian Schrems („Schrems II“), byla C–311/18 (2020/2789(RSP))
OL C 15, 2022 1 12, p. 176–183
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
2022 1 12 |
LT |
Europos Sąjungos oficialusis leidinys |
C 15/176 |
P9_TA(2021)0256
Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems („Schrems II“), byla C-311/18
2021 m. gegužės 20 d. Europos Parlamento rezoliucija dėl 2020 m. liepos 16 d. ESTT sprendimo Data Protection Commissioner prieš Facebook Ireland Limited ir Maximillian Schrems („Schrems II“), byla C–311/18 (2020/2789(RSP))
(2022/C 15/18)
Europos Parlamentas,
|
— |
atsižvelgdamas į Europos Sąjungos pagrindinių teisių chartiją (toliau – Chartija), ypač į jos 7, 8, 16, 47 ir 52 straipsnius, |
|
— |
atsižvelgdamas į 2020 m. liepos 16 d. Teisingumo Teismo sprendimą byloje C–311/18 Data Protection Commissioner prieš Facebook Ireland Limited ir Maximillian Schrems („Schrems II“) (1), |
|
— |
atsižvelgdamas į 2015 m. spalio 6 d. Teisingumo Teismo sprendimą byloje C–362/14 Maximillian Schrems prieš Data Protection Commissioner („Schrems I“) (2), |
|
— |
atsižvelgdamas į 2020 m. spalio 6 d. Teisingumo Teismo sprendimą byloje C-623/17 Privacy International prieš Secretary of State of Foreign and Commonwealth Affairs ir kt. (3), |
|
— |
atsižvelgdamas į savo 2016 m. gegužės 26 d. rezoliuciją dėl transatlantinių duomenų srautų (4), |
|
— |
atsižvelgdamas į savo 2017 m. balandžio 6 d. rezoliuciją dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo (5), |
|
— |
atsižvelgdamas į savo 2018 m. liepos 5 d. rezoliuciją dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo (6), |
|
— |
atsižvelgdamas į savo 2018 m. spalio 25 d. rezoliuciją dėl „Cambridge Analytica“ naudojimosi „Facebook“ naudotojų duomenimis ir poveikio duomenų apsaugai (7), |
|
— |
atsižvelgdamas į 2010 m. vasario 5 d. Komisijos sprendimą 2010/87/ES dėl sutarčių standartinių sąlygų, nustatytų asmens duomenų perdavimui trečiosiose šalyse įsikūrusiems tvarkytojams pagal Europos Parlamento ir Tarybos direktyvos 95/46/EB nuostatas (pranešta dokumentu Nr. C(2010) 593) (8), |
|
— |
atsižvelgdamas į 2016 m. liepos 12 d. Komisijos įgyvendinimo sprendimą (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo pagal Europos Parlamento ir Tarybos direktyvą 95/46/EB (pranešta dokumentu Nr. C(2016) 4176) (9), |
|
— |
atsižvelgdamas į savo 2020 m. lapkričio 26 d. rezoliuciją dėl ES prekybos politikos peržiūros (10), |
|
— |
atsižvelgdamas į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (11), ypač į jo V skyrių, |
|
— |
atsižvelgdamas į Komisijos pasiūlymą dėl reglamento dėl privatumo ir elektroninių ryšių (COM(2017)0010), atsižvelgdamas į sprendimą pradėti tarpinstitucines derybas, patvirtinto Parlamento plenariniame posėdyje 2017 m. spalio 25 d., ir 2021 m. vasario 10 d. priimtą Tarybos bendrąjį požiūrį (6087/21), |
|
— |
atsižvelgdamas į Europos duomenų apsaugos valdybos (EDAV) rekomendacijas Nr. 01/2020 dėl priemonių duomenų perdavimo priemonėms papildyti, siekiant užtikrinti atitiktį ES asmens duomenų apsaugos lygiui, ir EDAV rekomendacijas Nr. 02/2020 dėl Europos pagrindinių garantijų teikiant stebėjimo priemones, taip pat 2020 m. lapkričio 19 d. EDAV pareiškimą dėl E. privatumo reglamento ir būsimo priežiūros institucijų ir EDAV vaidmens, |
|
— |
atsižvelgdamas į Darbo tvarkos taisyklių 132 straipsnio 2 dalį, |
|
A. |
kadangi galimybė perduoti asmens duomenis iš vienos valstybės į kitą gali būti pagrindinė inovacijų, našumo ir ekonominio konkurencingumo varomoji jėga; kadangi tai yra juolab svarbu atsižvelgiant į dabartinę COVID-19 pandemiją, nes toks duomenų perdavimas yra labai svarbus siekiant užtikrinti veiklos ir vyriausybės veiksmų tęstinumą, taip pat socialinę sąveiką; kadangi jis taip pat gali paremti išeities iš pandemijos strategijas ir prisidėti prie ekonomikos atsigavimo; |
|
B. |
kadangi Europos Sąjungos Teisingumo Teismas (ESTT) bylos „Schrems I“ sprendime Komisijos sprendimą dėl saugaus uosto pripažino negaliojančiu remdamasis nustatytais faktais ir nurodė, kad žvalgybos tarnyboms leidžiant nediferencijuotai susipažinti su elektroninės komunikacijos turiniu pažeidžiama Chartijos 7 straipsnyje nustatytos teisės į komunikacijos konfidencialumą esmė; |
|
C. |
