EURÓPAI BIZOTTSÁG
Brüsszel, 2016.4.29.
COM(2016) 237 final
2016/0126(NLE)
Javaslat
A TANÁCS HATÁROZATA
az Amerikai Egyesült Államok és az Európai Unió közötti, a bűncselekmények megelőzésével, kivizsgálásával, felderítésével és büntetőeljárás alá vonásával kapcsolatos személyes adatok védelméről szóló megállapodásnak az Európai Unió nevében történő megkötéséről
INDOKOLÁS
1.A JAVASLAT HÁTTERE
•A javaslat indokai és céljai
A Bizottság, a Tanács elnökségének és az Egyesült Államok Igazságügyi Minisztériumának, Belbiztonsági Minisztériumának és Külügyminisztériumának vezető tisztviselőiből álló magas szintű kapcsolattartó csoportot (a továbbiakban: a kapcsolattartó csoport) hozták létre 2006 novemberében azon lehetőségek feltárására, amelyek lehetővé tennék az EU és az Egyesült Államok számára a bűnüldözési információcsere területén a szorosabb és hatékonyabb együttműködést, a személyes adatok és a magánélet védelmének biztosításával egyidejűleg. A kapcsolattartó csoport 2009. októberi zárójelentése 1 azt a következtetést vonta le, hogy egy, az EU-t és az Egyesült Államokat egyaránt kötelező, a bűnüldözési területen végzett transzatlanti adattovábbítások közösen megállapított adatvédelmi alapelveinek alkalmazására vonatkozó nemzetközi megállapodás a legjobb opció: azzal az előnnyel járna, hogy bármilyen bűnüldözési információcserére vonatkozóan lefektetné a magánéletet és személyes adatokat védő hatékony védelem alapjait, valamint így lehetne biztosítani a legmagasabb szintű jogbiztonságot.
A Tanács 2010. december 3-án határozatot fogadott el arról, hogy felhatalmazza a Bizottságot az Európai Unió és az Amerikai Egyesült Államok között kötendő, a büntetőügyekben folytatott rendőrségi együttműködés és igazságügyi együttműködés keretében a bűncselekmények – ezen belül a terrorcselekmények – megelőzése, kivizsgálása, felderítése vagy büntetőeljárás alá vonása céljából továbbított és feldolgozott személyes adatok védelméről szóló megállapodásra (a továbbiakban: adatvédelmi keretmegállapodás) irányuló tárgyalások megkezdésére 2 .
A Bizottság 2011. március 28-án megkezdte a tárgyalásokat. A Felek 2015. szeptember 8-án parafálták a szöveget.
Az adatvédelmi keretmegállapodás (első alkalommal) létrehozza az egyik oldalról az Egyesült Államok, a másik oldalról az EU vagy tagállamai között bűnüldözési célokból továbbított személyes adatok 3 adatvédelmi alapelveinek és biztosítékainak átfogó keretét. A kettős cél az adatvédelem magas szintjének biztosítása és ezáltal a felek közötti együttműködés fokozása. Míg az adatvédelmi keretmegállapodás önmagában nem jelent jogalapot semmiféle, az Egyesült Államokba irányuló személyes adat-továbbításra, szükség esetén kiegészít bármilyen meglévő és jövőbeli adattovábbítási megállapodásban vagy ilyen továbbításra feljogosító nemzeti rendelkezésben szereplő adatvédelmi biztosítékot.
Ez jelentős előrelépést jelent a jelenlegi helyzethez képest, amelyben olyan jogi eszközök (nemzetközi megállapodások vagy nemzeti jogszabályok) alapján történnek transzatlanti személyes adattovábbítások, amelyek nem tartalmaznak adatvédelmi rendelkezéseket vagy azok gyengék.
• A javaslatnak a szabályozási terület jelenlegi rendelkezéseivel való összhangja
Az adatvédelmi keretmegállapodás erősíteni fogja a valamennyi uniós érintett személyes adataira vonatkozó védelmet, amikor azokat az Egyesült Államokkal bűnüldözési célokból kicserélik. Azáltal, hogy az adatvédelmi biztosítékok átfogó keretét hozza létre, a megállapodás kiegészíti a meglévő megállapodásokat (a tagállamok és az Egyesült Államok közötti kétoldalú megállapodásokat, valamint az EU–USA közötti megállapodásokat egyaránt), amelyek alapján bűnüldözési célból személyes adatokat küldenek az Egyesült Államokba, amikor és amilyen mértékig azok a védelem és biztosítékok szükséges mértékét nélkülözik.
Ezen túlmenően a megállapodás „biztonsági hálót” nyújt majd az EU/tagállamok és az Egyesült Államok közötti jövőbeli megállapodásokhoz, amely alá a védelmi szint nem eshet. Ez fontos garancia a jövőre nézve, és lényeges elmozdulás a jelenlegi helyzethez képest, amelyben minden egyes új megállapodás kapcsán a nulláról kell kezdeni a biztosítékokról, a védelemről és a jogokról szóló tárgyalásokat.
Általában véve az adatvédelmi keretmegállapodás jelentős hozzáadott értéket biztosít majd az uniós érintettek védelmi szintjének emelésénél, az uniós elsődleges és másodlakos jog előírásaival összhangban. Első alkalommal vezet be egy olyan adatvédelmi eszközt, amely egy adott területen (vagyis a rendőrségi együttműködés és a büntetőjogi igazságügyi együttműködés területén a transzatlanti adatcsere vonatkozásában) az összes adattovábbítást átfogó és egységes módon fedi le. Ezen túlmenően az adatvédelmi keretmegállapodás transzatlanti kontextusban támasztja majd alá a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás alá vonása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló jövőbeli irányelvben (a továbbiakban: a rendőrségi irányelv) 4 rögzített nemzetközi adattovábbítások általános követelményeit. A fentiek fényében az adatvédelmi keretmegállapodás más nemzetközi partnerekkel esetleg kötendő hasonló megállapodásokra nézve is fontos precedenst teremt.
•A javaslat egyéb uniós politikákkal való összhangja
Az adatvédelmi keretmegállapodás várhatóan jelentős hatást gyakorol az Egyesült Államokkal folytatott rendőri és bűnüldözési együttműködésre. Azáltal, hogy az adatvédelmi biztosítékok közös és átfogó keretét hozza létre, a megállapodás lehetővé teszi egyrészről az EU vagy tagállamai, másrésztől az egyesült államokbeli bűnüldöző hatóságok számára a hatékonyabb együttműködést. Ezen túlmenően biztosítani fogja, hogy a fennálló megállapodások minden szükséges védelmet tartalmaznak. Ez lehetővé teszi a bűnüldözési együttműködés folytonosságát, ugyanakkor fokozza az adattovábbítással kapcsolatos jogbiztonságot. A megállapodás megkönnyíti továbbá az Egyesült Államokkal a bűnüldözési területen a jövőbeli adattovábbítási megállapodások megkötését, mivel az adatvédelmi biztosítékokról már létrejött megállapodásnak köszönhetően ezekről nem kell újra és újra tárgyalásokat folytatni. Végül ezen a kulcsfontosságú, de összetett együttműködési területen a közös standardok meghatározása jelentős eredmény, amely nagymértékben hozzájárulhat a transzatlanti adatáramlásokba vetett bizalom helyreállításához.
2.JOGALAP, SZUBSZIDIARITÁS ÉS ARÁNYOSSÁG
•Jogalap
E javaslat jogalapja az EUMSZ 16. cikke, összefüggésben az EUMSZ 218. cikke (5) bekezdésének a) pontjával.
•Szubszidiaritás
Az adatvédelmi keretmegállapodás az EUMSZ 3. cikke (2) bekezdése értelmében az EU kizárólagos hatáskörébe tartozik. A szubszidiaritás elve ezért nem alkalmazandó.
•Arányosság
Az adatvédelmi keretmegállapodás a Tanács tárgyalási irányelvei értelmében megkövetelt adatvédelmi biztosítékokról rendelkezik. Ezek a személyes adatok harmadik országba történő továbbításakor a védelem előírt szintjének biztosításához szükséges elemeknek minősülnek, úgy az Alapjogi Charta, mint a fejlődő uniós vívmányok keretében. Sem az ilyen biztosítékok jóval szűkebb katalógusa, sem egy gyengébb kötőerővel rendelkező eszköz nem tekinthető elégségesnek az ilyen szintű védelem biztosításához. Ezért a javaslat nem lép túl az egyik oldalról az Egyesült Államok, a másik oldalról az EU vagy tagállamai között bűnüldözési kontextusban továbbított személyes adatok adatvédelmi kerete létrehozása szakpolitikai célkitűzésének eléréséhez szükséges mértéken.
•A jogi aktus típusának megválasztása
A személyes adatok védelme kötelező keretének létrehozása, amely kiegészíti a meglévő megállapodásokat és a jövőbeli megállapodások alapját képezi, csak egy, az EU és az Egyesült Államok között megkötött nemzetközi szerződés segítségével biztosítható.
Ezen túlmenően – ahogy azt a kapcsolattartó csoport 2009. októberi zárójelentése is kiemelte – egy nemzetközi megállapodás nyújtja a legmagasabb szintű jogbiztonságot.
3.AZ UTÓLAGOS ÉRTÉKELÉSEK, AZ ÉRDEKELT FELEKKEL FOLYTATOTT KONZULTÁCIÓK ÉS A HATÁSVIZSGÁLATOK EREDMÉNYEI
•A jelenleg hatályban lévő jogszabályok utólagos értékelése / célravezetőségi vizsgálata
Tárgytalan.
•Az érdekelt felekkel folytatott konzultációk
A Bizottság rendszeresen – szóban és írásban egyaránt – jelentést tett a kijelölt tanácsi különbizottságnak a tárgyalások előrehaladásáról. Az Európai Parlament az Állampolgári Jogi, Bel- és Igazságügyi Bizottságán (LIBE) keresztül szóban és írásban egyaránt rendszeres tájékoztatást kapott.
•Szakértői vélemények beszerzése és felhasználása
A kezdeményezés a Tanács 2010. december 3-i tárgyalási irányelveit hajtja végre.
•Hatásvizsgálat
Nincs szükség hatásvizsgálatra. A javasolt megállapodás összhangban van a Tanács tárgyalási irányelveivel.
•Célravezető szabályozás és egyszerűsítés
Tárgytalan.
•Alapjogok
Az adatvédelmi keretmegállapodás rendelkezéseinek célja a személyes adatok védelméhez, valamint a hatékony jogorvoslathoz és a tisztességes eljáráshoz való joghoz fűződő alapvető jogok védelme, amelyeket az Európai Unió Alapjogi Chartájának 8., illetve 47. cikke rögzít.
4.KÖLTSÉGVETÉSI VONZATOK
A javasolt megállapodásnak nincsenek az uniós költségvetést érintő vonzatai.
5.EGYÉB ELEMEK
•Végrehajtási tervek, valamint a nyomon követés, az értékelés és a jelentéstétel szabályai
A tagállamok általi végrehajtás szükséges lesz, de a jogszabályokban nem várható jelentősebb változás, mivel az adatvédelmi keretmegállapodás lényegi rendelkezései nagymértékben az EU-ra és a nemzeti hatóságokra az uniós és/vagy nemzeti jog alapján már alkalmazandó szabályokat tükrözik.
