P9_TA(2023)0204

Ustreznost zaščite, ki jo zagotavlja okvir za varstvo zasebnosti podatkov med EU in ZDA

Resolucija Evropskega parlamenta z dne 11. maja 2023 o ustreznosti zaščite, ki jo zagotavlja okvir za varstvo zasebnosti podatkov med EU in ZDA (2023/2501(RSP))

(C/2023/1073)

Evropski parlament,

—	ob upoštevanju Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina), zlasti členov 7, 8, 16, 47 in 52,

—	ob upoštevanju sodbe Sodišča Evropske unije z dne 6. oktobra 2015 v zadevi C-362/14, Maximillian Schrems/Data Protection Commissioner (Schrems I) (1),

—	ob upoštevanju sodbe Sodišča z dne 16. julija 2020 v zadevi C-311/18, Data Protection Commissioner/Facebook Ireland Limited in Maximillian Schrems (Schrems II) (2),

—

ob upoštevanju svoje preiskave o razkritjih Edwarda Snowdna o elektronskem množičnem nadzoru državljanov EU, tudi ugotovitev, navedenih v resoluciji z dne 12. marca 2014 o programu nadzora Agencije ZDA za nacionalno varnost, organih nadzora v različnih državah članicah ter njihovem učinku na temeljne pravice državljanov EU in čezatlantsko sodelovanje na področju pravosodja in notranjih zadev (3),

—	ob upoštevanju svoje resolucije z dne 26. maja 2016 o čezatlantskem pretoku podatkov (4),

—	ob upoštevanju svoje resolucije z dne 6. aprila 2017 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (5),

—	ob upoštevanju svoje resolucije z dne 5. julija 2018 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (6),

—	ob upoštevanju svoje resolucije z dne 20. maja 2021 o sodbi Sodišča Evropske unije z dne 16. julija 2020 v zadevi Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II), zadeva C-311/18 (7),

—	ob upoštevanju osnutka izvedbenega sklepa Komisije, katerega pravna podlaga je Uredba (EU) 2016/679 Evropskega parlamenta in Sveta, o ustrezni ravni varstva osebnih podatkov v okviru za varstvo zasebnosti podatkov med EU in ZDA,

—	ob upoštevanju izvršnega odloka št. 14086 z dne 7. oktobra 2022 o okrepitvi varnostnih ukrepov v zvezi z obveščevalnimi dejavnostmi ZDA glede prestrezanja signalov, ki ga je izdal predsednik te države,

—	ob upoštevanju izvršnega odloka št. 12333 z dne 4. decembra 1981 o obveščevalnih dejavnostih ZDA, ki ga je izdal predsednik te države,

—	ob upoštevanju uredbe o revizijskem sodišču za varstvo podatkov, ki jo je izdal minister ZDA za pravosodje (uredba ministra za pravosodje),

—	ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (8), zlasti poglavja V,

—	ob upoštevanju Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (9),

—

ob upoštevanju referenčnega dokumenta o ustreznosti delovne skupine iz člena 29 (WP 254 rev. 01) pri Evropskem odboru za varstvo podatkov in priporočil št. 01/2020 tega odbora o ukrepih, ki dopolnjujejo orodja za prenos, za zagotovitev skladnosti z ravnjo varstva osebnih podatkov na ravni EU, in št. 02/2020 glede evropskih temeljnih jamstev za nadzorne ukrepe,

—	ob upoštevanju mnenja 5/2021 Evropskega odbora za varstvo podatkov z dne 28. februarja 2023 o osnutku izvedbenega sklepa Evropske komisije o ustrezni ravni varstva osebnih podatkov v okviru za varstvo zasebnosti podatkov med EU in ZDA,

