EURÓPAI BIZOTTSÁG
Brüsszel, 2017.1.10.
COM(2017) 7 final
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK
A személyes adatok cseréje és védelme a globalizált világban
This document is an excerpt from the EUR-Lex website
Document 52017DC0007
COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Exchanging and Protecting Personal Data in a Globalised World
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK A személyes adatok cseréje és védelme a globalizált világban
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK A személyes adatok cseréje és védelme a globalizált világban
COM/2017/07 final
EURÓPAI BIZOTTSÁG
Brüsszel, 2017.1.10.
COM(2017) 7 final
A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK
A személyes adatok cseréje és védelme a globalizált világban
1. Bevezetés
A személyes adatok védelme a közös európai alkotmányos szerkezet részét képezi, alapelveit az Európai Unió Alapjogi Chartájának 8. cikke rögzíti. Az 1995. évi adatvédelmi irányelvtől 1 (a továbbiakban az 1995. évi irányelv) az általános adatvédelmi rendelet 2 és a rendőrségi adatvédelmi irányelv 3 2016-os elfogadásáig immár több mint húsz éve központi jelentőséggel bír az uniós jogban.
Amint azt 2016. szeptember 14-én az Európai Unió helyzetét értékelő beszédében az Európai Bizottság elnöke, Jean-Claude Juncker is hangsúlyozta: „[e]urópainak lenni annyit tesz, hogy személyes adataink védelmét erős, európai jogszabályok biztosítják. […] Mert Európában számít a magánélet. Ez az emberi méltóság része.”
Azonban nem csak Európában van igény a személyes adatok védelmére. A fogyasztók világszerte egyre nagyobb becsben tartják és óvják magánéletüket. A vállalkozások pedig kezdik felismerni, hogy a magánélet nagy fokú védelmével versenyelőnyre tehetnek szert, mivel erősödik a szolgáltatásaikba vetett bizalom. Sok – különösen nemzetközi jelenléttel rendelkező – vállalkozás igazítja adatvédelmi szabályzatát az általános adatvédelmi rendelethez, nemcsak azért, mert az Európai Unióban kíván üzleti tevékenységet folytatni, hanem azért is, mert követendő mintának tekinti.
Ehhez hasonlóan az EU közvetlen szomszédságában, valamint Ázsiában, Latin-Amerikában és Afrikában is több harmadik ország és Unión kívüli regionális szervezet fogad el új adatvédelmi jogszabályokat, vagy teszi naprakésszé hatályos rendelkezéseit, hogy kiaknázza a digitális világgazdaság kínálta lehetőségeket, és eleget tegyen a fokozott adatbiztonság és a magánélet nagyobb fokú védelme iránt egyre növekvő igényeknek. Az alkalmazott megközelítést és a jogalkotást tekintve ugyan tapasztalhatók különbségek az egyes országok között, azonban az államok különösen a világ bizonyos térségeiben egyértelműen törekednek arra, hogy jogi szabályozásukat a lényeges adatvédelmi alapelvekhez közelítsék 4 . Az eltérő adatvédelmi rendszerek összeegyeztethetőbbé tétele üzleti célból és a hatósági (például bűnüldözési) együttműködés terén is megkönnyítené a személyes adatok nemzetközi áramlását. Az Európai Uniónak meg kellene ragadnia ezt az alkalmat, hogy a jogrendszerek közelítésével érvényre juttassa az európai adatvédelmi értékeket és elősegítse az adatáramlást. A Bizottság munkaprogramjában 5 foglaltaknak megfelelően e közlemény ezért meghatározza az úgynevezett megfelelőségi határozatokhoz szükséges bizottsági stratégiai keretet, valamint az adattovábbításra vonatkozó egyéb eszközöket és nemzetközi adatvédelmi jogi eszközöket.
2. Az uniós adatvédelmi reformcsomag – Modern, a nemzetközi adatáramlást nagy fokú védelemmel támogató jogszabályi keret
Az uniós adatvédelmi szabályozás 2016 áprilisában elfogadott reformjával olyan rendszer jött létre, amely nagy fokú védelmet biztosít, de egyúttal az információs világtársadalomban rejlő lehetőségekre is nyitott. A reform kiszélesíti az egyének rendelkezési jogát a személyes adataik felett, ezzel erősíti a fogyasztói bizalmat a digitális gazdaság iránt. A jogi környezet harmonizálásával és egyszerűsítésével az uniós és a harmadik országbeli vállalkozások számára egyaránt könnyebbé és gördülékenyebbé teszi üzleti tevékenységeik folytatását az EU-ban, többek között nemzetközi adatcserén keresztül. Az EU jelenleg a nemzetközi adatáramlás iránti nyitottság mellett a lehető legmagasabb szintű adatvédelmet biztosítja az egyéneknek. Ennek köszönhetően jó eséllyel válhat az adatszolgáltatások csomópontjává, amihez szabad adatáramlásra és bizalomra egyaránt szükség van.
2.1. Átfogó, egységes és egyszerűsített uniós adatvédelmi keret
Az uniós reform átfogó keretet hoz létre, amely szabályozza a személyes adatok kezelését a magánszektorban és a közszférában, illetve az üzleti életben és a bűnüldözés terén egyaránt (az általános adatvédelmi rendelet, illetve a rendőrségi adatvédelmi irányelv).
Az általános adatvédelmi rendelet értelmében 2018 májusától 28 tagállam különböző jogszabályai helyett egységes, páneurópai szabályok lesznek hatályban. Az újonnan létrehozott egyablakos ügyintézési mechanizmus keretében egyetlen adatvédelmi hatóság felel majd a vállalkozások által az Európai Unión belül végzett, határon átnyúló adatkezelési tevékenységek felügyeletéért. Ezzel biztosítható az új szabályok egységes értelmezése. Kiemelendő, hogy a több nemzeti adatvédelmi hatóságot érintő, határon átnyúló ügyekben egyetlen határozat születik majd, így közös problémákra közös megoldást lehet találni. Emellett az általános adatvédelmi rendelet egyenlő versenyfeltételeket teremt az uniós és a harmadik országbeli vállalkozások számára azzal, hogy az Unión kívüli székhelyű vállalkozásoknak ugyanazokat a szabályokat kell alkalmazniuk, mint az európai vállalkozásoknak, amennyiben az Európai Unión belül kínálják áruikat és szolgáltatásaikat, vagy kísérik figyelemmel egyének viselkedését. A megnövekedett fogyasztói bizalom az uniós és harmadik országbeli üzleti szereplők számára egyaránt előnyös.
A rendőrségi adatvédelmi irányelv közös szabályokat rögzít a büntetőeljárásban érintett egyének – terheltek, áldozatok vagy tanúk – személyes adatainak kezelésére vonatkozóan, figyelembe véve a rendészet és a büntető igazságszolgáltatás sajátos jellegét. Az adatvédelmi szabályok, köztük a nemzetközi adattovábbításra vonatkozó előírások harmonizálása megkönnyíti majd a rendészeti és igazságügyi szervek közötti, határon átnyúló együttműködést az Európai Unión belül és nemzetközi partnerekkel egyaránt, így megteremti a bűnözés elleni eredményesebb küzdelem feltételeit. Ezzel jelentősen hozzájárul az európai biztonsági stratégia 6 végrehajtásához.
2.2. Nemzetközi adattovábbításra szolgáló megújult, sokrétű eszköztár
Az uniós adatvédelmi jogszabályok a kezdetektől fogva több, nemzetközi adattovábbítást lehetővé tevő mechanizmusról rendelkeztek. E szabályok elsősorban azt hivatottak biztosítani, hogy az európai polgárok személyes adatai változatlanul védelemben részesüljenek külföldre továbbításukkor is. Azóta ezek a szabályok számos országban szolgáltak mintaként a nemzetközi adatáramlás szabályozásához. A nemzetközi adattovábbításra vonatkozó szabályok reformja a jogi szabályozás felépítését az 1995. évi irányelvhez képest lényegében változatlanul hagyja, ugyanakkor tisztázza és egyszerűsíti a szabályok alkalmazását, és új eszközöket vezet be az adattovábbításhoz.
