This document is an excerpt from the EUR-Lex website
Document 52021IP0256
European Parliament resolution of 20 May 2021 on the ruling of the CJEU of 16 July 2020 — Data Protection Commissioner v Facebook Ireland Limited and Maximillian Schrems (‘Schrems II’), Case C-311/18 (2020/2789(RSP))
Resolucija Evropskega parlamenta z dne 20. maja 2021 o sodbi Sodišča Evropske unije z dne 16. julija 2020 v zadevi Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II), zadeva C-311/18 (2020/2789(RSP))
Resolucija Evropskega parlamenta z dne 20. maja 2021 o sodbi Sodišča Evropske unije z dne 16. julija 2020 v zadevi Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II), zadeva C-311/18 (2020/2789(RSP))
UL C 15, 12.1.2022, pp. 176–183
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
12.1.2022 |
SL |
Uradni list Evropske unije |
C 15/176 |
P9_TA(2021)0256
Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu („Schrems II“) – Zadeva C-311/18
Resolucija Evropskega parlamenta z dne 20. maja 2021 o sodbi Sodišča Evropske unije z dne 16. julija 2020 v zadevi Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II), zadeva C-311/18 (2020/2789(RSP))
(2022/C 15/18)
Evropski parlament,
|
— |
ob upoštevanju Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina), zlasti členov 7, 8, 16, 47 in 52, |
|
— |
ob upoštevanju sodbe Sodišča z dne 16. julija 2020 v zadevi C-311/18 v zadevi Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II) (1), |
|
— |
ob upoštevanju sodbe Sodišča z dne 6. oktobra 2015 v zadevi C-362/14, Maximillian Schrems proti Data Protection Commissioner (Schrems I) (2), |
|
— |
ob upoštevanju sodbe Sodišča z dne 6. oktobra 2020 v zadevi C-623/17 v zadevi Privacy International proti Secretary of State of Foreign and Commonwealth Affairs (3), |
|
— |
ob upoštevanju resolucije z dne 26. maja 2016 o čezatlantskem pretoku podatkov (4), |
|
— |
ob upoštevanju svoje resolucije z dne 6. aprila 2017 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (5), |
|
— |
ob upoštevanju svoje resolucije z dne 5. julija 2018 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (6), |
|
— |
ob upoštevanju svoje resolucije z dne 25. oktobra 2018 o uporabi podatkov uporabnikov Facebooka s strani Cambridge Analytica in vplivu na varstvo podatkov (7), |
|
— |
ob upoštevanju Sklepa Komisije 2010/87/EU z dne 5. februarja 2010 o standardnih pogodbenih klavzulah za prenos osebnih podatkov obdelovalcem s sedežem v tretjih državah v skladu z Direktivo Evropskega parlamenta in Sveta 95/46/ES (notificirano pod dokumentarno številko C(2010) 593) (8), |
|
— |
ob upoštevanju Izvedbenega sklepa Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive Evropskega parlamenta in Sveta 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (notificirano pod dokumentarno številko C(2016) 4176) (9), |
|
— |
ob upoštevanju svoje resolucije z dne 26. novembra 2020 o pregledu trgovinske politike EU (10), |
|
— |
ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (11), zlasti poglavja V, |
|
— |
ob upoštevanju predloga Komisije za uredbo o zasebnosti in elektronskih komunikacijah (COM(2017)0010), ob upoštevanju sklepa o začetku medinstitucionalnih pogajanj, ki ga je Parlament potrdil na plenarnem zasedanju 25. oktobra 2017, in splošnega pristopa Sveta, sprejetega 10. februarja 2021 (6087/21), |
|
— |
ob upoštevanju priporočil Evropskega odbora za varstvo podatkov (v nadaljnjem besedilu: EOVP) št. 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, za zagotovitev skladnosti z ravnjo varstva osebnih podatkov na ravni EU, priporočil št. 02/2020 glede evropskih temeljnih jamstev za nadzorne ukrepe ter izjave z dne 19. novembra 2020 o uredbi o e-zasebnosti ter prihodnji vlogi nadzornih organov in EOVP, |
|
— |
ob upoštevanju člena 132(2) Poslovnika, |
|
A. |
ker bi lahko možnost čezmejnega prenosa osebnih podatkov pomenila glavno gonilo inovacij, produktivnosti in gospodarske konkurenčnosti; ker je to še pomembneje v sedanji pandemiji covida-19, saj je ta prenos bistven za zagotavljanje neprekinjenega poslovanja in delovanja vlad, pa tudi za družbene stike; ker lahko ta prenos podpira izhodne strategije za pandemijo in prispeva k okrevanju gospodarstva; |
|
B. |
