PREDLOG RESOLUCIJE o ustreznem varstvu osebnih podatkov v Združenem kraljestvu

B9-0272/2021

Resolucija Evropskega parlamenta o ustreznem varstvu osebnih podatkov v Združenem kraljestvu

(2021/2594(RSP))

Evropski parlament,

– ob upoštevanju Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina), zlasti členov 7, 8, 47 in 52,

– ob upoštevanju sodbe Sodišča Evropske unije z dne 16. julija 2020 v zadevi C-311/18, Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu (zadeva Schrems II)[1];

– ob upoštevanju sodbe Sodišča Evropske unije z dne 6. oktobra 2015 v zadevi C-362/14, Maximillian Schrems proti Data Protection Commissioner (zadeva Schrems I)[2];

– ob upoštevanju sodbe Sodišča Evropske unije z dne 6. oktobra 2020 v zadevi C-623/17, Privacy International proti Secretary of State of Foreign and Commonwealth Affairs[3];

– ob upoštevanju resolucije z dne 12. marca 2014 o programu nadzora Agencije ZDA za nacionalno varnost, organih nadzora v različnih državah članicah ter njihovem učinku na temeljne pravice državljanov EU in čezatlantsko sodelovanje na področju pravosodja in notranjih zadev[4],

– ob upoštevanju svoje resolucije z dne 5. julija 2018 o ustreznosti varstva, ki ga zagotavlja zasebnostni ščit EU-ZDA[5],

– ob upoštevanju svoje resolucije z dne 25. oktobra 2018 o uporabi podatkov uporabnikov Facebooka s strani Cambridge Analytica in vplivu na varstvo podatkov[6],

– ob upoštevanju svoje resolucije z dne XX. maja 2021 o sodbi Sodišča Evropske unije z dne 16. julija 2020 v zadevi Data Protection Commissioner proti Facebook Ireland Limited in Maximillianu Schremsu[7],

– ob upoštevanju svoje resolucije z dne 26. novembra 2020 o pregledu trgovinske politike EU[8],

– ob upoštevanju Sporazuma z dne 31. decembra 2020 o trgovini in sodelovanju med Evropsko unijo in Evropsko skupnostjo za atomsko energijo na eni strani ter Združenim kraljestvom Velika Britanija in Severna Irska na drugi strani[9],

– ob upoštevanju svoje resolucije z dne 28. aprila 2021 o izidu pogajanj med EU in Združenim kraljestvom[10],

– ob upoštevanju Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (splošna uredba o varstvu podatkov)[11],

– ob upoštevanju Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov (direktiva o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj)[12],

– ob upoštevanju Direktive 2002/58/ES evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij[13],

– ob upoštevanju predloga Komisije z dne 10. januarja 2017 za predlog uredbe Evropskega parlamenta in Sveta o spoštovanju zasebnega življenja in varstvu osebnih podatkov na področju elektronskih komunikacij (COM(2017)0010) in stališča Evropskega parlamenta o njem, sprejetega 20. oktobra 2017[14],

– ob upoštevanju priporočil Evropskega odbora za varstvo podatkov, vključno z njegovo izjavo z dne 9. marca 2021 o uredbi o e-zasebnosti in njegovimi priporočili št. 01/2020 z dne 10. novembra 2020 o ukrepih, ki dopolnjujejo orodja za prenos, za zagotovitev skladnosti z ravnjo varstva osebnih podatkov na ravni EU,

– ob upoštevanju referenčnega dokumenta o ustreznosti, ki ga je 6. februarja 2018 sprejela Delovna skupina za varstvo podatkov iz člena 29 in ga je potrdil Evropski odbor za varstvo podatkov,

– ob upoštevanju priporočil Evropskega odbora za varstvo podatkov št. 01/2021 z dne 2. februarja 2021 o referenčnem dokumentu o ustreznosti v skladu z direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj,

– ob upoštevanju osnutkov sklepov o ustreznosti, ki ju je Komisija objavila 19. februarja 2021, enega v skladu s splošno uredbo o varstvu podatkov[15], drugega pa v skladu z direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj[16],

– ob upoštevanju mnenj 14/2021 in 15/2021 Evropskega odbora za varstvo podatkov z dne 13. aprila 2021 o osnutku izvedbenega sklepa Evropske komisije v skladu z Direktivo (EU) 2016/680 o ustreznem varstvu osebnih podatkov v Združenem kraljestvu,

