PRIJEDLOG REZOLUCIJE o primjerenosti zaštite osobnih podataka u Ujedinjenoj Kraljevini

B9‑0272/2021

Rezolucija Europskog parlamenta o primjerenosti zaštite osobnih podataka u Ujedinjenoj Kraljevini

(2021/2594(RSP))

Europski parlament,

– uzimajući u obzir Povelju Europske unije o temeljnim pravima (Povelja), a posebno njezine članke 7., 8., 47. i 52.,

– uzimajući u obzir presudu Suda Europske unije od 16. srpnja 2020. u predmetu C-311/18, Data Protection Commissioner protiv Facebook Ireland Limited i Maximillian Schrems (presuda Schrems II)[1],

– uzimajući u obzir presudu Suda Europske unije od 6. listopada 2015. u predmetu C-362/14 Maximillian Schrems protiv Data Protection Commissioner (presuda Schrems I)[2],

– uzimajući u obzir presudu Suda Europske unije od 6. listopada 2020. u predmetu C-623/17, Privacy International protiv Secretary of State for Foreign and Commonwealth Affairs[3],

– uzimajući u obzir svoju Rezoluciju od 12. ožujka 2014. o programu nadzora Agencije za nacionalnu sigurnost SAD-a (NSA), nadzornim tijelima u različitim državama članicama i njihovu utjecaju na temeljna prava građana EU-a te o transatlantskoj suradnji u pravosuđu i unutarnjim poslovima[4],

– uzimajući u obzir Rezoluciju od 5. srpnja 2018. o primjerenosti zaštite u okviru europsko-američkog sustava zaštite privatnosti[5],

– uzimajući u obzir svoju Rezoluciju od 25. listopada 2018. o korištenju podataka korisnika Facebooka od strane poduzeća Cambridge Analytica i učinku na zaštitu podataka[6],

– uzimajući u svoju Rezoluciju od XX. svibnja 2021. o presudi Suda Europske unije od 16. srpnja 2020. Data Protection Commissioner protiv Facebook Ireland Limited, Maximillian Schrems[7],

– uzimajući u obzir svoju Rezoluciju od 26. studenog 2020. o reviziji trgovinske politike EU-a[8],

– uzimajući u obzir Sporazum o trgovini i suradnji od 31. prosinca 2020. između Europske unije i Europske zajednice za atomsku energiju, s jedne strane, i Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske, s druge strane[9],

– uzimajući u obzir svoju Rezoluciju od 28. travnja 2021. o ishodu pregovora između EU-a i Ujedinjene Kraljevine[10],

– uzimajući u obzir Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka – GDPR)[11],

– uzimajući u obzir Direktivu (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (Direktiva o zaštiti podataka pri izvršavanju zakonodavstva)[12],

– uzimajući u obzir Direktivu 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija[13],

– uzimajući u obzir Komisijin Prijedlog uredbe od 10. siječnja 2017. Europskog parlamenta i Vijeća o poštovanju privatnog života i zaštiti osobnih podataka u elektroničkim komunikacijama (COM(2017)0010) te stajalište Europskog parlamenta doneseno 20. listopada 2017.[14],

– uzimajući u obzir preporuke Europskog odbora za zaštitu podataka, uključujući njegovu izjavu od 9. ožujka 2021. o Uredbi o e-privatnosti i njegove Preporuke 01/2020 od 10. studenoga 2020. o mjerama kojima se dopunjuju alati za prijenos podataka kako bi se osigurala usklađenost s razinom zaštite osobnih podataka u EU-u,

– uzimajući u obzir referentni dokument o primjerenosti koji je 6. veljače 2018. donijela Radna skupina za zaštitu podataka iz članka 29., a odobrio Europski odbor za zaštitu podataka,

– uzimajući u obzir Preporuke 01/2021 Europskog odbora za zaštitu podataka od 2. veljače 2021. o referentnom dokumentu o primjerenosti prema Direktivi o zaštiti pojedinaca u vezi s obradom osobnih podataka,

– uzimajući u obzir nacrte odluka o primjerenosti koje je objavila Komisija 19. veljače 2021., jednu na temelju Opće uredbe o zaštiti podataka[15] a drugu na temelju Direktive o zaštiti pojedinaca u vezi s obradom osobnih podataka[16],

– uzimajući u obzir mišljenja 14/2021 i 15/2021 Europskog odbora za zaštitu podataka (EDPB) od 13. travnja 2021. o Nacrtu provedbene odluke Europske komisije u skladu s Direktivom (EU) 2016/680 o primjerenosti zaštite osobnih podataka u Ujedinjenoj Kraljevini,

