PÄÄTÖSLAUSELMAESITYS Euroopan unionin tuomioistuimen 16. heinäkuuta 2020 antamasta tuomiosta – Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems (”Schrems II”), asia C-311/18

B9‑0267/2021

Euroopan parlamentin päätöslauselma Euroopan unionin tuomioistuimen 16. heinäkuuta 2020 antamasta tuomiosta – Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems (”Schrems II”), asia C-311/18

(2020/2789(RSP))

Euroopan parlamentti, joka

– ottaa huomioon Euroopan unionin perusoikeuskirjan ja erityisesti sen 7, 8, 16, 47 ja 52 artiklan,

– ottaa huomioon unionin tuomioistuimen 16. heinäkuuta 2020 antaman tuomion asiassa C-311/18 Data Protection Commissioner v. Facebook Ireland Ltd ja Maximillian Schrems (Schrems II)[1],

– ottaa huomioon unionin tuomioistuimen 6. lokakuuta 2015 antaman tuomion asiassa C‑362/14 Maximillian Schrems v. Data Protection Commissioner (Schrems I)[2],

– ottaa huomioon unionin tuomioistuimen 6. lokakuuta 2020 antaman tuomion asiassa C‑623/17 Privacy International v. Secretary of State for Foreign and Commonwealth Affairs ym.[3],

– ottaa huomioon 26. toukokuuta 2016 antamansa päätöslauselman transatlanttisista tietovirroista[4],

– ottaa huomioon 6. huhtikuuta 2017 antamansa päätöslauselman EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä[5],

– ottaa huomioon 5. heinäkuuta 2018 antamansa päätöslauselman EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn tarjoaman suojan riittävyydestä[6],

– ottaa huomioon 25. lokakuuta 2018 antamansa päätöslauselman Cambridge Analytican käyttämistä Facebookin käyttäjien tiedoista ja vaikutuksesta tietosuojaan[7],

– ottaa huomioon Euroopan parlamentin ja neuvoston direktiivin 95/46/EY mukaisista mallisopimuslausekkeista henkilötietojen siirtoa varten kolmansiin maihin sijoittautuneille henkilötietojen käsittelijöille 5. helmikuuta 2010 annetun komission päätöksen 2010/87/EU (tiedoksiannettu numerolla K(2010)0593)[8],

– ottaa huomioon EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä Euroopan parlamentin ja neuvoston direktiivin 95/46/EY nojalla 12. heinäkuuta 2016 annetun komission täytäntöönpanopäätöksen (EU) 2016/1250 (C(2016)4176)[9],

– ottaa huomioon 23. marraskuuta 2020 antamansa päätöslauselman EU:n kauppapolitiikan tarkastelusta[10],

– ottaa huomioon luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27. huhtikuuta 2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus)[11] ja erityisesti sen V luvun,

– ottaa huomioon komission ehdotuksen sähköisen viestinnän tietosuoja-asetukseksi (COM(2017)0010), ottaa huomioon parlamentin täysistunnossa 25. lokakuuta 2017 vahvistetun päätöksen aloittaa toimielinten väliset neuvottelut ja 10. helmikuuta 2021 hyväksytyn neuvoston yleisnäkemyksen (6087/21),

– ottaa huomioon Euroopan tietosuojaneuvoston suositukset 1/2020 toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi, ja suositukset 2/2020 tiedustelua koskevista eurooppalaisista olennaisista takeista sekä Euroopan tietosuojaneuvoston 19. marraskuuta 2020 antaman lausuman sähköisen viestinnän tietosuoja-asetuksesta sekä valvontaviranomaisten ja Euroopan tietosuojaneuvoston tulevasta roolista,

– ottaa huomioon työjärjestyksen 132 artiklan 2 kohdan,

A. katsoo, että mahdollisuus siirtää henkilötietoja yli rajojen voi olla keskeinen innovoinnin, tuottavuuden ja taloudellisen kilpailukyvyn edistäjä; toteaa tämän olevan entistäkin tärkeämpää covid-19-pandemian aikana, koska tällaiset siirrot ovat välttämättömiä liiketoiminnan ja hallinnon jatkuvuuden sekä sosiaalisen vuorovaikutuksen varmistamiseksi; katsoo, että ne voivat myös tukea strategioita pandemiasta ulos pääsemiseksi ja edistää talouden elpymistä;

B. ottaa huomioon, että Euroopan unionin tuomioistuin mitätöi ”Schrems I” -tuomiossa komission Safe Harbour -periaatteita koskevan päätöksen arviointinsa perusteella ja huomautti, että tiedusteluviranomaisten rajoittamaton pääsy sähköisen viestinnän sisältöön loukkaa perusoikeuskirjan 7 artiklassa vahvistetun viestinnän luottamuksellisuutta koskevan oikeuden keskeistä sisältöä;

C. ottaa huomioon, että unionin tuomioistuin totesi ”Schrems II” -tuomiossa, että Yhdysvallat ei tarjoa muille kuin Yhdysvaltojen kansalaisille riittäviä oikeussuojakeinoja joukkovalvontaa vastaan ja että tämä loukkaa peruskirjan 47 artiklassa vahvistetun oikeuden oikeussuojakeinoihin keskeistä sisältöä;

D. ottaa huomioon, että yleistä tietosuoja-asetusta sovelletaan kaikkiin yrityksiin, jotka käsittelevät unionissa olevien rekisteröityjen henkilötietoja, jos käsittelytoimet liittyvät tavaroiden tai palvelujen tarjoamiseen näille rekisteröidyille unionissa tai näiden käyttäytymisen seurantaan siltä osin kuin heidän käyttäytymisensä tapahtuu unionissa;

