Текстът на резолюцията на Европейския парламент за резултатите от решението по делото Schrems II: не става дума само за Facebook

Честит рожден ден, GDPR!

Резолюция на Европейския парламент от 20 май 2021 г. относно решението на Съда на Европейския съюз от 16 юли 2020 г. – Data Protection Commissioner срещу Facebook Ireland Limited и Maximillian Schrems („Schrems II“) – Дело C-311/18 (2020/2789(RSP))

Европейският парламент,

–        като взе предвид Хартата на основните права на Европейския съюз („Хартата“), и по-специално членове 7, 8, 16, 47 и 52 от нея,

–        като взе предвид решението на Съда на Европейския съюз от 16 юли 2020 г. по дело C-311/18, Data Protection Commissioner срещу Facebook Ireland Limited и Maximillian Schrems („Schrems II“)[1];

–        като взе предвид решението на Съда на ЕС от 6 октомври 2015 г. по дело C-362/14, Maximillian Schrems срещу Data Protection Commissioner („Schrems I“)[2],

–        като взе предвид решението на Съда на Европейския съюз от 6 октомври 2020 г. по дело C‑623/17 Privacy International срещу Secretary of State for Foreign and Commonwealth Affairs and Others[3],

–        като взе предвид своята резолюция от 26 май 2016 г. относно трансатлантическите потоци от данни[4],

–        като взе предвид своята резолюция от 6 април 2017 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ[5],

–        като взе предвид своята резолюция от 5 юли 2018 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ[6],

–        като взе предвид своята резолюция от 25 октомври 2018 г. относно използването на данните на ползвателите на „Фейсбук“ от „Кеймбридж Аналитика“ и въздействието върху защитата на личните данни[7],

–        като взе предвид Решение 2010/87/ЕС на Комисията от 5 февруари 2010 г. относно стандартните договорни клаузи при предаването на лични данни към лицата, които ги обработват, установени в трети страни, съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета (нотифицирано под номер C(2010) 593)[8];

–        като взе предвид Решение за изпълнение (ЕС) 2016/1250 на Комисията от 12 юли 2016 г. съгласно Директива 95/46/ЕО на Европейския парламент и на Съвета относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ (нотифицирано под номер C(2016) 4176)[9],

–        като взе предвид своята резолюция от 23 ноември 2020 г. относно прегледа на търговската политика на ЕС[10],

–        като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните)[11], и по-специално глава V от него,

–        като взе предвид предложението на Комисията за регламент относно неприкосновеността на личния живот и електронните съобщения (COM(2017)0010), като взе предвид решението за започване на междуинституционални преговори, потвърдено на пленарното заседание на Парламента на 25 октомври 2017 г., и общия подход на Съвета, приет на 10 февруари 2021 г. (6087/21),

–        като взе предвид Препоръка 01/2020 на Европейския комитет по защита на данните (ЕКЗД) относно мерките, които допълват инструментите за предаване, за да се гарантира спазването на нивото на защита на личните данни в ЕС, и Препоръка 02/2020 относно европейските основни гаранции при прилагане на мерки за наблюдение, както и изявлението на ЕКЗД от 19 ноември 2020 г. относно Регламента за неприкосновеността на личния живот и електронните съобщения и за бъдещата роля на органите за надзор и на ЕКЗД;

–        като взе предвид член 132, параграф 2 от своя Правилник за дейността,

А.      като има предвид, че възможността за трансгранично предаване на лични данни има потенциала да бъде основен двигател на иновациите, производителността и икономическата конкурентоспособност; като има предвид, че това е още по-важно в контекста на настоящата пандемия от COVID-19, тъй като подобни предавания на данни са от съществено значение, за да се гарантира непрекъснатостта на стопанските и правителствените дейности, както и социалните взаимодействия; като има предвид, че те могат също така да подкрепят стратегии за излизане от пандемията и да допринесат за икономическото възстановяване;

Б.      като има предвид, че в решението си по делото „Schrems I“ Съдът на Европейският съюз (Съдът на ЕС)  обяви за нищожно решението на Комисията относно сферата на неприкосновеност на личния живот, като установи и подчерта, че несистематизираният достъп на разузнавателните органи до съдържанието на електронните съобщения нарушава същността на правото на поверителност на съобщенията, предвидено в член 7 от Хартата;

