PASIŪLYMAS DĖL REZOLIUCIJOS dėl tinkamos asmens duomenų apsaugos Jungtinėje Karalystėje

B9‑0272/2021

Europos Parlamento rezoliucija dėl tinkamos asmens duomenų apsaugos Jungtinėje Karalystėje

(2021/2594(RSP))

Europos Parlamentas,

– atsižvelgdamas į Europos Sąjungos pagrindinių teisių chartiją (toliau – Chartija), ypač į jos 7, 8, 47 ir 52 straipsnius,

– atsižvelgdamas į 2020 m. liepos 16 d. Europos Sąjungos Teisingumo Teismo (ESTT) sprendimą byloje C-311/18 Data Protection Commissioner prieš Facebook Ireland Limited ir Maximillian Schrems (sprendimas byloje „Schrems II“)[1],

– atsižvelgdamas į 2015 m. spalio 6 d. ESTT sprendimą byloje C-362/14 Maximillian Schrems prieš Data Protection Commissioner (sprendimas byloje „Schrems I“)[2],

– atsižvelgdamas į 2020 m. spalio 6 d. ESTT sprendimą byloje C-623/17 Privacy International prieš Secretary of State of Foreign and Commonwealth affairs[3],

– atsižvelgdamas į 2014 m. kovo 12 d. rezoliuciją dėl JAV Nacionalinės saugumo agentūros (NSA) sekimo programos, sekimo tarnybų įvairiose valstybėse narėse ir jų poveikio ES piliečių pagrindinėms teisėms ir transatlantiniam bendradarbiavimui teisingumo ir vidaus reikalų srityje[4],

– atsižvelgdamas į savo 2018 m. liepos 5 d. rezoliuciją dėl ES ir JAV „privatumo skydo“ užtikrinamos apsaugos tinkamumo[5],

– atsižvelgdamas į savo 2018 m. spalio 25 d. rezoliuciją dėl „Cambridge Analytica“ naudojimosi „Facebook“ naudotojų duomenimis ir poveikio duomenų apsaugai[6],

– atsižvelgdamas į savo 2021 m. balandžio XX d. rezoliuciją dėl 2020 m. liepos 16 d. ESTT sprendimo Data Protection Commissioner prieš Facebook Ireland Limited, Maximillian Schrems[7],

– atsižvelgdamas į savo 2020 m. lapkričio 26 d. rezoliuciją dėl ES prekybos politikos peržiūros[8],

– atsižvelgdamas į 2020 m. gruodžio 31 d. Europos Sąjungos bei Europos atominės energijos bendrijos ir Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės prekybos ir bendradarbiavimo susitarimą[9],

– atsižvelgdamas į savo 2021 m. balandžio 28 d. rezoliuciją dėl ES ir JK derybų rezultatų[10],

– atsižvelgdamas į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentą (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (Bendrasis duomenų apsaugos reglamentas – BDAR)[11],

– atsižvelgdamas į 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvą (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo (Duomenų apsaugos teisėsaugos srityje direktyva)[12],

– atsižvelgdamas į 2002 m. liepos 12 d. Europos Parlamento ir Tarybos direktyvą 2002/58/EB dėl asmens duomenų tvarkymo ir privatumo apsaugos elektroninių ryšių sektoriuje[13],

– atsižvelgdamas į 2017 m. sausio 10 d. Komisijos pasiūlymą dėl Europos Parlamento ir Tarybos reglamento dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje (COM(2017)0010) ir į 2017 m. spalio 20 d. priimtą Europos Parlamento poziciją dėl jo[14],

– atsižvelgdamas į Europos duomenų apsaugos valdybos (EDAV) rekomendacijas, įskaitant jos 2021 m. kovo 9 d. pareiškimą dėl E. privatumo reglamento ir 2020 m. lapkričio 10 d. rekomendacijas Nr. 01/2020 dėl priemonių duomenų perdavimo priemonėms papildyti siekiant užtikrinti atitiktį ES asmens duomenų apsaugos lygiui,

– atsižvelgdamas į tinkamumo kriterijus, kuriuos 2018 m. vasario 6 d. priėmė 29 straipsnio duomenų apsaugos darbo grupė ir patvirtino EDAV,

– atsižvelgdamas į 2021 m. vasario 2 d. EDAV rekomendacijas Nr. 01/2021 dėl tinkamumo kriterijų pagal Duomenų apsaugos teisėsaugos srityje direktyvą,

– atsižvelgdamas į sprendimų dėl tinkamumo projektus, kuriuos Komisija paskelbė 2021 m. vasario 19 d., vieną – pagal BDAR[15], kitą – pagal Duomenų apsaugos teisėsaugos srityje direktyvą[16],

– atsižvelgdamas į 2021 m. balandžio 13 d. EDAV nuomones Nr. 14/2021 ir Nr. 15/2021 dėl Europos Komisijos įgyvendinimo sprendimo pagal Direktyvą (ES) 2016/680 dėl asmens duomenų tinkamos apsaugos Jungtinėje Karalystėje projekto,

