Националните органи за защита на данните да преустановят предаването на лични данни, които могат да бъдат предмет на безразборен достъп от страна на разузнавателните органи на Обединеното кралство

Европейският парламент гласува в подкрепа на резолюция, свързана с адекватното ниво на защита на личните данни от страна на Обединеното кралство

„Националните органи за защита на данните да преустановят предаването на лични данни, които могат да бъдат предмет на безразборен достъп от страна на разузнавателните органи на Обединеното кралство, ако Комисията приеме своите решения относно адекватното ниво на защита на данните по отношение на Обединеното кралство, преди то да разреши горепосочените проблеми“

Това пише в резолюция на Европарламента, приета в петък.

В документа се призовава Комисията и компетентните органи на Обединеното кралство да изготвят план за действие с цел възможно най-бързо преодоляване на недостатъците, установени в становищата на ЕКЗД, и други неразрешени въпроси в областта на защитата на данните в Обединеното кралство, което трябва да бъде предварително условие за окончателното решение относно адекватното ниво на защита;

Комисията се призовава да продължи да наблюдава отблизо равнището на защита на данните, както и законите и практиките относно масовото наблюдение, в Обединеното кралство; посочва, че в глава V от ОРЗД съществуват други правни възможности за предаване на лични данни на Обединеното кралство; припомня, че в съответствие с насоките на ЕКЗД предаването на данни, основаващо се на дерогации за конкретни ситуации съгласно член 49 от ОРЗД, трябва да бъде по изключение;

Евродепутатите изразяват съжаление, че Комисията пренебрегна призивите на Парламента за суспендиране на Щита за личните данни, докато органите на САЩ не спазят неговите условия, а вместо това винаги е предпочитала да „следи положението“ без конкретни резултати по отношение на защитата на данните за физически лица и правната сигурност за предприятията; настоятелно призовава Комисията да се поучи от предишните си неуспехи и да се вслушва в призивите на Парламента и експертите по отношение на сключването и мониторинга на предишни решения относно адекватното ниво на защита и да не оставя на Съда на ЕС да прилага правилно правото на ЕС в областта на защитата на данните в отговор на жалби от отделни лица;

Комисията се призовава да следи отблизо законите и практиката в областта на защитата на личните данни в Обединеното кралство, да информира и да се консултира незабавно с Парламента относно всякакви бъдещи промени в режима на Обединеното кралство за защита на данните, и да предостави на Парламента контролна роля в новата институционална рамка, включително за съответните органи, като например Специализирания комитет по правоприлагане и съдебно сътрудничество.

Ето и текста на Резолюцията:

Резолюция на Европейския парламент от 21 май 2021 г. относно адекватното ниво на защита на личните данни от страна на Обединеното кралство (2021/2594(RSP))

Европейският парламент,

–  като взе предвид Хартата на основните права на Европейския съюз („Хартата“), и по-специално членове 7, 8, 16, 47 и 52 от нея,

–  като взе предвид решението на Съда на Европейския съюз от 16 юли 2020 г. по дело C-311/18, Data Protection Commissioner/Facebook Ireland Limited и Maximillian Schrems (решение Schrems II)(1);

–  като взе предвид решението на Съда на ЕС от 6 октомври 2015 г. по дело C – 362/14, Maximillian Schrems/Data Protection Commissioner (решение Schrems I)(2),

–  като взе предвид решението на Съда на Европейския съюз от 6 октомври 2020 г. по дело C-623/17, Privacy International/Secretary of State for Foreign and Commonwealth Affairs и др.(3);

–  като взе предвид своята резолюция от 12 март 2014 г. относно програмата за наблюдение на Агенцията за национална сигурност на САЩ, органите за наблюдение в различните държави членки и тяхното отражение върху основните права на гражданите на ЕС и върху трансатлантическото сътрудничество в областта на правосъдието и вътрешните работи(4),

–  като взе предвид своята резолюция от 5 юли 2018 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ(5),

–  като взе предвид резолюцията на Европейския парламент от 25 октомври 2018 г. относно използването на данните на ползвателите на „Фейсбук“ от „Кеймбридж Аналитика“ и въздействието върху защитата на личните данни(6),

–  като взе предвид своята резолюция от 20 май 2021 г. относно решението на Съда на ЕС от 16 юли 2020 г. – Data Protection Commissioner срещу Facebook Ireland Limited, Maximilian Schrems(7);

–  като взе предвид своята резолюция от 26 ноември 2020 г. относно прегледа на търговската политика на ЕС(8),

–  като взе предвид Споразумението от 31 декември 2020 г. за търговия и сътрудничество между Европейския съюз и Европейската общност за атомна енергия, от една страна, и Обединеното кралство Великобритания и Северна Ирландия, от друга страна(9),

–  като взе предвид своята резолюция от 28 април 2021 г. относно резултата от преговорите между Европейския съюз и Обединеното кралство(10),

–  като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните)(11) (ОРЗД),

–  като взе предвид Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни(12) (Директива относно правоприлагането в областта на защитата на данните),

–  като взе предвид Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации(13),

–  като взе предвид предложението на Комисията от 10 януари 2017 г. за регламент на Европейския парламент и на Съвета относно зачитането на личния живот и защитата на личните данни в електронните съобщения COM(2017)0010) и позицията на Европейския парламент по него, приета на 20 октомври 2017 г.(14),

