ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ 2014-2019 Επιτροπή Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων 14.7.2014 ΕΓΓΡΑΦΟ ΕΡΓΑΣΙΑΣ σχετικά με τη μελλοντική διεθνή συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης (ΕΕ) και των Ηνωμένων Πολιτειών της Αμερικής (ΗΠΑ) για την προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία διαβιβάζονται και τυγχάνουν επεξεργασίας με στόχο την πρόληψη, τη διερεύνηση, την αποκάλυψη και τη δίωξη αξιόποινων πράξεων, συμπεριλαμβανομένης της τρομοκρατίας, στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις Επιτροπή Πολιτικών Ελευθεριών, Δικαιοσύνης και Εσωτερικών Υποθέσεων Εισηγητής: Jan Philipp Albrecht DT\1031547.doc PE536.151v02-00 Eνωμένη στην πολυμορφία
I. Εισαγωγή Στις 3 Δεκεμβρίου 2010, το Συμβούλιο εξέδωσε απόφαση με την οποία εξουσιοδοτεί την Επιτροπή να ξεκινήσει διαπραγματεύσεις για τη σύναψη συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα, τα οποία διαβιβάζονται και τυγχάνουν επεξεργασίας με στόχο την πρόληψη, τη διερεύνηση, την αποκάλυψη και τη δίωξη αξιόποινων πράξεων, συμπεριλαμβανομένης της τρομοκρατίας, στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (εφεξής «σφαιρική συμφωνία»). Σύμφωνα με την εντολή που δόθηκε στην Επιτροπή, σκοπός της εν λόγω συμφωνίας είναι η εξασφάλιση υψηλού επιπέδου προστασίας των θεμελιωδών δικαιωμάτων και των ελευθεριών των προσώπων, ιδίως του δικαιώματος στην ιδιωτική ζωή σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία διαβιβάζονται και τυγχάνουν επεξεργασίας από τις αρμόδιες αρχές της ΕΕ, των κρατών μελών της ΕΕ και των ΗΠΑ για τους εν λόγω σκοπούς. Η συμφωνία αναμένεται να εξασφαλίσει υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα σύμφωνα με τα δικαιώματα και τις αρχές που ορίζονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, στην Ευρωπαϊκή Σύμβαση για την Προάσπιση των Δικαιωμάτων του Ανθρώπου και των Θεμελιωδών Ελευθεριών και το παράγωγο δίκαιο της ΕΕ. Επιπλέον, μέσω της συμφωνίας θα θεσπιστούν νομικώς δεσμευτικά και εκτελεστά δικαιώματα προστασίας για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα, καθώς και μηχανισμοί που θα εξασφαλίζουν την αποτελεσματική εφαρμογή των εν λόγω προτύπων στην πράξη. Ειδικότερα, η συμφωνία θα πρέπει να περιλαμβάνει ειδικές διατάξεις όσον αφορά τα ακόλουθα: Οριοθέτηση του σκοπού των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται και υποβάλλονται σε επεξεργασία. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία για καθορισμένους, ρητούς και νόμιμους σκοπούς εντός του πεδίου εφαρμογής της συμφωνίας και να μην τυγχάνουν περαιτέρω επεξεργασίας κατά τρόπο ασυμβίβαστο προς τους εν λόγω σκοπούς Ποιότητα και ακεραιότητα των δεδομένων, ήτοι τα δεδομένα προσωπικού χαρακτήρα πρέπει να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, και περίοδος διατήρησης των δεδομένων Διασφαλίσεις όσον αφορά την επεξεργασία ευαίσθητων δεδομένων PE536.151v02-00 2/8 DT\1031547.doc