– atsižvelgdamas į Jungtinės Karalystės pasirašytas Europos žmogaus teisių konvenciją (EŽTK) ir Konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu,

– atsižvelgdamas į 2011 m. vasario 16 d. Europos Parlamento ir Tarybos reglamentą (ES) Nr. 182/2011, kuriuo nustatomos valstybių narių vykdomos Komisijos naudojimosi įgyvendinimo įgaliojimais kontrolės mechanizmų taisyklės ir bendrieji principai,

– atsižvelgdamas į Darbo tvarkos taisyklių 132 straipsnio 2 dalį,

– atsižvelgdamas į Piliečių laisvių, teisingumo ir vidaus reikalų komiteto pasiūlymą dėl rezoliucijos,

A. kadangi galimybė perduoti asmens duomenis iš vienos valstybės į kitą gali būti pagrindinė inovacijų, našumo ir ekonominio konkurencingumo varomoji jėga;

B. kadangi ESTT sprendime „Schrems I“ nurodė, kad žvalgybos tarnyboms leidžiant nediferencijuotai susipažinti su elektroninės komunikacijos turiniu pažeidžiama Chartijos 7 straipsnyje numatytos teisės į ryšių konfidencialumą esmė ir kad Jungtinės Amerikos Valstijos (JAV) neužtikrina pakankamų teisių gynimo priemonių ne JAV asmenims dėl masinio sekimo pažeisdamos Chartijos 47 straipsnį;

C. kadangi Komisijos prieš pateikiant įgyvendinimo sprendimo projektą atliktas vertinimas nėra išsamus ir nevisiškai atitinka ESTT nustatytus tinkamumo vertinimų reikalavimus, kaip EDAV pabrėžė savo nuomonėse dėl tinkamumo, kuriose ji rekomenduoja Komisijai išsamiau įvertinti konkrečius Jungtinės Karalystės (toliau – JK) teisės ar praktikos aspektus, susijusius su masiniu duomenų rinkimu, informacijos atskleidimu užsienyje ir tarptautiniais susitarimais dalijimosi žvalgybos informacija srityje, tolesniu surinktos informacijos naudojimu teisėsaugos tikslais ir teismo komisarų nepriklausomumu;

D. kadangi Komisija neatsižvelgė į tam tikrus JK teisės ir (arba) praktikos aspektus, todėl buvo parengti ES teisės neatitinkantys įgyvendinimo sprendimų projektai; kadangi BDAR 45 straipsnyje teigiama, kad vertindama apsaugos lygio tinkamumą Komisija visų pirma atsižvelgia į „<...> atitinkamus bendruosius ir atskiriems sektoriams skirtus teisės aktus, įskaitant susijusius su visuomenės saugumu, gynyba, nacionaliniu saugumu, baudžiamąja teise ir valdžios institucijų prieiga prie asmens duomenų, taip pat tokių teisės aktų įgyvendinimą, duomenų apsaugos taisykles, profesines taisykles ir saugumo priemones, įskaitant taisykles dėl tolesnio asmens duomenų perdavimo į kitą trečiąją valstybę ar kitai tarptautinei organizacijai, kurių laikomasi toje valstybėje arba kurių laikosi ta tarptautinė organizacija, teismų praktikos precedentus <...>“ ir „<...> atitinkamos trečiosios valstybės arba tarptautinės organizacijos prisiimtus tarptautinius įsipareigojimus ar kitus įsipareigojimus, atsirandančius dėl teisiškai privalomų konvencijų ar priemonių, taip pat dėl jų dalyvavimo daugiašalėse ar regioninėse sistemose, visų pirma kiek tai susiję su asmens duomenų apsauga“, kurie apima tarptautinius susitarimus kitose srityse, susijusiose su prieiga prie duomenų ar keitimusi informacija, todėl reikalingas tokių tarptautinių susitarimų vertinimas;

E. kadangi ESTT savo sprendime „Schrems I“ aiškiai nurodė, kad „<...> vertindama trečiosios šalies užtikrinamą apsaugos lygį Komisija privalo įvertinti šioje šalyje taikomų taisyklių turinį, kurį lemia tos šalies teisės aktai arba tarptautiniai įsipareigojimai, taip pat praktika, kuria siekiama užtikrinti šių taisyklių laikymąsi, nes ši institucija, remdamasi Direktyvos 95/46 25 straipsnio 2 dalimi, turi atsižvelgti į visas asmens duomenų perdavimo į trečiąją šalį aplinkybes“ (75 punktas);