kadangi bylos „Schrems II“ sprendime Teisingumo Teismas nustatė, kad Jungtinės Amerikos Valstijos (JAV) ne JAV piliečiams neužtikrina pakankamų teisių gynimo priemonių dėl masinio sekimo ir tai, kad taip pažeidžiama teisės į Chartijos 47 straipsnyje nustatytą teisinę gynybą esmė; |
|
D. |
kadangi Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas visoms Sąjungoje esančių duomenų subjektų asmens duomenis tvarkančioms įmonėms, kai duomenų tvarkymo veikla yra susijusi su prekių ar paslaugų siūlymu tokiems duomenų subjektams Sąjungoje arba jų elgesio, jei jie veikia Sąjungoje, stebėsena; |
|
E. |
kadangi Europos piliečių duomenys, kuriuos saugo ir perduoda telekomunikacijų operatoriai ir įmonės, yra labai svarbus išteklius, prisidedantis prie ES strateginių interesų; |
|
F. |
kadangi valstybinių subjektų vykdomas masinis sekimas pasitelkiant elektronines paieškos priemones (angl. dragnet) kenkia Europos piliečių, vyriausybių ir įmonių pasitikėjimui skaitmeninėmis paslaugomis ir, atitinkamai, skaitmeninei ekonomikai; |
|
G. |
kadangi vartotojų ir kitų pilietinės visuomenės organizacijų ištekliai yra riboti ir duomenų apsaugos teisių ir pareigų vykdymas negali priklausyti nuo jų veiksmų; kadangi dėl nacionalinių procedūrų ir praktikos įvairovės iškyla sunkumų taikant BDAR nustatytą tarpvalstybinių skundų nagrinėjimo mechanizmą; kadangi nėra aiškių terminų, procesai paprastai vyksta lėtai, priežiūros institucijos neturi pakankamų išteklių, tam tikrais atvejais trūksta noro naudotis jau paskirtais ištekliais arba jie naudojami neveiksmingai; kadangi šiuo metu vienos nacionalinės institucijos rankose susikaupė daug skundų dėl įtariamų didžiųjų technologijų įmonių padarytų pažeidimų, dėl to stringa įgyvendinimas; |
|
H. |
kadangi nagrinėjant bylą, kurioje buvo priimtas šis ESTT sprendimas, taip pat paaiškėjo, kad duomenų subjektams ir vartotojams sunku apginti savo teises ir taip daromas atgrasomasis poveikis jų gebėjimui apginti savo teises Airijos duomenų apsaugos pareigūno institucijoje; |
|
I. |
kadangi Parlamentas savo 2018 m. spalio 25 d. rezoliucijoje, nurodydamas, kad JAV nesilaikė 2018 m. rugsėjo 1 d. termino, iki kurio turėjo visiškai atitikti privatumo skydo reikalavimus, jau ragino Komisiją sustabdyti privatumo skydo taikymą iki tol, kol JAV valdžios institucijos ims laikytis jo sąlygų; |
|
J. |
kadangi duomenų subjektų teisės, garantuojamos ES duomenų apsaugos teisės aktais, turėtų būti gerbiamos nepriklausomai nuo rizikos, kurią jie patiria tvarkant asmens duomenis, lygio, įskaitant atvejus, susijusius su asmens duomenų perdavimu į trečiąsias šalis; kadangi duomenų valdytojai visada turėtų būti atsakingi už tai, kad būtų laikomasi duomenų apsaugos prievolių, jie taip pat privalo įrodyti, kad jų laikosi tvarkydami visus duomenis, neatsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą, tikslus ir riziką duomenų subjektams; |
|
K. |
kadangi iki šiol, nepaisant reikšmingų ESTT praktikos pokyčių per pastaruosius penkerius metus ir veiksmingo BDAR taikymo nuo 2018 m. gegužės 25 d., priežiūros institucijos nepriėmė sprendimo, kuriuo būtų nustatytos taisomosios priemonės, susijusios su asmens duomenų perdavimu pagal BDAR nuoseklumo užtikrinimo mechanizmą; kadangi priežiūros institucijos nacionaliniu lygmeniu nepriėmė prasmingo sprendimo, kuriuo būtų nustatytos taisomosios priemonės ar baudos, susijusios su asmens duomenų perdavimu trečiosioms šalims; |
|
L. |
kadangi pirmą dieną, kai pradėjo eiti pareigas, JAV prezidentas D. Biden paskyrė JAV prekybos departamento tarnybų sekretoriaus pavaduotoją, kuris bus vyriausiasis derybininkas komercinių duomenų perdavimo iš ES klausimais; kadangi prezidento paskirtoji JAV prekybos sekretorė Gina Raimondo per Senato patvirtinimo klausymą pareiškė, kad greitas derybų dėl privatumo skydą pakeisiančio susitarimo užbaigimas yra vienas svarbiausių prioritetų; |
Bendrosios pastabos
|
1. |
atkreipia dėmesį į 2020 m. liepos 16 d. ESTT sprendimą, kuriuo Teisingumo Teismas iš esmės paliko galioti Sprendimą 2010/87/ES dėl sutarčių standartinių sąlygų, kuris yra dažniausiai naudojamas tarptautinio duomenų perdavimo mechanizmas; be to, pažymi, kad Teisingumo Teismas Komisijos sprendimą (ES) 2016/1250 dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo paskelbė negaliojančiu; pažymi, kad iki šiol ESTT nebuvo teisiškai patvirtintas nė vienas tvarus mechanizmas, kuriuo būtų užtikrinamas teisėtas komercinių asmens duomenų perdavimas tarp ES ir JAV; |