– ob upoštevanju Evropske konvencije o človekovih pravicah (v nadaljnjem besedilu: EKČP) in Konvencije o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov, katerih država pogodbenica je Združeno kraljestvo,

– ob upoštevanju Uredbe (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije,

– ob upoštevanju člena 132(2) Poslovnika,

– ob upoštevanju predloga resolucije Odbora za državljanske svoboščine, pravosodje in notranje zadeve,

A. ker bi lahko možnost čezmejnega prenosa osebnih podatkov pomenila glavno gonilo inovacij, produktivnosti in gospodarske konkurenčnosti;

B. ker je Sodišče Evropske unije v sodbi v zadevi Schrems I poudarilo, da neselektivni dostop obveščevalnih organov do vsebine elektronskih komunikacij pomeni kršitev bistva pravice do zaupnosti komunikacij iz člena 7 Listine in da Združene države Amerike ne zagotavljajo zadostnih pravnih sredstev proti množičnemu nadzoru za osebe, ki niso iz ZDA, kar je kršitev člena 47 Listine;

C. ker je ocena, ki jo je opravila Komisija pred predstavitvijo osnutka izvedbenega sklepa, ni bila popolna in ni bila v skladu z zahtevami Sodišča Evropske unije za oceno ustreznosti, na kar je Evropski odbor za varstvo podatkov opozoril v mnenjih o ustreznosti, v katerih Komisiji priporoča, naj dodatno oceni posebne elemente zakonodaje in prakse Združenega kraljestva, ki se nanašajo na množično zbiranje, čezmorska razkritja in mednarodne sporazume na področju izmenjave obveščevalnih podatkov, dodatno uporabo informacij, zbranih za potrebe preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, in neodvisnost sodnih pooblaščencev;

D. ker Komisija ni upoštevala nekaterih vidikov prava in/ali prakse Združenega kraljestva, kar je privedlo do osnutkov izvedbenih sklepov, ki niso v skladu s pravom EU; ker člen 45 splošne uredbe o varstvu podatkov določa, da „Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti [...] ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso“ in „mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov“, kar vključuje mednarodne sporazume na drugih področjih, ki zajemajo dostop do podatkov ali izmenjavo informacij, in torej zahteva oceno takih mednarodnih sporazumov;

E. ker je Sodišče Evropske unije v sodbi v zadevi Schrems I jasno navedlo, da „mora Komisija pri preučitvi ravni varstva, ki jo zagotavlja tretja država, presoditi vsebino predpisov, ki se uporabljajo v tej državi in ki je razvidna tako iz njene nacionalne zakonodaje ali mednarodnih obveznosti kot tudi iz tega, kako se spoštovanje teh predpisov zagotavlja v praksi, pri čemer mora ta institucija v skladu s členom 25(2) Direktive 95/46 upoštevati vse okoliščine prenosa osebnih podatkov v tretjo državo“ (točka 75);

F. ker so v skladu s Pogodbama dejavnosti obveščevalnih služb in izmenjava informacij s tretjimi državami, ko gre za države članice, izključene iz področja uporabe prava EU, vendar sodijo v področje nujne ocene ustreznosti ravni varstva osebnih podatkov, ki jo zagotavljajo tretje države, kot je potrdilo Sodišče Evropske unije v sodbah Schrems I in II;

G. ker standardi varstva podatkov ne temeljijo le na veljavni zakonodaji, ampak tudi na njeni uporabi v praksi, in ker je Komisija pri pripravi sklepa ocenila le zakonodajo, ne pa tudi njene dejanske uporabe v praksi;

I. SPLOŠNA UREDBA O VARSTVU PODATKOV

Splošne ugotovitve

1. ugotavlja, da je Združeno kraljestvo podpisnik EKČP in Konvencije Sveta Evropa o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in njenega dodatnega protokola; pričakuje, da bo Združeno kraljestvo zagotovilo enak minimalni okvir varstva podatkov, četudi je zapustilo Evropsko unijo;

2. pozdravlja zavezanost Združenega kraljestva spoštovanju demokracije in pravne države ter varstvu in uveljavljanju temeljnih pravic, kot so pravice iz EKČP, vključno z visokimi ravnmi varstva podatkov; opozarja, da je to nujen pogoj za sodelovanje EU z Združenim kraljestvom; želi spomniti, da je britanska vlada zavrnila prizadevanja, da bi v zakonodajo vključili temeljno pravico do varstva podatkov, čeprav je člen 8 EKČP o pravici do zasebnosti prek zakona o človekovih pravicah iz leta 1998 del notranjega prava Združenega kraljestva in del common law prek novega delikta zlorabe informacij o zasebnosti;