Κανόνες για τις περαιτέρω διαβιβάσεις δεδομένων τόσο στις εθνικές αρχές των συμβαλλομένων μερών όσο και στις αρχές τρίτων χωρών Δικαιώματα πρόσβασης των προσώπων στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν, δικαίωμα διόρθωσης, διαγραφής και κλειδώματος των προσωπικών τους δεδομένων οποιοσδήποτε περιορισμός των εν λόγω δικαιωμάτων θα πρέπει να είναι αναγκαίος και αναλογικός και να εξυπηρετεί ειδικούς σκοπούς Δικαίωμα ενημέρωσης του προσώπου στο οποίο αναφέρονται τα δεδομένα Δικαίωμα του προσώπου στο οποίο αναφέρονται τα δεδομένα σε αποτελεσματικά και εκτελεστά μέσα διοικητικής και δικαστικής προσφυγής και Αποτελεσματική εποπτεία από δημόσιες ανεξάρτητες αρχές στις οποίες θα πρέπει να ανατίθενται ουσιαστικές εξουσίες έρευνας και παρέμβασης. Η συμμόρφωση με τις διατάξεις της συμφωνίας θα υπόκειται στον έλεγχο ανεξάρτητης δημόσιας αρχής σύμφωνα με το άρθρο 8 του Χάρτη της ΕΕ. Είναι σημαντικό να τονιστεί ότι η ίδια η συμφωνία δεν παρέχει τη νομική βάση για την επεξεργασία και τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε μια συγκεκριμένη περίπτωση. Η νομική βάση πρέπει να αναζητηθεί στην Ένωση ή στις διμερείς συμφωνίες που έχουν συναφθεί με τις ΗΠΑ (π.χ. συμφωνία PNR μεταξύ της ΕΕ και των ΗΠΑ για την επεξεργασία των καταστάσεων με τα ονόματα των επιβατών ή συμφωνία TFTP μεταξύ της ΕΕ και των ΗΠΑ για τα χρηματοπιστωτικά μηνύματα πληρωμών για σκοπούς επιβολής του νόμου) και αφορούν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα. Η συμφωνία απλώς θεσπίζει το νομικό πλαίσιο προστασίας των δεδομένων που θα διέπει τις διατλαντικές ανταλλαγές δεδομένων προσωπικού χαρακτήρα, εξασφαλίζοντας με αυτό τον τρόπο ένα εναρμονισμένο νομικό πλαίσιο προστασίας υψηλού επιπέδου. Στις 28 Μαρτίου 2011, η Επιτροπή ξεκίνησε διαπραγματεύσεις με τις ΗΠΑ. Έκτοτε έχουν διεξαχθεί πολλοί γύροι διαπραγματεύσεων. Το ζήτημα περιλαμβάνεται συχνά στην ατζέντα των διασκέψεων των υπουργών δικαιοσύνης και εσωτερικών υποθέσεων της ΕΕ και των ΗΠΑ 1. Στις 25 Ιουνίου 2014, ο Γενικός Εισαγγελέας των ΗΠΑ, κ. Eric Holder, ανακοίνωσε ότι θα αναλάβει νομοθετική δράση για την παροχή μέσων δικαστικής προσφυγής στους Ευρωπαίους που δεν διαμένουν στις ΗΠΑ. Η Ευρωπαϊκή Επιτροπή επικρότησε την πρωτοβουλία αυτή, καθώς η νομοθεσία των ΗΠΑ θα μπορούσε «να ανοίξει τον δρόμο για 1 Βλέπε, μεταξύ άλλων, την κοινή δήλωση μετά τη διάσκεψη των υπουργών δικαιοσύνης και εσωτερικών υποθέσεων ΕΕ και ΗΠΑ της 18ης Νοεμβρίου 2013 στην Ουάσινγκτον: DT\1031547.doc 3/8 PE536.151v02-00
την ολοκλήρωση των διαπραγματεύσεων για μια σφαιρική συμφωνία στον τομέα της προστασίας των δεδομένων» 1. II. Τρέχουσα κατάσταση Στα προηγούμενα έγγραφα εργασίας της 10ης Σεπτεμβρίου 2010 2, ο εισηγητής προέβη σε γενική περιγραφή του νομικού πλαισίου της ΕΕ και των ΗΠΑ σχετικά με την επεξεργασία δεδομένων για σκοπούς επιβολής του νόμου, παρουσιάζοντας τον διαφορετικό τρόπο προσέγγισης του δικαίου της ΕΕ και των ΗΠΑ ως προς την προστασία των δεδομένων. Ο εισηγητής υπογράμμισε ορισμένα ζητήματα στα οποία πρέπει να δοθεί ιδιαίτερη προσοχή: την έλλειψη ενιαίου πλαισίου για την προστασία των δεδομένων στις δύο πλευρές του Ατλαντικού, την τρέχουσα επανεξέταση του πλαισίου για την προστασία των δεδομένων στην ΕΕ, συμπεριλαμβανομένης της ενσωμάτωσης του νόμου περί