EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52021IP0256
European Parliament resolution of 20 May 2021 on the ruling of the CJEU of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (‘Schrems II’), Case C-311/18 (2020/2789(RSP))
Uznesenie Európskeho parlamentu z 20. mája 2021 o rozsudku Súdneho dvora Európskej únie zo 16. júla 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Schrems II) – vec C-311/18 (2020/2789(RSP))
Uznesenie Európskeho parlamentu z 20. mája 2021 o rozsudku Súdneho dvora Európskej únie zo 16. júla 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Schrems II) – vec C-311/18 (2020/2789(RSP))
OJ C 15, 12.1.2022, p. 176–183
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
12.1.2022 |
SK |
Úradný vestník Európskej únie |
C 15/176 |
P9_TA(2021)0256
Komisár pre ochranu údajov/Facebook Ireland Limited, Maximillian Schrems (Schrems II) – vec C-311/18
Uznesenie Európskeho parlamentu z 20. mája 2021 o rozsudku Súdneho dvora Európskej únie zo 16. júla 2020 – Data Protection Commissioner/Facebook Ireland Limited, Maximillian Schrems (Schrems II) – vec C-311/18 (2020/2789(RSP))
(2022/C 15/18)
Európsky parlament,
|
— |
so zreteľom na Chartu základných práv Európskej únie (ďalej len „charta“), najmä na jej články 7, 8, 16, 47 a 52, |
|
— |
so zreteľom na rozsudok Súdneho dvora zo 16. júla 2020 vo veci C-311/18, Data Protection Commissioner/Facebook Ireland Limited a Maximillian Schrems (Schrems II) (1), |
|
— |
so zreteľom na rozsudok Súdneho dvora zo 6. októbra 2015 vo veci C-362/14 Maximillian Schrems proti Data Protection Commissioner (Schrems I) (2), |
|
— |
so zreteľom na rozsudok Súdneho dvora zo 6. októbra 2020 vo veci C-623/17, Privacy International proti Secretary of State for Foreign and Commonwealth Affairs a i. (3), |
|
— |
so zreteľom na svoje uznesenie z 26. mája 2016 o transatlantických tokoch údajov (4), |
|
— |
so zreteľom na uznesenie zo 6. apríla 2017 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA (5), |
|
— |
so zreteľom na uznesenie z 5. júla 2018 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA (6), |
|
— |
so zreteľom na svoje uznesenie z 25. októbra 2018 o využívaní údajov používateľov Facebooku spoločnosťou Cambridge Analytica a dosahu na ochranu údajov (7), |
|
— |
so zreteľom na rozhodnutie Komisie 2010/87/EÚ z 5. februára 2010 o štandardných zmluvných doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa smernice Európskeho parlamentu a Rady 95/46/ES (oznámené pod číslom C(2010) 593) (8), |
|
— |
so zreteľom na vykonávacie rozhodnutie Komisie (EÚ) 2016/1250 z 12. júla 2016 podľa smernice Európskeho parlamentu a Rady 95/46/ES o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA (oznámené pod číslom C(2016) 4176) (9), |
|
— |
so zreteľom na svoje uznesenie z 26. novembra 2020 o preskúmaní obchodnej politiky EÚ (10), |
|
— |
so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (11), a najmä na jeho kapitolu V, |
|
— |
so zreteľom na návrh nariadenia Komisie o súkromí a elektronických komunikáciách (COM(2017)0010), so zreteľom na rozhodnutie začať medziinštitucionálne rokovania potvrdené na plenárnej schôdzi Európskeho parlamentu 25. októbra 2017 a na všeobecné smerovanie Rady prijaté 10. februára 2021 (6087/21), |
|
— |
so zreteľom na odporúčania Európskeho výboru pre ochranu údajov (ďalej len „EDBP“) č. 01/2020 o opatreniach, ktoré dopĺňajú nástroje na prenos s cieľom zabezpečiť súlad s úrovňou ochrany osobných údajov v EÚ, a odporúčanie č. 02/2020 o európskych základných zárukách týkajúcich sa opatrení sledovania, ako aj vyhlásenie EDPB k nariadeniu o súkromí a elektronických komunikáciách a budúcej úlohe orgánov dohľadu a EDPB z 19. novembra 2020 a, |
|
— |
so zreteľom na článok 132 ods. 2 rokovacieho poriadku, |
|
A. |
keďže schopnosť prenášať osobné údaje cez hranice môže byť kľúčovou hnacou silou inovácií, produktivity a hospodárskej konkurencieschopnosti; keďže je to ešte dôležitejšie v kontexte súčasnej pandémie ochorenia COVID-19, pretože takéto prenosy sú nevyhnutné na zabezpečenie kontinuity podnikateľskej činnosti a vládnych operácií, ako aj sociálnych interakcií; keďže môžu tiež podporiť stratégie ukončenia pandémie a prispieť k oživeniu hospodárstva; |
|
B. |