3. poudarja, da se je EU odločila za pristop k upravljanju podatkov, osredotočen na človekove pravice, in v okviru splošne uredbe o varstvu podatkov določila stroga pravila o varstvu podatkov, zato je globoko zaskrbljen zaradi javnih izjav britanskega predsednika vlade, da si bo Združeno kraljestvo prizadevalo, da bi odstopilo od pravil EU o varstvu podatkov in uvedlo lasten, „suveren“ nadzor na tem področju; meni, da nacionalna podatkovna strategija Združenega kraljestva za leto 2020 pomeni odmik od varstva osebnih podatkov k širši uporabi in izmenjavi podatkov, kar ni združljivo z načeli pravičnosti, zmanjšanja količine podatkov in omejitve namena v skladu s splošno uredbo o varstvu podatkov; ugotavlja, da Evropski odbor za varstvo podatkov v mnenjih o ustreznosti poudarja, da bi se zaradi tega lahko pojavila morebitna tveganja v povezavi z varstvom osebnih podatkov, prenesenih iz EU;

4. poudarja, da veljavni sklepi o ustreznosti veliko prispevajo k varstvu temeljnih pravic posameznikov in pravni varnosti za podjetja; vendar poudarja tudi, da imajo lahko sklepi o ustreznosti, ki temeljijo na nepopolnih ocenah in ki jih Komisija ne izvršuje ustrezno, nasproten učinek, če se izpodbijajo na sodišču;

5. poudarja, da je ocena, ki jo je opravila Komisija pred predstavitvijo osnutka izvedbenega sklepa, ni bila popolna in ni bila v skladu z zahtevami Sodišča Evropske unije za oceno ustreznosti, na kar je Evropski odbor za varstvo podatkov opozoril v mnenjih o ustreznosti, v katerih Komisiji priporoča, naj dodatno oceni posebne elemente zakonodaje in prakse Združenega kraljestva, ki se nanašajo na množično zbiranje, čezmorska razkritja in mednarodne sporazume na področju izmenjave obveščevalnih podatkov, dodatno uporabo informacij, zbranih za potrebe preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, in neodvisnost sodnih pooblaščencev;

Izvajanje splošne uredbe o varstvu podatkov

6. izraža zaskrbljenost, ker je Združeno kraljestvo, ko je bilo še članica EU, splošno uredbo o varstvu podatkov izvajalo pomanjkljivo, pogosto pa sploh ne; poudarja zlasti, da je urad informacijskega pooblaščenca Združenega kraljestva v preteklosti ni ustrezno izvajal; opozarja na primer, ko je informacijski pooblaščenec Združenega kraljestva končal pritožbeni postopek v zvezi s tehnologijo spletnega oglaševanja po tem, ko je organiziral dogodka z deležniki spletnega oglaševanja, objavil poročilo „Update Report on Adtech“ (Posodobljeno poročilo o tehnologiji spletnega oglaševanja) in navedel, „da se zdi sektor, ki uporablja to tehnologijo spletnega oglaševanja, nedorasel zahtevam glede varstva podatkov“, vendar pa ni uporabil svojih izvršilnih pooblastil[17]; je zaskrbljen, ker je to neizvrševanje strukturna težava, opredeljena v politiki regulativnega ukrepanja informacijskega pooblaščenca, iz katere izrecno izhaja, da „si bomo v večini primerov pridržali pooblastila za najhujše primere, ki predstavljajo najhujše kršitve obveznosti glede pravice do obveščenosti. Ti običajno pomenijo naklepna in namerna dejanja ali dejanja iz malomarnosti ali ponavljajoče se kršitve obveznosti glede pravice do obveščenosti, ki posameznikom povzročajo škodo“; poudarja, da to v torej praksi pomeni, da številne kršitve zakonodaje o varstvu podatkov v Združenem kraljestvu niso bile odpravljene;

