Rezolucja Parlamentu Europejskiego z dnia 20 maja 2021 r. w sprawie wyroku TSUE z 16 lipca 2020 r. - Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillianowi Schremsowi ("Schrems II") - sprawa C-311/18 (2020/2789(RSP))

(2022/C 15/18)

(Dz.U.UE C z dnia 12 stycznia 2022 r.)

Parlament Europejski,

- uwzględniając Kartę praw podstawowych Unii Europejskiej (zwaną dalej "Kartą"), w szczególności jej art. 7, 8, 16, 47 i 52,

- uwzględniając wyrok Trybunału Sprawiedliwości z 16 lipca 2020 r. w sprawie C-311/18 - Data Protection Commissioner przeciwko Facebook Ireland Limited i Maximillianowi Schremsowi ("Schrems II") 1 ,

- uwzględniając wyrok Trybunału Sprawiedliwości z 6 października 2015 r. w sprawie C-362/14 - Maximillian Schrems przeciwko Data Protection Commissioner ("Schrems I") 2 ,

- uwzględniając wyrok Trybunału Sprawiedliwości z 6 października 2020 r. w sprawie C-623/17 - Privacy International przeciwko Secretary of State for Foreign and Commonwealth Affairs i in. 3 ,

- uwzględniając swoją rezolucję z 26 maja 2016 r. w sprawie transatlantyckich przepływów danych 4 ,

- uwzględniając swoją rezolucję z 6 kwietnia 2017 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA 5 ,

- uwzględniając swoją rezolucję z 5 lipca 2018 r. w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA 6 ,

- uwzględniając swoją rezolucję z 25 października 2018 r. w sprawie wykorzystania danych użytkowników Facebooka przez Cambridge Analytica oraz wpływu, jaki wywarło to na ochronę danych 7 ,

- uwzględniając decyzję Komisji 2010/87/UE z 5 lutego 2010 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych podmiotom przetwarzającym dane mającym siedzibę w krajach trzecich na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady (notyfikowaną jako dokument nr C (2010) 593) 8 ,

- uwzględniając decyzję wykonawczą Komisji (UE) 2016/1250 z 12 lipca 2016 r. przyjętą na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA ((notyfikowaną jako dokument nr C(2016) 4176) 9 ,

- uwzględniając swoją rezolucję z 26 listopada 2020 r. w sprawie przeglądu polityki handlowej UE 10 ,

- uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 11 , w szczególności jego rozdział V,

- uwzględniając wniosek Komisji dotyczący rozporządzenia w sprawie prywatności i łączności elektronicznej (COM(2017)0010), uwzględniając decyzję o przystąpieniu do negocjacji międzyinstytucjonalnych, potwierdzoną na posiedzeniu plenarnym Parlamentu 25 października 2017 r., oraz podejście ogólne Rady przyjęte 10 lutego 2021 r. (6087/21),

- uwzględniając zalecenia Europejskiej Rady Ochrony Danych (EROD): nr 01/2020 w sprawie środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych oraz nr 02/2020 w sprawie podstawowych europejskich gwarancji dotyczących środków nadzoru, a także oświadczenie EROD z 19 listopada 2020 r. na temat rozporządzenia o prywatności i łączności elektronicznej oraz przyszłej roli organów nadzorczych i EROD;

- uwzględniając art. 132 ust. 2 Regulaminu,

A. mając na uwadze, że zdolność do transgranicznego przekazywania danych osobowych może być główną siłą napędową innowacji, wydajności i konkurencyjności gospodarczej; mając na uwadze, że jest to jeszcze ważniejsze w kontekście obecnej pandemii COVID-19, ponieważ takie przekazywanie danych jest konieczne dla zapewnienia ciągłości działalności gospodarczej i działań rządu, a także interakcji społecznych; mając na uwadze, że może ono również wspierać strategie wyjścia z pandemii i przyczyniać się do odbudowy gospodarczej;

B. mając na uwadze, że Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w wyroku "Schrems I" unieważnił decyzję Komisji w sprawie programu "Bezpiecznej przystani" w oparciu o ustalenie, iż swobodny dostęp organów wywiadowczych do treści wiadomości elektronicznych narusza zasadniczą istotę prawa do poufności komunikacji przewidzianego w art. 7 Karty;

C. mając na uwadze, że Trybunał w wyroku "Schrems II" stwierdził, iż Stany Zjednoczone (USA) nie zapewniają osobom niebędącym obywatelami amerykańskimi wystarczających środków ochrony prawnej przeciwko masowej inwigilacji oraz że narusza to zasadniczą istotę prawa do środka ochrony prawnej przewidzianego w art. 47 Karty;