– uzimajući u obzir Europsku konvenciju o ljudskim pravima (EKLJP) i Konvenciju za zaštitu osoba glede automatizirane obrade osobnih podataka, čija je stranka Ujedinjena Kraljevina,

– uzimajući u obzir Uredbu (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije,

– uzimajući u obzir članak 132. stavak 2. Poslovnika,

– uzimajući u obzir Prijedlog rezolucije Odbora za građanske slobode, pravosuđe i unutarnje poslove,

A. budući da mogućnost prekograničnog prijenosa osobnih podataka može postati ključni pokretač inovacija, produktivnosti i gospodarske konkurentnosti;

B. budući da je Sud EU-a u presudi Schrems I istaknuo da se neselektivnim pristupom obavještajnih tijela sadržaju elektroničkih komunikacija povređuje suština prava na povjerljivost komunikacija kako je predviđeno člankom 7. Povelje i da Sjedinjene Američke Države osobama koje nisu državljani SAD-a ne pružaju dovoljno pravnih sredstava protiv masovnog nadziranja, što je protivno članku 47. Povelje;

C. budući da je procjena koju je Komisija provela prije predstavljanja nacrta provedbene odluke bila nepotpuna i neusklađena sa zahtjevima Suda Europske unije za procjene primjerenosti, što je Europski odbor za zaštitu podataka istaknuo u svojim mišljenjima o primjerenosti, u kojima Komisiji savjetuje da dodatno procijeni posebne aspekte prava i sudske prakse Ujedinjene Kraljevine u pogledu masovnog prikupljanja podataka, dijeljenja podataka s inozemstvom i međunarodnih sporazuma u području razmjene obavještajnih podataka, dodatne uporabe informacija prikupljenih u svrhu kaznenog progona te neovisnosti pravosudnih povjerenika;

D. budući da Komisija nije razmatrala određene aspekte prava i/ili sudske prakse Ujedinjene Kraljevine, što je dovelo do nacrta provedbenih odluka koje nisu u skladu s pravom EU-a; budući da se u članku 45. Opće uredbe o zaštiti podataka navodi da Komisija „prilikom procjene primjerenosti razine zaštite osobito uzima u obzir (...) relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu” te „(...) međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka”, što uključuje međunarodne sporazume u drugim područjima koji obuhvaćaju pristup podacima ili dijeljenje informacija, pa stoga zahtijeva procjenu takvih međunarodnih sporazuma;

E. budući da je Sud Europske unije u svojoj presudi u predmetu Schrems I jasno istaknuo da je Komisija dužna „(...) kod ispitivanja razine zaštite koju pruža treća zemlja procijeniti sadržaj primjenjivih pravila u toj zemlji koja proizlaze iz domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, kao i praksu kojoj je cilj osigurati poštovanje tih pravila, a ta institucija mora u skladu s člankom 25. stavkom 2. Direktive 95/46 uzeti u obzir sve okolnosti u vezi s prijenosom osobnih podataka u treću zemlju.” (točka 75.);

F. budući da su, kada je riječ o državama članicama, aktivnosti obavještajnih službi i njihove razmjene s trećim zemljama isključene iz područja primjene prava EU-a u skladu s Ugovorima, s obzirom na to da su one obuhvaćene nužnom procjenom primjerenosti razine osobnih podataka koje pružaju treće zemlje, kako je potvrdio Sud Europske unije u presudama u predmetima Schrems I i II;

G. budući da se standardi zaštite podataka ne oslanjaju samo na zakonodavstvo na snazi nego i na način na koji se ti zakoni primjenjuju u praksi te budući da je Komisija pri pripremi svoje odluke procjenjivala samo zakonodavstvo, ali ne i način na koji se ono u praksi primjenjuje;

I. OPĆA UREDBA O ZAŠTITI PODATAKA

Opće napomene

1. napominje da je Ujedinjena Kraljevina potpisnica Europske konvencije o ljudskim pravima (EKLJP) i Konvencije Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka; očekuje da će Ujedinjena Kraljevina osigurati jednaki minimalni okvir za zaštitu podataka, unatoč tome što je istupila iz Europske unije;