ker je Sodišče Evropske unije v sodbi v zadevi Schrems I razveljavilo odločbo Komisije o varnem pristanu na podlagi ugotovitve, da neselektivni dostop obveščevalnih organov do vsebine elektronskih komunikacij krši bistvo pravice do zaupnosti komunikacij iz člena 7 Listine; |
|
C. |
ker je Sodišče v sodbi v zadevi Schrems II ugotovilo, da Združene države Amerike ne zagotavljajo zadostnega pravnega varstva pred množičnim nadzorom za osebe, ki niso iz ZDA, kar krši bistvo pravice do pravnega varstva iz člena 47 Listine; |
|
D. |
ker se Splošna uredba o varstvu podatkov uporablja za vsa podjetja, ki obdelujejo osebne podatke posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v Uniji ali spremljanjem njihovega vedenja, kolikor to vedenje poteka v Uniji; |
|
E. |
ker so podatki evropskih državljanov, ki jih shranjujejo in prenašajo telekomunikacijski operaterji in podjetja, bistveno sredstvo, ki prispeva k strateškim interesom Unije; |
|
F. |
ker množični nadzor, ki ga izvajajo državni akterji, ogroža zaupanje evropskih državljanov, vlad in podjetij v digitalne storitve ter zato škodi tudi digitalnemu gospodarstvu; |
|
G. |
ker imajo potrošniške organizacije in druge organizacije civilne družbe omejena sredstva, uveljavljanje pravic do varstva podatkov in izvajanje povezanih obveznosti pa ne moreta biti odvisna od njihovih dejanj; ker so nacionalni postopki in prakse zelo različni, kar ovira mehanizem sodelovanja iz Splošne uredbe o varstvu podatkov v zvezi s čezmejnimi pritožbami, saj roki niso jasno določeni, postopki so na splošno počasni, nadzorni organi nimajo ustreznih sredstev, v nekaterih primerih pa že dodeljenih sredstev niso pripravljeni uporabiti ali jih ne uporabljajo učinkovito, ter ker trenutno veliko število pritožb glede domnevnih kršitev velikih tehnoloških družb obravnava en sam nacionalni organ, zaradi česar prihaja do ozkih grl pri izvrševanju; |
|
H. |
ker se je v postopku, v katerem je Sodišče Evropske unije izdalo navedeno sodbo, poleg tega izkazalo, da imajo posamezniki, na katere se nanašajo osebni podatki, in potrošniki težave pri varstvu svojih pravic, kar ima zastraševalni učinek na njihovo sposobnost zagovarjanja lastnih pravic pred irskim pooblaščencem za varstvo podatkov; |
|
I. |
ker je Parlament v svoji resoluciji z dne 25. oktobra 2018, v kateri je poudaril, da ZDA do roka, tj. 1. septembra 2018, niso v celoti zagotovile skladnosti z zasebnostnim ščitom, Komisijo že pozval, naj opusti izvajanje zasebnostnega ščita, dokler organi ZDA ne bodo izpolnjevali njegovih pogojev; |
|
J. |
ker je treba pravice posameznikov, na katere se nanašajo osebni podatki, določene v pravu EU o varstvu podatkov, spoštovati ne glede na raven tveganja, ki so ji posamezniki izpostavljeni pri obdelavi osebnih podatkov, tudi pri prenosu osebnih podatkov v tretje države; ker bi morali upravljavci podatkov vedno odgovarjati za skladnost z obveznostmi s področja varstva podatkov ter skladnost pri vsaki obdelavi podatkov tudi dokazati, ne glede na vrsto, obseg, okoliščine, namen obdelave in tveganja za posameznike, na katere se nanašajo osebni podatki; |
|
K. |
ker kljub precejšnjemu razvoju sodne prakse Sodišča Evropske unije, do katerega je prišlo v zadnjih petih letih, ter dejanski uporabi Splošne uredbe o varstvu podatkov od 25. maja 2018 nadzorni organi doslej niso sprejeli nobene odločitve o naložitvi popravljalnih ukrepov v zvezi s prenosom osebnih podatkov v okviru mehanizma za skladnost iz Splošne uredbe o varstvu podatkov; ker nacionalni nadzorni organi niso sprejeli nobene pomembnejše odločitve o naložitvi popravljalnih ukrepov ali glob v zvezi s prenosom osebnih podatkov v tretje države; |
|
L. |
ker je predsednik ZDA Joe Biden prvi dan svojega mandata imenoval namestnika pomočnika ministrice za storitve na ministrstvu za trgovino ZDA, ki bo glavni pogajalec v zvezi s prenosom komercialnih podatkov med ZDA in EU; ker je Gina Raimondo, ki jo je predsednik predlagal kot ministrico za trgovino ZDA, med zaslišanjem za potrditev v senatu dejala, da je hiter zaključek pogajanj o sporazumu, ki bo nadomestil dogovor o zasebnostnem ščitu, absolutna prednostna naloga; |
Splošne ugotovitve
|
1. |