–  като взе предвид препоръките на Европейския комитет по защита на данните (ЕКЗД), включително изявлението му от 9 март 2021 г. относно Регламента за неприкосновеността на личния живот и електронните съобщения и неговите препоръки 01/2020 от 10 ноември 2020 г. относно мерки, които допълват инструментите за трансфер, за да се гарантира съответствие с равнището на ЕС на защита на личните данни,

–  като взе предвид референтния документ за адекватното ниво на защита, приет от Работната група за защита на личните данни по член 29 на 6 февруари 2018 г. и одобрен от ЕКЗД,

–  като взе предвид Препоръка 1/2021 на ЕКЗД от 2 февруари 2021 г. относно референтния документ за адекватното ниво на защита съгласно Директивата относно правоприлагането в областта на защитата на данните,

–  като взе предвид проектите на решения относно адекватността на нивото на защита, публикувани от Комисията на 19 февруари 2021 г., едното съгласно Общия регламент относно защитата на данните(15), а другото съгласно Директивата относно правоприлагането в областта на защитата на данните(16),

–  като взе предвид Становища 14/2021 и 15/2021 на ЕКЗД от 13 април 2021 г. относно проекта на решение за изпълнение на Европейската комисия съгласно Директива (ЕС) 2016/680 относно адекватното ниво на защита на личните данни в Обединеното кралство,

–  като взе предвид Европейската конвенция за правата на човека (ЕКПЧ) и Конвенцията на Съвета на Европа за защита на лицата при автоматизираната обработка на лични данни, както и протокола за нейното изменение („Конвенция 108+“), по които Обединеното кралство е страна,

–  като взе предвид Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията;

–  като взе предвид член 132, параграф 2 от своя Правилник за дейността,

–  като взе предвид предложението за резолюция на комисията по граждански свободи, правосъдие и вътрешни работи,

А.  като има предвид, че възможността за трансгранично предаване на лични данни има потенциала да бъде основен двигател на иновациите, производителността и икономическата конкурентоспособност и е от решаващо значение за ефективното сътрудничество в борбата срещу трансграничната организирана и тежка престъпност, както и в борбата срещу тероризма, която все повече зависи от обмена на лични данни;

Б.  като има предвид, че в решението си по делото Schrems I Съдът на ЕС посочи, че несистематизираният достъп на разузнавателните органи до съдържанието на електронните съобщения нарушава същността на правото на поверителност на съобщенията, предвидено от член 7 от Хартата и че Съединените щати не предоставят достатъчно правни средства за защита срещу масово наблюдение на лица, които не са граждани на САЩ, в нарушение на член 47 от Хартата;

В.  като има предвид, че Обединеното кралство традиционно е важен търговски партньор на много държави – членки на ЕС, както и близък съюзник в областта на сигурността; като има предвид, че ЕС и Обединеното кралство следва да поддържат това тясно сътрудничество въпреки оттеглянето на Обединеното кралство от ЕС, тъй като това ще бъде от полза и за двете страни;

Г.  като има предвид, че европейските предприятия се нуждаят от правна яснота и сигурност, тъй като възможността за трансгранично предаване на лични данни става все по-важна за всички видове дружества, които извършват международни доставки на стоки и услуги; като има предвид, че решението относно адекватното ниво на защита по отношение на Обединеното кралство съгласно ОРЗД е от първостепенно значение, тъй като много европейски предприятия извършват търговия през Ламанша, по-специално предвид факта, че излизането на Обединеното кралство от ЕС все още е много скорошно и потоците от данни в рамките на Съюза не са били обект на ограничения; като има предвид, че неприемането на стабилна рамка за адекватно ниво на защита би довело до риск от смущения при трансграничното предаване между ЕС и Обединеното кралство на лични данни с търговски цели, както и до високи разходи за привеждане в съответствие;

Д.  като има предвид, че Споразумението за търговия и сътрудничество (СТС) включва редица гаранции и условия за обмен на съответните лични данни в контекста на правоприлагането; като има предвид, че преговорите относно потоците от лични данни бяха проведени успоредно с преговорите по СТС, но не бяха приключени до края на преходния период на 31 декември 2020 г.; като има предвид, че в СТС беше включена „преходна клауза“ като временно решение, обвързано с ангажимента на Обединеното кралство да не променя настоящия си режим на защита на данните, за да се гарантира продължаването на потоците от лични данни между Обединеното кралство и ЕС до приемането на решение относно адекватно ниво на защита; като има предвид, че първоначалният четиримесечен срок беше удължен и ще изтече в края на юни 2021 г.;

Е.  като има предвид, че оценката, извършена от Комисията преди тя да представи своя проект на решение за изпълнение, беше непълна и не беше в съответствие с изискванията на Съда на ЕС за оценките на адекватността на нивото на защита, което беше подчертано от ЕКЗД в неговите становища относно адекватното ниво на защита, в които той съветва Комисията да извърши допълнителна оценка на конкретни аспекти от законодателството и практиката на Обединеното кралство относно събирането на масиви от данни, разкриването в чужбина и международните споразумения в областта на споделянето на разузнавателна информация, допълнителното използване на информацията, събрана за целите на правоприлагането, и независимостта на съдебните служители;