keďže Súdny dvor Európskej únie (ďalej len „Súdny dvor“) v rozsudku vo veci Schrems I na základe zistení zrušil platnosť rozhodnutia Komisie o bezpečnom prístave a konštatoval, že nediferencovaný prístup spravodajských orgánov k obsahu elektronických komunikácií porušuje podstatu práva na dôvernosť komunikácií, ako sa stanovuje v článku 7 charty; |
|
C. |
keďže Súdny dvor v rozsudku vo veci Schrems II konštatoval, že Spojené štáty americké neposkytujú dostatočné právne prostriedky nápravy osobám, ktoré nie sú občanmi USA, proti hromadnému sledovaniu, a že to je v rozpore s podstatou práva na opravný prostriedok, ako sa stanovuje v článku 47 charty; |
|
D. |
keďže všeobecné nariadenie o ochrane údajov sa vzťahuje na všetky spoločnosti, ktoré spracúvajú osobné údaje dotknutých osôb, ktoré sa nachádzajú v Únii, ak sa spracovateľské činnosti týkajú ponuky tovaru alebo služieb takýmto dotknutým osobám v Únii alebo monitorovania ich správania, pokiaľ k tomuto správaniu dochádza v Únii; |
|
E. |
keďže údaje o európskych občanoch, ktoré uchovávajú a prenášajú telekomunikační operátori a spoločnosti, sú dôležitým zdrojom, ktorý prispieva k strategickým záujmom EÚ; |
|
F. |
keďže masové sledovanie zo strany štátnych aktérov poškodzuje dôveru európskych občanov, vlád a podnikov v digitálne služby a v širšom zmysle aj v digitálne hospodárstvo; |
|
G. |
keďže spotrebiteľské organizácie a iné organizácie občianskej spoločnosti majú obmedzené zdroje a presadzovanie práv a povinností v oblasti ochrany údajov nemôže závisieť od ich činnosti; keďže existuje škála vnútroštátnych postupov a praktík, čo predstavuje problém pre mechanizmus spolupráce stanovený vo všeobecnom nariadení o ochrane údajov pre cezhraničné sťažnosti: keďže chýbajú jasné lehoty a vo všeobecnosti prevláda pomalé tempo konaní, nedostatok zdrojov pre dozorné orgány, v niektorých prípadoch nedostatočná ochota alebo efektívne využívanie už pridelených zdrojov; keďže v súčasnosti sa sťažnosti proti údajným porušeniam zo strany veľkých technologických spoločností koncentrujú v rukách jediného vnútroštátneho orgánu, čo vedie k ťažkostiam pri presadzovaní práva; |
|
H. |
keďže konania vedúce k tomuto rozhodnutiu Súdny dvor takisto poukazujú na ťažkosti, ktorým čelia dotknuté osoby a spotrebitelia pri obrane svojich práv, čo má nepriaznivý vplyv na ich schopnosť chrániť svoje práva pred írskou komisárkou na ochranu údajov; |
|
I. |
keďže Európsky parlament už vo svojom uznesení z 25. októbra 2018, v ktorom poukazuje na to, že USA nedodržali termín na úplný súlad s podmienkami štítu na ochranu osobných údajov stanovený na 1. septembra 2018, vyzval Komisiu, aby pozastavila uplatňovanie štítu na ochranu osobných údajov, kým orgány USA nesplnia tieto podmienky; |
|
J. |
keďže práva dotknutých osôb zaručené právnymi predpismi EÚ o ochrane údajov by sa mali dodržiavať bez ohľadu na mieru rizika, ktoré týmto osobám vzniká pri súvisiacom spracúvaní osobných údajov, a to aj pokiaľ ide o prenos osobných údajov do tretích krajín; keďže prevádzkovatelia údajov by mali vždy niesť zodpovednosť za dodržiavanie povinností v oblasti ochrany údajov vrátane preukazovania súladu v súvislosti s akýmkoľvek spracovaním údajov bez ohľadu na povahu, rozsah, kontext, účely spracúvania a riziká pre dotknuté osoby; |
|
K. |
keďže napriek významnému vývoju judikatúry Súdneho dvora za posledných päť rokov, ako aj účinnému uplatňovaniu všeobecného nariadenia o ochrane údajov od 25. mája 2018 dozorné orgány doposiaľ neprijali žiadne rozhodnutie o uložení nápravných opatrení v súvislosti s prenosmi osobných údajov v súlade s mechanizmom konzistentnosti GDPR; keďže dozorné orgány na vnútroštátnej úrovni neprijali v súvislosti s prenosmi osobných údajov do tretích krajín žiadne zmysluplné rozhodnutie o uložení nápravných opatrení alebo pokút; |
|
L. |
keďže prezident USA Biden vymenoval v prvý deň vo funkcii zástupcu tajomníka pre služby na Ministerstve obchodu USA, ktorý bude hlavným vyjednávačom pre komerčné prenosy údajov s EÚ; keďže Gina Raimondová, kandidátka prezidenta na post ministerky obchodu USA, označila počas vypočutia v Senáte rýchle ukončenie rokovaní o nástupníckej dohode o štíte na ochranu osobných údajov za „najvyššiu prioritu“; |
Všeobecné pripomienky
|
1. |