В.      като има предвид, че в решението по делото „Schrems II“ Съдът установи, че Съединените щати (САЩ) не осигуряват достатъчно правни средства за защита срещу масовото наблюдение на лица, които не са граждани на САЩ, и че това нарушава същността на правото на правни средства за защита, предвидено в член 47 от Хартата;

Г.      припомня, че Общият регламент относно защитата на данните (ОРЗД) се прилага за всички дружества, обработващи лични данни на субекти на данни, които се намират в Съюза, когато дейностите по обработване са свързани с предлагането на стоки или услуги на такива субекти на данни в Съюза или с наблюдението на тяхното поведение, доколкото тяхното поведение се осъществява в рамките на Съюза;

Д.      като има предвид, че данните на европейските граждани, съхранявани и предавани от далекосъобщителни оператори и предприятия, са основен ресурс, който допринася за стратегическите интереси на ЕС;

Е.      като има предвид, че произволното масово наблюдение от страна на държавните органи е в ущърб на доверието на европейските граждани, правителства и предприятия в цифровите услуги, а оттам и в цифровата икономика;

Ж.     като има предвид, че потребителските организации и други организации на гражданското общество разполагат с ограничени ресурси и че прилагането на правата и задълженията във връзка със защитата на данните не може да зависи от техните действия; като има предвид, че съществува смесица от национални процедури и практики, което е предизвикателство пред механизма за сътрудничество, предвиден в ОРЗД за трансгранични жалби: като има предвид, че липсват ясни срокове, като цяло съдебните процеси са бавни, липсват на достатъчно ресурси за надзорните органи, в някои случаи липсва готовност или ефективно използване на вече разпределените ресурси; като има предвид, че понастоящем има концентрация на жалби срещу предполагаеми нарушения от страна на големи технологични дружества, които жалби са от компетентността на един-единствен национален орган, което е довело до забавяне в правоприлагането;

З.       като има предвид, че производствата, довели до това решение на Съда на ЕС, показват също така трудностите, с които се сблъскват субектите на данни и потребителите при защитата на своите права, като това създава възпиращ ефект върху способността им да защитават правата си пред ирландския комисар по защита на данните;

И.      като има предвид, че в своята резолюция от 25 октомври 2018 г. Парламентът, посочвайки факта, че САЩ не са спазили крайния срок до 1 септември 2018 г. за пълно привеждане в съответствие със Щита за личните данни, вече призова Комисията да прекрати Щита за личните данни, докато органите на САЩ постигнат съответствие с неговите условия;

Й.      като има предвид, че правата на субектите на данни, гарантирани съгласно правото на ЕС в областта на защитата на данните, следва да бъдат зачитани независимо от степента на риска, който те поемат при съответното обработване на лични данни, включително когато става въпрос за предаване на лични данни на трети държави; като има предвид, че администраторите на данни следва винаги да носят отговорност за спазването на задълженията за защита на данните, включително доказване на спазването за всяко обработване на данни, независимо от естеството, обхвата, контекста, целите на обработването и рисковете за субектите на данни;

К.      като има предвид, че до момента и въпреки значителните промени в практиката на Съда на ЕС през последните пет години, както и ефективното прилагане на ОРЗД от 25 май 2018 г. нататък, надзорните органи не са взели решение за налагане на корективни мерки във връзка с предаването на лични данни съгласно механизма за съгласуваност по ОРЗД; като има предвид, че надзорните органи на национално равнище не са приели съдържателно решение за налагане на корективни мерки или глоби във връзка с предаването на лични данни на трети държави;

Л.      като има предвид, че в първия ден от мандата си президентът на САЩ Джо Байдън назначи заместник помощник-секретар по услугите в Министерството на търговията на САЩ, който ще бъде главният преговарящ по предаването на търговски данни с ЕС; като има предвид, че по време на изслушването ѝ от Сената предложената от президента за министър на  търговията на САЩ Джина Раймондо призова за бързо приключване на преговорите за последващо споразумение относно Щита за личните данни като „първостепенен приоритет“;