2. pozdravlja predanost Ujedinjene Kraljevine poštovanju demokracije i vladavine prava te zaštiti i provedbi temeljnih prava, poput onih iz EKLJP-a, u nacionalnom pravu, uključujući visoku razinu zaštite podataka; podsjeća da je to nužan preduvjet za suradnju EU-a s Ujedinjenom Kraljevinom; podsjeća da je vlada glasovala protiv nastojanja da se obuhvati temeljno pravo na zaštitu podataka, unatoč tome što je članak 8. EKLJP-a o pravu na privatnost dio nacionalnog prava Ujedinjene Kraljevine u okviru Zakona o ljudskim pravima iz 1998. te common law-a u okviru nove štetne radnje zlouporabe privatnih podataka;

3. ističe da se EU usvojivši stroga pravila o zaštiti podataka u okviru Opće uredbe o zaštiti podataka odlučio na pristup upravljanju podacima koji počiva na ljudskim pravima i stoga je duboko zabrinut zbog javnih istupa premijera Ujedinjene Kraljevine u kojima izjavljuje da će se Ujedinjena Kraljevina nastojati odmaknuti od pravila EU-a o zaštiti podataka i uspostaviti „suverenu” kontrolu na tom području; smatra da Nacionalna strategija Ujedinjene Kraljevine za podatke iz 2020. predstavlja zaokret sa zaštite osobnih podataka prema široj uporabi i dijeljenju podataka, što nije u skladu s načelom poštenosti, smanjenja količine podataka i ograničavanja svrhe prema Općoj uredbi o zaštiti podataka; konstatira da je Europski odbor za zaštitu podataka u svojim mišljenjima o primjerenosti istaknuo da bi to moglo dovesti do mogućih rizika u odnosu na zaštitu osobnih podataka koji se prenose iz EU-a;

4. ističe da valjane odluke o primjerenosti uvelike doprinose zaštiti temeljnih prava pojedinaca i pravnoj sigurnosti za trgovačka društva; naglašava, međutim, da odluke o primjerenosti koje se temelje na nepotpunim procjenama i bez pravilne provedbe Komisije mogu imati suprotni učinak ako se ospore na sudu;

5. ističe da je procjena koju je Komisija provela prije predstavljanja nacrta provedbene odluke bila nepotpuna i neusklađena sa zahtjevima Suda Europske unije za procjene primjerenosti, što je Europski odbor za zaštitu podataka istaknuo u svojim mišljenjima o primjerenosti, u kojima Komisiji savjetuje da dodatno procijeni posebne aspekte prava i sudske prakse Ujedinjene Kraljevine u pogledu masovnog prikupljanja podataka, dijeljenja podataka s inozemstvom i međunarodnih sporazuma u području razmjene obavještajnih podataka, dodatne uporabe informacija prikupljenih u svrhu kaznenog progona te neovisnosti pravosudnih povjerenika;

Provedba Opće uredbe o zaštiti podataka

6. izražava svoju zabrinutost zbog manjkave i često nepostojeće provedbe Opće uredbe o zaštiti podataka u Ujedinjenoj Kraljevini dok je još bila članica EU-a; posebno ističe nepravilnu provedbu u prošlosti od strane Ureda povjerenika za informiranje Ujedinjene Kraljevine; ukazuje na primjer povjerenika za informiranje koji je jednu pritužbu u području tehnologije oglašavanja zaključio nakon što je održao dva sastanka s dionicima, sastavio izvješće („Ažurirano izvješće o tehnologijama oglašavanja”) i izjavio kako se „čini da sektor tehnologije oglašavanja ima nezrela shvaćanja zahtjeva za zaštitu osobnih podataka”, a da pritom nije iskoristio niti jednu od svojih izvršnih ovlasti[17]; zabrinut je zbog činjenice da je takvo neizvršavanje ovlasti strukturni problem, što je primjetno i iz „Politike regulatornog djelovanja” povjerenika za informiranje u kojoj se izričito navodi da „u većini slučajeva naše ćemo ovlasti zadržati za najozbiljnije slučajeve koji predstavljaju najteža kršenja obveza u pogledu zaštite informacija. Riječ je slučajevima koji uključuju hotimične, namjerne ili nemarne radnje ili pak opetovana kršenja obveza u pogledu zaštite informacija kojima se pojedincima nanosi šteta”; naglašava da to u praksi znači da se veliki broj kršenja Zakona o zaštiti podataka u Ujedinjenoj Kraljevini ne rješava;

7. prima na znanje Nacionalnu strategiju Ujedinjene Kraljevine za podatke ažuriranu 9. prosinca 2020., u kojoj se predlaže zaokret sa zaštite osobnih podataka na širu uporabu i više dijeljenja podataka; ističe da stajalište „nedijeljenje podataka može negativno utjecati na društvo”, kako je navedeno u strategiji, nije u skladu s načelima smanjenja količine podataka i ograničenja svrhe u skladu s Općom uredbom o zaštiti podataka i primarnim pravom;

8. prima na znanje da su Odbor za ustavna pitanja 2004.[18] i Odbor za javne poslove Parlamenta Ujedinjene Kraljevine 2014.[19] preporučili da se neovisnost povjerenika za informiranje zajamči na način da ga se učini službenikom Parlamenta koji odgovara Parlamentu, umjesto da ga i dalje imenuje ministar digitalnih medija i sporta; žali zbog toga što se nije postupilo u skladu s tim preporukama;

Obrada podataka za kontroliranje imigracije

9. zabrinut je zbog toga što se Služba Ujedinjene Kraljevine za imigraciju koristi sustavom opsežne obrade podataka za donošenje odluke o pravu osobe na ostanak u zemlji; konstatira da pravo Ujedinjene Kraljevine o zaštiti podataka sadržava široko odstupanje od aspekata temeljnih načela prava na zaštitu podataka, kao što su pravo na pristup i pravo ispitanika da zna s kime su njegovi podaci podijeljeni, ako takva zaštita „ide na štetu učinkovitoj kontroli useljavanja”[20]; ističe da je to izuzeće dostupno svim voditeljima obrade podataka u Ujedinjenoj Kraljevini, uključujući lokalna tijela, pružatelje zdravstvene skrbi i privatna poduzeća uključena u imigracijski sustav; zabrinut je zbog nedavno objavljenih informacija da je izuzeće u vezi s useljavanjem upotrijebljeno u više od 70 % zahtjeva ispitanika upućenih Ministarstvu unutarnjih poslova tijekom 2020.[21]; ističe da se praćenje i poštovanje primjene tog izuzeća mora provoditi u skladu sa standardima iz referentnog okvira, koji nalažu da se u obzir moraju uzeti i praksa i načela jer se u njima navodi da je „potrebno razmotriti ne samo sadržaj pravila koja se primjenjuju na osobne podatke prenesene u treću zemlju... nego i sustav koji je uspostavljen kako bi se zajamčila djelotvornost tih pravila”; naglašava da to odstupanje nije bilo u skladu s Općom uredbom o zaštiti podataka ni dok je Ujedinjena Kraljevina još bila država članica, a Komisija, koja ima ulogu čuvarice Ugovora, to je ignorirala; ističe da je Europski odbor za zaštitu podataka u svojim mišljenjima zaključio da su potrebna dodatna pojašnjenja o primjeni izuzeća za useljavanje;

10. napominje da se to izuzeće sada primjenjuje na državljane EU-a koji borave ili planiraju boraviti u Ujedinjenoj Kraljevini; duboko je zabrinut zbog toga što se izuzećem uklanjaju ključne mogućnosti za pozivanje na odgovornost i pravne lijekove te ističe da to nije odgovarajuća razina zaštite;

11. ponovno ističe svoju veliku zabrinutost zbog izuzeća od prava ispitanika u imigracijskog politici Ujedinjene Kraljevine; ponovo ističe svoje stajalište, kako je u više navrata navedeno, među ostalim u Rezoluciji od 12. veljače 2020. o predloženom mandatu za pregovore o novom partnerstvu s Ujedinjenom Kraljevinom Velike Britanije i Sjeverne Irske[22] i mišljenju Odbora za građanske slobode, pravosuđe i unutarnje poslove od 5. veljače 2021.[23], da je potrebno izmijeniti izuzeće za obradu osobnih podataka u imigracijske svrhe iz Zakona o zaštiti podataka Ujedinjene Kraljevine prije nego što se može donijeti valjana odluka o primjerenosti; poziva Komisiju da traži ukidanje izuzeća u vezi s useljavanjem ili da se pobrine za njegovu reformu kako bi se izuzećem i njegovom primjenom osigurala dostatna zaštita za osobe čiji se podaci obrađuju i kako se ne bi kršili standardi koji se očekuju od treće zemlje;