berie na vedomie rozsudok Súdneho dvora zo 16. júla 2020, v ktorom Súdny dvor v zásade potvrdil platnosť rozhodnutia 2010/87/EÚ o štandardných zmluvných doložkách, ktoré sú najčastejšie používaným mechanizmom pre medzinárodné prenosy údajov; ďalej konštatuje, že Súdny dvor vyhlásil rozhodnutie Komisie (EÚ) 2016/1250 o primeranosti ochrany poskytovanej štítom na ochranu osobných údajov medzi EÚ a USA za neplatné; poznamenáva, že doteraz žiadny udržateľný jednotný mechanizmus, ktorý by zaručoval zákonný prenos komerčných osobných údajov medzi EÚ a USA, neobstál v konaní pred Súdnym dvorom; |
|
2. |
berie na vedomie, že Súdny dvor zistil, že štandardné zmluvné doložky sú účinným mechanizmom na zabezpečenie súladu s úrovňou ochrany poskytovanej v EÚ, ale vyžadoval, aby prevádzkovateľ/spracovávateľ usadený v Európskej únii a príjemca osobných údajov boli povinní pred každým prenosom overiť, či sa v dotknutej tretej krajine dodržiava úroveň ochrany požadovaná právnymi predpismi EÚ; pripomína, že to zahŕňa posúdenie právneho režimu týkajúceho sa prístupu verejných orgánov k osobným údajom s cieľom zabezpečiť, aby nevzniklo riziko, že dotknuté osoby a ich prenášané údaje budú podliehať programom sledovania USA, ktoré umožňujú hromadné zhromažďovanie osobných údajov; pripomína, že Súdny dvor rozhodol, že ak príjemca nie je schopný dodržať podmienky štandardných zmluvných doložiek, prevádzkovatelia alebo spracovávatelia sú povinní pozastaviť prenos údajov a/alebo ukončiť zmluvu; konštatuje však, že mnohé spoločnosti, najmä MSP, nemajú potrebné znalosti alebo kapacity na vykonávanie takéhoto overovania, čo môže viesť k narušeniu podnikania; |
|
3. |
domnieva sa, že rozsudok Súdneho dvora, ktorý sa zameriava na úroveň ochrany údajov poskytovanej dotknutým osobám v EÚ, ktorých údaje boli prenesené do USA v rámci mechanizmu štítu na ochranu osobných údajov, má vplyv aj na rozhodnutia o primeranosti týkajúce sa iných tretích krajín vrátane Spojeného kráľovstva; opätovne potvrdzuje potrebu právnej jasnosti a istoty, keďže schopnosť bezpečne prenášať osobné údaje cez hranice sa stáva čoraz dôležitejšou pre jednotlivcov z hľadiska ochrany ich osobných údajov a ich práv, ako aj pre všetky typy organizácií, ktoré dodávajú tovar a služby na medzinárodnej úrovni, a pre podniky, pokiaľ ide o právny režim, v rámci ktorého pôsobia; zdôrazňuje však, že existujúce rozhodnutia o primeranosti zostávajú v platnosti, kým ich Súdny dvor nezruší, nenahradí alebo nevyhlási za neplatné; |
|
4. |
je sklamaný, že írska komisárka pre ochranu údajov (DPC) začala konanie proti Maximilianovi Schremsovi a Facebooku na írskom najvyššom súde namiesto toho, aby prijala rozhodnutie v rámci svojich právomocí podľa článku 4 rozhodnutia 2010/87/EÚ a článku 58 všeobecného nariadenia o ochrane údajov; pripomína, že írska komisárka pre ochranu údajov využila právny postup, ktorý orgánom pre ochranu údajov umožňuje upozorniť vnútroštátneho sudcu na obavy v súvislosti s platnosťou vykonávacieho rozhodnutia Komisie s cieľom podať na Súdny dvor návrh na začatie prejudiciálneho konania; vyjadruje hlboké znepokojenie nad tým, že írska komisárka pre ochranu údajov, ktorá je hlavným orgánom pre tieto prípady, stále nerozhodla o viacerých sťažnostiach proti porušovaniu všeobecného nariadenia o ochrane údajov, ktoré boli podané 25. mája 2018, teda v deň, keď sa začalo uplatňovať všeobecné nariadenie o ochrane údajov, ale ani o iných sťažnostiach organizácii pôsobiacich v oblasti ochrany súkromia a skupín spotrebiteľov; je znepokojený tým, že írska komisárka pre ochranu údajov vykladá „bezodkladne“ v článku 60 ods. 3 všeobecného nariadenia o ochrane údajov – v rozpore so zámerom zákonodarcov – ako dlhšie ako niekoľko mesiacov; vyjadruje znepokojenie nad tým, že dozorné orgány neprijali aktívne opatrenia podľa článkov 61 a 66 všeobecného nariadenia o ochrane údajov s cieľom prinútiť írsku komisárku pre ochranu údajov, aby si plnila svoje povinnosti podľa všeobecného nariadenia o ochrane údajov; je tiež znepokojený nedostatkom špecialistov technikov pracujúcich pre írsku komisárku pre ochranu údajov a tým, že využívajú zastarané systémy; je znepokojený dôsledkami neúspešnej snahy írskej komisárky pre ochranu údajov presunúť náklady na súdne konanie na obžalovaného, čo by malo výrazný odstrašujúci účinok; vyzýva Komisiu, aby začala konanie o nesplnení povinnosti proti Írsku za neprimerané presadzovanie GDPR; |
|
5. |