7. je seznanjen z nacionalno podatkovno strategijo Združenega kraljestva, posodobljeno dne 9. decembra 2020, ki kaže na odmik od varstva osebnih podatkov k pogostejši in širši uporabi in izmenjavi podatkov; poudarja, da stališče iz strategije, da nesporočanje podatkov lahko negativno vpliva na družbo, ni združljivo z načeli zmanjšanja količine podatkov in omejitve namena v skladu s splošno uredbo o varstvu podatkov in primarno zakonodajo;

8. je seznanjen s tem, da sta odbor za ustavne zadeve (leta 2004)[18] in odbor za javne zadeve (leta 2014)[19] parlamenta Združenega kraljestva priporočila, naj se zagotovi neodvisnost informacijskega pooblaščenca, in sicer tako, da postane uradnik parlamenta, ki parlamentu tudi poroča, namesto da bi ga še naprej imenoval minister za digitalne medije in šport; obžaluje, da to priporočilo ni bilo nadalje obravnavano;

Obdelava podatkov za nadzor priseljevanja

9. je zaskrbljen, ker organi Združenega kraljestva za priseljevanje uporabljajo sistem, ki izvaja obsežno obdelavo podatkov za odločanje o pravici osebe, da ostane v državi; navaja, da ker pravo Združenega kraljestva o varstvu podatkov določa precejšne odstopanje od vidikov temeljnih pravic in načel varstva podatkov, kot sta pravica do dostopa in pravica posameznika, na katerega se nanašajo osebni podatki, da ve, s kom so bili njegovi podatki izmenjani, kadar bi tako varstvo posegalo v učinkovit nadzor priseljevanja[20]; poudarja, da so do te izjeme upravičeni vsi upravljavci podatkov v Združenem kraljestvu, vključno z lokalnimi organi, izvajalci zdravstvene dejavnosti in zasebnimi izvajalci, vključenimi v sistem priseljevanja; je zaskrbljen zaradi nedavno razkritih informacij, da je bila v letu 2020 izjema za potrebe priseljevanja uporabljena v več kot 70 % zahtevkov posameznikov, na katere se nanašajo osebni podatki, naslovljenih na ministrstvo za notranje zadeve[21]; poudarja, da je treba spremljanje in skladnost uporabe izjeme izvajati v skladu s standardi iz referenčnega dokumenta o ustreznosti, ki zahteva upoštevanje prakse in načela, saj poudarja, da „je treba upoštevati ne le vsebino pravil, ki se uporabljajo za osebne podatke, prenesene v tretjo državo [...], ampak tudi sistem, ki zagotavlja učinkovitost teh pravil“; poudarja, da to odstopanje ni bilo v skladu s splošno uredbo o varstvu podatkov, ko je bilo Združeno kraljestvo še država članica EU, česar Komisija v vlogi varuhinje Pogodb ni upoštevala; poudarja, da je Evropski odbor za varstvo podatkov v svojih mnenjih ugotovil, da so potrebna dodatna pojasnila o uporabi izjeme pri priseljevanju;

10. ugotavlja, da se ta izjema zdaj uporablja za državljane EU, ki prebivajo ali nameravajo prebivati v Združenem kraljestvu; je močno zaskrbljen, ker izjema odpravlja ključne priložnosti za odgovornost in pravna sredstva, in poudarja, da to ni ustrezna raven varstva;

11. ponovno izraža globoko zaskrbljenost zaradi izjeme glede pravic posameznikov, na katere se nanašajo osebni podatki, v politiki priseljevanja Združenega kraljestva; ponavlja svoje stališče, da je treba izjemo za obdelavo osebnih podatkov za namene priseljevanja iz zakona Združenega kraljestva o varstvu podatkov spremeniti, preden se lahko izda veljaven sklep o ustreznosti, kot je večkrat poudaril tudi v resoluciji z dne 12. februarja 2020 o predlaganem mandatu za pogajanja o novem partnerstvu z Združenim kraljestvom Velika Britanija in Severna Irska[22] in mnenju Odbora za državljanske svoboščine, pravosodje in notranje zadeve z dne 5. februarja 2021[23]; poziva Komisijo, naj si prizadeva za odpravo izjeme pri priseljevanju ali zagotovi njeno reformo, tako da bosta izjema in njena uporaba zadostno varovalo za posameznike, na katere se nanašajo osebni podatki, in ne bosta kršila standardov, ki se pričakujejo od tretje države;