|
2. |
atkreipia dėmesį į tai, kad ESTT konstatavo, jog standartinės sutarčių sąlygos yra veiksmingas mechanizmas, kuriuo užtikrinamas ES numatyto apsaugos lygio laikymasis, bet pareikalavo, kad prieš perduodant duomenis Europos Sąjungos įsteigtas duomenų valdytojas (tvarkytojas) privalėtų patikrinti, ar atitinkamoje trečiojoje šalyje laikomasi pagal ES teisės aktus reikalaujamo apsaugos lygio; primena, kad tam, be kita ko, vertinamas teisinis režimas, susijęs su valdžios institucijų prieiga prie asmens duomenų, siekiant užtikrinti, kad duomenų subjektams ir jų perduodamiems duomenims nekiltų pavojaus, kad jiems būtų taikomos JAV sekimo programos, pagal kurias gali būti masiškai renkami asmens duomenys; primena, kad tais atvejais, kai gavėjas negali laikytis standartinių sutarčių sąlygų, ESTT nusprendė, kad duomenų valdytojai ar tvarkytojai įpareigojami sustabdyti duomenų perdavimą ir (arba) nutraukti sutartį; tačiau pažymi, kad daugelis įmonių, ypač MVĮ, neturi pakankamai žinių ar pajėgumų, kad atliktų tokį patikrinimą, ir dėl to gali būti sutrikdytas verslas; |
|
3. |
mano, kad ESTT sprendimas, kuriame daugiausia dėmesio skiriama duomenų apsaugos lygiui, užtikrinamam ES duomenų subjektams, kurių duomenys buvo perduoti JAV pagal privatumo skydo mechanizmą, taip pat turi poveikį su kitomis trečiosiomis šalimis, įskaitant Jungtinę Karalystę, susijusiems sprendimams dėl tinkamumo; dar kartą patvirtina, kad būtina užtikrinti teisinį aiškumą ir tikrumą, nes galimybė saugiai perduoti asmens duomenis tarpvalstybiniu lygmeniu įgyja vis didesnę svarbą asmenims jiems siekiant apsaugoti savo asmens duomenis ir teises, taip pat visų rūšių organizacijoms, tiekiančioms prekes ir teikiančioms paslaugas tarptautiniu lygmeniu, ir įmonėms dėl teisinio režimo, kurio jos laikosi savo veikloje; tačiau pabrėžia, kad esami sprendimai dėl tinkamumo lieka galioti, kol ESTT jų neatšaukė, nepakeitė ar nepaskelbė negaliojančiais; |
|
4. |
yra nusivylęs tuo, kad Airijos duomenų apsaugos pareigūnas pareiškė ieškinį Maximilianui Schremsui ir „Facebook“ Airijos aukščiausiajam teismui, užuot priėmęs sprendimą pagal savo įgaliojimus, nustatytus Sprendimo 2010/87/ES 4 straipsnyje ir BDAR 58 straipsnyje; tačiau primena, kad duomenų apsaugos pareigūnas pasinaudojo teisine priemone, kurią taikant abejonių turinčios duomenų apsaugos institucijos (DAI) dėl Komisijos įgyvendinimo sprendimo galiojimo gali kreiptis į nacionalinį teisėją, kad ESTT būtų pateiktas prašymas priimti prejudicinį sprendimą; reiškia didelį susirūpinimą dėl to, kad duomenų apsaugos pareigūnas, kurio institucija atlieka svarbiausią vaidmenį nagrinėjant tokius atvejus, dar nepriėmė sprendimo dėl 2018 m. gegužės 25 d., kai pradėtas taikyti BDAR, pateiktų kelių skundų, taip pat dėl kitų skundų, kuriuos pateikė privatumo organizacijos ir vartotojų grupės, dėl BDAR pažeidimų; yra susirūpinęs tuo, kad duomenų apsaugos pareigūnas BDAR 60 straipsnio 3 dalyje vartojamą sąvoką „nedelsdama“, priešingai, nei norėta teisės aktų leidėjų, aiškina kaip ilgesnį nei kelių mėnesių laikotarpį; nerimauja dėl to, kad priežiūros institucijos nesiėmė aktyvių veiksmų pagal BDAR 61 ir 66 straipsnius, kad priverstų duomenų apsaugos pareigūną vykdyti savo prievoles pagal BDAR; taip pat yra susirūpinęs dėl to, kad duomenų apsaugos pareigūno institucijoje dirba per mažai technologijų specialistų ir naudojamos pasenusios sistemos; apgailestauja dėl nesėkmingo duomenų apsaugos pareigūno bandymo perkelti teismo proceso išlaidas atsakovui poveikio, nes taip jis būtų sukėlęs didžiulio masto atgrasomąjį poveikį; ragina Komisiją pradėti pažeidimo nagrinėjimo procedūras prieš Airiją dėl netinkamo Bendrojo duomenų apsaugos reglamento vykdymo užtikrinimo; |
|
5. |