je seznanjen s sodbo Sodišča Evropske unije z dne 16. julija 2020, v kateri je načeloma potrdilo veljavnost Sklepa 2010/87/EU o standardnih pogodbenih klavzulah, ki so mehanizem, ki se najpogosteje uporablja za mednarodne prenose podatkov; ugotavlja tudi, da je Računsko sodišče razveljavilo Sklep Komisije (EU) 2016/1250 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA; ugotavlja, da doslej noben trajnosten enotni mehanizem, ki je zagotavljal pravni prenos poslovnih osebnih podatkov med EU in ZDA, ni zdržal pravnega pregleda na Sodišču Evropske unije; |
|
2. |
je seznanjen, da je Sodišče Evropske unije ugotovilo, da so standardne pogodbene klavzule učinkovit mehanizem za zagotavljanje skladnosti z ravnjo varstva, ki je zagotovljena v EU, vendar je zahtevalo, da morata upravljavec/obdelovalec s sedežem v Evropski uniji in prejemnik osebnih podatkov pred kakršnim koli prenosom preveriti, ali se v zadevni tretji državi spoštuje raven varstva, ki jo določa pravo EU; želi spomniti, da to vključuje oceno pravne ureditve dostopa javnih organov do osebnih podatkov, da ne bodo posamezniki, na katere se nanašajo osebni podatki, in njihovi preneseni podatki izpostavljeni programom nadzora ZDA, ki omogočajo množično zbiranje osebnih podatkov; opozarja, da je Sodišče Evropske unije razsodilo, da so upravljavci in obdelovalci dolžni prekiniti prenose podatkov in/ali prekiniti pogodbo, če prejemnik ne more izpolniti standardnih pogodbenih klavzul; vendar ugotavlja, da številna podjetja, zlasti mala in srednja podjetja, za takšno preverjanje nimajo potrebnega znanja ali zmogljivosti, kar lahko povzroči motnje v poslovanju; |
|
3. |
meni, da sodba Sodišča Evropske unije, ki se sicer osredotoča na raven varstva podatkov, ki se zagotavlja posameznikom v EU, na katere se nanašajo osebni podatki in katerih podatki so bili preneseni v ZDA v okviru mehanizma zasebnostnega ščita, vpliva tudi na sklepe o ustreznosti v zvezi z drugimi tretjimi državami, tudi Združenim kraljestvom; potrjuje, da sta potrebni pravna jasnost in varnost, saj je zmožnost varnega čezmejnega prenosa osebnih podatkov za posameznike vse pomembnejša za varstvo njihovih osebnih podatkov in pravic, pa tudi za vse vrste organizacij, ki zagotavljajo blago in storitve na mednarodni ravni, ter za podjetja glede pravne ureditve v kateri poslujejo; vendar poudarja, da veljavni sklepi o ustreznosti ostajajo veljavni, dokler jih Sodišče Evropske unije ne prekliče, nadomesti ali razglasi za neveljavne; |
|
4. |
je razočaran, ker je irski pooblaščenec za varstvo podatkov zadevo Maximillian Schrems proti družbi Facebook posredoval irskemu vrhovnemu sodišču, namesto da bi sprejel odločitev znotraj svojih pristojnosti v skladu s členom 4 Sklepa 2010/87/EU in členom 58 Splošne uredbe o varstvu podatkov; vendar želi spomniti, da je irski pooblaščenec za varstvo podatkov uporabil pravno možnost, ki organom za varstvo podatkov omogoča, da pomisleke glede veljavnosti izvedbenega sklepa Komisije predložijo nacionalnemu sodišču, da bi se začel postopek za sprejetje predhodne odločbe Sodišča Evropske unije; izraža globoko zaskrbljenost, ker irski pooblaščenec za varstvo podatkov še ni odločil o več pritožbah zoper kršitve Splošne uredbe o varstvu podatkov, vloženih 25. maja 2018, ko je navedena uredba začela veljati, pa tudi drugih pritožbah skupin za varstvo zasebnosti in potrošnikov, čeprav je vodilni organ v teh zadevah; je zaskrbljen, ker pooblaščenec za varstvo podatkov izraz „brez odlašanja“ iz člena 60(3) Splošne uredbe o varstvu podatkov v nasprotju z namenom zakonodajalcev razume kot obdobje, daljše od nekaj mesecev; je zaskrbljen, ker nadzorni organi niso proaktivno ukrepali v skladu s členoma 61 in 66 Splošne uredbe o varstvu podatkov, da bi irskega pooblaščenca za varstvo podatkov prisilili k izpolnjevanju njegovih obveznosti iz navedene uredbe; je zaskrbljen tudi zato, ker za irskega pooblaščenca za varstvo podatkov ne dela dovolj strokovnjakov za tehnologijo, in ker uporablja zastarele sisteme; je zaskrbljen zaradi implikacij neuspešnega poskusa irskega pooblaščenca za varstvo podatkov, da bi stroške sodnega postopka prenesel na toženo stranko, kar bi lahko imelo izjemno zastraševalni učinek; poziva Komisijo, naj začne postopke za ugotavljanje kršitev proti Irski, ker ne izvršuje ustrezno Splošne uredbe o varstvu podatkov; |
|
5. |