προστασίας δεδομένων για τον ιδιωτικό και τον δημόσιο τομέα, τη διαφορετική προσέγγιση όσον αφορά την έννοια της «ανεξάρτητης εποπτείας», τις αρχές της αναλογικότητας, της ελαχιστοποίησης των δεδομένων, των ελάχιστων περιόδων φύλαξης και του περιορισμού του σκοπού, συμπεριλαμβανομένων των συνεχιζόμενων συζητήσεων σχετικά με την κατάρτιση προφίλ και την εξόρυξη δεδομένων, τον ορισμό της έννοιας «εθνική ασφάλεια», την εφαρμογή των κανόνων σχετικά με την προστασία των δεδομένων, συμπεριλαμβανομένου του δικαιώματος δικαστικής προσφυγής, για κάθε άτομο, ανεξαρτήτως ιθαγένειας ή τόπου διαμονής. 1 2 Διάσκεψη των υπουργών δικαιοσύνης και εσωτερικών υποθέσεων ΕΕ και ΗΠΑ της 25ης Ιουνίου 2014 στην Αθήνα: Η Αντιπρόεδρος κ. Reding επικροτεί την ανακοίνωση των ΗΠΑ για μια σφαιρική συμφωνία στον τομέα της προστασίας των δεδομένων, HYPERLINK "http://europa.eu/rapid/pressrelease_statement-14-208_en.htm" http://europa.eu/rapid/press-release_statement-14-208_en.htm. PE448.804v01-00 και PE448.805v01.00 PE536.151v02-00 4/8 DT\1031547.doc
Υπάρχουν επίσης εκκρεμή ζητήματα που αφορούν, για παράδειγμα, τους όρους πρόσβασης των αρχών επιβολής του νόμου στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζουν ιδιωτικές εταιρείες από την επικράτεια του συμβαλλόμενου μέρους Β σε εταιρείες που έχουν την έδρα τους στην επικράτεια του συμβαλλόμενου μέρους Α. Οι αποκαλύψεις σχετικά με τη μαζική ηλεκτρονική παρακολούθηση πολιτών της ΕΕ από τις υπηρεσίες πληροφοριών των ΗΠΑ, που είχαν ως αποτέλεσμα την έκδοση ψηφίσματος από το Ευρωπαϊκό Κοινοβούλιο στις 12 Μαρτίου 2014 1, επηρέασαν την πορεία των διαπραγματεύσεων για μια σφαιρική συμφωνία στον τομέα της προστασίας των δεδομένων. Η έρευνα που διενεργήθηκε από το Κοινοβούλιο οδήγησε σε «αδιαμφισβήτητες αποδείξεις για την ύπαρξη εκτεταμένων, πολύπλοκων και ιδιαίτερα τεχνολογικά εξελιγμένων συστημάτων που έχουν σχεδιαστεί από υπηρεσίες πληροφοριών των ΗΠΑ και ορισμένων κρατών μελών για τη συλλογή, την αποθήκευση και την ανάλυση δεδομένων επικοινωνιών, συμπεριλαμβανομένων δεδομένων περιεχομένου, θέσης και μεταδεδομένων όλων των πολιτών σε ολόκληρο τον κόσμο σε άνευ προηγουμένου κλίμακα κατά τρόπο χωρίς διακρίσεις και μη βασιζόμενο σε υποψίες» 2. Στο ψήφισμά του, το Κοινοβούλιο επισημαίνει με ιδιαίτερη έμφαση ότι «δεδομένης της σημασίας της ψηφιακής οικονομίας για τη σχέση και την αποκατάσταση της εμπιστοσύνης μεταξύ ΕΕ και ΗΠΑ, το Ευρωπαϊκό Κοινοβούλιο θα συναινέσει μόνο στην τελική συμφωνία διατλαντικής εμπορικής και επενδυτικής εταιρικής σχέσης υπό την προϋπόθεση ότι, έως ότου διακοπούν πλήρως οι δραστηριότητες μαζικής παρακολούθησης και η μαζική επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και να εγκαταλειφθεί πλήρως η παρακολούθηση συνδιαλέξεων θεσμικών οργάνων και διπλωματικών αντιπροσωπειών της ΕΕ για να εξευρεθεί η δέουσα λύση για τα δικαιώματα των πολιτών της ΕΕ στον τομέα της προστασίας των δεδομένων, όπου περιλαμβάνεται και η δυνατότητα διοικητικής και δικαστικής προσφυγής» 3. Συγκεκριμένα, το Κοινοβούλιο ζήτησε η σφαιρική συμφωνία να προβλέπει 1 2 3 P7_TA-PROV(2014)0230 Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 σχετικά με το πρόγραμμα παρακολούθησης της υπηρεσίας εθνικής ασφάλειας (NSA) των ΗΠΑ, τα όργανα παρακολούθησης σε διάφορα κράτη μέλη και τον αντίκτυπό τους στα θεμελιώδη δικαιώματα των πολιτών της ΕΕ, και με τη διατλαντική συνεργασία στον τομέα της δικαιοσύνης και των εσωτερικών υποθέσεων, P7_TA- PROV(2014)0230, παράγραφος 1. Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 σχετικά με το πρόγραμμα παρακολούθησης της υπηρεσίας εθνικής ασφάλειας (NSA) των ΗΠΑ, τα όργανα παρακολούθησης σε διάφορα κράτη μέλη και τον αντίκτυπό τους στα θεμελιώδη δικαιώματα των πολιτών της ΕΕ, και με τη διατλαντική συνεργασία στον τομέα της δικαιοσύνης και των εσωτερικών υποθέσεων, P7_TA- PROV(2014)0230, παράγραφος 74. DT\1031547.doc 5/8 PE536.151v02-00
αποτελεσματικά και εφικτά διοικητικά και ένδικα μέσα για όλους τους πολίτες της ΕΕ στις ΗΠΑ, χωρίς διακρίσεις 1. Το Κοινοβούλιο ζήτησε επίσης από την Επιτροπή να μην προβεί σε νέες τομεακές συμφωνίες ή ρυθμίσεις με τις ΗΠΑ όσον αφορά τη διαβίβαση προσωπικών δεδομένων για σκοπούς επιβολής του νόμου έως ότου τεθεί σε ισχύ η εν λόγω σφαιρική συμφωνία 2. Τέλος, κατά την αξιολόγηση της έκβασης των διαπραγματεύσεων για τη σφαιρική συμφωνία, είναι σημαντικό να λαμβάνεται υπόψη η νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης, και ιδίως οι συνεκδικασθείσες υποθέσεις C-293/12 και C-594/12 Digital Rights Ireland και Seitlinger κ.λπ., στο πλαίσιο των οποίων το Δικαστήριο κηρύσσει άκυρη την οδηγία για τη διατήρηση των δεδομένων και εστιάζει στην ερμηνεία των άρθρων 7 και 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων. III. Εκκρεμή ζητήματα Οι αποκαλύψεις σχετικά με τη μαζική ηλεκτρονική παρακολούθηση δημιούργησαν νέα δεδομένα στις διαπραγματεύσεις για τη σφαιρική συμφωνία ΕΕ-ΗΠΑ. Πέραν της απαίτησης να χρησιμοποιηθεί μια διατύπωση που δεν θα επιδέχεται αμφισβήτηση και να επιβληθούν οι αρχές της προστασίας των δεδομένων σύμφωνα με τις υποχρεώσεις της ΕΕ για τήρηση των θεμελιωδών δικαιωμάτων, έχουν προκύψει νέα ζητήματα σχετικά με το πεδίο εφαρμογής της συμφωνίας ώστε να αποτραπεί αφενός η σύγχυση των ορίων μεταξύ επιβολής του νόμου και συλλογής πληροφοριών και αφετέρου ο ορισμός και η υπερβολική χρήση της έννοιας της εθνικής ασφαλείας. 1 2 Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 σχετικά με το πρόγραμμα παρακολούθησης της υπηρεσίας εθνικής ασφάλειας (NSA) των ΗΠΑ, τα όργανα παρακολούθησης σε διάφορα κράτη μέλη και τον αντίκτυπό τους στα θεμελιώδη δικαιώματα των πολιτών της ΕΕ, και με τη διατλαντική συνεργασία στον τομέα της δικαιοσύνης και των εσωτερικών υποθέσεων, P7_TA- PROV(2014)0230, παράγραφος 57. Ψήφισμα του Ευρωπαϊκού Κοινοβουλίου της 12ης Μαρτίου 2014 σχετικά με το πρόγραμμα παρακολούθησης της υπηρεσίας εθνικής ασφάλειας (NSA) των ΗΠΑ, τα όργανα παρακολούθησης σε διάφορα κράτη μέλη και τον αντίκτυπό τους στα θεμελιώδη δικαιώματα των πολιτών της ΕΕ, και με τη διατλαντική συνεργασία στον τομέα της δικαιοσύνης και των εσωτερικών υποθέσεων, P7_TA- PROV(2014)0230, παράγραφος 58. PE536.151v02-00 6/8 DT\1031547.doc