F. kadangi, kaip patvirtinta ESTT sprendimuose „Schrems I“ ir „Schrems II“, pagal Sutartis valstybių narių žvalgybos tarnybų veikla ir dalijimasis informacija su trečiosiomis šalimis nepriskiriami ES teisės taikymo sričiai – šie klausimai įtraukiami į būtiną trečiųjų šalių suteikiamos asmens duomenų apsaugos lygio tinkamumo vertinimą;

G. kadangi duomenų apsaugos standartai grindžiami ne tik galiojančiais teisės aktais, bet ir tų teisės aktų taikymu praktikoje, ir kadangi Komisija, rengdama savo sprendimą, įvertino tik teisės aktus, tačiau neįvertino faktinio jų taikymo praktikoje;

I. BENDRASIS DUOMENŲ APSAUGOS REGLAMENTAS

Bendrosios pastabos

1. pažymi, kad JK yra pasirašiusi EŽTK ir Europos Tarybos konvenciją dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu; tikisi, kad JK užtikrins tokią pačią būtiniausią duomenų apsaugos sistemą nepaisant to, kad išstojo iš Europos Sąjungos;

2. palankiai vertina JK įsipareigojimą gerbti demokratiją ir teisinę valstybę, saugoti pagrindines teises, pvz., nustatytas EŽTK, įskaitant aukšto lygio duomenų apsaugą, ir užtikrinti jų įgyvendinimą šalies viduje; primena, kad tai būtina išankstinė ES bendradarbiavimo su JK sąlyga; primena, kad nepaisant to, kad EŽTK 8 straipsnis dėl teisės į privatumą pagal 1998 m. Žmogaus teisių aktą yra JK vidaus teisės dalis ir dėl naujo delikto dėl netinkamo privatumo informacijos naudojimo –bendrosios teisės dalis, vyriausybė balsavo prieš pagrindinę teisę į duomenų apsaugą;

3. atkreipia dėmesį į tai, kad ES, rengdama patikimas duomenų apsaugos taisykles, nustatytas BDAR, nusprendė vadovautis į žmogaus teises orientuotu požiūriu į duomenų valdymą, todėl yra labai susirūpinęs dėl JK ministro pirmininko viešų pareiškimų, kad JK sieks nukrypti nuo ES duomenų apsaugos taisyklių ir nustatyti savo „suverenias“ kontrolės priemones; mano, kad 2020 m. JK nacionalinė duomenų strategija reiškia perėjimą nuo asmens duomenų apsaugos prie platesnio duomenų naudojimosi ir dalijimosi jais, o tai pagal BDAR nesuderinama su teisingumo, duomenų kiekio mažinimo ir tikslų apribojimo principais; atkreipia dėmesį į tai, kad savo nuomonėse dėl tinkamumo EDAV pabrėžė, jog dėl to gali kilti pavojus, kad sumažės iš ES perduotiems asmens duomenims suteikiama apsauga;

4. pažymi, kad galiojantys sprendimai dėl tinkamumo labai padeda užtikrinti piliečių pagrindinių teisių apsaugą, o įmonėms – teisinį tikrumą; vis dėlto pabrėžia, kad sprendimai dėl tinkamumo, grindžiami neišsamiais Komisijos vertinimais ir jai neužtikrinant tinkamo jų vykdymo, gali duoti priešingų rezultatų, jeigu bus ginčijami teisme;

5. atkreipia dėmesį į tai, kad Komisijos prieš pateikiant įgyvendinimo sprendimo projektą atliktas vertinimas nėra išsamus ir neatitinka ESTT nustatytų tinkamumo vertinimų reikalavimų, kaip EDAV pabrėžė savo nuomonėse dėl tinkamumo, kuriose ji rekomenduoja Komisijai išsamiau įvertinti konkrečius JK teisės ar praktikos aspektus, susijusius su masiniu duomenų rinkimu, informacijos atskleidimu užsienyje ir tarptautiniais susitarimais dalijimosi žvalgybos informacija srityje, tolesniu surinktos informacijos naudojimu teisėsaugos tikslais ir teismo komisarų nepriklausomumu;

BDAR vykdymo užtikrinimas

6. reiškia susirūpinimą dėl to, kad JK, kai dar buvo ES narė, nepakankamai vykdė, o dažnai ir visiškai nevykdė BDAR nuostatų; visų pirma atkreipia dėmesį į tai, kad praeityje JK informacijos komisaro tarnyba netinkamai vykdė BDAR; atkreipia dėmesį į atvejį, kai Informacijos komisaras (angl. ICO) baigė nagrinėti skundą dėl reklamos technologijos tik surengęs du susitikimus su suinteresuotaisiais subjektais, pateikęs ataskaitą („Atnaujinta reklamos technologijų ataskaita“, angl. Update Report on Adtech) ir pažymėjęs, kad „reklamos technologijų sektoriuje, atrodo, dar nevisapusiškai suprantami duomenų apsaugos reikalavimai“, tačiau nepasinaudojęs jokiais jam suteiktais vykdymo užtikrinimo įgaliojimais[17]; yra susirūpinęs dėl to, kad toks vykdymo neužtikrinimas yra struktūrinė problema, įtvirtinta Informacijos komisaro reguliavimo veiksmų politikos gairėse, kuriose aiškiai teigiama, kad „[d]auguma atvejų įgaliojimais naudojamasi rimčiausiais atvejais, t. y. tuomet, kai sunkiausiai pažeidžiami su teisėmis į informaciją susiję įsipareigojimai. Paprastai tokie atvejai apima tyčinius ar sąmoningus veiksmus, aplaidumą ar pakartotinius įsipareigojimų, susijusių su teisėmis į informaciją, pažeidimus, dėl kurių asmenys patiria žalą ar nuostolių“; pabrėžia, jog praktiškai tai reiškia, kad daug duomenų apsaugos teisės aktų pažeidimų Jungtinėje Karalystėje nėra pašalinti;

