1.           Bevezetés: az EU és az USA általi adatfeldolgozás változó környezete

Az Európai Unió és az Amerikai Egyesült Államok stratégiai partnerek, és e partnerség elengedhetetlen a közös értékeink, biztonságunk és a nemzetközi ügyekben betöltött vezető szerepünk tekintetében.

A partnerségbe vetett meggyengült bizalmat azonban helyre kell állítani. Az EU, tagállamai és az európai polgárok mély aggodalmukat fejezték ki a jelentős méretű amerikai hírszerzési programokkal, és különösképpen a személyes adatok védelme tekintetében napvilágra került tényekkel kapcsolatban[1]. A polgárok, vállalkozások, illetve politikusok magánjellegű kommunikációjának tömeges megfigyelése elfogadhatatlan.

A személyes adatok továbbítása a transzatlanti kapcsolatok fontos és szükséges eleme. Szerves részét képezi az Atlanti-óceánon átnyúló kereskedelmi forgalomnak, ideértve az egyre növekvő olyan digitális vállalkozásokat, mint például a közösségi média vagy a számítási felhők, amelyek révén nagy mennyiségű adat áramlik az EU-ból az Egyesült Államokba. Fontos eleme a bűnüldözés terén zajló EU–USA együttműködésnek, valamint a tagállamok és az USA között a nemzetbiztonság terén zajló együttműködésnek is. Az adatáramlások megkönnyítése érdekében – az uniós jog által előírt magas szintű adatvédelem biztosítása mellett – az Egyesült Államok és az EU számos megállapodást és egyezményt kötött.

A kereskedelmi forgalommal a 2000/520/EK határozat[2] (a továbbiakban: védett adatkikötőről szóló határozat) foglalkozik. E határozat jogalapot biztosít a személyes adatoknak az EU-ból az Egyesült Államokban székhellyel rendelkező azon vállalatok számára történő továbbításához, amelyek betartják a védett adatkikötőre vonatkozó elveket.

Számos uniós szintű megállapodás terjed ki az EU és az USA között a személyes adatok bűnüldözési céllal történő cseréjére, ideértve a terrorizmus és más súlyos bűncselekmények megelőzését és az ellenük folytatott küzdelmet is. Ezek közé tartozik a kölcsönös jogsegélyről szóló megállapodás[3], az utas-nyilvántartási adatállomány felhasználásáról és továbbításáról szóló megállapodás (PNR-megállapodás)[4], a pénzügyi üzenetadatoknak a terrorizmus finanszírozásának felderítését célzó program céljából történő feldolgozásáról és átadásáról szóló megállapodás (TFTP-megállapodás)[5], valamint az Europol és az Egyesült Államok között létrejött megállapodás. E megállapodások a személyes adatok magas szintű védelme mellett választ adnak a fontos biztonsági kihívásokra, valamint figyelembe veszik az EU és az USA közös biztonsági érdekeit. Ezen felül az EU és az USA jelenleg tárgyalásokat folytat a rendőrségi és igazságügyi együttműködés keretében történő adatvédelemről szóló (a továbbiakban: keretmegállapodás)[6]. A cél az állampolgárok továbbított adatai magas szintű védelmének biztosítása, tovább fokozva ezzel az EU–USA együttműködést a közös értékek és elfogadott biztosítékok alapján folytatott terrorizmus és bűnözés elleni küzdelem terén.

Ezen eszközök olyan környezetben működnek, ahol a személyes adatok áramlása egyre nagyobb jelentőséggel bír.

A digitális gazdaság fejlődése az adatfeldolgozási tevékenységek mennyiségének, minőségének, sokrétűségének és jellegének exponenciális növekedéséhez vezetett. A polgárok mindennapi életükben egyre gyakrabban veszik igénybe az elektronikus hírközlési szolgáltatásokat. A személyes adatok rendkívül értékes eszközzé váltak: 2011-ben az uniós polgárok adatait 315 milliárd euróra becsülték, amely 2020-ra 1 billió euróra nőhet[7]. A nagyméretű adatállományok elemzésének piaca évi 40 %-kal növekszik világszerte[8]. Hasonlóképpen a technológiai fejlődés – például a számítási felhő tekintetében – más megvilágításba helyezi a nemzetközi adattovábbítást, mivel a határokon átnyúló adatáramlás mindennapos valósággá válik.[9]

Az elektronikus kommunikáció és az adatfeldolgozási szolgáltatások, többek között a számítási felhő fokozódó igénybevétele szintén jelentős mértékben kibővítette a transzatlanti adattovábbítás hatályát és jelentőségét. Az olyan tényezők, mint például az amerikai vállalatoknak a digitális gazdaságban betöltött központi szerepe[10], az elektronikus kommunikáció jelentős részének transzatlanti routingja, valamint az EU és az USA közötti elektronikus adatáramlás mennyisége még fontosabbá váltak.

A személyes adatok feldolgozásának modern módszerei új és fontos kérdéseket vetnek fel. Ez vonatkozik a fogyasztói adatoknak a magánvállalatok által kereskedelmi céllal történő, nagy mértékű feldolgozásának új módszereire, valamint a hírszerzési szolgálatok fokozott képességére a kommunikációs adatok tömeges megfigyelése tekintetében.

Az olyan jelentős méretű amerikai hírszerzési programok, mint például a PRISM, hatást gyakorolnak az európaiak alapvető jogaira, különösen a magánélethez való jog és a személyes adatok védelme tekintetében. E programok rámutatnak továbbá a kormány általi megfigyelés és a magánvállalatok, különösképpen az amerikai internetes vállalkozások általi adatfeldolgozás közötti kapcsolatra, így ezek gazdasági hatást is kifejthetnek. Ha a polgárok aggódnak amiatt, hogy személyes adataikat a magánvállalatok nagy mértékben feldolgozzák, illetve hogy a hírszerző szolgálatok megfigyelik adataikat az internet használata közben, akkor ez megingathatja a digitális gazdaságba vetett bizalmukat, potenciálisan negatív hatást gyakorolva a növekedésre.