D. mając na uwadze, że ogólne rozporządzenie o ochronie danych (RODO) ma zastosowanie do wszystkich przedsiębiorstw przetwarzających dane osobowe osób znajdujących się w Unii, których dane dotyczą, jeżeli przetwarzanie jest związane z oferowaniem towarów lub usług takim osobom w Unii lub z monitorowaniem ich zachowania w zakresie, w jakim ich działania mają miejsce na terenie Unii;

E. mając na uwadze, że dane obywateli europejskich przechowywane i przekazywane przez operatorów telekomunikacyjnych i przedsiębiorstwa są podstawowym zasobem, który przyczynia się do realizacji strategicznych interesów Unii;

F. mając na uwadze, że masowa inwigilacja metodą "dragnet" przez podmioty państwowe podważa zaufanie obywateli europejskich, rządów i przedsiębiorstw do usług cyfrowych, a tym samym do gospodarki cyfrowej;

G. mając na uwadze, że organizacje konsumenckie i inne organizacje społeczeństwa obywatelskiego dysponują ograniczonymi zasobami, a egzekwowanie praw i obowiązków w dziedzinie ochrony danych nie może zależeć od ich działań; mając na uwadze, że mozaika krajowych procedur i praktyk stanowi wyzwanie dla określonego w RODO mechanizmu współpracy w odniesieniu do skarg transgranicznych: mając na uwadze, że brakuje jasnych terminów, tempo postępowań jest zasadniczo powolne, nie ma wystarczających zasobów dla organów nadzorczych, a w niektórych przypadkach brakuje chęci lub nieskutecznie wykorzystuje się już przydzielone środki; mając na uwadze, że skargi dotyczące zarzucanych naruszeń ze strony gigantów technologicznych są obecnie kumulowane w rękach jednego organu krajowego, co prowadzi do powstania wąskiego gardła w egzekwowaniu prawa;

H. mając na uwadze, że postępowanie prowadzące do wydania tego wyroku TSUE pokazuje również trudności, jakich doświadczają osoby, których dane dotyczą, i konsumenci w obronie swoich praw, co negatywnie wpływa na ich zdolność do obrony swoich praw przed irlandzkim inspektorem ochrony danych;

I. mając na uwadze, że w swojej rezolucji z 25 października 2018 r. Parlament, wskazując na niedotrzymanie przez USA terminu 1 września 2018 r. na osiągnięcie pełnej zgodności z Tarczą Prywatności, wzywał już Komisję do zawieszenia Tarczy, dopóki władze USA nie spełnią jej warunków;

J. mając na uwadze, że prawa osób, których dane dotyczą, gwarantowane na mocy unijnego prawa o ochronie danych, powinny być przestrzegane niezależnie od stopnia ryzyka, na jakie osoby te są narażone w związku z przetwarzaniem danych osobowych, w tym w przypadku przekazywania takich danych do państw trzecich; mając na uwadze, że administratorzy danych powinni być zawsze odpowiedzialni za przestrzeganie obowiązków w dziedzinie ochrony danych, w tym za wykazanie zgodności w odniesieniu do każdego przetwarzania danych, niezależnie od charakteru, zakresu, kontekstu, celów przetwarzania i ryzyka dla osób, których dane dotyczą;

K. mając na uwadze, że do tej pory i pomimo znaczących zmian w orzecznictwie TSUE w ciągu ostatnich pięciu lat, jak również skutecznego stosowania RODO, od 25 maja 2018 r., organy nadzorcze nie podjęły żadnej decyzji nakładającej środki korygujące w odniesieniu do przekazywania danych osobowych zgodnie z mechanizmem spójności RODO; mając na uwadze, że organy nadzorcze na szczeblu krajowym nie przyjęły żadnej znaczącej decyzji nakładającej środki korygujące lub grzywny w związku z przekazywaniem danych osobowych do państw trzecich;

L. mając na uwadze, że prezydent USA Joe Biden w pierwszym dniu urzędowania mianował zastępcę asystenta sekretarza ds. usług w Departamencie Handlu USA, który będzie głównym negocjatorem w sprawie komercyjnego przekazywania danych między Stanami Zjednoczonymi a UE; mając na uwadze, że nominowana przez prezydenta na stanowisko sekretarza handlu USA Gina Raimondo podczas posiedzenia zatwierdzającego w Senacie nazwała szybkie zakończenie negocjacji w sprawie umowy zastępującej Tarczę Prywatności "najwyższym priorytetem";

Uwagi ogólne

1. odnotowuje orzeczenie TSUE z 16 lipca 2020 r., w którym Trybunał podtrzymał co do zasady ważność decyzji 2010/87/UE w sprawie standardowych klauzul umownych, które są najpowszechniej stosowanym mechanizmem międzynarodowego przekazywania danych; zauważa ponadto, że Trybunał unieważnił decyzję Komisji (UE) 2016/1250 w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA; zauważa, że do chwili obecnej żaden zrównoważony jednolity mechanizm gwarantujący zgodne z prawem przekazywanie danych osobowych o charakterze handlowym między UE a USA nie był przedmiotem postępowania sądowego przed TSUE;