—	ob upoštevanju člena 132(2) Poslovnika,

ker je Sodišče v sodbi v zadevi Schrems I razveljavilo odločbo Komisije z dne 26. julija 2000 po Direktivi 95/46/ES o primernosti zaščite, ki jo zagotavljajo načela zasebnosti varnega pristana in s tem povezana najpogosteje zastavljena vprašanja, ki jih je izdalo ministrstvo ZDA za trgovino (10), ter poudarilo, da neselektivni dostop obveščevalnih organov do vsebine elektronskih komunikacij krši bistvo temeljne pravice do zaupnosti komunikacij, ki se zagotavlja s členom 7 Listine; ker je poudarilo, da tretji državi za namene sklepa o ustreznosti ni treba zagotoviti enake, ampak „v bistvu enakovredno“ raven varstva, kot jo ponuja pravo EU, kar je mogoče doseči z različnimi sredstvi;

ker je Sodišče Evropske unije v sodbi v zadevi Schrems II razveljavilo Izvedbeni sklep Komisije (EU) 2016/1250 z dne 12. julija 2016 na podlagi Direktive 95/46/ES o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA (11), ter ugotovilo, da navedeni sklep ne zagotavlja zadostnih pravnih sredstev v zvezi z množičnim nadzorom oseb, ki niso državljani ZDA, kar pomeni kršitev bistva temeljne pravice do pravnega sredstva iz člena 47 Listine;

C.	ker je predsednik Združenih držav Amerike 7. oktobra 2022 podpisal izvršni odlok št. 14086 o okrepitvi varnostnih ukrepov v zvezi z obveščevalnimi dejavnostmi prestrezanja signalov (v nadaljevanju: izvršni odlok 14086);

D.	ker je Komisija 13. decembra 2022 začela proces za sprejetje sklepa o ustreznosti okvira za varstvo zasebnosti podatkov med EU in ZDA;

ker mora Komisija pri preučevanju ravni varstva, ki jo zagotavlja tretja država, oceniti vsebino pravil, ki se uporabljajo v tej državi in izhajajo iz njenega notranjega prava ali njenih mednarodnih zavez, ter prakso zagotavljanja skladnosti s temi pravili; ker Komisija v primeru, da bi bila ocena nezadovoljiva v smislu ustreznosti in enakovrednosti, ne bi smela sprejeti sklepa o ustreznosti, saj je pogojen z izvajanjem ustreznih jamstev; ker je Komisija obvezana začasno ustaviti ustreznost, kadar ni več enakovrednosti; ker splošna uredba o varstvu podatkov (GDPR) zahteva, da mora biti ustrezna ocena stalen proces, ki upošteva spremembe veljavnih pravil in praks;

ker bi lahko možnost čezmejnega prenosa osebnih podatkov pomenila glavno gonilo inovacij, produktivnosti in gospodarske konkurenčnosti, če obstajajo ustrezna varovala; ker bi bilo treba pri teh prenosih v celoti spoštovati pravico do varstva osebnih podatkov in pravico do zasebnosti; ker je eden ciljev EU varstvo temeljnih pravic, ki so zapisane v Listini;

ker se GDPR uporablja za vsa podjetja, ki obdelujejo osebne podatke posameznikov, na katere se nanašajo osebni podatki in ki so v EU, če so dejavnosti obdelave povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v Uniji ali spremljanjem njihovega vedenja, kolikor to vedenje poteka v Uniji;

ker množični nadzor, tj. neselektivno zbiranje podatkov brez zaščitnih ukrepov, ki bi omejevali vdore v zasebnost posameznikov, ki ga izvajajo državni akterji, ogroža zaupanje evropskih državljanov in podjetij v digitalne storitve ter zato škodi tudi digitalnemu gospodarstvu; ker je agencijam ZDA prepovedano zbirati masovne podatke o državljanih ZDA, ki živijo v Združenih državah, vendar ta prepoved ne velja za državljane EU; ker množični nadzor, ki ga izvajajo državni akterji, ni zakonit in negativno vpliva na zaupanje državljanov in podjetij EU v digitalne storitve ter zato škodi tudi digitalnemu gospodarstvu;