E fejlemények új kihívások elé állítják az EU és az USA közötti adatforgalmat. E közlemény ezekkel a kihívásokkal foglalkozik. Az EU–USA ad hoc munkacsoport uniós társelnökségének jelentésében foglalt megállapítások és a védett adatkikötőről szóló közlemény alapján feltérképezi az előre vezető utat.

Hatékony megoldást keres a bizalom helyreállítására és az e területeken zajló EU–USA együttműködés megerősítésére, valamint a szélesebb körű transzatlanti kapcsolat megszilárdítására.

E közlemény abból indul ki, hogy a személyes adatok védelmének szintjét a megfelelő kontextusban kell kezelni, a EU–USA kapcsolatok egyéb dimenzióinak sérelme nélkül, gondolva itt a transzatlanti kereskedelmi és beruházási partnerség vonatkozásában jelenleg zajló tárgyalásokra is. Ezért az adatvédelem szintjéről nem a transzatlanti kereskedelmi és beruházási partnerség keretében tárgyalnak, mivel az teljes mértékben tiszteletben fogja tartani az adatvédelmi szabályokat.

Fontos megjegyezni, hogy az EU ugyan lépéseket tehet az uniós hatáskör keretében, különösképpen az uniós jog[11] alkalmazásának védelme tekintetében, a nemzetbiztonság továbbra is az egyes tagállamok kizárólagos felelőssége[12].

2.         Az adattovábbításra vonatkozó jogi aktusokra gyakorolt hatás

Először, a kereskedelmi célú adattovábbítás tekintetében a védett adatkikötő fontos eszköznek bizonyult az EU–USA közötti adattovábbítás szempontjából. Ennek kereskedelmi jelentősége nőtt, hiszen a személyes adatok áramlása egyre hangsúlyosabbá vált a transzatlanti kereskedelmi kapcsolatok terén. Az elmúlt 13 évben a védet adatkikötő rendszerét több mint 3000 vállalatra terjesztették ki, amelyeknek több mint a fele az elmúlt öt évben kapcsolódott be. Ugyanakkor nőtt az aggodalom az uniós polgároknak a védett adatkikötő rendszer keretében az Egyesült Államokba továbbított személyes adatai védelmének szintjével kapcsolatban. A rendszer önkéntes és deklaratív jellege miatt fokozott figyelem összpontosult az átláthatóságára és végrehajtására. Az amerikai vállalatok többsége ugyan alkalmazza a rendszer alapelveit, egyes, öntanúsító vállalatok azonban nem. Ez ahhoz vezet, hogy a védett adatkikötőre vonatkozó alapelvekhez csatlakozó, de azokat be nem tartó öntanúsító vállalatok versenyelőnyhöz jutnak az azonos piacon működő európai vállalkozásokkal szemben. 

Ezenfelül, jóllehet a védett adatkikötőre vonatkozó alapelvek alapján szükség esetén nemzetbiztonsági okokból engedélyezett az adatvédelmi szabályok korlátozása[13], felmerült a kérdés, hogy vajon az amerikai megfigyelési programok általi nagy mértékű személyesadat-gyűjtés és -feldolgozás szükséges-e és mindez arányos-e a nemzetbiztonsági érdekek védelme szempontjából. Az EU–USA ad hoc munkacsoport megállapításaiból egyértelműen látszik, hogy e programok keretében az uniós polgárok nem élveznek az amerikaiakéval azonos jogokat és eljárási biztosítékokat.

E megfigyelési programok szerteágazása – az uniós polgárok nem egyenrangú kezelésével együtt – kérdésessé teszi a védett adatkikötőről szóló megállapodás által nyújtott védelem szintjét. Az uniós polgároknak a védett adatkikötő keretében az Egyesült Államokba továbbított személyes adataihoz az amerikai hatóságok oly módon férnek hozzá és azokat oly módon dolgozzák fel, amely nem egyeztethető össze azokkal az indokokkal, amelyek alapján az adatokat eredetileg az EU-ban összegyűjtötték, illetve azokkal a célokkal, amelyekkel azokat az Egyesült Államokba továbbították. Az e programok által közvetlenebbül érintett amerikai internetes vállalkozások többségét tanúsították a védett adatkikötőre vonatkozó alapelvek alapján.

Másodszor, a személyes adatok bűnüldözési céllal történő cseréje tekintetében a jelenlegi megállapodások (utas-nyilvántartási adatállomány, a terrorizmus finanszírozásának felderítését célzó program) rendkívül értékes eszköznek bizonyultak a súlyos nemzetközi bűnözéssel és terrorizmussal kapcsolatos közös biztonsági fenyegetések kezelése terén, olyan biztosítékokat fektetve le, amelyek magas szintű adatvédelmet biztosítanak[14]. E biztosítékok kiterjednek az uniós polgárokra, a megállapodások pedig olyan mechanizmusokról rendelkeznek, amelyek felülvizsgálják végrehajtásukat és foglalkoznak az azzal kapcsolatban felmerülő kérdésekkel. A pénzügyi üzenetadatoknak a terrorizmus finanszírozásának felderítését célzó program céljából történő feldolgozásáról és átadásáról szóló megállapodás egy felügyeleti rendszert is létrehoz, amely keretében a független uniós felügyelők ellenőrzik, hogy a megállapodás hatálya alá tartozó adatokat az Egyesült Államok milyen módon kérdezi le.