Množični nadzor

12. želi spomniti na primere množičnega nadzora v ZDA in Združenem kraljestvu, ki jih je razkril žvižgač Edward Snowden; opozarja, da britanski vladni urad za komunikacije GCHQ v okviru programa Tempora v realnem času prestreza komunikacije prek optičnih kablov in evidentira podatke, da jih je mogoče pozneje obdelati in iskati; opozarja, da se množični nadzor vsebine komunikacij in metapodatkov izvaja ne glede na to, ali v posameznem primeru obstaja sum ali ciljni podatki;

13. opozarja, da je Sodišče Evropske unije v sodbah v zadevah Schrems I in Schrems II razsodilo, da množični dostop do vsebine zasebnih komunikacij zadeva bistvo pravice do zasebnosti in da v takih primerih preizkus nujnosti in sorazmernosti ni več potreben; poudarja, da se ta načela uporabljajo za prenose podatkov v tretje države, ki niso ZDA, vključno z Združenim kraljestvom;

14. opozarja na svojo ugotovitev iz resolucije z dne 12. marca 2014, da programi množičnega nadzora, ki temeljijo na vsesplošni uporabi in ne na sumu ter jih izvaja britanska obveščevalna agencija GCHQ, niso združljivi z načeloma nujnosti in sorazmernosti v demokratični ter po pravu EU o varstvu podatkov ne veljajo za primerne;

15. opozarja, da je Evropsko sodišče za človekove pravice septembra 2018 potrdilo, da so programi Združenega kraljestva za prestrezanje in hrambo množičnih podatkov, vključno s programom Tempora, „nezakoniti in nezdružljivi s pogoji, ki so nujni za demokratično družbo“[24];

16. meni, da je nesprejemljivo, da se v osnutkih sklepov o ustreznosti ne upoštevata niti pomanjkanje omejitev glede uporabe pooblastil Združenega kraljestva v zvezi z množičnimi podatki niti dejanska uporaba operacij nadzora Združenega kraljestva in ZDA, na katero je opozoril Edward Snowden, vključno s tem, da:

a) urad informacijskega pooblaščenca ali sodišča ne izvajajo učinkovitega vsebinskega nadzora, kako se v pravu Združenega kraljestva o varstvu podatkov uporablja izjema glede nacionalne varnosti;

b) omejitve uporabe množičnih pooblastil Združenega kraljestva niso določene v sami zakonodaji, kot to zahteva Sodišče Evropske unije (ampak so prepuščene izvršni presoji pod spoštljivim sodnim nadzorom);

c) je opis sekundarnih podatkov (metapodatki) v osnutkih sklepov zelo zavajajoč in ne pove, da lahko ti podatki mnogo razkrijejo, so vsiljivi ter da se lahko analizirajo na zelo izpopolnjen avtomatiziran način (kot je Sodišče Evropske unije ugotovilo v zadevi Digital Rights Ireland[25]), vendar metapodatki po zakonodaji Združenega kraljestva niso smiselno zaščiteni pred neupravičenim dostopom, množičnim zbiranjem in analizo na podlagi umetne inteligence s strani obveščevalnih agencij Združenega kraljestva;

d) si agencije „petih oči“, zlasti GCHQ in Agencija za nacionalno varnost (v nadaljevanju: NSA), v praksi izmenjujejo vse obveščevalne podatke;

poleg tega poudarja, da za državljane Združenega kraljestva v ZDA veljajo nekateri neformalno dogovorjeni zaščitni ukrepi med GCHQ in NSA; izraža globoko zaskrbljenost, da ti zaščitni ukrepi ne bodo varovali državljanov ali prebivalcev EU, katerih podatki so lahko predmet nadaljnjega prenosa in izmenjave z NSA;

17. poziva države članice, naj z Združenim kraljestvom sklenejo sporazume o prepovedi vohunjenja, in poziva Komisijo, naj prek svojih sogovornikov iz Združenega kraljestva posreduje sporočilo, da bi bila brez sprememb zakonodaje in praks Združenega kraljestva o nadzoru edina izvedljiva možnost za lažje sprejemanje sklepov o ustreznosti sklenitev sporazumov o prepovedi vohunjenja z državami članicami;