Az uniós jog értelmében a személyes adatok külföldre továbbításának egyik jogalapja lehet bizottsági megfelelőségi határozat, amely rögzíti, hogy az érintett harmadik ország az Unión belül biztosítottal „lényegében megegyező” 7 védelmi szintet biztosít. Az ilyen határozat joghatása, hogy lehetővé válik a személyes adatok szabad áramlása az adott harmadik országba anélkül, hogy az adatátadónak további garanciákat kellene biztosítania vagy valamilyen engedélyt be kellene szereznie. A harmadik ország jogrendszere által biztosított védelem megfelelőségének mérlegelésekor az Európai Bizottság által figyelembe veendő tényezők pontos és részletes jegyzéke az érdekelt országok és nemzetközi szervezetek rendelkezésére áll 8 . Az Európai Bizottság már a bűnüldözés terén is elfogadhat megfelelőségi határozatokat 9 . Ezenfelül az 1995. évi irányelven alapuló gyakorlatra építve a reform kifejezetten megengedi, hogy a megfelelőséget a harmadik országon belül bizonyos területre, illetve ágazatra vagy iparágra vonatkozóan állapítsák meg (ez az úgynevezett részleges megfelelőség) 10 .
Megfelelőségi határozat hiányában a nemzetközi adattovábbításhoz több olyan alternatív eszköz is rendelkezésre áll, amely megfelelő adatvédelmi garanciákról gondoskodik 11 . A reform hivatalos formába önti és kibővíti a meglévő jogi eszközök, például általános szerződési feltételek (ÁSZF) 12 és kötelező erejű vállalati szabályok (BCR) 13 alkalmazásának lehetőségeit. Például már uniós székhelyű adatfeldolgozók és harmadik országbeli adatfeldolgozók közötti szerződésekbe is belefoglalhatók ÁSZF-ek (úgynevezett adatfeldolgozók közötti mintafeltételek) 14 . Az ez idáig az egyazon vállalatcsoport tagjai közötti megállapodásokra korlátozódott, kötelező erejű vállalati szabályokat mostantól a közös gazdasági tevékenységet folytató, de nem feltétlenül ugyanahhoz a vállalatcsoporthoz tartozó vállalkozások csoportja is alkalmazhatja 15 . A reformnak köszönhetően a bürokrácia is csökken azáltal, hogy megszűnnek az általános követelmények, amelyek értelmében az ÁSZF-ek vagy kötelező erejű vállalati szabályok alapján harmadik országba történő adattovábbítást előzetesen közölni és engedélyeztetni kell az adatvédelmi hatóságokkal 16 . Ez lényeges egyszerűsítést jelent a nemzetközi adattovábbítás uniós rendszerében, mivel az ilyen – jelenleg tagállamonként eltérő – követelmények a tapasztalatok alapján gyakran gördítettek jelentős akadályt az adatáramlás útjába, különösen a kisebb vállalkozások számára 17 .
A reform emellett új jogi eszközöket vezet be a nemzetközi adattovábbításra vonatkozóan 18 . Az adatkezelők és adatfeldolgozók bizonyos feltételek 19 teljesülése esetén jóváhagyott magatartási kódexekkel vagy tanúsítási mechanizmusokkal (például adatvédelmi bélyegzőkkel vagy jelölésekkel) gondoskodhatnak „megfelelő garanciákról”. Ezáltal olyan egyedibb megoldások dolgozhatók ki a nemzetközi adattovábbításra, amelyek tükrözik például az adott ágazat vagy iparág, illetve bizonyos adatáramlások sajátos jellemzőit és igényeit. Emellett lehetőség nyílik nemzetközi megállapodásokban vagy igazgatási megállapodásokban megfelelő adattovábbítási garanciák rögzítésére a közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti adattovábbításra vonatkozóan 20 . Végül pedig az általános adatvédelmi rendelet egyértelműsíti azoknak az úgynevezett eltéréseknek 21 (például hozzájárulás, szerződés teljesítése vagy fontos közérdek) alkalmazását, amelyek alapján szervezetek meghatározott helyzetekben adatokat továbbíthatnak megfelelőségi határozat nélkül és valamely fent említett jogi eszköz alkalmazásától függetlenül. Kiemelendő, hogy új, jóllehet behatárolt eltérést határoz meg olyan adattovábbításra vonatkozóan, amely a vállalkozás jogos érdekeiből 22 történhet.
Végezetül a reform felhatalmazza az Európai Bizottságot arra, hogy az adatvédelmi szabályok érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítson ki, többek között kölcsönös segítségnyújtási megállapodások útján 23 . Ezzel megerősítést nyer, hogy a felügyeleti hatóságok közötti szorosabb nemzetközi együttműködés hozzájárulhat a személyhez fűződő jogok hatékonyabb védelméhez és a vállalkozások számára biztosított jogbiztonság növeléséhez.
3. Nemzetközi adattovábbítás az üzleti életben: a kereskedelem előmozdítása a magánélet védelme mellett
A magánélet tiszteletben tartása a stabil, biztonságos és versenyképes nemzetközi kereskedelmi forgalom feltétele. A magánélet nem bocsátható áruba 24 . Az internet, valamint az áruk és szolgáltatások digitalizációja ténylegesen átalakította a világgazdaságot, és az adatok, köztük a személyes adatok határon átnyúló továbbítása mérettől függetlenül valamennyi európai vállalkozás napi tevékenységének részét képezi minden ágazatban. Mivel a kereskedelem egyre nagyobb mértékben támaszkodik a személyes adatok áramlására, az ilyen adatok védelme és biztonsága a fogyasztói bizalom központi tényezőjévé vált. Az európai polgárok kétharmadát például aggodalommal tölti el, hogy semmilyen ellenőrzéssel nem rendelkezik az interneten megadott információi felett, a válaszadók fele pedig attól tart, hogy csalás áldozatává válik 25 . Ugyanakkor a bizonyos harmadik országokban tevékenykedő európai vállalkozások egyre gyakrabban szembesülnek jogos adatvédelmi szempontok alapján nem indokolt, protekcionista korlátozásokkal.
A digitális korban a szigorú adatvédelem támogatásának és a nemzetközi kereskedelem előmozdításának szükségszerűen össze kell fonódnia. Míg a személyes adatok védelme kereskedelmi megállapodásokban nem lehet alku tárgya 26 , a nemzetközi adattovábbítás fentiekben ismertetett uniós szabályozása különféle eszközöket kínál, amelyekkel különböző helyzetekben, nagy fokú védelem biztosítása mellett lehetővé tehető az adatáramlás.
3.1. Megfelelőségi határozatok
A megfelelőség megállapításával a személyes adatok szabadon továbbíthatók az Európai Unión kívülre anélkül, hogy az Unión belüli adatátadónak kiegészítő garanciákat kellene alkalmaznia vagy további feltételeknek kellene eleget tennie. Annak megállapításával, hogy az adott ország jogrendje megfelelő szintű védelmet biztosít, a vonatkozó határozat elismeri, hogy az ország rendszere közelít az uniós tagállamok rendszeréhez. Következésképpen az érintett országba irányuló adattovábbítás az Unión belüli adattovábbításhoz hasonlóvá válik, és ezáltal kiváltságos hozzáférést nyújt az Unió egységes piacához, miközben az uniós piaci szereplők előtt is új kereskedelmi csatornákat nyit meg. A fentieknek megfelelően az elismeréshez elengedhetetlen az Unión belül biztosítotthoz mérhető (vagy azzal „lényegében egyenértékű”) 27 védelmi szint. Ehhez átfogóan értékelni kell a harmadik ország rendszerét, többek között a közhatalmi szerveknek a személyes adatokhoz bűnüldözési, nemzetbiztonsági vagy egyéb közérdekű célból való hozzáférésére vonatkozó szabályokat.