Общи забележки

  1. взема под внимание решението на Съда на ЕС от 16 юли 2020 г., в което Съдът потвърди по принцип валидността на Решение 2010/87/ЕС относно стандартните договорни клаузи (СДК), в което ги определя като най-широко използвания механизъм за международно предаване на данни; отбелязва освен това, че Съдът обяви за невалидно Решение (ЕС) 2016/1250 на Комисията относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ; отбелязва, че към днешна дата нито един единствен траен механизъм за гарантиране на законното предаване на търговски лични данни между ЕС и САЩ, не е издържал на оспорване пред Съда на ЕС;
  2. отбелязва, че Съдът на ЕС констатира, че СДК са ефективен механизъм за гарантиране на спазването на нивото на защита, предоставяно в ЕС, но поставя изискване администраторът/обработващият лични данни, установен в Европейския съюз, и получателят на лични данни да бъдат задължени да проверяват преди всяко предаване дали нивото на защита, изисквано от правото на ЕС, е спазено в съответната трета държава; припомня, че това включва оценка на правния режим на достъпа на публичните органи до лични данни, за да се гарантира, че субектите на данни и техните предавани данни не са изложени на риск да бъдат обект на програми за наблюдение на САЩ, позволяващи събирането на масиви от лични данни; припомня, че Съдът на ЕС постанови, че когато получателят не е в състояние да спази СДК, администраторите или обработващите лични данни са задължени да преустановят предаването на данни и/или да прекратят договора; отбелязва обаче, че много дружества, особено МСП, не притежават необходимите знания или капацитет за извършване на такава проверка, което може да доведе до смущения в стопанската дейност;
  3. счита, че решението на Съда на ЕС, макар и съсредоточено върху равнището на защита на данните, предоставено на субектите на данни в ЕС, чиито данни са били предадени на САЩ съгласно механизма на Щита за личните данни, също така има последици за решенията относно адекватното ниво на защита по отношение на други трети държави, включително Обединеното кралство; отново потвърждава необходимостта от правна яснота и сигурност, тъй като способността за безопасно трансгранично прехвърляне на лични данни става все по-важна за физическите лица във връзка с тяхната защита на личните данни и техните права, както и за всички видове организации, които доставят стоки и услуги в международен мащаб, и за предприятията по отношение на правния режим, при който те извършват дейност; подчертава обаче, че докато Съдът на ЕС не отмени, замени или обяви за недействителни съществуващите решения относно адекватното ниво на защита, те остават в сила;
  4. изразява разочарование, че ирландският комисар по защита на данните (КЗД) е завел дело срещу Maximilian Schrems и Facebook пред ирландския High Court, вместо да вземе решение в рамките на своите правомощия съгласно член 4 от Решение 2010/87/ЕС и член 58 от ОРЗД; припомня, че ирландският КЗД е използвал правен механизъм, позволяващ на органите за защита на данните да изразяват съмнения относно валидността на решение за изпълнение на Комисията, като сезират национален съд с цел да бъде отправено на преюдициално запитване до Съда на ЕС; изразява дълбока загриженост, че няколко жалби срещу нарушения на ОРЗД, подадени на 25 май 2018 г. – деня, в който ОРЗД започна да се прилага, а също така и други жалби, подадени от организации за защита на неприкосновеността на личния живот и от потребителски групи, все още не са разгледани от ирландския КЗД, който е водещият орган за тези случаи; изразява загриженост, че ирландският КЗД тълкува думата „незабавно“ в член 60, параграф 3 от ОРЗД – противно на намерението на законодателя – като период, по-дълъг от месец; изразява загриженост, че надзорните органи не са предприели проактивни стъпки съгласно членове 61 и 66 от ОРЗД, за да принудят ирландския КЗД да изпълни задълженията си съгласно ОРЗД; изразява също така загриженост относно липсата на специалисти в областта на технологиите, работещи за ирландския КЗД, и използването от негова страна на остарели системи; изразява загриженост относно последиците от неуспешния опит на ирландския КЗД да прехвърли разноските по съдебното производство на ответника, което би създало силно възпиращо въздействие; призовава Комисията да започне производство за установяване на неизпълнение на задължение срещу Ирландия поради неправилно прилагане на ОРЗД;