je zaskrbljen zaradi neustrezne ravni izvrševanja Splošne uredbe o varstvu podatkov, zlasti na področju mednarodnih prenosov; je zaskrbljen, ker nacionalni nadzorni organi kljub precejšnjemu razvoju sodne prakse Sodišča Evropske unije, do katerega je prišlo v zadnjih petih letih, ne zagotavljajo zadostne prednostne obravnave in splošnega nadzora prenosa osebnih podatkov v tretje države; obžaluje, da na tem področju niso bile sprejete pomembnejše odločitve in popravljalni ukrepi, ter poziva EOVP in nacionalne nadzorne organe, naj prenos osebnih podatkov vključijo v svoje revizijske strategije ter strategije za zagotavljanje skladnosti in izvrševanje; opozarja, da je treba zagotoviti harmonizirane zavezujoče upravne postopke glede zastopanja posameznikov, na katere se nanašajo osebni podatki, in dopustnosti, da bi zagotovili pravno varnost in obravnavali čezmejne pritožbe; |
|
6. |
je seznanjen z osnutkom izvedbenega sklepa Komisije o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države; spodbuja EOVP, naj objavi dodatne smernice o mednarodnih prenosih podatkov za podjetja, zlasti za mala in srednja podjetja, vključno s kontrolnim seznamom za presojo prenosov, orodji za obravnavo tveganj, kot je vladni dostop do podatkov, in informacijami o dodatnih zaščitnih ukrepih, potrebnih za prenose z uporabo standardnih pogodbenih klavzul; vabi EOVP, naj za mnenje o potencialno nasprotujočih si nacionalnih zakonodajah v glavnih trgovinskih partnericah zaprosi tudi neodvisne akademike; |
|
7. |
opozarja, da je treba v skladu s smernicami EOVP št. 2/2018 (12) o odstopanjih iz člena 49 v skladu z Uredbo (EU) 2016/679, kadar prenosi ne potekajo v okviru sklepov o ustreznosti ali drugih instrumentov, ki zagotavljajo ustrezne zaščitne ukrepe, vendar se zanašajo na odstopanja za posebne primere v skladu s členom 49 Splošne uredbe o varstvu podatkov, te prenose razlagati ozko, da izjema ne bi postala pravilo; vendar ugotavlja, da se od razveljavitve zasebnostnega ščita EU-ZDA kljub dvomom o pravni podlagi za prenose za namene oglaševanja vzdržuje čezatlantski pretok podatkov za namene digitalnega oglaševanja; poziva EOVP in organe za varstvo podatkov, naj pri uporabi in nadzoru teh odstopanj zagotavlja konsistentno razlago v skladu s smernicami EOVP št. 02/2018; |
|
8. |
pozdravlja mednarodne razprave o čezmejnem pretoku osebnih podatkov, skladnem s Splošno uredbo o varstvu podatkov in direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj (13); poudarja, da mednarodni trgovinski sporazumi ne smejo ogroziti izvajanja Splošne uredbe o varstvu podatkov, direktive o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj in direktive o zasebnosti in elektronskih komunikacijah ter prihodnjih ukrepov za varstvo temeljnih pravic do zasebnosti in varstva osebnih podatkov; poziva Komisijo, naj upošteva horizontalno stališče EU iz leta 2018 (14) in naj od njega ne odstopa ter naj pri ocenjevanju ustreznosti tretjih držav, tudi v zvezi s prihodnjimi prenosi podatkov, upošteva ustrezne zaveze teh držav, ki izhajajo iz trgovinskega prava; |
Standardne pogodbene klavzule
|
9. |
je seznanjen z osnutkom izvedbenega sklepa Komisije in osnutkom standardnih pogodbenih klavzul; pozdravlja dejstvo, da je Komisija prek javnega posvetovanja zbrala povratne informacije deležnikov o tem osnutku; ugotavlja, da sta se Evropski odbor za varstvo podatkov in Evropski nadzornik za varstvo podatkov v skupnem mnenju, izdanem 15. januarja 2021 (15), pozitivno odzvala na osnutek standardnih pogodbenih klavzul, a hkrati predlagala nekaj nadaljnjih izboljšav; pričakuje, da bo Komisija pred začetkom postopka v odboru upoštevala prejete povratne informacije; |
|
10. |
opozarja, da standardne pogodbene klavzule uporablja veliko malih in srednjih podjetij; poudarja, da vse vrste podjetij nujno potrebujejo jasne smernice in pomoč, da se pri uporabi in razlagi sodbe Sodišča zagotovi pravna varnost; |
|
11. |
je seznanjen s priporočili št. 01/2020 Evropskega odbora za varstvo podatkov (16) o ukrepih, ki dopolnjujejo orodja za prenos, da se zagotovi skladnost z ravnjo varstva osebnih podatkov na ravni EU; pozdravlja dejstvo, da je Evropski odbor za varstvo podatkov organiziral javno posvetovanje o svojih priporočilih; je zaskrbljen zaradi morebitnih nasprotij med temi priporočili in standardnimi pogodbenimi klavzulami, ki jih predlaga Komisija; poziva Komisijo in Evropski odbor za varstvo podatkov, naj sodelujeta pri dokončnem oblikovanju svojih dokumentov, da bi zagotovila pravno varnost v skladu s sodbo Sodišča EU; meni, da bi morala Komisija upoštevati smernice Evropskega odbora za varstvo podatkov; |