Ugyanakkor, amint azt 2015-ben a Bíróság Schrems-ügyben hozott ítélete is megerősítette, a megfelelőségre vonatkozó előírás nem követeli meg az uniós szabályok pontról pontra történő leképezését 28 . A vizsgálat ehelyett arra irányul, hogy a magánélet tiszteletben tartásához való jog tartalmát, hatékony végrehajtását, érvényesítését és felügyeletét tekintve az érintett harmadik ország rendszere összességében véve biztosítja-e az elvárt nagy fokú védelmet. Az eddig elfogadott megfelelőségi határozatok alapján az Európai Bizottság különféle – eltérő jogi hagyományokat tükröző – adatvédelmi rendszereket ismerhet el megfelelőként. E határozatok olyan országokat érintenek, amelyek az Európai Unióval és annak tagállamaival szoros kapcsolatot ápolnak (Svájc, Andorra, Feröer szigetek, Guernsey, Jersey, Man-sziget), jelentős kereskedelmi partnerek (Argentína, Kanada, Izrael, az Egyesült Államok), vagy az adatvédelmi jogszabályok fejlesztése szempontjából úttörő szerepet töltenek be térségükben (Új-Zéland, Uruguay).
Kanada és az Egyesült Államok esetében a határozatok „részleges” megfelelőségi megállapítást tartalmaznak. Kanada esetében a határozat kizárólag a személyes információk védelméről és az elektronikus dokumentumokról szóló kanadai törvény hatálya alá tartozó magánszervezetekre vonatkozik. A közelmúltban az EU–USA adatvédelmi pajzsról elfogadott határozat 29 különleges eset, mivel egyesült államokbeli általános adatvédelmi jogszabályok hiányában 30 a részt vevő vállalkozások által a megállapodásban foglalt szigorú adatvédelmi előírások alkalmazására tett kötelezettségvállalásokra támaszkodik, amelyek egyúttal az Egyesült Államok joga alapján érvényesíthetők. Emellett az adatvédelmi pajzs az Egyesült Államok által a nemzetbiztonsági célú adathozzáférés 31 tekintetében adott konkrét nyilatkozatokra és biztosítékokra épül, amelyek alátámasztják a megfelelőség megállapítását. E kötelezettségvállalások teljesítését az Európai Bizottság majd szorosan figyelemmel kíséri, és a keret működésének éves felülvizsgálata keretében értékeli.
Világszerte egyre több ország fogadott el az utóbbi években vagy készül elfogadni új jogszabályokat az adatvédelem és a magánélet védelme terén. 2015-ben 109 ország rendelkezett adatvédelmi jogszabályokkal, ami jelentős növekedés a 2011 közepén regisztrált 76-hoz képest 32 . Ezenkívül jelenleg mintegy 35 országban van folyamatban az adatvédelmi jogszabályok kidolgozása 33 . Az új vagy aktualizált jogszabályok jellemzően az alapvető fontosságú közös elvekre, többek között az adatok védelméhez való jog alapvető jogként való elismerésére, az e területet szabályozó átfogó jogszabályok elfogadására, az egyének magánélethez való, érvényesíthető jogának fennállására, valamint a független felügyeleti hatóság létrehozására épülnek. Ezáltal – különösen a megfelelőség megállapításának köszönhetően – új lehetőségek nyílnak meg, amelyekkel előmozdítható az adatáramlás, és egyúttal a személyes adatok folyamatosan magas szintű védelme is garantálható.
Az uniós jog szerint a megfelelőség megállapításához az Unión belüli adatvédelmi szabályokhoz hasonló rendelkezésekre van szükség 34 . Ez a személyes adatok védelmének tartalmi elemeire és a harmadik országban e téren rendelkezésre álló felügyeleti és jogorvoslati lehetőségekre egyaránt vonatkozik.
A megfelelőségi megállapításokra vonatkozó keret alapján az Európai Bizottság szerint az alábbi szempontokat kell figyelembe venni annak értékelésekor, mely harmadik országokkal érdemes párbeszédet kezdeményezni a megfelelőségről 35 :
i. az adott harmadik országgal (ténylegesen vagy esetlegesen) fennálló uniós kereskedelmi kapcsolatok terjedelme, ideértve szabadkereskedelmi megállapodás meglétét, illetve arra vonatkozóan folyamatban lévő tárgyalásokat;
ii. a személyes adatok Európai Unióból kifelé irányuló áramlásának mértéke, tükrözve a földrajzi és/vagy kulturális kapcsolatokat;
iii. a harmadik ország által a magánélet és az adatok védelme terén betöltött úttörő szerep, amellyel példát mutathat az adott térség többi országa számára 36 ; valamint
iv. az adott harmadik országgal fennálló általános politikai kapcsolat, különös tekintettel a közös értékek és célkitűzések nemzetközi szinten való előmozdítására.
Az Európai Bizottság e szempontok figyelembevételével aktívan kezdeményez majd egyeztetéseket fő kelet- és délkelet-ázsiai kereskedelmi partnereivel, elsőként 2017-ben Japánnal és Dél-Koreával 37 , valamint – az adatvédelmi jogszabályainak korszerűsítésével kapcsolatos előrehaladás fényében – Indiával, továbbá latin-amerikai országokkal, különösen a Mercosur (Déli Közös Piac) országaival és a szomszédos európai országokkal, amelyek érdeklődnek megfelelőségük megállapítása iránt. A Bizottság emellett üdvözli, ha más harmadik országok is érdeklődésüket nyilvánítják ki az e kérdésekkel kapcsolatos együttműködés iránt. A megfelelőség esetleges megállapításáról szóló egyeztetés kétirányú párbeszéd, amelynek keretében a felek szükség szerint tisztázzák az uniós adatvédelmi szabályokat, és megvizsgálják, hogyan teremthető nagyobb összhang az Unió és harmadik országok jogszabályai és gyakorlata között.
Bizonyos helyzetekben az egész országra kiterjedő megközelítés helyett helyénvalóbb más lehetőségeket, például részleges vagy adott ágazatra (például a pénzügyi szolgáltatási vagy az informatikai szektorra) vonatkozó megfelelőséget választani, amely kiterjedhet földrajzi területre vagy az adott harmadik ország gazdaságának fontos részét képező iparágra. Ezt olyan tényezők fényében kell mérlegelni, mint az adatvédelmi szabályozás jellege és fejlettsége (önálló jogszabály, több jogszabály vagy ágazati jogszabályok stb.), a harmadik ország alkotmányos berendezkedése vagy az Unióból a harmadik országba irányuló adatáramlás kiemelt jelentősége bizonyos gazdasági ágazatok számára.
Megfelelőségi határozat elfogadásához külön párbeszédet kell indítani és szoros együttműködést kell kialakítani az érintett harmadik országgal. A megfelelőségi határozatok „élő” dokumentumok, amelyeket a Bizottságnak szorosan nyomon kell követnie, és az érintett harmadik ország által biztosított védelem szintjét érintő fejlemények esetén módosítania kell 38 . Ennek érdekében időről időre – legalább négyévente – felül kell vizsgálni e határozatokat, hogy a szorosan együttműködő partnerek megoldják a felmerülő kérdéseket és megosszák egymással bevált gyakorlataikat 39 . Ez a dinamikus szemlélet vonatkozik a már meglévő, az 1995. évi irányelv alapján elfogadott megfelelőségi határozatokra is, amelyeket felül kell vizsgálni, amennyiben már nem felelnek meg az alkalmazandó előírásoknak 40 . Az érintett harmadik országokat ezért a Bizottság arra kéri, hogy tájékoztassák a rájuk vonatkozó megfelelőségi határozat elfogadása óta jogszabályaikban és gyakorlataikban bekövetkezett lényeges változásokról. Ez elengedhetetlen ahhoz, hogy e határozatok a reformban rögzített új szabályok értelmében is hatályban maradjanak 41 .