Nadaljnji prenos

18. odločno poudarja, da je z zakonom o izstopu iz Evropske unije iz leta 2018 določeno, da bo sodna praksa Sodišča Evropske unije, ki je nastala pred koncem prehodnega obdobja, „ohranjeno pravo EU“ in s tem pravno zavezujoča za Združeno kraljestvo; poudarja, da Združeno kraljestvo pri ocenjevanju ustreznosti tretjih držav, ki niso članice EU, zavezujejo načela in pogoji, opredeljeni v sodbah Sodišča Evropske unije v zadevi Schrems I in Schrems II; je zaskrbljen, da sodišča Združenega kraljestva kljub temu ne bodo več uporabljala Listine; poudarja, da Združeno kraljestvo ni več pod jurisdikcijo Sodišča Evropske unije, ki je najvišji organ, pristojen za razlago listine;

19. poudarja, da pravila Združenega kraljestva o izmenjavi osebnih podatkov v skladu z zakonom o digitalnem gospodarstvu iz leta 2017 in o nadaljnjih prenosih raziskovalnih podatkov očitno niso „v bistvenem enakovredna“ pravilom iz splošne uredbe o varstvu podatkov, kot jih razlaga Sodišče Evropske unije;

20. je zaskrbljen, ker si je Združeno kraljestvo podelilo pravico, da razglasi, da druge tretje države ali ozemlja zagotavljajo ustrezno varstvo podatkov, ne glede na to, ali se v EU meni, da zadevna tretja država ali ozemlje zagotavlja tako zaščito; opozarja, da je Združeno kraljestvo že razglasilo, da Gibraltar zagotavlja takšno zaščito, čeprav EU tega ni storila; je zelo zaskrbljen, da bi status ustreznosti Združenega kraljestva privedel do tega, da bi se zaobšla pravila EU o prenosih v države ali ozemlja, ki v skladu s pravom EU ne veljajo za primerna;

21. je seznanjen, da je Združeno kraljestvo 1. februarja 2021 poslalo prošnjo za pridružitev Celostnemu in naprednemu sporazumu za čezpacifiško partnerstvo, zlasti da „bi imelo koristi od sodobnih pravil digitalne trgovine, ki omogočajo prost pretok podatkov med članicami, odpravilo nepotrebne ovire za podjetja [itd.]“; z zaskrbljenostjo ugotavlja, da ima to partnerstvo enajst članov, od katerih jih osem ni prejelo sklepa EU o ustreznosti; je zelo zaskrbljen zaradi morebitnih nadaljnjih prenosov osebnih podatkov državljanov in prebivalcev EU v te države, če bo Združenemu kraljestvu odobren sklep o ustreznosti[26];

22. obžaluje, da Komisija ni ocenila učinka in morebitnih tveganj sporazuma o celovitem gospodarskem partnerstvu med Združenim kraljestvom Velika Britanija in Severna Irska ter Japonsko, ki vključuje določbe o osebnih podatkih in ravni varstva podatkov;

23. je zaskrbljen, da bi bila ogrožena raven varstva, ki jo zagotavlja splošna uredba o varstvu podatkov, če bi Združeno kraljestvo vključilo določbe o prenosu podatkov v vse prihodnje trgovinske sporazume, med drugim v trgovinske sporazume med ZDA in Združenim kraljestvom;

II. Direktiva o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj

24. poudarja, da je Združeno kraljestvo prva država, za katero je Komisija predlagala sprejetje sklepa o ustreznosti v skladu z Direktivo (EU) 2016/680;

25. je seznanjen s sporazumom Združenega kraljestva z ZDA[27] o čezmejnem dostopu do podatkov na podlagi ameriškega zakona o pojasnitvi zakonite tuje uporabe podatkov, ki naj bi olajšal prenose za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj; je zelo zaskrbljen, da bo organom ZDA omogočil neupravičen dostop do osebnih podatkov državljanov in prebivalcev EU; se strinja z zaskrbljenostjo Evropskega odbora za varstvo podatkov, da zaščitni ukrepi iz krovnega sporazuma med EU in ZDA[28], ki se smiselno uporabljajo, ne bi izpolnjevali meril o jasnih, natančnih in dostopnih pravilih v zvezi z dostopom do osebnih podatkov ali ne bi zadostno vključevali zaščitnih ukrepov, da bi bili učinkoviti in izvedljivi v okviru prava Združenega kraljestva;

26. želi spomniti, da je treba sodbo Sodišča Evropske unije C-623/17 razlagati tako, da nasprotuje nacionalni zakonodaji, ki državnim organom omogoča, da od ponudnikov elektronskih komunikacijskih storitev zahtevajo, da zaradi zagotavljanja nacionalne varnosti opravijo splošen in neselektiven prenos podatkov o prometu in lokaciji državnim varnostnim in obveščevalnim agencijam;