je znepokojený nedostatočnou úrovňou presadzovania všeobecného nariadenia o ochrane údajov, najmä v oblasti medzinárodných prenosov; vyjadruje znepokojenie nad nedostatočným určením priorít a nedostatočnou celkovou kontrolou zo strany vnútroštátnych dozorných orgánov, pokiaľ ide o prenos osobných údajov do tretích krajín, a to napriek významnému vývoju judikatúry Súdneho za posledných päť rokov; vyjadruje poľutovanie nad tým, že v tejto súvislosti neboli prijaté zmysluplné rozhodnutia a nápravné opatrenia, a naliehavo vyzýva výbor EDPB a vnútroštátne dozorné orgány, aby prenosy osobných údajov zahrnuli do svojich stratégií auditu, dodržiavania predpisov a presadzovania; poukazuje na to, že na zabezpečenie právnej istoty a riešenie cezhraničných sťažností je potrebné zaviesť harmonizované záväzné administratívne postupy týkajúce sa zastupovania dotknutých osôb a prípustnosti; |
|
6. |
berie na vedomie návrh vykonávacieho rozhodnutia Komisie o štandardných zmluvných doložkách na prenos osobných údajov do tretích krajín; nalieha na Komisiu a výbor EDPB, aby zverejnili ďalšie usmernenia o medzinárodných prenosoch údajov pre spoločnosti, najmä pre MSP, vrátane kontrolného zoznamu na posudzovanie prenosov údajov, nástrojov na posudzovanie toho, či vlády môžu ale vedia pristupovať k údajom, a informácií o dodatočných opatreniach požadovaných pri prenosoch s využitím štandardných zmluvných doložiek; vyzýva výbor EDPB, aby sa snažil získať informácie aj od nezávislých akademických pracovníkov, pokiaľ ide o potenciálne rozdielne vnútroštátne právo hlavných obchodných partnerov; |
|
7. |
pripomína, že v súlade s usmerneniami výboru EDPB č. 2/2018 (12) o výnimkách podľa článku 49 nariadenia (EÚ) 2016/679, keď sa prenosy uskutočňujú mimo rámca rozhodnutí o primeranosti alebo iných nástrojov poskytujúcich primerané záruky, ale spoliehajú sa na výnimky pre osobitné situácie podľa článku 49 všeobecného nariadenia o ochrane údajov, sa výnimky musia vykladať reštriktívne, aby sa výnimka nestala pravidlom; konštatuje však, že od zrušenia platnosti štítu na ochranu osobných údajov medzi EÚ a USA sa na účely digitálnej reklamy zachovali transatlantické toky údajov napriek pochybnostiam o ich právnom základe pre prenosy na reklamné účely; vyzýva výbor EDPB a orgány pre ochranu osobných údajov, aby zabezpečili konzistentný výklad pri uplatňovaní a kontrole takýchto výnimiek v súlade s usmerneniami výboru EDPB; |
|
8. |
víta medzinárodné diskusie o cezhraničných tokoch osobných údajov, ktoré sú v súlade so všeobecným nariadením o ochrane údajov a smernicou o presadzovaní práva v oblasti ochrany údajov (13); zdôrazňuje, že všeobecné nariadenie o ochrane údajov, smernica o presadzovaní práva, pravidlá týkajúce sa súkromia na internete a iné existujúce a budúce opatrenia na ochranu základných práv na súkromie a ochranu osobných údajov sa nesmú oslabiť medzinárodnými obchodnými dohodami ani do nich začleniť; naliehavo vyzýva Komisiu, aby sa riadila horizontálnou pozíciou EÚ z roku 2018 (14) a neodchyľovala sa od nej a aby zohľadnila príslušné záväzky tretích krajín podľa obchodného práva pri posudzovaní ich primeranosti, a to aj v prípade následných prenosov údajov; |
Štandardné zmluvné doložky
|
9. |
berie na vedomie návrh vykonávacieho rozhodnutia Komisie a návrhy štandardných zmluvných doložiek; víta skutočnosť, že Komisia sa snažila získať spätnú väzbu od zainteresovaných strán k tomuto návrhu usporiadaním verejnej konzultácie; konštatuje, že výbor EDPB a európsky dozorný úradník pre ochranu údajov sa vo svojom spoločnom stanovisku z 15. januára 2021 (15) vyjadrili k návrhom štandardných zmluvných doložiek priaznivo, no navrhli niekoľko ďalších zlepšení; očakáva, že Komisia zohľadní získané informácie pred začatím komitologického postupu; |
|
10. |
pripomína, že veľký počet MSP využíva štandardné zmluvné doložky; zdôrazňuje, že všetky druhy spoločností naliehavo potrebujú jasné usmernenia a pomoc na zaistenie právnej istoty pri uplatňovaní a výklade rozsudku Súdneho dvora; |
|
11. |
berie na vedomie odporúčania výboru EDPB č. 01/2020 (16) o opatreniach, ktoré dopĺňajú nástroje na prenos s cieľom zabezpečiť súlad s úrovňou ochrany osobných údajov v EÚ; víta skutočnosť, že výbor EDPB usporiadal verejnú konzultáciu o svojich odporúčaniach; vyjadruje znepokojenie nad možnými rozpormi medzi týmito odporúčaniami a návrhom Komisie týkajúcim sa štandardných zmluvných doložiek; vyzýva Komisiu a výbor EDPB, aby spolupracovali na dokončení svojich príslušných dokumentov s cieľom zabezpečiť právnu istotu v nadväznosti na rozsudok Súdneho dvora EÚ; domnieva sa, že Komisia by sa mala riadiť usmerneniami výboru EDPB; |