  5. изразява загриженост относно недостатъчното равнище на прилагане на ОРЗД, по-специално в областта на международното предаване на данни; изразява загриженост относно липсата на определени приоритети и цялостен контрол от страна на националните надзорни органи по отношение на предаването на лични данни към трети държави, въпреки значителното развитие на практиката на Съда на ЕС през последните пет години; изразява съжаление относно липсата на съдържателни решения и корективни мерки в това отношение и настоятелно призовава ЕКЗД и националните надзорни органи да включат предаването на лични данни като част от своите стратегии за одит, привеждане в съответствие и правоприлагане; изтъква, че са необходими хармонизирани обвързващи административни процедури относно представителството на субектите на данни и допустимостта, за да се осигури правна сигурност и да се разглеждат трансгранични жалби;
  6. отбелязва проекта на решение за изпълнение на Комисията относно стандартните договорни клаузи за предаването на лични данни към трети държави; призовава настоятелно ЕКЗД да публикува допълнителни насоки относно международното предаване на данни за дружествата, по-специално за МСП, включително контролен списък за оценка на предаването на данни, инструменти за оценка дали правителствата имат право или могат да достъпват данни, и информация относно допълнителните мерки, изисквани от Съда на ЕС, във връзка с предаването на данни чрез използване на СДК; приканва ЕКЗД да търси също така мнението на независими представители на академичните среди относно потенциално противоречащо национално право в държавите на основните търговски партньори;
  7. припомня, че в съответствие с Насоки 2/2018 на ЕКЗД[12] относно дерогациите от член 49 съгласно Регламент (ЕС) 2016/679, когато предаването на данни се извършва извън рамката на решенията относно адекватното ниво на защита или на други инструменти, предоставящи подходящи гаранции, а се разчита на дерогации за конкретни ситуации съгласно член 49 от ОРЗД, те трябва да се тълкуват стриктно, така че изключението да не се превръща в правило; отбелязва обаче, че след обявяването за недействителен на Щита за личните данни в отношенията между ЕС и САЩ трансатлантическите потоци от данни се запазиха за целите на цифровата реклама, въпреки съмненията относно правното им основание за предаване с рекламна цел; призовава ЕКЗД и националните органи за защита на данните да поддържат съгласувано тълкуване при прилагането и контрола на такива дерогации в съответствие с насоките на ЕКЗД;
  8. приветства международните дискусии относно съответствието на трансграничните потоци от лични данни с ОРЗД и Директивата относно правоприлагането в областта на защитата на данните[13]; подчертава, че ОРЗД, ДПЗД, правилата за защита на неприкосновеността на личния живот и електронните съобщения и други съществуващи и бъдещи мерки за защита на основните права на неприкосновеност на личния живот и на защита на личните данни не трябва да бъдат подкопавани от международните търговски споразумения, нито да бъдат включвани в тях; настоятелно призовава Комисията да следва и да не се отклонява от хоризонталната позиция на ЕС от 2018 г.[14], както и да вземе предвид съответните ангажименти на трети държави съгласно търговското право, когато оценява осигуряваната от тях адекватност, включително за по-нататъшно предаване на данни;