I.	ker bi morali upravljavci vedno odgovarjati za skladnost z obveznostmi s področja varstva podatkov, pri čemer bi morali skladnost pri vsaki obdelavi podatkov tudi dokazati, ne glede na vrsto, obseg, okoliščine, namen in tveganja za posameznike, na katere se nanašajo osebni podatki;

ker v ZDA ni zvezne zakonodaje o zasebnosti in varstvu podatkov; ker izvršni odlok 14086 uvaja opredelitve ključnih konceptov varstva podatkov, kot sta načeli nujnosti in sorazmernosti, kar predstavlja pomemben korak naprej v primerjavi s prejšnjimi mehanizmi prenosa; ker je treba način razlage teh načel pozorno spremljati; ker celovita ocena o tem, kako se ta načela izvajajo v pravnem redu ZDA, morda ne bo mogoča zaradi pomanjkanja preglednosti v postopkih revizijskega sodišča za varstvo podatkov;

opozarja, da sta spoštovanje zasebnega in družinskega življenja ter varstvo osebnih podatkov pravno izvršljivi temeljni pravici, določeni v Pogodbah, Listini in Evropski konvenciji o človekovih pravicah ter v zakonodaji in sodni praksi; poudarja, da so sklepi o ustreznosti na podlagi GDPR pravne, in ne politične odločitve ter da v pravico do zasebnosti in varstva podatkov ni mogoče poseči zaradi trgovinskih ali političnih interesov, temveč le zaradi spoštovanja drugih temeljnih pravic;

je seznanjen s prizadevanji iz izvršnega odloka 14086 za določitev omejitev v zvezi z obveščevalnimi dejavnostmi ZDA pri prestrezanju signalov, in sicer s tem, da načeli sorazmernosti in nujnosti veljata za pravni okvir ZDA na tem področju, ter uvedbo seznama legitimnih ciljev za te dejavnosti; je seznanjen, da bi bili ti načeli zavezujoči za celotno obveščevalno skupnost ZDA in da bi se lahko posamezniki, na katere se nanašajo osebni podatki, nanje sklicevali v postopku, predvidenem v izvršnem odloku 14086; poudarja, da ta izvršni odlok predvideva pomembne izboljšave, s katerimi naj bi zagotovili, da sta ti načeli v bistvu enakovredna v pravu EU; vendar poudarja, da sta ti načeli dolgoletna ključna elementa ureditve EU o varstvu podatkov in da njuni vsebinski opredelitvi v izvršnem odloku 14086 nista v skladu z njunima opredelitvama v pravu EU in razlago Sodišča; poleg tega poudarja, da bi se za namene okvira za varstvo zasebnosti podatkov med EU in ZDA ti načeli razlagali izključno ob upoštevanju prava in pravne tradicije ZDA, ne pa prava in pravne tradicije EU; ugotavlja, da izvršni odlok 14086 navaja 12 legitimnih ciljev, ki jih je mogoče zasledovati pri zbiranju obveščevalnih podatkov s prestrezanjem signalov, in pet ciljev, za katere je takšno zbiranje prepovedano; ugotavlja, da lahko predsednik ZDA spremeni in razširi seznam legitimnih ciljev nacionalne varnosti, ne da bi moral te spremembe objaviti ali o njih obvestiti EU; poudarja, da izvršni odlok 14086 zahteva, da se obveščevalne dejavnosti prestrezanja signalov izvajajo na način, ki je nujen in sorazmeren s potrjenimi prednostmi obveščevalnih služb, kar pomeni široko razlago teh pojmov; poudarja, da bi bilo treba za celovito oceno načel sorazmernosti in nujnosti v okviru izvršnega odloka 14086 ta načela operacionalizirati in izvajati v politikah in postopkih obveščevalnih agencij ZDA; vendar je zaskrbljen, ker se ne zahteva, da analitiki za vsako odločitev o nadzoru izvedejo oceno sorazmernosti;