Masovni nadzor

12. podsjeća na otkrića zviždača Edwarda Snowdena o masovnom nadzoru koji provode Sjedinjene Države i Ujedinjena Kraljevina; podsjeća na to da se programom Ujedinjene Kraljevine „Tempora” koji vodi Stožer za komunikacije vlade (GCHQ) u stvarnom vremenu presreće komunikacija na magistralnim optičkim internetskim kabelima te se bilježe podaci za kasniju obradu i pretraživanje; podsjeća da se taj masovni nadzor komunikacijskih sadržaja i metapodataka odvija bez obzira na to postoje li neke konkretne sumnje ili podatci o cilju;

13. podsjeća na to da je Sud Europske unije u presudama Schrems I i Schrems II zaključio da masovni pristup sadržaju privatnih komunikacija utječe na bit prava na privatnost te da u takvim slučajevima nije više potrebno provesti preispitivanje nužnosti i proporcionalnosti; ističe da se ta načela primjenjuju na prijenose podataka u treće zemlje, osim SAD-a, uključujući Ujedinjenu Kraljevinu;

14. podsjeća na svoju Rezoluciju od 12. ožujka 2014. u kojoj se zaključuje da su neselektivni programi masovnog nadzora koji nisu utemeljeni na sumnji, a koje provodi obavještajna agencija Ujedinjene Kraljevine GCHQ, nespojivi s načelima nužnosti i proporcionalnosti u demokratskom društvu te da nisu primjereni prema pravu EU-a o zaštiti podataka;

15. podsjeća da je u rujnu 2018. Europski sud za ljudska prava potvrdio da su programi Ujedinjene Kraljevine za masovno presretanje i zadržavanje podataka, među ostalim Tempora, „nezakoniti i nespojivi s uvjetima potrebnima za demokratsko društvo”[24];

16. smatra neprihvatljivim da se u nacrtima odluka o primjerenosti ne uzimaju u obzir ni nedostatak ograničenja uporabe ovlasti Ujedinjene Kraljevine u pogledu skupnih podataka ni stvarna upotreba operacija nadzora između Ujedinjene Kraljevine i SAD-a, kako je otkrio Edward Snowden, uključujući sljedeće činjenice:

a) ne postoji učinkovita i sadržajna kontrola povjerenika za informiranje ili sudova nad primjenom izuzeća u pogledu nacionalne sigurnosti u pravu Ujedinjene Kraljevine o zaštiti podataka;

b) ograničenja upotrebe „skupnih ovlasti” Ujedinjene Kraljevine nisu utvrđena u samom zakonu, kako zahtijeva Sud EU-a (već se prepuštaju izvršnoj diskreciji koja podliježe „obazrivom” sudskom nadzoru);

c) opis „sekundarnih podataka” (metapodataka) u nacrtima odluka ozbiljno dovodi u zabludu te se u njemu ne napominje da takvi podaci mogu puno toga otkrivati i biti intruzivni te da ih se analizira na napredne automatizirane načine (kako je Sud EU-a utvrdio u predmetu Digital Rights Ireland[25]), a da pritom pravo Ujedinjene Kraljevine metapodatke ne štiti na sadržajan način od neopravdanog pristupa, masovnog prikupljanja i analiziranja s pomoću umjetne inteligencije od strane obavještajnih agencija Ujedinjene Kraljevine;

d) agencije „5EYES”, posebno GCHQ i NSA, u praksi razmjenjuju sve obavještajne podatke;

nadalje ističe da u odnosu na SAD-a građani Ujedinjene Kraljevine podliježu nekim neformalnim zaštitnim mjerama koje su dogovorili GCHQ i Nacionalna sigurnosna agencija (NSA); izražava duboku zabrinutost zbog toga što se tim zaštitnim mjerama ne bi zaštitili građani EU-a ili osobe s boravištem u EU-u čiji bi se podaci mogli dalje prenositi i dijeliti s NSA-om;

17. poziva države članice da s Ujedinjenom Kraljevinom sklope sporazume o zabrani špijunaže i poziva Komisiju da iskoristi svoje kontakte s odgovarajućim tijelima iz Ujedinjene Kraljevine kako bi prenijela poruku da bi, ako ne dođe do izmjene zakona i sudske prakse Ujedinjene Kraljevine o nadzoru, jedina izvediva mogućnost za olakšavanje donošenja odluka o primjerenosti bilo sklapanje sporazuma o zabrani špijunaže s državama članicama;

Daljnji prijenosi

18. snažno naglašava činjenicu da se Zakonom iz 2018. o povlačenju iz Europske unije predviđa da će sudska praksa Suda EU-a nastala prije isteka prijelaznog razdoblja postati „zadržano pravo EU-a” i stoga obvezujuća za Ujedinjenu Kraljevinu; ističe da je Ujedinjena Kraljevina pri procjeni primjerenosti u trećim zemljama obvezana načelima i uvjetima utvrđenima u presudi Suda Europske unije u predmetima Schrems I i Schrems II; zabrinut je zbog toga što sudovi Ujedinjene Kraljevine, međutim, više neće primjenjivati Povelju; ističe da Ujedinjena Kraljevina više nije u nadležnosti Suda Europske unije, najvišeg tijela nadležnog za tumačenje Povelje;

19. ističe da pravila Ujedinjene Kraljevine o dijeljenju osobnih podataka u skladu sa Zakonom o digitalnom gospodarstvu iz 2017. i daljnjim prijenosima istraživačkih podataka očito nisu „bitno ekvivalentna” pravilima utvrđenima u Općoj uredbi o zaštiti podataka kako ih tumači Sud EU;

20. zabrinut je zbog toga što je Ujedinjena Kraljevina sebi dala pravo da proglasi da ostale treće zemlje ili teritoriji pružaju odgovarajuću zaštitu podataka, bez obzira na to je li EU smatrao da dotična treća zemlja ili teritorij pružaju takvu zaštitu; podsjeća da je Ujedinjena Kraljevina već proglasila da Gibraltar pruža takvu zaštitu, iako EU to nije učinio; iznimno je zabrinut zbog činjenice da bi priznavanje statusa primjerenosti za Ujedinjenu Kraljevinu stoga dovelo do zaobilaženja pravila EU-a o prijenosima u zemlje ili područja koja se u skladu s pravom EU-a ne smatraju primjerenima;

21. primjećuje da je 1. veljače 2021. Ujedinjena Kraljevina uputila zahtjev za pridruživanje Sveobuhvatnom i progresivnom sporazumu za transpacifičko partnerstvo (CPTPP), osobito kako bi „ostvarila koristi od modernih pravila digitalne trgovine kojima se omogućuje slobodan protok podataka među članovima, uklanjaju nepotrebne prepreke za poduzeća [itd.]”; sa zabrinutošću primjećuje da postoji jedanaest članova CPTTP-a, od kojih osam nema odluku EU-a o primjerenosti; iznimno je zabrinut zbog mogućeg daljnjeg prijenosa osobnih podataka građana i osoba s boravištem u EU-u u te zemlje ako se donese odluka o primjerenosti u odnosu na Ujedinjenu Kraljevinu[26];

22. žali zbog toga što Komisija nije procijenila učinak i potencijalne rizike Sporazuma između Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske i Japana o sveobuhvatnom gospodarskom partnerstvu, koji uključuje odredbe o osobnim podacima, kada je riječ o razini zaštite podataka;

23. zabrinut je da bi razina zaštite koju pruža Opća uredba o zaštiti podataka bila ugrožena ako Ujedinjena Kraljevina uključi odredbe o prijenosu podataka u bilo koji budući trgovinski sporazum, među ostalim u trgovinske sporazume između SAD-a i Ujedinjene Kraljevine;

II. Direktiva o zaštiti podataka pri izvršavanju zakonodavstva

24. naglašava da je Ujedinjena Kraljevina prva zemlja za koju je Komisija predložila donošenje odluke o primjerenosti u skladu s Direktivom (EU) 2016/680;

25. prima na znanje sporazum Ujedinjene Kraljevine o prekograničnom pristupu podacima sa SAD-om[27], u skladu s američkim Zakonom CLOUD, kojim se olakšavaju prijenosi u svrhu kaznenopravnog progona; iznimno je zabrinut da će se time nadležnim tijelima SAD-a omogućiti neopravdan pristup osobnim podacima građana EU-a i osoba s boravištem u EU-u; dijeli zabrinutost Europskog odbora za zaštitu podataka da zaštitne mjere predviđene Krovnim sporazumom između EU-a i SAD-a[28] koje se primjenjuju mutatis mutandis ne bi ispunjavale kriterije jasnih, preciznih i dostupnih pravila koja se odnose na pristup osobnim podacima odnosno da takve zaštitne mjere ne bi bile u dovoljnoj mjeri utvrđene kao takve da bi bile učinkovite i izvedive prema pravu Ujedinjene Kraljevine;