|
12. |
pozdravlja zlasti priporočila Evropskega odbora za varstvo podatkov glede potrebe, da se upravljavci podatkov pri ocenjevanju, ali lahko kaj v zakonodaji ali praksi tretje države vpliva na učinkovitost ustreznih zaščitnih ukrepov v instrumentih za prenos zadevnih prenosov, namesto na subjektivnih dejavnikih, kot je verjetnost, da bodo javni organi pridobili dostop do podatkov na način, ki ni v skladu s standardi EU, ki jih je Sodišče EU večkrat zavrnilo, upoštevajo objektivne dejavnike; v zvezi s tem poziva Komisijo, naj zagotovi, da bo njen predlog o standardnih pogodbenih klavzulah povsem v skladu z veljavno sodno prakso Sodišča EU; |
|
13. |
meni, da je bistveno, da se lahko podjetja EU, ki prenašajo podatke zunaj EU, zanašajo na trdne mehanizme, skladne s sodbo Sodišča EU; v zvezi s tem meni, da bi bilo treba pri predlogu Komisije o standardnih pogodbenih klavzul upoštevati vsa ustrezna priporočila Evropskega odbora za varstvo podatkov; podpira vzpostavitev zbirke dodatnih ukrepov, med katerimi se lahko izbira, npr. varnostno certificiranje, certificiranje za varstvo podatkov in zaščitni ukrepi šifriranja, ki jih sprejmejo regulativni organi, ter javno dostopnih virov o ustrezni zakonodaji glavnih trgovinskih partnerjev EU; |
|
14. |
poudarja, da zaradi visokega tveganja množičnega nadzora upravljavci podatkov, za katere se uporablja ameriški zakon o nadzoru tujih obveščevalnih podatkov, ne morejo v okviru teh standardnih pogodbenih klavzul prenašati osebnih podatkov iz Unije; pričakuje, da bodo v primeru, da z ZDA ne bo kmalu sklenjen dogovor, ki bi zagotovil ustrezno raven varstva, enakovrednega ravni, določeni v Splošni uredbi o varstvu podatkov in Listini, ti prenosi začasno ustavljeni, dokler se zadeva ne uredi; poudarja ugotovitev Sodišča EU, da niti razdelek 702 ameriškega zakona o nadzoru tujih obveščevalnih podatkov niti izvršilna odredba št. 12333 v povezavi s predsedniško politično direktivo 28 nista povezana z minimalnimi zaščitnimi ukrepi, ki v pravu EU izhajajo iz načela sorazmernosti, zaradi česar programov nadzora, ki temeljijo na teh določbah, ni mogoče obravnavati kot omejene na to, kar je nujno potrebno; poudarja, da je treba težave, ki jih je v sodbi opredelilo Sodišče EU, rešiti na trajnosten način, da se posameznikom, na katere se nanašajo osebni podatki, zagotovi ustrezno varstvo osebnih podatkov; opozarja, da nobena pogodba, sklenjena med podjetji, ne more preprečiti neselektivnega dostopa obveščevalnih organov do vsebine elektronskih komunikacij ali zagotoviti ustreznega pravnega varstva zoper množični nadzor; poudarja, da je za to potrebna prenova zakonodaje in prakse ZDA o nadzoru, da se zagotovi, da bo dostop varnostnih organov ZDA do podatkov, prenesenih iz EU, omejen zgolj na to, kar je potrebno in sorazmerno, ter da bodo imeli evropski posamezniki, na katere se nanašajo osebni podatki, dostop do učinkovitega sodnega varstva na sodiščih ZDA; |
|
15. |
opozarja, da so pogajalska moč, pravna sposobnost in finančna zmogljivost evropskih malih in srednjih podjetij ter neprofitnih organizacij in združenj omejene, pa vendar se od njih zahteva, da sama ocenijo ustreznost zapletenih pravnih okvirov različnih tretjih držav; poziva Komisijo in Evropski odbor za varstvo podatkov, naj zagotovita smernice glede praktične uporabe zanesljivih dopolnilnih ukrepov, zlasti za mala in srednja podjetja; |
|
16. |
poziva organe za varstvo podatkov, naj izpolnijo svoje obveznosti, poudarjene v sodbi Sodišča Evropske unije, da zagotovijo ustrezno in hitro izvrševanje Splošne uredbe o varstvu podatkov s pozornim spremljanjem uporabe standardnih pogodbenih klavzul; poziva organe za varstvo podatkov, naj podjetjem pomagajo pri spoštovanju sodne prakse Sodišča EU; poziva organe za varstvo podatkov, naj v primeru, da izvozniki podatkov osebne podatke prenašajo kljub temu, da zakonodaja namembne tretje države uvoznikom podatkov ne omogoča zagotavljanja skladnosti s standardnimi pogodbenimi klavzulami in da ni učinkovitih dopolnilih ukrepov, v celoti uporabijo svoja preiskovalna in popravljalna pooblastila v skladu s členom 58 Splošne uredbe o varstvu podatkov; opozarja na stališče Sodišča EU, da mora vsak nadzorni organ „opraviti svojo nalogo zagotavljanja doslednega spoštovanja Splošne uredbe o varstvu podatkov“; |