Az EU által az amerikai megfigyelési programokkal kapcsolatban felvetett aggodalmak miatt az Európai Bizottság e mechanizmusokat alkalmazta a megállapodások alkalmazásának ellenőrzésére. A PNR-megállapodás esetében közös felülvizsgálatot végeztek, amelyben uniós és amerikai adatvédelmi szakértők egyaránt részt vettek, megvizsgálva a megállapodás végrehajtásának módját[15]. E felülvizsgálat nem jelezte, hogy az amerikai megfigyelési programok kiterjednének vagy hatás gyakorolnának a PNR-megállapodás hatálya alá tartozó PNR-adatokra. A TFTP-megállapodás esetében a Bizottság hivatalos konzultációt indított, miután olyan állítások jelentek meg, amelyek szerint az amerikai hírszerzés a megállapodással ellentétes módon közvetlenül fért hozzá a személyes adatokhoz az EU-ban. E konzultációk során nem derült fény olyan bizonyítékokra, amelyek szerint a TFTP-megállapodást megsértették volna, és az Egyesült Államok írásban megerősítette, hogy nem gyűjtött közvetlenül adatokat a megállapodás rendelkezéseivel ellentétes módon.

A személyes adatoknak az amerikai megfigyelési programok keretében történő nagy mértékű gyűjtése és feldolgozása azonban szükségessé teszi a PNR-megállapodás és a TFTP-megállapodás végrehajtásának nagyon szigorú nyomon követését. Az EU és az USA ezért megállapodott abban, hogy előrehozzák a TFTP-megállapodás következő közös felülvizsgálatát, amelyre 2014 tavaszán kerül majd sor. Ezen és a további közös felülvizsgálatok keretében nagyobb átláthatóságot biztosítanak annak tekintetében, hogy a felügyeleti rendszer miként működik és az miként védi az uniós polgárok adatait.  Ezzel párhuzamosan lépéseket tesznek annak biztosítása érdekében, hogy a felügyeleti rendszer továbbra is nagy figyelmet fordítson arra, hogy a megállapodás alapján az Egyesült Államokba továbbított adatokat milyen módon dolgozzák fel, összpontosítva arra, hogy ezeket az adatokat az amerikai hatóságok hogyan osztják meg egymás között.

Harmadszor, a feldolgozott személyes adatok mértékének növekedése jól mutatja az alkalmazandó jogi és adminisztratív garanciák fontosságát. Az EU–USA ad hoc munkacsoport egyik célkitűzése volt annak meghatározása, mely biztosítékok alkalmazandók annak érdekében, hogy az adatfeldolgozás minimális hatást gyakoroljon az uniós polgárok alapvető jogaira. A biztosítékokra a vállalkozások védelmében is szükség van. Az egyes amerikai törvények, mint például a Patriot Act, lehetővé teszi az amerikai hatóságok számára, hogy közvetlenül felkérjék a vállalkozásokat, hogy az EU-ban tárolt adatokat lekérdezzék. Ezért az európai vállalkozásokat és az EU-ban található amerikai vállalatokat arra kérhetik, hogy az uniós és tagállami jogot megsértve továbbítsanak adatokat az Egyesült Államokba, így egymásnak ellentétes jogi kötelezettségeknek kellene eleget tenniük. Az ilyen közvetlen kérésekből adódó jogbizonytalanság visszatarthatja az olyan új digitális szolgáltatások, mint például a számítási felhők fejlődését, amelyek hatékony és olcsóbb megoldásokat nyújthatnak az egyének és a vállalkozások számára.

 3.         Az adatvédelem hatékonyságának biztosítása

A személyes adatoknak az EU és az USA közötti továbbítása a transzatlanti kereskedelmi kapcsolatok lényeges elemét képezi. Az információk megosztása szintén lényeges az EU–USA biztonsági együttműködés szempontjából, amely kritikus fontosságú a terrorizmus és más súlyos bűncselekmények megelőzésével és az ellenük folytatott küzdelemmel kapcsolatos közös célok tekintetében. Az amerikai hírszerzési programokról nemrégiben napvilágra került tények azonban megingatták a bizalmat, amelyre ez az együttműködés épül. Különösen csökkent a bizalom a személyes adatok feldolgozása tekintetében. A digitális gazdaság, az Európai Unión és az Egyesült Államokon belüli biztonság, valamint a szélesebb körű transzatlanti kapcsolatok érdekében az alábbi lépéseket kell tenni az adattovábbításba vetett bizalom helyreállításához.

3.1.      Az uniós adatvédelem reformja

A Bizottság által 2012 januárjában javasolt adatvédelmi reform[16] fontos megoldást kínál a személye adatok védelme tekintetében. A javasolt adatvédelmi csomag öt eleme különös fontossággal bír.

Először, a területi hatály vonatkozásában a javasolt rendelet egyértelművé teszi, hogy a nem uniós székhelyű vállalkozásoknak az uniós adatvédelmi jogszabályokat kell alkalmazniuk, amikor árut vagy szolgáltatást kínálnak az európai fogyasztók számára, illetve nyomon követik e fogyasztók viselkedését. Másképp fogalmazva a vállalkozás vagy annak adatfeldolgozó egysége földrajzi elhelyezkedéstől függetlenül tiszteletben tartja az adatvédelemhez való jogot[17].

Másodszor, a nemzetközi adattovábbítás tekintetében a javasolt rendelet meghatározza azokat a feltételeket, amelyek alapján az adatok az EU területén kívülre továbbíthatók. Az adattovábbítás csak akkor engedélyezhető, ha teljesülnek az személyek magas szintű adatvédelemhez való jogát biztosító feltételek[18].

Harmadszor az érvényesítés tekintetében a javasolt szabályok arányos és visszatartó erejű szankciókról (a vállalat globális éves forgalma 20 %-áig) rendelkeznek annak biztosítása érdekében, hogy a vállalatok tiszteletben tartsák az uniós jogot[19]. A hiteles szankciók megléte arra ösztönzi a vállalatokat, hogy még inkább megfeleljenek az uniós jognak.

