EURÓPAI BIZOTTSÁG

Brüsszel, 2018.12.19.

COM(2018) 860 final

A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK

az EU–USA adatvédelmi pajzs működésének második éves felülvizsgálatáról

{SWD(2018) 497 final}

1.A MÁSODIK ÉVES FELÜLVIZSGÁLAT – CÉL, ELŐKÉSZÍTÉS ÉS FOLYAMAT

2016. július 12-én a Bizottság határozatot fogadott el (a továbbiakban: a megfelelőségi határozat), amelyben megállapította, hogy az EU–USA adatvédelmi pajzs (a továbbiakban: az adatvédelmi pajzs) megfelelő szintű védelmet biztosít az EU-ból az USA-beli szervezetekhez továbbított személyes adatok számára 1 . A megfelelőségi határozat előírja különösen, hogy a Bizottság évente értékeli a keret valamennyi elemének működését. Az első éves felülvizsgálatra 2017. szeptember 18–19-én került sor Washingtonban, és a Bizottság 2017. október 18-án elfogadta az Európai Parlamentnek és a Tanácsnak szóló jelentését, 2 amelyet egy bizottsági szolgálati munkadokumentum (SWD(2017)344 final) kísért. 3  

Az első felülvizsgálat megállapításai alapján a Bizottság azt a következtetést vonta le, hogy az USA továbbra is megfelelő szintű védelmet biztosít az Európai Unióból az USA-beli szervezetekhez továbbított személyes adatok számára. Ugyanakkor a Bizottság úgy vélte, hogy az adatvédelmi pajzs keretének gyakorlati végrehajtása tovább javítható annak biztosítása érdekében, hogy a keret által nyújtott garanciák és biztosítékok továbbra is az eredeti szándéknak megfelelően működjenek. E célból a Bizottság tíz ajánlást fogalmazott meg.

A mostani jelentés lezárja az adatvédelmi pajzs működésének második éves felülvizsgálatát. Ez a jelentés, valamint az azt kísérő bizottsági szolgálati munkadokumentum (SWD(2018) 497) azonos szerkezet szerint épül fel, mint az első éves felülvizsgálatról szóló jelentés. E dokumentumok az adatvédelmi pajzs működésének minden vonatkozására kiterjednek, szem előtt tartva a tavaly bekövetkezett fejleményeket is. Az első éves felülvizsgálat ajánlásainak végrehajtása képezte a Bizottság értékelésének központi elemét.

A második éves felülvizsgálat előkészítése során a Bizottság információkat gyűjtött az érdekelt felektől (különösen az adatvédelmi pajzs alapján tanúsított vállalkozásoktól azok szakmai szövetségein keresztül, valamint az alapvető jogok – és különösen a digitális jogok és a magánélet tiszteletben tartásához való jog – területén tevékenykedő nem kormányzati szervezetektől (NGO-któl)), valamint a keret végrehajtásában részt vevő érintett amerikai hatóságoktól.

A második éves felülvizsgálati ülésre 2018. október 18–19-én Brüsszelben került sor. A felülvizsgálatot Věra Jourová, a jogérvényesülésért, a fogyasztópolitikáért és a nemek közötti esélyegyenlőségért felelős biztos és Wilbur Ross, az Egyesült Államok kereskedelmi minisztere, Joseph Simons, a Szövetségi Kereskedelmi Bizottság elnöke, valamint Andrea Jelinek, az Európai Adatvédelmi Testület elnöke nyitotta meg. Az EU részéről az Európai Bizottság Jogérvényesülési és Fogyasztópolitikai Főigazgatóságának képviselői folytatták le azt. Az EU küldöttségéhez tartozott továbbá az Európai Adatvédelmi Testület (az uniós tagállamok nemzeti adatvédelmi hatóságainak és az európai adatvédelmi biztosnak a képviselőit tömörítő független testület) által kijelölt hét képviselő.