Ж.  като има предвид, че някои аспекти на правото и/или практиката на Обединеното кралство не са били разгледани от Комисията, което води до проекти на решения за изпълнение, които не са в съответствие с правото на ЕС; като има предвид, че член 45 от ОРЗД гласи, че „при оценяване на адекватността на нивото на защита Комисията отчита по-специално … съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на такова законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които се спазват в тази държава или международна организация, съдебната практика“, и че „международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни“, което включва международни споразумения в други области, включващи въпроси на достъпа до данни или споделянето на информация, и следователно изисква оценка на тези международни споразумения;

З.  като има предвид, че Съдът на ЕС ясно заяви в решението си по делото Schrems I, че „при анализа на предоставяната от трета страна степен на защита Комисията трябва да прецени съдържанието на приложимите в тази страна правила, произтичащи от вътрешното законодателство или от международните споразумения на страната, както и практиката с цел спазване на тези правила, като в съответствие с член 25, параграф 2 от Директива 95/46/ЕО тази институция трябва да вземе предвид всички обстоятелства, свързани с операцията по прехвърляне на лични данни към трета страна“ (точка 75);

И.  като има предвид, че дейностите на разузнавателните служби и обмена с трети държави са изключени по силата на Договорите от обхвата на правото на ЕС, и когато става въпрос за държави членки, тъй като те са обхванати от задължителната оценка на адекватността на нивото на защита на лични данни, предлагани от трети държави, както беше потвърдено от Съда на ЕС в решенията Schrems I и II;

Й.  като има предвид, че стандартите за защита на данните се основават не само на действащото законодателство, но и на прилагането на тези закони на практика, и като има предвид, че при изготвянето на своето решение Комисията оценява единствено законодателството, но не и реалното му прилагане на практика;

К.  като има предвид, че понастоящем Комисията признава 12 трети държави като предоставящи адекватно ниво на защита съгласно ОРЗД и наскоро приключи преговорите с Република Корея по този въпрос; като има предвид, че Обединеното кралство е първата държава, по отношение на която Комисията предлага да се признае адекватно ниво на защитата съгласно Директивата относно правоприлагането;

Л.  като има предвид, че случаят на Обединеното кралство се различава от всички предишни оценки на адекватността на нивото на защита, тъй като се отнася до бивша държава – членка на ЕС, която изцяло е включила разпоредбите на Общия регламент относно защитата на данните в националното си право и освен това е предвидила, че цялото „вътрешно законодателство, производно от ЕС“, включително законодателството за транспониране на Директивата относно правоприлагането, ще продължи да се прилага и след края на преходния период;

I.ОБЩ РЕГЛАМЕНТ ОТНОСНО ЗАЩИТАТА НА ДАННИТЕ

Общи забележки

  1. отбелязва, че Обединеното кралство е страна по ЕКПЧ и Конвенцията на Съвета на Европа за защита на лицата при автоматизираната обработка на лични данни; очаква Обединеното кралство да гарантира идентична минимална рамка за защита на данните, въпреки оттеглянето си от Европейския съюз;
  2. приветства ангажимента на Обединеното кралство да зачита демокрацията и принципите на правовата държава и да защитава и прилага във вътрешното си право основните права, като установените в ЕКПЧ, включително високите равнища на защита на данните; припомня, че това е необходимо предварително условие за сътрудничеството на ЕС с Обединеното кралство; припомня, че въпреки че член 8 от ЕКПЧ относно правото на неприкосновеност на личния живот е транспонирано във вътрешното право на Обединеното кралство чрез Закона за правата на човека от 1998 г. и в общото право чрез предвиждането за извъндоговорна отговорност при злоупотреба с информация относно неприкосновеността на личния живот, усилията за въвеждане на основно право на защита на данните бяха отхвърлени от правителството;
  3. 3. посочва, че ЕС е избрал ориентиран към правата на човека подход при управлението на данните, като е разработил строги правила за защита на данните в съответствие с ОРЗД, и поради това изразява дълбока загриженост относно публичните изявления на министър-председателя на Обединеното кралство, който заяви, че Обединеното кралство ще се стреми да се отклони от правилата на ЕС за защита на данните и да установи свой собствен „суверенен“ контрол в тази област; счита, че националната стратегия на Обединеното кралство за данните от 2020 г. представлява преход от защита на личните данни към по-широко използване и споделяне на данни, което е несъвместимо с принципите на справедливост, свеждане на данните до минимум и ограничаване в рамките на целта съгласно ОРЗД; отбелязва, че в своите становища относно адекватното ниво на защита ЕКЗД подчерта, че това може да доведе до възможни рискове във връзка със защитата на личните данни, предавани от ЕС;
  4. посочва, че валидните решения относно адекватното ниво на защита допринасят значително за защитата на основните права на физическите лица и за правната сигурност за дружествата; подчертава обаче, че решенията относно адекватното ниво на защита, основани на непълни оценки и без правилно прилагане от страна на Комисията, могат да имат обратен ефект, ако бъдат оспорени в съд;
  5. 5. изтъква, че оценката, извършена от Комисията преди тя да представи своя проект на решение за изпълнение, беше непълна и не беше в съответствие с изискванията на Съда на ЕС за оценките на адекватността на нивото на защита, което беше подчертано от ЕКЗД в неговите становища относно адекватното ниво на защита, в които той съветва Комисията да извърши допълнителна оценка на конкретни аспекти от законодателството и практиката на Обединеното кралство относно събирането на масиви от данни, разкриването в чужбина и международните споразумения в областта на споделянето на разузнавателна информация, допълнителното използване на информацията, събрана за целите на правоприлагането, и независимостта на съдебните служители;