Negyedszer, a javasolt rendelet egyértelmű szabályokat tartalmaz az adatfeldolgozók, mint például a számításifelhő-szolgáltatók kötelezettségeire és felelősségeire nézve, ideértve a biztonságot is[20]. Ahogy az amerikai hírszerzési programokról nemrégiben napvilágra került ismeretek mutatják, mindez kritikus fontosságú, mivel e programok hatással vannak a számítási felhőben tárolt adatokra is. A felhőben tárolóhelyeket nyújtó vállalatok, amelyeket a külföldi hatóságok a személyes adatok átadására szólítanak fel, a továbbiakban nem bújhatnak ki a felelősség alól azáltal, hogy státuszukra adatkezelő helyett adatfeldolgozóként hivatkoznak.

Ötödször, a csomag révén létrejön a bűnüldözési ágazatban feldolgozott személyes adatok védelmének átfogó szabályzata.

A csomagról várhatóan 2014 folyamán kellő időben megállapodás születik[21].

3.2.      A védett adatkikötő még biztonságosabbá tétele

A védett adatkikötő alapelvére épülő rendszer az EU és az USA közötti kereskedelmi kapcsolatok lényeges elemét képezi, egyaránt támaszkodva az Atlanti-óceán mindkét partján található vállalkozásokra.

A védett adatkikötő működéséről szóló bizottsági jelentés számos gyenge pontot talált a rendszerben. Az átláthatóság és az érvényesítés hiánya eredményeként egyes öntanúsító, a védett adatkikötő rendszerhez csatlakozott tagok a gyakorlatban nem tartják be az alapelveket. Ez negatív hatást gyakorolt az uniós polgárok alapvető jogaira, emellett az európai vállalatok számára hátrányt teremt, azokkal a velük versenyben lévő amerikai vállalatokkal összevetve, amelyek ugyan a rendszerbe tartoznak, de nem alkalmazzák annak alapelveit. E gyenge pont azokra az amerikai vállalatokra is hatással van, amelyek a rendszert megfelelően alkalmazzák. A védett adatkikötő az uniós polgárok személyes adatainak az EU-ból az USA-ban történő továbbításának csatornájaként is szolgál azon vállalatok számára, amelyeknek az amerikai hírszerzési programok keretében adatokat kell szolgáltatniuk az amerikai hírszerzésnek. Amennyiben e hiányosságokat nem orvosolják, a rendszer versenyhátrányt teremt az uniós vállalkozások számára, így negatív hatást gyakorol az uniós polgárok adatvédelemhez való alapvető jogára.

Az európai adatvédelmi hatóságok a megfigyeléssel kapcsolatos, nemrégiben napvilágra került tényekre vonatkozó válaszukban szintén kiemelték a védett adatkikötő rendszer hibáit. A védett adatkikötőről szóló határozat 3. cikke felhatalmazza e hatóságokat arra, hogy bizonyos feltételek mellett felfüggesszék a tanúsítvánnyal rendelkező vállalatok felé irányuló adatáramlást.[22] A német adatvédelmi biztosok úgy határoztak, hogy nem bocsátanak ki új engedélyeket az Unión kívüli országokba történő adattovábbításhoz (például egyes számításifelhő-szolgáltatások használatához). Azt is megvizsgálják, hogy a védett adatkikötőről szóló határozat szerint az adatáramlást fel kell-e függeszteni.[23] A kockázat abban rejlik, hogy a nemzeti szinten hozott ilyen jellegű intézkedések különböző lefedést eredményeznének, ezáltal nem a védett adatkikötő lenne többé a személyes adatok EU és az USA közötti továbbításának alapvető fontosságú mechanizmusa.

A Bizottság a 95/46/EK irányelv alapján hatáskörrel rendelkezik arra, hogy a védett adatkikötő rendszert felfüggessze vagy megszüntesse, amennyiben a rendszer többé nem biztosítja az adatvédelem megfelelő szintjét. Ezen felül a védett adatkikötőről szóló határozat 3. cikke arról is rendelkezik, hogy a Bizottság a határozatot visszavonhatja, felfüggesztheti vagy hatályát korlátozhatja, míg a 4. cikk alapján a határozat bármikor kiigazítható a végrehajtásával kapcsolatos tapasztalat fényében.

Ennek megfelelően számos szakpolitikai lehetőséget lehet megfontolni:

a status quo fenntartását, a védett adatkikötő rendszer megerősítését és működésének alapos felülvizsgálatát, a védett adatkikötőről szóló határozat felfüggesztését vagy visszavonását.

Az azonosított hiányosságok miatt a védett adatkikötő jelenlegi alkalmazása nem tartható fenn. Visszavonása azonban hátrányosan érintené azon uniós és amerikai vállalatok érdekeit, amelyek tagjai a rendszernek. A Bizottság úgy ítéli meg, hogy a védett adatkikötő rendszerét inkább meg kellene erősíteni.

A fejlesztésnek foglalkoznia kell az átláthatósággal és az érvényesítéssel kapcsolatos szerkezeti hiányokkal, a védett adatkikötő jelentős alapelveivel és a nemzetbiztonsággal kapcsolatos kivétel alkalmazásával egyaránt.

Konkrétabban: annak érdekében, hogy a védett adatkikötő a szándékoknak megfelelően működjön, az amerikai hatóságoknak hatékonyabban és módszeresebben kell nyomon követnie és felügyelnie, hogy a tanúsítvánnyal rendelkező vállalatok megfelelnek-e a védett adatkikötőre vonatkozó alapelveknek. A tanúsítvánnyal rendelkező vállalatok adatvédelmi politikájának átláthatóságát javítani kell. A vitarendezési mechanizmusok hozzáférhetőségét és megfizethetőségét biztosítani kell az uniós polgárok számára. 

A Bizottság sürgősen felveszi a kapcsolatot az amerikai hatóságokkal annak érdekében, hogy megvitassák az azonosított hiányosságokat. 2014 nyaráig megoldásokat kell találni és azokat a lehető leghamarabb alkalmazni kell. Ennek alapján a Bizottság teljes körűen áttekinti a védett adatkikötőre vonatkozó alapelvek működését. E szélesebb körű felülvizsgálati eljárásnak magában kell foglalnia a nyílt konzultációt, valamint az Európai Parlamenttel és a Tanáccsal folytatott eszmecserét, továbbá az amerikai hatóságokkal zajló párbeszédet is. 

Fontos továbbá, hogy a védett adatkikötőről szóló határozatban foglalt nemzetbiztonsági kivételeket szigorúan csak a szükséges és arányos mértékben alkalmazzák.

3.3.      Az adatvédelmi biztosítékok megerősítése a bűnüldözés terén zajló együttműködés keretében

Az EU és az USA jelenleg tárgyalásokat folytat a személyes adatoknak a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében történő továbbításáról és feldolgozásáról szóló keretmegállapodásról. Egy ilyen megállapodás megkötése – amely a személyes adatok védelmének magas szintjét biztosítja – jelentős mértékben hozzájárulna a transzatlanti bizalom megerősítéséhez. Az uniós polgárok adatvédelemhez való jogának előmozdításával segítene megerősíteni a terrorizmus és más súlyos bűncselekmények megelőzését és az ellenük folytatott küzdelmet célzó transzatlanti együttműködést.

A Bizottságot a keretmegállapodásról folytatott tárgyalásra felhatalmazó határozat szerint a tárgyalások célja az, hogy az uniós adatvédelmi vívmányokkal összhangban biztosítsák az adatvédelem magas szintjét. Mindezt türközniük kell az elfogadott szabályoknak és biztosítékoknak, amelyek többek között a korlátozott célú felhasználásra, valamint az adatmegőrzés feltételeire és időtartamára vonatkoznak. A tárgyalások keretében a Bizottságnak el kell érnie, hogy a partner kötelezettséget vállaljon arra, hogy az USA-ban lakóhellyel nem rendelkező uniós állampolgárok számára érvényesíthető jogokat biztosít, ideértve a bírósági jogorvoslati mechanizmusokat is[24]. A közös biztonsági kihívásokkal foglalkozó szoros EU–USA együttműködést tükrözniük kell azoknak az erőfeszítéseknek, amelyek arra, irányulnak, hogy az állampolgárok az Atlanti-óceán mindkét partján azonos jogokat élvezzenek az azonos adatok megegyező célból történő feldolgozása során. Az is fontos, hogy a nemzetbiztonsági okok miatti eltéréseket pontosan meghatározzák. E tekintetben biztosítékokról és korlátozásokról kell megállapodni.

E tárgyalások lehetőséget adnak annak egyértelműsítésére, hogy az EU-ban található, magánvállalkozások birtokában lévő személyes adatokhoz az amerikai bűnüldöző hatóságok csak az együttműködés olyan hivatalos csatornáin keresztül, mint például a kölcsönös jogsegélyről szóló megállapodás vagy az ilyen adattovábbítást engedélyező ágazati EU–USA megállapodások keretében férnek közvetlenül hozzá, illetve továbbítják azokat számukra. A hozzáférés egyéb módjait kizárják, kivéve ha arra egyértelműen meghatározott, kivételes és jogi úton vizsgálható esetekben kerül sor. Az Egyesült Államoknak e tekintetben kötelezettséget kell vállalnia[25].

Az ezen elgondolások mentén elfogadott keretmegállapodás általános keretet biztosít a személyes adatok magas szintű védelméhez a bűnözés és a terrorizmus elleni küzdelem során az Egyesült Államokba történő adattovábbítás során. Az ágazati megállapodások – amennyiben az érintett adatok jellegéből adódóan szükséges – további szabályokat és biztosítékokat határoznak meg az EU és az USA közötti PNR- és TFTP-megállapodás példájára építve, amelyek szigorú feltételeket szabnak az adattovábbításhoz, és biztosítékokat nyújtanak az uniós polgárok számára.         

3.4.      A jelenleg zajló amerikai reformfolyamattal kapcsolatos európai aggodalmak kezelése 

Barack Obama amerikai elnök bejelentette az amerikai nemzetbiztonsági hatóságok tevékenységének, valamint az alkalmazandó jogi keretnek a felülvizsgálatát. E jelenleg zajló folyamat kitűnő lehetőséget nyújt arra, hogy foglalkozzanak az amerikai hírszerzési programokról nemrégiben napvilágra került tényekkel kapcsolatban felmerülő uniós aggodalmakkal. A legfontosabb változások közé tartozik az USA állampolgárai és lakói számára nyújtott biztosítékok kiterjesztése az USA-ban lakóhellyel nem rendelkező uniós állampolgárokra, a hírszerzési tevékenységek átláthatóságának növelése és a felügyelet további megerősítése. Az ilyen változások helyreállíthatják az EU és az USA közötti adatcserébe vetett bizalmat és ösztönözhetik az európaiakat az internetes szolgáltatások igénybevételére.

Az USA állampolgárai és lakói számára nyújtott biztosítékoknak az uniós polgárokra való kiterjesztése tekintetében az amerikai és uniós polgárokat különböző módon kezelő amerikai megfigyelési programokkal kapcsolatos jogi normákat felül kell vizsgálni, ideértve a szükségességre és arányosságra vonatkozó szempontokat is, szem előtt tartva, hogy a szoros transzatlanti biztonsági kapcsolat a közös értékeken, jogokon és szabadságokon alapul. Mindezek révén az amerikai hírszerzési programok kisebb mértékben érintenék az európai polgárokat.

Szükség van arra, hogy átláthatóbbá tegyék az amerikai hírszerzési programok jogi keretét és annak az amerikai bíróságok általi értelmezését, valamint e programok kvantitatív dimenzióját is. Az uniós polgárok szintén élveznék e változások előnyeit.

Az amerikai hírszerzési programok felügyeletét javítaná a külföldi hírszerzési tevékenységek megfigyelésével foglalkozó bíróság (Foreign Intelligence Surveillance Court) szerepének megszilárdítása és az egyének számára rendelkezésre álló jogorvoslat bevezetése. E mechanizmusok csökkenthetik az európaiak olyan személyes adatainak feldolgozását, amelyek nemzetbiztonsági szempontból nem relevánsak.

3.5.        Az adatvédelmi normák nemzetközi népszerűsítése

Az adatvédelem modern módszerei által felvetett kérdések nem korlátozódnak csupán az EU és az USA közötti adattovábbításra. Minden egyén számára garantálni kell a személyes adatok magas szintű védelmét. Az adatok gyűjtésére, feldolgozására és továbbítására vonatkozó uniós szabályokat nemzetközi szinten is népszerűsíteni kell.

Nemrégiben számos kezdeményezést javasoltak a magánélet védelmének előmozdítására, különös tekintettel az internetre[26]. Az EU-nak biztosítania kell, hogy az ilyen kezdeményezéseknek – amennyiben azokat végrehajtják – teljes mértékben figyelembe kell venniük az uniós jogban és az uniós kiberbiztonsági stratégiában meghatározottaknak megfelelően az alapvető jogok védelmével, a szólásszabadsággal, a személyes adatok védelmével és a magánélettel kapcsolatos alapelveket, és nem veszélyeztethetik a kibertér szabadságát, nyitottságát és biztonságát. Mindez magában foglal egy több érdekelt felet tömörítő, demokratikus és hatékony irányítási modellt.

Az adatvédelmi törvényeknek az Atlanti-óceán mindkét oldalán zajló jelenlegi reformja egyedülálló lehetőséget kínál az EU és az USA számára, hogy megszabják a nemzetközi normákat. Az Atlanti-óceánon keresztül és azon túl zajló adatcserék jelentős mértékben profitálhatnak az amerikai belföldi jogi keret megszilárdításából, ideértve az Obama elnök által 2012 februárjában bejelentett, a fogyasztói adatvédelmi törvény (Consumer Privacy Bill of Rights) szakaszát, amely a fogyasztók adatvédelmének javítását célzó átfogó terv része. Az EU-ban és az USA-ban egyaránt meglévő szilárd és érvényesíthető adatvédelmi jogszabályok rendszere stabil alapot teremtene a határokon át zajló adatáramlások számára.

Az adatvédelmi normák nemzetközi népszerűsítése tekintetében előnyben kell részesíteni a csatlakozást a személyes adataik gépi feldolgozása során az egyének védelméről szóló európa tanácsi egyezményhez (108. sz. egyezmény) , amely nyitva áll azon országok számára is, amelyek nem tagjai az Európa Tanácsnak[27]. A nemzetközi fórumokon elfogadott biztosítékok és garanciák olyan magas szintű védelmet eredményeznek, amely megfelel az uniós jogban előírtaknak.

4.            Következtetések és ajánlások

Az e közleményben azonosított kérdések tekintetében az Egyesült Államoknak, az EU-nak és tagállamainak egyaránt lépéseket kell tennie.

A transzatlanti adatcserével kapcsolatos aggodalmak elsősorban vészjelzésnek tekinthetők az EU és tagállamai számára, hogy gyorsan és elszántan végezzék el az adatvédelmi reformokat. Rámutat arra, hogy még sosem volt ekkora szükség az olyan egyértelmű szabályokat tartalmazó szilárd jogi keretre, amelyek az adatok külföldre történő továbbítása esetében is érvényesíthetők. Az uniós intézményeknek ezért továbbra is azon kell dolgozniuk, hogy az uniós adatvédelmi reformot 2014 tavaszáig elfogadják annak biztosítása érdekében, hogy a személyes adatokat hatékonyan és átfogóan védjék.

A transzatlanti adatáramlások jelentősége miatt elengedhetetlen, hogy azok az eszközök, amelyeken ezen adatcserék alapulnak, megfelelően kezeljék a digitális korszak, valamint az olyan technológiai fejlesztések, mint például a számítási felhők kihívásait és lehetőségeit. A jelenlegi és a jövőbeli megállapodásoknak biztosítaniuk kell, hogy az Atlanti-óceán mindkét oldalán garantálják az adatvédelem folyamatosan magas szintjét.

A szilárd védett adatkikötő rendszer egyaránt szolgálja az uniós és az amerikai polgárok és vállalkozások érdekeit. A jobb nyomon követés és végrehajtás révén rövid távon meg kell erősíteni és – erre építve – működését szélesebb körben kell felülvizsgálni. Szükség van a fejlesztésre a védett adatkikötőről szóló határozat eredeti célkitűzéseinek – azaz a folyamatos adatvédelem, jogbiztonság és szabad EU–USA adatáramlás – változatlan biztosítása érdekében. 

E fejlesztéseknek arra kell összpontosítaniuk, hogy az amerikai hatóságok jobban felügyeljék és kövessék nyomon, hogy az öntanúsító vállalkozások megfelelnek-e a védett adatkikötőre vonatkozó alapelveknek .

Fontos továbbá, hogy a védett adatkikötőről szóló határozatban foglalt nemzetbiztonsági kivételeket szigorúan csak a szükséges és arányos mértékben alkalmazzák.

A bűnüldözés terén a keretmegállapodásról szóló jelenlegi tárgyalások az Atlanti óceán mindkét partján magas szintű adatvédelmet eredményeznek az állampolgárok számára. Az ilyen jellegű megállapodás megerősítheti az európaiak bizalmát az EU–USA közötti adatcserékkel kapcsolatban, és alapul szolgál az EU–USA biztonsági együttműködés és partnerség további elmélyítésére. A tárgyalásokkal kapcsolatban kötelezettségeket kell vállalni, hogy az eljárási biztosítékok – ideértve a bírósági jogorvoslatot is – az USA-ban lakóhellyel nem rendelkező uniós állampolgárok számára is rendelkezésre álljanak.

Az amerikai kormánynak kötelezettséget kellene vállalnia, hogy  az EU-ban található, magánvállalkozások birtokában lévő személyes adatokhoz az amerikai bűnüldöző hatóságok csak az együttműködés olyan hivatalos csatornáin keresztül, mint például a kölcsönös jogsegélyről szóló megállapodás vagy az ilyen adattovábbítást engedélyező ágazati EU–USA megállapodások (például a  PNR- és a TFTP-megállapodás) keretében férnek közvetlenül hozzá, kivéve, ha arra egyértelműen meghatározott, kivételes és jogi úton vizsgálható esetekben kerül sor.  

Az Egyesült Államoknak az USA állampolgárai és lakói számára nyújtott biztosítékokat ki kell terjesztenie az USA-ban lakóhellyel nem rendelkező uniós állampolgárokra, biztosítania kell a programok szükségességét és arányosságát, valamint az amerikai nemzetbiztonsági hatóságokra alkalmazandó jogi keret nagyobb átláthatóságát és felügyeletét.

A közleményben felsorolt területeken az Atlanti-óceán mindkét oldalán konstruktív részvételre van szükség. Együtt – stratégiai partnerekként – az EU és az USA képes felemelkedni a transzatlanti kapcsolatban fennálló jelenlegi feszültségen és újraépíteni az EU–USA adatáramlásokkal kapcsolatos bizalmat. Az e területeken folytatandó további együttműködésre vonatkozó közös politikai és jogi kötelezettségvállalás megerősíti az általános transzatlanti kapcsolatot.

[1]               E közlemény alkalmazásában az uniós állampolgárokra történő hivatkozás egyúttal magában foglalja azokat az unión kívüli érintetteket is, akikre kiterjed az Európai Unió adatvédelmi joga.

[2]               A Bizottság 2000. július 26-i 2000/520/EK határozata a 95/46/EK európai parlamenti és tanácsi irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott biztonságos kikötő adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről, HL L 215., 2000.8.25., 7. o.

[3]               A Tanács 2009. október 23-i 2009/820/KKBP határozata az Európai Unió és az Amerikai Egyesült Államok közötti, kiadatásról szóló megállapodásnak és az Európai Unió és az Amerikai Egyesült Államok közötti, kölcsönös jogsegélyről szóló megállapodásnak az Európai Unió nevében történő megkötéséről, HL L 291., 2009.11.7., 40. o.

[4]               A Tanács 2012. április 26-i  2012/472/EU határozata az Amerikai Egyesült Államok és az Európai Unió közötti, az utas-nyilvántartási adatállomány felhasználásáról és az Egyesült Államok Belbiztonsági Minisztériuma részére történő továbbításáról szóló megállapodás megkötéséről, HL L 215., 2012.8.11., 4. o.

[5]               A Tanács 2010. július 13-i határozata az Európai Unió és az Amerikai Egyesült Államok között az Európai Unióból származó pénzügyi üzenetadatoknak a terrorizmus finanszírozásának felderítését célzó program céljából történő feldolgozásáról és az Amerikai Egyesült Államok részére való átadásáról szóló megállapodás megkötéséről, HL L 195., 2010.7.27., 3. o.

[6]               A Tanács 2010. december 3-án határozatot fogadott el, amelyben felhatalmazza a Bizottságot, hogy a megállapodásra vonatkozóan tárgyalásokat folytasson. Lásd: IP/10/1661, 2010. december 3.

[7]               Lásd Boston Consulting Group, „The Value of our Digital Identity”, 2012. november.

[8]               Lásd McKinsey, „Big data: The next frontier for innovation, competition, and productivity”, 2011.

[9]               A számítási felhőben rejlő potenciál felszabadítása Európában című bizottsági közlemény, COM(2012) 529 final

[10]             Például a Microsoft Hotmail, a Google Gmail és a Yahoo! egyedi látogatóinak együttes száma. 2012 júniusában az európai országokból küldött e-mailek száma összesen 227 millió volt, valamennyi egyéb szolgáltatót felváltva. A 2012 márciusában a Facebook és a Facebook Mobile egyedi európai felhasználóinak együttes száma 196,5 millió volt, így a Facebook Európa legnagyobb közösségi oldalává vált. A világ internet-felhasználóinak 90,2 %-a Google-t használja, amely ezáltal a vezető internetes keresőprogrammá vált. 2013 júniusában Németországban az amerikai What's App mobil üzenetküldő szolgáltatást az iPhone felhasználók 91 %-a alkalmazta.

[11]             Lásd az Európai Unió Bíróságának a C-300/11. sz. ZZ kontra Secretary of State for the Home Department ügyben hozott ítéletét.

[12]             Az EUSZ 4. cikkének (2) bekezdése.

[13]             Lásd a védett adatkikötőről szóló határozat I. mellékletét.

[14]             Lásd az Európai Unió és az Amerikai Egyesült Államok közötti, az Európai Unióból származó pénzügyi üzenetadatoknak a terrorizmusfinanszírozás felderítésére irányuló program céljából történő feldolgozásáról és az Amerikai Egyesült Államok részére való átadásáról szóló megállapodás 6. cikkének (6) bekezdése szerint a Bizottság és az Egyesült Államok Pénzügyminisztériuma által készített közös jelentést a TFTP keretében rendelkezésre bocsátott adatok jelentőségéről.

[15]             Lásd az Amerikai Egyesült Államok és az Európai Unió közötti, az utas-nyilvántartási adatállomány felhasználásáról és az Egyesült Államok Belbiztonsági Minisztériuma részére történő továbbításáról szóló megállapodás végrehajtásának közös felülvizsgálatáról szóló bizottsági jelentést.

[16]             COM(2012) 10 final: Javaslat európai parlamenti és tanácsi irányelvre a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, Brüsszel, 2012. január 25., COM(2012) 11 final Javaslat európai parlamenti és tanácsi rendeletre a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (általános adatvédelmi rendelet)

[17]             A Bizottság tudomásul veszi, hogy az Európai Parlament megerősítette ezt a javasolt rendelet 3. cikkében foglalt fontos alapelvet az Állampolgári Jogi, Bel- és Igazságügyi Bizottságban (LIBE-bizottság) Jan-Philipp Albrecht és Dimitrios Droutsas európai parlamenti képviselők által az adatvédelmi reformról készített jelentésről való 2013. október 21-i szavazás során.

[18]             A Bizottság tudomásul veszi, hogy az Európai Parlament LIBE-bizottsága a 2013. október 21-i szavazás során javasolta, hogy a jövőbeli rendelet tartalmazzon egy olyan rendelkezést, amely szerint a külföldi hatóságoknak az EU-ban gyűjtött személyes adatokhoz való hozzáférésre irányuló kérései esetében a nemzeti adatvédelmi hatóságtól kell előzetes engedélyt kérni, amennyiben e kérés nem nyújtható be valamely  kölcsönös jogsegélyről szóló megállapodás vagy más nemzetközi megállapodás alapján. 

[19]             A Bizottság tudomásul veszi, hogy az Európai Parlament LIBE-bizottsága a 2013. október 21-i szavazás során javasolta a Bizottság javaslatának megerősítését, előírva, hogy a bírságok a vállalat éves világméretű forgalmának akár 5 %-át is elérhetik.

[20]             A Bizottság tudomásul veszi, hogy az Európai Parlament LIBE-bizottsága a 2013. október 21-i szavazás során jóváhagyta az adatfeldolgozók kötelezettségeinek és felelősségeinek megszilárdítását, különös tekintettel a javasolt rendelet 26. cikkére.

[21]             Az Európai Tanács 2013 októberi következtetései megállapítják, hogy: „Fontos, hogy a polgárok és a vállalkozások nagyobb bizalommal viseltessenek a digitális gazdaság iránt. Az adatvédelem vonatkozásában kellő időben szilárd uniós általános keretet kell elfogadnunk, továbbá el kell fogadnunk a kiberbiztonsági irányelvet is, hiszen ezek az eszközök nélkülözhetetlenek ahhoz, hogy 2015-ig megvalósuljon a digitalizált egységes piac kiteljesítése.”

[22]             Konkrétan a védett adatkikötőről szóló határozat 3. cikke szerint ilyen felfüggesztésre kerülhet sor, ha  nagy a valószínűsége az elvek megszegésének; okkal feltételezik, hogy az érintett végrehajtási mechanizmus sem most, sem később nem tesz megfelelő és időszerű lépéseket az adott eset rendezésére; a folytatódó adattovábbítás az érintettek súlyos károsodásának veszélyével fenyeget; és a tagállam illetékes hatóságai a körülményekhez képest elfogadható erőfeszítéseket tettek, hogy a szervezetet értesítsék, és lehetőséget adjanak neki a válaszadásra.

[23]             Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, 2013. július 24-i sajtóközlemény

[24]             Lásd az EU–USA bel- és igazságügyi miniszteri szintű, 2013. november 18-án Washingtonban tartott ülés után kiadott közös sajtóközlemény vonatkozó szakaszát: „Sürgős feladatként ezért elkötelezzük magunkat a bűnüldözés terén érdemleges és átfogó adatvédelmi keretmegállapodásról szóló tárgyalások gyors előrehaladása mellett. Az amerikai és uniós polgárok számára biztosított magas szintű adatvédelem révén e megállapodás szolgál alapul a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében történő adattovábbítás megkönnyítéséhez. Elkötelezetten dolgozunk a mindkét oldal által felvetett fennmaradó kérdések megoldásán, ideértve a bírósági jogorvoslatot is (amely az EU számára kritikus fontosságú kérdés). Célunk az, hogy a megállapodásra vonatkozó tárgyalásokat 2014 nyaráig lezárjuk.”

[25]             Lásd az EU–USA bel- és igazságügyi miniszteri szintű, 2013. november 18-án Washingtonban tartott ülés után kiadott közös sajtóközlemény vonatkozó szakaszát: Hangsúlyozzuk a kölcsönös jogsegélyről szóló EU–USA megállapodás jelentőségét. Újra megerősítjük elkötelezettségünket a megállapodás széles körű és hatékony alkalmazása mellett a büntetőeljárások során bizonyítási célokra. Tárgyalásokat folyattunk annak szükségéről is, hogy a másik fél területén magántársaságok birtokában lévő személyes adatokhoz a bűnüldöző hatóságok csak a jogilag engedélyezett csatornákon keresztül férhessenek hozzá. Egyetértettünk továbbá a kölcsönös jogsegélyről szóló megállapodás működésének felülvizsgálatában a megállapodásban szerepelteknek megfelelően, és szükség esetén az egymással folytatott konzultációban.”

[26]          E tekintetben lásd az ENSZ-közgyűlésben Németország és Brazília által javasolt állásfoglalás-tervezetet, amely a magánélet védelmére szólít fel „online” és „offline” egyaránt.

[27]          Az USA már csatlakozott az Európa Tanács egy másik, a számítógépes bűnözésről szóló egyezményéhez (más néven Budapesti Egyezmény).