Σύμφωνα με τις πληροφορίες που έχει στη διάθεσή του ο εισηγητής, πέραν της ανάγκης για πρακτική και αποτελεσματική εφαρμογή της ενθαρρυντικής ανακοίνωσης των ΗΠΑ σχετικά με τη χορήγηση διοικητικών και ένδικων μέσων στους πολίτες της ΕΕ, η διατύπωση που εξετάζεται επί του παρόντος στο πλαίσιο των διαπραγματεύσεων δεν καλύπτει επαρκώς ουσιώδεις αρχές της προστασίας δεδομένων όσον αφορά, μεταξύ άλλων, τη διατήρηση των δεδομένων, τον περιορισμό του σκοπού, τις περαιτέρω διαβιβάσεις και την αποτελεσματική ανεξάρτητη εποπτεία. Οι όροι σχετικά με τη διατήρηση των δεδομένων προσωπικού χαρακτήρα δεν έχουν καταρτιστεί με την απαιτούμενη ακρίβεια. Επιπλέον, σε αντίθεση με την καθιερωμένη στο δίκαιο της ΕΕ αρχή του περιορισμού του σκοπού, μια υπηρεσία επιβολής του νόμου των ΗΠΑ που λαμβάνει δεδομένα προσωπικού χαρακτήρα από αρμόδια αρχή της ΕΕ δύναται να προβεί σε περαιτέρω χρήση των εν λόγω δεδομένων για άλλους σκοπούς και να τα μοιραστεί με άλλες αρχές επιβολής του νόμου. Η συμφωνία θα περιλαμβάνει την αρχή της μη διάκρισης, βάσει της οποίας κάθε αντισυμβαλλόμενο μέρος θα εφαρμόζει τις διατάξεις της συμφωνίας χωρίς διακρίσεις μεταξύ των υπηκόων του και των υπηκόων του άλλου μέρους. Ωστόσο, με αυτόν τον τρόπο δεν εξασφαλίζεται ότι η αντιμετώπιση των πολιτών της ΕΕ θα συνάδει πάντοτε με τις ελάχιστες απαιτήσεις του Χάρτη και της νομοθεσίας περί προστασίας δεδομένων της ΕΕ. Στην πραγματικότητα, η εν λόγω αρχή θα μπορούσε να έχει το αντίθετο αποτέλεσμα και να καθιστά άκυρα τα μέσα προστασίας που προβλέπει η συμφωνία με την αιτιολογία ότι η νομοθεσία ενός συμβαλλόμενου μέρους δεν χορηγεί στους υπηκόους του κανένα από τα μέσα προστασίας και τις διασφαλίσεις που προβλέπονται στη συμφωνία. Κάτι τέτοιο θα σήμαινε ότι ενώ οι πολίτες της ΕΕ θα αντιμετωπίζονταν χωρίς διακρίσεις, η αποτελεσματική προστασία και τα δικαιώματα που παρέχονται στην ΕΕ όσον αφορά το θεμελιώδες δικαίωμα στην προστασία των δεδομένων απλώς θα έπαυαν να ισχύουν κατά τη διαβίβαση των δεδομένων λόγω της εφαρμογής της αρχής της μη διάκρισης. Η εποπτεία των δραστηριοτήτων επεξεργασίας αποτελεί βασικό στοιχείο κάθε συστήματος προστασίας δεδομένων. Το άρθρο 8 του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και το άρθρο 16 της ΣΛΕΕ προβλέπουν ρητώς ότι η τήρηση των κανόνων προστασίας δεδομένων υπόκειται στον έλεγχο ανεξάρτητων αρχών. Με την προαναφερθείσα νομολογία του Δικαστηρίου, η έννοια αυτή αποσαφηνίζεται. Δεν είναι όμως σαφές με ποιον τρόπο εξασφαλίζεται η συμμόρφωση με την εν λόγω απαίτηση δεδομένου ότι, επί του παρόντος, αρμόδια για την εποπτεία είναι μια εσωτερική διεύθυνση της κυβέρνησης των ΗΠΑ, η οποία δεν διαθέτει τις ουσιαστικές εξουσίες επιβολής της αρμόδιας αρχής. DT\1031547.doc 7/8 PE536.151v02-00
IV Η συνέχεια που πρόκειται να δοθεί Ο εισηγητής είναι πεπεισμένος ότι η Επιτροπή, ως θεματοφύλακας των Συνθηκών, θα λάβει υπόψη τα εκκρεμή ζητήματα. Μόλις επιτευχθεί συμφωνία, θα διενεργηθεί αυστηρός έλεγχος της συμμόρφωσής της με τα πρότυπα προστασίας δεδομένων της ΕΕ. Σε περίπτωση αμφιβολίας, ο εισηγητής συνιστά στο Κοινοβούλιο να ζητήσει τη γνώμη του Δικαστηρίου της ΕΕ. PE536.151v02-00 8/8 DT\1031547.doc