ugotavlja, da izvršni odlok 14086 v določenih primerih dopušča masovno zbiranje podatkov z obveščevalnimi dejavnostmi prestrezanja signalov, vključno z vsebino komunikacij; hkrati ugotavlja, da tudi določa, da bi moralo imeti ciljno usmerjeno zbiranje prednost pred masovnim zbiranjem; želi spomniti, da izvršni odlok 14086 sicer vsebuje več varoval v primeru masovnega zbiranja, vendar zanj ne predvideva neodvisnega predhodnega dovoljenja, ki prav tako ni zahtevano v izvršnem odloku 12333; opozarja, da je Sodišče v sodbi Schrems II zapisalo, da nadzor ZDA ni bil v skladu z zakonodajo EU, ker ni zahteval „objektivnega merila“, ki bi lahko upravičilo poseganje vlade v zasebnost; poudarja, da bi to ogrozilo namen teh ciljev kot varovala za omejevanje obveščevalnih dejavnosti ZDA; opozarja, da je nadzorni odbor za zasebnost in državljanske svoboščine (PCLOB) po predsedniški politični direktivi št. 28, ki je bila podlaga za sklep o ustreznosti zasebnostnega ščita, izdal poročilo o pregledu (12) in ugotovil, da je direktiva v bistvu ohranila obstoječe prakse obveščevalne skupnosti; je prepričan, da navedena direktiva ne bo ustavila organov ZDA pri elektronskem množičnem nadzoru državljanov EU;

se strinja s pomisleki Evropskega odbora za varstvo podatkov, da izvršni odlok 14086 ne predvideva zadostnih varoval pri masovnem zbiranju podatkov, in sicer ne uvaja neodvisnega predhodnega dovoljenja, jasnih in strogih pravil o hrambi podatkov, „začasnega“ masovnega zbiranja ter strožjih zaščitnih ukrepov v zvezi z razširjanjem masovno zbranih podatkov; opozarja zlasti na poseben problem, da bi lahko organi kazenskega pregona brez dodatnih omejitev pri posredovanju organom ZDA dostopali do podatkov, do katerih sicer ne bi smeli dostopati; opozarja, da nadaljnji prenosi dejansko povečujejo tveganja za varstvo podatkov; ugotavlja, da je Evropski odbor za varstvo podatkov pozval k vključitvi pravno zavezujoče obveznosti analize in ugotavljanja, ali tretja država zagotavlja sprejemljivo minimalno raven varoval;

poudarja, da se izvršni odlok 14086 ne uporablja za podatke, do katerih javni organi dostopajo na druge načine, na primer na podlagi Zakona ZDA o pojasnitvi zakonite čezmejne uporabe podatkov (Cloud Act) ali Domoljubnega zakona ZDA (Patriot Act), nakupov komercialnih podatkov ali prostovoljnih sporazumov o souporabi podatkov;

poudarja, da je temeljni problem uporaba zakonodaje ZDA za nadzor oseb, ki niso državljani ZDA, in da je evropskim državljanom onemogočeno, da bi v zvezi s tem uveljavljali učinkovito sodno varstvo; zahteva, da morajo imeti državljani EU enake pravice in privilegije kot državljani ZDA, kar zadeva dejavnosti obveščevalne skupnosti ZDA in dostop do sodišč ZDA;

je seznanjen, da tolmačenje ZDA glede „obveščevalnih dejavnosti prestrezanja signalov“ zajema vse metode dostopa do podatkov, določene v zakonu o nadzoru tujih obveščevalnih podatkov (FISA), vključno s ponudniki „računalniških storitev na daljavo“, kar je bilo vključeno s členom S1881a zakona o spremembi FISA iz leta 2008; poziva Komisijo, naj v prihodnjih pogajanjih pojasni opredelitev in področje uporabe pojma „obveščevalne dejavnosti prestrezanja signalov“ v izvršnem odloku 14086; želi spomniti, da si vlada ZDA v skladu s členom 702 zakona FISA še vedno lasti pravico, da lahko pridobi od katere koli osebe v tujini, ki ni državljan ZDA, tuje obveščevalne podatke, ki so splošno opredeljeni;