Az uniós adatvédelmi szabályozás nem képezheti alku tárgyát szabadkereskedelmi megállapodásokban 42 . A harmadik országokkal folytatott, adatvédelemmel kapcsolatos párbeszédnek és kereskedelmi tárgyalásoknak ugyan egymástól elkülönülve kell zajlaniuk, a megfelelőségi határozat – ideértve a részleges vagy adott szektorra vonatkozó határozatokat is – a legjobb módja a kölcsönös bizalom növelésének, mivel garantálja a személyes adatok akadálytalan áramlását, ezzel pedig megkönnyítheti az adott harmadik országba irányuló adattovábbítással járó kereskedelmi forgalmat. Az ilyen határozatok tehát gördülékenyebbé tehetik a kereskedelmi tárgyalásokat, vagy kiegészíthetik a meglévő kereskedelmi megállapodásokat, növelve azok előnyeit. A megfelelőség megállapítása az Unión belül és a harmadik országban biztosított védelmi szint közelítésének előmozdítása révén egyúttal csökkenti annak a kockázatát is, hogy az érintett ország adatvédelmi okokra hivatkozva indokolatlan adatlokalizációs és adattárolási követelményeket vezessen be. Ezen túlmenően az Európai Bizottság „A mindenki számára előnyös kereskedelem” című közleményben leírtak szerint törekszik arra, hogy az EU kereskedelmi megállapodásait az elektronikus kereskedelemre és a határokon átnyúló adatáramlásra vonatkozó szabályok rögzítésére, valamint a digitális protekcionizmus új formáinak leküzdésére használja fel az uniós adatvédelmi szabályokkal teljes összhangban és azok sérelme nélkül 43 .
Az Európai Bizottság:
előtérbe helyezi a fő kelet- és délkelet-ázsiai kereskedelmi partnerekkel az esetleges megfelelőségi határozatokról szóló egyeztetéseket, elsőként Japánnal és Dél-Koreával 2017-ben, de más stratégiai partnerekkel, például Indiával is, emellett latin-amerikai országokkal, különösen a Mercosur (Déli Közös Piac) országaival, valamint a szomszédos európai országokkal;
szorosan nyomon követi a meglévő megfelelőségi határozatok érvényesülését. Ezzel összefüggésben megvalósítja az EU-USA adatvédelmi pajzs keretrendszerét, különösen az éves közös felülvizsgálati mechanizmuson keresztül;
együttműködik a szigorúbb adatvédelmi jogszabályok elfogadása iránt érdeklődő országokkal, segítséget nyújt nekik, és támogatja őket az uniós adatvédelmi elvekhez való közeledésben.
3.2. Alternatív adattovábbítási mechanizmusok
Az uniós adatvédelmi szabályok mindig elismerték, hogy nincs egyenmegoldás a nemzetközi adattovábbításra. Ez még inkább igaz a reformmal megalkotott szabályokra. A megfelelőséget ugyan csak azoknál a harmadik országoknál lehet megállapítani, amelyek megfelelnek a vonatkozó követelményeknek, az általános adatvédelmi rendelet azonban különféle olyan mechanizmusokról is rendelkezik, amelyek kellően rugalmasak ahhoz, hogy különböző adattovábbítási helyzetekhez igazodjanak. Ezáltal jogi eszközök dolgozhatók ki a bizonyos iparágak, üzleti modellek és/vagy piaci szereplők egyedi igényeinek vagy feltételeinek figyelembevételével. Ilyen eszközök lehetnek például az ÁSZF-ek, amelyek egy adott ágazat követelményeit elégítik ki, mint az érzékeny adatok egészségügyi ágazaton belüli feldolgozásakor alkalmazott külön garanciák, vagy amelyek bizonyos harmadik országokra jellemző, meghatározott adatkezelési tevékenységek, így az európai vállalkozásoknak nyújtott kiszervezési szolgáltatások követelményeinek tesznek eleget. Ez megvalósulhat új általános feltételek elfogadásával vagy a meglévők további – technikai jellegű, szervezeti vagy üzleti modellhez kapcsolódó – garanciákkal történő kiegészítésével 44 . A közös gazdasági tevékenységet folytató vállalkozások csoportjára vonatkozó, kötelező erejű vállalati szabályokkal bizonyos egyedi ágazati igények is figyelembe vehetők, például az utazási ágazatban. Az adatfeldolgozók közötti nemzetközi adattovábbítás szempontjából hasznos lehet az adatfeldolgozók közötti ÁSZF-ek, illetve az adatfeldolgozókra vonatkozó, kötelező erejű vállalati szabályok kidolgozása. Végül pedig az adattovábbításra vonatkozó új mechanizmusok, például a jóváhagyott magatartási kódexek és az akkreditált harmadik fél által kiállított tanúsítványok lehetőséget kínálnak az ágazati szereplőknek arra, hogy egyedi megoldásokat vezessenek be a nemzetközi adattovábbításra vonatkozóan, egyúttal pedig kihasználják a például az adatvédelmi bélyegzőkkel vagy jelölésekkel járó versenyelőnyöket. Az ilyen jogi eszközök némelyike kialakítható adott adattovábbításra vonatkozó mechanizmusként vagy az általános adatvédelmi rendeletben foglalt összes rendelkezés betartásának alátámasztására szolgáló általánosabb eszközök között, mint a jóváhagyott magatartási kódex esetében.
A Bizottság együttműködik majd az ágazati szereplőkkel, a civil társadalom képviselőivel és az adatvédelmi hatóságokkal az általános adatvédelmi rendelet nemzetközi adattovábbításra szolgáló eszköztárában rejlő lehetőségek teljes körű kiaknázása érdekében. Az érdekeltekkel a reform végrehajtásáról folyó párbeszéd során azonosíthatóak lesznek az e tekintetben kiemelt intézkedést igénylő területek. Ennek keretében befejezhető a már megkezdett munka, például az adatfeldolgozók közötti ÁSZF-eknek a 29. cikk szerinti munkacsoporttal (2018-tól az Európai Adatvédelmi Testület váltja fel) közösen történő kidolgozása 45 . Ezzel összefüggésben új elemekkel bővíthető az uniós megfelelési infrastruktúra például úgy, hogy a Bizottság a nemzetközi adattovábbítás szempontjaira is kitérve kidolgozza a tanúsítási mechanizmusok létrehozására és működésére vonatkozó követelményeket és technikai előírásokat 46 . Némelyik ilyen intézkedést kiegészítheti a nemzetközi szinten végzett munka, különösen olyan szervezetekkel, amelyek már kidolgoztak hasonló adattovábbítási mechanizmusokat. Például meg lehetne vizsgálni, hogyan teremthető nagyobb összhang az uniós jog szerinti kötelező erejű vállalati szabályok és az Ázsiai és Csendes-óceáni Gazdasági Együttműködés (APEC) keretében kidolgozott, határokon átnyúló adatvédelmi szabályrendszer 47 között az alkalmazandó előírások és az egyes rendszerek szerinti kérelmezési folyamat tekintetében egyaránt. Ezáltal világszerte előmozdítható a szigorú adatvédelmi előírások elterjedése, egyúttal pedig áthidalhatók a magánélet és az adatok védelme iránti megközelítésben tapasztalható különbségek, segítség nyújtható az üzleti szereplőknek a különböző rendszerekben való eligazodáshoz, és az e rendszereknek megfelelő szabályzatok alakíthatók ki.
Az Európai Bizottság:
együttműködik az érdekeltekkel a bizonyos iparágak, üzleti modellek és/vagy piaci szereplők egyedi igényeihez vagy feltételeihez igazodó, a személyes adatok továbbítására szolgáló alternatív mechanizmusok kidolgozásában.