Изпълнение на ОРЗД

  1. изразява загрижеността си относно недостатъците, а често и липса на прилагане на ОРЗД от страна на Обединеното кралство, когато страната все още беше членка на ЕС; посочва по-конкретно липсата на правилно прилагане от страна на Службата на комисаря по информацията на Обединеното кралство (ICO) в миналото; посочва примера на ICO, който приключи жалба относно рекламни технологии, след като проведе две срещи със заинтересовани лица, изготви доклад („Актуализиран доклад относно рекламните технологии“) и заяви, че „е налице впечатление, че индустрията в областта на рекламните технологии проявява незрялост в своето разбиране на изискванията за защита на данните“, но без да използва нито едно от своите правомощия за правоприлагане(17); изразява загриженост, че неприлагането е структурен проблем, както е посочено в политиката на ICO в областта на регулаторните дейности, в която изрично се посочва, че „в повечето случаи ще запазим правомощията си за най-сериозните случаи, представляващи най-тежките нарушения на задълженията, свързани с правата на информация. Те обикновено включват съзнателни, умишлени или небрежни действия, или повтарящи се нарушения на задълженията във връзка с правата на информация, причиняващи вреди на физически лица“; подчертава, че на практика това означава, че вследствие на това голям брой нарушения на законодателството за защита на данните в ОК не са били отстранени;
  2. отбелязва националната стратегия за данните на Обединеното кралство, актуализирана на 9 декември 2020 г., в която се предлага да се осъществи преход от защита на личните данни към по-широко използване и споделяне на данни; посочва, че позицията, според която „задържането на данни може да окаже отрицателно въздействие върху обществото“, както е посочено в стратегията, не е съвместима с принципите на свеждане на данните до минимум и на ограничаване в рамките на целта съгласно ОРЗД и първичното право;
  3. отбелязва, че комисията по конституционни въпроси през 2004 г.(18) и комисията по публични въпроси на парламента на Обединеното кралство през 2014 г.(19) препоръчаха да се гарантира независимостта на комисаря чрез назначаването му като служител на Парламента, който да докладва пред Парламента, вместо да продължи да бъде назначаван от министъра на цифровите медии и спорта; изразява съжаление, че не са предприети последващи действия във връзка с посочената препоръка;

Обработване на данни за целите на имиграционния контрол

  1. отбелязва, че правото на Обединеното кралство в областта на защитата на данните допуска дерогация от някои аспекти на основните права и принципи за защита на данните, като правото на достъп и правото на субекта на данни да знае с кого са били споделени неговите данни, ако тази защита би „застрашила ефективния имиграционен контрол“; подчертава, че мониторингът и преценката за съответствие на използването на изключението трябва да се извършват въз основа на стандартите, установени в референтните критерии за адекватното ниво на защита, които изискват съобразяване с практиката и принципа, като в тях се посочва, че „е необходимо да се вземе предвид не само съдържанието на правилата, приложими за личните данни, предавани на трета държава …, но и системата, която е въведена, за да се гарантира ефективността на тези правила“; признава, че посоченото изключение, което е достъпно за всички администратори на данни в Обединеното кралство, е одобрено от СКИ и от съд и може да се използва само в конкретни случаи и да се прилага по необходим и пропорционален начин; припомня наскоро разкритата информация, според която в периода между 1 април 2018 г. и 31 март 2019 г. от Министерството на вътрешните работи са подадени 17 780 заявления за достъп във връзка с обработени данни, отнасящи се до 146,75 милиона субекти на данни, и че отнасящото се до имиграцията изключение е било използвано при над 70 % от заявленията на субектите на данни до Министерството на вътрешните работи през 2020 г.(20); подчертава, че дори в случаите, когато Министерството на вътрешните работи е приложило дерогацията, достъпът до информация не е бил напълно отказан, а е бил ограничен до редактирани документи;
  2. отбелязва, че посоченото изключение понастоящем се прилага за граждани на ЕС, които пребивават или планират да пребивават в Обединеното кралство; изразява силна загриженост, че изключението премахва ключови възможности за отчетност и средства за правна защита и подчертава, че по този начин не се осигурява адекватно ниво на защита;
  3. отново изразява сериозната си загриженост относно изключението за правата на субектите на данни в имиграционната политика на Обединеното кралство; отново заявява своята позиция, че изключението за обработването на лични данни за имиграционни цели съгласно Закона за защита на данните на Обединеното кралство трябва да бъде изменено, преди да може да бъде предоставено валидно решение относно адекватното ниво на защита, както многократно е посочил, включително в своята резолюция от 12 февруари 2020 г. относно предложения мандат за преговори за ново партньорство с Обединеното кралство Великобритания и Северна Ирландия(21) и в становището на комисията по граждански свободи, правосъдие и вътрешни работи от 5 февруари 2021 г.(22); призовава Комисията да се стреми към премахване на изключенията във връзка с имиграцията или да гарантира, че те се реформират така, че изключенията и тяхното използване предоставят достатъчни гаранции на субектите на данни и не нарушават стандартите, очаквани от дадена трета държава;