|
12. |
víta najmä odporúčania EDPB týkajúce sa nevyhnutnosti, aby prevádzkovatelia údajov využívali objektívne faktory pri posudzovaní toho, či niečo v právnych predpisoch alebo praxi tretej krajiny môže zasahovať do účinnosti primeraných záruk v nástrojoch na prenos dotknutých prenosov, a nie na subjektívne faktory, ako je pravdepodobnosť, že verejné orgány získajú prístup k údajom spôsobom, ktorý nie je v súlade s normami EÚ, čo Súdny dvor opakovane zamietol; v tejto súvislosti vyzýva Komisiu, aby zabezpečila úplné zosúladenie svojho návrhu štandardných zmluvných doložiek s platnou judikatúrou Súdneho dvora; |
|
13. |
zdôrazňuje, že je veľmi dôležité, aby sa mohli spoločnosti EÚ spoliehať na robustné mechanizmy, ktoré sú v súlade s rozsudkom Súdneho dvora; v tejto súvislosti sa domnieva, že súčasný návrh Komisie týkajúci sa vzoru štandardných zmluvných doložiek by mal náležite zohľadňovať všetky príslušné odporúčania EDBP; podporuje vytvorenie súboru doplnkových opatrení, s ktorých si bude možné vybrať, napr. certifikáciu bezpečnosti a ochrany údajov, záruky šifrovania a pseudoanonymizáciu, ktoré budú pre regulačné orgány prijateľné, a verejne dostupné zdroje týkajúce sa príslušných právnych predpisov hlavných obchodných partnerov EÚ; |
|
14. |
zdôrazňuje, že v prípade prevádzkovateľov údajov, ktorí patria do rozsahu pôsobnosti zákona USA o sledovaní v rámci zahraničného spravodajstva (ďalej len „FISA“), nie je prenos osobných údajov z Únie možný v rámci týchto štandardných zmluvných doložiek z dôvodu vysokého rizika hromadného sledovania; očakáva, že ak sa nedosiahne rýchla dohoda s USA, ktorá by zaručovala v zásade rovnocennú, a teda primeranú úroveň ochrany, akú poskytuje všeobecné nariadenie o ochrane údajov a charta, budú tieto prenosy pozastavené až do vyriešenia situácie; zdôrazňuje nález Súdneho dvora, že ani paragraf 702 zákona FISA, ani vykonávacie nariadenie 12333 (E.O. 12333) v spojení s prezidentskou politickou smernicou 28 (PPD-28) nie sú v súlade s minimálnymi zárukami vyplývajúcimi z práva EÚ zo zásady proporcionality, čo má za následok, že programy sledovania založené na týchto ustanoveniach nemožno považovať za obmedzené na to, čo je striktne nevyhnutné; zdôrazňuje, že je potrebné riešiť problémy konštatované v rozsudku Súdneho dvora udržateľným spôsobom, aby sa zabezpečila primeraná ochrana osobných údajov dotknutých osôb; pripomína, že žiadna zmluva medzi spoločnosťami nemôže poskytovať ochranu pred neselektívnym prístupom spravodajských orgánov k obsahu elektronických komunikácií, ani žiadna zmluva medzi spoločnosťami nemôže poskytnúť dostatočné právne prostriedky nápravy proti hromadnému sledovaniu; zdôrazňuje, že si to vyžaduje reformu zákonov a postupov USA o dohľade s cieľom zabezpečiť, aby sa prístup bezpečnostných orgánov USA k údajom prenášaným z EÚ obmedzil na to, čo je nevyhnutné a primerané, a aby európske dotknuté osoby mali prístup k účinným súdnym prostriedkom nápravy pred súdmi v USA; |
|
15. |
upozorňuje na obmedzenú vyjednávaciu silu a právnu a finančnú kapacitu európskych MSP, ako aj neziskových organizácií a združení, od ktorých sa očakáva, že na základe vlastného posúdenia primeranosti tretích krajín dokážu posúdiť zložité právne rámce rôznych tretích krajín; naliehavo vyzýva Komisiu a EDPB, aby poskytli usmernenia o praktickom využívaní spoľahlivých doplnkových opatrení, najmä pre MSP; |
|
16. |
naliehavo vyzýva orgány pre ochranu osobných údajov, aby si plnili svoje povinnosti zdôraznené v rozsudku Súdneho dvora s cieľom zabezpečiť riadne a rýchle presadzovanie všeobecného nariadenia o ochrane údajov dôsledným monitorovaním používania štandardných zmluvných doložiek; vyzýva orgány pre ochranu osobných údajov, aby pomáhali spoločnostiam pri dodržiavaní judikatúry Súdneho dvora; vyzýva orgány pre ochranu údajov, aby využili aj svoje vyšetrovacie a nápravné právomoci podľa článku 58 všeobecného nariadenia o ochrane údajov v prípadoch, keď vývozcovia údajov prenášajú osobné údaje napriek existencii právnych predpisov cieľovej tretej krajiny, ktoré bránia dovozcovi údajov dodržať štandardné zmluvné doložky, a keď chýbajú účinné dodatočné opatrenia; pripomína, že Súdny dvor zastáva názor, že každý dozorný orgán „je povinný splniť svoju úlohu spočívajúcu v zabezpečení plného dodržiavania všeobecného nariadenia o ochrane údajov“; |