3.3. A személyes adatok védelmével kapcsolatos nemzetközi együttműködés
3.3.1. Az adatvédelmi előírások elterjedésének előmozdítása többoldalú jogi eszközökön és fórumokon keresztül
Az uniós adatvédelmi jogi keret gyakran szolgált hivatkozási alapként az e területen jogszabályokat kidolgozó harmadik országok számára. Az Európai Unió továbbra is aktívan folytat két- és többoldalú párbeszédet nemzetközi partnereivel, hogy szigorú és összeegyeztethető személyesadat-védelmi előírások kidolgozásával világszerte előmozdítsa a jogi szabályozások közelítését. Ez hozzájárul az egyének jogainak hatékonyabb védelméhez, és egyúttal a szabadkereskedelem fontos elemét képező, határokon átnyúló adatáramlás előtti akadályokat is csökkenti.
A Bizottság különösen arra biztatja a harmadik országokat, hogy csatlakozzanak az Európa Tanács 108. egyezményéhez és annak kiegészítő jegyzőkönyvéhez 48 . Ez a nem csak az Európa Tanács tagjai előtt nyitva álló, ez idáig 50 ország, köztük afrikai és dél-amerikai államok által ratifikált 49 egyezmény az egyetlen kötelező erejű, többoldalú jogi eszköz az adatvédelem terén. Jelenleg zajlik az egyezmény felülvizsgálata, a Bizottság pedig tevékenyen támogatja majd a naprakésszé tett szöveg gyors elfogadását annak reményében, hogy az EU a megújult egyezmény részes felévé válik. Az egyezmény ugyanazokat az elveket fogja tükrözni, amelyeket az új uniós adatvédelmi szabályok is rögzítenek, ezáltal hozzájárulnak a szigorú adatvédelmi előírásokhoz való közelítéshez.
A 2017-ben tartandó G-20 csúcstalálkozó szintén lehetőséget kínál az Európai Unió számára, hogy közelítse az álláspontokat ahhoz az alapelvhez, hogy a szigorú adatvédelmi szabályok nélkülözhetetlenek az innovációt, növekedést és társadalmi jólétet előmozdítani képes információs világtársadalom továbbfejlődéséhez 50 .
Az Európai Bizottság emellett szeretne fontos új szereplőkkel, így az ENSZ magánélet tiszteletben tartásához való joggal foglalkozó különleges előadójával 51 is kapcsolatot teremteni, valamint tovább mélyíteni munkakapcsolatait regionális szervezetekkel, például az APEC-kel, hogy világszerte terjessze a magánélet és a személyes adatok védelméhez való jogok tiszteletben tartásának kultúráját.
Az adatvédelemmel kapcsolatos tájékozottság növelésére és az adatvédelmi garanciák biztosítására irányuló, szélesebb körű nemzetközi erőfeszítései részeként az Európai Bizottság 2016. november 15-én a Partnerségi Eszköz keretében támogatott projektet hagyott jóvá, hogy erősítse a partnerországokkal folytatott együttműködést e téren 52 . A projekt többek között képzési és figyelemfelkeltő tevékenységek finanszírozására irányul. Az Európai Unió számára pedig a reform végrehajtásával összefüggésben hasznos lehet a bevált gyakorlatok és a más rendszerekben a magánélet védelmével kapcsolatos kihívásokkal összefüggésben szerzett tapasztalatok, valamint a kialakulóban lévő új jogi és technikai megoldások cseréje többek között a jogérvényesítést, a megfelelési eszközöket (például tanúsítási mechanizmusokat, adatvédelmi hatásvizsgálatokat) vagy bizonyos különleges adatok meghatározott körét (például a gyermekek adatait) illetően.
3.3.2. Jogérvényesítési együttműködés
A harmadik országok illetékes adatvédelmi jogérvényesítési és felügyeleti hatóságaival folytatott együttműködés fokozására egyre nagyobb szükség van, tekintettel a számos országban hatalmas mennyiségű személyes adatot kezelő multinacionális vállalatok nemzetközi jelenlétére. Az adatvédelmi szabályok megsértéséből vagy az adatokkal való visszaélésből eredő problémák gyakran egyszerre több országban érintenek embereket. Ez esetben közös fellépéssel hatékonyabban biztosítható az egyének védelme. A gazdasági szereplők számára szintén előnyös lenne olyan egyértelműbb jogi környezet, ahol a közös értelmezésre szolgáló eszközök és jogérvényesítési gyakorlatok nemzetközi szinten születnek.
Az adatáramlás határok nélküli és összekapcsolódó világában ezért ideje élénkíteni az együttműködést a jogérvényesítő szervek között 53 . Az EU készen áll a szerepvállalásra. A fentiekben már leírtak szerint az általános adatvédelmi rendelet lehetővé teszi, hogy az Európai Bizottság az adatvédelmi jogszabályok hatékony érvényesítésének elősegítését célzó nemzetközi együttműködési mechanizmusokat alakítson ki, többek között kölcsönös segítségnyújtási megállapodások útján. Ezzel összefüggésben meg kell vizsgálni az uniós adatvédelmi hatóságok és bizonyos harmadik országok jogérvényesítési szervei közötti együttműködésre vonatkozó keretmegállapodás kidolgozásának lehetőségét, figyelembe véve a Bizottság más jogérvényesítési területeken, például a verseny és a fogyasztóvédelem terén szerzett tapasztalatait is.
Az Európai Bizottság: támogatja az Európa Tanács 108. egyezménye naprakész szövegének gyors elfogadását annak reményében, hogy az EU a megújult egyezmény részes felévé válik; emellett az egyezményhez való csatlakozásra buzdítja a harmadik országokat; többoldalú fórumokon, például az ENSZ-en, a G20-csúcstalálkozókon és az APEC-en keresztül igyekszik terjeszteni az adatvédelmi jogok tiszteletben tartásának kultúráját; nemzetközi együttműködési mechanizmusokat alakít ki a kulcsfontosságú nemzetközi partnerekkel, hogy megkönnyítse a hatékony jogérvényesítést. |
4. Hatékonyabb bűnüldözési együttműködés erős adatvédelmi garanciákkal
A személyes adatok cseréje a bűncselekmények megelőzésének, kivizsgálásának és büntetőeljárás alá vonásának szerves részét képezi. Összekapcsolódó világunkban, ahol a bűnözés ritkán áll meg az országhatároknál, a személyes adatok gyors cseréje elengedhetetlen a sikeres bűnüldözési együttműködéshez és a bűnözéssel szembeni hatékony fellépéshez. Az adatcserének erős adatvédelmi garanciákon kell nyugodnia. Ezzel erősíthető a bűnüldöző hatóságok közötti bizalom és fokozható a jogbiztonság az információk gyűjtése és/vagy cseréje során.
A nemzetközi adattovábbításra vonatkozóan a rendőrségi adatvédelmi irányelvben rögzített szabályok irányadóak az Unión belüli és harmadik országbeli bűnüldöző hatóságok közötti adatcserére, valamint meghatározott esetekben a bűnüldöző hatóságoktól más szerveknek való adattovábbításra. Az irányelv a bűnüldözés terén is lehetővé teszi a megfelelőség megállapítását. Az Európai Bizottság ösztönzi a megfelelőségi megállapítások elfogadásának lehetőségét az arra alkalmas harmadik országokra vonatkozóan, közülük is különösen azoknál, amelyekkel szoros és gördülékeny együttműködésre van szükség a bűnözés és a terrorizmus elleni küzdelemben, és amelyekkel már jelenleg is számottevő a személyes adatok forgalma. Ennek alapján a Bizottság elsősorban az e törekvésekben fő partnernek tekinthető harmadik országokkal egyeztet a megfelelőségi határozatokról.