Az Egyesült Államok részéről a Kereskedelmi Minisztérium, a Szövetségi Kereskedelmi Bizottság, a Közlekedési Minisztérium, a Külügyminisztérium, a Nemzeti Hírszerzés Igazgatójának Hivatala és az Igazságügyi Minisztérium képviselői, valamint a megbízott ombudsman, az Adatvédelmi és Polgári Szabadságjogi Felügyelő Tanács egy tagja és a Hírszerző Közösség Főellenőri Hivatala vettek részt a felülvizsgálatban. Ezen túlmenően az adatvédelmi pajzs keretében független vitarendezést nyújtó szervezetek képviselői, valamint az Amerikai Választottbírói Egyesület szolgáltattak információkat a releváns felülvizsgálati ülések során. Végezetül a felülvizsgálathoz hozzájárultak az adatvédelmi pajzs alapján tanúsított vállalkozások prezentációi arról, hogy a vállalkozások miként felelnek meg a keret követelményeinek.

A Bizottság megállapításaihoz felhasználtak továbbá a Bizottság számára nyilvánosan hozzáférhető anyagokat is, köztük bírósági ítéleteket, a vonatkozó egyesült államokbeli hatóságok végrehajtási szabályait és eljárásait, nem kormányzati szervezetek által készített jelentéseket és tanulmányokat, az adatvédelmi pajzs alapján tanúsított vállalkozások által közzétett átláthatósági jelentéseket, és médiatudósításokat.

Az idei felülvizsgálatra az egyre inkább globális jellegűvé váló adatvédelmi kihívások összefüggésében került sor, amit a Facebook / Cambridge Analytica ügy is jól példázott. Az EU és az USA egyaránt tisztában van azokkal a hasonló kihívásokkal, amelyekkel a személyes adatok védelme tekintetében szembesülnek. A felülvizsgálat során mindkét fél hangsúlyozta, hogy foglalkozni kell a személyes adatokkal történő visszaélésekkel, többek között az EU adatvédelmi hatósága és az USA Szövetségi Kereskedelmi Bizottsága által hozott erőteljes jogérvényesítési intézkedések révén.

A Bizottság jelentése tükrözi továbbá az Egyesült Államokban a szövetségi adatvédelmi jogszabályról folyó vitát. A rendszereink közötti konvergencia hosszú távon az adatvédelmi pajzsra vonatkozó keret kifejlesztésének alapjait is erősítené.

2.MEGÁLLAPÍTÁSOK ÉS KÖVETKEZTETÉS

A második éves felülvizsgálat az adatvédelmi pajzs keretének „kereskedelmi vonatkozásaira”, valamint a személyes adatokhoz való kormányzati hozzáféréssel kapcsolatos kérdésekre terjedt ki.

Ami a „kereskedelmi vonatkozásokat”, vagyis a tanúsított vállalkozásokra vonatkozó kötelezettségek igazgatásával, felügyeletével és érvényesítésével kapcsolatos kérdéseket illeti, a Bizottság megállapította, hogy a Kereskedelmi Minisztérium – az első éves felülvizsgálat során megfogalmazott bizottsági ajánlásokkal összhangban – tovább erősítette a tanúsítási folyamatot és új felügyeleti eljárásokat vezetett be. Mindenekelőtt a Kereskedelmi Minisztérium olyan új eljárást fogadott el, amely előírja az első alkalommal kérelmezők számára, hogy csak azt követően tegyenek az adatvédelmi pajzsban való részvételükkel kapcsolatos nyilvános nyilatkozatokat, hogy a Kereskedelmi Minisztérium lezárta tanúsításuk felülvizsgálatát. Ezenfelül a Kereskedelmi Minisztérium új mechanizmusokat vezetett be az esetleges megfelelési problémák feltárására, ilyenek például a szúrópróbaszerű ellenőrzések (az éves felülvizsgálat idején mintegy 100 szervezetnél végeztek ilyen szúrópróbaszerű ellenőrzéseket), valamint az adatvédelmi pajzs résztvevőinek adatvédelmi gyakorlataival kapcsolatos nyilvános jelentések figyelemmel kísérése. A keretben való részvételre vonatkozó valótlan állítások keresése során a Kereskedelmi Minisztérium jelenleg aktívan használ számos különféle eszközt, például negyedéves felülvizsgálatot azon vállalkozások esetében, amelyekkel kapcsolatban megállapítást nyert, hogy nagyobb valószínűséggel tesznek hamis állításokat, valamint internetes kép- és szövegkeresési rendszert. Ezen újonnan bevezetett gyakorlatok és eljárások eredményeként a Kereskedelmi Minisztérium az első éves felülvizsgálat óta 50 ügyet utalt a Szövetségi Kereskedelmi Bizottsághoz, amely viszont azokban az ügyekben hozott jogérvényesítési intézkedéseket, amikor az utalás önmagában nem volt elegendő ahhoz, hogy az érintett vállalat megfeleljen a szabályoknak.

A jogérvényesítés tekintetében a Bizottság megállapította, hogy a Szövetségi Kereskedelmi Bizottság az adatvédelmi pajzs elvei betartásának proaktív ellenőrzésére irányuló erőfeszítéseinek részeként a közelmúltban a bizonyítási cselekményben való közreműködésre kötelező közigazgatási határozatokat adott ki, hogy információkat igényeljen az adatvédelmi pajzs számos résztvevőjétől. A Szövetségi Kereskedelmi Bizottság megerősítette továbbá, hogy a Facebook / Cambridge Analytica ügyben a vizsgálata folyamatban van. Jóllehet a Bizottság úgy véli, hogy a Szövetségi Kereskedelmi Bizottság új, proaktív megfelelőség-ellenőrzési megközelítése fontos fejlemény, sajnálatát fejezi ki amiatt, hogy ebben a szakaszban nem volt lehetőség arra, hogy e testület további tájékoztatást adjon közelmúltbeli vizsgálatairól, és a Bizottság szorosan nyomon fogja követni az ezzel kapcsolatos további fejleményeket.

A második éves felülvizsgálat figyelembe vette az Egyesült Államok jogrendszerében az adatvédelem területén bekövetkezett releváns fejleményeket is. Ezek különösen az adatvédelem szövetségi megközelítéséről a Kereskedelmi Minisztérium által kezdeményezett konzultációt, valamint a Szövetségi Kereskedelmi Bizottságnak saját adatvédelmi jogkörére és jelenlegi jogorvoslati hatásköre gyakorlásának hatékonyságára vonatkozó mérlegelési folyamatát érintik.

Amint a Facebook/Cambridge Analytica ügy és egyéb leleplezések is megmutatták, fontos lenne, hogy az EU és az USA tovább közelítse válaszintézkedéseit. A Bizottság ennek szellemében nagy érdeklődéssel figyelte a fent említett kezdeményezéseket és írásbeli beadványban járult hozzá a Kereskedelmi Minisztérium konzultációs folyamatához 4 .

Ami az USA hatóságainak személyes adatokhoz való hozzáférésével és azok általuk való felhasználásával kapcsolatos kérdéseket illeti, a második éves felülvizsgálat az egyesült államokbeli jogi keretben – többek között a releváns ügynökségi politikák és eljárások tekintetében bekövetkezett – fontos fejleményekre, valamint a megfigyelési tevékenységek közelmúltbeli tendenciáira, továbbá a fontos felügyeleti és jogorvoslati mechanizmusok létrehozásával és működésével kapcsolatos fejleményekre összpontosított.

A kormányzati hozzáférés terén az volt a legfontosabb jogi fejlemény, hogy 2018 elején újra engedélyezték a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény (a továbbiakban: a törvény) 702. szakaszát. Bár az újraengedélyezés nem vezetett – a Bizottság javaslatának megfelelően – a 28. sz. elnöki politikai irányelv védelmi biztosítékainak a törvénybe történő beépítéséhez, ugyanakkor az adatvédelmi pajzsra vonatkozó határozat elfogadásakor a törvényben foglalt biztosítékok egyikét sem korlátozta. Ezenfelül a módosítások nem terjesztették ki az Egyesült Államok Hírszerző Közösségének hatáskörét arra, hogy a 702. szakasz alapján külföldiek célba vételével szerezzen külföldi hírszerzési információkat. Ehelyett a külföldi hírszerzői tevékenység megfigyeléséről szóló 1978. évi törvényt módosító, a módosítások újraengedélyezéséről szóló 2017. évi törvény további korlátozott kiegészítő adatvédelmi biztosítékokat vezetett be például az átláthatóság területén.

Ugyancsak fontos fejlemények következtek be az Adatvédelmi és Polgári Szabadságjogi Felügyelő Tanács tekintetében, amely az első éves felülvizsgálat idején csak egy taggal rendelkezett. A Bizottság ezért azt ajánlotta, hogy mielőbb nevezzék ki a hiányzó tagokat. 2018. október 11-én az Egyesült Államok Szenátusa megerősítette az Adatvédelmi és Polgári Szabadságjogi Felügyelő Tanács elnökének, és a Tanács további két tagjának kinevezését, így visszaállította a Tanács teljes körű határozatképességét és lehetővé tette valamennyi funkciójának ellátását. Az első éves felülvizsgálatot követően a Bizottság javasolta továbbá, hogy hozzák nyilvánosságra a Tanácsnak a 28. sz. elnöki politikai irányelvről szóló jelentését. A 2018. október 16-án nyilvánosságra hozott jelentés 5 megerősíti, hogy Hírszerző Közösség körében maradéktalanul alkalmazzák a 28. sz. elnöki politikai irányelvet. Kiváltképpen megerősíti, hogy a 28. sz. elnöki politikai irányelv kiadását követően a Hírszerző Közösség fontos elemei az irányelv végrehajtására vonatkozó részletes szabályokat fogadtak el és megváltoztatták gyakorlataikat annak érdekében, hogy összhangba hozzák azokat a 28. sz. elnöki politikai irányelv követelményeivel.

Végezetül, – noha a Bizottság az adatvédelmi pajzsért felelős ombudsman mielőbbi kinevezését ajánlotta – a mostani jelentés időpontjában még nem töltötték be állandó kinevezéssel a Külügyminisztérium ombudsman hivatalának ellátásával megbízott miniszterhelyettesének álláshelyét. E tekintetben a Bizottság tudomásul vette, hogy a második éves felülvizsgálat alkalmával az Egyesült Államok kormánya elismerte, hogy gyors előrelépésre van szükség egy állandó miniszterhelyettes kinevezésének ügyében, és megerősítette, hogy ez a folyamat jó úton halad.

E jelentés időpontjában még nem érkeztek megkeresések az ombudsmani mechanizmushoz. A horvát adatvédelmi hatósághoz azonban benyújtottak egy, az ombudsmanhoz címzett panaszt, és a vonatkozó ellenőrzések folyamatban voltak.

Az adatvédelmi pajzs valamennyi vetületének működésére kiterjedő, a keret második éves működése nyomán tett részletes megállapításokat az EU–USA adatvédelmi pajzs működésének második éves felülvizsgálatáról szóló bizottsági szolgálati munkadokumentum (SWD(2018) 497) tartalmazza, amely ezt a jelentést kíséri.

A második éves felülvizsgálat keretében gyűjtött információk megerősítik a Bizottság megfelelőségi határozatában tett megállapításait, mind a keret „kereskedelmi vonatkozásai”, mind pedig az Egyesült Államok hatóságainak az adatvédelmi pajzs keretében továbbított személyes adatokhoz való hozzáférésével kapcsolatos kérdések tekintetében.

E megállapítások alapján a Bizottság azt a következtetést vonja le, hogy az Egyesült Államok továbbra is megfelelő szintű védelmet biztosít az Európai Unióból az egyesült államokbeli szervezetekhez továbbított személyes adatok számára.

Először is az első éves felülvizsgálatot követően megfogalmazott bizottsági ajánlások végrehajtása érdekében tett lépések javították a keret gyakorlati működésének számos vonatkozását annak biztosítása céljából, hogy az adatvédelmi pajzs révén a természetes személyek számára garantált védelem szintje ne sérüljön.

Egyes említett lépések azonban csak a közelmúltban születtek meg, és a vonatkozó folyamatok még nem fejeződtek be. Ezért szorosan nyomon kell követni a szóban forgó folyamatokkal kapcsolatos további fejleményeket, mivel azok olyan elemeket érintenek, amelyek alapvetően fontosak a megfelelőségi megállapítás folyamatos helytállóságához. Ez főként az alábbiakra vonatkozik:

1.Azon mechanizmusok eredményessége, amelyeket a Kereskedelmi Minisztérium a keret működésének második évében vezetett be annak proaktív nyomon követése céljából, hogy az adatvédelmi pajzs alapján tanúsított vállalkozások betartják-e az adatvédelmi pajzs elveit, különösen az érdemi követelményeket és kötelezettségeket.

2.Azon eszközök eredményessége, amelyeket a Kereskedelmi Minisztérium az első éves felülvizsgálat óta vezetett be a keretben való részvételre vonatkozó valótlan állítások feltárása érdekében, különösen azon vállalkozások valótlan állításainak felkutatására összpontosítva, amelyek soha nem folyamodtak tanúsításért.

3.Az adatvédelmi pajzs működésének második évében a Szövetségi Kereskedelmi Bizottság által hivatalból végrehajtott olyan ellenőrzések előrehaladása és eredménye, amelyeket az adatvédelmi pajzs érdemi megsértésének feltárására irányuló, bizonyítási cselekményben való közreműködésre kötelező közigazgatási határozatok útján valósítottak meg.

4.További iránymutatás kidolgozása a Kereskedelmi Minisztérium, a Szövetségi Kereskedelmi Bizottság és az uniós adatvédelmi hatóságok együttes közreműködésével a további pontosítást igénylő kérdések tekintetében (pl. emberi erőforrás adatok).

5.Az adatvédelmi pajzsért felelős állandó ombudsman kinevezése.

6.A panaszok ombudsman általi kezelésének és megoldásának eredményessége.

Mindenekelőtt a Bizottság ismételten arra kéri az Egyesült Államok Kormányát, hogy az adatvédelmi pajzsért felelős állandó ombudsman sürgős kinevezésével erősítse meg politikai kötelezettségvállalását az ombudsmani mechanizmus iránt. Az ombudsmani mechanizmus az adatvédelmi pajzsra vonatkozó keret egyik fontos eleme, és – bár a megbízott ombudsman továbbra is ellátja a vonatkozó feladatokat – az állandó kinevezett személy hiánya távolról sem kielégítő, és mielőbb orvosolni kell azt. A Bizottság elvárja az Egyesült Államok Kormányától, hogy 2019. február 28-ig döntsön az ombudsmani tisztség állandó betöltésére kijelölt személyről, és erről tájékoztassa a Bizottságot. Ha az említett időpontig erre nem kerül sor, a Bizottság az általános adatvédelmi rendeletnek megfelelően mérlegelni fogja megfelelő intézkedések meghozatalát 6 . A Bizottság elvárja továbbá, hogy pontos és részletes tájékoztatást kapjon valamennyi említett kérdésről annak érdekében, hogy értékelni tudja a meghozott intézkedések gyakorlati hatékonyságát.

Végezetül a Bizottság továbbra is szorosan nyomon követi az Egyesült Államokban a szövetségi adatvédelmi jogszabályról folyó vitát. Tekintettel a transzatlanti adatáramlás jelentőségére, a Bizottság arra ösztönzi az USA-t, hogy fogadjon el átfogó magánélet- és adatvédelmi szabályrendszert, és csatlakozzon az Európa Tanács 108. sz. egyezményéhez. Az ilyen átfogó megközelítés révén hosszabb távon megvalósítható a rendszereink közötti konvergencia, ami az adatvédelmi pajzsra vonatkozó keret kifejlesztésének alapjait is erősítené.

(1)

A Bizottság (EU) 2016/1250 végrehajtási határozata (2016. július 12.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről, HL L 2017., 2016.8.1., 1. o.

(2)

A Bizottság jelentése az Európai Parlamentnek és a Tanácsnak az EU–USA adatvédelmi pajzs működésének első éves felülvizsgálatáról (COM(2017)0611 final), lásd: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(3)

Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the first annual review of the functioning of the EU-U.S. Privacy Shield (Az EU–USA adatvédelmi pajzs működésének első éves felülvizsgálatáról az Európai Parlamentnek és a Tanácsnak tett jelentést kísérő bizottsági szolgálati munkadokumentum) (SWD(2017)344 final), lásd: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619

(4)

Elérhető az alábbi internetes oldalon: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf

(5)

A „The Implementation of Presidential Policy Directive 28: Signals Intelligence Activities” (A 28. sz. elnöki politikai irányelv: jelfelderítési tevékenységek) című, az elnöknek szóló jelentés elérhető az alábbi internetes oldalon: https://www.pclob.gov/reports/report-PPD28/

(6)

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)