•A javaslat egyes rendelkezéseinek részletes magyarázata
Az adatvédelmi keretmegállapodás – a Tanács tárgyalási irányelveivel összhangban – a rendelkezések öt kategóriáját fedi le: i. horizontális rendelkezések; ii. adatvédelmi alapelvek és biztosítékok; iii. személyhez fűződő jogok; iv. a megállapodás alkalmazására, valamint a felügyeletre vonatkozó szempontok; valamint v. zárórendelkezések.
i. Horizontális rendelkezések
i. A megállapodás célja (1. cikk)
A megállapodás céljának elérésének (vagyis a bűnüldözési területen a személyes adatok magas szintű védelmének és a fokozott együttműködésnek a biztosítása) érdekében az adatvédelmi keretmegállapodás létrehozza az egyik oldalról az Egyesült Államok, a másik oldalról az EU vagy tagállamai között a bűncselekmények – ezen belül a terrorcselekmények – megelőzése, kivizsgálása, felderítése vagy büntetőeljárás alá vonása céljából továbbított személyes adatok adatvédelmi keretét. A „bűncselekmények megelőzése, nyomozása, felderítése és büntetőeljárás alá vonása” (a továbbiakban együttesen: bűnüldözés) fogalmaira történő hivatkozás biztosítja, hogy e megállapodás összeegyeztethető lesz a jelenlegi és jövőbeli uniós adatvédelmi vívmányok szerkezetével (különösen a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló rendelet (általános adatvédelmi rendelet 5 ) és a rendőrségi irányelv közötti elhatárolás terén, alkalmazási körük vonatkozásában).
Annak rögzítésével, hogy az adatvédelmi keretmegállapodás önmagában nem jelent jogalapot semmiféle személyesadat-továbbításhoz, és mindig szükség van egy (különálló) jogalapra, az 1. cikk egyértelművé teszi azt is, hogy az adatvédelmi keretmegállapodás egy valódi alapjogi megállapodás, amely az ilyen adattovábbítások esetére védelmek és biztosítékok sorát határozza meg.
ii. Fogalommeghatározások (2. cikk)
Az adatvédelmi keretmegállapodás kulcsfontosságú fogalmait a 2. cikk határozza meg. A „személyes adatok”, „személyes adatok feldolgozása”, „Felek”, „tagállam” és „illetékes hatóság” fogalmak meghatározása alapvetően összhangban van e fogalmaknak az EU–USA közötti más megállapodásokban és/vagy az uniós adatvédelmi vívmányokban történt meghatározásaival.
iii. A megállapodás alkalmazási köre (3. cikk)
Az adatvédelmi keretmegállapodás 3. cikke határozza meg annak alkalmazási körét. Biztosítani fogja, hogy az adatvédelmi keretmegállapodás által bevezetett védelem- és biztosítékrendszer alkalmazandó lesz a büntetőügyekben folytatott transzatlanti bűnüldözési együttműködés keretében megvalósuló valamennyi adatcserére. Ez magában foglalja a nemzeti jogszabályok, az EU–USA közötti megállapodások (pl. az az EU–USA közötti kölcsönös jogsegélyegyezmény), a tagállamok és az Egyesült Államok közötti egyezmények (pl. kölcsönös jogsegélyegyezmények, a súlyos bűncselekmények megelőzése és az ellenük való fellépés terén a fokozott együttműködésről szóló megállapodások, a terroristák szűréséről szóló megállapodások vagy szabályok) alapján történő adattovábbításokat, valamint a magánfelek számára a személyes adatok bűnüldözési célú továbbítását lehetővé tevő egyedi megállapodások (pl. az EU–USA közötti utas-nyilvántartási adatállományról (PNR) szóló megállapodás 6 és a terrorizmus finanszírozásának felderítését célzó programról szóló megállapodás 7 ) alapján történő adattovábbítást. Az alkalmazási kört „adattovábbítási alapon” határozták meg, vagyis főszabály szerint az EU és az Egyesült Államok közötti összes bűnüldözési célú adattovábbításra vonatkozik, az érintett nemzetiségétől vagy lakóhelyétől függetlenül.
Az adatvédelmi keretmegállapodás nem vonatkozik az Egyesült Államok és a tagállamok nemzetbiztonsági hatóságai közötti személyesadat-továbbításokra (vagy másfajta együttműködésre).
iv. Megkülönböztetésmentesség (4. cikk)
A 4. cikk előírja, hogy mindegyik Fél a saját és a másik Fél állampolgárai közötti önkényes és indokolatlan megkülönböztetés nélkül hajtja végre az adatvédelmi keretmegállapodást.
Ez a cikk kiegészíti és megerősíti a megállapodás más rendelkezéseit (különösen az egyének számára a biztosítékokról – így a hozzáférésről, helyesbítésről és közigazgatási jogorvoslatról – rendelkező cikkek, lásd fent), mivel biztosítja, hogy az európai polgárok főszabály szerint az egyesült államokbeli állampolgárokkal egyenlő bánásmódban részesüljenek az e rendelkezések egyesült államokbeli hatóságok által történő gyakorlati végrehajtása során.
v. A megállapodás hatálya (5. cikk)
Ami az EU/tagállamok és az Egyesült Államok között fennálló megállapodásokat illeti, az adatvédelmi keretmegállapodás szükség szerint kiegészíti ezeket, vagyis akkor és olyan mértékig, amennyiben a szükséges adatvédelmi biztosítékokat nélkülözik 8 .
Az adatvédelmi keretmegállapodás (és különösen az egyéni jogokra vonatkozó cikkeinek) hatékony végrehajtása az alkalmazandó nemzetközi adattovábbítási szabályokkal való összeegyeztethetőség vélelmét váltja ki. Ez sem automatikus, sem általános vélelem, és bármely más vélelemhez hasonlóan megdönthető. Nem automatikus vélelem, mivel alkalmazása kifejezetten az adatvédelmi keretmegállapodás Egyesült Államok általi hatékony végrehajtásától, és különösen – ahogy azt az 5. cikk (2) bekezdése kifejezetten egyértelműsíti – az egyének jogaira (különösen a hozzáférésre, helyesbítésre, közigazgatási és bírósági jogorvoslatra) vonatkozó cikkek hatékony végrehajtásától függ. Nem is általános vélelem: tekintettel arra, hogy az adatvédelmi keretmegállapodás az adattovábbításoknak nem önálló eszköze, egy ilyen vélelem szükségszerűen eseti alapon működik, vagyis annak értékelése által, hogy az adatvédelmi keretmegállapodásnak és az adattovábbítás konkrét jogalapjának ötvözése az uniós adatvédelmi szabályoknak megfelelő szintű védelmet biztosít-e. . Más szóval, a megfelelőségi határozattól eltérően e rendelkezés nem biztosítja az Egyesült Államokban összességében nyújtott védelem szintjének általános elismerését, sem pedig a továbbítások általános engedélyezését.
ii. Adatvédelmi alapelvek és biztosítékok
A lent ismertetett cikkek a személyes adatok feldolgozását vezérlő jelentős alapelveket, valamint a kulcsfontosságú biztosítékokat és korlátozásokat tartalmazzák.
i. Célhoz kötöttség, felhasználási korlátok (6. cikk)
Az Európai Unió Alapjogi Chartájával és az uniós vívmányokkal összhangban a 6. cikk az adatvédelmi keretmegállapodás által lefedett valamennyi személyes adattovábbításra nézve alkalmazza a célhoz kötöttség elvét, a konkrét ügyekkel kapcsolatos adattovábbításokkal, valamint az Egyesült Államok és az EU/tagállamok közötti, nagymennyiségű személyesadat-továbbítást lehetővé tevő megállapodásokkal kapcsolatosan. A feldolgozásra (amely magában foglalja az adattovábbításokat) csak az adatvédelmi keretmegállapodás alkalmazási körén belül kifejezett és jogszerű célokból kerülhet sor, vagyis a bűncselekmények – ezen belül a terrorcselekmények – megelőzése, kivizsgálása, felderítése vagy büntetőeljárás alá vonása céljából.
Ezen túlmenően a személyes adatok a Félnek az adatokat átvevő első hatóságtól eltérő egyéb (bűnüldöző, szabályozó vagy közigazgatási) hatóságai által végzett további feldolgozása csak azzal a feltétellel lehetséges, hogy az nem összeegyeztethetetlen azokkal a célokkal, amelyek alapján azokat eredetileg továbbították, és ezeknek az egyéb hatóságoknak tiszteletben kell tartaniuk az adatvédelmi keretmegállapodás egyéb rendelkezéseit.
Az adatokat továbbító illetékes hatóság konkrét ügyekben további (pl. az adatok felhasználására vonatkozó) feltételeket is szabhat.
Végül a személyes adatok csak akkor dolgozhatóak fel, ha ez „e feldolgozás céljainak tekintetében közvetlenül releváns, nem túlzott mértékű és nem túlságosan általános jellegű” módon történik.
A 6. cikk a megállapodás kulcsfontosságú rendelkezése: biztosítja a biztosítékok alkalmazását az adott adathalmaz egész „életciklusára” nézve az EU-ból való eredeti adattovábbítástól az illetékes egyesült államokbeli hatóság általi feldolgozásáig, és fordítva, valamint további lehetséges megosztását/feldolgozását egy másik egyesült államokbeli hatósággal, vagy egy, az Egyesült Államokból egy uniós vagy (egyik) tagállami illetékes hatóságnak történő adattovábbítás esetében egy másik uniós vagy tagállami hatósággal való további lehetséges megosztását/feldolgozását.
ii. Adattovábbítás harmadik fél részére (7. cikk)
A 7. cikkben szereplő, harmadik fél részére történő adattovábbítási korlátozások magukban foglalják, hogy amennyiben egy egyesült államokbeli hatóság az EU-ból vagy annak egyik tagállamától kapott adatokat továbbítani szándékozik a megállapodás által nem kötött harmadik országnak/nemzetközi szervezetnek, először az adatokat az EU-ból az Egyesült Államokba eredetileg továbbító bűnüldöző hatóság előzetes hozzájárulását kell beszereznie. Ez a szabály ugyanúgy vonatkozik arra az esetre, ha az EU vagy egyik tagállama hatósága szándékozik az Egyesült Államoktól kapott adatokat továbbítani harmadik országnak/nemzetközi szervezetnek.
Amikor az eredetileg továbbító hatóság a hozzájárulás megadásáról dönt, figyelembe vesz minden releváns tényezőt, többek között az eredeti adattovábbítás célját, valamint azt, hogy a harmadik ország vagy a nemzetközi szervezet biztosítja-e a személyes adatok megfelelő szintű védelmét, illetve az adattovábbítást konkrét feltételektől is függővé teheti.
Ezen túlmenően ami a célhoz kötöttségre (lásd fent 6. cikk), az adatmegőrzési időszakra (lásd lent 12. cikk) és az érzékeny adatokra (lásd lent 13. cikk) vonatkozó cikkeket illeti, ez a cikk kifejezetten figyelembe veszi a nem gyanúsított személyek nagy mennyiségű adatai (pl. minden adott repülőjáratot igénybe vevő utas PNR-adatai) továbbításának különös érzékenységét, amennyiben előírja, hogy a személyes adatok „konkrét ügyekhez... nem kapcsolódó” további továbbítására csak a megállapodásban meghatározott, az adattovábbítás kellő indokolását előíró speciális feltételekkel összhangban kerülhet sor.
Az Unión belüli, másik tagállambeli harmadik félnek történő adattovábbítást (pl. amikor a francia rendőrség az egyesült államokbeli FBI-tól kapott információt oszt meg a német rendőrséggel) ez a cikk (a (4) bekezdésben) szintén kezeli azáltal, hogy előírja, hogy amennyiben a vonatkozó szabályok szerint az ilyen adattovábbítások előzetes hozzájárulást igényelnek, az adatokat eredetileg továbbító illetékes hatóság (pl. az egyesült államokbeli FBI) nem tagadhatja meg hozzájárulását vagy kötheti feltételül az adatvédelmet (mivel valamennyi érintett hatóságot köti az adatvédelmi keretmegállapodás).
iii. Az adatok minősége és sértetlensége (8. cikk)
A Felek ésszerű lépéseket tesznek annak biztosítása érdekében, hogy a személyes adatok pontosságát, relevanciáját, időszerűségét és teljességét a jogszerű adatfeldolgozáshoz szükséges és helyénvaló mértékben fenntartsák. Amennyiben az adatokat átvevő vagy továbbító illetékes hatóság jelentős kétségek felmerüléséről szerez tudomást az érintett személyes adatok vagy egy általa kapott vagy továbbított értékelés relevanciájával, időszerűségével, teljességével vagy pontosságával kapcsolatban, az adatokat továbbító/átvevő illetékes hatóságot lehetőség szerint figyelmezteti erre.
iv. Információbiztonság (9. cikk) és Az információbiztonsági incidensek bejelentése (10. cikk)
Ezek a cikkek az adatvédelmi keretmegállapodás felei által kicserélt személyes adatok biztonsága magas szintjének biztosításához járulnak hozzá.
Először is, a 9. cikk értelmében a Felek biztosítják, hogy megfelelő technikai, biztonsági és szervezeti megoldások szolgálják a személyes adatok védelmét véletlen vagy jogellenes megsemmisítéssel, véletlen elvesztéssel, valamint jogosulatlan nyilvánosságra hozatallal, módosítással, hozzáféréssel vagy egyéb feldolgozással szemben. Ezek az intézkedések arra is kiterjednek, hogy csak arra feljogosított személyzet kaphat hozzáférést a személyes adatokhoz.
Másodszor, a 10. cikk szerint amennyiben a biztonsági incidensekkel a kár jelentős kockázata jár, késedelem nélkül megfelelő intézkedéseket tesznek az esetleges károk enyhítésére, ideértve a továbbító hatóság és – tekintettel az incidens körülményeire, adott esetben – az érintett magánszemély értesítését is. Az értesítési kötelezettség alóli kivételeket a rendelkezés kimerítően felsorolja, és ezek megfelelnek az ésszerű korlátozásnak (pl. nemzetbiztonság).
v. Nyilvántartások vezetése (11. cikk)
A Felek hatékony módszereket (pl. naplókat) alkalmaznak a személyes adatok feldolgozása jogszerűségének bizonyítására.
Ez jelentős biztosítékot jelent a magánszemélyek számára, mivel a bűnüldöző hatóságokra teszi annak bizonyítási terhét, hogy egy adott adatfeldolgozási műveletet jogszerűen végeztek. Az adatfeldolgozási műveletek dokumentálási kötelezettsége különösen magában foglalja, hogy jogszerűtlen feldolgozás esetén annak „nyoma” maradjon. Ez meg fogja könnyíteni a feldolgozási műveletek jogszerűségével kapcsolatos panaszok kezelését és az igények benyújtását.
vi. Adatmegőrzési időszak (12. cikk);
Az adatfeldolgozásra konkrét adatmegőrzési időszakokat határoznak meg annak biztosítása érdekében, hogy a személyes adatokat ne őrizzék meg a szükséges és helyénvaló időtartamnál tovább. Ezen adatmegőrzési időszakok időtartamának meghatározására számos tényezőt kell figyelembe venni, különösen a feldolgozás céljait, az adatok jellegét, valamint az érintettek jogaira és érdekeire gyakorolt hatást.
Az is meghatározott, hogy amennyiben a Felek „tömeges adatok” továbbításáról kötnek megállapodást, e megállapodás magába foglalja az adatmegőrzési időszakok konkrét meghatározását. E rendelkezéssel a Felek elfogadják azt az alapelvet, hogy az ilyen nagymennyiségű adattovábbításról szóló megállapodásoknak konkrét adatmegőrzési időszakot kell tartalmazniuk, amelyről ezért nem kell újabb tárgyalásokat kezdeni.
Az adatmegőrzési időszakokat rendszeres felülvizsgálják annak meghatározása érdekében, hogy a megváltozott körülmények szükségessé teszik-e az alkalmazandó időszak további módosítását.
Az átláthatóság biztosítása érdekében közzéteszik vagy más módon nyilvánosan elérhetővé teszik adatmegőrzés időtartamait.
vii. Az adatok sajátos kategóriái (13. cikk)
A faji vagy etnikai hovatartozás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, vagy az egészségi állapotra vagy szexuális életre vonatkozó információk megállapítását lehetővé tevő személyes adatok feldolgozására csak megfelelő biztosítékok mellett, jogszerűen kerülhet sor (pl. az adatok elrejtésével, miután az a cél, amelyre az adatokat feldolgozták, megvalósult, vagy az adatokhoz való hozzáférés felügyeleti jóváhagyáshoz kötésével).
A „tömeges adatok” továbbítását lehetővé tevő megállapodásoknak meg kell határozniuk az ilyen sajátos adatok feldolgozására vonatkozó standardok és feltételek további részleteit.
Az adatok sajátos kategóriáira vonatkozó rendelkezések összhangban vannak azzal az előírással, hogy a feldolgozásnak közvetlenül relevánsnak és nem túlzott mértékűnek kell lennie a célhoz kötöttségről és felhasználási korlátokról szóló 6. cikk értelmében.
viii. Automatizált döntések (15. cikk)
Az egyénekre hátrányos következménnyel járó határozatokat eredményező adatfeldolgozás (pl. a profilalkotás kontextusában) nem alapulhat kizárólag a személyes adatok automatizált feldolgozásán, kivéve akkor, ha ezt a hazai jogszabályok megfelelő, az emberi beavatkozás igénylésének lehetőségére is kiterjedő biztosítékok mellett engedélyezik.
ix. Átláthatóság (20. cikk)
A magánszemélyek jogosultak információt kapni (általános vagy egyéni tájékoztatásokon keresztül, „ésszerű korlátozások” mellett) a személyes adataik feldolgozásának céljáról és esetleges későbbi felhasználásáról, azon jogszabályokról vagy szabályokról, amelyek alapján az érintett feldolgozás zajlik, azon harmadik felekről, amelyekkel közölhetik az ilyen adatokat, valamint a rendelkezésre álló hozzáférési, helyesbítési és jogorvoslati mechanizmusokról.
A magánszemélyek hozzáférésre, helyesbítésre vagy jogorvoslatra vonatkozó jogai gyakorlásának lehetőségét elősegíti, ha tudatosítják körükben, hogy adataikat milyen okból és kik dolgozzák fel (lásd lent 16–19. cikk).
iii. Személyhez fűződő jogok
E jogoknak különös jelentősége van az érintettek védelme tekintetében, akik első ízben élhetnek majd a bűnüldözési célú valamennyi transzatlanti adattovábbítás esetén általánosan alkalmazandó jogokkal.
i. Hozzáférés és helyesbítés (16. és 17. cikk)
A hozzáféréshez való jog alapján bármely személy jogosult személyes adataihoz való hozzáférést kérni és ahhoz hozzájutni. A hozzáférés korlátozásának okait kimerítő jelleggel felsorolják, és azok megfelelnek az ésszerű korlátozásoknak (pl.: a nemzetbiztonság védelme, bűncselekmények kivizsgálása vagy büntetőeljárás alá vonása sérelmének elkerülése, mások jogainak és szabadságainak védelme). A saját személyes adatokhoz való hozzáférés feltételeként nem róhatnak ki túlzott költségeket.
A helyesbítéshez való jog alapján bármely személy jogosult arra, hogy személyes adatainak javítását vagy helyesbítését kérelmezze, ha azok pontatlanok vagy nem megfelelően dolgozták fel azokat. Ez magában foglalhatja a kiegészítést, törlést, zárolást, illetve a pontatlanság vagy nem megfelelő feldolgozás kezelését célzó egyéb intézkedéseket vagy módszereket.
Amennyiben a címzett állam illetékes hatósága egy személy kérelmét, a személyes adatok biztosítójának értesítését, vagy saját vizsgálatát követően megállapítja, hogy az adatok pontatlanok vagy nem megfelelően dolgozták fel azokat, intézkedéseket tesz a kiegészítés, törlés, zárolás vagy egyéb módon történő helyesbítés vagy kiigazítás érdekében.
Amennyiben a nemzeti jog ezt lehetővé teszi, bármely személy jogosult arra, hogy felügyeleti hatóságot (azaz uniós érintett esetében egy nemzeti adatvédelmi hatóságot) hatalmazzon fel a hozzáférés vagy kiigazítás saját nevében történő kérelmezésére. A jogok közvetett – hatóságon keresztül és az érintettek számára ismerős jogrendszeren belül történő – gyakorlásának fent említett lehetősége konkrét segítséggel szolgálhat az érintetteknek jogaik érvényesítéséhez.
Amennyiben a hozzáférésre vagy helyesbítésre irányuló kérelmet elutasítják vagy korlátozzák, a kérelmet kapó illetékes hatóság indokolatlan késedelem nélkül választ ad a személy vagy a személy felhatalmazott képviselőjére részére a hozzáférés vagy kiigazítás megtagadásának vagy korlátozásának indokairól. A személynek biztosítandó, indokolással ellátott válasz kötelezettsége azt a célt szolgálja, hogy lehetővé tegye és megkönnyítse a személy számára a közigazgatási és bírósági jogorvoslathoz való jogának gyakorlását abban az esetben, ha az érintett bűnüldöző hatóság megtagadja vagy korlátozza a hozzáférést vagy kiigazítást.
ii. Közigazgatási jogorvoslat (18. cikk)
Ha valamely személy nem ért egyet a személyes adataihoz való hozzáférésre vagy azok kiigazítására irányuló kérelmének eredményével, jogosult közigazgatási jogorvoslatot kérelmezni. A hozzáférés és kiigazítás céljából, az ehhez való jog hatékony gyakorlásának érdekében az érintett személy jogosult arra, hogy felügyeleti hatóságot (azaz uniós érintett esetében egy nemzeti adatvédelmi hatóságot) vagy más képviselőt hatalmazzon fel, amennyiben ezt a vonatkozó nemzeti jog ezt lehetővé teszi.
A jogorvoslati kérelmet kapó illetékes hatóság írásban választ ad, kitérve adott esetben a megtett javítási és korrekciós lépésekre is.
iii. Bírósági jogorvoslat (19. cikk)
A Felek bármely állampolgára jogosult bírósági jogorvoslatot kérni, ha a másik Fél hatóságai i. megtagadják a hozzáférést, ii. megtagadják a helyesbítést, vagy iii. jogosulatlanul nyilvánosságra hozzák adatait.
Az Egyesült Államok részéről ezt tükrözi már az Obama elnök által 2016. február 24-én aláírt bírósági jogorvoslati törvény. A törvény kiterjeszti a hatálya alá tartozó országok 9 állampolgáraira ezt a három alapvető bírósági jogorvoslati alapot, amelyeket az Egyesült Államok magánélet védelméről szóló, 1974. évi törvénye biztosít, ugyanakkor jelenleg kizárólag az Egyesült Államok állampolgárai és állandó lakosai vehetik igénybe őket. Az adatvédelmi keretmegállapodás negyedik preambulumbekezdése egyértelművé teszi, hogy ez a kiterjesztés az olyan megállapodások alapján megosztott adatokra is vonatkozik, mint a utas-nyilvántartási adatállomány és a terrorizmus finanszírozásának felderítését célzó program. A bírósági jogorvoslati törvény elfogadásával együtt a 9. cikk tehát jelentős mértékben javítja majd az uniós polgárok bírósági védelmét.
Bár a bírósági jogorvoslati törvény számos korlátozást tartalmaz (például a hatály alá tartozó országok csak azon állampolgárainak adataira vonatkozik, akiknek adatait az uniós bűnüldöző hatóságok továbbították, de nem csupán az uniós állampolgárokra), az adatvédelmi keretmegállapodás 19. cikke régóta fennálló uniós igényt elégít ki.
A rendelkezés összhangban áll Juncker elnök politikai iránymutatásával, amely kimondja: „Az Egyesült Államoknak [...] szavatolniuk kell, hogy az uniós polgárok az egyesült államokbeli bíróságokon is érvényesíthessék adatvédelmi jogaikat, függetlenül attól, hogy az Egyesült Államokban tartózkodnak-e, vagy sem. E megkülönböztetés felszámolása elengedhetetlen a transzatlanti kapcsolatokba vetett bizalom helyreállításához.” Hasonlóképpen megfelel az egyesült államokbeli Nemzetbiztonsági Ügynökség (NSA) megfigyelési programjáról szóló, 2014. március 12-i európai parlamenti állásfoglalásnak, amelyben a Parlament kérte, hogy az Egyesült Államokkal azonnali hatállyal folytassák az adatvédelmi keretmegállapodásról szóló tárgyalásokat, „amelynek az uniós polgárok jogait az Egyesült Államok polgárait megillető jogokkal azonos elbánásban kell részesítenie”, valamint „minden uniós polgár számára megkülönböztetéstől mentes, hatékony és végrehajtható (…) bírósági jogorvoslatot kell biztosítania az Egyesült Államokban” 10 .
A 19. cikk (3) bekezdése egyértelművé teszi, hogy a három fenti bírósági jogorvoslati alap kiterjesztése nem érinti az egyének személyes adatainak feldolgozása tekintetében (például az államigazgatási eljárásról szóló törvény, az elektronikus távközlési adatvédelmi törvény vagy az információ szabadságára vonatkozó törvény alapján) elérhető esetleges egyéb jogorvoslati lehetőségeket. A bírósági jogorvoslat ilyen egyéb jogalapjai a bűnüldözési célú adattovábbításban érintett valamennyi uniós érintett számára elérhetőek, állampolgárságuktól vagy lakóhelyüktől függetlenül.
iv. A megállapodás alkalmazására, valamint a felügyeletre vonatkozó szempontok
i. Elszámoltathatóság (14. cikk)
Intézkedéseket foganatosítanak az adatvédelmi keretmegállapodás hatálya alá tartozó adatfeldolgozást végző hatóságok elszámoltathatóságának elősegítése érdekében. Közelebbről, amennyiben az adatokat átvevő hatóság a személyes adatokat más hatóságokkal is megosztja, ez utóbbiakat értesíteni kell az ezen megállapodás értelmében alkalmazandó biztosítékokról, valamint azokról az esetleges további (korlátozó) feltételekről, amelyeket a 6. cikk (3) bekezdése alapján az adott továbbításra vonatkozóan korábban meghatároztak. A súlyos kötelességszegés kezelésére megfelelő és visszatartó erejű közigazgatási, polgári és büntetőjogi szankciókat kell meghatározni.
Az elszámoltathatóságot elősegítő intézkedések szükség szerint magukban foglalják azt is, hogy megszüntetik a személyes adatok továbbítását a Feleknek az adatvédelmi keretmegállapodás hatályán kívül szervei számára, amennyiben azok nem biztosítják a személyes adatok hatékony védelmét, figyelembe véve e megállapodás célját (és különösen a célhoz kötöttségről és a harmadik fél részére történő továbbításról szóló rendelkezéseit). E rendelkezés arra a helyzetre vonatkozik, amikor egy uniós hatóság egy egyesült államokbeli szövetségi hatóság (azaz a megállapodás hatálya alá tartozó hatóság) számára küld személyes adatokat, amelyeket az egy állami szintű bűnüldöző hatóság számára továbbít. Alkotmányos szabályai értelmében az Egyesült Államok korlátozott mértékben képes nemzetközi szinten kötelezettségeket vállalni szövetségi államaira vonatkozóan 11 . Ugyanakkor annak érdekében, hogy biztosítható legyen az Egyesült Államok szövetségi szervei számára továbbított, majd állami szinten a bűnüldöző hatóságokkal megosztott adatok védelmének folytonossága, e cikk úgy rendelkezik, hogy i. hatálya kiterjed a Felek „egyéb hatóságaira” (azaz az e megállapodás hatályán kívüli hatóságokra, így például az Egyesült Államok állami szintű hatóságaira), ii. az adatvédelmi megállapodásban előírt adatvédelmi biztosítékokról értesíteni kell e hatóságokat, továbbá iii. szükség szerint meg kell szüntetni az ilyen hatóságok számára való továbbítást, amennyiben azok nem védik a személyes adatokat hatékony módon, figyelembe véve az adatvédelmi keretmegállapodás célját, és különösen a célhoz kötöttségről és harmadik fél részére történő továbbításról szóló cikkeit.
Azáltal, hogy biztosítani kívánja az illetékes bűnüldöző hatóságok elszámoltathatóságát a keretmegállapodásnak való megfelelés tekintetében, e cikk a megállapodás szerinti, végrehajtást és felügyeletet szolgáló hatékony rendszer fontos elemét képezi. Emellett megkönnyíti, hogy az egyének kötelezettségszegés esetén igényeket nyújthassanak be (és ezt követően megállapítható legyen a közjogi hatóságok felelőssége).
Végül az uniós hatóságoknak így lehetőségük lesz közölni aggályaikat az egyesült államokbeli partnereikkel, és releváns információkat kaphatnak tőlük arról, miképpen teljesítik a 14. cikk szerinti kötelezettségeiket (beleértve az ezzel kapcsolatban tett intézkedéseket is). Továbbá a közös felülvizsgálatokkal összefüggésben (lásd lent 23. cikk) különös figyelmet fordítanak e cikk hatékony végrehajtására.
ii. Hatékony felügyelet (21. cikk)
A Felek egy vagy több állami felügyeleti hatóságot jelölnek ki, amelyek független felügyeleti feladatokat és hatásköröket gyakorolnak, a felülvizsgálatra, a vizsgálatokra és a beavatkozásra is kiterjedően. E hatóságok hatáskörrel rendelkeznek az adatvédelmi keretmegállapodást végrehajtó intézkedésekkel kapcsolatban az egyének által tett panaszok átvételére és az azokban való eljárásra, és a megállapodással kapcsolatos jogszabálysértések esetén büntetőeljárást vagy fegyelmi eljárást kezdeményezzenek. Figyelembe véve az Egyesült Államok rendszerének sajátosságait, az Európai Unióban az adatvédelmi hatóságok által ellátott felügyeleti feladatokat együttesen több felügyelő hatóság (többek között adatvédelmi főtisztviselők, főfelügyelők, a magánélethez való jog és az alapvető szabadságok képviseletében eljáró felügyeleti bizottságok stb.) látja majd el.
E cikk kiegészíti a hozzáférésről, helyesbítésről és közigazgatási jogorvoslatról szóló rendelkezések alapján nyújtott biztosítékokat. Konkrétan lehetővé teszi az egyének számára, hogy független hatóságoknál panaszt nyújtsanak be azzal kapcsolatban, hogy milyen módon hajtotta végre a másik Fél az adatvédelmi keretmegállapodást.
iii. A felügyeleti hatóságok közötti együttműködés (22. cikk)
A felügyeleti hatóságok együttműködnek annak érdekében, hogy biztosítsák a megállapodás hatékony végrehajtását, különös tekintettel a hozzáféréssel, helyesbítéssel és közigazgatási jogorvoslattal kapcsolatos, személyhez fűződő jogok közvetett gyakorlását lehetővé tévő rendszerre (lásd fent 16–18 cikk.)
Emellett nemzeti kapcsolattartó pontokat hoznak létre, amelyek az adott ügyben megkereshető felügyeleti hatóság azonosításában nyújtanak segítséget. Különös tekintettel arra, hogy az Egyesült Államokban több különböző felügyeleti hatóság működik, a segítségre és együttműködésre irányuló kéréseket fogadó központi kapcsolattartó pont kialakítása e kérelmek hatékony kezelésének elősegítésére irányul.
iv. Közös felülvizsgálat (23. cikk)
A Felek rendszeres közös felülvizsgálatot végeznek az adatvédelmi keretmegállapodás végrehajtására és hatékonyságára vonatkozóan, különös figyelmet fordítva a személyhez fűződő jogokról szóló cikkek hatékony végrehajtására (hozzáférés, helyesbítés, közigazgatási és bírósági jogorvoslat), valamint a megállapodás hatályán kívüli területi egységek (azaz az Egyesült Államok szövetséges államai) számára való továbbítás kérdésére. Az első közös felülvizsgálatot legkésőbb a megállapodás hatálybalépésének napjáról számított három éven belül végzik el, ezt követően pedig rendszeres időközönként kerül rá sor.
A kijelölt küldöttségek magukba foglalják mind az adatvédelmi hatóságok, mind a bűnüldöző hatóságok képviselőit, és a közös felülvizsgálat megállapításait nyilvánosságra hozzák.
v. Záró rendelkezések
Az adatvédelmi keretmegállapodás záró rendelkezéseket tartalmaz az alábbiakra vonatkozóan:
a megállapodás végrehajtására lényegesen kiható bármilyen jogszabályról a másik Fél számára nyújtandó értesítés. Az Egyesült Államok kifejezetten értesíti az EU-t a bírósági jogorvoslati törvény rendelkezéseinek alkalmazásával kapcsolatos bármely intézkedésről (24. cikk);
konzultációk, amennyiben viták jelentkeznek a megállapodás értelmezésének vagy alkalmazásának módjával kapcsolatban (25. cikk);
a megállapodás egyik Fél általi felfüggesztésének lehetősége, amennyiben a másik Fél érdemben megsérti a megállapodást (26. cikk);
a megállapodás területi hatálya, az Egyesült Államok, Írország és Dánia sajátos helyzetének figyelembevétele céljából (27. cikk);
a megállapodás határozatlan időtartama (amelyet a megállapodás védelmet és biztosítékokat nyújtó keretmegállapodás jellege indokol, tekintettel a megállapodás felfüggesztésének és megszüntetésének lehetőségére is) (28. cikk);
mindkét Fél számára biztosított lehetőség a megállapodásnak a másik fél értesítésével való felmondására, annak kikötése mellett, hogy a megállapodás hatálya alá tartozó, és a felmondás előtt továbbított személyes adatokat továbbra is az adatvédelmi keretmegállapodás szabályaival összhangban dolgozzák fel (29. cikk, (1) és (2) bekezdés);
a megállapodás hatálybalépése az azon időpontot követő hónap első napján lép hatályba, amikor a Felek értesítették egymást a hatálybalépéshez szükséges belső eljárásaik befejezéséről (29. cikk, (1) bekezdés);
a nyelvi záradék (közvetlenül az aláírás sora előtt), amely szerint i. a megállapodást angol nyelven írják alá, és az EU a többi 23 uniós hivatalos nyelven is elkészíti; ii. a megállapodás szövegének ezen további nyelvi változatai az Egyesült Államok és az Európai Unió közötti diplomáciai jegyzékváltás útján hitelesíthetők; valamint iii. a hiteles nyelvi változatok közötti eltérés esetén az angol nyelvű változat az irányadó.
2016/0126 (NLE)
Javaslat
A TANÁCS HATÁROZATA
az Amerikai Egyesült Államok és az Európai Unió közötti, a bűncselekmények megelőzésével, kivizsgálásával, felderítésével és büntetőeljárás alá vonásával kapcsolatos személyes adatok védelméről szóló megállapodásnak az Európai Unió nevében történő megkötéséről
AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 16. cikkére, összefüggésben 218. cikke (6) bekezdésének a) pontjával,
tekintettel az Európai Bizottság javaslatára,
tekintettel az Európai Parlament egyetértésére, 12
az európai adatvédelmi biztossal folytatott konzultációt követően,
mivel:
(1)A […]-i […] tanácsi határozatnak 13 megfelelően az Amerikai Egyesült Államok és az Európai Unió közötti, a bűncselekmények megelőzésével, kivizsgálásával, felderítésével és büntetőeljárás alá vonásával kapcsolatos személyes adatok védelméről szóló megállapodást (a továbbiakban: a megállapodás) 2016. XXXX. XX-án/-én aláírták, figyelemmel annak későbbi megkötésére.
(2)A megállapodás célja az egyik oldalról az Egyesült Államok, a másik oldalról az EU vagy tagállamai között bűnüldözési célokból továbbított személyes adatok adatvédelmi alapelvei és biztosítékai átfogó keretének létrehozása. A cél az adatvédelem magas szintjének biztosítása és ezáltal a felek közötti együttműködés fokozása. Míg az adatvédelmi keretmegállapodás önmagában nem jelent jogalapot semmiféle, az Egyesült Államokba irányuló személyesadat-továbbításra, szükség esetén kiegészít bármilyen meglévő és jövőbeli adattovábbítási megállapodásban vagy ilyen továbbításra feljogosító nemzeti rendelkezésben szereplő adatvédelmi biztosítékot.
(3)Az Unió hatáskörrel rendelkezik a megállapodás valamennyi rendelkezésére vonatkozóan. Az Unió elfogadta a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, kivizsgálása, felderítése, büntetőeljárás alá vonása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló (EU) 2016/XXX irányelvet 14 .
(4)Az Európai Unió kizárólagos hatáskörrel rendelkezik, amennyiben a megállapodás közös szabályokat érinthet, vagy azok alkalmazási körét megváltoztatja.
(5)Az Európai Unióról szóló szerződéshez és az Európai Unió működéséről szóló szerződéshez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló jegyzőkönyv 6a. cikkével összhangban az Egyesült Királyságot és Írországot nem kötelezik a megállapodásban meghatározott azon szabályok, amelyek a személyes adatoknak a tagállamok által, az Európai Unió működéséről szóló szerződés harmadik része V. címe 4. fejezetének (Büntetőügyekben folytatott igazságügyi együttműködés) vagy 5. fejezetének (Rendőrségi együttműködés) hatálya alá tartozó tevékenységek keretében végzett feldolgozására vonatkoznak, amennyiben az Egyesült Királyságot vagy Írországot nem kötelezik a megállapodás betartását előíró szabályok.
(6)Az Európai Unióról szóló szerződéshez és az Európai Unió működéséről szóló szerződéshez csatolt, Dánia helyzetéről szóló 22. jegyzőkönyv 1. és 2. cikkének megfelelően Dánia nem vesz részt e határozat elfogadásában, és a megállapodás rá nem kötelező, illetve nem alkalmazandó.
(7)A megállapodást az Unió nevében jóvá kell hagyni,
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
Az Európai Unió és tagállamai nevében jóváhagyásra kerül az Amerikai Egyesült Államok és az Európai Unió közötti, a bűncselekmények megelőzésével, kivizsgálásával, felderítésével és büntetőeljárás alá vonásával kapcsolatos személyes adatok védelméről szóló megállapodás.
A megállapodás szövegét csatolták e határozathoz.
2. cikk
A Tanács elnöke kijelöli azt a személyt, aki jogosult arra, hogy az Európai Unió nevében a megállapodás 29. cikkének (1) bekezdése szerinti értesítést megtegye, hogy kifejezze, az Európai Unió a megállapodást magára nézve jogilag kötelező erejűnek ismeri el.
3. cikk
Ez a határozat az Európai Unió Hivatalos Lapjában való kihirdetésének napján 15 lép hatályba.
Kelt Brüsszelben, -án/-én.
a Tanács részéről
az elnök
EURÓPAI BIZOTTSÁG
Brüsszel, 2016.4.29.
COM(2016) 237 final
MELLÉKLET
MEGÁLLAPODÁS AZ AMERIKAI EGYESÜLT ÁLLAMOK ÉS
AZ EURÓPAI UNIÓ KÖZÖTT A BŰNCSELEKMÉNYEK MEGELŐZÉSÉVEL, KIVIZSGÁLÁSÁVAL, FELDERÍTÉSÉVEL ÉS BÜNTETŐELJÁRÁS ALÁ VONÁSÁVAL KAPCSOLATOS SZEMÉLYES ADATOK VÉDELMÉRŐL
a következőhöz:
Javaslat
A TANÁCS HATÁROZATA
az Amerikai Egyesült Államok és az Európai Unió közötti, a bűncselekmények megelőzésével, kivizsgálásával, felderítésével és büntetőeljárás alá vonásával kapcsolatos személyes adatok védelméről szóló megállapodásnak az Európai Unió nevében történő aláírásáról
MEGÁLLAPODÁS AZ AMERIKAI EGYESÜLT ÁLLAMOK ÉS
AZ EURÓPAI UNIÓ KÖZÖTT A BŰNCSELEKMÉNYEK MEGELŐZÉSÉVEL, KIVIZSGÁLÁSÁVAL, FELDERÍTÉSÉVEL ÉS BÜNTETŐELJÁRÁS ALÁ VONÁSÁVAL KAPCSOLATOS SZEMÉLYES ADATOK VÉDELMÉRŐL
TARTALOMJEGYZÉK
Preambulum
1. cikk: Cél
2. cikk: Fogalommeghatározások
3. cikk: Alkalmazási kör
4. cikk: Megkülönböztetésmentesség
5. cikk: A megállapodás hatálya
6. cikk: Célhoz kötöttség, felhasználási korlátok
7. cikk: Adattovábbítás harmadik fél részére
8. cikk: Az adatok minőségének és sértetlenségének fenntartása
9. cikk: Információbiztonság
10. cikk: Az információbiztonsági incidensek bejelentése
11. cikk: Nyilvántartások vezetése
12. cikk: Adatmegőrzési időszak
13. cikk: A személyes adatok sajátos kategóriái
14. cikk: Elszámoltathatóság
15. cikk: Automatizált döntések
16. cikk: Hozzáférés
17. cikk: Helyesbítés
18. cikk: Közigazgatási jogorvoslat
19. cikk: Bírósági jogorvoslat
20. cikk: Átláthatóság
21. cikk: Hatékony felügyelet
22. cikk: A felügyeleti hatóságok közötti együttműködés
23. cikk: Közös felülvizsgálat
24. cikk: Értesítés
25. cikk: Konzultáció
26. cikk: Felfüggesztés
27. cikk: Területi hatály
28. cikk: Időtartam
29. cikk: Hatálybalépés és megszűnés
Szem előtt tartva, hogy az Egyesült Államok és az Európai Unió elkötelezett a bűncselekmények – ezen belül a terrorcselekmények – megelőzésével, kivizsgálásával, felderítésével vagy büntetőeljárás alá vonásával összefüggésben megosztott személyes adatok magas szintű védelmének biztosítása mellett;
Azzal a céllal, hogy saját demokratikus társadalmaik és közös értékeik védelmének eszközeként tartós jogi keretet biztosítsanak az információcsere megkönnyítésére, amely alapvető fontosságú a bűncselekmények – ezen belül a terrorcselekmények – megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása érdekében;
Azzal a céllal, hogy az Egyesült Államok, valamint az EU és tagállamai között meglévő és jövőbeli megállapodások alapján különösen a személyes adatok cseréjének védelmére nézve standardokat állapítsanak meg a bűncselekmények – ezen belül a terrorcselekmények – megelőzése, kivizsgálása, felderítése és büntetőeljárás alá vonása terén;
Elismerve, hogy a Felek között a személyes adatok feldolgozására vonatkozó, bizonyos meglévő megállapodások úgy rendelkeznek, hogy ezek a megállapodások az adatvédelem megfelelő szintjét biztosítják e megállapodások alkalmazási körén belül, a Felek megerősítik, hogy ez a megállapodás nem értelmezhető az említett megállapodások módosításaként, feltételeként vagy az azoktól más módon történő eltérésként; tudomásul véve ugyanakkor, hogy az e megállapodás 19. cikkében a bírósági jogorvoslatra vonatkozóan megállapított kötelezettségek az e megállapodás hatálya alá tartozó összes továbbításra alkalmazandók, az említett megállapodások – azok rendelkezéseinek megfelelő – esetleges jövőbeli felülvizsgálatainak vagy módosításainak sérelme nélkül;
Felismerve, hogy a magánélet tiszteletben tartása mindkét Fél hosszú időre visszamenő hagyományainak részét képezi, ahogy ezt többek között tükrözik a bűnüldözés céljából a magánélet és a személyes adatok védelmére vonatkozóan az információcserével, valamint a magánélet és a személyes adatok védelmével foglalkozó EU–USA magas szintű kapcsolattartó csoport által kidolgozott alapelvek, az Európai Unió Alapjogi Chartája és az alkalmazandó uniós jogszabályok, az Egyesült Államok alkotmánya és az alkalmazandó egyesült államokbeli jogszabályok, valamint a Gazdasági Együttműködési és Fejlesztési Szervezet tisztességes információgyűjtési gyakorlatra vonatkozó alapelvei; valamint
Felismerve az arányosság és szükségesség, valamint az ésszerűség és a relevancia elvét, ahogy ezeket a Felek jogi kereteikben érvényesítik;
Az Amerikai Egyesült Államok és az Európai Unió A KÖVETKEZŐKBEN ÁLLAPODTAK MEG:
1. cikk: A megállapodás célja
1. E megállapodás célja az Amerikai Egyesült Államok, valamint az Európai Unió és tagállamai között a bűncselekmények – ezen belül a terrorcselekmények – megelőzésének, kivizsgálásának, felderítésének vagy büntetőeljárás alá vonásának céljával összefüggésben a személyes adatok magas szintű védelmének biztosítása és az együttműködés erősítése.
2. E célból a megállapodás meghatározza egyik oldalról az Egyesült Államok, másik oldalról az Európai Unió vagy tagállamai között továbbított személyes adatok védelmének keretét.
3. Önmagában ez a megállapodás nem lehet a jogalapja bármely személyes adattovábbításnak. Az ilyen továbbítások jogalapját minden esetben meg kell kérni.
2. cikk: Fogalommeghatározások
E megállapodás alkalmazásában:
1.„személyes adatok”: egy azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Az azonosítható személy olyan személy, aki közvetlen vagy közvetett módon azonosítható, különösen egy azonosító számra vagy a személy fizikai, fiziológiai, mentális, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén.
2.„Személyes adatok feldolgozása”: bármely művelet vagy műveletek sorozata, amely gyűjtést, karbantartást, felhasználást, módosítást szervezést vagy strukturálást, közzétételt, terjesztést, vagy rendelkezésre bocsátást foglal magában.
3.„Felek”: az Európai Unió és az Amerikai Egyesült Államok.
4.„Tagállam”: az Európai Unió egy tagállama.
5.„Illetékes hatóság”: az Egyesült Államok esetében a bűncselekmények – ezen belül a terrorcselekmények – megelőzésének, kivizsgálásának, felderítésének vagy büntetőeljárás alá vonásának feladatával megbízott amerikai nemzeti bűnüldöző hatóság, az Európai Unió esetében az Európai Uniónak és egy tagállamnak a bűncselekmények – ezen belül a terrorcselekmények – megelőzésének, kivizsgálásának, felderítésének vagy büntetőeljárás alá vonásának feladatával megbízott hatósága.
3. cikk: Alkalmazási kör
1. Ez a megállapodás a bűncselekmények – ezen belül a terrorcselekmények – megelőzésének, kivizsgálásának, felderítésének és büntetőeljárás alá vonásának céljából az egyik Fél illetékes hatóságai és a másik Fél illetékes hatóságai között, vagy az Egyesült Államok és az Európai Unió vagy tagállamai közötti megállapodással összhangban más módon továbbított személyes adatokra vonatkozik.
2. E megállapodás nem érinti és nem sérti a tagállamoknak és az Egyesült Államoknak a nemzetbiztonság védelméért felelős, a 2. cikk (5) pontjában említettől eltérő hatóságai közötti továbbításokat vagy más együttműködési formákat.
4. cikk: Megkülönböztetésmentesség
Saját állampolgárai és a másik Fél állampolgárai személyes adatainak védelmének céljából mindkét Fél az érintettek állampolgárságától függetlenül, valamint önkényes és indokolatlan megkülönböztetés nélkül eleget tesz e megállapodás szerinti kötelezettségeinek.
5. cikk: A megállapodás hatálya
1. E megállapodás szükség szerint kiegészíti, ám nem váltja fel a Felek közötti, illetve az Egyesült Államok és a tagállamok közötti nemzetközi megállapodásokban a személyes adatok védelméről szóló olyan rendelkezéseket, amelyek a megállapodás alkalmazási körébe tartozó kérdésekkel foglalkoznak.
2. A Felek minden szükséges intézkedést megtesznek e megállapodás végrehajtása érdekében, beleértve különösen az egyének számára e megállapodás szerint biztosítandó hozzáférésre, helyesbítésre és közigazgatási és bírósági jogorvoslatra vonatkozó kötelezettségeiket. Az e megállapodásban meghatározott védelmet és jogorvoslatot a Felek alkalmazandó hazai jogszabályaiban való végrehajtásuknak megfelelő módon biztosítják a személyek és szervezetek számára. Az Egyesült Államok esetében kötelezettségei a föderalizmus alapelveivel összhangban álló módon alkalmazandók.
3. A második bekezdést érvényre juttatva az Egyesült Államok által, illetve az Európai Unió és tagállamai által az e megállapodás alkalmazási körébe tartozó kérdések tekintetében folytatott személyesadat-feldolgozás a Feleknek a személyes adatok nemzetközi továbbításait korlátozó vagy feltételekhez kötő adatvédelmi jogszabályaival összhangban állónak minősül, és e jogszabályok alapján semmilyen további engedélyezésre nincs szükség.
6. cikk: Célhoz kötöttség, felhasználási korlátok
1. A személyes adatok továbbítása a továbbítás jogalapja által meghatározott konkrét célokra lehetséges az 1. cikkben foglaltaknak megfelelően.
2. A személyes adatok valamelyik Fél által végzett további feldolgozása nem lehet összeegyeztethetetlen azokkal a célokkal, amelyek alapján azokat továbbították. Az összeegyeztethető feldolgozás magában foglalja a súlyos bűncselekmények megelőzését, kivizsgálását, felderítését és büntetőeljárás alá vonását szolgáló hatályos nemzetközi megállapodások és írásos nemzetközi keretek feltételeinek megfelelő feldolgozást. Az egyéb nemzeti bűnüldöző, szabályozó vagy közigazgatási hatóságok által végzett ilyen adatfeldolgozásnak minden esetben tiszteletben kell tartania e megállapodás egyéb rendelkezéseit.
3. E cikk nem érinti a továbbító illetékes hatóság azon képességét, hogy egy konkrét esetben további feltételeket határozzon meg a továbbításra alkalmazandó jogi keret adta lehetőségeken belül. E feltételek nem tartalmazhatnak általános adatvédelmi feltételeket, azaz nem írhatnak elő az ügy konkrét tényeihez nem kapcsolódó feltételeket. Amennyiben a tájékoztatás feltételek alapján történik, az adatokat átvevő illetékes hatóságnak azokat be kell tartania. A tájékoztatást biztosító illetékes hatóság megkövetelheti, hogy a címzett nyújtson tájékoztatást a továbbított adatok felhasználásáról.
4. Amennyiben egyfelől az Egyesült Államok, másfelől az Európai Unió vagy egy tagállama a személyes adatoknak a konkrét ügyekhez, vizsgálatokhoz vagy büntetőeljárásokhoz nem kapcsolódó továbbításáról szóló megállapodást kötnek, az adott megállapodásban meg kell határozni az adatok továbbításának és feldolgozásának konkrét céljait.
5. A felek jogszabályaikban garantálják a személyes adat olyan módon való feldolgozását, amely e feldolgozás céljainak tekintetében közvetlenül releváns, nem túlzott mértékű és nem túlságosan általános jellegű.
7. cikk: Adattovábbítás harmadik fél részére
1. Amennyiben az egyik Fél illetékes hatósága egy konkrét ügyre vonatkozó információkat továbbított a másik Fél illetékes hatóságának, ez az információ csak akkor továbbítható e megállapodás rendelkezéseinek hatályán kívül eső államnak vagy valamilyen nemzetközi szervezetnek, ha az adatokat eredetileg eljuttató illetékes hatóság ehhez előzetes hozzájárulását adja.
2. Az első bekezdés szerinti hozzájárulás megadásakor az adatokat eredetileg továbbító illetékes hatóság kellő mértékben figyelembe vesz minden releváns tényezőt, többek között a jogsértés súlyosságát, az eredeti adattovábbítás célját, valamint azt, hogy a megállapodás rendelkezéseinek hatályán kívül eső adott állam vagy az érintett nemzetközi szervezet biztosítja-e a személyes adatok megfelelő szintű védelmét. A továbbítást meghatározott feltételek teljesülésétől is függővé teheti.
3. Amennyiben egyfelől az Egyesült Államok, másfelől az Európai Unió vagy egy tagállama a személyes adatoknak a konkrét ügyekhez, vizsgálatokhoz vagy büntetőeljárásokhoz nem kapcsolódó továbbításáról szóló megállapodást kötnek, a személyes adatok harmadik fél részére történő továbbítására csak a megállapodásban meghatározott, a harmadik fél számára történő adattovábbítás kellő indokolását előíró speciális feltételekkel összhangban kerülhet sor. A megállapodás az illetékes hatóságok közötti megfelelő tájékoztatási mechanizmusokról is rendelkezik.
4. E cikk egyetlen rendelkezése sem értelmezhető úgy, hogy érintene bármilyen olyan követelményt, kötelezettséget vagy gyakorlatot, amely szerint az adatokat eredetileg továbbító illetékes hatóság előzetes hozzájárulását az adatoknak az e megállapodás rendelkezéseinek hatálya alá tartozó államnak vagy szervnek való továbbítását megelőzően meg kellene szerezni, amennyiben az adatvédelem adott állam vagy szerv által biztosított szintje nem szolgálhat az ilyen továbbításhoz való hozzájárulás megtagadásának vagy annak feltételhez kötésének alapjául.
8. cikk: Az adatok minőségének és sértetlenségének fenntartása
A Felek ésszerű lépéseket tesznek annak biztosítása érdekében, hogy a személyes adatok pontosságát, relevanciáját, időszerűségét és teljességét a jogszerű adatfeldolgozáshoz szükséges és helyénvaló mértékben fenntartsák. E célra az illetékes hatóságok a személyes adatok minőségének és sértetlenségének garantálására szolgáló eljárásokat vezetnek be, beleértve az alábbiakat:
a) a 17. cikkben említett intézkedések;
b) amennyiben a továbbító illetékes hatóság jelentős kétségek felmerüléséről szerez tudomást az érintett személyes adatok vagy egy általa továbbított értékelés relevanciájával, időszerűségével, teljességével vagy pontosságával kapcsolatban, lehetőség szerint figyelmezteti erre az adatokat átvevő illetékes hatóságot;
c) amennyiben az adatokat átvevő illetékes hatóság jelentős kétségek felmerüléséről szerez tudomást az átvett személyes adatok vagy a továbbító illetékes hatóság által készített értékelés relevanciájával, időszerűségével, teljességével vagy pontosságával kapcsolatban, lehetőség szerint figyelmezteti erre a továbbító illetékes hatóságot.
9. cikk: Információbiztonság
A Felek biztosítják, hogy megfelelő technikai, biztonsági és szervezeti megoldások szolgálják a személyes adatok védelmét az alább felsoroltak mindegyikével szemben:
a) véletlen vagy jogellenes megsemmisítés;
b) véletlen elvesztés; valamint
c) jogosulatlan nyilvánosságra hozatal, módosítás, hozzáférés vagy egyéb feldolgozás.
E megoldások a személyes adatokhoz való hozzáférés engedélyezésére vonatkozó biztosítékokra is kiterjednek.
10. cikk: Az információbiztonsági incidensek bejelentése
1. A személyes adatok véletlen elvesztésével vagy megsemmisítésével, az azokat érintő jogosulatlan hozzáféréssel, nyilvánosságra hozatallal vagy módosítással kapcsolatos incidensek feltárása esetén, amennyiben ezekkel a kár jelentős kockázata jár, az adatokat átvevő illetékes hatóság késedelem nélkül értékeli az egyéneket és a továbbító illetékes hatóság programjának sértetlenségét esetlegesen érő kár valószínűségét és nagyságrendjét, és késedelem nélkül megteszi a megfelelő intézkedéseket az esetleges károk enyhítésére.
2. A kár enyhítésére irányuló intézkedések a továbbító illetékes hatóság értesítését is magukban foglalják. Az értesítés ugyanakkor
a) magában foglalhat az értesítés továbbküldésére vonatkozó megfelelő korlátozásokat;
b) késhet vagy elmaradhat, amennyiben az értesítés veszélyeztetheti a nemzetbiztonságot;
c) késhet, amennyiben az értesítés közbiztonsággal kapcsolatos műveleteket veszélyeztethet.
3. A kár enyhítésére irányuló intézkedések magukban foglalják az érintett értesítését is, amennyiben az incidens körülményeit tekintve ez megfelelőnek minősül, kivéve, ha az értesítés veszélyeztetheti az alábbiakat:
a) köz- vagy nemzetbiztonság;
b) hivatalos megkeresések, vizsgálatok vagy eljárások;
c) bűncselekmények megelőzése, felderítése, kivizsgálása, vagy büntetőeljárás alá vonása;
d) mások jogai és szabadságai, különös tekintettel az áldozatok és a tanúk védelmére.
4. A személyes adatok továbbításában érintett illetékes hatóságok konzultálhatnak az incidensről és az erre vonatkozó válaszlépésekről.
11. cikk: Nyilvántartások vezetése
1. A Felek hatékony módszereket alkalmaznak a személyes adatok feldolgozása jogszerűségének bizonyítására, többek között például naplók vagy más nyilvántartások formájában.
2. Az illetékes hatóságok ilyen naplókat és nyilvántartásokat alkalmazhatnak az érintett adatbázisok vagy fájlok szabályos műveleteinek biztosítására, az adatok sértetlenségének és biztonságának szavatolására, és adott esetben a biztonsági mentésre vonatkozó eljárások követésére.
12. cikk: Adatmegőrzési időszak
1. A Felek saját alkalmazandó jogi keretükön belül konkrét adatmegőrzési időszakokat határoznak meg a személyes adatokat tartalmazó nyilvántartásokra vonatkozóan abból a célból, hogy a személyes adatokat ne őrizzék meg a szükséges és helyénvaló időtartamnál tovább. Ezek az adatmegőrzési időszakok figyelembe veszik a feldolgozás céljait, az adatok és az azokat feldolgozó hatóság jellegét, az érintett jogokra gyakorolt hatást és az érintett személyek érdekeit, valamint más vonatkozó jogi megfontolásokat.
2. Amennyiben egyfelől az Egyesült Államok, másfelől az Európai Unió vagy egy tagállama a személyes adatoknak a konkrét ügyekhez, vizsgálatokhoz vagy büntetőeljárásokhoz nem kapcsolódó továbbításáról szóló megállapodást kötnek, e megállapodás magába foglalja az adatmegőrzési időszakok konkrét és kölcsönös megállapodás szerinti meghatározását.
3. A Felek eljárásokat hoznak létre az adatmegőrzési időszakok rendszeres felülvizsgálatára annak meghatározása érdekében, hogy a megváltozott körülmények szükségessé teszik-e az alkalmazandó időszak további módosítását.
4. A Felek közzéteszik vagy más módon nyilvánosan elérhetővé teszik adatmegőrzés időtartamait.
13. cikk: A személyes adatok sajátos kategóriái
1. A faji vagy etnikai hovatartozás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, vagy az egészségi állapotra vagy szexuális életre vonatkozó információk megállapítását lehetővé tevő személyes adatok feldolgozására csak megfelelő biztosítékok mellett, jogszerűen kerülhet sor. E megfelelő biztosítékok közé tartozhatnak az alábbiak: az adatfeldolgozás lehetséges céljainak korlátozása, például azáltal, hogy csak eseti alapon teszik lehetővé a feldolgozást; az adatok elrejtése, törlése vagy zárolása a feldolgozás céljának megvalósulása után; azon személyzet korlátozása, akik számára engedélyezett az adatokhoz való hozzáférés; az adatokhoz hozzáférő személyzet szakképzésének előírása; az adatokhoz való hozzáférés felügyeleti jóváhagyáshoz kötése; vagy más védintézkedések. E biztosítékok kellőképpen figyelembe veszik az adatok jellegét, az adatok sajátos érzékenységét, valamint az adatfeldolgozás célját.
2. Amennyiben egyfelől az Egyesült Államok, másfelől az Európai Unió vagy egy tagállama a személyes adatoknak a konkrét ügyekhez, vizsgálatokhoz vagy büntetőeljárásokhoz nem kapcsolódó továbbításáról szóló megállapodást kötnek, e megállapodás magába foglalja az ilyen adatok feldolgozására vonatkozó standardok és feltételek további részleteit, kellőképpen figyelembe véve az adatok jellegét és azok felhasználásának célját.
14. cikk: Elszámoltathatóság
1. A Felek intézkedéseket foganatosítanak a személyes adatoknak az e megállapodás hatályán belül az illetékes hatóságaik, vagy a személyes adatokat átvevő egyéb hatóságaik által végzett feldolgozásával kapcsolatos elszámoltathatóság elősegítése érdekében. Ezek az intézkedések magukba foglalják az e megállapodás értelmében a személyes adatok továbbítására alkalmazandó biztosítékokról, valamint a 6. cikk (3) bekezdése alapján a továbbító illetékes hatóság által esetlegesen meghatározott feltételekről szóló értesítést is. A súlyos kötelességszegés kezelésére megfelelő és visszatartó erejű közigazgatási, polgári és büntetőjogi szankciókat kell meghatározni.
2. Az (1) bekezdésben meghatározott intézkedések szükség szerint magukban foglalják azt is, hogy megszüntetik a személyes adatok továbbítását a Felek részét képező területi egységek e megállapodás hatályán kívül eső hatóságai számára, amennyiben azok nem védték hatékonyan a személyes információkat, figyelembe véve e megállapodás célját, és különösen e megállapodás célhoz kötöttségről, felhasználási korlátokról és harmadik fél részére történő továbbításról szóló rendelkezéseit.
3. E cikk nem megfelelő alkalmazásának állítása esetén a Felek kérhetik egymástól a releváns – beleértve adott esetben az e cikk alapján tett intézkedésekre vonatkozó – tájékoztatás biztosítását.
15. cikk: Automatizált döntések
Az egyének releváns érdekeire nézve jelentős mértékű hátrányos következménnyel járó határozatok nem alapulhatnak kizárólag a személyes adatok emberi közreműködés nélküli, automatizált feldolgozásán, kivéve akkor, ha ezt a hazai jogszabályok megfelelő, az emberi beavatkozás igénylésének lehetőségére is kiterjedő biztosítékok mellett engedélyezik.
16. cikk: Hozzáférés
1. A Felek biztosítják, hogy bármely személy jogosult saját személyes adataihoz hozzáférést kérni, és ehhez a (2) bekezdésben meghatározott korlátozások mellett hozzájutni. E hozzáférés az illetékes hatóságtól kérhető és szerezhető meg, a jogorvoslati kérelem benyújtási helye szerinti állam alkalmazandó jogi keretének megfelelően.
2. Az ilyen információk megszerzésére konkrét esetben az érintett személy jogos érdekeinek figyelembevétele mellett a hazai jog szerinti ésszerű korlátozások vonatkozhatnak, az alábbiak biztosítása érdekében:
a) mások jogainak és szabadságainak, ezen belül magánéletüknek védelme;
b) a köz- és nemzetbiztonság védelme;
c) a bűnüldözéshez kapcsolódó különleges adatok védelme;
d) hivatalos vagy jogi vizsgálatok, nyomozások vagy eljárások akadályozásának elkerülése;
e) bűncselekmények megelőzése, felderítése, kivizsgálása, büntetőeljárás alá vonása vagy büntetőjogi szankciók végrehajtása sérelmének elkerülése;
f) a információ szabadságára és dokumentumokhoz való nyilvános hozzáférésre vonatkozó jogszabályi rendelkezésekben meghatározott érdekek egyéb jellegű védelme.
3. A személy nem kötelezhető túlzott költségek viselésére a saját személyes adataihoz való hozzáférés feltételeként.
4. Amennyiben a vonatkozó hazai jog ezt lehetővé teszi, a személy jogosult felügyeleti hatóságot vagy más képviselőt felhatalmazni a hozzáférés saját nevében történő kérelmezésére.
5. Amennyiben a hozzáférést megtagadják vagy korlátozzák, a kérelmet kapó illetékes hatóság indokolatlan késedelem nélkül tájékoztatja a személyt, vagy a személy – a (4) bekezdésnek megfelelő módon – felhatalmazott képviselőjét a hozzáférés megtagadásának vagy korlátozásának indokairól.
17. cikk: Helyesbítés
1. A Felek biztosítják, hogy bármely személy jogosult legyen személyes adatainak helyesbítését vagy kiigazítását kérni, amennyiben állítása szerint azok pontatlanok vagy nem megfelelően dolgozták fel azokat. A helyesbítés vagy kiigazítás magában foglalhatja a kiegészítést, törlést, zárolást, illetve a pontatlanság vagy nem megfelelő feldolgozás kezelését célzó egyéb intézkedéseket vagy módszereket. E helyesbítés vagy kiigazítás az illetékes hatóságtól kérhető és szerezhető meg, a jogorvoslati kérelem benyújtási helye szerinti állam alkalmazandó jogi keretének megfelelően.
2. A kérelmet kapó illetékes hatóság az alábbiakat követően:
a) az (1) bekezdés szerinti kérelem;
b) a szolgáltatótól kapott értesítés; vagy
c) saját nyomozásai vagy vizsgálatai;
megállapítja, hogy az e megállapodás alapján kapott adatok pontatlanok vagy azokat nem megfelelően dolgozták fel, intézkedéseket tesz – az adott esettől függően – a kiegészítés, törlés, zárolás vagy egyéb módon történő helyesbítés vagy kiigazítás érdekében.
3. Amennyiben a vonatkozó hazai jog ezt lehetővé teszi, a személy jogosult felügyeleti hatóságot vagy más képviselőt felhatalmazni a helyesbítés vagy kiigazítás saját nevében történő kérelmezésére.
4. Amennyiben a helyesbítést vagy kiigazítást megtagadják vagy korlátozzák, a kérelmet kapó illetékes hatóság indokolatlan késedelem nélkül választ ad a személy vagy a személy – a (3) bekezdésnek megfelelő módon – felhatalmazott képviselőjére részére a helyesbítés vagy kiigazítás megtagadásának vagy korlátozásának indokairól.
18. cikk: Közigazgatási jogorvoslat
1. A Felek biztosítják, hogy bármely személy jogosult legyen közigazgatási jogorvoslatot kérni, amennyiben véleménye szerint a hozzáférésre irányuló, 16. cikk szerinti kérelmét vagy a pontatlan adatok vagy a nem megfelelő feldolgozás kiigazítására irányuló, 17. cikk szerinti kérelmét nem megfelelő módon utasították el. E jogorvoslat az illetékes hatóságtól kérhető és szerezhető meg, a jogorvoslati kérelem benyújtási helye szerinti állam alkalmazandó jogi keretének megfelelően.
2. Amennyiben a vonatkozó hazai jog ezt lehetővé teszi, a személy jogosult felügyeleti hatóságot vagy más képviselőt felhatalmazni a közigazgatási jogorvoslat saját nevében történő kérelmezésére.
3. A jogorvoslati kérelmet kapó illetékes hatóság elvégzi a megfelelő vizsgálatokat és ellenőrzéseket, és indokolatlan késedelem nélkül írásban – beleértve az elektronikus utat is – választ ad ezek eredményéről, kitérve adott esetben a megtett javítási és korrekciós lépésekre is. Az esetleges további közigazgatási jogorvoslat kérelmezésére vonatkozó eljárásról szóló tájékoztatást a 20. cikk rendelkezéseinek megfelelően biztosítják.
19. cikk: Bírósági jogorvoslat
1. A Felek saját alkalmazandó jogi keretükön belül biztosítják, hogy – a közigazgatási jogorvoslat lehetőségének előzetes kimerítésére vonatkozó esetleges követelmények teljesülése esetén – a Felek bármely állampolgára jogosult legyen bírósági jogorvoslatot kérni az alábbiak tekintetében:
a) ha egy illetékes hatóság megtagadja az érintett személyes adatait tartalmazó nyilvántartáshoz való hozzáférést;
b) ha egy illetékes hatóság megtagadja az érintett személyes adatait tartalmazó nyilvántartás módosítását; valamint
c) ilyen adatok akaratlagos vagy szándékos nyilvánosságra hozatala, a kártérítés lehetőségére is kiterjedően.
2. E bírósági jogorvoslat a jogorvoslati kérelem benyújtási helye szerinti állam alkalmazandó jogi keretének megfelelően kérhető és szerezhető meg.
3. Az (1) és (2) bekezdés nem érinti a jogorvoslati kérelem benyújtási helye szerinti állam jogszabályai értelmében az egyének személyes adatainak feldolgozására vonatkozóan elérhető esetleges egyéb jogorvoslati lehetőségeket.
4. A megállapodás felfüggesztése vagy megszüntetése esetén a 26. cikk (2) bekezdése vagy a 29. cikk (3) bekezdése nem szolgáltat alapot olyan bírósági jogorvoslathoz, amely az érintett Fél jogszabályai alapján már nem áll rendelkezésre.
20. cikk: Átláthatóság
1. A Felek értesítést biztosítanak az egyének számára személyes adataik tekintetében. Ezt az értesítést az illetékes hatóságok megvalósíthatják általános értesítések közzétételével vagy tényleges értesítés formájában, az értesítést biztosító hatóságra alkalmazandó jogszabályok rendelkezései szerinti formában és időben. Az értesítés az alábbiakra terjed ki:
a) az ilyen adatok érintett hatóság általi feldolgozásának céljai;
b) azon célok, amelyek érdekében megoszthatók az adatok más hatóságokkal;
c) azon jogszabályok vagy szabályok, amelyek alapján az érintett feldolgozás zajlik;
d) azon harmadik felek, amelyekkel közlik az ilyen adatokat; valamint
e) a rendelkezésre álló hozzáférés, helyesbítés vagy kiigazítás és jogorvoslat.
2. Ez az értesítési kötelezettség nem sérti a hazai jog szerinti ésszerű korlátozásokat a 16. cikk (2) bekezdésének a)–f) pontjában felsorolt kérdések tekintetében.
21. cikk: Hatékony felügyelet
1. A Felek egy vagy több állami felügyeleti hatóságot jelölnek ki, amelyek:
a) független felügyeleti feladatokat és hatásköröket gyakorolnak, a felülvizsgálatra, a vizsgálatokra és a beavatkozásra is kiterjedően, szükség szerint saját kezdeményezés alapján;
b) hatáskörrel rendelkeznek az egyének által az e megállapodást végrehajtó intézkedésekkel kapcsolatban tett panaszok átvételére és az azokban való eljárásra; valamint
c) hatáskörrel rendelkeznek arra, hogy az e megállapodással kapcsolatos jogszabálysértések esetén adott esetben eljárjanak büntetőeljárás vagy fegyelmi eljárás megindítása érdekében.
2. Az Európai Unió e cikk alapján adatvédelmi hatóságai és tagállamainak adatvédelmi hatóságai révén biztosítja a felügyeletet.
3. Az Egyesült Államok e cikk alapján együttesen egynél több hatóság révén biztosítja a felügyeletet, mely hatóságok közé tartozhatnak többek között a következők: főfelügyelők, adatvédelmi főtisztviselők, kormányzati ellenőrzési hivatalok, a magánélethez való jog és az alapvető szabadságok képviseletében eljáró felügyeleti bizottságok, valamint a magánélethez való joggal és az alapvető szabadságokkal kapcsolatos felülvizsgálatot végző egyéb végrehajtó és jogalkotó szervek.
22. cikk: A felügyeleti hatóságok közötti együttműködés
1. A 21. cikk értelmében felügyeleti tevékenységet végző hatóságok közötti megbeszélésekre szükség szerint kell sort keríteni tekintettel az e megállapodással kapcsolatos feladatok ellátására, a 16., 17. és 18. cikk rendelkezései hatékony végrehajtásának biztosítását szem előtt tartva.
2. A feleknek nemzeti kapcsolattartó pontokat hoznak létre, amelyek az adott ügyben megkereshető felügyeleti hatóság azonosításában nyújtanak segítséget.
23. cikk: Közös felülvizsgálat
1. A Felek az e megállapodást végrehajtó szakpolitikákat és eljárásokat, valamint azok hatékonyságát illetően rendszeres közös felülvizsgálatot végeznek. A közös felülvizsgálatoknak különös figyelmet kell fordítaniuk az elszámoltathatóságról szóló 14. cikk, a hozzáférésről szóló 16. cikk, a helyesbítésről szóló 17. cikk, a közigazgatási jogorvoslatról szóló 18. cikk és a bírósági jogorvoslatról szóló 18. cikk keretében nyújtott védelmek hatékony végrehajtására.
2. Az első közös felülvizsgálatot legkésőbb e megállapodás hatályba lépésének napjáról számított három éven belül kell elvégezni, ezt követően pedig rendszeres időközönként. A Felek előzetesen együttesen határozzák meg a közös felülvizsgálat részletes szabályait és feltételeit, és közlik egymással a felülvizsgálat elvégzésére általuk kijelölt küldöttségek összetételét. Ezek magukban foglalják a hatékony felügyeletről szóló 21. cikkben hivatkozott felügyeleti hatóságok, valamint a bűnüldöző és igazságügyi hatóságok képviselőit. A közös felülvizsgálat megállapításait nyilvánosságra kell hozni.
3. Amennyiben a Felek vagy az Egyesült Államok és egy tagállam más, közös felülvizsgálati kitételt tartalmazó megállapodást kötöttek, amelynek tárgya szintén e megállapodás hatálya alá esik, ez esetben az ilyen közös felülvizsgálatok megkettőzését el kell kerülni, és a szükséges mértékig azokat a megállapításokat e megállapodás közös felügyelete megállapításainak részévé kell tenni.
24. cikk: Értesítés
1. Az Egyesült Államok értesíti az Európai Uniót a 19. cikkel összefüggésben az amerikai hatóságok által tett bármely kijelölésről, és annak bármilyen módosításáról.
2. A Felek ésszerű erőfeszítéseket tesznek egymás értesítéséről az e megállapodás végrehajtására lényegesen kiható bármilyen jogszabály vagy szabályozások elfogadásáról, lehetőség szerint hatályba lépésük előtt.
25. cikk: Konzultáció
Az e megállapodás értelmezéséből vagy alkalmazásából fakadó bármely jogvitát a Felek kölcsönösen elfogadott megállapodást célzó egyeztetések útján próbálnak megoldani.
26. cikk: Felfüggesztés
1. E megállapodás lényeges megszegése esetén bármelyik Fél egészében vagy részlegesen felfüggeszteni e megállapodást a másik Fél diplomáciai úton történő írásbeli értesítésével. Ilyen írásbeli értesítés azt követően tehető, hogy a Felek ésszerű időn át egyeztetéseken vesznek részt anélkül, hogy megoldásra jutnának, és a felfüggesztés az értesítés kézhezvételének napjától számított húsz nap elteltével lép hatályba. E felfüggesztést a felfüggesztő Fél oldhatja fel a másik Félhez intézett írásbeli értesítés útján. A felfüggesztés az értesítés kézhez vételével azonnal feloldottá válik.
2. E megállapodás bármely felfüggesztése ellenére a megállapodás hatálya alá tartozó, és a felfüggesztés előtt továbbított személyes adatokat továbbra is e megállapodással összhangban kell feldolgozni.
27. cikk: Területi hatály
|
1. E megállapodás csak akkor alkalmazandó Dániára, az Egyesült Királyságra, illetve Írországra, amennyiben az Európai Bizottság írásban értesíti az Egyesült Államokat, hogy Dánia, az Egyesült Királyság, illetve Írország úgy határozott, hogy e megállapodás alkalmazandó az érintett államra. 2. Amennyiben az Európai Bizottság e megállapodás hatálybalépése előtt arról értesíti az Egyesült Államokat, hogy a megállapodás Dániára, az Egyesült Királyságra, illetve Írországra is alkalmazandó, a megállapodás az érintett államra vonatkozóan hatálybalépésének időpontjától kezdve alkalmazandó. 3. Amennyiben az Európai Bizottság a megállapodás hatálybalépése után arról értesíti az Egyesült Államokat, hogy a megállapodás Dániára, az Egyesült Királyságra, illetve Írországra is alkalmazandó, a megállapodás az érintett államra vonatkozóan az azt követő hónap első napjától alkalmazandó, amikor az Egyesült Államok átveszi az értesítést. |
28. cikk: A megállapodás időtartama
E megállapodás határozatlan időre jön létre.
29. cikk: Hatálybalépés és megszűnés
1. Ez a megállapodás az azon időpontot követő hónap első napján lép hatályba, amikor a Felek értesítették egymást a hatálybalépéshez szükséges belső eljárásaik befejezéséről.
2. Ezt a megállapodást a Felek diplomáciai úton történő írásbeli értesítéssel felmondhatják. A megállapodás a felmondásról szóló értesítés kézhezvételének napját követően harminc nappal veszti hatályát.
3. E megállapodás bármely felmondása ellenére a megállapodás hatálya alá tartozó, és a felmondás előtt továbbított személyes adatokat továbbra is e megállapodással összhangban kell feldolgozni.
FENTIEK HITELÉÜL az alulírott teljhatalmú Meghatalmazottak aláírták e megállapodást.
Kelt […]-ban/ben, a 201 . év […] havának […]-ik napján, angol nyelven. Az uniós jognak megfelelően az EU e megállapodást bolgár, cseh, dán, észt, finn, francia, görög, holland, horvát, ír, lengyel, lett, litván, magyar, máltai, német, olasz, portugál, román, spanyol, svéd, szlovák és szlovén nyelven is elkészíti. Ezek a további nyelvi változatok az Egyesült Államok és az Európai Unió közötti diplomáciai jegyzékváltás útján hitelesíthetők. A hiteles nyelvi változatok közötti eltérés esetén az angol nyelvű változat az irányadó.