poudarja, da je bil vzpostavljen nov mehanizem pravnih sredstev, ki posameznikom iz EU, na katere se nanašajo osebni podatki, omogoča vložitev pritožbe; hkrati poudarja, da bi bile odločbe revizijskega sodišča za varstvo podatkov zaupne in ne bi bile objavljene ali dostopne pritožniku, ki bi bil obveščen le, da v reviziji niso bile ugotovljene nobene zajete kršitve ali da je to sodišče izdalo odločitev, ki zahteva ustrezno ukrepanje, s čimer je bila ogrožena njegova pravica do dostopa do njihovih podatkov ali njihovega popravka; je zaskrbljen, da to pomeni, da oseba, ki začne postopek, ne bi imela možnosti, da bi bila obveščena o vsebinskim izidu zadeve, odločitev pa bi bila dokončna; ugotavlja, da predlagani postopek uveljavljanja pravnih sredstev ne zagotavlja možnosti pritožbe na zvezno sodišče, kar med drugim pomeni da pritožnik ne more zahtevati odškodnine; poziva Komisijo, naj nadaljuje pogajanja z ZDA, da bi dosegla potrebne spremembe za odpravo teh pomislekov;

je seznanjen, da izvršni odlok 14086 uvaja nekatera jamstva za zagotovitev neodvisnosti sodnikov revizijskega sodišča za varstvo podatkov, kakor je v svojem mnenju potrdil Evropski odbor za varstvo podatkov; poudarja, da je to sodišče del izvršilne veje oblasti in ne sodstva, njegovi sodniki pa so imenovani za štiriletni mandat; poudarja, da lahko predsednik ZDA celo tajno ovrže sklepe navedenega sodišča; poudarja, da novi mehanizem pravnih sredstev ministru ZDA za pravosodje sicer ne dovoljuje, da bi razrešil in nadzoroval sodnike revizijskega sodišča za varstvo podatkov, da pa ne vpliva na ustrezne pristojnosti predsednika ZDA; poudarja, da neodvisnost teh sodnikov ni zagotovljena, dokler lahko predsednik ZDA med njihovim mandatom odstavi sodnike navedenega sodišča; ugotavlja, da bi morala Komisijo pozorno spremljati. kako se varovala za neodvisnost uporabljajo v praksi, če bo mehanizem sprejet; poudarja, da bi pritožnika zastopal „posebni zagovornik“, ki ga imenuje revizijsko sodišče za varstvo podatkov in za katerega zahteva neodvisnosti ne velja; poziva Komisijo, naj zagotovi uvedbo zahteve po neodvisnosti v primeru sprejetja sklepa o ustreznosti; ugotavlja, da revizijsko sodišče za varstvo podatkov trenutno ne izpolnjuje standardov neodvisnosti in nepristranskosti iz člena 47 Listine; ugotavlja, da bi odbor PCLOB neodvisno pregledoval delovanje novega postopka pravnih sredstev, vendar bi bil obseg tega pregleda omejen;

10.

ugotavlja, da so ZDA sicer zagotovile nov mehanizem pravnih sredstev v zvezi z dostopom javnih organov do podatkov, da pa ostajajo odprta vprašanja glede učinkovitosti pravnih sredstev, ki so na voljo za gospodarske zadeve in ki so v skladu s sklepom o ustreznosti nespremenjena; ugotavlja, da so mehanizmi, namenjeni rešitvi teh vprašanj, v veliki meri prepuščeni presoji podjetij, ki lahko izberejo alternativne rešitve, kot so mehanizmi za reševanje sporov ali uporaba programov podjetij za varstvo zasebnosti; poziva Komisijo, naj pozorno analizira učinkovitost teh mehanizmov pravnih sredstev, če se sprejme sklep o ustreznosti;

11.