7. atkreipia dėmesį į 2020 m. gruodžio 9 d. atnaujintą JK nacionalinę duomenų strategiją, kurioje teigiama, kad bus pereinama nuo asmens duomenų apsaugos prie dažnesnio ir platesnio duomenų naudojimosi ir dalijimosi jais; atkreipia dėmesį į tai, kad šios strategijos nuostata „duomenų nepranešimas gali daryti neigiamą poveikį visuomenei“ nesuderinama su BDAR ir pirminės teisės aktuose nustatytais duomenų kiekio mažinimo ir tikslo apribojimo principais;

8. atkreipia dėmesį į tai, kad 2004 m. JK Parlamento Konstitucinių reikalų komitetas[18] ir 2014 m. JK Parlamento Viešųjų reikalų komitetas[19] rekomendavo užtikrinti Informacijos komisaro nepriklausomumą ir, užuot Informacijos komisarus toliau skyrus Skaitmeninimo, žiniasklaidos ir sporto ministrui, šią pareigybę paskirti Parlamento pareigūnams, atskaitingiems Parlamentui; apgailestauja, kad ši rekomendacija nebuvo įgyvendinta;

Duomenų tvarkymas imigracijos kontrolės tikslais

9. yra susirūpinęs dėl to, kad JK imigracijos srityje naudojama sistema, pagal kurią vykdomas plataus masto duomenų tvarkymas ir juo remiantis priimami sprendimai dėl žmonių teisės likti šalyje; yra susirūpinęs tuo, kad JK duomenų apsaugos teisės aktuose numatytos plataus masto nuostatos, leidžiančios nukrypti nuo pagrindinių duomenų apsaugos teisių ir principų aspektų, pvz., prieigos teisės ir duomenų subjekto teisės žinoti, su kuo buvo pasidalinta jo duomenimis, jei tokia apsauga „trukdytų veiksmingai kontroliuoti imigraciją“[20]; atkreipia dėmesį į tai, kad šia išimtimi gali naudotis visi JK duomenų valdytojai, įskaitant vietos valdžios institucijas, sveikatos priežiūros paslaugų teikėjus ir privačius subjektus, dalyvaujančius imigracijos sistemoje; yra susirūpinęs dėl neseniai atskleistos informacijos, kad 2020 m. daugiau kaip 70 proc. visų JK Vidaus reikalų ministerijai duomenų subjektų pateiktų prašymų buvo pritaikyta imigracijos išimtis[21]; pabrėžia, kad naudojimosi šia išimtimi stebėsena ir atitiktis reikalavimams turi būti vykdoma ir užtikrinama laikantis standartų, įtvirtintų Orientaciniuose tinkamumo kriterijuose, pagal kuriuos reikalaujama atsižvelgti į praktiką, taip pat į principus, ir kuriuose pažymima, kad „turi būti atsižvelgiama ne tik į taisyklių, taikomų trečiajai šaliai perduodamiems asmens duomenims, turinį, <...> bet ir į sistemą, nustatytą tokių taisyklių veiksmingumui užtikrinti“; pabrėžia, kad tuo metu, kai JK dar buvo valstybė narė, ši nukrypti leidžianti nuostata neatitiko BDAR, o Komisija, atlikdama Sutarčių sergėtojos vaidmenį, to nepaisė; pabrėžia, kad EDAV savo nuomonėje padarė išvadą, kad reikalingi išsamesni paaiškinimai, kaip taikoma imigracijos išimtis;

10. pažymi, kad dabar ši išimtis taikoma ES piliečiams, kurie gyvena arba ketina apsigyventi JK; yra labai susirūpinęs dėl to, kad išimtimi panaikinamos pagrindinės atskaitomybės ir teisių gynimo galimybės, ir pabrėžia, kad tai nėra tinkamas apsaugos lygis;

11. pakartoja, kad yra labai susirūpinęs dėl JK imigracijos politikoje taikomos duomenų subjektų teisių išimties; pakartoja savo poziciją, ne kartą išreikštą, be kita ko, 2020 m. vasario 12 d. rezoliucijoje dėl siūlomų derybų dėl naujos partnerystės su Jungtine Didžiosios Britanijos ir Šiaurės Airijos Karalyste įgaliojimų[22] ir 2021 m. vasario 5 d. Piliečių laisvių, teisingumo ir vidaus reikalų komiteto nuomonėje[23], kad prieš priimant galiojantį sprendimą dėl tinkamumo reikia iš dalies pakeisti JK duomenų apsaugos akte numatytą išimtį dėl asmens duomenų tvarkymo imigracijos tikslais; ragina Komisiją siekti panaikinti imigracijos išimtį arba užtikrinti, kad ji būtų pertvarkyta taip, kad šia išimtimi ir jos taikymo būdais duomenų subjektams būtų suteikiama pakankamai apsaugos priemonių ir nebūtų pažeidžiami standartai, kurių turėtų laikytis trečioji šalis;

Masinis sekimas

12. primena apie JAV ir JK vykdomą masinį sekimą, kurį atskleidė pranešėjas Edward Snowden; primena, kad pagal JK programą „Tempora“, kurią vykdo Vyriausybės ryšių centrinė tarnyba (GCHQ), naudojantis šviesolaidiniais optiniais interneto magistraliniais kabeliais šiuo metu perimami ryšiai ir registruojami duomenys, kad vėliau juos būtų galima tvarkyti ir surasti; primena, kad šis masinis ryšių turinio ir metaduomenų sekimas vyksta neatsižvelgiant į tai, ar yra konkrečių įtarimų ir kokių nors tikslinių duomenų;

13. primena, kad ESTT savo sprendimuose „Schrems I“ ir „Schrems II“ nustatė, kad masinė prieiga prie privačių pranešimų turinio susijusi su pačia teisės į privatumą esme ir kad tokiais atvejais net nebereikia atlikti būtinumo ir proporcingumo patikros; pabrėžia, kad šie principai taikomi duomenis perduodant trečiosioms šalims, išskyrus JAV, tačiau įskaitant Jungtinę Karalystę;

14. primena savo 2014 m. kovo 12 d. rezoliuciją, kurioje teigiama, kad Jungtinės Karalystės žvalgybos agentūros GCHQ vykdomos beatodairiškos ir įtarimais negrindžiamos masinio sekimo programos yra nesuderinamos su būtinumo ir proporcingumo principais demokratinėje visuomenėje ir nėra tinkamos pagal ES duomenų apsaugos teisę;

15. primena, kad 2018 m. rugsėjo mėn. Europos Žmogaus Teisių Teismas patvirtino, kad JK masinių duomenų perėmimo ir saugojimo programos, įskaitant „Tempora“, buvo „neteisėtos ir nesuderinamos su demokratinės visuomenės sąlygomis“[24];

16. mano, jog nepriimtina, kad sprendimų dėl tinkamumo projektuose neatsižvelgiama nei į tai, kad nėra JK masinių duomenų įgaliojimų naudojimo apribojimų, nei į faktinį naudojimąsi JK ir JAV stebėjimo operacijomis, kurias atskleidė Edward Snowden, įskaitant tai, kad:

a) Informacijos komisaro tarnyba arba teismai nevykdo veiksmingos esminės priežiūros, kaip taikoma JK duomenų apsaugos teisės aktuose nustatyta nacionalinio saugumo išimtis;

b) pačiuose teisės aktuose nenustatyti naudojimosi JK su masiniais duomenimis susijusiais įgaliojimais apribojimai, kaip to reikalauja ESTT (šis klausimas veikiau priskiriamas vykdomosios valdžios diskrecijai, o priimtiems sprendimams taikoma „reikalavimus atitinkanti“ teisminė peržiūra);

c) sprendimų projektuose pateikiama antrinių duomenų (metaduomenų) apibrėžtis yra labai klaidinanti ir joje nepažymėta, kad tokiais duomenimis gali būti atskleidžiama daug informacijos ir pažeidžiamas privatumas ir kad atliekama sudėtinga automatizuota tokių duomenų analizė (kaip ESTT nustatė sprendime „Digital Rights Ireland“[25]), tačiau pagal JK teisės aktus metaduomenys nėra tinkamai apsaugoti nuo neteisėtos JK žvalgybos agentūrų prieigos, jų atliekamo masinio duomenų rinkimo ir DI grindžiamos analizės;

d) aljansui „Penkios akys“ (angl. 5EYES) priklausančios agentūros, ypač GCHQ ir Nacionalinė saugumo agentūra (NSA), praktiškai iš tikrųjų dalijasi visais žvalgybos duomenimis;

be to, atkreipia dėmesį į tai, kad, kalbant apie JAV, JK piliečiams taikomos tam tikros neoficialios GCHQ ir NSA apsaugos priemonės; reiškia didelį susirūpinimą dėl to, kad šios apsaugos priemonės neapsaugo ES piliečių ar gyventojų, kurių duomenys gali būti toliau perduodami ir jais gali būti dalijamasi su NSA;