Масово наблюдение

  1. припомня разкритията за масово наблюдение от страна на САЩ и Обединеното кралство, разкрити от сигнализиралия за нередностите Едуард Сноудън; припомня, че програмата „Темпора“ на Обединеното кралство, ръководена от правителствената служба за комуникации (GCHQ), засича комуникации в реално време чрез оптически интернет кабели и записва данните, така че те да могат да бъдат обработвани и търсени на по-късен етап; припомня, че това масово наблюдение на съдържанието и метаданните на съобщенията се извършва без значение на това дали съществуват някакви конкретни подозрения или целеви данни;
  2. припомня, че в решенията по дела Schrems I и Schrems II, Съдът на ЕС постанови, че масовият достъп до съдържанието на личните съобщения засяга същността на правото на неприкосновеност на личния живот и че в такива случаи проверката за необходимост и пропорционалност вече не е необходима; подчертава, че тези принципи се прилагат за предаването на данни към трети държави, различни от САЩ, включително Обединеното кралство;
  3. припомня своята резолюция от 12 март 2014 г. в която се констатира, че несистематизираните и неосновани на конкретни подозрения програми за масово наблюдение, осъществявани от разузнавателната агенция GCHQ на Обединеното кралство, са несъвместими с принципите на необходимост и пропорционалност в едно демократично общество и не са адекватни съгласно правото на ЕС за защита на данните; признава, че оттогава Обединеното кралство е реформирало значително своите закони за наблюдението и е въвело предпазни мерки, които надхвърлят условията, определени от Съда на ЕС в решението му по делото Schrems II(23), и гаранциите, предвидени в законодателството за наблюдението на повечето държави членки; приветства по-специално предоставянето на пълен достъп до ефективна съдебна защита; припомня, че специалният докладчик на ООН за правото на неприкосновеност на личния живот приветства силните гаранции, въведени със Закона за правомощията за разследване от 2016 г. по отношение на необходимостта, пропорционалността и издаването на разрешение от независим съдебен орган;
  4. припомня, че през септември 2018 г. Европейският съд по правата на човека потвърди, че програмите на Обединеното кралство за масово прихващане и съхраняване на данни, включително „Темпора“, са „незаконни и несъвместими с условията, необходими за едно демократично общество“(24);
  5. счита за неприемливо, че проектите на решения относно адекватното ниво на защита не отчитат липсата на ограничения върху използването на правомощията на Обединеното кралство по отношение на масивите от данни или действителното използване на операциите за наблюдение между Обединеното кралство и САЩ, за които съобщава Едуард Сноудън, включително факта, че:

а)        липсва ефективен контрол по същество от страна на ICO или съдилищата върху използването на изключението, свързано с националната сигурност, в законодателството на Обединеното кралство в областта на защитата на данните;

б)        ограниченията по отношение на използването на „правомощията по отношение на масивите от данни“ на Обединеното кралство не са определени в самия закон, както се изисква от Съда на ЕС (а по-скоро са оставени на изпълнителната власт при „надлежен“ съдебен контрол);

в)        описанието на „вторичните данни“ (метаданни) в проекторешенията е сериозно подвеждащо и не успява да отбележи, че тези данни могат да бъдат много разкриващи и инвазивни и подлежат на сложни автоматизирани анализи (както е установено от Съда на ЕС в решение Digital Rights Ireland(25)), но съгласно правото на Обединеното кралство метаданните не са добре защитени срещу неправомерен достъп, събиране на масиви от данни и анализ въз основа на ИИ от страна на разузнавателните агенции на Обединеното кралство;

г)         агенциите Five Eyes, по-конкретно GCHQ и Агенцията за национална сигурност (NSA) на практика споделят всички разузнавателни данни;

посочва освен това, че по отношение на САЩ гражданите на Обединеното кралство са обект на някои неофициални гаранции между GCHQ и NSA; изразява дълбока загриженост, че тези гаранции няма да защитят гражданите на ЕС или пребиваващите в ЕС лица, чиито данни могат да бъдат предмет на последващо предаване и споделяне с Агенцията за национална сигурност;

  1. призовава държавите членки да сключат споразумения за забрана на шпионаж с Обединеното кралство и призовава Комисията да използва своя обмен с партньорите си от Обединеното кралство, за да предаде посланието, че ако законите и практиката на Обединеното кралство в областта на наблюдението не бъдат изменени, единственият възможен вариант за улесняване на решенията относно адекватното ниво на защита би било сключването на споразумения за забрана на шпионаж с държавите членки;