Стандартни договорни клаузи

  1. взема под внимание проекта на решение за изпълнение на Комисията и проекта на образец на стандартни договорни клаузи (СДК); приветства факта, че Комисията потърси обратна информация от заинтересованите страни по този проект чрез организиране на обществено обсъждане; отбелязва, че ЕКЗД и ЕНОЗД чрез съвместно становище от 15 януари 2021 г.[15], дадоха положителни коментари по проекта на образец на СДК, но предложиха някои допълнителни подобрения; очаква Комисията да вземе предвид получените мнения преди започването на процедурата по комитология;
  2. припомня, че голям брой МСП използват СДК; подчертава, че всички видове дружества спешно се нуждаят от ясни насоки и помощ, за да се осигури правна яснота при прилагането и тълкуването на решението на Съда;
  3. взема под внимание Препоръка 01/2020 на ЕКЗД[16] относно мерките, които допълват инструментите за предаване, за да се гарантира спазването на защита на личните данни на равнище ЕС; приветства факта, че ЕКЗД организира обществена консултация относно своите препоръки; изразява загриженост относно потенциални конфликти между тези препоръки и предложението на Комисията за образец на СДК; приканва Комисията и ЕКЗД да си сътрудничат при финализирането на съответните им документи, за да се гарантира правна сигурност след решението на Съда на ЕС; счита, че Комисията трябва да следва насоките на ЕКЗД;
  4. приветства по-специално препоръките на ЕКЗД относно необходимостта администраторите да разчитат на обективни фактори, когато преценяват дали нещо в правото или практиката на третата държава може да засегне ефективността на подходящите гаранции в инструментите за предаване на въпросните случаи на предаване на данни, а не на субективни фактори, като например вероятността публичните органи да получат достъп до данните по начин, който не съответства на стандартите на ЕС и които многократно са били отхвърляни от Съда на ЕС; във връзка с това призовава Комисията да гарантира пълно привеждане на своето предложение за образец на СДК в съответствие с приложимата практика на Съда на ЕС;
  5. подчертава, че е от решаващо значение дружествата от ЕС, които предават лични данни към държави извън ЕС, да могат да разчитат на стабилни механизми, които са в съответствие с решението на Съда на ЕС; във връзка с това счита, че настоящото предложение на Комисията за образец на СДК следва да вземе предвид всички съответни препоръки на ЕКЗД; подкрепя създаването на набор от допълнителни мерки като предмет на избор, например сертифициране за сигурност и защита на данните, гаранции за криптиране и псевдонимизация, които да бъдат възприети от регулаторните органи, и публично достъпни ресурси за достъп до съответното законодателство на основните търговски партньори на ЕС;
  6. посочва, че за администраторите на данни, които попадат в обхвата на Закона на САЩ за наблюдение на чуждите разузнавателни служби (FISA), предаването на лични данни от Съюза не е възможно съгласно тези СДК поради високия риск от масово наблюдение; очаква, ако не бъде постигнато бързо споразумение със САЩ, което да гарантира ниво на защита, равностойно по същество и следователно адекватно на нивото на защита, предвидено в ОРЗД и в Хартата, всяко предаване на лични данни ще бъде спряно до решаване на ситуацията; подчертава констатацията на Съда на ЕС, че нито член 702 от FISA, нито Изпълнителна заповед 12333 (E.O. 12333), тълкувана във връзка с Президентска директива 28 (PPD‑28), съответстват на минималните гаранции, произтичащи от принципа на пропорционалност съгласно правото на ЕС, вследствие на което програмите за наблюдение, основани на тези разпоредби, не могат да се разглеждат като ограничени до строго необходимото; подчертава необходимостта проблемите, установени в решението на Съда, да бъдат решени по устойчив начин, за да се осигури за субектите на данни адекватно ниво на защита на личните данни; припомня, че нито един договор между дружества не може да осигури защита от несистематизиран достъп на разузнавателните органи до съдържанието на електронните съобщения, нито пък който и да е договор между дружества може да предостави достатъчни правни средства за защита срещу масово наблюдение; подчертава, че това налага реформа на законите на САЩ в областта на наблюдението, за да се гарантира, че достъпът на органите за сигурност на САЩ до данни, предавани от ЕС, е ограничен до това, което е необходимо и пропорционално, и че европейските субекти на данни имат достъп до ефективна съдебна защита пред съдилищата на САЩ;
  7. подчертава ограничените възможности за преговаряне и ограничения юридически и финансов капацитет на европейските МСП, както и на организациите и сдруженията с нестопанска цел, от които, поради задължението за извършване на самостоятелна оценка на адекватното ниво на защита в трети държави, се очаква да се ориентират в сложните правни режими на различни трети държави; настоятелно призовава Комисията и ЕКЗД да предоставят насоки относно практическото използване на надеждни допълнителни мерки, по-специално за МСП;
  8. настоятелно призовава националните органи за защита на данните да изпълняват своите задължения, подчертани в решението на Съда на ЕС, за да гарантират правилно и бързо прилагане на ОРЗД чрез внимателно наблюдение на използването на СДК; призовава националните органи за защита на данните да подпомагат дружествата при спазването на практиката на Съда; настоятелно призовава националните органи за защита на данните да използват съответните си правомощия за провеждане на разследване и за налагане на корективни мерки съгласно член 58 от ОРЗД в случаите, когато износителите на данни предават лични данни въпреки наличието на закони на третата държава на местоназначение, които възпрепятстват вносителя на данни да спазва СДК, и липсата на ефективни допълнителни мерки; припомня, че според Съда на ЕС всеки надзорен орган „трябва да изпълни с цялата дължима грижа своята задача да следи за пълното спазване на ОРЗД“;