17. ragina valstybes nares su JK sudaryti nešnipinėjimo susitarimus ir ragina Komisiją pasinaudoti keitimosi informacija su kolegomis iš JK procedūra ir pranešti, kad, jei nebus pakeisti JK sekimo įstatymai ir praktika, vienintelė įmanoma galimybė palengvinti sprendimų dėl tinkamumo priėmimą bus su valstybėmis narėmis sudaryti susitarimus dėl nešnipinėjimo;

Tolesnis perdavimas

18. griežtai pabrėžia tai, kad 2018 m. (išstojimo iš) Europos Sąjungos akte nustatyta, kad iki pereinamojo laikotarpio pabaigos ESTT sukurta praktika taps „palikta galioti ES teise“ ir todėl yra teisiškai privaloma JK; atkreipia dėmesį į tai, kad JK, vertindama kitų ES nepriklausančių šalių tinkamumą, privalo laikytis ESTT sprendimų bylose „Schrems I“ ir „Schrems II“ nustatytų principų ir sąlygų; yra susirūpinęs dėl to, kad JK teismai vis tiek nebetaikys Chartijos; atkreipia dėmesį į tai, kad JK nebepriklauso ESTT – aukščiausios instancijos aiškinant Chartiją – jurisdikcijai;

19. atkreipia dėmesį į tai, kad JK taisyklės dėl dalijimosi asmens duomenimis pagal 2017 m. Skaitmeninės ekonomikos aktą ir dėl tolesnio mokslinių tyrimų duomenų perdavimo akivaizdžiai nėra „iš esmės lygiavertės“ BDAR nustatytoms taisyklėms, kaip jas aiškino ESTT;

20. yra susirūpinęs dėl to, kad JK sau suteikė teisę paskelbti, kad kitos trečiosios šalys ar teritorijos užtikrina tinkamą duomenų apsaugą neatsižvelgiant į tai, ar ES laikosi nuomonės, kad atitinkamoje trečiojoje šalyje ar teritorijoje užtikrinama tokia apsauga; primena, kad JK jau paskelbė, kad Gibraltaras užtikrina tokią apsaugą, nors ES to nėra padariusi; yra labai susirūpinęs tuo, kad dėl JK tinkamumo statuso nebus paisoma ES taisyklių dėl duomenų perdavimo šalims ar teritorijoms, kurios pagal ES teisę laikomos netinkamomis;

21. atkreipia dėmesį į tai, kad 2021 m. vasario 1 d. JK pateikė prašymą prisijungti prie Visapusiško ir pažangaus Ramiojo vandenyno šalių partnerystės susitarimo, visų pirma siekdama „pasinaudoti šiuolaikinėmis skaitmeninės prekybos taisyklėmis, kuriomis sudaromos sąlygos laisvam duomenų judėjimui tarp valstybių narių, pašalinamos nereikalingos kliūtys įmonėms ir pan.“; susirūpinęs pažymi, kad prie Visapusiško ir pažangaus Ramiojo vandenyno šalių partnerystės susitarimo yra prisijungę 11 narių – aštuoni iš jų dar negavo ES sprendimo dėl tinkamumo; yra labai susirūpinęs dėl galimo tolesnio ES piliečių ir gyventojų asmens duomenų perdavimo šioms šalims, jei JK bus suteiktas sprendimas dėl tinkamumo[26];

22. apgailestauja, kad Komisija neįvertino Jungtinės Didžiosios Britanijos ir Šiaurės Airijos Karalystės ir Japonijos visapusiškos ekonominės partnerystės susitarimo, į kurį įtraukta nuostatų dėl asmens duomenų, poveikio duomenų apsaugos lygiui ir galimos susijusios rizikos;

23. yra susirūpinęs dėl to, kad jeigu JK į bet kokius būsimus prekybos susitarimus, be kita ko, JAV ir JK prekybos susitarimus, įtrauks nuostatas dėl duomenų perdavimo, būtų pakenkta BDAR numatytam apsaugos lygiui;

II. Duomenų apsaugos teisėsaugos srityje direktyva

24. pabrėžia, kad JK yra pirmoji šalis, dėl kurios Komisija pasiūlė priimti sprendimą dėl tinkamumo pagal Direktyvą (ES) 2016/680;

25. atkreipia dėmesį į JK tarpvalstybinio lygmens duomenų susitarimą su JAV[27] pagal JAV CLOUD įstatymą – šis susitarimas turėtų palengvinti duomenų perdavimą teisėsaugos tikslais; yra labai susirūpinęs dėl to, kad tai suteiks JAV valdžios institucijoms neteisėtą prieigą prie ES piliečių ir gyventojų asmens duomenų; pritaria EDAV susirūpinimui, kad, kalbant apie prieigą prie asmens duomenų, mutatis mutandis taikomos ES ir JAV bendrajame susitarime[28] numatytos apsaugos priemonės gali neatitikti aiškių, tikslių ir prieinamų taisyklių kriterijų ir kad susitarime gali būti nepakankamai įtvirtinamos tokios apsaugos priemonės, kad jos pagal JK teisę būtų veiksmingos ir jomis būtų galima pasinaudoti;