Štít na ochranu osobných údajov
|
17. |
berie na vedomie, že Súdny dvor skonštatoval, že štít na ochranu osobných údajov medzi EÚ a USA nezaručuje v zásade rovnocennú a primeranú úroveň ochrany v porovnaní s všeobecným nariadením o ochrane údajov a chartou EÚ, najmä preto, že podmienky zavedené v súvislosti s hromadným prístupom verejných orgánov USA k osobným údajom prenášaným v rámci štítu na ochranu osobných údajov, ktorý nie je v súlade so zásadami nevyhnutnosti a primeranosti, a tiež z dôvodu neexistencie vymáhateľných práv pre dotknuté osoby z EÚ pred súdmi USA, alebo akéhokoľvek iného nezávislého orgánu konajúceho ako súd proti orgánom USA; očakáva, že súčasná administratíva USA sa bude viac angažovať v plnení svojich povinností v rámci možných budúcich mechanizmov prenosu než predchádzajúce administratívy, ktoré nemali politické odhodlanie dodržiavať a presadzovať pravidlá bezpečného prístavu a pravidlá štítu na ochranu osobných údajov; |
|
18. |
poukazuje na to, že niektoré spoločnosti v reakcii na rozsudok vo veci Schrems II unáhlene revidovali svoje oznámenia o ochrane osobných údajov a zmluvy s tretími stranami, ktoré odkazujú na ich záväzky v rámci štítu na ochranu osobných údajov, bez toho, aby posúdili najlepšie opatrenia na zákonný prenos údajov; |
|
19. |
odsudzuje skutočnosť, že napriek početným výzvam, ktoré Európsky parlament adresoval Komisii vo svojich uzneseniach z rokov 2016, 2017 a 2018, aby prijala všetky potrebné opatrenia na zabezpečenie toho, aby štít na ochranu osobných údajov bol v plnom súlade so všeobecným nariadením o ochrane údajov a chartou, Komisia nekonala v súlade s článkom 45 ods. 5 všeobecného nariadenia o ochrane údajov; vyjadruje poľutovanie nad tým, že Komisia ignorovala výzvy Európskeho parlamentu na pozastavenie štítu na ochranu osobných údajov, kým orgány USA nesplnia jej podmienky, čo zdôraznilo riziko zrušenia platnosti štítu na ochranu osobných údajov Súdnym dvorom Európskej únie; pripomína, že pracovná skupina zriadená podľa článku 29 a EDPB opakovane upozornili na problémy s fungovaním štítu na ochranu osobných údajov; |
|
20. |
vyjadruje poľutovanie nad tým, že Komisia kladie vzťahy s USA nad záujmy občanov EÚ, a že Komisia tým ponechala úlohu obhajovať právo EÚ na jednotlivých občanoch; |
Hromadné sledovanie a právny rámec
|
21. |
nabáda Komisiu, aby aktívne monitorovala používania technológií hromadného sledovania v Spojených štátoch, ako aj iných tretích krajinách, ktoré sú alebo by mohli byť predmetom posúdenia primeranosti, ako je Spojené kráľovstvo; naliehavo vyzýva Komisiu, aby neprijímala rozhodnutia o primeranosti v prípade krajín, v ktorých právne predpisy a programy v oblasti hromadného sledovania nespĺňajú kritériá Súdny dvor, a to tak literou, ako aj duchom; |
|
22. |
berie na vedomie nedávne nadobudnutie účinnosti v USA kalifornského zákona o ochrane súkromia spotrebiteľov (CCPA); berie na vedomie súvisiace diskusie a legislatívne návrhy na federálnej úrovni; poukazuje na to, že aj keď ide o krok správnym smerom, ani CCPA ani žiadny z federálnych návrhov doteraz nespĺňajú požiadavky všeobecného nariadenia o ochrane údajov týkajúce sa posúdenia primeranosti; dôrazne nabáda zákonodarcu USA, aby prijal právne predpisy, ktoré spĺňajú tieto požiadavky, a tým prispel k v podstate rovnakej úrovni ochrany v právnych predpisoch USA, aká je v súčasnosti zaručená v EÚ; |
|
23. |
zdôrazňuje, že takéto právne predpisy v oblasti ochrany údajov a súkromia spotrebiteľov samy osebe nestačia na to, aby sa odstránili základné problémy, ktoré zistil Súdny dvor v súvislosti s hromadným sledovaním spravodajskými službami USA a nedostatočným prístupom k prostriedkom nápravy; nabáda zákonodarcu USA, aby zmenil paragraf 702 zákona FISA, a federálnu vládu USA, aby zmenila vykonávacie nariadenie č. 12333 a prezidentskú politickú smernicu 28, najmä pokiaľ ide o hromadné sledovanie a poskytovanie rovnakej úrovne ochrany občanom EÚ a USA; nabáda USA, aby poskytli mechanizmy na zabezpečenie toho, aby jednotlivci dostávali (oneskorené) oznámenia a mohli napadnúť nepatričné sledovanie podľa paragrafu 702 a vykonávacieho nariadenia č. 12333, a aby ustanovili zákonný mechanizmus, ktorý zabezpečí, aby osoby, ktoré nie sú občanmi USA, mali vymáhateľné práva nad rámec zákona o súdnych prostriedkoch nápravy; |