По-нататъшни предавания

  1. решително подчертава факта, че Законът за (оттеглянето) от Европейския съюз от 2018 г. предвижда, че съдебната практика на Съда на ЕС, датираща отпреди края на преходния период, ще се превърне в „запазено право на ЕС“ и следователно ще бъде правно обвързваща за Обединеното кралство; посочва, че Обединеното кралство е обвързано от принципите и условията, определени в решението по делото Schrems I и Schrems II на Съда на ЕС при оценката на адекватността на нивото на защита на други трети държави; изразява загриженост, че въпреки това съдилищата на Обединеното кралство повече няма да прилагат Хартата; посочва, че Обединеното кралство вече не е под юрисдикцията на Съда на ЕС, който е най-висшата инстанция с правомощия да тълкува Хартата;
  2. посочва, че правилата на Обединеното кралство относно споделянето на лични данни съгласно Закона за цифровата икономика от 2017 г. и относно последващото предаване на данни от научни изследвания очевидно не са „равностойни по същество“ на правилата, определени в ОРЗД, съгласно тълкуването им от Съда на ЕС;
  3. изразява загриженост, че Обединеното кралство си е предоставило правото да декларира, че други трети държави или територии предоставят адекватна защита на данните, независимо дали от съответната трета държава или територия се изисква да предоставя такава защита от ЕС; припомня, че Обединеното кралство вече заяви, че Гибралтар предоставя такава защита, въпреки че ЕС не е направил това; изразява силна загриженост, че следователно решението за адекватно ниво на защита на Обединеното кралство би довел до заобикаляне на правилата на ЕС относно предаването на данни към държави или територии, чието ниво на защита не се счита за адекватно съгласно правото на ЕС;
  4. отбелязва, че на 1 февруари 2021 г. Обединеното кралство изпрати искане да се присъедини към всеобхватното и прогресивно Транстихоокеанско партньорство (CPTTP), по-специално „да се възползва от съвременните правила за цифрова търговия, които позволяват свободно движение на данни между членовете, премахване на ненужните пречки пред предприятията [и т.н.]“; отбелязва със загриженост, че CPTTP членуват 11 държави, като за осем от тях няма решение относно адекватното ниво на защита от страна на ЕС; изразява силна загриженост относно потенциалното последващо предаване на лични данни от граждани на ЕС и пребиваващи в ЕС лица към тези държави, ако на Обединеното кралство бъде предоставено решение относно адекватното ниво на защита(26);
  5. изразява съжаление, че Комисията не е оценила въздействието и потенциалните рискове от Споразумението между Обединеното кралство Великобритания и Северна Ирландия и Япония за всеобхватно икономическо партньорство, което включва разпоредби относно личните данни и относно равнището на защита на данните;
  6. изразява загриженост, че ако Обединеното кралство включи разпоредби относно предаването на данни в бъдещи търговски споразумения, наред с другото, в търговските споразумения между САЩ и Обединеното кралство, нивото на защита, предлагано от ОРЗД, ще бъде застрашено;

II.ДИРЕКТИВА ОТНОСНО ПРАВОПРИЛАГАНЕТО В ОБЛАСТТА НА ЗАЩИТАТА НА ДАННИТЕ

  1. подчертава, че Обединеното кралство е първата държава, за която Комисията предложи да се приеме решение относно адекватното ниво на защита съгласно Директива (ЕС) 2016/680;
  2. отбелязва споразумението на Обединеното кралство със САЩ(27) за трансграничен достъп до данни съгласно Закона CLOUD на САЩ, което улеснява предаването на данни за целите на правоприлагането; изразява дълбока загриженост, че това ще позволи неправомерен достъп на органите на САЩ до личните данни на гражданите на ЕС и на пребиваващите в ЕС лица; споделя опасенията на ЕКЗД, че гаранциите, предвидени в Рамковото споразумение между ЕС и САЩ(28), прилагани mutatis mutandis, могат да не отговарят на критериите за ясни, точни и достъпни правила по отношение на достъпа до лични данни или да не установят достатъчни гаранции, така че те да бъдат ефективни и да подлежат на изпълнение съгласно правото на Обединеното кралство.
  3. позовава се на факта, че решение C-623/17 на Съда на ЕС трябва да се тълкува в смисъл, че не допуска национално законодателство, което позволява на държавен орган да изисква от доставчиците на електронни съобщителни услуги да извършват общо и несистематизирано предаване на данни за трафик и данни за местонахождението на държавните служби за сигурност и разузнаване с цел опазване на националната сигурност;
  4. отбелязва, че в този случай Съдът на ЕС постанови, че събирането на масиви от данни, извършено в Обединеното кралство съгласно Закона за регулиране на правомощията за разследване от 2000 г., е незаконно; посочва, че впоследствие регламентът беше заменен със Закона за правомощията за разследване (ИПП 2016), за да се укрепят принципите на необходимост и пропорционалност; подчертава, че ИПП за 2016 обвързва прихващането на данни със задължението за съдебен контрол и дава възможност на лицата да имат достъп до своите данни и да подават жалби пред съда с правомощия за разследване; изразява обаче съжаление във връзка с факта, че ИПП за 2016 г. продължава да дава възможност за съхраняване на масиви от данни;
  5. 28. изразява загриженост във връзка с неотдавнашните доклади, че схемата за събиране и съхраняване на масиви от данни е част от изпитване на Министерството на вътрешните работи на Обединеното кралство, проведено в рамките на ИПП за 2016 г.;
  6. припомня, че в своята резолюция от 12 февруари 2020 г. Европейският парламент подчертава, че „Обединеното кралство не може да има пряк достъп до данните в информационните системи на ЕС, нито да участва в управленските структури на агенциите на ЕС в областта на свободата, сигурността и правосъдието, като обменът на информация, включително лични данни, с Обединеното кралство следва да бъде предмет на строги предпазни мерки, одит и условия за надзор, включително равнище на защита на личните данни, еквивалентно на осигуряваното от правото на ЕС“; взема под внимание недостатъците, установени в начина, по който Обединеното кралство е прилагало законодателството за защита на данните, докато все още е било член на ЕС; припомня, че Обединеното кралство регистрира и поддържа копие на Шенгенската информационна система (ШИС); очаква правоприлагащите агенции на Обединеното кралство да спазват изцяло приложимите правила при обмена на лични данни в бъдеще; припомня, че Обединеното кралство запазва достъпа до някои бази данни на ЕС в областта на правоприлагането само въз основа на принципа „има/няма намерено съответствие“ и достъпът му до ШИС е изключен юридически;
  7. изразява загриженост във връзка с разкритията от януари 2021 г., че 400 000 досиета за съдимост са били случайно заличени от националния компютър на полицията на Обединеното кралство; подчертава, че това не вдъхва доверие в усилията на Обединеното кралство за защита на данните за целите на правоприлагането;
  8. отбелязва, че проектът на решение относно адекватното ниво на защита прави изчерпателна оценка на правата на всеки орган на Обединеното кралство, оправомощен от националното право да прихваща и съхранява лични данни поради съображения, свързани с националната сигурност; освен това приветства факта, че подробните надзорни доклади относно органите, отговарящи за разузнавателните структури, предоставят информация относно настоящите практики на Обединеното кралство за наблюдение; призовава Комисията да продължи да оценява и наблюдава видовете предаване на данни, които попадат в обхвата на правомощията на Обединеното кралство за съхраняване на данни и законно прихващане;
  9. изтъква, че Споразумението за търговия и сътрудничество (СТС) между ЕС и Обединеното кралство включва глави относно обмена на ДНК данни, дактилоскопични отпечатъци и данни за регистрацията на превозни средства, предаване и обработване на резервационни данни на пътниците (PNR), сътрудничество в областта на оперативната информация и сътрудничество с Европол и Евроюст, които ще се прилагат независимо от решението относно адекватното ниво на защита; припомня обаче опасенията, изразени в становището на комисията по граждански свободи, правосъдие и вътрешни работи от февруари 2021 г. относно Споразумението за партньорство и сътрудничество във връзка със специалното използване и по-дългото съхранение на лични данни, предоставени на Обединеното кралство съгласно разпоредбите на Споразумението за партньорство и сътрудничество относно Прюм и PNR данните, които не са в съответствие с използването и съхраняването от страна на държавите членки; припомня правото да се сезира Съда на ЕС с цел проверка на законосъобразността на планираното международно споразумение, и по-специално неговата съвместимост със защитата на основно право(29);