26. primena, kad ESTT sprendimas C-623/17 turi būti aiškinamas kaip draudžiantis nacionalinės teisės aktus, pagal kuriuos valstybės institucijai leidžiama reikalauti, kad elektroninių ryšių paslaugų teikėjai perduotų vartotojų srauto ir vietos duomenis valstybės saugumo ir žvalgybos tarnyboms ir saugotų tokius duomenis bendrai, jų nediferencijuojant, siekiant užtikrinti nacionalinį saugumą;

27. pažymi, kad šiuo atveju ESTT nusprendė, kad masinis duomenų rinkimas JK pagal 2000 m. Tyrimo įgaliojimų reglamentavimo aktą (angl. Regulation of Investigatory Powers Act 2000) buvo neteisėtas; atkreipia dėmesį į tai, kad nuo to laiko aktas buvo pakeistas Tyrimų įgaliojimų aktu (angl. Investigatory Powers Act (the IPA 2016)), siekiant sustiprinti būtinumo ir proporcingumo principus; pabrėžia, kad pagal 2016 m. Tyrimų įgaliojimo aktą duomenų perėmimui taikoma teisminė priežiūra ir asmenims suteikiama teisė susipažinti su savo duomenimis bei pateikti skundus tyrimo įgaliojimų teismui; vis dėlto apgailestauja dėl to, kad 2016 m. Tyrimų įgaliojimų aktas ir toliau sudaro sąlygas masiškai saugoti duomenis;

28. yra susirūpinęs dėl naujausių pranešimų, kad masinių duomenų rinkimo ir saugojimo sistema yra JK vidaus reikalų ministerijos pagal 2016 m. Tyrimo įgaliojimų aktą vykdomo tyrimo dalis;

29. primena, kad savo 2020 m. vasario 12 d. rezoliucijoje Europos Parlamentas pabrėžė, kad Jungtinė Karalystė negali turėti tiesioginės prieigos prie ES informacinių sistemų duomenų ar dalyvauti ES agentūrų valdymo struktūrose laisvės, saugumo ir teisingumo erdvėje, o bet kokiam keitimuisi informacija, įskaitant asmens duomenis, su Jungtine Karalyste turėtų būti taikomos griežtos apsaugos priemonės, audito ir priežiūros sąlygos, įskaitant asmens duomenų apsaugą, lygiavertę taikomai pagal ES teisę; yra susirūpinęs dėl nustatytų trūkumų ir pažeidimų, susijusių su tuo, kaip JK įgyvendino duomenų apsaugos teisės aktus, kol ji buvo ES narė; primena, kad JK registravo ir neteisėtai kopijavo Šengeno informacinės sistemos duomenis; pažymi, kad, nepaisant to, jog JK nebeturi prieigos prie Šengeno informacinės sistemos, iš šių pažeidimų matyti, kad JK valdžios institucijoms, kol JK dar buvo valstybė narė, nebuvo galima patikėti ES piliečių duomenų; todėl apgailestauja, kad Komisija nevykdė savo, kaip Sutarčių sergėtojos, užduoties ir nedarė pakankamo spaudimo JK, kad ji skubiai, tinkamai ir laiku spręstų šias problemas ir parodytų, kad jai galima patikėti tvarkyti asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais; yra susirūpinęs dėl keitimosi duomenimis su JK teisėsaugos institucijomis ir dėl to, kad JK vis dar turi prieigą prie ES teisėsaugos duomenų bazių;

30. reiškia susirūpinimą dėl 2021 m. sausio mėn. atskleistos informacijos, kad iš JK nacionalinės policijos kompiuterio buvo netyčia ištrinta 400 000 įrašų apie teistumą; pabrėžia, kad tai nepadeda didinti pasitikėjimo JK pastangomis apsaugoti duomenis jais naudojantis teisėsaugos tikslais;

31. pažymi, kad sprendimo dėl tinkamumo projekte neatsižvelgiama į faktinę JK sekimo praktiką ir jis atspindi neteisingą ir ribotą supratimą apie ryšių duomenų, kuriems taikoma JK duomenų saugojimo ir teisėto perėmimo įgaliojimai, rūšis;