Щит за личните данни

  1. отбелязва, че Съдът на ЕС е установил, че Щитът за личните данни в отношенията между ЕС и САЩ не гарантира по същество равностойно ниво на защита, което следователно да е адекватно на нивото на защита, предвидена в ОРЗД и Хартата на ЕС, по-специално поради това, че масовият достъп на публичните органи на САЩ до личните данни, предавани в рамките на Щита за личните данни, не осигурява спазване на принципите на необходимост и на пропорционалност, и поради липсата на приложими права за субектите на данни от ЕС на защита пред съдилищата на САЩ или пред друг независим орган с правораздавателни функции в производства срещу органите на САЩ; очаква сегашната администрация на САЩ да се ангажира в по-голяма степен със спазването на своите задължения съгласно евентуални бъдещи механизми за предаване на данни, отколкото предишните администрации, които показаха липса на политически ангажимент за спазване и прилагане на правилата относно сферата на неприкосновеност на личния живот и за прилагане на правилата на Щита за личните данни;
  2. изтъква, че в отговор на съдебното решение по дело Schrems II някои дружества са преразгледали прибързано своите декларация за поверителност и договори с трети лица, като се позовават на ангажиментите си съгласно Щита за личните данни, без да са направили оценка на най-добрите мерки за законно предаване на данни;
  3. изразява съжаление във връзка с факта, че въпреки многобройните призиви на Парламента в неговите резолюции от 2016, 2017 и 2018 г. Комисията да предприеме всички необходими мерки, за да гарантира, че Щитът за личните данни е в пълно съответствие с ОРЗД и Хартата, Комисията не е предприела действия в съответствие с член 45, параграф 5 от ОРЗД; изразява съжаление, че Комисията е пренебрегнала призивите на Парламента за суспендиране на Щита за личните данни, докато органите на САЩ не започнат да спазват неговите условия, което откроява риска Съдът на ЕС да обяви Щита за личните данни за недействителен; припомня, че проблемите с функционирането на Щита за личните данни бяха многократно повдигани от Работната група по член 29 и ЕКЗД;
  4. изразява съжаление, че Комисията постави отношенията със САЩ пред интересите на гражданите на ЕС и че по този начин Комисията повери задачата за защита на правото на ЕС на отделни граждани;

Масово наблюдение и правна рамка

  1. насърчава Комисията да наблюдава проактивно използването на технологии за масово наблюдение в САЩ, както и в други трети държави, по отношение на се установява или би могло да се стигне до установяване на адекватността на нивото на защита, като например Обединеното кралство; настоятелно призовава Комисията да не приема решения относно адекватното ниво на защита по отношение на държави, в които законите и програмите за масово наблюдение не отговарят на установените от Съда на ЕС критерии, било по буквата, било по духа на закона;
  2. взема под внимание неотдавнашното влизане в сила на Закона за защита на потребителите в щата Калифорния (CCPA); взема под внимание свързаните с това обсъждания и законодателни предложения на федерално равнище; изтъква, че макар да са стъпки в правилната посока, нито CCPA, нито някое от предложенията на федерално равнище до момента отговарят на изискванията на ОРЗД за адекватно ниво на защита; силно насърчава законодателя на САЩ да приеме законодателство, което отговаря на тези изисквания, и по този начин да даде своя принос за гарантиране, че законодателството на САЩ предоставя ниво на защита, което по същество е равностойно на понастоящем гарантираното в ЕС ниво;
  3. посочва, че подобно законодателство за защита на данните на потребителите и на неприкосновеността на личния живот само по себе си няма да е достатъчно за решаването на основните проблеми, установени от Съда във връзка с масовото наблюдение от страна на разузнавателните служби на САЩ и с недостатъчния достъп до правни средства за защита; насърчава законодателят на САЩ да измени член 702 от FISA, а президента на САЩ да измени EO 12333 и PPD-28, по-специално по отношение на масовото наблюдение и предоставянето на еднакво равнище на защита за гражданите на ЕС и САЩ; насърчава САЩ да предоставят механизми, с които да се гарантира, че лицата получават (последващи) уведомления и могат да оспорват неправилното наблюдение съгласно член 702 и EO 12333, както и да предоставят предвиден от закона механизъм, за да се гарантира, че лицата, които не са граждани на САЩ, имат гарантирано приложими права по ред извън Закона за съдебната защита (Judicial Redress Act);
  4. припомня, че държавите членки да продължат да обменят лични данни със Съединените щати в рамките на Програмата на САЩ за проследяване на финансирането на тероризма (TFTP), Споразумението между ЕС и САЩ относно резервационните данни на пътниците (PNR) и на автоматичния обмен на данъчна информация чрез междуправителствените споразумения за прилагане на Закона на САЩ за спазване на данъчното законодателство в чужбина (FATCA), които оказват неблагоприятно въздействие върху граждани на ЕС и по-специално „случайните американци“, както е посочено в резолюцията на Парламента от 5 юли 2018 г. относно неблагоприятните последици от Закона на САЩ за спазване на данъчното законодателство във връзка с чуждестранните сметки (FATCA)[17]; припомня, че САЩ продължават да имат достъп до базите данни на държавите членки за целите на правоприлагането, съдържащи пръстови отпечатъци и ДНК данни на гражданите на ЕС; изисква от Комисията да анализира въздействието на съдебните решения по дела „Schrems I и II“ върху този обмен на данни и да представи своя анализ, както и виждания по какъв начин възнамерява да го приведе в съответствие със съдебните решения, по публичен начин и писмено пред комисията по граждански свободи, правосъдие и вътрешни работи в срок до 30 септември 2021 г.;
  5. призовава също така Комисията да анализира положението на доставчиците на услуги за изчисления в облак, попадащи в обхвата на член 702 от FISA, които предават данни чрез използване на СДК; призовава Комисията да анализира въздействието върху правата, предоставени съгласно Рамковото споразумение между ЕС и САЩ, включително правото на съдебна защита, като се има предвид, че САЩ изрично предоставят това право само на граждани на определени държави, които позволяват предаването на данни към САЩ за търговски цели; счита за неприемливо, че Комисията все още не е публикувала констатациите си от първия съвместен преглед на Рамковото споразумение вече една година след крайния срок, и призовава Комисията при необходимост незабавно да приведе споразумението в съответствие със стандартите, определени в решенията на Съда на ЕС;
  6. счита, че с оглед на установените пропуски в защитата на данните на европейските граждани, предавани на Съединените щати, е необходимо да се подкрепят инвестициите в европейски инструменти за съхраняване на данни (например компютърни услуги „в облак“), за да се намали зависимостта на Съюза от капацитета за съхранение по отношение на трети държави и да се засили стратегическата автономност на Съюза в управлението и защитата на данните;