yra susirūpinęs dėl nepakankamo BDAR vykdymo užtikrinimo lygio, visų pirma tarptautinio duomenų perdavimo srityje; reiškia susirūpinimą tuo, kad nacionalinės priežiūros institucijos nenustato prioritetų ir neatlieka bendro tikrinimo, susijusio su asmens duomenų perdavimu trečiosioms šalims, nors per pastaruosius penkerius metus įvyko svarbių ESTT praktikos pokyčių; apgailestauja dėl to, kad šiuo klausimu nepriimta prasmingų sprendimų ir nenustatyta taisomųjų priemonių, ir primygtinai ragina EDAV ir nacionalines priežiūros institucijas į savo audito, atitikties ir vykdymo užtikrinimo strategijas įtraukti asmens duomenų perdavimą; pažymi, kad siekiant užtikrinti teisinį tikrumą ir nagrinėti tarpvalstybinius skundus, reikalingos suderintos privalomos administracinės procedūros dėl atstovavimo duomenų subjektams ir priimtinumo; |
|
6. |
atkreipia dėmesį į Komisijos įgyvendinimo sprendimo dėl standartinių sutarčių sąlygų projektą dėl asmens duomenų perdavimo trečiosioms šalims; ragina EDAV paskelbti tolesnes gaires įmonėms, o ypač – MVĮ, dėl tarptautinio duomenų perdavimo, įskaitant duomenų perdavimo įvertinimo kontrolinį sąrašą, priemones, kuriomis siekiama įvertinti, ar vyriausybėms leidžiama arba ar jos gali prieiti prie duomenų, ir informaciją apie papildomas priemones, kurios turi būti taikomos perduodant duomenis pagal standartines sutarčių sąlygas; siūlo EDAV taip pat prašyti nepriklausomų akademinės bendruomenės atstovų pateikti nuomonę dėl galimos nacionalinės teisės aktų kolizijos valstybėse, kurios yra svarbios prekybos partnerės; |
|
7. |
primena, kad remiantis EDAV gairėmis 2/2018 (12) dėl nuostatų, leidžiančių nukrypti nuo Reglamento (ES) 2016/679 49 straipsnio, kai duomenys perduodami ne pagal sprendimus dėl tinkamumo ar kitus aktus, kuriomis užtikrinamos tinkamos apsaugos priemonės, o remiantis nuostatomis, kuriomis tam tikrais atvejais leidžiama nukrypti nuo BDAR 49 straipsnio, jos turi būti aiškinamos griežtai, kad išimtis netaptų taisykle; tačiau pažymi, kad ES ir JAV privatumo skydą paskelbus negaliojančiu transatlantiniai duomenų srautai buvo išlaikyti skaitmeninės reklamos tikslais, nepaisant abejonių dėl duomenų perdavimo reklamos tikslais teisinio pagrindo; ragina EDAV ir DAI užtikrinti, kad tokių nukrypti leidžiančių nuostatų taikymas ir kontrolė būtų nuosekliai aiškinami pagal EDAV gaires; |
|
8. |
palankiai vertina tarptautines diskusijas dėl BDAR ir Duomenų apsaugos teisėsaugos srityje direktyvos (Teisėsaugos direktyva) (13) reikalavimus atitinkančių tarpvalstybinių asmens duomenų srautų; pabrėžia, kad BDAR, Teisėsaugos direktyva, e. privatumo taisyklės ir kitos esamos ir būsimos priemonės, kuriomis saugomos pagrindinės teisės į privatumą ir asmens duomenų apsaugą, neturi būti pažeistos arba turi būti įtrauktos į tarptautines prekybos sutartis; primygtinai ragina Komisiją laikytis 2018 m. ES horizontaliosios pozicijos (14) ir nuo jos nenukrypti ir, vertinant trečiųjų šalių tinkamumą, atsižvelgti į atitinkamus jų įsipareigojimus pagal prekybos teisę, be kita ko, dėl tolesnio duomenų perdavimo; |
Standartinės sutarčių sąlygos
|
9. |
atkreipia dėmesį į Komisijos įgyvendinimo sprendimo projektą ir į standartinių sutarčių sąlygų projektą; palankiai vertina tai, kad Komisija siekė surinkti iš suinteresuotųjų subjektų grįžtamąją informaciją ir surengė viešas konsultacijas dėl šio projekto; pažymi, kad EDAV ir EDAPP, pareikšdami bendrą nuomonę 2021 m. sausio 15 d. (15), teigiamai atsiliepė apie standartinių sutarčių sąlygų projektą, tačiau pasiūlė keletą papildomų patobulinimų; tikisi, kad prieš pradėdama komiteto procedūrą Komisija atsižvelgs į gautą informaciją; |
|
10. |
primena, kad standartinėmis sutarčių sąlygomis naudojasi labai daug MVĮ; pabrėžia, kad reikia skubiai parengti visų rūšių įmonėms skirtas gaires ir teikti pagalbą siekiant užtikrinti teisinį tikrumą taikant bei aiškinant Teisingumo Teismo sprendimą; |
|
11. |
atkreipia dėmesį į EDAV rekomendacijas Nr. 01/2020 (16) dėl priemonių duomenų perdavimo priemonėms papildyti, siekiant užtikrinti atitiktį ES asmens duomenų apsaugos lygiui; palankiai vertina tai, kad EDAV surengė viešas konsultacijas dėl savo rekomendacijų; yra susirūpinęs dėl to, kad šios rekomendacijos gali neatitikti Komisijos pasiūlymo dėl standartinių sutarčių sąlygų nuostatų; ragina Komisiją ir EDAV bendradarbiauti rengiant galutinę jų atitinkamų dokumentų redakciją, kad būtų užtikrintas teisinis tikrumas priėmus ESTT sprendimą; mano, kad Komisija turėtų vadovautis EDAV gairėmis; |