ugotavlja, da evropska podjetja potrebujejo in si zaslužijo pravno varnost; poudarja, da je menjavanje mehanizmov za prenos podatkov, ki jih je Sodišče naknadno razveljavilo, evropskim podjetjem povzročilo dodatne stroške; zato se zaveda, da je treba zagotoviti pravno varnost in preprečiti primere, ko bi se morala podjetja nenehno prilagajati novim pravnim rešitvam, kar bi lahko bilo posebej obremenjujoče razmere za mikro-, mala in srednja podjetja; je zaskrbljen, da bi Sodišče lahko razveljavilo sklep o ustreznosti, če bi bil sprejet (tako kot njegove predhodnike), kar bi povzročilo nadaljnje pomanjkanje pravne varnosti, dodatne stroške in motnje za evropske državljane ter podjetja;

12.

poudarja, da ZDA za razliko od vseh drugih tretjih držav, ki so prejele sklep o ustreznosti v skladu z GDPR, še vedno nimajo zvezne zakonodaje o varstvu podatkov; poudarja, da izvršni odlok 14086 v svoji uporabi ni jasen, natančen in predvidljiv, saj ga lahko predsednik ZDA, ki je tudi pooblaščen za izdajanje tajnih izvršnih odlokov, kadar koli spremeni ali prekliče; ugotavlja, da bi bil pregled ugotovitve o ustreznosti opravljen po enem letu od datuma uradnega obvestila o sklepu o ustreznosti državam članicam in nato vsaj vsaka štiri leta; poziva Komisijo, naj v primeru sprejetja morebitnega prihodnjega sklepa o ustreznosti vsaj vsaka tri leta izvede naknadne preglede, kot se zahteva v mnenju Evropskega odbora za varstvo podatkov; v zvezi s tem je zaskrbljen, da sklep ne vključuje samoderogacijske klavzule, s katero bi sklep samodejno prenehal veljati štiri leta po začetku veljavnosti, nato pa bi morala Komisija sprejeti novo odločitev; je zaskrbljen, da dejstvo, da sklep o ustreznosti ne vključuje samoderogacijske klavzule, pomeni blažji pristop do ZDA, kljub dejstvu, da okvir ZDA za zasebnost temelji na izvršnem odloku, ki omogoča tajne spremembe in ki se lahko spremeni brez odobritve kongresa ali obveščanja partnerjev v EU; zato poziva Komisijo, naj uvede takšno klavzulo;

13.

se strinja s pomisleki, ki jih je Evropski odbor za varstvo podatkov izrazil v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki, da ni ključnih opredelitev in posebnih pravil o avtomatiziranem sprejemanju odločitev in profiliranju, v zvezi z nejasnostmi glede uporabe načel okvira za varstvo zasebnosti podatkov za obdelovalce in potrebo po tem, da se prepreči, da bi nadaljnji prenosi ogrozili raven zaščite;

14.

poudarja, da morajo sklepi o ustreznosti vključevati jasne in stroge mehanizme za spremljanje in pregled, da bi zagotovili, da bodo sklepi primerni tudi za prihodnost ali po potrebi preklicani oziroma spremenjeni, in da bo vedno zagotovljena temeljna pravica državljanov EU do varstva podatkov; poudarja, da bi se moral vsak prihodnji sklep o ustreznosti stalno pregledovati, ob upoštevanju pravnih in praktičnih sprememb v ZDA;

Zaključki

15.

opozarja, da je Parlament v svoji resoluciji z dne 20. maja 2021 pozval Komisijo, naj ne sprejme nobenega novega sklepa o ustreznosti v zvezi z ZDA, če ne bodo uvedene smiselne reforme, zlasti v zvezi z nacionalno varnostjo in obveščevalnimi nameni; meni, da izvršni odlok 14086 ni dovolj smiseln; ponovno opozarja, da Komisija naloge varstva temeljnih pravic državljanov EU ne bi smela prepustiti Sodišču Evropske unije na podlagi pritožb teh posameznih državljanov;

16.