|
24. |
pripomína, že členské štáty si naďalej vymieňajú osobné údaje so USA v rámci programu na sledovanie financovania terorizmu (TFTP), dohody medzi EÚ a USA o osobných záznamoch o cestujúcich (PNR), automatickej výmeny daňových informácií prostredníctvom medzivládnych dohôd, ktorými sa vykonáva americký zákon o dodržiavaní daňových predpisov v prípade zahraničných účtov (FATCA), čo nepriaznivo ovplyvňuje „náhodných Američanov“, ako sa uvádza v uznesení Európskeho parlamentu z 5. júla 2018 o nepriaznivých účinkoch amerického zákona o dodržiavaní daňových predpisov v prípade zahraničných účtov (FATCA) na občanov EÚ a najmä takzvaných náhodných Američanov (17); pripomína, že USA majú naďalej prístup k databázam členských štátov na presadzovanie práva obsahujúcim odtlačky prstov občanov EÚ a údaje o DNA; žiada Komisiu, aby analyzovala vplyv rozsudkov vo veciach Schrems I a Schrems II na tieto výmeny údajov a aby do 30. septembra 2021 predložila Výboru pre občianske slobody, spravodlivosť a vnútorné veci svoju analýzu a spôsob, akým ich plánuje uviesť do súladu s rozsudkami; |
|
25. |
vyzýva tiež Komisiu, aby analyzovala situáciu poskytovateľov cloudu, na ktorých sa vzťahuje paragraf 702 zákona FISA, ktorí prenášajú údaje prostredníctvom štandardných zmluvných doložiek; vyzýva Komisiu, aby analyzovala vplyv na práva udelené podľa zastrešujúcej dohody medzi EÚ a USA vrátane práva na súdnu nápravu, keďže USA toto právo výslovne udeľujú len občanom určených krajín, ktoré povoľujú prenos údajov do USA na komerčné účely; považuje za neprijateľné, že Komisia ani rok po uplynutí lehoty ešte stále neuverejnila svoje zistenia v rámci prvého spoločného preskúmania zastrešujúcej dohody, a vyzýva Komisiu, aby v prípade potreby bezodkladne zosúladila dohodu s normami stanovenými v rozsudkoch Súdneho dvora; |
|
26. |
považuje za nutné vzhľadom na zistené nedostatky v ochrane údajov európskych občanov prenášaných do USA podporovať investície do európskych nástrojov na uchovávanie údajov (napr. cloudová služba) s cieľom znížiť závislosť EÚ v oblasti úložných kapacít od tretích krajín a posilniť strategickú autonómiu EÚ v oblasti správy a ochrany údajov; |
Rozhodnutia o primeranosti
|
27. |
vyzýva Komisiu, aby prijala všetky potrebné opatrenia na zabezpečenie toho, aby akékoľvek nové rozhodnutie o primeranosti týkajúce sa USA bolo plne v súlade s nariadením (EÚ) 2016/679, chartou a všetkými aspektmi rozsudkov Súdneho dvora; pripomína, že rámce primeranosti výrazne uľahčujú hospodársku činnosť, najmä pre MSP a startupy, ktoré na rozdiel od veľkých spoločností často nemajú potrebnú finančnú, právnu a technickú kapacitu na využívanie iných prenosových nástrojov; vyzýva členské štáty, aby uzatvorili dohody s USA o nešpionáži; vyzýva Komisiu, aby využila svoje kontakty s partnermi v USA a dala najavo, že ak v USA nedôjde k žiadnej zmene právnych predpisov a praxe v oblasti sledovania, jedinou uskutočniteľnou možnosťou na uľahčenie rozhodnutí o primeranosti bude uzavretie dohôd o nešpionáži s členskými štátmi; |
|
28. |
domnieva sa, že budúce rozhodnutia Komisie o primeranosti by sa nemali zakladať na systéme samocertifikácie, ako to bolo v prípade režimu bezpečného prístavu a štítu na ochranu osobných údajov; vyzýva Komisiu, aby plne zapojila EDPB do hodnotenia dodržiavania a presadzovania akéhokoľvek nového rozhodnutia o primeranosti vo vzťahu k USA; vyzýva v tejto súvislosti Komisiu, aby sa s administratívou USA dohodla na opatreniach potrebných na to, aby výbor EDPB mohol túto úlohu účinne plniť; očakáva, že Komisia pred prijatím takéhoto rozhodnutia bude brať vážnejšie pozíciu Európskeho parlamentu k akémukoľvek novému rozhodnutiu o primeranosti vo vzťahu k USA; |
|
29. |
pripomína, že Komisia v súčasnosti preskúmava všetky rozhodnutia o primeranosti prijaté podľa smernice 95/46/ES; zdôrazňuje, že Komisia by mala uplatňovať prísnejšie normy stanovené vo všeobecnom nariadení o ochrane údajov a v rozsudkoch Súdneho dvora vo veciach Schrems I a II s cieľom posúdiť, či orgány tretej krajiny poskytujú úroveň ochrany v zásade rovnocennú s úrovňou ochrany, ktorú poskytuje všeobecné nariadenie o ochrane údajov, a to aj pokiaľ ide o prístup k účinným prostriedkom nápravy a ochranu pred nenáležitým prístupom orgánov tretích krajín k osobným údajom; naliehavo vyzýva Komisiu, aby tieto preskúmania urýchlene dokončila a aby zrušila alebo pozastavila všetky rozhodnutia prijaté pred všeobecným nariadením o ochrane údajov, ak zistí, že daná tretia krajina neposkytuje v zásade rovnocennú úroveň ochrany a že situáciu nie je možné napraviť; |