2. odnotowuje, że TSUE uznał standardowe klauzule umowne za skuteczny mechanizm przestrzegania poziomu ochrony gwarantowanego w UE, ale domagał się, aby administrator/podmiot przetwarzający mający siedzibę w Unii Europejskiej i odbiorca danych osobowych byli zobowiązani do sprawdzenia przed przekazaniem, czy w danym państwie trzecim przestrzegany jest poziom ochrony wymagany prawem UE; przypomina, że obejmuje to ocenę systemu prawnego dotyczącego dostępu organów publicznych do danych osobowych, aby zagwarantować, że osoby, których dane dotyczą, i ich przekazywane dane nie będą podlegać amerykańskim programom nadzoru umożliwiającym hurtowe gromadzenie danych osobowych; przypomina orzeczenie TSUE, że w przypadku gdy odbiorca nie jest w stanie przestrzegać standardowych klauzul umownych, administratorzy lub podmioty przetwarzające są zobowiązani do zawieszenia przekazywania danych lub do rozwiązania umowy; zauważa jednak, że wiele przedsiębiorstw, zwłaszcza MŚP, nie posiada wiedzy lub zdolności niezbędnych do przeprowadzenia takiej weryfikacji, co może prowadzić do zakłóceń działalności gospodarczej;

3. uważa, że orzeczenie TSUE, choć koncentruje się na stopniu ochrony danych zagwarantowanym osobom w UE, których dotyczą dane przekazane do USA w ramach mechanizmu Tarczy Prywatności, ma również konsekwencje dla decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do innych państw trzecich, w tym Zjednoczonego Królestwa; po raz kolejny zwraca uwagę, że konieczna jest jasność i pewność prawa, ponieważ możliwość bezpiecznego transgranicznego przekazywania danych osobowych jest coraz ważniejsza dla osób fizycznych - w kontekście ochrony ich danych osobowych i praw, a także dla wszystkich rodzajów organizacji dostarczających towary i usługi na skalę międzynarodową oraz dla przedsiębiorstw w odniesieniu do systemu prawnego, w ramach którego działają; podkreśla jednak, że do czasu ich uchylenia, zastąpienia lub stwierdzenia nieważności przez TSUE obecne decyzje stwierdzające odpowiedni stopień ochrony pozostają w mocy;

4. jest zawiedziony, że irlandzki inspektor ochrony danych, zamiast podjąć decyzję w ramach swoich uprawnień na podstawie art. 4 decyzji 2010/87/UE i art. 58 RODO, wszczął przeciwko Maximilianowi Schremsowi i Facebookowi postępowanie przed Sądem Najwyższym w Irlandii; przypomina jednak, że inspektor ochrony danych skorzystał z drogi prawnej umożliwiającej organom ochrony danych zgłaszanie sędziemu krajowemu wątpliwości co do ważności decyzji wykonawczej Komisji w celu wystąpienia do TSUE z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym; jest głęboko zaniepokojony, że irlandzki inspektor ochrony danych - organ wiodący w tych sprawach - nie rozpatrzył jeszcze szeregu skarg na naruszenia RODO złożonych 25 maja 2018 r., czyli w dniu, w którym RODO zaczęło obowiązywać, a także innych skarg od organizacji ochrony prywatności i grup konsumentów; jest zaniepokojony, że inspektor ochrony danych interpretuje termin "niezwłocznie" zawarty w art. 60 ust. 3 RODO - wbrew intencji ustawodawców - jako okres dłuższy niż kilka miesięcy; jest zaniepokojony, że organy nadzorcze nie podjęły czynnych działań na mocy art. 61 i 66 RODO, aby zmusić inspektora ochrony danych do wywiązania się z obowiązków wynikających z RODO; jest również zaniepokojony niedostatkiem specjalistów w dziedzinie technologii pracujących dla inspektora ochrony danych oraz wykorzystaniem przestarzałych systemów; wyraża ubolewanie z powodu konsekwencji nieudanej próby przeniesienia kosztów postępowania sądowego przez inspektora ochrony danych na pozwanego, co miałoby masowy efekt odstraszający; wzywa Komisję do wszczęcia wobec Irlandii postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego w związku z niewłaściwym egzekwowaniem RODO;