E. toteaa, että teleoperaattoreiden ja yritysten tallentamat ja siirtämät unionin kansalaisten tiedot ovat merkittävä resurssi, jonka avulla voidaan edistää unionin strategisia etuja;

F. ottaa huomioon, että valtiollisten toimijoiden harjoittama laaja joukkovalvonta heikentää unionin kansalaisten, hallitusten ja yritysten luottamusta digitaalisiin palveluihin ja siten myös digitaalitalouteen;

G. ottaa huomioon, että kuluttajajärjestöillä ja muilla kansalaisyhteiskunnan järjestöillä on rajalliset resurssit ja että tietosuojaoikeuksien ja -velvoitteiden täytäntöönpano ei voi olla riippuvainen niiden toimista; toteaa, että kansallisten menettelyjen ja käytäntöjen hajanaisuus muodostaa haasteen tietosuoja-asetuksessa säädetylle rajatylittävien valitusten yhteydessä noudatettavalle yhteistyömekanismille; toteaa, että selkeät määräajat puuttuvat ja menettelyt ovat yleisesti hitaita ja että valvontaviranomaisilla ei ole riittäviä resursseja ja joissakin tapauksissa ne eivät ole halukkaita käyttämään jo myönnettyjä resursseja tai eivät käytä niitä tehokkaasti; toteaa, että valitukset teknologiajättien väitetyistä rikkomuksista ovat nyt keskittyneet yhden kansallisen viranomaisen käsiin, mikä on johtanut täytäntöönpanon pullonkauloihin;

H. ottaa huomioon, että tähän unionin tuomioistuimen tuomioon johtaneet menettelyt osoittavat myös, että rekisteröityjen ja kuluttajien on vaikea puolustaa oikeuksiaan, mikä heikentää heidän mahdollisuuksiaan puolustaa oikeuksiaan Irlannin tietosuojavaltuutetun edessä;

I. toteaa, että 25. lokakuuta 2018 antamassaan päätöslauselmassa parlamentti huomautti, että Yhdysvallat ei ollut noudattanut määräaikaa, jonka mukaan Privacy Shield ‑järjestelyä oli noudatettava täysimääräisesti 1. syyskuuta 2018 mennessä, ja että se oli jo kehottanut komissiota keskeyttämään Privacy Shield -järjestelyn, kunnes Yhdysvaltojen viranomaiset noudattavat sen ehtoja;

J. katsoo, että EU:n tietosuojalainsäädännössä taattuja rekisteröityjen oikeuksia olisi kunnioitettava riippumatta siitä, millainen riski heille aiheutuu henkilötietojen käsittelystä, myös silloin, kun on kyse henkilötietojen siirrosta kolmansiin maihin; toteaa, että rekisterinpitäjien olisi aina oltava vastuussa tietosuojavelvoitteiden noudattamisesta ja niiden on muun muassa osoitettava tietojenkäsittelyn vaatimustenmukaisuus riippumatta käsittelyn luonteesta, laajuudesta, asiayhteydestä, tarkoituksesta ja rekisteröidyille aiheutuvista riskeistä;

K. ottaa huomioon, että vaikka unionin tuomioistuimen oikeuskäytäntö on viiden viime vuoden aikana kehittynyt merkittävästi ja yleistä tietosuoja-asetusta on tosiasiassa sovellettu 25. toukokuuta 2018 lähtien, valvontaviranomaiset eivät ole tähän päivään mennessä päättäneet määrätä henkilötietojen siirtoon liittyviä korjaavia toimenpiteitä yleisen tietosuoja-asetuksen yhdenmukaisuusmekanismin mukaisesti; ottaa huomioon, että kansallisen tason valvontaviranomaiset eivät ole tehneet yhtään merkityksellistä päätöstä korjaavien toimenpiteiden tai sakkojen määräämisestä henkilötietojen kolmansiin maihin siirtämisen vuoksi;

L. ottaa huomioon, että Yhdysvaltain presidentti Biden nimitti ensimmäisenä virkapäivänään Yhdysvaltojen kauppaministeriöön palveluista vastaavan alivaltiosihteerin, josta tulee kaupallisista tiedonsiirroista EU:n kanssa vastaava pääneuvottelija; ottaa huomioon, että presidentin Yhdysvaltain kauppaministeriksi nimeämä Gina Raimondo kehotti senaatin kuulemistilaisuudessa asettamaan Privacy Shield -järjestelyä seuraavaa sopimusta koskevien neuvottelujen ripeän päätökseen saattamisen ”ensisijaiseksi tavoitteeksi”;

Yleisiä huomioita

1. panee merkille unionin tuomioistuimen 16. heinäkuuta 2020 antaman tuomion, jossa tuomioistuin vahvisti periaatteessa mallisopimuslausekkeita koskevan päätöksen 2010/87 pätevyyden, ja toteaa, että kyseiset lausekkeet ovat kansainvälisissä tiedonsiirroissa laajimmin käytetty mekanismi; toteaa lisäksi, että unionin tuomioistuin kumosi EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn tarjoaman tietosuojan tason riittävyydestä annetun komission päätöksen (EU) 2016/1250; huomauttaa, että yksikään kestävä yhteinen mekanismi, jolla taataan kaupallisten henkilötietojen laillinen siirto EU:n ja Yhdysvaltojen välillä, ei ole toistaiseksi saanut Euroopan unionin tuomioistuimen tukea vaan ne on kaikki kumottu riitauttamisen jälkeen;