Zasebnostni ščit
|
17. |
opozarja, da je Sodišče EU ugotovilo, da zasebnostni ščit EU-ZDA ne zagotavlja v bistvu enakovredne ravni varstva kot Splošna uredba o varstvu podatkov in Listina, zlasti zaradi množičnega dostopa javnih organov ZDA do osebnih podatkov, prenesenih v okviru zasebnostnega ščita, kar ni v skladu z načeloma nujnosti in sorazmernosti, in ker posamezniki iz EU, na katere se nanašajo osebni podatki, nimajo pravic, ki bi jih lahko zoper ameriške organe uveljavljali na sodiščih ZDA ali pred katerim koli drugim neodvisnim organom, ki deluje kot sodišče; pričakuje, da bo sedanja administracija ZDA bolj zavezana izpolnjevanju svojih obveznosti v okviru morebitnih prihodnjih mehanizmov prenosa kot prejšnje administracije, ki so pokazale pomanjkanje politične zavezanosti k spoštovanju pravil o varnem pristanu in njihovemu izvrševanju ter izvrševanju pravil zasebnostnega ščita; |
|
18. |
poudarja, da so nekatera podjetja v odziv na sodbo v zadevi Schrems II prenagljeno spremenila svoje izjave o varstvu osebnih podatkov in pogodbe s tretjimi stranmi v zvezi s svojimi zavezami v okviru zasebnostnega ščita, ne da bi presodila, kateri so najboljši ukrepi za zakonit prenos podatkov; |
|
19. |
obžaluje dejstvo, da Komisija kljub številnim pozivom Parlamenta v resolucijah iz let 2016, 2017 in 2018, naj sprejme vse potrebne ukrepe, da se zagotovi, da bo zasebnostni ščit v celoti skladen s Splošno uredbo o varstvu podatkov in Listino, ni ukrepala v skladu s členom 45(5) Splošne uredbe o varstvu podatkov; obžaluje, da Komisija ni upoštevala pozivov Parlamenta k začasni prekinitvi zasebnostnega ščita, dokler organi ZDA ne izpolnijo njegovih pogojev, v katerih je poudaril tveganje, da bo Sodišče EU razveljavilo zasebnostni ščit; opozarja, da sta delovna skupina iz člena 29 in Evropski odbor za varstvo podatkov večkrat opozorila na težave v zvezi z delovanjem zasebnostnega ščita; |
|
20. |
obžaluje, da je Komisija odnose z ZDA postavila pred interese državljanov EU in s tem zagovarjanje skladnosti s pravom EU prepustila posameznim državljanom; |
Množični nadzor in pravni okvir
|
21. |
spodbuja Komisijo, naj aktivno spremlja uporabo tehnologij za množični nadzor v ZDA in drugih tretjih državah, v zvezi s katerimi se uporablja ali se bo v prihodnje uporabljal sklepa o ustreznosti, kot je Združeno kraljestvo; poziva Komisijo, naj ne sprejme sklepov o ustreznosti v zvezi z državami, v katerih zakoni in programi o množičnem nadzoru ne izpolnjujejo meril Sodišča Evropske unije, ne v črki ne duhu; |
|
22. |
je seznanjen, da je nedavno v ZDA začel veljati kalifornijski zakon o zasebnosti potrošnikov; je seznanjen s sorodnimi razpravami in zakonodajnimi predlogi na zvezni ravni; poudarja, da je bilo narejenih nekaj korakov v pravo smer, vendar sklepa o ustreznosti iz Splošne uredbe o varstvu podatkov ne izpolnjuje ne kalifornijski zakon o zasebnosti potrošnikov, pa tudi nobeden od predlogov na zvezni ravni; odločno spodbuja zakonodajalca ZDA, naj sprejme zakonodajo, ki bo izpolnjevala te zahteve, in tako omogoči, da bo zakonodaja ZDA zagotavljala v bistvu enakovredno raven zaščite, kot je trenutno zagotovljena v EU; |
|
23. |
poudarja, da taka zakonodaja o varstvu podatkov potrošnikov in zasebnosti sama po sebi ne bo dovolj za rešitev temeljnih vprašanj, ki jih je Sodišče EU ugotovilo v zvezi z množičnim nadzorom ameriških obveščevalnih služb in nezadostnim dostopom do pravnega varstva; spodbuja zveznega zakonodajalca ZDA, naj spremeni razdelek 702 zakona o nadzoru tujih obveščevalnih podatkov, predsednika ZDA pa, naj spremeni izvršilno odredbo št. 12333 in predsedniško politično direktivo št. 28, zlasti v zvezi množičnim nadzorom in zagotavljanjem enake ravni zaščite državljanom EU in ZDA; spodbuja ZDA, naj zagotovijo mehanizme, ki bodo posameznikom omogočili, da prejmejo (zapoznele) prijave in izpodbijajo neustrezni nadzor v skladu z razdelkom št. 702 in izvršilno odredbo 12333, ter vzpostavijo zakonsko določen mehanizem, ki bo zagotavljal, da bodo imeli državljani, ki niso državljani ZDA, iztožljive pravice, ki presegajo zakon o sodnem varstvu; |
|
24. |