5. jest zaniepokojony niewystarczającym poziomem egzekwowania RODO, zwłaszcza w obszarze międzynarodowego przekazywania danych; wyraża zaniepokojenie, że krajowe organy krajowe nie traktują priorytetowo i nie prowadzą ogólnej kontroli przekazywania danych osobowych do państw trzecich, pomimo istotnych zmian w orzecznictwie TSUE, jakie zaszły w ciągu ostatnich pięciu lat; ubolewa nad brakiem istotnych decyzji i środków korygujących w tym zakresie i wzywa EROD oraz krajowe organy nadzorcze do uwzględnienia przekazywania danych osobowych w swoich strategiach dotyczących kontroli, przestrzegania i egzekwowania przepisów; zwraca uwagę, że aby zagwarantować pewność prawa i rozpatrywać skargi transgraniczne, potrzebne są zharmonizowane wiążące procedury administracyjne dotyczące reprezentacji osób, których dane dotyczą, oraz dopuszczalności;

6. przyjmuje do wiadomości projekt decyzji wykonawczej Komisji w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich; wzywa EROD do opublikowania dalszych wytycznych dotyczących międzynarodowego przekazywania danych dla przedsiębiorstw, w szczególności MŚP, w tym listy kontrolnej na potrzeby oceny przekazywania danych, narzędzi służących do oceny, czy rządy mają prawo dostępu do danych lub mogą do nich dotrzeć, a także informacji na temat dodatkowych środków wymaganych do przekazywania danych za pomocą standardowych klauzul umownych; zachęca EROD, by zwróciła się również do niezależnych naukowców o opinie na temat potencjalnie sprzecznego prawa krajowego głównych partnerów handlowych;

7. zwraca uwagę, że zgodnie z wytycznymi EROD nr 2/2018 12  w sprawie odstępstw od art. 49 rozporządzenia (UE) 2016/679, w przypadku gdy przekazywanie danych odbywa się poza ramami decyzji stwierdzających odpowiedni stopień ochrony lub innych instrumentów zapewniających odpowiednie zabezpieczenia, ale opiera się na odstępstwach w szczególnych sytuacjach zgodnie z art. 49 RODO, należy je ściśle interpretować, tak aby wyjątek nie stał się regułą; zauważa jednak, że od czasu unieważnienia Tarczy Prywatności UE-USA zachowano transatlantyckie przepływy danych do celów reklamy cyfrowej, pomimo wątpliwości co do ich podstawy prawnej dla przekazywania danych do celów reklamowych; wzywa EROD i organy ochrony danych do zagwarantowania spójnej interpretacji w stosowaniu i kontroli takich odstępstw zgodnie z wytycznymi EROD;

8. z zadowoleniem przyjmuje międzynarodowe dyskusje na temat RODO i transgranicznych przepływów danych osobowych zgodnych z dyrektywą o ochronie danych w sprawach karnych 13 ; podkreśla, że RODO, dyrektywa o ochronie danych w sprawach karnych, przepisy w sprawie prywatności w internecie oraz inne istniejące i przyszłe środki chroniące podstawowe prawa do prywatności i ochrony danych osobowych nie mogą być podważane przez międzynarodowe umowy handlowe ani do nich włączane; wzywa Komisję, by stosowała się do horyzontalnego stanowiska UE z 2018 r. 14  i nie odbiegała od niego oraz by uwzględniła odpowiednie zobowiązania państw trzecich na mocy prawa handlowego przy ocenie ich adekwatności, w tym w odniesieniu do dalszego przekazywania danych;

Standardowe klauzule umowne

9. Przyjmuje do wiadomości projekt decyzji wykonawczej Komisji i projekt standardowych klauzul umownych; przyjmuje z zadowoleniem fakt, że Komisja zwróciła się do zainteresowanych stron o informacje zwrotne na temat tego projektu, organizując w tym celu konsultacje publiczne; zauważa, że EROD i EIOD we wspólnej opinii wydanej 15 stycznia 2021 r. 15  pozytywnie odnieśli się do projektu standardowych klauzul umownych, proponując jednak pewne dalsze ulepszenia; oczekuje, że Komisja weźmie pod uwagę otrzymane uwagi przed rozpoczęciem procedury komitetowej;

10. przypomina, że duża liczba MŚP korzysta ze standardowych klauzul umownych; podkreśla, że wszystkie typy przedsiębiorstw pilnie potrzebują jasnych wytycznych i pomocy, aby zagwarantować pewność prawa w stosowaniu i wykładni orzeczenia Trybunału;

11. przyjmuje do wiadomości zalecenie EROD nr 01/2020 16  w sprawie środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych; z zadowoleniem przyjmuje fakt, że EROD zorganizowała konsultacje społeczne w sprawie swoich zaleceń; wyraża zaniepokojenie potencjalnym konfliktem pomiędzy tymi zaleceniami a wnioskiem Komisji w sprawie standardowych klauzul umownych; zachęca Komisję i EROD do współpracy przy finalizacji swoich odpowiednich dokumentów, aby zapewnić pewność prawa po wydaniu wyroku przez TSUE; uważa, że Komisja musi kierować się wskazówkami EROD;