32. atkreipia dėmesį į tai, kad į ES ir JK prekybos ir bendradarbiavimo susitarimą (PBS) įtrauktos antraštinės dalys, susijusios su keitimusi DNR, pirštų atspaudų ir transporto priemonių registracijos duomenimis, keleivio duomenų įrašo (PNR) duomenų perdavimu ir tvarkymu, bendradarbiavimu operatyvinės informacijos srityje ir bendradarbiavimu su Europolu ir Eurojustu, kurios bus taikomos neatsižvelgiant į sprendimą dėl tinkamumo; vis dėlto primena, kad 2021 m. vasario mėn. Piliečių laisvių, teisingumo ir vidaus reikalų komiteto nuomonėje dėl PBS išreikštas susirūpinimas dėl ypatingo asmens duomenų, suteiktų JK pagal PBS Priumo ir PNR antraštines dalis, naudojimo ir ilgesnio saugojimo, kurie neatitinka naudojimo ir saugojimo valstybėse narėse; primena teisę kreiptis į ESTT siekiant patikrinti numatomo sudaryti tarptautinio susitarimo teisėtumą, visų pirma jo suderinamumą su pagrindinės teisės apsauga[29];

Išvados

33. ragina Komisiją ES įmonėms užtikrinti, kad sprendimas dėl tinkamumo suteiks tvirtą, pakankamą ir į ateitį orientuotą teisinį pagrindą duomenų perdavimui; pabrėžia, kad svarbu užtikrinti, jog šis sprendimas dėl tinkamumo būtų laikomas priimtinu, jei jį nagrinės ESTT, ir pabrėžia, kad reikėtų atsižvelgti į visas EDAV nuomonėje pateiktas rekomendacijas;

34. laikosi nuomonės, kad priimdama du įgyvendinimo sprendimus, kurie nesuderinami su ES teise, neišsprendusi visų šioje rezoliucijoje iškeltų susirūpinimą keliančių klausimų Komisija viršija Reglamentu (ES) 2016/679 ir Direktyva (ES) 2016/680 suteiktus įgyvendinimo įgaliojimus; todėl nepritaria dviem įgyvendinimo aktams, nes įgyvendinimo sprendimų projektai neatitinka ES teisės;

35. ragina Komisiją iš dalies pakeisti du Komisijos įgyvendinimo sprendimų projektus, kad jie visapusiškai atitiktų ES teisę ir teismų praktiką;

36. prašo nacionalinių duomenų apsaugos institucijų stabdyti asmens duomenų, prie kurių JK žvalgybos tarnyboms galėtų būti suteikiama nediferencijuota prieiga, perdavimą, jeigu Komisija sprendimus dėl JK užtikrinamos apsaugos tinkamumo priims prieš JK išsprendžiant pirmiau nurodytus klausimus;

37. ragina Komisiją ir JK kompetentingas institucijas parengti veiksmų planą, kad būtų kuo greičiau pašalinti EDAV nuomonėse nustatyti trūkumai ir išspręsti kiti likę JK duomenų apsaugos sistemos klausimai, nes tai turi būti išankstinė sąlyga, kad būtų priimtas galutinis sprendimas dėl tinkamumo;

38. ragina Komisiją toliau atidžiai stebėti duomenų apsaugos lygį, taip pat JK masinio sekimo įstatymus ir praktiką; atkreipia dėmesį į tai, kad BDAR V skyriuje numatyta ir kitų teisinių galimybių perduoti asmens duomenis JK; primena, kad pagal EDAV gaires perduoti duomenis remiantis nukrypti leidžiančiomis nuostatomis konkrečiais atvejais pagal BDAR 49 straipsnį galima tik išskirtiniais atvejais;

39. apgailestauja, kad Komisija nepaisė Parlamento raginimų sustabdyti privatumo skydo galiojimą, kol JAV valdžios institucijos ims laikytis jo sąlygų, tačiau visuomet pirmenybę teikė galimybei stebėti padėtį, nors tai neduoda jokių konkrečių rezultatų piliečių duomenų apsaugos ir įmonių teisinio tikrumo srityse; primygtinai ragina Komisiją atsižvelgti į tai, kad ji anksčiau nepaisė Parlamento ir ekspertų raginimų, susijusių su ankstesnių sprendimų dėl tinkamumo priėmimu ir stebėsena, ir tinkamo ES duomenų apsaugos teisės aktų vykdymo užtikrinimo klausimo nepalikti Europos Sąjungos Teisingumo Teismui gavus asmenų skundus;

40. ragina Komisiją atidžiai stebėti JT duomenų apsaugos teisę ir praktiką, nedelsiant informuoti Parlamentą ir konsultuotis su juo dėl bet kokių būsimų JK duomenų apsaugos tvarkos pakeitimų, taip pat naujojoje institucinėje struktūroje užtikrinti Parlamento, įskaitant atitinkamas įstaigas, pvz., Specialųjį teisėsaugos ir teisminio bendradarbiavimo komitetą, atliekamą priežiūros vaidmenį;

°

° °

41. paveda Pirmininkui perduoti šią rezoliuciją Komisijai, valstybėms narėms ir JK vyriausybei.