|
12. |
visų pirma palankiai vertina EDAV rekomendacijas dėl būtinybės duomenų valdytojams vertinant, ar dėl trečiosios šalies teisės ar praktikos gali sumažėti tinkamų apsaugos priemonių veiksmingumas taikant nagrinėjamų duomenų perdavimo priemonės, remtis objektyviais, o ne subjektyviais veiksniais, kaip antai tikimybe, kad valdžios institucijos gaus prieigą prie duomenų taip, kad tai neatitiks ES standartų, kuriuos ESTT yra ne kartą atmetęs; atsižvelgdamas į tai, ragina Komisiją užtikrinti, kad jos pasiūlymas dėl standartinių sutarčių sąlygų būtų visiškai suderintas su taikytina ESTT jurisprudencija; |
|
13. |
pabrėžia, kad asmens duomenis iš ES perduodančioms ES įmonėms itin svarbu turėti galimybę naudoti patikimus mechanizmus, atitinkančius ESTT sprendimą; šiuo atžvilgiu mano, kad dabartiniame Komisijos pasiūlyme dėl standartinių sutarčių sąlygų šablono turėtų būti tinkamai atsižvelgiama į visas susijusias EDAV rekomendacijas; pritaria tam, kad būtų sukurtas papildomų priemonių, pvz., saugumo ir duomenų apsaugos sertifikavimo, šifravimo apsaugos ir pseudoniminimo priemonių, kurias pripažintų reguliavimo institucijos, rinkinys ir būtų viešai prieinami ištekliai apie atitinkamus pagrindinių ES prekybos partnerių teisės aktus; |
|
14. |
atkreipia dėmesį į tai, kad pagal šias standartines sutarčių sąlygas duomenų valdytojai, kuriems taikomos JAV užsienio žvalgybos informacijos sekimo akto (FISA) nuostatos, dėl didelės masinio sekimo rizikos negali perduoti asmens duomenų iš Sąjungos; tikisi, kad tuo atveju, jei greitai nebus sudarytas susitarimas su JAV, kuris užtikrintų apsaugos lygį, kuris būtų iš esmės lygiavertis apsaugos lygiui, numatytam BDAR ir Chartijoje, taigi ir tinkamas, visi duomenų perdavimai bus sustabdyti, kol padėtis nebus išspręsta; atkreipia dėmesį į ESTT išvadą, kad nei FISA 702 skirsnis, nei Vykdomasis potvarkis Nr. 12333 (E.O. 12333), taikomi kartu su Prezidento politikos direktyva Nr. 28 (PPD-28), neprilygsta minimaliosioms apsaugos priemonėms, kurios pagal ES teisę grindžiamos proporcingumo principu, tad pagal minėtas nuostatas sekimo programų negalima laikyti užtikrinančiomis duomenų naudojimo apribojimą tuo, kas visiškai būtina; pabrėžia, kad reikia iš esmės spręsti Teisingumo Teismo sprendime nustatytas problemas, kad būtų užtikrinta tinkama duomenų subjektų asmens duomenų apsauga; primena, kad jokia įmonių sutartis negali užtikrinti apsaugos nuo žvalgybos institucijų nediferencijuotos prieigos prie elektroninių ryšių turinio, taip pat jokia įmonių sutartis negali suteikti pakankamų teisių gynimo priemonių, jei vykdomas masinis sekimas; pabrėžia, kad tam reikia įvykdyti JAV sekimo įstatymų ir praktikos reformą, siekiant užtikrinti, kad JAV saugumo institucijų prieiga prie duomenų, perduodamų iš ES, neviršytų to, kas būtina ir proporcinga, ir kad Europos duomenų subjektai turėtų galimybę pasinaudoti veiksmingomis teisminėmis teisių gynimo priemonėmis JAV teismuose; |
|
15. |
atkreipia dėmesį į tai, kad nors Europos MVĮ ir ne pelno organizacijos bei asociacijos turi ribotą derybinę bei finansinę galią ir teisnumą, tikimasi, kad jos, remdamosi įgaliotais trečiųjų šalių tinkamumo įsivertinimais, galės suprasti trečiosiose šalyse taikomas sudėtingas teisines sistemas; primygtinai ragina Komisiją ir EDAV pateikti gaires, kaip praktiškai taikyti patikimas papildomas priemones, ypač MVĮ; |
|
16. |
primygtinai ragina DAI vykdyti savo įsipareigojimus, nustatytus ESTT sprendime, siekiant užtikrinti, kad BDAR būtų įgyvendintas tinkamai ir greitai, įdėmiai stebint standartinių sutarčių sąlygų naudojimą; ragina DAI padėti įmonėms laikytis Teisingumo Teismo jurisprudencijos; primygtinai ragina DAI taip pat naudotis visais savo tiriamaisiais ir taisomaisiais įgaliojimais, nustatytais BDAR 58 straipsnyje, tais atvejais, kai duomenų eksportuotojai perduoda asmens duomenis, nepaisant galiojančių trečiosios šalies, į kurią per duodami duomenys, įstatymų, trukdančių duomenų importuotojui laikytis standartinių sutarčių sąlygų, ir nėra numatytų veiksmingų papildomų priemonių; primena ESTT nuomonę, kad visos priežiūros institucijos „privalo […] vykdyti savo užduotį – užtikrinti visapusišką BDAR laikymąsi“; |