12. z zadowoleniem przyjmuje w szczególności zalecenia EROD dotyczące konieczności oparcia się przez administratorów danych na czynnikach obiektywnych przy ocenie, czy prawo lub praktyka państwa trzeciego może wpłynąć na skuteczność odpowiednich zabezpieczeń w narzędziach transferu danych, nie zaś na czynnikach subiektywnych, takich jak prawdopodobieństwo uzyskania przez organy publiczne dostępu do danych w sposób niezgodny z normami UE, które były wielokrotnie odrzucane przez TSUE; wzywa w związku z tym Komisję do zapewnienia pełnej zgodności jej wniosku w sprawie standardowych klauzul umownych z obowiązującym orzecznictwem TSUE;

13. podkreśla, że jest kluczową kwestią, aby unijne przedsiębiorstwa, które przekazują dane osobowe poza UE, mogły polegać na solidnych mechanizmach zgodnych z wyrokiem TSUE; uważa w związku z tym, że obecny wniosek Komisji dotyczący wzoru standardowej klauzuli umownej powinien należycie uwzględniać wszystkie odnośne zalecenia EROD; popiera utworzenie zestawu dodatkowych środków do wyboru, np. certyfikatów bezpieczeństwa i ochrony danych, zabezpieczeń szyfrujących i pseudonomizacji, które są akceptowane przez organy regulacyjne, oraz publicznie dostępnych zasobów na temat odpowiednich przepisów głównych partnerów handlowych UE;

14. zwraca uwagę, że w przypadku administratorów danych, którzy są objęci zakresem amerykańskiej ustawy o kontroli wywiadu (FISA), przekazywanie danych osobowych z Unii nie jest możliwe na mocy tych standardowych klauzul umownych ze względu na wysokie ryzyko masowej inwigilacji; oczekuje, że jeżeli nie uda się szybko znaleźć porozumienia z USA gwarantującego zasadniczo równoważny, a zatem odpowiedni stopień ochrony w stosunku do tego, który zapewnia RODO i Karta praw podstawowych Unii Europejskiej, przekazywanie to zostanie zawieszone do czasu rozwiązania sytuacji; podkreśla ustalenie TSUE, zgodnie z którym ani sekcja 702 FISA, ani dekret nr 12333 w związku z rozporządzeniem prezydenckim nr 28 nie odpowiadają minimalnym gwarancjom wynikającym w prawie UE z zasady proporcjonalności, w związku z czym programów nadzoru opartych na tych przepisach nie można uznać za ograniczone do tego, co jest absolutnie konieczne; podkreśla rozwiązania problemów wskazanych w orzeczeniu Trybunału w sposób trwały, aby zapewnić odpowiednią ochronę danych osobowych osobom, których dane dotyczą; przypomina, że żadna umowa między przedsiębiorstwami nie może zapewnić ochrony przed masowym dostępem organów wywiadowczych do treści komunikatów elektronicznych, ani też żadna umowa między przedsiębiorstwami nie może zapewnić wystarczających środków prawnych przeciwko masowej inwigilacji; podkreśla, że wymaga to reformy amerykańskich przepisów i praktyk dotyczących kontroli, aby zapewnić, że dostęp amerykańskich organów bezpieczeństwa do danych przekazywanych z UE jest ograniczony do tego, co konieczne i proporcjonalne, a europejskie podmioty, których dane dotyczą, mają dostęp do skutecznych środków odwoławczych przed sądami amerykańskimi;

15. podkreśla, że europejskie MŚP, jak również organizacje i stowarzyszenia nienastawione na zysk, mają ograniczoną zdolność negocjacyjną oraz prawną i finansową, podczas gdy oczekuje się od nich samodzielnej oceny odpowiedniego stopnia ochrony w państwach trzecich, co wiąże się z poruszaniem się wśród złożonych ram prawnych w różnych państwach trzecich; wzywa Komisję i EROD do przedstawienia wytycznych dotyczących praktycznego wykorzystania wiarygodnych środków uzupełniających, zwłaszcza dla MŚP;