Решения относно адекватното ниво на защита

  1. призовава Комисията да предприеме всички необходими мерки, за да гарантира, че всяко ново решение относно адекватното ниво на защита по отношение на САЩ е в пълно съответствие с Регламент (ЕС) 2016/679, с Хартата и с всички аспекти на решенията на Съда на ЕС; припомня, че рамките за адекватно ниво на защита значително улесняват икономическата дейност, по-специално за МСП и стартиращите предприятия, които, за разлика от големите дружества, често не притежават необходимия финансов, юридически и технически капацитет за използване на други инструменти за предаване на данни; призовава държавите членки да сключат споразумения със САЩ за забрана на шпионаж; призовава Комисията да използва своите контакти с партньорите си от САЩ, за да предаде посланието, че ако няма изменение на законодателството и практиките на САЩ в областта на наблюдението, единственият възможен вариант за улесняване на бъдещо решение относно адекватното ниво на защита би било сключването на споразумения за забрана на шпионаж с държавите членки;
  2. счита, че всяко бъдещо решение на Комисията относно адекватното ниво на защита не следва да се основава на система за самосертифициране, какъвто беше случаят при програмите „Сфера на неприкосновеност на личния живот“ и „Щит за личните данни“; призовава Комисията да включи в пълна степен ЕКЗД в оценката за спазването и прилагането на всяко ново решение относно адекватното ниво на защита по отношение на САЩ; призовава Комисията в това отношение да постигне споразумение с администрацията на САЩ относно необходимите мерки, за да може ЕКЗД да изпълнява ефективно тази роля; очаква Комисията да разглежда по-сериозно становището на Европейския парламент по всяко ново решение относно адекватното ниво на защита по отношение на САЩ, преди да приеме такова решение;
  3. припомня, че понастоящем Комисията преразглежда всички решения относно адекватното ниво на защита, приети съгласно Директива 95/46/ЕО; подчертава, че Комисията следва да прилага по-строгите стандарти, определени в ОРЗД и в решенията на Съда на ЕС по делата Schrems I и II, за да прецени дали е предоставено ниво на защита, което по същество е равностойно на предвиденото в ОРЗД ниво, включително по отношение на достъпа до ефективни правни средства за защита и защитата срещу неправомерен достъп на органите на третата държава до лични данни; настоятелно призовава Комисията да приключи тези прегледи като въпрос с неотложен характер и да оттегли или спре съответните решения, предхождащи ОРЗД, ако установи, че въпросната трета държава не предоставя ниво на защита, което по същество е равностойно и ако положението не може да бъде коригирано;
  4. счита, че администрацията на Байдън чрез назначаването на опитен експерт по въпросите на неприкосновеността на личния живот за главен преговарящ по споразумението, който да бъде продължител на Щита за личните данни, показа ангажираност за намиране на решение за предаването на търговски данни между ЕС и САЩ като приоритетен въпрос; очаква диалогът между Комисията и нейните партньори от САЩ, който започна веднага след решението на Съда на ЕС, да се засили през следващите месеци;
  5. призовава Комисията да не приема ново решение относно адекватното ниво на защита по отношение на САЩ, освен ако бъдат въведени съдържателни реформи, по-специално за целите на националната сигурност и разузнаването, които могат да бъдат постигнати посредством ясна, устойчива в правно отношение, ефективно приложима и недискриминираща реформа на законодателството и практиката на САЩ; във връзка с това отново изтъква значението на солидните гаранции в областта на достъпа на публичните органи до лични данни; призовава Комисията да претвори на дело своите „геополитически амбиции“ да наложи в САЩ и в други трети държави ниво на защита, което по същество е равностойно на това в ЕС;
  6. препоръчва на националните органи за защита на данните да спрат предаването на лични данни, които биха могли да подлежат на достъп от страна на публичните органи в САЩ, ако Комисията трябва да приеме ново решение относно адекватното ниво на защита по отношение на САЩ при липсата на такива съществени реформи;
  7. приветства факта, че Комисията следва критериите, определени в документа на Работната група по член 29 относно референтните критерии за адекватността на нивото на защита съгласно ОРЗД[18] (одобрена от ЕКЗД) и в Препоръка 01/2021 на ЕКЗД относно преюдициалното запитване относно референтните критерии за адекватността на нивото на защита съгласно Директивата относно правоприлагането в областта на защитата на данните[19]; счита, че Комисията не следва да слиза под тези критерии, когато прави оценка дали дадена трета държава отговаря на условията за вземане на решение относно адекватното ниво на защита; взема под внимание, че ЕКЗД наскоро актуализира своите препоръки относно европейските основни гаранции при прилагане на мерки за наблюдение – в контекста на практиката на Съда на ЕС[20];