Privatumo skydas
|
17. |
pažymi, jog ESTT nustatė, kad ES ir JAV privatumo skydas neužtikrina iš esmės lygiaverčio (taigi, ir tinkamo) apsaugos lygio palyginti su tuo, kuris nustatytas BDAR ir Chartija, visų pirma dėl JAV valdžios institucijų masinės prieigos prie asmens duomenų, perduodamų pagal privatumo skydą, kuris neatitinka būtinumo ir proporcingumo principų, ir dėl to, kad JAV teismuose arba bet kuriose kitose nepriklausomose institucijose, veikiančiose kaip teismai, ES duomenų subjektams nesuteikiamos įgyvendinamos teisės, kuriomis jie galėtų remtis JAV valdžios institucijų atžvilgiu; tikisi, kad esama JAV administracija aktyviau vykdys įsipareigojimus taikant galimus būsimus duomenų perdavimo mechanizmus nei ankstesnės administracijos, kurios nebuvo pakankamai politiškai įsipareigojusios laikytis saugaus uosto taisyklių bei užtikrinti jų vykdymą ir užtikrinti privatumo skydo taisyklių vykdymą; |
|
18. |
atkreipia dėmesį į tai, kad kai kurios įmonės, reaguodamos į sprendimą byloje „Schrems II“, paskubomis persvarstė savo pranešimus dėl privatumo ir sutartis su trečiosiomis šalimis, susijusias su jų įsipareigojimais pagal privatumo skydo sistemą, neįvertindamos geriausių priemonių teisėtai perduoti duomenis; |
|
19. |
apgailestauja dėl to, kad, nepaisant daugelio Parlamento raginimų jo 2016 m., 2017 m. ir 2018 m. rezoliucijose Komisijai imtis visų būtinų priemonių užtikrinti, kad privatumo skydas visiškai atitiktų BDAR ir Chartiją, Komisija nesiėmė veiksmų pagal BDAR 45 straipsnio 5 dalį; apgailestauja dėl to, kad Komisija ignoravo Parlamento raginimus sustabdyti privatumo skydo taikymą, kol JAV valdžios institucijos nepradės laikytis jo sąlygų, ir dėl to iškilo pavojus, kad ESTT paskelbs privatumo skydą negaliojančiu; primena, kad 29 straipsnio darbo grupė ir EDAV ne kartą atkreipė dėmesį į su privatumo skydo veikimu susijusias problemas; |
|
20. |
apgailestauja dėl to, kad Komisija santykiams su JAV teikė didesnę svarbą nei ES piliečių interesams, taip užduotį ginti ES teisę palikdama pavieniams piliečiams; |
Masinis sekimas ir teisinė sistema
|
21. |
ragina Komisiją aktyviai stebėti masinio sekimo technologijų naudojimą Jungtinėse Amerikos Valstijose ir kitose trečiosiose šalyse, kurių atžvilgiu yra arba gali būti daromos tinkamumo išvados, pvz., Jungtinėje Karalystėje; primygtinai ragina Komisiją nepriimti sprendimų dėl tinkamumo dėl šalių, kurių masinio sekimo įstatymų ir programų nuostatos formaliai ar iš esmės neatitinka ESTT kriterijų; |
|
22. |
atkreipia dėmesį į tai, kad JAV neseniai įsigaliojo Kalifornijos vartotojų privatumo aktas (CCPA); atkreipia dėmesį į susijusias federalinio lygmens diskusijas ir teisėkūros pasiūlymus; atkreipia dėmesį į tai, kad, nors imamasi veiksmų tinkama linkme, nei CCPA, nei joks federalinio lygmens pasiūlymas neatitinka BDAR nustatytų reikalavimų, kad būtų galima padaryti tinkamumo išvadas; primygtinai ragina JAV teisės aktų leidėją priimti teisės aktus, kurie atitiktų šiuos reikalavimus, ir taip prisidėti prie to, kad pagal JAV teisę būtų suteikiama apsauga, kurios lygis būtų iš esmės lygiavertis ES užtikrinamai apsaugai; |
|
23. |
atkreipia dėmesį į tai, kad vien tik tokių vartotojų duomenų apsaugos ir privatumo teisės aktų nepakaks, kad būtų išspręstos pagrindinės Teismo nustatytos problemos, susijusios su JAV žvalgybos tarnybų vykdomu masiniu sekimu ir nepakankamomis galimybėmis pasinaudoti teisių gynimo priemonėmis; ragina JAV teisės aktų leidėją iš dalies pakeisti FISA 702 skirsnį, o JAV prezidentą – Vykdomąjį potvarkį Nr. 12333 ir Prezidento politikos direktyvą Nr. 28, visų pirma siekiant nutraukti masinį sekimą ir užtikrinti tokio paties lygio apsaugą ES ir JAV piliečiams; ragina JAV numatyti mechanizmus, kuriais būtų užtikrinama, kad asmenys gautų (vėlesnius) pranešimus ir galėtų užginčyti netinkamą sekimą pagal 702 skirsnį ir Vykdomąjį potvarkį Nr. 12333, ir numatyti teisės aktuose numatytą mechanizmą, kuriuo būtų užtikrinama, kad ne JAV piliečiai turėtų įgyvendinamas teises, suteikiančias daugiau galimybių nei Teisminio teisių gynimo įstatymas; |
|
24. |