2. panee merkille, että unionin tuomioistuin totesi mallisopimuslausekkeiden olevan tehokas mekanismi, jolla varmistetaan EU:ssa säädetyn suojan tason noudattaminen, mutta edellytti, että Euroopan unioniin sijoittautunut rekisterinpitäjä/käsittelijä ja henkilötietojen vastaanottaja velvoitetaan tarkistamaan aina ennen siirtoa, noudatetaanko asianomaisessa kolmannessa maassa EU:n lainsäädännössä edellytettyä suojan tasoa; muistuttaa, että tähän sisältyy viranomaisten pääsyä henkilötietoihin koskevan oikeudellisen järjestelmän arviointi sen varmistamiseksi, että rekisteröidyt ja heidän siirretyt tietonsa eivät ole vaarassa joutua sellaisten Yhdysvaltojen valvontaohjelmien piiriin, jotka mahdollistavat henkilötietojen valikoimattoman keruun; muistuttaa, että unionin tuomioistuin katsoi, että jos vastaanottaja ei pysty noudattamaan mallisopimuslausekkeita, rekisterinpitäjät tai käsittelijät ovat velvollisia lykkäämään tietojen siirtoa ja/tai irtisanomaan sopimuksen; panee kuitenkin merkille, että monilla yrityksillä, erityisesti pk-yrityksillä, ei ole tarvittavaa tietämystä tai valmiutta tällaisen tarkistuksen tekemiseen, mikä voi johtaa liiketoiminnan häiriöihin;

3. toteaa, että unionin tuomioistuimen tuomiossa keskitytään sellaisille EU:n rekisteröidyille myönnettyyn tietosuojan tasoon, joiden tiedot on siirretty Yhdysvaltoihin Privacy Shield- mekanismin mukaisesti, mutta katsoo, että se vaikuttaa myös muita kolmansia maita, muun muassa Yhdistynyttä kuningaskuntaa, koskeviin päätöksiin tietosuojan riittävyydestä; vahvistaa, että tarvitaan oikeudellista selkeyttä ja oikeusvarmuutta, sillä mahdollisuudesta siirtää henkilötietoja turvallisesti rajojen yli on tullut yhä tärkeämpää ihmisille heidän henkilötietojensa suojan ja niihin liittyvien oikeuksien kannalta sekä kaikentyyppisille tavaroita ja palveluja kansainvälisesti toimittaville organisaatioille samoin kuin yrityksille näiden toimintaa sääntelevän oikeusjärjestelmän kannalta; korostaa kuitenkin, että olemassa olevat tietosuojan riittävyyttä koskevat päätökset pysyvät voimassa, kunnes ne kumotaan tai korvataan tai tuomioistuin julistaa ne mitättömiksi;

4. on pettynyt siihen, että Irlannin tietosuojavaltuutettu nosti kanteen Maximilian Schremsiä ja Facebookia vastaan Irlannin ylemmässä piirituomioistuimessa sen sijaan, että se olisi tehnyt itse päätöksen, joka kuuluu sen toimivaltaan 2010/87/EU 4 artiklan ja yleisen tietosuoja-asetuksen 58 artiklan mukaisesti; muistuttaa kuitenkin, että tietosuojavaltuutettu hyödynsi oikeudellista keinoa, joka antaa tietosuojaviranomaisille mahdollisuuden tuoda komission täytäntöönpanopäätöksen pätevyyttä koskevat huolenaiheet kansallisen tuomarin tietoon, jotta unionin tuomioistuimelle voidaan antaa ennakkoratkaisupyyntö; on erittäin huolissaan siitä, että Irlannin tietosuojavaltuutettu, joka on johtava viranomainen näissä asioissa, ei ole vielä tehnyt päätöstä useista yleisen tietosuoja-asetuksen rikkomista koskevista kanteluista, jotka tehtiin 25. toukokuuta 2018 eli päivänä, jona tietosuoja-asetusta alettiin soveltaa, eikä muista yksityisyyden suojelun alalla toimivien järjestöjen ja kuluttajaryhmien tekemistä kanteluista; on huolissaan siitä, että Irlannin tietosuojavaltuutettu tulkitsee yleisen tietosuoja-asetuksen 60 artiklan 3 kohdassa käytetyn ilmauksen ”viipymättä” lainsäätäjien tahdon vastaisesti pidemmäksi ajaksi kuin muutamaksi kuukaudeksi; on huolissaan siitä, että valvontaviranomaiset eivät ole toteuttaneet yleisen tietosuoja-asetuksen 61 ja 66 artiklan mukaisia ennakoivia toimia pakottaakseen tietosuojavaltuutetun noudattamaan yleisen tietosuoja-asetuksen mukaisia velvoitteitaan; on huolissaan myös siitä, että tietosuojavaltuutetun palveluksessa ei ole teknologia-asiantuntijoita ja tietosuojavaltuutetun toimistossa käytetään vanhentuneita järjestelmiä; pitää vaikutuksiltaan valitettavana tietosuojavaltuutetun epäonnistunutta yritystä siirtää oikeusmenettelyn kustannukset vastaajalle, millä olisi ollut valtava lamaannuttava vaikutus; kehottaa komissiota käynnistämään rikkomusmenettelyjä Irlantia vastaan sen vuoksi, että se ei ole pannut yleistä tietosuoja-asetusta asianmukaisesti täytäntöön;

5. on huolissaan yleisen tietosuoja-asetuksen riittämättömästä täytäntöönpanosta erityisesti kansainvälisten siirtojen yhteydessä; on huolissaan siitä, että kansalliset valvontaviranomaiset eivät priorisoi eivätkä yleensäkään valvo henkilötietojen siirtoja kolmansiin maihin, vaikka unionin tuomioistuimen oikeuskäytäntö on kehittynyt merkittävästi viiden viime vuoden aikana; pitää valitettavana, että tältä osin ei ole tehty merkityksellisiä päätöksiä eikä määrätty korjaavia toimenpiteitä, ja kehottaa Euroopan tietosuojaneuvostoa ja kansallisia valvontaviranomaisia sisällyttämään henkilötietojen siirrot osaksi tarkastus-, vaatimustenmukaisuus- ja täytäntöönpanon valvontastrategioitaan; huomauttaa, että oikeusvarmuuden takaamiseksi ja rajatylittävien valitusten käsittelemiseksi tarvitaan rekisteröityjen edustusta ja tutkittavaksi ottamista koskevia yhdenmukaistettuja sitovia hallinnollisia menettelyjä;

6. panee merkille luonnoksen komission täytäntöönpanopäätökseksi henkilötietojen siirtoa kolmansiin maihin koskevista mallisopimuslausekkeista; kehottaa tietosuojaneuvostoa julkaisemaan yrityksiä ja erityisesti pk-yrityksiä varten kansainvälisiä tiedonsiirtoja koskevia lisäohjeita, muun muassa tarkistuslistan siirtojen arviointia varten, välineitä sen arvioimiseksi, onko hallituksilla lupa päästä tai pääsy tietoihin, sekä tietoja lisätoimenpiteistä, joita tietojen siirto mallisopimuslausekkeita käyttäen edellyttää; kehottaa tietosuojaneuvostoa myös pyytämään riippumattomilta tutkijoilta näkemyksiä, jotka koskevat mahdollisesti ristiriidassa olevaa kansallista lainsäädäntöä tärkeimmissä kauppakumppanimaissa;

7. palauttaa mieliin, että tietosuojaneuvoston suuntaviivoissa 2/2018[12], jotka koskevat asetuksen 2016/679 49 artiklan mukaisia poikkeuksia, todetaan, että kun siirtoja ei tehdä tietosuojan riittävyyttä koskevien päätösten tai muiden asianmukaisia suojatoimia tarjoavien välineiden puitteissa vaan ne perustuvat yleisen tietosuoja-asetuksen 49 artiklan mukaisiin erityistapauksia koskeviin poikkeuksiin, niitä on tulkittava suppeasti niin, että poikkeuksesta ei tule sääntöä; panee kuitenkin merkille, että EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn mitätöinnin jälkeen transatlanttiset tietovirrat digitaalista mainontaa varten ovat jatkuneet huolimatta mainostarkoituksessa tapahtuvien siirtojen oikeusperustaa koskevista epäilyistä; kehottaa Euroopan tietosuojaneuvostoa ja tietosuojaviranomaisia varmistamaan johdonmukaisen tulkinnan sovellettaessa ja valvottaessa tällaisia poikkeuksia tietosuojaneuvoston suuntaviivojen mukaisesti;

8. suhtautuu myönteisesti kansainvälisiin keskusteluihin yleisen tietosuoja-asetuksen ja lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annetun direktiivin[13] mukaisista rajat ylittävistä henkilötietovirroista; korostaa, että kansainväliset kauppasopimukset eivät saa heikentää yleistä tietosuoja-asetusta, lainvalvontatarkoituksessa käsiteltyjen henkilötietojen suojasta annettua direktiiviä, sähköisen viestinnän tietosuojasääntöjä eivätkä muita nykyisiä ja tulevia toimenpiteitä, joilla suojellaan yksityisyyden suojaa ja henkilötietojen suojaa koskevia perusoikeuksia, eikä niitä saa sisällyttää näihin kauppasopimuksiin; kehottaa komissiota noudattamaan ilman poikkeamia EU:n vuoden 2018 horisontaalista kantaa[14] ja ottamaan huomioon kolmansien maiden asiaankuuluvat kauppaoikeuden mukaiset sitoumukset arvioidessaan niiden riittävyyttä, myös tietojen edelleen siirtämisen osalta;

Mallisopimuslausekkeet

9. panee merkille luonnoksen komission täytäntöönpanopäätökseksi ja mallisopimuslausekkeita koskevat luonnokset; panee tyytyväisenä merkille, että komissio on pyytänyt sidosryhmiltä palautetta järjestämällä luonnoksesta julkisen kuulemisen; toteaa, että Euroopan tietosuojaneuvosto ja Euroopan tietosuojavaltuutettu esittivät 15. tammikuuta 2021 antamassaan yhteisessä lausunnossa[15] myönteisiä huomioita mallisopimuslausekeluonnoksista mutta ehdottivat joitakin lisäparannuksia; edellyttää, että komissio ottaa saadut tiedot huomioon ennen komiteamenettelyn käynnistämistä;

10. muistuttaa, että suuri joukko pk-yrityksiä käyttää mallisopimuslausekkeita; korostaa, että kaikentyyppiset yritykset tarvitsevat pikaisesti selkeitä suuntaviivoja ja apua oikeusvarmuuden varmistamiseksi unionin tuomioistuimen tuomion soveltamisessa ja tulkinnassa;

11. panee merkille Euroopan tietosuojaneuvoston suositukset 1/2020[16] toimenpiteistä, joilla täydennetään tiedonsiirtovälineitä EU:ssa henkilötiedoille taatun suojan tason noudattamiseksi; panee tyytyväisenä merkille, että tietosuojaneuvosto järjesti suosituksistaan julkisen kuulemisen; on huolissaan mahdollisista ristiriidoista näiden suositusten ja mallisopimuslausekkeita koskevan komission ehdotuksen välillä; kehottaa komissiota ja tietosuojaneuvostoa tekemään yhteistyötä omien asiakirjojensa viimeistelyssä oikeusvarmuuden varmistamiseksi unionin tuomioistuimen antaman tuomion jälkeen; katsoo, että komission olisi noudatettava tietosuojaneuvoston ohjeita;

12. panee erityisen tyytyväisenä merkille Euroopan tietosuojaneuvoston suositukset, joiden mukaan rekisterinpitäjien täytyy tukeutua objektiivisiin tekijöihin arvioidessaan, onko kolmannen maan laeissa tai käytännöissä jotakin, mikä voi horjuttaa käytettävien tiedonsiirtovälineiden asianmukaisten suojatoimien tehokkuutta nimenomaisen siirron yhteydessä, eikä turvautua subjektiivisiin tekijöihin, jotka unionin tuomioistuin on toistuvasti torjunut, kuten siihen, miten todennäköisesti viranomaiset pääsevät tietoihin EU:n vaatimusten vastaisesti; kehottaa komissiota tässä yhteydessä varmistamaan, että sen ehdotus mallisopimuslausekkeista on täysin yhdenmukainen sovellettavan unionin tuomioistuimen oikeuskäytännön kanssa;

13. korostaa, että on ratkaisevan tärkeää, että henkilötietoja EU:n ulkopuolelle siirtävät EU:n yritykset voivat tukeutua vankkoihin mekanismeihin, jotka ovat unionin tuomioistuimen tuomion mukaisia; katsoo tältä osin, että komission nykyisessä ehdotuksessa sopimuslausekemalliksi olisi otettava asianmukaisesti huomioon kaikki Euroopan tietosuojaneuvoston asiaankuuluvat suositukset; kannattaa ajatusta luoda välineistö, josta voi valita lisätoimenpiteitä, joita ovat esimerkiksi turvallisuus- ja tietosuojasertifiointi, salaukseen liittyvät suojatoimet ja pseudonymisointi, jotka ovat sääntelyviranomaisten hyväksymiä, sekä unionin tärkeimpien kauppakumppanien asiaa koskevaan lainsäädäntöön liittyvät julkisesti saatavilla olevat resurssit;

14. huomauttaa, että Yhdysvaltojen ulkomaantiedustelun valvontaa koskevan FISA-lain soveltamisalaan kuuluvat rekisterinpitäjät eivät voi siirtää henkilötietoja unionista näiden mallisopimuslausekkeiden nojalla, koska joukkovalvonnan riski on suuri; edellyttää, että jos Yhdysvaltojen kanssa ei saada nopeasti aikaan järjestelyä, jolla taataan riittävä suojan taso eli taso, joka vastaa pääosiltaan yleisessä tietosuoja‑asetuksessa ja EU:n perusoikeuskirjassa taattua suojaa, siirrot keskeytetään, kunnes tilanne saadaan ratkaistua; korostaa unionin tuomioistuimen arviota, jonka mukaan FISA-lain 702 pykälä ja toimeenpanoasetus (Executive Order) 12333 (E.O. 12333), luettuina yhdessä presidentin määräyksen (Presidential Policy Directive) 28 (PPD-28) kanssa, eivät täytä niitä vähimmäisvaatimuksia, jotka unionin oikeudessa liittyvät suhteellisuusperiaatteeseen, joten ei voida katsoa, että näihin säännöksiin perustuvat tarkkailuohjelmat olisi rajattu vain täysin välttämättömään; korostaa tarvetta puuttua tuomioistuimen tuomiossa esiin tuotuihin ongelmiin kestävällä tavalla, jotta voidaan tarjota rekisteröidyille riittävä henkilötietojen suoja; muistuttaa, että mikään yritysten välinen sopimus ei voi tarjota suojaa tiedusteluviranomaisten rajoittamattomalta pääsyltä sähköisen viestinnän sisältöön eikä mikään yritysten välinen sopimus voi tarjota riittäviä oikeussuojakeinoja joukkovalvontaa vastaan; korostaa, että tämä edellyttää Yhdysvaltojen valvontalakien ja -käytäntöjen uudistamista sen varmistamiseksi, että Yhdysvaltojen turvallisuusviranomaisten pääsy EU:sta siirrettyihin tietoihin rajoitetaan siihen, mikä on välttämätöntä ja oikeasuhteista, ja että eurooppalaisilla rekisteröidyillä on saatavillaan tehokkaita oikeussuojakeinoja Yhdysvaltojen tuomioistuimissa;

15. tuo esiin eurooppalaisten pk-yritysten sekä voittoa tavoittelemattomien organisaatioiden ja yhdistysten vähäisen neuvotteluvoiman sekä oikeudelliset ja taloudelliset valmiudet ja huomauttaa, että niiden odotetaan pystyvän hahmottamaan eri kolmansien maiden monimutkaiset oikeudelliset kehykset ja arvioimaan itse kolmannen maan tietosuojan riittävyyden; kehottaa komissiota ja Euroopan tietosuojaneuvostoa antamaan erityisesti pk-yrityksille ohjeita siitä, miten luotettavia lisätoimenpiteitä käytetään käytännössä;

16. kehottaa tietosuojaviranomaisia noudattamaan velvoitteitaan, joita korostetaan unionin tuomioistuimen tuomiossa, jotta varmistetaan yleisen tietosuoja-asetuksen asianmukainen ja nopea täytäntöönpano valvomalla tiiviisti mallisopimuslausekkeiden käyttöä; kehottaa tietosuojaviranomaisia antamaan yrityksille apua tuomioistuimen oikeuskäytännön noudattamisessa; kehottaa tietosuojaviranomaisia myös käyttämään kaikkia yleisen tietosuoja-asetuksen 58 artiklan mukaisia tutkintavaltuuksiaan ja korjaavia toimivaltuuksiaan tapauksissa, joissa tietojen viejät siirtävät henkilötietoja huolimatta siitä, että kohdemaana olevassa kolmannessa maassa sovelletaan lainsäädäntöä, joka estää tietojen tuojaa noudattamasta mallisopimuslausekkeita, ja vaikka tehokkaat lisätoimenpiteet puuttuvat; palauttaa mieliin, että unionin tuomioistuin totesi, että jokaisen valvontaviranomaisen on ”suoritettava (...) tehtävänsä, joka koskee tietosuoja-asetuksen kaikilta osin noudattamisen valvontaa”;

Privacy shield -järjestely

17. panee merkille, että unionin tuomioistuin totesi, että EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely ei takaa tietosuojan tasoa, joka pääosiltaan vastaa yleisessä tietosuoja-asetuksessa ja perusoikeuskirjassa tarjottua suojelun tasoa ja joka siten olisi riittävä, erityisesti siksi, että Yhdysvaltojen viranomaisilla on valikoimaton pääsy Privacy Shield -järjestelyn mukaisesti siirrettyihin henkilötietoihin, mikä ei ole tarpeellisuutta ja suhteellisuutta koskevien periaatteiden mukaista, ja siksi, että EU:n rekisteröidyillä ei ole oikeuksia, joihin voitaisiin vedota Yhdysvaltojen viranomaisia vastaan tuomioistuimissa tai minkä tahansa muun tuomioistuimena toimivan riippumattoman viranomaisen edessä; odottaa Yhdysvaltojen nykyisen hallinnon olevan halukkaampi mahdollisten tulevien siirtomekanismien mukaisten velvoitteidensa täyttämiseen kuin aiemmat hallinnot, jotka eivät osoittaneet olevansa poliittisesti sitoutuneita Safe Harbour -sääntöjen noudattamiseen ja täytäntöönpanoon sekä Privacy Shield -järjestelyn sääntöjen täytäntöönpanoon;

18. huomauttaa, että jotkin yritykset ovat asiassa Schrems II annetun tuomion johdosta tarkistaneet kiireellä tietosuojaselosteitaan ja kolmannen osapuolen sopimuksia, joissa viitataan niiden Privacy Shield -järjestelyn mukaisiin sitoumuksiin, arvioimatta parhaita toimenpiteitä tietojen siirtämiseksi laillisesti;

19. pitää valitettavana, että komissio ei ole toiminut yleisen tietosuoja-asetuksen 45 artiklan 5 kohdan mukaisesti huolimatta siitä, että parlamentti on vuosina 2016, 2017 ja 2018 antamissaan päätöslauselmissa useaan otteeseen kehottanut sitä toteuttamaan kaikki tarvittavat toimenpiteet sen varmistamiseksi, että Privacy Shield -järjestely on täysin yleisen tietosuoja-asetuksen ja EU:n perusoikeuskirjan mukainen; pitää valitettavana, että komissio ei ole kuunnellut parlamentin kehotuksia keskeyttää Privacy Shield ‑järjestely, kunnes Yhdysvaltojen viranomaiset noudattavat sen ehtoja, vaikka parlamentti korosti riskiä siitä, että unionin tuomioistuin mitätöi Privacy Shield ‑järjestelyn; muistuttaa, että 29 artiklan mukainen tietosuojatyöryhmä ja Euroopan tietosuojaneuvosto toivat toistuvasti esiin Privacy Shield -järjestelyn toimintaan liittyviä ongelmia;

20. pitää valitettavana, että komissio asetti suhteet Yhdysvaltoihin EU:n kansalaisten etujen edelle ja että se jätti näin EU:n oikeuden puolustamisen yksittäisten kansalaisten tehtäväksi;

Joukkovalvonta ja oikeudellinen kehys

21. kannustaa komissiota seuraamaan ennakoivasti joukkovalvontateknologioiden käyttöä Yhdysvalloissa ja muissa kolmansissa maissa, joista on tehty tai voitaisiin tehdä tietosuojan riittävyyden toteava päätös, kuten Yhdistyneessä kuningaskunnassa; kehottaa komissiota olemaan tekemättä tietosuojan riittävyyttä koskevia päätöksiä maista, joissa joukkovalvontaa koskevat lait ja ohjelmat eivät ole unionin tuomioistuimen kriteerien kirjaimen eivätkä hengen mukaisia;

22. panee merkille Kalifornian kuluttajien yksityisyyden suojaa koskevan lain (CCPA) äskettäisen voimaantulon Yhdysvalloissa; panee merkille asiaan liittyvät keskustelut ja lainsäädäntöehdotukset liittovaltiotasolla; huomauttaa, että vaikka nämä ovat askelia oikeaan suuntaan, CCPA-laki tai mitkään tähänastiset liittovaltiotason ehdotukset eivät täytä yleisessä tietosuoja-asetuksessa tietosuojan riittävyyden toteavalle päätökselle asetettuja vaatimuksia; kannustaa voimakkaasti Yhdysvaltojen lainsäätäjää antamaan lainsäädäntöä, joka täyttää nämä vaatimukset, ja siten omalta osaltaan varmistamaan, että Yhdysvaltojen lainsäädäntö tarjoaa suojan, joka pääosiltaan vastaa EU:ssa nykyisin taattavaa suojaa;

23. huomauttaa, että tällainen kuluttajansuojaa ja yksityisyyden suojaa koskeva lainsäädäntö ei yksinään riitä korjaamaan unionin tuomioistuimen havaitsemia perusongelmia, jotka koskevat Yhdysvaltojen tiedustelupalvelujen harjoittamaa joukkovalvontaa ja oikeussuojakeinojen riittämätöntä saatavuutta; kannustaa Yhdysvaltojen lainsäätäjää muuttamaan FISA-lain 702 pykälää ja Yhdysvaltain presidenttiä muuttamaan toimeenpanoasetusta 12333 ja presidentin määräystä 28 erityisesti siltä osin kuin on kyse joukkovalvonnasta ja samantasoisen suojan myöntämisestä EU:n ja Yhdysvaltojen kansalaisille; kannustaa Yhdysvaltoja tarjoamaan mekanismeja, joilla varmistetaan, että henkilöt saavat (viivästyneitä) ilmoituksia ja voivat riitauttaa epäasianmukaisen valvonnan 702 pykälän ja asetuksen 12333 nojalla, ja ottamaan käyttöön laissa säädetyn mekanismin sen varmistamiseksi, että muilla kuin Yhdysvaltojen kansalaisilla on täytäntöönpanokelpoiset oikeudet, jotka ovat laajemmat kuin oikeussuojakeinoja koskevan Judicial Redress Act -lain tarjoamat oikeudet;

24. muistuttaa, että jäsenvaltiot jatkavat henkilötietojen vaihtoa Yhdysvaltojen kanssa terrorismin rahoituksen jäljittämisohjelman (TFTP) ja EU:n ja Yhdysvaltojen matkustajarekisteritietoja (PNR) koskevan sopimuksen kautta sekä vaihtamalla verotietoja automaattisesti Yhdysvaltojen ulkomaisia tilejä koskevaa verosäännösten noudattamislakia (FATCA) täytäntöön panevien hallitustenvälisten sopimusten kautta, mikä vaikuttaa haitallisesti ”sattumanvaraisiin yhdysvaltalaisiin”, kuten todetaan ulkomaisia tilejä koskevan Yhdysvaltojen verosäännösten noudattamislain (FATCA) kielteisistä vaikutuksista EU:n kansalaisiin ja erityisesti ”sattumanvaraisiin yhdysvaltalaisiin” 5. heinäkuuta 2018 annetussa parlamentin päätöslauselmassa[17]; muistuttaa, että Yhdysvalloilla on edelleen pääsy jäsenvaltioiden lainvalvontatietokantoihin, jotka sisältävät EU:n kansalaisten sormenjälkiä ja DNA‑tietoja; pyytää komissiota analysoimaan asioissa Schrems I ja II annettujen tuomioiden vaikutusta näihin tietojenvaihtoihin ja esittämään analyysinsä ja sen, miten se aikoo saattaa ne tuomioiden mukaisiksi, julkisesti ja kirjallisesti kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle 30. syyskuuta 2021 mennessä;

25. kehottaa myös komissiota analysoimaan tietoja mallisopimuslausekkeita käyttäen siirtävien FISA-lain 702 pykälän soveltamisalaan kuuluvien pilvipalvelujen tarjoajien tilannetta; kehottaa myös komissiota analysoimaan vaikutusta EU:n ja Yhdysvaltojen välisen tietosuojaa koskevan puitesopimuksen nojalla myönnettyihin oikeuksiin, kuten oikeuteen oikeudelliseen muutoksenhakuun, ottaen huomioon, että Yhdysvallat myöntää nimenomaisesti tämän oikeuden ainoastaan niiden nimettyjen maiden kansalaisille, jotka sallivat tietojen siirron Yhdysvaltoihin kaupallisia tarkoituksia varten; ei pidä hyväksyttävänä, että komissio ei ole vieläkään julkaissut havaintojaan tietosuojaa koskevan puitesopimuksen ensimmäisestä yhteisestä tarkastelusta, vaikka määräajasta on kulunut jo vuosi, ja kehottaa komissiota saattamaan sopimuksen tarvittaessa viipymättä unionin tuomioistuimen tuomioissa vahvistettujen vaatimusten mukaiseksi;

26. katsoo, että kun otetaan huomioon ilmeiset puutteet Yhdysvaltoihin siirrettävien unionin kansalaisten tietojen suojassa, on välttämätöntä tukea investointeja eurooppalaisiin tietojen tallennusvälineisiin (esimerkiksi pilvipalveluihin), jotta voidaan vähentää unionin riippuvuutta kolmansien maiden tarjoamasta tallennuskapasiteetista ja vahvistaa unionin strategista riippumattomuutta tiedonhallinnan ja tietosuojan alalla;

Tietosuojan riittävyyttä koskevat päätökset

27. kehottaa komissiota toteuttamaan kaikki tarvittavat toimenpiteet sen varmistamiseksi, että kaikki Yhdysvaltoja koskevat uudet päätökset tietosuojan riittävyydestä ovat täysin asetuksen (EU) 2016/679, EU:n perusoikeuskirjan ja unionin tuomioistuimen tuomion kaikkien näkökohtien mukaisia; muistuttaa, että tietosuojan riittävyyttä koskevat kehykset helpottavat merkittävästi erityisesti pk-yritysten ja startup-yritysten taloudellista toimintaa, sillä toisin kuin suurilla yrityksillä, niillä ei useinkaan ole käytössään taloudellisia, oikeudellisia ja teknisiä valmiuksia käyttää muita siirtovälineitä; kehottaa jäsenvaltioita tekemään Yhdysvaltojen kanssa vakoilemisen välttämiseen perustuvia sopimuksia; kehottaa komissiota hyödyntämään yhteyksiään vastapuoliinsa Yhdysvalloissa välittääkseen viestin siitä, että ellei Yhdysvallat muuta valvontaa koskevia lakejaan ja käytäntöjään, ainoa toteuttamiskelpoinen vaihtoehto tietosuojan riittävyyttä koskevien tulevien päätösten mahdollistamiseksi olisi vakoilemisen välttämiseen perustuvien sopimusten tekeminen jäsenvaltioiden kanssa;