16. wzywa organy ochrony danych do wywiązywania się ze swoich obowiązków, podkreślonych w orzeczeniu TSUE, aby zapewnić właściwe i szybkie egzekwowanie RODO poprzez ścisłe monitorowanie stosowania standardowych klauzul umownych; wzywa organy ochrony danych do wspierania przedsiębiorstw w przestrzeganiu orzecznictwa Trybunału; wzywa organy ochrony danych, aby korzystały z pełnego zakresu swoich uprawnień dochodzeniowych i naprawczych zgodnie z art. 58 RODO w przypadkach, gdy podmioty przekazujące dane przekazują dane osobowe pomimo istnienia przepisów w państwie trzecim będącym miejscem przeznaczenia, które uniemożliwiają importerowi danych przestrzeganie standardowych klauzul umownych, oraz braku skutecznych środków uzupełniających; przypomina, że TSUE stwierdził iż każdy organ nadzorczy jest "zobowiązany wywiązać się [...] z powierzonego mu zadania polegającego na egzekwowaniu pełnego stosowania RODO";

Tarcza Prywatności

17. zauważa, że TSUE stwierdził, iż Tarcza Prywatności UE-USA nie gwarantuje zasadniczo równoważnego, a zatem odpowiedniego stopnia ochrony w porównaniu ze stopniem zapewnianym przez RODO i Kartę praw podstawowych UE, w szczególności z powodu masowego dostępu organów publicznych USA do danych osobowych przekazywanych w ramach Tarczy Prywatności, który nie jest zgodny z zasadą konieczności i proporcjonalności, oraz z powodu braku możliwości wniesienia przez osoby, których dane dotyczą, powództwa do sądów USA, lub jakiegokolwiek innego niezależnego organu działającego w charakterze sądu, przeciwko organom USA; oczekuje, że obecna administracja USA będzie bardziej zaangażowana w wypełnianie swoich zobowiązań w ramach ewentualnych przyszłych mechanizmów przekazywania danych niż poprzednie administracje, które wykazywały brak zaangażowania politycznego w przestrzeganie i egzekwowanie zasad "bezpiecznej przystani" oraz egzekwowanie zasad Tarczy Prywatności;

18. zwraca uwagę, że w reakcji na wyrok "Schrems II" niektóre przedsiębiorstwa pospiesznie zmieniły swoje oświadczenia o ochronie prywatności i umowy ze stronami trzecimi, odnosząc się do swoich zobowiązań w ramach Tarczy Prywatności, bez dokonania oceny najlepszych środków służących zgodnemu z prawem przekazywaniu danych;

19. ubolewa nad faktem, że mimo licznych apeli Parlamentu do Komisji, zawartych w rezolucjach z lat 2016, 2017 i 2018, o podjęcie wszelkich niezbędnych środków w celu zapewnienia pełnej zgodności Tarczy Prywatności z RODO i Kartą praw podstawowych Unii Europejskiej, Komisja nie podjęła działań zgodnie z art. 45 ust. 5 RODO; wyraża ubolewanie, że Komisja zignorowała apele Parlamentu o zawieszenie Tarczy Prywatności do czasu, aż władze USA spełnią jej warunki, w których to apelach podkreślano ryzyko unieważnienia Tarczy Prywatności przez TSUE; przypomina, że problemy z funkcjonowaniem Tarczy Prywatności były wielokrotnie podnoszone przez Grupę Roboczą Art. 29 i EROD;

20. wyraża ubolewanie, że Komisja przedłożyła stosunki z USA nad interesy obywateli UE i w ten sposób pozostawiła zadanie obrony prawa UE poszczególnym obywatelom;

Masowa inwigilacja i ramy prawne

21. zachęca Komisję, aby proaktywnie monitorowała stosowanie technologii masowej inwigilacji w Stanach Zjednoczonych, jak również w innych państwach trzecich, które są lub mogłyby być przedmiotem ustaleń dotyczących adekwatności, takich jak Zjednoczone Królestwo; wzywa Komisję, by nie przyjmowała decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do krajów, w których przepisy i programy dotyczące masowej inwigilacji nie spełniają kryteriów TSUE ani co do litery, ani co do ducha;

22. zwraca uwagę na niedawne wejście w życie w USA kalifornijskiej ustawy o ochronie konsumentów; odnotowuje związane z tym dyskusje i wnioski legislacyjne na szczeblu federalnym; zwraca uwagę, że chociaż są to kroki w dobrym kierunku, ani kalifornijska ustawa o ochronie konsumentów, ani żaden z wniosków federalnych nie spełniają jak dotąd wymogów RODO dotyczących ustalenia adekwatności; zdecydowanie zachęca ustawodawcę amerykańskiego do przyjęcia przepisów spełniających te wymogi, a tym samym do przyczynienia się do tego, by prawo amerykańskie zapewniało zasadniczo równoważny poziom ochrony do tego, który jest obecnie gwarantowany w UE;