 

  1. възлага на своя председател да предаде настоящата резолюция съответно на Комисията, Европейския съвет, Съвета на Европейския съюз, Европейския комитет по защита на данните, на националните парламенти на държавите членки, както и на Конгреса и правителството на Съединените американски щати и на парламента и правителството на Обединеното кралство.

 

 

[1]        Решение на Съда на Европейския съюз от 16 юли 2020 г., Data Protection Commissioner срещу Facebook Ireland Limited and Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559.

[2]        Решение на Съда на ЕС от 6 октомври 2015 г., Maximillian Schrems срещу Data Protection Commissioner, C‑362/14, ECLI:EU:C:2015:650.

[3]        Решение на Съда на Европейския съюз от 6 октомври 2020 г., Privacy International срещу Secretary of State for Foreign and Commonwealth Affairs and Others, C‑623/17, ECLI:EU:C:2020:790.

[4]        ОВ C 76, 28.2.2018 г., стр. 82.

[5]        ОВ C 298, 23.8.2018 г., стр. 73.

[6]        OВ C 118, 8.4.2020 г., стр. 133.

[7]        ОВ C 345, 16.10.2020 г., стр. 58.

[8]        ОВ L 39, 12.2.2010 г., стр. 5.

[9]        ОВ L 207, 1.8.2016 г., стр. 1.

[10]       Приети текстове, P9_TA(2020)0337.

[11]       OВ L 119, 4.5.2016 г., стр. 1.

[12]       https://edpb.europa.eu/sites/edpb/files/files/file1/
edpb_guidelines_2_2018_derogations_en.pdf

[13]       Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (OВ L 119, 4.5.2016 г., стр. 89).

[14]       Предложение на ЕС за разпоредби относно трансграничните потоци от данни и защитата на личните данни и неприкосновеността на личния живот, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf

[15]       Съвместно становище 2/2021 на ЕКЗД и ЕНОЗД относно стандартните договорни клаузи за предаването на лични данни към трети държави от 14 януари 2021 г.: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-22021-standard_bg

[16]       Препоръка 01/2020 на ЕКЗД относно мерките, които допълват инструментите за предаване, за да се гарантира спазването на защита на личните данни на равнище ЕС, от 11 ноември 2020 г., https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_bg

[17]       OВ C 118, 8.4.2020 г., стр. 141.

[18]       https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108

[19]       https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_bg

[20]       https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_bg

 

Можете да споделите: