ПРЕДЛОЖЕНИЕ ЗА РЕЗОЛЮЦИЯ относно адекватното ниво на защита на личните данни от страна на Обединеното кралство

B9‑0272/2021

Резолюция на Европейския парламент относно адекватното ниво на защита на личните данни от страна на Обединеното кралство

(2021/2594(RSP))

Европейският парламент,

– като взе предвид Хартата на основните права на Европейския съюз („Хартата“), и по-специално членове 7, 8, 47 и 52 от нея,

– като взе предвид решението на Съда на Европейския съюз от 16 юли 2020 г. по дело C-311/18, Data Protection Commissioner/Facebook Ireland Limited и Maximillian Schrems (решение Schrems II)[1];

– като взе предвид решението на Съда на ЕС от 6 октомври 2015 г. по дело C - 362/14, Maximillian Schrems/Data Protection Commissioner (решение Schrems I)[2],

– като взе предвид решението на Съда на Европейския съюз от 6 октомври 2020 г. по дело C-623/17, Privacy International/Secretary of State for Foreign and Commonwealth Affairs и др.[3];

– като взе предвид своята резолюция от 12 март 2014 г. относно програмата за наблюдение на Агенцията за национална сигурност на САЩ, органите за наблюдение в различните държави членки и тяхното отражение върху основните права на гражданите на ЕС и върху трансатлантическото сътрудничество в областта на правосъдието и вътрешните работи[4],

– като взе предвид своята резолюция от 5 юли 2018 г. относно адекватността на защитата, осигурявана от Щита за личните данни в отношенията между ЕС и САЩ[5],

– като взе предвид резолюцията на Европейския парламент от 25 октомври 2018 г. относно използването на данните на ползвателите на „Фейсбук“ от „Кеймбридж Аналитика“ и въздействието върху защитата на личните данни[6],

– като взе предвид своята резолюция от XX май 2021 г. относно решението на Съда на ЕС от 16 юли 2020 г. – Data Protection Commissioner срещу Facebook Ireland Limited, Maximilian Schrems[7];

– като взе предвид своята резолюция от 26 ноември 2020 г. относно прегледа на търговската политика на ЕС[8],

– като взе предвид Споразумението от 31 декември 2020 г. за търговия и сътрудничество между Европейския съюз и Европейската общност за атомна енергия, от една страна, и Обединеното кралство Великобритания и Северна Ирландия, от друга страна[9],

– като взе предвид своята резолюция от 28 април 2021 г. относно резултата от преговорите между Европейския съюз и Обединеното кралство[10],

– като взе предвид Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (Общ регламент относно защитата на данните – ОРЗД)[11],

– като взе предвид Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни (Директива относно правоприлагането в областта на защитата на данните)[12],

– като взе предвид Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации[13],

– като взе предвид предложението на Комисията от 10 януари 2017 г. за регламент на Европейския парламент и на Съвета относно зачитането на личния живот и защитата на личните данни в електронните съобщения COM(2017)0010) и позицията на Европейския парламент по него, приета на 20 октомври 2017 г.[14],

– като взе предвид препоръките на Европейския комитет по защита на данните (ЕКЗД), включително изявлението му от 9 март 2021 г. относно Регламента за неприкосновеността на личния живот и електронните съобщения и неговите препоръки 01/2020 от 10 ноември 2020 г. относно мерки, които допълват инструментите за трансфер, за да се гарантира съответствие с равнището на ЕС на защита на личните данни,

– като взе предвид референтния документ за адекватното ниво на защита, приет от Работната група за защита на личните данни по член 29 на 6 февруари 2018 г. и одобрен от ЕКЗД,

– като взе предвид Препоръка 1/2021 на ЕКЗД от 2 февруари 2021 г. относно референтния документ за адекватното ниво на защита съгласно Директивата относно правоприлагането в областта на защитата на данните,

– като взе предвид проектите на решения относно адекватността на нивото на защита, публикувани от Комисията на 19 февруари 2021 г., едното съгласно Общия регламент относно защитата на данните[15], а другото съгласно Директивата относно правоприлагането в областта на защитата на данните[16],

– като взе предвид Становища 14/2021 и 15/2021 на ЕКЗД от 13 април 2021 г. относно проекта на решение за изпълнение на Европейската комисия съгласно Директива (ЕС) 2016/680 относно адекватното ниво на защита на личните данни в Обединеното кралство,

– като взе предвид Европейската конвенция за правата на човека (ЕКПЧ) и Конвенцията за защита на лицата при автоматизираната обработка на лични данни, по които Обединеното кралство е страна,

– като взе предвид Регламент (ЕС) № 182/2011 на Европейския парламент и на Съвета от 16 февруари 2011 г. за установяване на общите правила и принципи относно реда и условията за контрол от страна на държавите членки върху упражняването на изпълнителните правомощия от страна на Комисията;

– като взе предвид член 132, параграф 2 от своя Правилник за дейността,

– като взе предвид предложението за резолюция на комисията по граждански свободи, правосъдие и вътрешни работи,

А. като има предвид, че възможността за трансгранично предаване на лични данни има потенциала да бъде основен двигател на иновациите, производителността и икономическата конкурентоспособност;

Б. като има предвид, че в решението си по делото Schrems I Съдът на ЕС посочи, че несистематизираният достъп на разузнавателните органи до съдържанието на електронните съобщения нарушава същността на правото на поверителност на съобщенията, предвидено от член 7 от Хартата и че Съединените щати не предоставят достатъчно правни средства за защита срещу масово наблюдение на лица, които не са граждани на САЩ, в нарушение на член 47 от Хартата;

В. като има предвид, че оценката, извършена от Комисията преди тя да представи своя проект на решение за изпълнение, беше непълна и не беше в съответствие с изискванията на Съда на ЕС за оценките на адекватността на нивото на защита, което беше подчертано от ЕКЗД в неговите становища относно адекватното ниво на защита, в които той съветва Комисията да извърши допълнителна оценка на конкретни аспекти от законодателството и практиката на Обединеното кралство относно събирането на масиви от данни, разкриването в чужбина и международните споразумения в областта на споделянето на разузнавателна информация, допълнителното използване на информацията, събрана за целите на правоприлагането, и независимостта на съдебните служители;

Г. като има предвид, че някои аспекти на правото и/или практиката на Обединеното кралство не са били разгледани от Комисията, което води до проекти на решения за изпълнение, които не са в съответствие с правото на ЕС; като има предвид, че член 45 от ОРЗД гласи, че „при оценяване на адекватността на нивото на защита Комисията отчита по-специално ... съответното законодателство — както общо, така и секторно, включително в областта на обществената сигурност, отбраната, националната сигурност и наказателното право и достъпа на публичните органи до лични данни, а също и прилагането на такова законодателство, правилата за защита на данните, професионалните правила и мерките за сигурност, включително правилата за последващо предаване на лични данни на друга трета държава или международна организация, които се спазват в тази държава или международна организация, съдебната практика“, и че „международните ангажименти, които съответната трета държава или международна организация е поела, или други задължения, произтичащи от правно обвързващи конвенции или инструменти, както и от участието ѝ в многостранни или регионални системи, по-конкретно по отношение на защитата на личните данни“, което включва международни споразумения в други области, включващи въпроси на достъпа до данни или споделянето на информация, и следователно изисква оценка на тези международни споразумения;

Д. като има предвид, че Съдът на ЕС ясно заяви в решението си по делото Schrems I, че „при анализа на предоставяната от трета страна степен на защита Комисията трябва да прецени съдържанието на приложимите в тази страна правила, произтичащи от вътрешното законодателство или от международните споразумения на страната, както и практиката с цел спазване на тези правила, като в съответствие с член 25, параграф 2 от Директива 95/46 тази институция трябва да вземе предвид всички обстоятелства, свързани с операцията по прехвърляне на лични данни към трета страна“ (точка 75);

Е. като има предвид, че дейностите на разузнавателните служби и обмена с трети държави са изключени по силата на Договорите от обхвата на правото на ЕС, и когато става въпрос за държави членки, тъй като те са обхванати от задължителната оценка на адекватността на нивото на защита на лични данни, предлагани от трети държави, както беше потвърдено от Съда на ЕС в решенията Schrems I и II;

Ж. като има предвид, че стандартите за защита на данните се основават не само на действащото законодателство, но и на прилагането на тези закони на практика, и като има предвид, че при изготвянето на своето решение Комисията оценява единствено законодателството, но не и реалното му прилагане на практика;

I. ОБЩ РЕГЛАМЕНТ ОТНОСНО ЗАЩИТАТА НА ДАННИТЕ

Общи забележки

1. отбелязва, че Обединеното кралство е страна по ЕКПЧ и Конвенцията на Съвета на Европа за защита на лицата при автоматизираната обработка на лични данни; очаква Обединеното кралство да гарантира идентична минимална рамка за защита на данните, въпреки оттеглянето си от Европейския съюз;

2. приветства ангажимента на Обединеното кралство да зачита демокрацията и принципите на правовата държава и да защитава и прилага във вътрешното си право основните права, като установените в ЕКПЧ, включително високите равнища на защита на данните; припомня, че това е необходимо предварително условие за сътрудничеството на ЕС с Обединеното кралство; припомня, че въпреки че член 8 от ЕКПЧ относно правото на неприкосновеност на личния живот е транспонирано във вътрешното право на Обединеното кралство чрез Закона за правата на човека от 1998 г. и в общото право чрез предвиждането за извъндоговорна отговорност при злоупотреба с информация относно неприкосновеността на личния живот, усилията за въвеждане на основно право на защита на данните бяха отхвърлени от правителството;

3. посочва, че ЕС е избрал ориентиран към правата на човека подход при управлението на данните, като е разработил строги правила за защита на данните в съответствие с ОРЗД, и поради това изразява дълбока загриженост относно публичните изявления на министър-председателя на Обединеното кралство, който заяви, че Обединеното кралство ще се стреми да се отклони от правилата на ЕС за защита на данните и да установи свой собствен „суверенен“ контрол в тази област; счита, че националната стратегия на Обединеното кралство за данните от 2020 г. представлява преход от защита на личните данни към по-широко използване и споделяне на данни, което е несъвместимо с принципите на справедливост, свеждане на данните до минимум и ограничаване в рамките на целта съгласно ОРЗД; отбелязва, че в своите становища относно адекватното ниво на защита ЕКЗД подчерта, че това може да доведе до възможни рискове във връзка със защитата на личните данни, предавани от ЕС;

4. посочва, че валидните решения относно адекватното ниво на защита допринасят значително за защитата на основните права на физическите лица и за правната сигурност за дружествата; подчертава обаче, че решенията относно адекватното ниво на защита, основани на непълни оценки и без правилно прилагане от страна на Комисията, могат да имат обратен ефект, ако бъдат оспорени в съд;

5. изтъква, че оценката, извършена от Комисията преди тя да представи своя проект на решение за изпълнение, беше непълна и не беше в съответствие с изискванията на Съда на ЕС за оценките на адекватността на нивото на защита, което беше подчертано от ЕКЗД в неговите становища относно адекватното ниво на защита, в които той съветва Комисията да извърши допълнителна оценка на конкретни аспекти от законодателството и практиката на Обединеното кралство относно събирането на масиви от данни, разкриването в чужбина и международните споразумения в областта на споделянето на разузнавателна информация, допълнителното използване на информацията, събрана за целите на правоприлагането, и независимостта на съдебните служители;

Изпълнение на ОРЗД

6. изразява загрижеността си относно недостатъците, а често и липса на прилагане на ОРЗД от страна на Обединеното кралство, когато страната все още беше членка на ЕС; посочва по-конкретно липсата на правилно прилагане от страна на Службата на комисаря по информацията на Обединеното кралство (ICO) в миналото; посочва примера на ICO, който приключи жалба относно рекламни технологии, след като проведе две срещи със заинтересовани лица, изготви доклад („Актуализиран доклад относно рекламните технологии“) и заяви, че „е налице впечатление, че индустрията в областта на рекламните технологии проявява незрялост в своето разбиране на изискванията за защита на данните“, но без да използва нито едно от своите правомощия за правоприлагане[17]; изразява загриженост, че неприлагането е структурен проблем, както е посочено в политиката на ICO в областта на регулаторните дейности, в която изрично се посочва, че „в повечето случаи ще запазим правомощията си за най-сериозните случаи, представляващи най-тежките нарушения на задълженията, свързани с правата на информация. Те обикновено включват съзнателни, умишлени или небрежни действия, или повтарящи се нарушения на задълженията във връзка с правата на информация, причиняващи вреди на физически лица“; подчертава, че на практика това означава, че вследствие на това голям брой нарушения на законодателството за защита на данните в ОК не са били отстранени;

7. отбелязва националната стратегия за данните на Обединеното кралство, актуализирана на 9 декември 2020 г., в която се предлага да се осъществи преход от защита на личните данни към по-широко използване и споделяне на данни; посочва, че позицията, според която „задържането на данни може да окаже отрицателно въздействие върху обществото“, както е посочено в стратегията, не е съвместима с принципите на свеждане на данните до минимум и на ограничаване в рамките на целта съгласно ОРЗД и първичното право;

8. отбелязва, че комисията по конституционни въпроси през 2004 г.[18] и комисията по публични въпроси на парламента на Обединеното кралство през 2014 г. [19]препоръчаха да се гарантира независимостта на комисаря чрез назначаването му като служител на Парламента, който да докладва пред Парламента, вместо да продължи да бъде назначаван от министъра на цифровите медии и спорта; изразява съжаление, че не са предприети последващи действия във връзка с посочената препоръка;

Обработване на данни за целите на имиграционния контрол

9. изразява загриженост, че имиграционните служби в Обединеното кралство използват система, която извършва мащабна обработка на данни с цел вземане на решения относно правото на хората да останат в страната; отбелязва, че правото на Обединеното кралство в областта на защитата на данните допуска разширителна дерогация от аспекти на основните права и принципи за защита на данните, като правото на достъп и правото на субекта на данни да знае с кого са били споделени неговите данни, ако тази защита би „застрашила ефективния имиграционен контрол“[20]; изтъква, че посоченото изключение е достъпно за всички администратори на данни в Обединеното кралство, включително за местните органи на власт, доставчиците на здравни услуги и частните изпълнители, участващи в имиграционната система; изразява загриженост относно наскоро разкритата информация, че отнасящото се до имиграцията изключение е било използвано при над 70% от исканията на субектите на данни до Министерството на вътрешните работи през 2020 г.[21]; подчертава, че мониторингът и преценката за съответствие на използването на изключението трябва да се извършват въз основа на стандартите, установени в референтните критерии за адекватното ниво на защита, които изискват съобразяване с практиката и принципа, като в тях се посочва, че „е необходимо да се вземе предвид не само съдържанието на правилата, приложими за личните данни, предавани на трета държава ..., но и системата, която е въведена, за да се гарантира ефективността на тези правила“; подчертава, че тази дерогация не беше в съответствие с ОРЗД, когато Обединеното кралство все още беше държава членка, и беше игнорирана от Комисията в ролята ѝ на пазител на Договорите; подчертава, че в становищата си ЕКЗД стигна до заключението, че са необходими допълнителни разяснения относно прилагането на изключението в областта на имиграцията;

10. отбелязва, че посоченото изключение понастоящем се прилага за граждани на ЕС, които пребивават или планират да пребивават в Обединеното кралство; изразява силна загриженост, че изключението премахва ключови възможности за отчетност и средства за правна защита и подчертава, че по този начин не се осигурява адекватно ниво на защита;

11. отново изразява сериозната си загриженост относно изключението за правата на субектите на данни в имиграционната политика на Обединеното кралство; отново заявява своята позиция, че изключението за обработването на лични данни за имиграционни цели съгласно Закона за защита на данните на Обединеното кралство трябва да бъде изменено, преди да може да бъде предоставено валидно решение относно адекватното ниво на защита, както многократно е посочил, включително в своята резолюция от 12 февруари 2020 г. относно предложения мандат за преговори за ново партньорство с Обединеното кралство Великобритания и Северна Ирландия[22] и в становището на комисията по граждански свободи, правосъдие и вътрешни работи от 5 февруари 2021 г.[23]; призовава Комисията да се стреми към премахване на изключенията във връзка с имиграцията или да гарантира, че те се реформират така, че изключенията и тяхното използване предоставят достатъчни гаранции на субектите на данни и не нарушават стандартите, очаквани от дадена трета държава;

Масово наблюдение

12. припомня разкритията за масово наблюдение от страна на САЩ и Обединеното кралство, разкрити от сигнализиралия за нередностите Едуард Сноудън; припомня, че програмата „Темпора“ на Обединеното кралство, ръководена от правителствената служба за комуникации (GCHQ), засича комуникации в реално време чрез оптически интернет кабели и записва данните, така че те да могат да бъдат обработвани и търсени на по-късен етап; припомня, че това масово наблюдение на съдържанието и метаданните на съобщенията се извършва без значение на това дали съществуват някакви конкретни подозрения или целеви данни;

13. припомня, че в решенията по дела Schrems I и Schrems II, Съдът на ЕС постанови, че масовият достъп до съдържанието на личните съобщения засяга същността на правото на неприкосновеност на личния живот и че в такива случаи проверката за необходимост и пропорционалност вече не е необходима; подчертава, че тези принципи се прилагат за предаването на данни към трети държави, различни от САЩ, включително Обединеното кралство;

14. припомня своята резолюция от 12 март 2014 г. в която се констатира, че несистематизираните и неосновани на конкретни подозрения програми за масово наблюдение, осъществявани от разузнавателната агенция GCHQ на Обединеното кралство, са несъвместими с принципите на необходимост и пропорционалност в едно демократично общество и не са адекватни съгласно правото на ЕС за защита на данните;

15. припомня, че през септември 2018 г. Европейският съд по правата на човека потвърди, че програмите на Обединеното кралство за масово прихващане и съхраняване на данни, включително „Темпора“, са „незаконни и несъвместими с условията, необходими за едно демократично общество“[24];

16. счита за неприемливо, че проектите на решения относно адекватното ниво на защита не отчитат липсата на ограничения върху използването на правомощията на Обединеното кралство по отношение на масивите от данни или действителното използване на операциите за наблюдение между Обединеното кралство и САЩ, за които съобщава Едуард Сноудън, включително факта, че:

а) липсва ефективен контрол по същество от страна на ICO или съдилищата върху използването на изключението, свързано с националната сигурност, в законодателството на Обединеното кралство в областта на защитата на данните;

б) ограниченията по отношение на използването на „правомощията по отношение на масивите от данни“ на Обединеното кралство не са определени в самия закон, както се изисква от Съда на ЕС (а по-скоро са оставени на изпълнителната власт при „надлежен“ съдебен контрол);

в) описанието на „вторичните данни“ (метаданни) в проекторешенията е сериозно подвеждащо и не успява да отбележи, че тези данни могат да бъдат много разкриващи и инвазивни и подлежат на сложни автоматизирани анализи (както е установено от Съда на ЕС в решение Digital Rights Ireland)[25], но съгласно правото на Обединеното кралство метаданните не са добре защитени срещу неправомерен достъп, събиране на масиви от данни и анализ въз основа на ИИ от страна на разузнавателните агенции на Обединеното кралство;

г) агенциите Five Eyes, по-конкретно GCHQ и Агенцията за национална сигурност (NSA) на практика споделят всички разузнавателни данни;

посочва освен това, че по отношение на САЩ гражданите на Обединеното кралство са обект на някои неофициални гаранции между GCHQ и NSA; изразява дълбока загриженост, че тези гаранции няма да защитят гражданите на ЕС или пребиваващите в ЕС лица, чиито данни могат да бъдат предмет на последващо предаване и споделяне с Агенцията за национална сигурност;

17. призовава държавите членки да сключат споразумения за забрана на шпионаж с Обединеното кралство и призовава Комисията да използва своя обмен с партньорите си от Обединеното кралство, за да предаде посланието, че ако законите и практиката на Обединеното кралство в областта на наблюдението не бъдат изменени, единственият възможен вариант за улесняване на решенията относно адекватното ниво на защита би било сключването на споразумения за забрана на шпионаж с държавите членки;

По-нататъшни предавания

18. решително подчертава факта, че Законът за (оттеглянето) от Европейския съюз от 2018 г. предвижда, че съдебната практика на Съда на ЕС, датираща отпреди края на преходния период, ще се превърне в „запазено право на ЕС“ и следователно ще бъде правно обвързваща за Обединеното кралство; посочва, че Обединеното кралство е обвързано от принципите и условията, определени в решението по делото Schrems I и Schrems II на Съда на ЕС при оценката на адекватността на нивото на защита на други трети държави; изразява загриженост, че въпреки това съдилищата на Обединеното кралство повече няма да прилагат Хартата; посочва, че Обединеното кралство вече не е под юрисдикцията на Съда на ЕС, който е най-висшата инстанция с правомощия да тълкува Хартата;

19. посочва, че правилата на Обединеното кралство относно споделянето на лични данни съгласно Закона за цифровата икономика от 2017 г. и относно последващото предаване на данни от научни изследвания очевидно не са „равностойни по същество“ на правилата, определени в ОРЗД, съгласно тълкуването им от Съда на ЕС;

20. изразява загриженост, че Обединеното кралство си е предоставило правото да декларира, че други трети държави или територии предоставят адекватна защита на данните, независимо дали от съответната трета държава или територия се изисква да предоставя такава защита от ЕС; припомня, че Обединеното кралство вече заяви, че Гибралтар предоставя такава защита, въпреки че ЕС не е направил това; изразява силна загриженост, че следователно решението за адекватно ниво на защита на Обединеното кралство би довел до заобикаляне на правилата на ЕС относно предаването на данни към държави или територии, чието ниво на защита не се счита за адекватно съгласно правото на ЕС;

21. отбелязва, че на 1 февруари 2021 г. Обединеното кралство изпрати искане да се присъедини към всеобхватното и прогресивно Транстихоокеанско партньорство (CPTTP), по-специално „да се възползва от съвременните правила за цифрова търговия, които позволяват свободно движение на данни между членовете, премахване на ненужните пречки пред предприятията [и т.н.]“; отбелязва със загриженост, че CPTTP членуват 11 държави, като за осем от тях няма решение относно адекватното ниво на защита от страна на ЕС; изразява силна загриженост относно потенциалното последващо предаване на лични данни от граждани на ЕС и пребиваващи в ЕС лица към тези държави, ако на Обединеното кралство бъде предоставено решение относно адекватното ниво на защита[26];

22. изразява съжаление, че Комисията не е оценила въздействието и потенциалните рискове от Споразумението между Обединеното кралство Великобритания и Северна Ирландия и Япония за всеобхватно икономическо партньорство, което включва разпоредби относно личните данни и относно равнището на защита на данните;

23. изразява загриженост, че ако Обединеното кралство включи разпоредби относно предаването на данни в бъдещи търговски споразумения, наред с другото, в търговските споразумения между САЩ и Обединеното кралство, нивото на защита, предлагано от ОРЗД, ще бъде застрашено;

II. Директива относно правоприлагането в областта на защитата на данните

24. подчертава, че Обединеното кралство е първата държава, за която Комисията предложи да се приеме решение относно адекватното ниво на защита съгласно Директива (ЕС) 2016/680;

25. отбелязва споразумението на Обединеното кралство със САЩ[27] за трансграничен достъп до данни съгласно Закона CLOUD на САЩ, което улеснява предаването на данни за целите на правоприлагането; изразява дълбока загриженост, че това ще позволи неправомерен достъп на органите на САЩ до личните данни на гражданите на ЕС и на пребиваващите в ЕС лица; споделя опасенията на ЕКЗД, че гаранциите, предвидени в Рамковото споразумение между ЕС и САЩ[28], прилагани mutatis mutandis, могат да не отговарят на критериите за ясни, точни и достъпни правила по отношение на достъпа до лични данни или да не установят достатъчни гаранции, така че те да бъдат ефективни и да подлежат на изпълнение съгласно правото на Обединеното кралство.

26. позовава се на факта, че решение C-623/17 на Съда на ЕС трябва да се тълкува в смисъл, че не допуска национално законодателство, което позволява на държавен орган да изисква от доставчиците на електронни съобщителни услуги да извършват общо и несистематизирано предаване на данни за трафик и данни за местонахождението на държавните служби за сигурност и разузнаване с цел опазване на националната сигурност;

27. отбелязва, че в този случай Съдът на ЕС постанови, че събирането на масиви от данни, извършено в Обединеното кралство съгласно Закона за регулиране на правомощията за разследване от 2000 г., е незаконно; посочва, че впоследствие регламентът беше заменен със Закона за правомощията за разследване (ИПП 2016), за да се укрепят принципите на необходимост и пропорционалност; подчертава, че ИПП за 2016 обвързва прихващането на данни със задължението за съдебен контрол и дава възможност на лицата да имат достъп до своите данни и да подават жалби пред съда с правомощия за разследване; изразява обаче съжаление във връзка с факта, че ИПП за 2016 г. продължава да дава възможност за съхраняване на масиви от данни;

28. изразява загриженост във връзка с неотдавнашните доклади, че схемата за събиране и съхраняване на масиви от данни е част от изпитване на Министерството на вътрешните работи на Обединеното кралство, проведено в рамките на ИПП за 2016 г.;

29. припомня, че в своята резолюция от 12 февруари 2020 г. Европейският парламент подчертава, че „Обединеното кралство не може да има пряк достъп до данните в информационните системи на ЕС, нито да участва в управленските структури на агенциите на ЕС в областта на свободата, сигурността и правосъдието, като обменът на информация, включително лични данни, с Обединеното кралство следва да бъде предмет на строги предпазни мерки, одит и условия за надзор, включително равнище на защита на личните данни, еквивалентно на осигуряваното от правото на ЕС“; изразява загриженост относно недостатъците и нарушенията, установени в начина, по който Обединеното кралство е прилагало законодателството за защита на данните, докато все още е била държава членка на ЕС; припомня, че Обединеното кралство регистрира и поддържа незаконно копие на Шенгенската информационна система; посочва, че макар Обединеното кралство вече да няма достъп до Шенгенската информационна система, тези нарушения показаха, че и по времето, когато беше държава членка, на органите на Обединеното кралство не е можело да се има доверие за данните на гражданите на ЕС; поради това изразява съжаление, че Комисията не е изпълнила задачата си като пазител на Договорите, като не е оказала достатъчно натиск върху Обединеното кралство да разреши спешно тези проблеми по подходящ и навременен начин и да докаже, че на него може да бъде поверено обработването на лични данни за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции; поради това изразява загриженост относно обмена на данни с правоприлагащите агенции на Обединеното кралство и относно запазването на достъпа на Обединеното кралство до базите данни на ЕС в областта на правоприлагането;

30. изразява загриженост във връзка с разкритията от януари 2021 г., че 400 000 досиета за съдимост са били случайно заличени от националния компютър на полицията на Обединеното кралство; подчертава, че това не вдъхва доверие в усилията на Обединеното кралство за защита на данните за целите на правоприлагането;

31. отбелязва, че проектът на решение относно адекватното ниво на защита не отчита действителните практики на Обединеното кралство за наблюдение и отразява неточно и ограничено разбиране на видовете предаване на данни, които попадат в обхвата на правомощията на Обединеното кралство за съхраняване на данни и законно прихващане;

32. изтъква, че Споразумението за търговия и сътрудничество (СТС) между ЕС и Обединеното кралство включва глави относно обмена на ДНК данни, дактилоскопични отпечатъци и данни за регистрацията на превозни средства, предаване и обработване на резервационни данни на пътниците (PNR), сътрудничество в областта на оперативната информация и сътрудничество с Европол и Евроюст, които ще се прилагат независимо от решението относно адекватното ниво на защита; припомня обаче опасенията, изразени в становището на комисията по граждански свободи, правосъдие и вътрешни работи от февруари 2021 г. относно Споразумението за партньорство и сътрудничество във връзка със специалното използване и по-дългото съхранение на лични данни, предоставени на Обединеното кралство съгласно разпоредбите на Споразумението за партньорство и сътрудничество относно Прюм и PNR данните, които не са в съответствие с използването и съхраняването от страна на държавите членки; припомня правото да се сезира Съда на ЕС с цел проверка на законосъобразността на планираното международно споразумение, и по-специално неговата съвместимост със защитата на основно право[29];

Заключения

33. призовава Комисията да гарантира на предприятията от ЕС, че решението относно адекватното ниво на защита ще осигури солидно, достатъчно и ориентирано към бъдещето правно основание за предаване на данни; подчертава, че е важно да се гарантира, че това решение относно адекватното ниво на защита ще се счита за приемливо, ако бъде преразгледано от Съда на ЕС, и подчертава, че поради това всички препоръки, отправени в становището на ЕКЗД, следва да бъдат взети предвид;

34. счита, че с приемането на двете решения за изпълнение, които не са в съответствие с правото на ЕС, без да е предоставила отговор на всички опасения, изразени в настоящата резолюция, Комисията надхвърля изпълнителните правомощия, предоставени с Регламент (ЕС) 2016/679 и Директива (ЕС) 2016/680; следователно възразява срещу двата акта за изпълнение предвид факта, че проектите на решения за изпълнение не съответства на правото на ЕС;

35. призовава Комисията да измени двата проекта на решения за изпълнение на Комисията, за да ги приведе в пълно съответствие с правото и съдебната практика на ЕС;

36. изисква от националните органи за защита на данните да преустановят предаването на лични данни, които могат да бъдат предмет на безразборен достъп от страна на разузнавателните органи на Обединеното кралство, ако Комисията приеме своите решения относно адекватното ниво на защита на данните по отношение на Обединеното кралство, преди то да разреши горепосочените проблеми;

37. призовава Комисията и компетентните органи на Обединеното кралство да изготвят план за действие с цел възможно най-бързо преодоляване на недостатъците, установени в становищата на ЕКЗД, и други неразрешени въпроси в областта на защитата на данните в Обединеното кралство, което трябва да бъде предварително условие за окончателното решение относно адекватното ниво на защита;

38. призовава Комисията да продължи да наблюдава отблизо равнището на защита на данните, както и законите и практиките относно масовото наблюдение, в Обединеното кралство; посочва, че в глава V от ОРЗД съществуват други правни възможности за предаване на лични данни на Обединеното кралство; припомня, че в съответствие с насоките на ЕКЗД предаването на данни, основаващо се на дерогации за конкретни ситуации съгласно член 49 от ОРЗД, трябва да бъде по изключение;

39. изразява съжаление, че Комисията пренебрегна призивите на Парламента за суспендиране на Щита за личните данни, докато органите на САЩ не спазят неговите условия, а вместо това винаги е предпочитала да „следи положението“ без конкретни резултати по отношение на защитата на данните за физически лица и правната сигурност за предприятията; настоятелно призовава Комисията да се поучи от предишните си неуспехи и да се вслушва в призивите на Парламента и експертите по отношение на сключването и мониторинга на предишни решения относно адекватното ниво на защита и да не оставя на Съда на ЕС да прилага правилно правото на ЕС в областта на защитата на данните в отговор на жалби от отделни лица;

40. призовава Комисията да следи отблизо законите и практиката в областта на защитата на личните данни в Обединеното кралство, да информира и да се консултира незабавно с Парламента относно всякакви бъдещи промени в режима на Обединеното кралство за защита на данните, и да предостави на Парламента контролна роля в новата институционална рамка, включително за съответните органи, като например Специализирания комитет по правоприлагане и съдебно сътрудничество;

°

° °

41. възлага на своя председател да предаде настоящата резолюция на Комисията, на държавите членки и на правителството на Обединеното кралство.