26. podsjeća da se presuda Suda EU C-623/17 treba tumačiti na način da ona onemogućuje donošenje nacionalnog zakonodavstva koje bi državnom tijelu omogućilo da od pružatelja elektroničkih komunikacijskih usluga traži da radi očuvanja zaštite nacionalne sigurnosti provode opći i neselektivni prijenos podataka o prometu i lokaciji sigurnosnim i obavještajnim službama;

27. napominje da je u ovom predmetu Sud EU presudio da je masovno prikupljanje podataka provedeno u Ujedinjenoj Kraljevini na temelju Uredbe o istražnim ovlastima iz 2000. bilo nezakonito; ističe da je Uredba u međuvremenu zamijenjena Zakonom o istražnim ovlastima iz 2016. kako bi se ojačala načela nužnosti i proporcionalnosti; napominje da se Zakonom o istražnim ovlastima iz 2016. presretanje podvrgava sudskom nadzoru te se pojedincima omogućuje pristup njihovim podacima i podnošenje pritužbi sudu s istražnim ovlastima; međutim, žali zbog činjenice da se Zakonom o istražnim ovlastima iz 2016. i dalje omogućuje praksa masovnog zadržavanja podataka;

28. izražava zabrinutost zbog nedavnih izvješća da je sustav masovnog prikupljanja i zadržavanja podataka bio dio probnog programa koje je provelo Ministarstvo unutarnjih poslova Ujedinjene Kraljevine u okviru Zakona o istražnim ovlastima iz 2016.;

29. podsjeća da u svojoj Rezoluciji od 12. veljače 2020. Europski parlament naglašava da „Ujedinjena Kraljevina ne može imati izravan pristup podacima informacijskih sustava EU-a ili sudjelovati u upravljačkim strukturama agencija EU-a u području slobode, sigurnosti i pravde, dok bi svaka razmjena informacija, među ostalim i osobnih podataka, s Ujedinjenom Kraljevinom trebala podlijegati strogim uvjetima zaštite, revizije i nadzora, uključujući razinu zaštite osobnih podataka istovjetnu onoj koja je predviđena pravom EU-a”; zabrinut je zbog nedostataka i povreda utvrđenih u načinu na koji je Ujedinjena Kraljevina provodila propise o zaštiti podataka dok je još bila država članica EU-a; podsjeća da je Ujedinjena Kraljevina izradila i sačuvala nezakonit primjerak Schengenskog informacijskog sustava; ističe da su, unatoč činjenici da Ujedinjena Kraljevina više nema pristup Schengenskom informacijskom sustavu, ta kršenja pokazala da se tijelima Ujedinjene Kraljevine nisu smjeli povjeriti podaci građana EU-a dok je još bila država članica; stoga žali što Komisija nije izvršila svoju zadaću čuvara Ugovora time što nije izvršila dovoljan pritisak na Ujedinjenu Kraljevinu da hitno riješi te probleme na odgovarajući i pravodoban način te da dokaže da joj se može povjeriti obrada osobnih podataka u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija; stoga je zabrinut zbog razmjene podataka s tijelima kaznenopravnog progona Ujedinjene Kraljevine i zbog toga što Ujedinjena Kraljevina zadržava pristup bazama podataka EU-a za tijela kaznenopravnog progona;

30. izražava zabrinutost zbog otkrića iz siječnja 2021. da je 400 000 kaznenih evidencija slučajno izbrisano iz nacionalnog računala policije Ujedinjene Kraljevine; naglašava da to ne doprinosi povjerenju u napore Ujedinjene Kraljevine u području zaštite podataka za potrebe kaznenog progona;

31. primjećuje da se nacrtom odluke o primjerenosti ne uzimaju u obzir stvarne prakse nadzora u Ujedinjenoj Kraljevini te da on odražava netočno i ograničeno razumijevanje vrsta komunikacijskih podataka koji su obuhvaćeni ovlastima Ujedinjene Kraljevine za zadržavanje podataka i zakonito presretanje;

32. ističe da Sporazum o trgovini i suradnji između EU-a i Ujedinjene Kraljevine uključuje i dijelove koji se odnose na razmjenu podataka o DNK-u, otiscima prstiju i podataka iz registra vozila, prijenos i obradu podataka iz evidencije podataka o putnicima (PNR), suradnju u pogledu operativnih informacija i suradnju s Europolom i Eurojustom, a koji će se primjenjivati bez obzira na odluku o primjerenosti; podsjeća, međutim, na zabrinutost izraženu u mišljenju Odbora za građanske slobode, pravosuđe i unutarnje poslove iz veljače 2021. o Sporazumu o trgovini i suradnji u pogledu posebnih načina uporabe i duljeg zadržavanja osobnih podataka odobrenih Ujedinjenoj Kraljevini u skladu s glavama Sporazuma naslovljenima Prüm i PNR, a koji nisu u skladu s načinima na koje države članice upotrebljavaju i zadržavaju podatke; podsjeća na pravo na pokretanje postupka pred Sudom Europske unije kako bi se zatražila provjera zakonitosti predloženog međunarodnog sporazuma, a posebno njegove usklađenosti sa zaštitom temeljnog prava[29];