28. katsoo, että tietosuojan riittävyyttä koskevien tulevien komission päätösten ei pitäisi perustua omaehtoisen sertifioinnin järjestelmään, johon sekä Safe Harbour -järjestely että Privacy Shield -järjestely perustuivat; kehottaa komissiota ottamaan Euroopan tietosuojaneuvoston kattavasti mukaan Yhdysvaltoihin liittyvien tietosuojan riittävyyttä koskevien uusien päätösten noudattamisen arviointiin ja täytäntöönpanon valvontaan; kehottaa komissiota sopimaan tähän liittyen Yhdysvaltojen hallinnon kanssa toimenpiteistä, jotka ovat tarpeen, jotta Euroopan tietosuojaneuvosto voi hoitaa tämän tehtävän tehokkaasti; odottaa komission antavan enemmän painoa Euroopan parlamentin kannalle kaikkiin Yhdysvaltoja koskeviin uusiin tietosuojan riittävyyttä koskeviin päätöksiin ennen tällaisen päätöksen tekemistä;

29. palauttaa mieliin, että komissio tarkastelee parhaillaan uudelleen kaikkia tietosuojan tason riittävyyttä koskevia päätöksiä, jotka on tehty direktiivin 95/46/EY nojalla; korostaa, että komission olisi sovellettava yleisessä tietosuoja-asetuksessa ja asioissa Schrems I ja II annetuissa unionin tuomioistuimen tuomioissa asetettuja tiukempia vaatimuksia arvioidessaan, taataanko tietosuojan taso, joka vastaa pääosiltaan yleisessä tietosuoja-asetuksessa säädettyä tasoa, myös siltä osin kuin on kyse tehokkaiden oikeussuojakeinojen saatavuudesta ja suojaamisesta kolmannen maan viranomaisten perusteettomalta pääsyltä henkilötietoihin; kehottaa komissiota viimeistelemään nämä tarkastelut kiireellisesti ja kumoamaan tai keskeyttämään kaikki yleistä tietosuoja‑asetusta edeltävät päätökset, jos se katsoo, että kyseinen kolmas maa ei tarjoa pääosiltaan samantasoista suojaa, ja jos tilannetta ei voida korjata;

30. katsoo, että nimittämällä kokeneen yksityisyyden suojan asiantuntijan Privacy Shield ‑järjestelyä seuraavasta sopimuksesta vastaavaksi pääneuvottelijaksi presidentti Bidenin hallinto osoitti olevansa sitoutunut löytämään ensi tilassa ratkaisun kaupallisten tietojen siirtoon EU:n ja Yhdysvaltojen välillä; odottaa komission ja sen yhdysvaltalaisten vastapuolten heti unionin tuomioistuimen antaman tuomion jälkeen aloittaman vuoropuhelun tehostuvan tulevina kuukausina;

31. kehottaa komissiota olemaan hyväksymättä uusia Yhdysvaltoja koskevia päätöksiä tietosuojan riittävyydestä, ellei tehdä erityisesti tiedonsaantia kansallista turvallisuutta tai tiedustelutarkoituksia varten koskevia merkittäviä uudistuksia, jotka voidaan saada aikaan Yhdysvaltojen lakien ja käytäntöjen selkeällä, oikeudellisesti kestävällä, täytäntöönpanokelpoisella ja syrjimättömällä uudistuksella; muistuttaa tältä osin viranomaisten henkilötietojen saantia koskevien tehokkaiden suojatoimien merkityksestä; kehottaa komissiota toteuttamaan geopoliittisia tavoitteitaan käytännössä, jotta varmistetaan, että Yhdysvalloissa ja muissa kolmansissa maissa toteutuu pääosiltaan vastaava tietosuoja kuin EU:ssa;

32. suosittelee, että kansalliset tietosuojaviranomaiset keskeyttävät sellaisten henkilötietojen siirron, joita Yhdysvaltojen viranomaiset voisivat käyttää, jos komissio tekisi Yhdysvaltoihin liittyviä tietosuojan riittävyyttä koskevia uusia päätöksiä ilman, että tällaisia merkityksellisiä uudistuksia on tehty;

33. panee tyytyväisenä merkille, että komissio noudattaa kriteerejä, jotka on vahvistettu (Euroopan tietosuojaneuvoston hyväksymissä) 29 artiklan mukaisen tietosuojatyöryhmän yleisen tietosuoja-asetuksen mukaisissa tietosuojan riittävyyden viitearvoissa[18] sekä rikosasioiden tietosuojadirektiivin mukaisista tietosuojan riittävyyden viitearvoista annetussa tietosuojaneuvoston suosituksessa 01/2021[19]; katsoo, että komission pitäisi noudattaa vähintään näitä kriteerejä arvioidessaan, täyttääkö kolmas maa tietosuojan riittävyyttä koskevan päätöksen vaatimukset; panee merkille, että Euroopan tietosuojaneuvosto on hiljattain päivittänyt suosituksiaan tiedustelua koskevista eurooppalaisista olennaisista takeista ottaen huomioon unionin tuomioistuimen oikeuskäytännön[20];

°

° °

34. kehottaa puhemiestä välittämään tämän päätöslauselman komissiolle, Eurooppa‑neuvostolle, Euroopan unionin neuvostolle, Euroopan tietosuojaneuvostolle, jäsenvaltioiden kansallisille parlamenteille, Amerikan yhdysvaltojen kongressille ja hallitukselle sekä Yhdistyneen kuningaskunnan parlamentille ja hallitukselle.