Ezenkívül a 2016 decemberében kötött EU–USA adatvédelmi keretmegállapodás 54 is példaként szolgál arra, hogyan fejleszthető sikeresen a fontos nemzetközi partnerrel folytatott bűnüldözési együttműködés azzal, hogy a felek erős adatvédelmi garanciákról egyeznek meg. Ez a keretmegállapodás az adatcsere alapjául szolgáló hatályos jogi eszközök (különösen az uniós és tagállami szintű kétoldalú megállapodások) automatikus kiegészítésével azonnali és közvetlen előnyökkel jár az egyének számára, és az információcsere megkönnyítésével erősíti a bűnüldözési együttműködést. Mivel a keretmegállapodás az Egyesült Államokkal kötendő későbbi adattovábbítási megállapodások alapjait is lerakja, így a továbbiakban már nem szükséges ugyanazokat a garanciákat ismételten újratárgyalni. Ez az első olyan kétoldalú nemzetközi megállapodás, amely az uniós vívmányokkal összhangban az adatvédelmi jogok és kötelezettségek átfogó jegyzékét tartalmazza. Ezért tárgyalási alapként szolgálhat harmadik országokkal kötendő hasonló megállapodások esetében, nemcsak az igazságszolgáltatási és rendőrségi együttműködés terén, de a közjogi jogalkalmazás egyéb területein is (például a versenypolitikában vagy a fogyasztóvédelemben). Ez a kormányközi adatcserére, valamint a magánvállalkozások és a bűnüldöző hatóságok közötti adattovábbításra egyaránt vonatkozna. Emellett megkönnyíthetné az illetékes uniós ügynökségek (különösen az Europol és az Eurojust) és harmadik országok közötti megállapodások EU általi megkötését is 55 . Az Európai Bizottság ezért megvizsgálja annak lehetőségét, hogyan köthet hasonló keretmegállapodásokat fontos bűnüldözési partnereivel.
A rendőrségi adatvédelmi irányelv ezenfelül szigorú garanciák mellett és meghatározott körülmények között lehetővé teszi, hogy az Unión belüli bűnüldöző hatóságok közvetlenül kérjenek tájékoztatást valamely harmadik országbeli magánvállalkozástól, és a kérésben személyes adatokat (jellemzően nevet vagy IP-címet) adjanak át 56 . Ezzel szemben az általános adatvédelmi rendelet külön foglalkozik olyan esetekkel, amikor Unión belüli magánszervezetek kérésre személyes adatokat adnak át harmadik országok bűnüldöző hatóságainak: az ilyen, Unión kívüli adattovábbítás csak bizonyos feltételek mellett megengedett, például nemzetközi megállapodás alapján vagy abban az esetben, ha az adatközlésre uniós vagy tagállami jogban elismert, fontos közérdekből van szükség 57 .
A büntető igazságszolgáltatás virtuális téren belüli hatékonyságának javításáról szóló tanácsi következtetések is hangsúlyozzák a fontosságát ennek az együttműködésnek, amely a bűncselekmények és a terrorcselekmények kivizsgálásának, valamint büntetőeljárás alá vonásának sikere szempontjából nélkülözhetetlenné vált. A Tanács felkérte a Bizottságot, hogy közös uniós megközelítés alapján hozzon konkrét intézkedéseket a szolgáltatókkal való együttműködés javítására, tegye hatékonyabbá a kölcsönös jogsegélyt, és javasoljon megoldásokat a joghatóság virtuális téren belüli megállapításával és érvényesítésével kapcsolatos problémákra 58 . Ezek az intézkedések az EU-n belüli bűnüldöző hatóságok és szolgáltatók közötti kapcsolatokra és az Unión kívüli hatóságokkal és gazdasági társaságokkal adatcserékre egyaránt kiterjednek. A Bizottság 2017 júniusában ismerteti az elektronikus bizonyítékokhoz való hozzáféréssel kapcsolatos opciókat, figyelembe véve a rendőrségi adatvédelmi irányelvben és az általános adatvédelmi rendeletben meghatározott, az Unión belüli helyzetekre és a nemzetközi adatcserére egyaránt irányadó, szigorú adatvédelmi normákon nyugvó gördülékeny és megbízható együttműködés szükségességét.
Végezetül pedig az Europol új jogalapja szerint a Bizottságnak meg kell vizsgálnia a 2009/371/IB tanácsi határozat értelmében az Europol és harmadik felek között létrejött operatív együttműködési megállapodások rendelkezéseit, beleértve az adatvédelmi rendelkezéseket is 59 . Továbbá a 2015. évi európai biztonsági stratégiának megfelelően az utasnyilvántartási adatállományok harmadik országokkal való cseréjére vonatkozó jövőbeli uniós álláspont figyelembe fogja venni a következetes normák és a sajátos alapjogvédelmi rendelkezések alkalmazásának igényét. A Bizottságnak jogilag megalapozott és fenntartható megoldásokat kell kidolgoznia az utas-nyilvántartási adatállományok harmadik országokkal való cseréjére. Ezek közé tartozhat egy, az utasnyilvántartási adatállományokra vonatkozó olyan megállapodásminta, amely meghatározza, hogy a harmadik országoknak mely követelményeknek kell megfelelniük ahhoz, hogy utasnyilvántartási adatokat kapjanak az Unióból. Az e téren születő későbbi politikák azonban nagyban függenek majd az Európai Unió Bíróságának az EU és Kanada között az utas-nyilvántartási adatállományokról kötendő megállapodásról a közeljövőben megjelenő véleményétől 60 .
Hatékonyabb bűnüldözési együttműködés erős adatvédelmi garanciákkal Az Európai Bizottság: ösztönzi a megfelelőségi határozatok elfogadásának lehetőségét a rendőrségi adatvédelmi irányelv keretében az arra alkalmas harmadik országokra vonatkozóan; az EU–USA adatvédelmi keretmegállapodás példájára ösztönzi a bűnüldözés területére vonatkozó megállapodások létrehozását a fontos nemzetközi partnerekkel; a büntető igazságszolgáltatás virtuális téren belüli hatékonyságának javításáról szóló tanácsi következtetések nyomán megteszi a szükséges intézkedéseket az elektronikus bizonyítékok adatvédelmi szabályokkal összhangban történő, határokon átnyúló cseréjének megkönnyítéséért. |
5. Következtetés
A személyes adatok védelme és cseréje nem zárja ki kölcsönösen egymást. Az erős adatvédelmi rendszer megkönnyíti az adatáramlást, mivel növeli a fogyasztói bizalmat azon vállalkozások iránt, amelyek odafigyelnek arra, hogyan kezelik ügyfeleik és vásárlóik személyes adatait. Következésképpen a szigorú adatvédelmi előírások előnyössé válnak a digitális világgazdaságban. Ugyanez érvényes a bűnüldözési együttműködésre is: az adatvédelmi garanciák nélkülözhetetlenek a kölcsönös bizalmon és jogbiztonságon alapuló, hatékony és gyors információcseréhez a bűnözés elleni küzdelemben.
Miután befejezte adatvédelmi szabályainak reformját, az Európai Uniónak proaktívan egyeztetnie kell harmadik országokkal e téren. Nemzetközileg, két- és többoldalú kapcsolataiban egyaránt arra kell törekednie, hogy előmozdítsa az adatvédelmi alapelvekhez való, minél nagyobb mértékű közelítést. Ez a polgárok és a vállalkozások érdekében áll, és a javukat szolgálja. Az új adatvédelmi jogi keret biztosítja az EU számára az e célok eléréséhez szükséges és megfelelő eszközöket. Az e közleményben ismertetett stratégiai megközelítéssel összhangban az Európai Bizottság aktívan egyeztet majd kulcsfontosságú harmadik országokkal, először is 2017-ben Japánnal és Dél-Koreával, hogy megvizsgálja a megfelelőségi megállapítások elfogadásának lehetőségét a jogszabályok uniós előírásokhoz való közelítésének támogatása és a kereskedelmi kapcsolatok előmozdítása érdekében. Az Uniónak ugyanakkor ki kell használnia az adattovábbításra rendelkezésre álló összes alternatív eszközt, hogy megóvja az adatvédelmi jogokat és támogassa a gazdasági szereplőket, amikor az adatokat olyan országba kell továbbítani, amelynek nemzeti joga nem biztosít megfelelő szintű adatvédelmet. Ezeket az eszközöket emellett az Unión belüli felügyeleti és bűnüldöző hatóságok és azok nemzetközi partnerei közötti együttműködés megkönnyítésére is fel kell használni. Az Európai Bizottság gondoskodik az uniós adatvédelmi politikai belső és külső szempontjainak összhangjáról, nemzetközi szinten pedig támogatja a nagy fokú adatvédelem biztosítását a bűnüldözési együttműködés hatékonyabbá tétele, a szabadkereskedelem előmozdítása és világszerte szigorú adatvédelmi előírások kidolgozása érdekében.
Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (HL L 281., 1995.11.23.).
Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1–88. o.). 2016. május 24-én lépett hatályba, és 2018. május 25-től alkalmazandó.
Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89-131. o.). 2016. május 5-én lépett hatályba. A tagállamoknak 2018. május 6-ig kell nemzeti jogukba átültetniük.
Lásd „Data protection regulations and international data flows: Implications for trade and development” (Az adatvédelmi előírások és nemzetközi adatáramlás kereskedelemre és fejlődésre gyakorolt hatásai), UNCTAD, 2016.: http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.
A Bizottság 2017. évi munkaprogramja – Építsünk olyan Európát, amely védelmet nyújt, eszközöket ad polgárai kezébe és garantálja a biztonságot (COM(2016) 710 final, 2016.10.25., 12. o) és az 1. melléklet.
A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának – Az európai biztonsági stratégia, COM(2015) 185 final, 2015.4.28.
Az Európai Unió Bíróságának 2015. október 6-i ítélete Maximillian Schrems kontra Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650, 73., 74. és 96. pont. Lásd még az általános adatvédelmi rendelet (104) preambulumbekezdését és a rendőrségi adatvédelmi irányelv (67) preambulumbekezdését, amely a lényegi egyezőség elvére utal.
Lásd az általános adatvédelmi rendelet 45. cikkét. A 45. cikk (2) bekezdésében foglaltak szerint az Európai Bizottság a mérlegelés során többek között a jogállamiságot, az emberi jogok és alapvető szabadságok tiszteletben tartását, a vonatkozó jogszabályokat, köztük az adatvédelemre, a közbiztonságra, a védelemre, valamint a nemzetbiztonságra vonatkozó és a büntetőjogi rendelkezéseket, továbbá a közhatalmi szerveknek a személyes adatokhoz való hozzáférését szabályozó rendelkezéseket veszi figyelembe. Ezeket a rendelkezéseket tényleges és érvényesíthető jogoknak, köztük az egyéneknek biztosított közigazgatási és bírósági jogorvoslati lehetőségeknek, valamint az adatvédelmi szabályokat betartató és érvényesítő, független és hatékonyan működő felügyeleti hatóságnak kell megerősítenie. A jogilag kötelező erejű egyezmények, különösen az Európa Tanács 108. egyezményének betartását, valamint az adatvédelemmel kapcsolatos többoldalú vagy regionális rendszerekben való részvételt is figyelembe kell venni.
A konkrét értékelendő tényezőket a rendőrségi adatvédelmi irányelv 36. cikkének (2) bekezdése tartalmazza.
Lásd az általános adatvédelmi rendelet 45. cikkének (1) bekezdését és a rendőrségi adatvédelmi irányelv 36. cikkének (1) bekezdését.
Lásd például: a Bizottság közleménye az Európai Parlamentnek és a Tanácsnak a 95/46/EK irányelv alapján, az Európai Bíróság C-362/14. sz. (Schrems-) ügyben hozott ítéletét követően a személyes adatoknak az Európai Unióból az Amerikai Egyesült Államokba történő továbbításáról, COM(2015) 566 final, 2015.11.6.
Az ÁSZF-ek a vonatkozó adatvédelmi kötelezettségeket határozzák meg az uniós adatátadó és a harmadik országbeli adatátvevő között.
A kötelező erejű vállalati szabályok multinacionális vállalatcsoportok által elfogadott belső szabályok, amelyek lehetővé teszik az adattovábbítást a megfelelő védelmi szintet nem biztosító országokban működő csoporttagoknak. Míg kötelező erejű vállalati szabályok már az 1995. évi irányelv értelmében is alkalmazhatók voltak, az általános adatvédelmi rendelet kodifikálja és hivatalos formába önti az adattovábbítás eszközeként betöltött szerepüket.
Lásd az általános adatvédelmi rendelet 46. cikke (2) bekezdésének c) és d) pontját és (168) preambulumbekezdését.
Lásd az általános adatvédelmi rendelet 46. cikke (2) bekezdésének b) pontját, 47. cikkét és (110) preambulumbekezdését.
Lásd az általános adatvédelmi rendelet 46. cikkének (2) bekezdését.
Többek között az UNCTAD-jelentés is kiemeli (annak 34. oldalán), hogy a nyilvántartásba vételi követelmények kereskedelmi akadályt jelentenek számos vállalkozás, különösen a kis- és középvállalkozások számára.
Lásd az általános adatvédelmi rendelet 46. cikke (2) bekezdésének e) és f) pontját.
A harmadik országbeli adatkezelők szerződéses vagy egyéb, jogilag kötelező érvényű kötelezettségvállalások révén, az ezekben a jogi eszközökben foglalt adatvédelmi garanciák alkalmazására tett kötelező erejű és kikényszeríthető kötelezettségvállalás útján tarthatják magukat Unión belüli magatartási kódexekhez vagy tanúsítási mechanizmusokhoz. Lásd az általános adatvédelmi rendelet 42. cikkének (2) bekezdését.
Lásd az általános adatvédelmi rendelet 46. cikke (2) bekezdésének a) pontját és 46. cikke (3) bekezdésének b) pontját.
Lásd az általános adatvédelmi rendelet 49. cikkét.
Lásd a 49. cikk (1) bekezdésének második albekezdését.
Lásd az általános adatvédelmi rendelet 50. cikkét.
Lásd például: a Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának: A mindenki számára előnyös kereskedelem – A felelősebb kereskedelem- és beruházáspolitika felé, COM(2015) 497 final, 2015.10.14., 7. o.
431. sz. Eurobarométer tematikus felmérés – Adatvédelem, 2015. június.
Juncker elnök politikai iránymutatása: Új kezdet Európa számára: a munkahelyteremtés, a növekedés, a méltányosság és a demokratikus változás programja.
Lásd: 7. lábjegyzet.
Vö. a Schrems-ügyben hozott ítélet 74. pontjával.
(EU) 2016/1260 végrehajtási határozat, 2016. július 12.
A Bizottság arra biztatja az Egyesült Államokat, hogy tegyen intézkedéseket olyan, a magánélet és az adatok védelmét biztosító átfogó rendszer kialakítására, amely hosszú távon lehetővé teszi az európai és az amerikai rendszer összhangba hozását. Lásd: a Bizottság közleménye az Európai Parlamentnek és a Tanácsnak: Transzatlanti adatáramlás: erős biztosítékok a bizalom helyreállításáért, COM(2016) 117 final, 2016.2.29.
Ide sorolandó különösen a „jelfelderítési” műveletekre vonatkozóan több korlátozást és garanciát rögzítő 28. elnöki rendelet (PPD-28) alkalmazása, valamint az uniós polgárok által e tekintetben tett panaszokat kivizsgáló külön ombudsman kinevezése.
G. Greenleaf, „Global data privacy laws 2015: 109 countries, with European laws now in a minority” (Adatvédelmi jogszabályok világszerte 2015-ben: 109 országban, az európai jogszabályok már kisebbségbe kerültek), 2015., 133. nemzetközi jelentés az adatvédelmi jogszabályokról és az üzletről, 14–17. o.
UNCTAD-tanulmány, 8. és 42., oldal (lásd a fenti 4. lábjegyzetet).
E tekintetben az Európai Bizottság a megfelelőség értékelésekor a harmadik ország jogilag kötelező erejű egyezményekből eredő kötelezettségeit, különösen az Európa Tanács 108. egyezményéhez és annak kiegészítő jegyzőkönyvéhez való csatlakozását is figyelembe veszi. Lásd az általános adatvédelmi rendelet 45. cikke (2) bekezdésének c) pontját és (105) preambulumbekezdését.
Azon országok esetében, amelyekkel az Európai Unió érdekében áll együttműködni a belső biztonság és bűnüldözés terén, a Bizottság megvizsgálja, hogy van-e lehetőség a rendőrségi adatvédelmi irányelv értelmében egyedi megfelelőségi megállapítások elfogadására (lásd a 4. szakaszt).
Ez különösen a fejlődő és az átalakulóban lévő országok esetében lehet lényeges, mivel a személyes adatok védelme a jogállamiság nélkülözhetetlen eleme, és a gazdasági versenyképesség szempontjából is lényeges tényező.
Japán és Dél-Korea a közelmúltban vezettek be átfogó adatvédelmi rendszereket új jogszabályok vagy a meglévők módosítása révén.
Az általános adatvédelmi rendelet 45. cikkének (4) bekezdése előírja, hogy a Bizottság folyamatosan kísérje figyelemmel a harmadik országokban végbement fejleményeket, az (5) bekezdése pedig felhatalmazza, hogy a megfelelőségi határozatot hatályon kívül helyezze, módosítsa vagy felfüggessze, ha megállapítja, hogy az adott ország már nem biztosít megfelelő védelmi szintet.
Az általános adatvédelmi rendelet 45. cikkének (3) bekezdése.
Az általános adatvédelmi rendelet 97. cikke (2) bekezdésének a) pontja emellett előírja, hogy a Bizottság 2020-ig nyújtson be értékelő jelentést az Európai Parlamentnek és a Tanácsnak.
A Schrems-ügyben hozott ítélet megállapította, hogy az Európai Bizottság túllépte hatáskörét azzal, hogy a védett adatkikötőről szóló határozatban korlátozta az adatvédelmi hatóságok adatáramlás felfüggesztésére vagy betiltására vonatkozó hatáskörét, a Bizottság pedig ennek következményeként 2016. december 16-án módosító „salátahatározatot” fogadott el, amely törli az ilyen jellegű rendelkezéseket a meglévő megfelelőségi határozatokból, és olyan rendelkezésekkel váltja fel őket, amelyek mindössze a Bizottság tájékoztatására vonatkozó követelményt írnak elő a tagállamok számára arra az esetre, ha az egyik adatvédelmi hatóság felfüggeszti vagy betiltja a valamely harmadik országba történő adattovábbítást. A salátahatározat emellett azt a követelményt is rögzíti, hogy a Bizottságnak figyelemmel kell kísérnie a harmadik országban végbement lényeges fejleményeket. Lásd HL L 355., 2016.12.17., 83. o.
A megfelelőség megállapítása mindenekelőtt az uniós adatvédelmi jogszabályok szerint, a bennük foglalt szempontok alapján az Európai Bizottság által hozott egyoldalú végrehajtási határozat.
Lásd „A mindenki számára előnyös kereskedelem” című közlemény 12. oldalát (a fenti 24. lábjegyzetet).
Lásd az általános adatvédelmi rendelet 46. cikke (2) bekezdésének c) és d) pontját és (109) preambulumbekezdését, amely rendelkezések tisztázzák, hogy a jóváhagyott mintafeltételek módosítása megengedett, amennyiben nem vezet közvetlenül vagy közvetve a mintafeltételekkel való ellentmondáshoz, illetve nem sérti az egyének alapvető jogait vagy szabadságait.
Jelenleg nincsenek hatályban Unión belüli és harmadik országbeli adatfeldolgozók közötti ÁSZF-ek.
Az általános adatvédelmi rendelet 43. cikkének (8) és (9) bekezdése.
Lásd az Unión belüli kötelező erejű vállalati szabályoknak és az APEC határokon átnyúló adatvédelmi szabályrendszerének szerkezetéről szóló 2014. évi APEC-EU közös tájékoztatót, amely összehasonlítja a két rendszer megfelelési és tanúsítási követelményeit: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.
Az Európa Tanács 1981. január 28-i egyezménye az egyének védelméről a személyes adatok gépi felhasználása során (ETS 108), és a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezménynek a felügyelő hatóságokról és a személyes adatok országhatárokat átlépő áramlásáról szóló 2001-es kiegészítő jegyzőkönyve (ETS 181).
Mauritius, Szenegál és Uruguay már megerősítette az egyezményt, a Zöld-foki-szigetek, Marokkó és Tunézia pedig meghívást kapott a csatlakozásra.
Lásd még: OECD Ministerial Declaration on the Digital Economy: Innovation, Growth and Social Prosperity („Cancun Declaration”) (az OECD miniszteri nyilatkozata a digitális gazdaságról: innováció, növekedés és társadalmi jólét [cancúni nyilatkozat]) 2016. június 23.
Lásd: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .
A Bizottság C(2016)7198 végrehajtási határozata a Partnerségi Eszköz 2016. évi éves cselekvési programja második szakaszának jóváhagyásáról.
A jelenleg működő hálózatok közül megemlítendő a 2010-ben az OECD égisze alatt útjára indított Global Privacy Enforcement Network (nemzetközi adatvédelmi jogérvényesítési hálózat). Ennek az adatvédelmi jogérvényesítési hatóságokból, köztük az uniós adatvédelmi hatóságokból álló, nem hivatalos hálózatnak a feladata többek között a bűnüldözési együttműködés, a határokon átnyúló kihívások kezelésében és a közös jogérvényesítési kezdeményezések támogatásában bevált gyakorlatok megosztása, valamint figyelemfelkeltő kampányok lebonyolítása. Nem hoz létre új, jogi kötőerővel bíró kötelezettségeket a résztvevők között, inkább elsősorban a magánszektorra vonatkozó adatvédelmi jogszabályok érvényesítésével kapcsolatos együttműködés előmozdítására irányul. Lásd https://privacyenforcement.net/ .
Az EU és az USA közötti megállapodás a személyes adatok védelméről a bűncselekmények – köztük terrorista cselekmények – megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása céljából, a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében történő adattovábbítás vagy -feldolgozás terén. http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf (a keretmegállapodás).
Az operatív megállapodások Europollal és Eurojusttal való megkötése a bizonyos harmadik országokkal folytatott vízumliberalizációs tárgyalások fokmérőjévé vált, ahogy az például a Törökországgal folyó párbeszédben is megfigyelhető.
Lásd a rendőrségi adatvédelmi irányelv 39. cikkét és (73) preambulumbekezdését.
Lásd az általános adatvédelmi rendelet 48. cikkét és (115) preambulumbekezdését.
Az Európai Unió Tanácsának következtetései a büntető igazságszolgáltatás virtuális téren belüli hatékonyságának javításáról (2016. június 9.): www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. Az Európai Bizottság feladatul kapta, hogy a 2016 decemberében a Tanácsnak készített eredményjelentés után 2017 júniusáig további anyagokat nyújtson be az említett kérdésekről a Tanácshoz.
Lásd a Bűnüldözési Együttműködés Európai Uniós Ügynökségéről (Europol), valamint a 2009/371/IB, a 2009/934/IB, a 2009/935/IB, a 2009/936/IB és a 2009/968/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről szóló, 2016. május 11-i (EU) 2016/794 európai parlamenti és tanácsi rendelet (HL L 135., 2016.5.24., 53–114. o.) 25. cikkének (4) bekezdését. Az Európai Bizottságnak 2021. június 14-ig kell elkészítenie az Europol által 2017. május 1. előtt kötött együttműködési megállapodásokról szóló értékelő jelentését.
A Bíróság véleménye az EU és Kanada között az utasnyilvántartási adatállományokról kötendő, az Európai Parlament által elé utalt 2014. évi megállapodás tervezetéről (1/15. sz. vélemény). A Bíróság arra kapott felkérést, hogy megvizsgálja a megállapodástervezetnek az Európai Unió Alapjogi Chartájával való összeegyeztethetőségét.