opozarja, da mora Komisija oceniti ustreznost tretje države na podlagi zakonodaje in veljavnih praks ne le vsebinsko, ampak tudi v praksi, kot določajo sodbi Schrems I in Schrems II ter GDPR (uvodna izjava 104);

17.

ugotavlja, da načela okvira za varstvo zasebnosti podatkov, ki jih je izdalo ministrstvo ZDA za trgovino, niso bila dovolj spremenjena v primerjavi z načeli v okviru zasebnostnega ščita, da bi zagotovili dejansko enakovredno zaščito, kot je predvidena v GDPR;

18.

ugotavlja, da se ZDA sicer pomembno zavezujejo izboljšanju dostopa do pravnih sredstev in pravil o obdelavi podatkov, ki jih morajo spoštovati javni organi, da pa ima obveščevalna skupnost ZDA čas do oktobra 2023 za posodobitev svojih politik in praks v skladu z zavezo iz izvršnega odloka 14086 in da mora minister ZDA za pravosodje šele imenovati EU in njene države članice kot kvalificirane države, ki so upravičene do dostopa do pravnih sredstev, ki jih zagotavlja revizijsko sodišče za varstvo podatkov; poudarja, da to pomeni, da Komisija ni mogla oceniti učinkovitosti predlaganih pravnih sredstev in predlaganih ukrepov za dostop do podatkov „v praksi“; zato ugotavlja, da lahko Komisijo nadaljuje z naslednjimi fazami sklepa o ustreznosti šele, ko bodo ZDA spoštovale te roke in dosegle ključne faze, da bi zagotovili, da so obveznosti izvedene v praksi;

19.

ugotavlja, da okvir za varstvo zasebnosti podatkov med EU in ZDA ne zagotavlja dejansko enakovredne ravni varstva; poziva Komisijo, naj nadaljuje pogajanja z ameriškimi sogovorniki, da bi vzpostavila mehanizem, ki bo zagotavljal takšno enakovrednost in ustrezno raven varstva, ki jo zahtevata pravo Unije o varstvu podatkov in Listina, kot ju razlaga Sodišče; poziva Komisijo, naj ne sprejme ugotovitve o ustreznosti, dokler ne bodo v celoti izvedena vsa priporočila iz te resolucije in mnenja Evropskega odbora za varstvo podatkov;

20.

poziva Komisijo, naj deluje v interesu podjetij in državljanov EU, tako da zagotovi, da bo predlagani okvir zagotovil trdno, zadostno in v prihodnost usmerjeno pravno podlago za prenos podatkov med EU in ZDA; pričakuje, da bo morebiten sklep o ustreznosti, če bo sprejet, izpodbijan na Sodišču; poudarja, da je Komisija odgovorna za neuspešno zaščito pravic državljanov EU v primeru, ko Sodišče ponovno razveljavi sklep o ustreznosti;

o o

21.

naroči svoji predsednici, naj to resolucijo posreduje Svetu, Komisiji ter predsedniku in kongresu Združenih držav Amerike.

(1) Sodba z dne 6. oktobra 2015, Maximillian Schrems/Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650.

(2) Sodba z dne 16. julija 2020, Data Protection Commissioner/Facebook Ireland Limited in Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.

(3) UL C 378, 9.11.2017, str. 104.

(4) UL C 76, 28.2.2018, str. 82.

(5) UL C 298, 23.8.2018, str. 73.

(6) UL C 118, 8.4.2020, str. 133.

(7) UL C 15, 12.1.2022, str. 176.

(8) UL L 119, 4.5.2016, str. 1.

(9) UL L 201, 31.7.2002, str. 37.

(10) UL L 215, 25.8.2000, str. 7.

(11) UL L 207, 1.8.2016, str. 1.

(12) PCLOB, Report to the President on the Implementation of Presidential Directive 28: Signals Intelligence Activities (Poročilo predsedniku o izvajanju predsedniške direktive 28: Obveščevalne dejavnosti prestrezanja signalov).