primena, kad valstybės narės ir toliau keičiasi asmens duomenimis su Jungtinėmis Amerikos Valstijomis pagal Terorizmo finansavimo sekimo programą (TFSP) bei ES ir JAV susitarimą dėl keleivio duomenų įrašo (PNR) ir vykdo automatinius mokesčių duomenų mainus pagal tarpvyriausybinius susitarimus, kuriais įgyvendinamas JAV užsienio sąskaitoms taikomų mokestinių prievolių vykdymo aktas (FATCA), darantis neigiamą poveikį „atsitiktiniams amerikiečiams“, kaip pažymėta 2018 m. liepos 5 d. Parlamento rezoliucijoje dėl neigiamo JAV užsienio sąskaitoms taikomų mokestinių prievolių vykdymo akto (FATCA) poveikio ES piliečiams, ypač „atsitiktiniams amerikiečiams“ (17); primena, kad JAV ir toliau turi prieigą prie valstybių narių teisėsaugos duomenų bazių, kuriose saugomi ES piliečių pirštų atspaudai ir DNR duomenys; prašo Komisijos išanalizuoti sprendimų bylose „Schrems I“ ir „Schrems II“ poveikį šiems duomenų mainams ir iki 2021 m. rugsėjo 30 d. Piliečių laisvių, teisingumo ir vidaus reikalų komitetui pateikti savo analizę ir raštu bei viešai pranešti, kaip ji ketina užtikrinti, kad šie mainai atitiktų šiuos sprendimus; |
|
25. |
taip pat ragina Komisiją išnagrinėti debesijos paslaugų teikėjų, kuriems taikomas FISA 702 skirsnis ir kurie perduoda duomenis naudodamiesi standartinėmis sutarčių sąlygomis, padėtį; taip pat ragina Komisiją išnagrinėti poveikį teisėms, suteikiamoms pagal ES ir JAV bendrąjį susitarimą, įskaitant teisę į teisių gynimą teismine tvarka, atsižvelgiant į tai, kad JAV aiškiai suteikia šią teisę tik nurodytų šalių piliečiams, kurie leidžia perduoti duomenis į JAV komerciniais tikslais; mano, jog nepriimtina, kad praėjus metams po galutinio termino Komisija dar nepaskelbė savo pirmosios bendros bendrojo susitarimo peržiūros išvadų, ir ragina Komisiją prireikus nedelsiant suderinti susitarimą su standartais, nustatytais ESTT sprendimais; |
|
26. |
mano, kad, atsižvelgiant į nustatytas Europos piliečių duomenų, perduodamų į Jungtines Amerikos Valstijas, apsaugos spragas, būtina remti investicijas į Europos duomenų saugojimo priemones (pvz., debesijos paslaugas), kad būtų sumažinta Sąjungos saugojimo pajėgumų priklausomybė nuo trečiųjų šalių ir padidintas Sąjungos strateginis savarankiškumas duomenų valdymo ir apsaugos srityje; |
Sprendimai dėl tinkamumo
|
27. |
ragina Komisiją imtis visų būtinų priemonių siekiant užtikrinti, kad visi nauji sprendimai dėl tinkamumo, susiję su JAV, visiškai atitiktų Reglamentą (ES) 2016/679, Chartiją ir visus ESTT sprendimų aspektus; primena, kad tinkamumo sistemos labai palengvina ekonominę veiklą, ypač MVĮ ir pradedančiosioms įmonėms, kurios, skirtingai nei didelės įmonės, dažnai neturi reikiamų finansinių, teisinių ir techninių pajėgumų, kad galėtų pasinaudoti kitomis perdavimo priemonėmis; ragina valstybes nares sudaryti su JAV nešnipinėjimo susitarimus; ragina Komisiją pasinaudoti savo ryšiais su partnerėmis JAV ir perduoti joms žinią, kad JAV nepakeitus savo sekimo įstatymų ir praktikos vienintelė įmanoma galimybė sudaryti sąlygas ateityje priimti sprendimą dėl tinkamumo būtų sudaryti nešnipinėjimo susitarimus su valstybėmis narėmis; |
|
28. |
mano, kad joks būsimas Komisijos sprendimas dėl tinkamumo neturėtų būti grindžiamas savarankiško patvirtinimo sistema, kaip buvo ir saugaus uosto, ir privatumo skydo atveju; ragina Komisiją visapusiškai įtraukti EDAV į vertinimą, kaip laikomasi naujų JAV atžvilgiu priimtų sprendimų dėl tinkamumo ir kaip jie vykdomi; šiuo požiūriu ragina Komisiją susitarti su JAV administracija dėl būtinų priemonių, kad EDAV galėtų veiksmingai atlikti šį vaidmenį; tikisi, kad prieš priimdama tokį sprendimą Komisija rimčiau atsižvelgs į Europos Parlamento poziciją dėl naujo sprendimo dėl apsaugos lygio JAV tinkamumo; |
|
29. |
primena, kad Komisija šiuo metu peržiūri visus pagal Direktyvą 95/46/EB priimtus sprendimus dėl tinkamumo; pabrėžia, kad Komisija turėtų taikyti griežtesnius BDAR ir ESTT sprendimuose „Schrems I“ ir „Schrems II“ nustatytus standartus, kad įvertintų, ar užtikrinamas apsaugos lygis, iš esmės lygiavertis numatytajam BDAR, be kita ko, dėl galimybės naudotis veiksmingomis apsaugos priemonėmis ir apsauga nuo nepagrįstos trečiosios šalies valdžios institucijų prieigos prie asmens duomenų; primygtinai ragina Komisiją skubiai užbaigti šias peržiūras ir atšaukti arba sustabdyti visus iki BDAR priimtus sprendimus, jei ji nustato, kad atitinkama trečioji šalis neužtikrina apsaugos lygio, kuris yra iš esmės lygiavertis, ir jei padėties negalima ištaisyti; |