|
30. |
domnieva sa, že administratíva prezidenta Bidena tým, že vymenovala skúseného odborníka na ochranu súkromia za hlavného vyjednávača v súvislosti s nástupcom štítu na ochranu osobných údajov, preukázala odhodlanie prednostne nájsť riešenie pre prenos údajov na komerčné účely medzi EÚ a USA; očakáva, že dialóg medzi Komisiou a jej partnermi v USA, ktorý sa začal hneď po vydaní rozsudku Súdenho dvora, sa v nadchádzajúcich mesiacoch ešte zintenzívni; |
|
31. |
vyzýva Komisiu, aby neprijímala žiadne nové rozhodnutie o primeranosti vo vzťahu k USA, pokiaľ sa nezavedú zmysluplné reformy, najmä na účely národnej bezpečnosti a spravodajstva, ktoré možno dosiahnuť jasnou, právne udržateľnou, vykonateľnou a nediskriminačnou reformou zákonov a postupov USA; v tejto súvislosti opätovne zdôrazňuje význam pevných záruk v oblasti prístupu orgánov verejnej moci k osobným údajom; vyzýva Komisiu, aby zaviedla do praxe svoje „geopolitické ambície“ na presadzovanie takej ochrany údajov v USA a iných tretích krajinách, ktorá je v zásade rovnocenná ochrane v EÚ; |
|
32. |
odporúča vnútroštátnym orgánom na ochranu údajov, aby pozastavili prenos osobných údajov, ku ktorým môžu mať prístup verejné orgány v USA, ak Komisia prijme akékoľvek nové rozhodnutie o primeranosti vo vzťahu k USA bez takýchto zmysluplných reforiem; |
|
33. |
víta skutočnosť, že Komisia dodržiava kritériá stanovené pracovnou skupinou pre referenčné kritérium primeranosti podľa článku 29 všeobecného nariadenia o ochrane údajov (18) (schváleného EDPB) a odporúčanie EDPB č. 01/2021 o požiadavke primeranosti podľa smernice o presadzovaní práva (19); domnieva sa, že Komisia by nemala znižovať kritériá pri hodnotení toho, či tretia krajina spĺňa podmienky na rozhodnutie o primeranosti; berie na vedomie, že výbor EDPB nedávno aktualizoval svoje odporúčania k európskym základným zárukám pre opatrenia týkajúce sa sledovania s ohľadom na judikatúru Súdneho dvora (20); |
o
o o
|
34. |
poveruje svojho predsedu, aby postúpil toto uznesenie Komisii, Európskej rade, Rade Európskej únie, Európskemu výboru pre ochranu údajov, národným parlamentom členských štátov, Kongresu a vláde Spojených štátov Amerických a Európskemu parlamentu a vláde Spojeného kráľovstva. |
(1) Rozsudok Súdneho dvora zo 16. júla 2020, Data Protection Commissioner/Facebook Ireland Limited a Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.
(2) Rozsudok Súdneho dvora zo 6. októbra 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
(3) Rozsudok Súdneho dvora zo 6. októbra 2020, C-623/17, Privacy International/Secretary of State for Foreign and Commonwealth Affairs a i., ECLI:EU:C:2020:790.
(4) Ú. v. EÚ C 76, 28.2.2018, s. 82.
(5) Ú. v. EÚ C 298, 23.8.2018, s. 73.
(6) Ú. v. EÚ C 118, 8.4.2020, s. 133.
(7) Ú. v. EÚ C 345, 16.10.2020, s. 58.
(8) Ú. v. EÚ L 39, 12.2.2010, s. 5.
(9) Ú. v. EÚ L 207, 1.8.2016, s. 1.
(10) Prijaté texty, P9_TA(2020)0337.
(11) Ú. v. EÚ L 119, 4.5.2016, s. 1.
(12) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018 _derogations_en.pdf
(13) Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 4.5.2016, s. 89).
(14) Návrh EÚ na ustanovenia o cezhraničných tokoch údajov a ochrane osobných údajov a súkromia, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf.
(15) Spoločné stanovisko Európskeho výboru pre ochranu údajov a európskeho dozorného úradník pre ochranu údajov č. 2/2021 k štandardným zmluvným doložkám na prenos osobných údajov do tretích krajín zo 14. januára 2021: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_sk.
(16) Odporúčania výboru EDPB č. 01/2020 o opatreniach, ktoré dopĺňajú nástroje na prenos s cieľom zabezpečiť súlad s úrovňou ochrany osobných údajov v EÚ z 11. novembra 2020, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_sk.
(17) Ú. v. EÚ C 118, 8.4.2020, s. 141.
(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
(19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_sk
(20) https://edpb.europa.eu/system/files/2021-04/edpb_recommendations_202002_europeanessentialguaranteessurveillance_sk.pdf