27. ugotavlja, da je Sodišče Evropske unije v tej zadevi razsodilo, da je zbiranje množičnih podatkov v Združenem kraljestvu, kot je urejeno z zakonom o preiskovalnih pooblastilih iz leta 2000, nezakonito; poudarja, da je bila ta ureditev potem nadomeščena z zakonom o preiskovalnih pooblastilih iz leta 2016, ki naj bi okrepil načeli nujnosti in sorazmernosti; poudarja, da zakon o preiskovalnih pooblastilih iz leta 2016 določa sodni nadzor nad prestrezanjem ter posameznikom omogoča dostop do njihovih podatkov in vlaganje pritožb pred sodiščem za preiskovalna pooblastila; vendar obžaluje, da zakon o preiskovalnih pooblastilih iz leta 2016 še naprej omogoča hrambo množičnih podatkov;

28. je zaskrbljen zaradi nedavnih poročil, da je sistem množičnega zbiranja in hrambe podatkov del preizkusa ministrstva Združenega kraljestva za notranje zadeve, ki poteka v okviru zakona o preiskovalnih pooblastilih iz leta 2016;

29. poudarja, da Evropski parlament v resoluciji z dne 12. februarja 2020 poudaril, da Združeno kraljestvo ne more imeti neposrednega dostopa do podatkov iz informacijskih sistemov EU niti sodelovati v upravljavskih strukturah agencij EU na območju svobode, varnosti in pravice, za vsako izmenjavo informacij z Združenim kraljestvom, vključno z osebnimi podatki, pa bi morala veljati stroga pravila glede jamstev, revizije in nadzora, vključno z enakovredno ravnjo varstva osebnih podatkov, kot jo zagotavlja pravo EU; je zaskrbljen zaradi ugotovljenih pomanjkljivosti in kršitev pri tem, kako je Združeno kraljestvo izvajalo pravo o varstvu podatkov, ko je bilo še članica EU; ugotavlja, da je Združeno kraljestvo kopiralo podatke iz schengenskega informacijskega sistema in kopije hranilo; poudarja, da je ne glede na to, da Združeno kraljestvo nima več dostopa do schengenskega informacijskega sistema, iz teh kršitev razvidno, da organom Združenega kraljestva, tudi ko je Združeno kraljestvo še bilo država članica EU, ni bilo mogoče zaupati podatkov o državljanih EU; zato obžaluje, da Komisija ni izpolnila svoje naloge varuhinje Pogodb in ni Združenega kraljestva prisilila, da bi čim prej in ustrezno rešilo te težave ter dokazalo, da mu je mogoče zaupati obdelavo osebnih podatkov za preprečevanje, preiskovanje, odkrivanje ali preganjanje kaznivih dejanj ali izvrševanje kazenskih sankcij; je zato zaskrbljen glede izmenjave podatkov z organi kazenskega pregona Združenega kraljestva in da ima Združeno kraljestvo še naprej dostop do podatkovnih zbirk EU na področju kazenskega pregona;

30. je zaskrbljen zaradi razkritja iz januarja 2021, da je bilo iz nacionalnega policijskega računalnika v Združenem kraljestvu po nesreči izbrisanih 400.000 kazenskih evidenc; poudarja, da to ne povečuje zaupanja v prizadevanja Združenega kraljestva na področju varstva podatkov za namene preprečevanja, odkrivanja in preiskovanja kaznivih dejanj;

31. ugotavlja, da v osnutku sklepa o ustreznosti niso upoštevane dejanske nadzorne prakse Združenega kraljestva in da kaže na netočno in omejeno razumevanje vrst komunikacijskih podatkov, ki spadajo v pristojnost Združenega kraljestva za hrambo podatkov in zakonito prestrezanje;

32. poudarja, da sporazum o trgovini in sodelovanju med EU in Združenim kraljestvom vključuje poglavja o izmenjavi DNK, prstnih odtisov in podatkov iz registrov vozil, prenosu in obdelavi podatkov iz evidence podatkov o potnikih, sodelovanju v zvezi z operativnimi informacijami ter sodelovanja z Europolom in Eurojustom, ki se bodo uporabljala ne glede na sklep o ustreznosti; vendar opozarja na pomisleke iz mnenja Odbora za državljanske svoboščine, pravosodje in notranje zadeve iz februarja 2021 o sporazumu o trgovini in sodelovanju glede posebne uporabe in daljše hrambe osebnih podatkov, do katerih je Združeno kraljestvo upravičeno v skladu s poglavji o prümski pogodbi in o podatkih iz evidence podatkov o potnikih iz sporazuma o trgovini in sodelovanju, ki niso v skladu z načini uporabe in hrambe v državah članicah; opominja na pravico, da se za preverjanje zakonitosti prihodnjega mednarodnega sporazuma, še zlasti njegove skladnosti z zaščito temeljnih pravic, vloži tožba pri Sodišču Evropske unije[29];