|
30. |
mano, kad J. Bideno administracija, paskyrusi patyrusį privatumo ekspertą vyriausiuoju derybininku dėl privatumo skydą pakeisiančio susitarimo, pademonstravo įsipareigojimą teikti prioritetą tam, kad būtų rastas sprendimas dėl komercinių duomenų perdavimo tarp ES ir JAV; tikisi, kad ateinančiais mėnesiais suintensyvės Komisijos ir jos partnerių Jungtinėse Amerikos Valstijose dialogas, pradėtas iš karto po to, kai buvo priimtas ESTT sprendimas; |
|
31. |
ragina Komisiją JAV atžvilgiu nepriimti jokio naujo sprendimo dėl tinkamumo, nebent būtų įgyvendintos reikšmingos reformos, visų pirma nacionalinio saugumo ir žvalgybos tikslais, kurias galima užtikrinti skaidriai, teisiškai tvariai, patikimai ir be diskriminacijos reformuojant JAV įstatymus ir praktiką; šiuo požiūriu dar kartą pabrėžia patikimų apsaugos priemonių svarbą valdžios institucijų prieigos prie asmens duomenų srityje; ragina Komisiją praktiškai įgyvendinti savo „geopolitinius siekius“ siekiant JAV ir kitose trečiosiose šalyse užtikrinti duomenų apsaugą, kuri būtų iš esmės lygiavertė jų apsaugai ES; |
|
32. |
tuo atveju, jei Komisija priims naują sprendimą dėl tinkamumo JAV atžvilgiu, o šios reikšmingos reformos nebus įgyvendintos, rekomenduoja nacionalinėms duomenų apsaugos institucijoms sustabdyti asmens duomenų, su kuriais gali susipažinti JAV valdžios institucijos, perdavimą; |
|
33. |
palankiai vertina tai, kad Komisija laikosi pagal BDAR priimtame 29 straipsnio darbo grupės dokumente „Tinkamumo pavyzdžiai“ (18) (kurį patvirtino EDAV) ir EDAV rekomendacijoje Nr. 01/2021 dėl tinkamumo pavydžių pagal Teisėsaugos direktyvą (19) nustatytų kriterijų; mano, jog Komisija neturėtų taikyti mažesnių kriterijų nei šie, kai vertina, ar trečioji šalis atitinka sprendimo dėl tinkamumo reikalavimus; atkreipia dėmesį į tai, kad atsižvelgdama į ESTT jurisprudenciją EDAV neseniai atnaujino savo rekomendacijas dėl Europos pagrindinių garantijų taikant stebėjimo priemones (20); |
o
o o
|
34. |
paveda Pirmininkui perduoti šią rezoliuciją Komisijai, Europos Vadovų Tarybai, Europos Sąjungos Tarybai, Europos duomenų apsaugos valdybai, valstybių narių nacionaliniams parlamentams, Jungtinių Amerikos Valstijų Kongresui bei vyriausybei ir Jungtinės Karalystės parlamentui bei vyriausybei. |
(1) 2020 m. liepos 16 d. Teisingumo Teismo sprendimas Data Protection Commissioner prieš Facebook Ireland Limited ir Maximillian Schrems, C–311/18, ECLI:EU:C:2020:559.
(2) 2015 m. spalio 6 d. Teisingumo Teismo sprendimas Maximillian Schrems prieš Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
(3) 2020 m. spalio 6 d. Teisingumo Teismo sprendimas byloje C-623/17 Privacy International prieš Secretary of State for Foreign and Commonwealth Affairs ir kt., ECLI:EU:C:2020:790.
(4) OL C 76, 2018 2 28, p. 82.
(5) OL C 298, 2018 8 23, p. 73.
(6) OL C 118, 2020 4 8, p. 133.
(7) OL C 345, 2020 10 16, p. 58.
(10) Priimti tekstai, P9_TA(2020)0337.
(11) OL L 119, 2016 5 4, p. 1.
(12) https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_ derogations_lt.pdf
(13) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, kuria panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016 5 4, p. 89).
(14) ES pasiūlymas dėl nuostatų dėl tarpvalstybinių duomenų srautų ir asmens duomenų bei privatumo apsaugos, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf.
(15) 2021 m. sausio 14 d. EDAV ir EDAPP bendra nuomonė Nr. 2/2021 dėl standartinių sutarčių sąlygų, taikomų asmens duomenų perdavimui į trečiąsias šalis: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_lt
(16) 2020 m. lapkričio 11 d. EDAV rekomendacijos Nr. 01/2020 dėl priemonių duomenų perdavimo priemonėms papildyti, siekiant užtikrinti atitiktį ES asmens duomenų apsaugos lygiui, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_lt.
(17) OL C 118, 2020 4 8, p. 141.
(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
(19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_lt
(20) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_lt