23. zwraca uwagę, że takie przepisy dotyczące ochrony danych i prywatności konsumentów same w sobie nie wystarczą do rozwiązania podstawowych problemów stwierdzonych przez Trybunał w kwestii masowej inwigilacji przez służby wywiadowcze USA oraz niewystarczającego dostępu do środków odwoławczych; zachęca ustawodawcę amerykańskiego do zmiany sekcji 702 FISA, a prezydenta USA do zmiany dekretu nr 12333 oraz rozporządzenia prezydenckiego nr 28, zwłaszcza w odniesieniu do masowej inwigilacji i zapewnienia takiego samego stopnia ochrony obywatelom UE i USA; zachęca USA do zapewnienia mechanizmów gwarantujących, że osoby fizyczne otrzymają (opóźnione) powiadomienia i będą mogły zakwestionować niewłaściwą inwigilację na podstawie sekcji 702 i dekretu nr 12333 oraz do ustanowienia prawnie usankcjonowanego mechanizmu gwarantującego obywatelom spoza USA egzekwowalne prawa wykraczające poza ustawę o sądowych środkach zaskarżenia;

24. przypomina, że państwa członkowskie nadal wymieniają dane osobowe ze Stanami Zjednoczonymi w ramach programu śledzenia środków finansowych należących do terrorystów, umowy UE-USA w sprawie danych dotyczących przelotu pasażera, automatycznej wymiany informacji podatkowych za pośrednictwem umów międzyrządowych wdrażających amerykańską ustawę o wypełnianiu obowiązków podatkowych w stosunku do rachunków posiadanych za granicą (FATCA), co niekorzystnie wpływa na tzw. Amerykanów z przypadku, o czym mowa w rezolucji Parlamentu z dnia 5 lipca 2018 r. w sprawie szkodliwych skutków amerykańskiej ustawy o wypełnianiu obowiązków podatkowych w stosunku do rachunków posiadanych za granicą (FATCA) dla obywateli UE, w szczególności tzw. Amerykanów z przypadku 17 ; przypomina, że USA nadal mają dostęp do baz danych organów ścigania państw członkowskich zawierających odciski palców i dane DNA obywateli UE; zwraca się do Komisji o przeanalizowanie wpływu wyroków "Schrems I" i "Schrems II" na tę wymianę danych oraz o publiczne i pisemne przedstawienie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych do 30 września 2021 r. swojej analizy i sposobu, w jaki zamierza ona dostosować ją do tych wyroków;

25. wzywa również Komisję do przeanalizowania sytuacji dostawców usług w chmurze objętych sekcją 702 FISA, którzy przekazują dane za pomocą standardowych klauzul umownych; wzywa ponadto Komisję do przeanalizowania wpływu na prawa przyznane na mocy umowy ramowej UE-USA, w tym prawo do sądowego dochodzenia roszczeń, biorąc pod uwagę, że USA wyraźnie przyznają to prawo jedynie obywatelom wyznaczonych krajów, które zezwalają na przekazywanie danych do USA w celach komercyjnych; uważa za niedopuszczalne, że rok po terminie Komisja nadal nie opublikowała swoich wniosków z pierwszego wspólnego przeglądu umowy ramowej, i wzywa Komisję, aby w razie konieczności niezwłocznie dostosowała umowę do standardów określonych w wyrokach TSUE;

26. uważa za konieczne, z uwagi na znaczne braki w ochronie danych europejskich obywateli, które są przekazywane do Stanów Zjednoczonych, by wspierać inwestowanie w europejskie narzędzia magazynowania danych (np. usługi w chmurze) w celu zmniejszenia zależności Unii pod względem zdolności magazynowania od państw trzecich oraz zwiększenia autonomii Unii pod względem zarządzania danymi i ich ochrony;

Decyzje stwierdzające odpowiedni stopień ochrony

27. wzywa Komisję do podjęcia wszelkich niezbędnych działań, aby zapewnić, że wszelkie nowe decyzje stwierdzające odpowiedni stopień ochrony w odniesieniu do USA są w pełni zgodne z rozporządzeniem (UE) 2016/679, z Kartą i każdym aspektem wyroków TSUE; przypomina, że ramy adekwatności znacznie ułatwiają działalność gospodarczą, w szczególności MŚP i nowym firmom, które w przeciwieństwie do dużych przedsiębiorstw często nie posiadają niezbędnego potencjału finansowego, prawnego i technicznego, aby korzystać z innych narzędzi przekazywania danych; wzywa państwa członkowskie do zawarcia z USA umów o zakazie szpiegowania; apeluje do Komisji, aby wykorzystała kontakty ze swoimi odpowiednikami ze Stanów Zjednoczonych do przekazania przesłania, że w przypadku braku zmiany amerykańskich przepisów i praktyk w zakresie nadzoru jedyną wykonalną możliwością ułatwienia podjęcia przyszłej decyzji stwierdzającej odpowiedni stopień ochrony byłoby zawarcie z państwami członkowskimi umów o zakazie szpiegowania;