Ugotovitve

33. poziva Komisijo, naj podjetjem v EU zagotovi, da bo s sklepom o ustreznosti zagotovljena trdna, zadostna in v prihodnost usmerjena pravna podlaga za prenos podatkov; poudarja, da je treba zagotoviti, da se bo ta sklep o ustreznosti štel za sprejemljiv, če ga bo pregledalo Sodišče Evropske unije, in da bi bilo treba zato upoštevati vsa priporočila iz mnenja Evropskega odbora za varstvo podatkov;

34. meni, da Komisija s sprejetjem dveh izvedbenih sklepov, ki nista v skladu s pravom Unije, ne da bi odgovorila na vse pomisleke, izražene v tej resoluciji, presega izvedbena pooblastila, podeljena z Uredbo (EU) 2016/679 in Direktivo (EU) 2016/680; nasprotuje izvedbenima aktoma, saj osnutka izvedbenih sklepov nista skladna s pravom EU;

35. poziva Komisijo, naj osnutka izvedbenih sklepov spremeni tako, da bosta v celoti skladna s pravom EU in sodno prakso;

36. zahteva, da nacionalni organi za varstvo podatkov prekinejo prenos osebnih podatkov, do katerih bi lahko obveščevalni organi Združenega kraljestva dostopali neselektivno, če bi Komisija sprejela sklepe o ustreznosti v zvezi z Združenim kraljestvom, preden Združeno kraljestvo reši zgoraj navedene probleme;

37. poziva Komisijo in pristojne organe Združenega kraljestva, naj pripravijo akcijski načrt, da bi čim prej odpravili pomanjkljivosti, ugotovljene v mnenjih Evropskega odbora za varstvo podatkov, in druga odprta vprašanja v zvezi z varstvom podatkov v Združenem kraljestvu, kar mora biti temeljni pogoj za končni sklep o ustreznosti;

38. poziva Komisijo, naj še naprej pozorno spremlja raven varstva podatkov ter zakonodajo in prakso o množičnem nadzoru v Združenem kraljestvu; poudarja, da so v Poglavju V splošne uredbe o varstvu podatkov tudi druge pravne možnosti za prenose osebnih podatkov v Združeno kraljestvo; opozarja, da morajo biti v skladu s smernicami Evropskega odbora za varstvo podatkov prenosi, ki se zanašajo na odstopanja za posebne primere v skladu s členom 49 splošne uredbe o varstvu podatkov, izjema;

39. obžaluje, da Komisija ni upoštevala pozivov Parlamenta k prekinitvi izvajanja zasebnostnega ščita, dokler organi ZDA ne bi izpolnili njegovih pogojev, ampak je namesto tega vedno raje „spremljala stanje“ brez konkretnih rezultatov v smislu varstva podatkov za posameznike in pravne varnosti za podjetja; poziva Komisijo, naj se uči iz svojih preteklih napak, ko ni upoštevala pozivov Parlamenta in strokovnjakov v zvezi s sklepanjem in spremljanjem preteklih sklepov o ustreznosti, ter naj ustreznega izvajanja prava EU o varstvu podatkov ne preloži na Sodišče Evropske unije, ki odloča na podlagi tožb posameznikov;

40. poziva Komisijo, naj pravo Združenega kraljestva o varstvu podatkov natančno spremlja, Parlament nemudoma obvesti in se z njim posvetuje o vseh prihodnjih spremembah ureditve varstva podatkov v Združenem kraljestvu, in naj Parlamentu prepusti nadzorno vlogo v novem institucionalnem okviru, tudi ustreznih organov, kot je Specializirani odbor za sodelovanje na področju kazenskega pregona in pravosodnega sodelovanja;

°

° °

41. naroči svojemu predsedniku, naj to resolucijo posreduje Komisiji, državam članicam ter vladi Združenega kraljestva.