opozarja, da si države članice še naprej izmenjujejo osebne podatke z Združenimi državami Amerike v okviru programa za sledenje financiranju terorističnih dejavnosti (TFTP), sporazuma o evidenci podatkov o potnikih (PNR) med EU in ZDA, samodejne izmenjave davčnih informacij prek medvladnih sporazumov, s katerimi se izvaja ameriški zakon o spoštovanju davčnih predpisov v zvezi z računi v tujini (FATCA), ki negativno vpliva na „naključne Američane“, kot je navedeno v resoluciji Parlamenta z dne 5. julija 2018 o škodljivih učinkih zakona ZDA o spoštovanju davčnih predpisov v zvezi z računi v tujini (FATCA) na državljane EU in zlasti za „naključne Američane“ (17); opozarja, da imajo ZDA še naprej dostop do podatkovnih zbirk organov kazenskega pregona držav članic, ki vsebujejo prstne odtise državljanov EU in podatke o DNK; poziva Komisijo, naj analizira vpliv sodb v zadevah Schrems I in Schrems II na te izmenjave podatkov ter naj Odboru za državljanske svoboščine, pravosodje in notranje zadeve do 30. septembra 2021 javno in v pisni obliki predstavi to analizo in pojasni, kako namerava te izmenjave podatkov uskladiti s sodbama; |
|
25. |
prav tako poziva Komisijo, naj analizira položaj ponudnikov storitev računalništva v oblaku iz razdelka 702 ameriškega zakona o nadzoru tujih obveščevalnih podatkov, ki prenašajo podatke z uporabo standardnih pogodbenih klavzul; poziva Komisijo, naj analizira vpliv na pravice, določene v krovnem sporazumu med EU in ZDA o varstvu podatkov, vključno s pravico do sodnega varstva, in upošteva, da ZDA to pravico priznavajo izključno državljanom določenih držav, ki dovolijo, da se podatki prenašajo v ZDA v komercialne namene; meni, da je nesprejemljivo, da Komisija eno leto po izteku roka še ni objavila svojih ugotovitev o prvem skupnem pregledu krovnega sporazuma, in jo poziva, naj po potrebi sporazum nemudoma uskladi s standardi, ki jih je določilo Sodišče EU; |
|
26. |
meni, da je treba v zvezi z ugotovljenimi pomanjkljivostmi pri varstvu podatkov evropskih državljanov, prenesenih v ZDA, podpreti naložbe v evropska orodja za hrambo podatkov (npr. storitve v oblaku), da se v zvezi s pomnilniškimi zmogljivostmi zmanjša odvisnost EU od tretjih držav in okrepi strateška avtonomija Unije na področju upravljanja in varstva podatkov; |
Sklepi o ustreznosti
|
27. |
poziva Komisijo, naj sprejme vse potrebne ukrepe in zagotovi, da bo morebiten nov sklep o ustreznosti v zvezi z ZDA v celoti skladen z Uredbo (EU) 2016/679, Listino in vsemi vidiki sodb Sodišča EU; opozarja, da okviri za ustreznost bistveno olajšajo izvajanje gospodarske dejavnosti, zlasti za mala in srednja ter zagonska podjetja, ki v nasprotju z velikimi podjetji pogosto nimajo ustrezne finančne, pravne in tehnične zmogljivosti za uporabo drugih orodij za prenos podatkov; poziva države članice, naj z ZDA sklenejo sporazume o prepovedi vohunjenja; poziva Komisijo, naj prek svojih sogovornikov iz ZDA posreduje sporočilo, da bi bila brez sprememb zakonodaje in praks ZDA o nadzoru edina izvedljiva možnost za lažje sprejemanje bodočih sklepov o ustreznosti sklenitev sporazumov o prepovedi vohunjenja z državami članicami; |
|
28. |
meni, da morebiten prihodnji sklep Komisije o ustreznosti za razliko od varnega pristana in zasebnostnega ščita ne bi smel temeljiti na shemi samocertificiranja; poziva Komisijo, naj Evropski odbor za varstvo podatkov popolnoma vključi v ocenjevanje skladnosti in izvajanja morebitnega novega sklepa o ustreznosti v zvezi z ZDA; v zvezi s tem poziva Komisijo, naj se z administracijo ZDA dogovori o ukrepih, ki bodo Evropskemu odboru za varstvo podatkov omogočili dejansko opravljanje te naloge; pričakuje, da bo Komisija pred sprejetjem morebitnega novega sklepa o ustreznosti v zvezi z ZDA resneje upoštevala stališče Evropskega Parlamenta v zvezi z morebitnim sklepom; |
|
29. |
opozarja, da Komisija trenutno pregleduje vse sklepe o ustreznosti, sprejete na podlagi Direktive 95/46/ES; poudarja, da bi morala Komisija uporabiti strožje standarde iz Splošne uredbe o varstvu podatkov in sodb Sodišča EU v zadevah Schrems I in Schrems II, da bi ocenila, ali je zagotovljena v bistvu enakovredna raven varstva, ki jo zagotavlja splošna uredba o varstvu podatkov, vključno z dostopom do učinkovitega pravnega varstva in zaščito pred neupravičenim dostopom organov tretje države do osebnih podatkov; poziva Komisijo, naj te preglede čim prej zaključi ter razveljavi ali začasno prekliče veljavnost vseh sklepov, izdanih pred začetkom veljavnosti Splošne uredbe o varstvu podatkov, če ugotovi, da zadevna tretja država ne zagotavlja ravni varnosti in če se stanja ne da izboljšati; |