28. uważa, że wszelkie przyszłe decyzje Komisji stwierdzające odpowiedni stopień ochrony nie powinny opierać się na systemie certyfikacji własnej, jak to miało miejsce zarówno w przypadku "bezpiecznej przystani", jak i Tarczy Prywatności; wzywa Komisję do pełnego zaangażowania EROD w ocenę zgodności z wszelkimi nowymi decyzjami stwierdzającymi odpowiedni stopień ochrony w odniesieniu do USA oraz w ich egzekwowanie; w związku z tym wzywa Komisję do uzgodnienia z administracją USA działań niezbędnych do tego, by umożliwić EROD skuteczne odgrywanie tej roli; oczekuje, że przed przyjęciem takiej decyzji Komisja poważniej rozważy stanowisko Parlamentu Europejskiego w sprawie każdej nowej decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do USA;

29. przypomina, że Komisja dokonuje obecnie przeglądu wszystkich decyzji stwierdzających odpowiedni stopień ochrony, przyjętych na mocy dyrektywy 95/46/WE; podkreśla, że Komisja powinna stosować bardziej rygorystyczne normy określone w RODO oraz w wyrokach "Schrems I" i "Schrems II" TSUE, aby ocenić, czy zapewniono poziom ochrony zasadniczo równoważny z poziomem przewidzianym w RODO, w tym pod względem dostępu do skutecznego środka odwoławczego i ochrony przed nieuzasadnionym dostępem organów państwa trzeciego do danych osobowych; wzywa Komisję do zakończenia tych przeglądów w trybie pilnym oraz do cofnięcia lub zawieszenia wszelkich decyzji wydanych przed wejściem w życie RODO, jeżeli stwierdzi, że dane państwo trzecie nie zapewnia zasadniczo równoważnego stopnia ochrony, i jeżeli sytuacji nie można zaradzić;

30. uważa, że administracja prezydenta Joe Bidena, poprzez powołanie na głównego negocjatora w sprawie następcy Tarczy Prywatności doświadczonego eksperta w dziedzinie prywatności wykazała zaangażowanie w znalezienie rozwiązania dla przekazywania danych handlowych między UE a USA jako kwestii priorytetowej; oczekuje, że dialog między Komisją a jej amerykańskimi odpowiednikami, który rozpoczął się zaraz po orzeczeniu TSUE, nasili się w nadchodzących miesiącach;

31. wzywa Komisję, aby nie przyjmowała żadnych nowych decyzji stwierdzających odpowiedni stopień ochrony w odniesieniu do USA, o ile nie zostaną wprowadzone znaczące reformy, w szczególności dla celów bezpieczeństwa narodowego i wywiadu, które można osiągnąć poprzez jasną, trwałą pod względem prawnym, wykonalną i niedyskryminacyjną reformę amerykańskich przepisów i praktyk; w związku z tym ponownie podkreśla znaczenie solidnych zabezpieczeń w zakresie dostępu władz publicznych do danych osobowych; wzywa Komisję, by wcieliła w życie swoje "ambicje geopolityczne" narzucenia USA i innym państwom trzecim ochrony danych osobowych zasadniczo równoważnej ochronie obowiązującej w UE;

32. zaleca, aby krajowe organy ochrony danych zawiesiły przekazywanie danych osobowych, które mogą być przedmiotem dostępu władz publicznych w USA, gdyby Komisja miała wydać jakąkolwiek nową decyzję stwierdzającą odpowiedni stopień ochrony w odniesieniu do USA w przypadku braku takich znaczących reform;

33. z zadowoleniem przyjmuje fakt, że Komisja stosuje kryteria określone w dokumencie "Odpowiedni stopień ochrony przekazywanych danych osobowych" Grupy Roboczej Art. 29 w ramach RODO 18  (w formie zatwierdzonej przez EROD) oraz w zaleceniu EROD nr 01/2021 w sprawie dokumentu "Odpowiedni stopień ochrony przekazywanych danych osobowych" na mocy dyrektywy o ochronie danych w sprawach karnych 19 ; uważa, że Komisja nie powinna schodzić poniżej tych kryteriów przy ocenie, czy dane państwo trzecie kwalifikuje się do decyzji stwierdzającej odpowiedni stopień ochrony; odnotowuje, że EROD niedawno zaktualizowała swoje zalecenia w sprawie europejskich gwarancji dotyczących środków nadzoru w świetle orzecznictwa TSUE 20 ;

o

o o

34. zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Komisji, Radzie Europejskiej, Radzie Unii Europejskiej, Europejskiej Radzie Ochrony Danych, parlamentom narodowym państw członkowskich, Kongresowi i rządowi Stanów Zjednoczonych Ameryki oraz parlamentowi i rządowi Zjednoczonego Królestwa.