Zaključci

33. poziva Komisiju da zajamči poduzećima iz EU-a da će odluka o primjerenosti pružiti čvrstu i dostatnu pravnu osnovu za prijenos podataka koja je usmjerena na budućnost; ,naglašava da je važno pobrinuti se za to da Sud EU tu odluku o primjerenosti ocijeni prihvatljivom i naglašava da bi stoga trebalo uzeti u obzir sve preporuke iz mišljenja Europskog odbora za zaštitu podataka;

34. smatra da Komisija donošenjem dviju provedbenih odluka koje nisu u skladu s pravom EU-a, a da pritom nije riješila sve razloge za zabrinutost iznesene u ovoj Rezoluciji, nadilazi provedbene ovlasti dodijeljene Uredbom (EU) 2016/679 i Direktivom (EU) 2016/680; stoga se protivi dvama provedbenim aktima s obzirom na to da nacrti provedbenih odluka nisu u skladu s pravom EU-a;

35. poziva Komisiju da izmijeni dva nacrta provedbenih odluka kako bi bili u potpunosti usklađeni sa zakonodavstvom i sudskom praksom EU-a;

36. zahtijeva da nacionalna tijela za zaštitu podataka obustave prijenos osobnih podataka koji mogu podlijegati neselektivnom pristupu obavještajnih službi Ujedinjene Kraljevine ako Komisija donese odluke o primjerenosti u odnosu na Ujedinjenu Kraljevinu prije nego što Ujedinjena Kraljevina riješi prethodno navedena pitanja;

37. poziva Komisiju i nadležna tijela Ujedinjene Kraljevine da uspostave akcijski plan kako bi se što prije riješili nedostaci utvrđeni u mišljenjima Europskog odbora za zaštitu podataka i druga neriješena pitanja u vezi sa zaštitom podataka u Ujedinjenoj Kraljevini, što mora biti preduvjet za konačnu odluku o primjerenosti;

38. poziva Komisiju da nastavi pomno pratiti razinu zaštite podataka, kao i zakone i prakse o masovnom nadzoru u Ujedinjenoj Kraljevini; ističe da u poglavlju V. Opće uredbe o zaštiti podataka postoje druge pravne mogućnosti za prijenos osobnih podataka u Ujedinjenu Kraljevinu; podsjeća da u skladu sa smjernicama Europskog odbora za zaštitu podataka prijenosi koji se oslanjaju na odstupanja za posebne situacije prema članku 49. Opće uredbe o zaštiti podataka moraju biti iznimka;

39. žali zbog toga što je Komisija ignorirala pozive Parlamenta da obustavi Sustav zaštite privatnosti sve dok vlasti SAD-a ne budu u skladu s njegovim uvjetima, te da je umjesto toga uvijek davala prednost „praćenju situacije” bez konkretnih rezultata u pogledu zaštite podataka pojedinaca i pravne sigurnosti za trgovačka društva; potiče Komisiju da izvuče pouke iz svojih prošlih grešaka zanemarivanja poziva Parlamenta i stručnjaka u vezi sa zaključivanjem i praćenjem prošlih odluka o primjerenosti te da nakon pritužbi pojedinaca pravilnu provedbu zakona EU-a o zaštiti podataka ne prepušta Sudu Europske unije;

40. poziva Komisiju da pomno prati pravo o zaštiti podataka i sudsku praksu u vezi s time u Ujedinjenoj Kraljevini, da odmah informira Parlament i da se savjetuje s njim o svim budućim izmjenama u sustavu zaštite podataka u Ujedinjenoj Kraljevini te da Parlamentu da nadzornu ulogu u novom institucionalnom okviru, među ostalim i za relevantna tijela kao što je Posebni odbor za izvršavanje zakonodavstva i pravosudnu suradnju;

°

° °

41. nalaže svojem predsjedniku da ovu Rezoluciju proslijedi Komisiji, državama članicama i vladi Ujedinjene Kraljevine.