|
30. |
meni, da je Bidnova administracija z imenovanjem izkušenega strokovnjaka za vprašanja zasebnosti kot glavnega pogajalca o instrumentu, ki bo nasledil zasebnostni ščit, pokazala, da je zavezana iskanju rešitve za prenose komercialnih podatkov med EU in ZDA in da je to zanjo prednostna naloga; pričakuje, da se bo dialog med Komisijo in njenimi sogovorniki iz ZDA, ki se je začel takoj po izreku sodbe Sodišča EU, v naslednjih mesecih okrepil; |
|
31. |
poziva Komisijo, naj ne sprejme nobenega novega sklepa o ustreznosti v zvezi z ZDA, razen če ne bodo uvedene smiselne reforme, zlasti za namene nacionalne varnosti in v obveščevalne namene, kar se lahko doseže z jasno, pravno vzdržno, izvršljivo in nediskriminacijsko reformo zakonov in praks ZDA; v zvezi s tem poudarja, kako pomembni so učinkoviti zaščitni ukrepi na področju dostopa javnih organov do osebnih podatkov; poziva Komisijo, naj udejanji svoje geopolitične ambicije, da bi v ZDA in drugih tretjih državah zagotovila raven varstva podatkov, ki bo v bistvu enakovredna ravni v EU; |
|
32. |
pričakuje, da bodo nacionalni organi za varstvo podatkov prekinili prenos osebnih podatkov, do katerih bi lahko dostopali javni organi v ZDA, če Komisija sprejme nov sklep o ustreznosti v zvezi z ZDA, ne da bi bile izvedene omenjene smiselne reforme; |
|
33. |
pozdravlja dejstvo, da Komisija upošteva merila, določena v členu 29 referenčnega dokumenta o ustreznosti delovne skupine v skladu s Splošno uredbo o varstvu podatkov (18) (kot jo je potrdil Evropski odbor za varstvo podatkov) in priporočilu Evropskega odbora za varstvo podatkov št. 01/2021 o ustreznosti referenčnega dokumenta v skladu z Direktivo o preprečevanju, odkrivanju in preiskovanju kaznivih dejanj (19); meni, da Komisija ne bi smela znižati meril, ki jih upošteva pri ocenjevanju, ali tretja država izpolnjuje pogoje za sklep o ustreznosti; je seznanjen, da je Evropski odbor za varstvo podatkov nedavno posodobil svoja priporočila glede evropskih temeljnih jamstev za nadzorne ukrepe v skladu s sodno prakso Sodišča EU (20); |
o
o o
|
34. |
naroči svojemu predsedniku, naj to resolucijo posreduje Komisiji, Evropskemu svetu, Svetu Evropske unije, Evropskemu odboru za varstvo podatkov, nacionalnim parlamentom držav članic, kongresu in vladi Združenih držav Amerike ter parlamentu in vladi Združenega kraljestva. |
(1) Sodba Sodišča z dne 16. julija 2020, Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu, C-311/18, ECLI:EU:C:2020:559.
(2) Sodba Sodišča z dne 6. oktobra 2015, Maximillian Schrems proti Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.
(3) Sodba Sodišča z dne 6. oktobra 2020 v zadevi C-623/17, Privacy International proti Secretary of State of Foreign and Commonwealth Affairs in drugi C-623/17, ECLI:EU:C:2020:790.
(4) UL C 76, 28.2.2018, str. 82.
(5) UL C 298, 23.8.2018, str. 73.
(6) UL C 118, 8.4.2020, str. 133.
(7) UL C 345, 16.10.2020, str. 58.
(8) UL L 39, 12.2.2010, str. 5.
(9) UL L 207, 1.8.2016, str. 1.
(10) Sprejeta besedila, P9_TA(2020)0337.
(11) UL L 119, 4.5.2016, str. 1.
(12) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018 _derogations_sl.pdf
(13) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).
(14) Predlog EU glede določb o čezmejnem pretoku podatkov ter varstvu osebnih podatkov in zasebnosti, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf.
(15) Skupno mnenje Evropskega odbora za varstvo podatkov in Evropskega nadzornika za varstvo podatkov št. 2/2021 o standardnih pogodbenih klavzulah za prenos osebnih podatkov v tretje države z dne 14. januarja 2021: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_sl.
(16) Priporočila Evropskega odbora za varstvo podatkov 01/2020 o ukrepih, ki dopolnjujejo orodja za prenos, za zagotovitev skladnosti z ravnjo varstva osebnih podatkov na ravni EU z dne 11. novembra 2020, https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_sl.
(17) UL C 118, 8.4.2020, str. 141.
(18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108
(19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_sl
(20) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_sl