Заключения

  1. призовава Комисията да гарантира на предприятията от ЕС, че решението относно адекватното ниво на защита ще осигури солидно, достатъчно и ориентирано към бъдещето правно основание за предаване на данни; подчертава, че е важно да се гарантира, че това решение относно адекватното ниво на защита ще се счита за приемливо, ако бъде преразгледано от Съда на ЕС, и подчертава, че поради това всички препоръки, отправени в становището на ЕКЗД, следва да бъдат взети предвид;
  2. приветства факта, че решенията относно адекватното ниво на защита ще се прилагат само четири години, тъй като Обединеното кралство може да реши да измени законодателството, предмет на оценката на адекватното ниво на защита на Комисията, сега, когато то вече не е държава – членка на ЕС; призовава Комисията междувременно да продължи да наблюдава равнището на защита на данните в Обединеното кралство в законодателството и практиката и да проведе задълбочена оценка, преди да поднови решението относно адекватното ниво на защита през 2025 г.;
  3. счита, че с приемането на двете решения за изпълнение, които не са в съответствие с правото на ЕС, без да е предоставила отговор на всички опасения, изразени в настоящата резолюция, Комисията надхвърля изпълнителните правомощия, предоставени с Регламент (ЕС) 2016/679 и Директива (ЕС) 2016/680; следователно възразява срещу двата акта за изпълнение предвид факта, че проектите на решения за изпълнение не съответства на правото на ЕС;
  4. призовава Комисията да измени двата проекта на решения за изпълнение на Комисията, за да ги приведе в пълно съответствие с правото и съдебната практика на ЕС;
  5. изисква от националните органи за защита на данните да преустановят предаването на лични данни, които могат да бъдат предмет на безразборен достъп от страна на разузнавателните органи на Обединеното кралство, ако Комисията приеме своите решения относно адекватното ниво на защита на данните по отношение на Обединеното кралство, преди то да разреши горепосочените проблеми;
  6. 38. призовава Комисията и компетентните органи на Обединеното кралство да изготвят план за действие с цел възможно най-бързо преодоляване на недостатъците, установени в становищата на ЕКЗД, и други неразрешени въпроси в областта на защитата на данните в Обединеното кралство, което трябва да бъде предварително условие за окончателното решение относно адекватното ниво на защита;
  7. 39. призовава Комисията да продължи да наблюдава отблизо равнището на защита на данните, както и законите и практиките относно масовото наблюдение, в Обединеното кралство; посочва, че в глава V от ОРЗД съществуват други правни възможности за предаване на лични данни на Обединеното кралство; припомня, че в съответствие с насоките на ЕКЗД предаването на данни, основаващо се на дерогации за конкретни ситуации съгласно член 49 от ОРЗД, трябва да бъде по изключение;
  8. 40. изразява съжаление, че Комисията пренебрегна призивите на Парламента за суспендиране на Щита за личните данни, докато органите на САЩ не спазят неговите условия, а вместо това винаги е предпочитала да „следи положението“ без конкретни резултати по отношение на защитата на данните за физически лица и правната сигурност за предприятията; настоятелно призовава Комисията да се поучи от предишните си неуспехи и да се вслушва в призивите на Парламента и експертите по отношение на сключването и мониторинга на предишни решения относно адекватното ниво на защита и да не оставя на Съда на ЕС да прилага правилно правото на ЕС в областта на защитата на данните в отговор на жалби от отделни лица;
  9. призовава Комисията да следи отблизо законите и практиката в областта на защитата на личните данни в Обединеното кралство, да информира и да се консултира незабавно с Парламента относно всякакви бъдещи промени в режима на Обединеното кралство за защита на данните, и да предостави на Парламента контролна роля в новата институционална рамка, включително за съответните органи, като например Специализирания комитет по правоприлагане и съдебно сътрудничество;
  10. възлага на своя председател да предаде настоящата резолюция на Комисията, на държавите членки и на правителството на Обединеното кралство.

(1)       ECLI:EС:C:2020:559.

(2)       ECLI:EС:C:2015:650.

(3)       ECLI:EС:C:2020:790.

(4)       OВ C 378, 9.11.2017 г., стр. 104.

(5)       OВ C 118, 8.4.2020 г., стр. 133.

(6)       ОВ C 345, 16.10.2020 г., стр. 58.

(7)       Приети текстове, P9_TA(2021)0256.

(8)       Приети текстове, P9_TA(2020)0337.

(9)       OВ L 444, 31.12.2020 г., стр. 14.

(10)    Приети текстове, P9_TA(2021)0141.

(11)    OВ L 119, 4.5.2016 г., стр. 1.

(12)    OВ L 119, 4.5.2016 г., стр. 89.

(13)    ОВ L 201, 31.7.2002 г., стр. 37.

(14)    A8-0324/2017.

(15)    Проект на решение за изпълнение на Комисията съгласно Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета относно адекватността на нивото на защита на личните данни от страна на Обединеното кралство.

(16)    Проект на решение за изпълнение на Комисията съгласно Директива (ЕС) 2016/680 на Европейския парламент и на Съвета относно адекватността на нивото на защита на личните данни от страна на Обединеното кралство.

(17)    Lomas, N., UK’s ICO faces legal action after closing adtech complaint with nothing to show for it (ICO на ОК е подведена под съдебна отговорност след приключване без представяне на доказателства на жалба относно рекламните технологии), TechCrunch, San Francisco, 2020 г.

(18)    Седми доклад на специалната комисия по конституционни въпроси, публикуван от Камарата на общините на 13 юни 2006 г. Параграф 108 гласи: „Ние виждаме значителни ползи от това комисарят по информацията да стане пряко отговорен пред Парламента и да получава финансиране от него, и препоръчваме обсъждането на такава промяна, когато възникне възможност за изменение на законодателството“.

(19)    Доклад на комисията по публична администрация, озаглавен „Кой носи отговорност? Отношения между правителството и независимите органи“, публикуван от Камарата на общините на 4 ноември 2014 г. Параграф 64 гласи: „Комисарят по информацията и инспекторатът на Нейно величество на затворите следва да разполагат с пълна независимост спрямо правителството и да докладват на парламента. Комисарят по информацията, комисарят по назначаванията в публичната администрация и председателят на комисията по стандартите в обществения живот следва да станат служители на Парламента, каквито са вече парламентарният омбудсман по здравното обслужване, както и контрольорът и генералният одитор“.

(20)    Съобщение за медиите на групата „Отворени права“ от 3 март 2021 г., озаглавено „Документите разкриват спорни изключения във връзка с имиграцията, използвани в 70% от заявленията за достъп до Министерството на вътрешните работи“.

(21)    Приети текстове, P9_TA(2020)0033.

(22)    Становище на комисията по граждански свободи, правосъдие и вътрешни работи относно сключването, от името на Съюза, на Споразумението за търговия и сътрудничество между Европейския съюз и Европейската общност за атомна енергия, от една страна, и Обединено кралство Великобритания и Северна Ирландия, от друга страна, и на Споразумението между Европейския съюз и Обединено кралство Великобритания и Северна Ирландия относно процедурите за сигурност при обмен и защита на класифицирана информация, LIBE_AL(2021)680848.

(23)    Решение от 16 юли 2020 г., Data Protection Commissioner/ Facebook Ireland Limited and Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.

(24)    Решение на Европейския съд по правата на човека от 13 септември 2018 г., Big Brother Watch и други срещу Обединеното кралство, жалби № 58170/13, 62322/14, 24960/15.

(25)    Решение на Съда на ЕС от 8 април 2014 г., Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources и други и Kärntner Landesregierung и други, C‑293/12 и C‑594/12, ECLI:EU:C:2014:238.

(26)    Съобщение за медиите на Министерството на международната търговия на Обединеното кралство от 30 януари 2021 г., озаглавено „Обединеното кралство кандидатства за присъединяване към огромната зона за свободна търговия в Тихоокеанския регион (CPTPP)“.

(27)    Споразумение между правителството на Обединеното кралство Великобритания и Северна Ирландия и правителството на Съединените американски щати от 3 октомври 2019 г. относно достъпа до електронни данни за целите на борбата със сериозни престъпления.

(28)    Споразумение между Съединените американски щати и Европейския съюз относно защитата на личната информация във връзка с предотвратяването, разследването, разкриването и наказателното преследване на престъпления (OВ L 336, 10.12.2016 г., стp. 3).

(29)    Резолюция на Европейския парламент относно проекта на решение на Комисията за отбелязване на адекватното ниво на защита на личните данни, съдържащи се в резервационните данни на пътниците (PNR), предавани на Службата за митници и гранична защита на САЩ (OВ C 103 E, 29.4.2004 г., стp. 665).

 

Можете да споделите: