EURÓPAI BIZOTTSÁG
Brüsszel, 2019.10.23.
COM(2019) 495 final
A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK
az EU–USA adatvédelmi pajzs működésének harmadik éves felülvizsgálatáról
{SWD(2019) 390 final}
EURÓPAI BIZOTTSÁG
Brüsszel, 2019.10.23.
COM(2019) 495 final
A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK
az EU–USA adatvédelmi pajzs működésének harmadik éves felülvizsgálatáról
{SWD(2019) 390 final}
1.A HARMADIK ÉVES FELÜLVIZSGÁLAT – HÁTTÉR, ELŐKÉSZÍTÉS ÉS FOLYAMAT
2016. július 12-én a Bizottság határozatot 1 fogadott el (a továbbiakban: a megfelelőségi határozat), amelyben megállapította, hogy az EU–USA adatvédelmi pajzs megfelelő szintű védelmet biztosít az EU-ból az USA-beli szervezetekhez továbbított személyes adatok számára. A megfelelőségi határozat előírja különösen, hogy a Bizottság évente értékeli a keret valamennyi elemének működését, és ennek alapján az Európai Parlamentnek és a Tanácsnak benyújtandó nyilvános jelentést készít.
Az első éves felülvizsgálatra 2017 szeptemberében került sor Washingtonban, a Bizottság pedig 2017 októberében elfogadta az Európai Parlamentnek és a Tanácsnak szóló jelentését 2 , amelyet egy bizottsági szolgálati munkadokumentum (SWD(2017)344 final) kísért 3 . A Bizottság azt a következtetést vonta le, hogy az USA továbbra is megfelelő szintű védelmet biztosít az adatvédelmi pajzs keretében az EU-ból az USA-ba továbbított adatok számára, azonban a keret gyakorlati működésének javítása céljából tíz ajánlást fogalmazott meg.
A második éves felülvizsgálatra 2018 októberében került sor Brüsszelben, a Bizottság pedig 2018 decemberében elfogadta az Európai Parlamentnek és a Tanácsnak szóló jelentését 4 , amelyet ismét egy bizottsági szolgálati munkadokumentum (SWD(2018)487 final) kísért 5 . A második éves felülvizsgálat keretében gyűjtött információk megerősítették a Bizottság megfelelőségi határozatában tett megállapításait, mind a keret „kereskedelmi vonatkozásaival” (vagyis a tanúsított vállalkozásoknak az adatvédelmi pajzs követelményeinek való megfelelésével, valamint e követelményeknek az Egyesült Államok illetékes hatóságai általi igazgatásával, felügyeletével és érvényesítésével kapcsolatos kérdések), mind pedig a hatóságoknak az adatvédelmi pajzs keretében továbbított személyes adatokhoz való hozzáférésével kapcsolatos kérdések tekintetében.
Különösen az első éves felülvizsgálatot követően megfogalmazott bizottsági ajánlások végrehajtása érdekében tett lépések javították a keret gyakorlati működésének számos vonatkozását. Például a Kereskedelmi Minisztérium új mechanizmusokat vezetett be az esetleges megfelelési problémák feltárására, a Szövetségi Kereskedelmi Bizottság proaktívabb megfelelőség-ellenőrzési és jogérvényesítési megközelítést fogadott el, valamint nyilvánosságra hozták a Polgári Szabadságjogi Felügyelő Tanácsnak a 28. sz. elnöki politikai irányelv 6 végrehajtásáról szóló jelentését. Egyes említett intézkedésekre azonban csak közvetlenül a második éves felülvizsgálat előtt került sor, és bizonyos folyamatok még nem fejeződtek be, ezért a Bizottság azt a következtetést vonta le, hogy szorosan nyomon kell követni a szóban forgó folyamatokkal és mechanizmusokkal kapcsolatos további fejleményeket.
Emellett – bár a megbízott külügyminiszter-helyettes ellátta az adatvédelmi pajzsért felelős ombudsman feladatkörét, így az ombudsmani mechanizmus teljes körűen működött – a Bizottság hangsúlyozta az adatvédelmi pajzsért felelős ombudsmani tisztség állandó betöltésének fontosságát, és mindenekelőtt arra kérte az Egyesült Államok kormányát, hogy 2019. február 28-ig döntsön az e tisztségre kijelölt személyről.
A harmadik éves felülvizsgálati ülésre 2019. szeptember 12–13-án Washingtonban került sor. A felülvizsgálatot Tiina Astola, a jogérvényesülésért és a fogyasztópolitikáért felelős főigazgató, Wilbur Ross, az Egyesült Államok kereskedelmi minisztere, Joseph Simons, a Szövetségi Kereskedelmi Bizottság elnöke, valamint Ventsislav Karadjov, az Európai Adatvédelmi Testület alelnöke nyitotta meg. Az EU részéről az Európai Bizottság Jogérvényesülési és Fogyasztópolitikai Főigazgatóságának képviselői folytatták le az ülést. Az Európai Adatvédelmi Testület 7 által kijelölt nyolc képviselő szintén részt vett ezen az ülésen.
Az Egyesült Államok részéről a Kereskedelmi Minisztérium, a Külügyminisztérium, a Szövetségi Kereskedelmi Bizottság, a Közlekedési Minisztérium, a Nemzeti Hírszerzés Igazgatójának Hivatala és az Igazságügyi Minisztérium képviselői, továbbá a Polgári Szabadságjogi Felügyelő Tanács tagjai, valamint az (állandó megbízatással, lásd lent) újonnan kinevezett ombudsman és a Hírszerző Közösség főellenőre vettek részt a felülvizsgálatban. Ezen túlmenően az adatvédelmi pajzs keretében független vitarendezést biztosító két szervezet képviselői, valamint az adatvédelmi pajzzsal foglalkozó választottbírói testületet igazgató Amerikai Választottbírói Egyesület szolgáltattak információkat a releváns felülvizsgálati ülések során. Végezetül az éves felülvizsgálathoz hozzájárultak az adatvédelmi pajzs alapján tanúsított vállalkozások prezentációi arról, hogy a vállalkozásoknak milyen intézkedéseket kell tenniük, hogy megfeleljenek a keret követelményeinek.
A harmadik éves felülvizsgálat előkészítése során a Bizottság információkat gyűjtött az érdekelt felektől (különösen az adatvédelmi pajzs alapján tanúsított vállalkozásoktól azok szakmai szövetségein keresztül, valamint az alapvető jogok – és különösen a digitális jogok és a magánélet tiszteletben tartásához való jog – területén tevékenykedő nem kormányzati szervezetektől). Az írásbeli hozzászólások gyűjtése mellett a Bizottság 2019. szeptember 9-én ipari és vállalkozói szövetségekkel, 2019. szeptember 11-én pedig nem kormányzati szervezetekkel tartott megbeszéléseket.
A Bizottság megállapításaihoz felhasználtak továbbá nyilvánosan hozzáférhető anyagokat is, köztük bírósági ítéleteket, az Egyesült Államok érintett hatóságainak végrehajtási szabályait és eljárásait, nem kormányzati szervezetek által készített jelentéseket és tanulmányokat, az adatvédelmi pajzs alapján tanúsított vállalkozások által közzétett átláthatósági jelentéseket, független jogorvoslati mechanizmusok éves jelentéseit, valamint médiatudósításokat.
A mostani jelentés lezárja az adatvédelmi pajzs működésének harmadik éves felülvizsgálatát. A jelentés, valamint az azt kísérő bizottsági szolgálati munkadokumentum (SWD(2019)390 final) szerkezete megegyezik az előző két felülvizsgálatról szóló dokumentumokéval. A jelentés az adatvédelmi pajzs működésének minden vonatkozására kiterjed, különösen azokra az elemekre összpontosítva, amelyekről a Bizottság a második éves felülvizsgálat során megállapította, hogy szoros nyomon követést igényelnek.
A Bizottság az általa végzett értékelés során figyelembe vette a tavaly bekövetkezett további fejleményeket is, ideértve az adatvédelmi pajzzsal kapcsolatosan az Európai Unió Bírósága előtt folyamatban lévő peres ügyet is 8 . E tekintetben a felülvizsgálat lehetőséget nyújtott a Bizottságnak, hogy az Egyesült Államok hatóságaival tisztázzon bizonyos, az Egyesült Államok külföldi hírszerzési információk gyűjtését szabályozó jogi keretével kapcsolatos konkrét kérdéseket, amelyek az úgynevezett Schrems II-ügyben merültek fel. Mindazonáltal előfordulhat, hogy a Bizottságnak újra kell értékelnie a helyzetet, miután a Bíróság ítéletet hoz a folyamatban lévő ügyekben.
2.MEGÁLLAPÍTÁSOK
Az adatvédelmi pajzs – amelyben az éves felülvizsgálati ülés időpontjában több mint 5 000 vállalkozás vett részt – működésének harmadik évében az induló szakaszból egy operatívabb szakaszba jutott. A harmadik éves felülvizsgálat, amely mind a kereskedelmi vonatkozásokra, mind pedig a személyes adatokhoz való kormányzati hozzáféréssel kapcsolatos kérdésekre kiterjedt, a keret gyakorlati alkalmazása során szerzett tapasztalatokra és tanulságokra összpontosított.
Az adatvédelmi pajzs működésére vonatkozó, a keret harmadik éves működése nyomán tett részletes megállapításokat az EU–USA adatvédelmi pajzs működésének harmadik éves felülvizsgálatáról szóló bizottsági szolgálati munkadokumentum (SWD(2019)390 final) tartalmazza, amely ezt a jelentést kíséri.
2.1.Kereskedelmi vonatkozások
A tavalyi éves felülvizsgálat megállapításainak fényében a Bizottság kereskedelmi vonatkozásokkal kapcsolatos értékelése elsősorban a Kereskedelmi Minisztérium által a következők terén elért eredményekre összpontosított: i. az újratanúsítás folyamata, ii. a Kereskedelmi Minisztérium által a tanúsított vállalkozások proaktív megfelelőség-ellenőrzése céljából bevezetett mechanizmusok hatékonysága (az úgynevezett „helyszíni ellenőrzések”), iii. a valótlan állítások feltárása érdekében bevezetett eszközök, iv. a Szövetségi Kereskedelmi Bizottság által az adatvédelmi pajzs megsértésével kapcsolatban hozott jogérvényesítési intézkedések előrehaladása és eredménye, valamint v. a humánerőforrás-adatokra vonatkozó iránymutatással kapcsolatos fejlemények.
Az újratanúsítási folyamat tekintetében a harmadik éves felülvizsgálat során kiderült, hogy ha egy vállalkozás az (újra)tanúsítási időszak lejártakor még nem fejezte be az újratanúsítási folyamatot, a Kereskedelmi Minisztérium – rendszeres gyakorlatként – belső eljárást követően jelentős hosszúságú „türelmi időt” biztosít a vállalkozás számára. Ezen időszak alatt (körülbelül 3,5 hónapig, vagy – bizonyos esetekben és attól függően, hogy a Kereskedelmi Minisztérium mikor észleli, hogy a tanúsítási folyamat nem zárult le – akár hosszabb ideig is), a vállalkozás az adatvédelmi pajzs „aktív” listáján marad. Ameddig a vállalkozás az adatvédelmi pajzs résztvevőjeként jelenik meg, a keret alapján fennálló kötelezettségek kötelező érvényűek és teljes mértékben érvényesíthetők maradnak. Ugyanakkor egy ilyen hosszú időszak, amely alatt a vállalkozás újratanúsításának határideje lejárt, miközben a vállalkozás továbbra is az adatvédelmi pajzs aktív résztvevőjeként jelenik meg, csökkenti az adatvédelmi pajzsban részt vevő szervezetek listájának átláthatóságát és érthetőségét az uniós vállalkozások és egyének számára egyaránt. Ez nem ösztönzi a részt vevő vállalkozásokat sem, hogy szigorúan tartsák be az évenkénti újratanúsítás követelményét.
A vállalkozások a tekintetben történő proaktív ellenőrzését illetően, hogy betartják-e az adatvédelmi pajzs követelményeit, a Kereskedelmi Minisztérium 2019 áprilisában olyan rendszert vezetett be, amelyben havonta 30 vállalkozást ellenőriz. A Bizottság üdvözli, hogy a Kereskedelmi Minisztérium rendszeresen és módszeresen proaktív helyszíni megfelelés-ellenőrzéseket végez, ami nagyon fontos a keretnek való megfelelés általános javítása és az olyan esetek feltárása szempontjából, amelyekben a Szövetségi Kereskedelmi Bizottság által hozott jogérvényesítési intézkedésre van szükség. Megjegyzi azonban, hogy ezek a helyszíni ellenőrzések rendszerint olyan formális követelményekre korlátozódnak, mint a kijelölt kapcsolattartó válaszának elmaradása vagy a vállalkozás adatvédelmi szabályzata online elérhetőségének hiánya. Bár ezek kétségkívül az adatvédelmi pajzs követelményeinek való megfelelés lényeges szempontjai, az említett ellenőrzéseknek az érdemi kötelezettségekre is ki kell terjedniük (például a harmadik fél részére történő adattovábbítással kapcsolatos elszámoltathatóság elvének betartása), teljes mértékben kihasználva azokat az eszközöket, amelyeket a Kereskedelmi Minisztérium a keret alapján igénybe vehet. A harmadik fél részére történő adattovábbításra vonatkozó követelményeket jelentősen megszigorították az adatvédelmi pajzsban, mivel ezekben a helyzetekben a biztosítékok hiánya miatt sérülne a keret által garantált védelem. Bár a helyszíni ellenőrzéseket továbbra is rendszeresen és módszeresen kell végezni, e lényegesebb követelményeknek való megfelelés szintén alapvető fontosságú az adatvédelmi pajzs folytonossága szempontjából, amelyet az amerikai hatóságoknak szigorúan ellenőrizniük kell és be kell tartatniuk.
Az adatvédelmi pajzsban való részvételre vonatkozó valótlan állítások Kereskedelmi Minisztérium általi keresése tekintetében a Bizottság megállapította, hogy a Kereskedelmi Minisztérium továbbra is negyedévente végzett keresést, ami jelentős számú valótlan állítás feltárását eredményezte, amelyeket néhány esetben a Szövetségi Kereskedelmi Bizottsághoz utaltak. Ezek a keresések azonban eddig csak azon vállalkozásokra irányultak, amelyeket valamilyen módon már tanúsítottak, vagy amelyek kérelmezték az adatvédelmi pajzs szerinti tanúsítást (de például az újratanúsításukra nem került sor). Fontos, hogy a keresések olyan vállalkozásokat is megcélozzanak, amelyek eddig nem kérelmezték az adatvédelmi pajzs szerint tanúsítást. A különféle valótlan állítások közül azon vállalkozások valótlan állításai lehetnek a legkárosabbak, amelyek soha nem folyamodtak tanúsításért. Igaz ez az egyének magánéletének szempontjából, mivel azok a vállalkozások, amelyek soha nem folyamodtak tanúsításért, nem vezették be üzleti gyakorlatukban az adatvédelmi pajzs által biztosított védelmet. Igaz továbbá üzleti szempontból is, mivel a vállalkozások közötti egyenlő versenyfeltételek gyengülnek, ha a keret követelményeinek meg nem felelő szervezetek tarthatnak igényt a tanúsítás nyújtotta előnyökre.
A Bizottság pozitívan értékelte, hogy egyre több uniós érintett gyakorolja jogait az adatvédelmi pajzs keretében, és hogy a vonatkozó jogorvoslati mechanizmusok jól működnek. Nőtt a független jogorvoslati mechanizmusokhoz benyújtott panaszok száma, és azok az érintett uniós egyének számára kielégítő módon oldódtak meg. Ezenkívül a részt vevő vállalkozások megfelelően kezelték az uniós egyének kérelmeit.
A jogérvényesítés tekintetében a Bizottság megállapította, hogy a Szövetségi Kereskedelmi Bizottság tavaly óta hét jogérvényesítési intézkedést hajtott végre az adatvédelmi pajzs megsértésével kapcsolatban, többek között a hivatalból végrehajtott, előre bejelentett ellenőrzések eredményeként. Mind a hét ügy tárgya a keretben való részvételre vonatkozó valótlan állítás volt. Közülük kettő az adatvédelmi pajzs lényegesebb követelményeinek megsértéséről is szólt, mint például annak elmulasztása, hogy a vállalkozás önértékeléssel vagy külső megfelelőségi felülvizsgálattal ellenőrizze, hogy az adatvédelmi pajzs szerinti gyakorlatára vonatkozó állításai megfelelnek-e a valóságnak és ez a gyakorlat megvalósul-e. A Bizottság üdvözli a Szövetségi Kereskedelmi Bizottság által az adatvédelmi pajzs működésének harmadik évében hozott jogérvényesítési intézkedéseket. Ugyanakkor az ügynökség tavalyi bejelentése és a második éves felülvizsgálat során nyújtott biztosítékok alapján a Bizottság erőteljesebb fellépést várt volna az adatvédelmi pajzs érdemi megsértésével kapcsolatos jogérvényesítési intézkedések tekintetében.
E tekintetben a Bizottság tudomásul vette a harmadik éves felülvizsgálat során adott magyarázatot, amely szerint számos folyamatban lévő vizsgálat több időt vesz igénybe, mivel a Szövetségi Kereskedelmi Bizottság a lehetséges jogsértések teljes körét vizsgálja. Ugyanakkor a Szövetségi Kereskedelmi Bizottság nem bocsátott elegendő információt rendelkezésre a jogérvényesítés terén elért haladás megfelelő értékeléséhez. Bár ezek az információk a titoktartásra vonatkozó jogos megfontolásokból korlátozhatók, nem tűnik indokoltnak, hogy a Szövetségi Kereskedelmi Bizottság még összesített és névtelen formában sem oszthatja meg a hivatalból végrehajtott ellenőrzések további elemeit. Ez a megközelítés nem felel meg az adatvédelmi pajzs alapját képező, hatóságok közötti együttműködés szellemének, és a Szövetségi Kereskedelmi Bizottságnak meg kell találnia a módját, hogy megossza a jogérvényesítési tevékenységére vonatkozó érdemi információkat a Bizottsággal és az uniós adatvédelmi hatóságokkal, amelyek együttesen felelősek a keret végrehajtásáért.
A felülvizsgálat során ismét megvitatták annak kérdését, hogyan kell kezelni a humánerőforrás-adatokat az adatvédelmi pajzs keretében. Ahogy azt az érdekelt felek is megerősítették, valódi hozzáadott értéket képviselne, ha a Kereskedelmi Minisztérium, a Szövetségi Kereskedelmi Bizottság és az uniós adatvédelmi hatóságok közös iránymutatást dolgoznának ki. E tekintetben a Bizottság megjegyzi, hogy nemrég kapcsolatfelvételre került sor, amely némi előrelépéshez vezetett a kérdések megértése terén, azonban konkrét eredmény még nem született.
2.2.Az Egyesült Államok hatóságainak személyes adatokhoz való hozzáférése, és azok általuk való felhasználása
Ami az Egyesült Államok hatóságainak személyes adatokhoz való hozzáférésével és azok általuk való felhasználásával kapcsolatos kérdéseket illeti, a harmadik éves felülvizsgálat célja elsősorban annak megerősítése volt, hogy továbbra is érvényben maradnak azok a korlátozások és biztosítékok, amelyeken a megfelelőségi határozat alapul. Ezenkívül a harmadik éves felülvizsgálat lehetőséget adott az új fejlemények áttekintésére, illetve a jogi keret egyes vonatkozásainak, valamint a különféle felügyeleti mechanizmusok és jogorvoslati lehetőségek pontosítására, különös tekintettel a panaszok ombudsman általi kezelésére és megoldására.
Bár a külföldi hírszerzési információknak a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 702. szakasza szerinti gyűjtésével kapcsolatban nem voltak új jogi fejlemények, a Bizottság üdvözölte az Egyesült Államok hatóságaitól arra vonatkozóan kapott pontosításokat, hogyan történik a hírszerzési információk gyűjtése kapcsán a célkiválasztás a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 702. szakasza alapján végrehajtott programok (vagyis a PRISM és az Upstream) keretében. Ezek a pontosítások megerősítették a Bizottság megfelelőségi határozatában tett megállapításait, amelyek szerint a külföldi hírszerzési információknak a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 702. szakasza szerinti gyűjtésekor a célkiválasztás mindig kiválasztási feltételek alkalmazásával történik, és hogy a kiválasztási feltételek meghatározását törvény szabályozza, illetve független bírósági és jogszabályi felügyelet alatt áll.
A Bizottság azt is megállapította, hogy a külföldi hírszerzői tevékenység megfigyeléséről szóló törvénynek a 2015. évi USA FREEDOM törvénnyel módosított 501. szakasza szerinti, a külföldi hírszerzési információk megszerzésére vonatkozó engedélyek egy része az ütemterv szerint 2019. december 15-én lejár. Mivel a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 501. szakasza szerinti adatgyűjtés az adatvédelmi pajzs szempontjából releváns – és ezért azt a Bizottság megfelelőségi határozatában értékelte –, fontos, hogy újraengedélyezés esetén a meglévő korlátozások és biztosítékok (például a nagy mennyiségű adatgyűjtés tilalma) érvényben maradjanak.
A 28. sz. elnöki politikai irányelv tekintetében az Egyesült Államok hatóságai kifejezetten megerősítették, hogy az korlátozás nélkül hatályos marad, és nem került sor módosításra. Nem módosultak a Hírszerző Közösség egyes ügynökségein belül a 28. sz. elnöki politikai irányelvet végrehajtó eljárások sem. Ezenkívül a Bizottság tudomásul vette az Egyesült Államok hatóságai által adott magyarázatokat, amelyek egyértelművé tették, hogy a 28. sz. elnöki politikai irányelv nagy mennyiségű adatgyűjtésre vonatkozó rendelkezéseit, ideértve az ideiglenes beszerzésre vonatkozó rendelkezéseket is, nem kell alkalmazni a külföldi hírszerzési információk Egyesült Államokon belüli gyűjtésére (például az adatvédelmi pajzs keretében az EU-ból továbbított adatokat kezelő tanúsított vállalkozásoktól történő adatgyűjtésre), így a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 702. szakasza alapján a PRISM vagy az Upstream program keretében végzett adatgyűjtésre, mivel ez mindig célzott gyűjtés.
A Polgári Szabadságjogi Felügyelő Tanácsot illetően, amely fontos felügyeleti szerv a kormányzati felügyelet területén, a Bizottság üdvözölte, hogy miután az Egyesült Államok Szenátusa nemrég megerősítette a Tanács további két tagjának kinevezését, az öttagú Polgári Szabadságjogi Felügyelő Tanács 2016 óta először teljessé vált. A Bizottság azt is megállapította, hogy a Tanács személyzete megkétszereződött a legutóbbi éves felülvizsgálat óta, és hogy a Tanács ambiciózus munkaprogramot fogadott el, amely tíz folyamatban lévő felügyeleti projektből áll. Ezek közül néhány különösen fontos az adatvédelmi pajzs Bizottság általi időszakos felülvizsgálata szempontjából.
Az adatvédelmi pajzs ombudsmani mechanizmusát illetően az Egyesült Államok elnöke 2019. január 18-án bejelentette Keith Krach külügyminiszter-helyettesi kinevezését, aki az ombudsmani feladatkört is ellátja. 2019. június 20-án a Szenátus megerősítette a kinevezést. A Bizottság üdvözli Keith Krach adatvédelmi pajzsért felelős ombudsmanként való kinevezését, amely biztosítja a tisztség állandó betöltését.
Ami az ombudsmani mechanizmusnak címzett első panaszt illeti, amelyet a Horvát Adatvédelmi Hatóságon keresztül nyújtottak be közvetlenül a legutóbbi éves felülvizsgálat előtt, e panaszt végül elfogadhatatlannak találták, mivel olyan tényekhez kapcsolódott, amelyek az adatvédelmi pajzsra vonatkozó határozat elfogadása előtt következtek be. Mindazonáltal a panasz lehetőséget kínált a vonatkozó eljárások gyakorlati működésének kipróbálására. Mind az Európai Adatvédelmi Testület éves felülvizsgálatban részt vevő képviselői, mind pedig az ombudsman megerősítették, hogy az eljárás valamennyi lényeges intézkedése kielégítő módon megkezdődött és befejeződött. A Bizottság üdvözli az első kérelem sikeres feldolgozását, amely fontos jelzés arra nézve, hogy az ombudsmani mechanizmus képes megfelelően betölteni funkcióját.
Az Egyesült Államok hatóságai további magyarázattal szolgáltak arra vonatkozóan is, hogy az ombudsman hogyan működne együtt más független felügyeleti szervekkel, és hogyan orvosolná a jogsértéseket. Főként azt emelték ki, hogy a Hírszerző Közösség független főellenőrét rendszeresen tájékoztatnák az ombudsmanhoz benyújtott panaszokról, és ő saját értékelést végezne. Ezenkívül kifejtették, hogy ha az ombudsmanhoz benyújtott panasz a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 702. szakasza szerinti célkiválasztási eljárások megsértését tárná fel, akkor az ilyen jogsértésről beszámolnának a külföldi hírszerzést felügyelő bíróságnak. Ez a bíróság független felülvizsgálatot végezne, és szükség esetén utasítaná az illetékes hírszerző ügynökséget, hogy hozzon korrekciós intézkedést. Az ilyen korrekció az egyedi intézkedésektől a strukturális intézkedésekig, például a jogellenesen megszerzett adatok törlésétől az adatgyűjtési gyakorlat megváltoztatásáig terjedhet, beleértve a személyzet részére biztosítandó iránymutatást és képzést.
Végezetül megerősítést nyert, hogy ha az ombudsmanhoz benyújtott panasz vizsgálata az Egyesült Államok jogának megsértését (ideértve az elnöki rendeletek, elnöki irányelvek, valamint ügynökségi szabályok és eljárások, köztük a külföldi hírszerzést felügyelő bíróság által jóváhagyott célkiválasztási és adatminimalizációs eljárások megsértését) állapítaná meg, a jogellenesen gyűjtött adatokat törölni kellene valamennyi kormányzati adatbázisból, és az ezen adatokra való utalásokat el kellene távolítani a hírszerzési jelentésekből. Az uniós egyén tehát töröltetheti személyes adatait, ha azokat az Egyesült Államok Hírszerző Közössége jogellenesen gyűjtötte és kezelte.
A Bizottság üdvözli ezeket a kiegészítő magyarázatokat, amelyek megmutatják, hogy az egyes független felügyeleti szervek közötti együttműködés hogyan erősíti az ombudsmani mechanizmus hatékonyságát. Azt is fontos volt tisztázni, hogy az ombudsmani mechanizmus igénybevételével az uniós egyének ténylegesen gyakorolhatják a törléshez való jogukat, ami a személyes adatok védelméhez való jog alapvető eleme.
3.KÖVETKEZTETÉS
A harmadik éves felülvizsgálat keretében gyűjtött információk megerősítik a Bizottság megfelelőségi határozatában tett megállapításait, mind a keret kereskedelmi vonatkozásai, mind pedig a hatóságoknak az adatvédelmi pajzs keretében továbbított személyes adatokhoz való hozzáférésével kapcsolatos kérdések tekintetében. Ezzel kapcsolatban a Bizottság számos javulást állapított meg a keret működésében, valamint a legfontosabb felügyeleti szerveket érintő kinevezések terén.
Tekintettel azonban néhány olyan kérdésre, amely a napi tapasztalatok alapján merült fel vagy a keret gyakorlati végrehajtása kapcsán még nagyobb jelentőséget kapott, a Bizottság arra a következtetésre jut, hogy számos konkrét lépést kell tenni az adatvédelmi pajzs hatékony gyakorlati működésének biztosításához:
1.A Kereskedelmi Minisztériumnak le kell rövidítenie a vállalkozások számára az újratanúsítási eljárás befejezéséhez biztosított különféle időtartamokat. Egy összesen legfeljebb 30 napos időtartam észszerűnek tűnhet ahhoz, hogy elegendő idő álljon rendelkezésre a vállalkozások számára az újratanúsításhoz – ideértve az újratanúsítási folyamatban azonosított problémák orvoslását is –, miközben biztosítaná a folyamat hatékonyságát is. Amennyiben ezen időszak végén az újratanúsítás még nem fejeződik be, a Kereskedelmi Minisztériumnak haladéktalanul figyelmeztető levelet kell küldenie.
2.A helyszíni ellenőrzési eljárás keretében a Kereskedelmi Minisztériumnak értékelnie kell, hogy a vállalkozások betartják-e a harmadik fél részére történő adattovábbítással kapcsolatos elszámoltathatóság elvét, többek között azáltal, hogy az adatvédelmi pajzs nyújtotta lehetőséggel élve kéri az adatvédelmi pajzs alapján tanúsított vállalkozással a harmadik fél részére történő adattovábbítás céljából kötött szerződés adatvédelmi rendelkezéseinek összefoglalását vagy annak egy reprezentatív példányát.
3.A Kereskedelmi Minisztériumnak kiemelt feladatként eszközöket kell kidolgoznia azon vállalkozások adatvédelmi pajzsban való részvételre vonatkozó valótlan állításainak feltárása érdekében, amelyek soha nem folyamodtak tanúsításért, és ezeket az eszközöket rendszeresen és módszeresen alkalmaznia kell.
4.A Szövetségi Kereskedelmi Bizottságnak kiemelt feladatként meg kell találnia a módját, hogy megossza a folyamatban lévő vizsgálatokra vonatkozó érdemi információkat a Bizottsággal és azon uniós adatvédelmi hatóságokkal, amelyek az adatvédelmi pajzs keretében szintén rendelkeznek végrehajtási feladatokkal.
5.Az uniós adatvédelmi hatóságoknak, a Kereskedelmi Minisztériumnak és a Szövetségi Kereskedelmi Bizottságnak a humánerőforrás-adatok meghatározására és kezelésére vonatkozó közös iránymutatást kell kidolgozniuk az elkövetkező hónapokban.
A Bizottság továbbra is szorosan nyomon követi az adatvédelmi pajzs keretének egyes elemeivel kapcsolatos további fejleményeket, nevezetesen a következőket: i. az ombudsmani mechanizmus működése, különösen új panaszok esetében; ii. a Polgári Szabadságjogi Felügyelő Tanács által kezdeményezett és az adatvédelmi pajzs szempontjából különösen fontos, folyamatban lévő felügyeleti projektek eredménye (például a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 702. szakasza alapján, a Szövetségi Nyomozóiroda által szerzett adatok lekérdezése, a Tanács 28. sz. elnöki politikai irányelvre vonatkozó ajánlásainak végrehajtása stb.); iii. a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 501. szakaszának újraengedélyezése, és különösen az, hogy a meglévő biztosítékok érvényben maradjanak; és iv. az Egyesült Államok bírósági jogorvoslattal kapcsolatos ítélkezési gyakorlatának fejlődése a kormányzati felügyelet területén, különös tekintettel a bíróság előtti perképesség kérdésére.
Végezetül a Bizottság továbbra is szorosan nyomon követi az Egyesült Államokban a szövetségi adatvédelmi jogszabályról folyó vitát. A magánélet és az adatvédelem átfogó megközelítése fokozná az EU és az USA rendszerei közötti konvergenciát, és ez az adatvédelmi pajzsra vonatkozó keret kidolgozásának alapjait is erősítené.
A Bizottság (EU) 2016/1250 végrehajtási határozata (2016. július 12.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről, HL L 207., 2016.8.1., 1. o.
A Bizottság jelentése az Európai Parlamentnek és a Tanácsnak az EU–USA adatvédelmi pajzs működésének első éves felülvizsgálatáról (COM(2017)0611 final), lásd: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the first annual review of the functioning of the EU-U.S. Privacy Shield (Az EU–USA adatvédelmi pajzs működésének első éves felülvizsgálatáról az Európai Parlamentnek és a Tanácsnak tett jelentést kísérő bizottsági szolgálati munkadokumentum) (SWD(2017)344 final), lásd: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
A Bizottság jelentése az Európai Parlamentnek és a Tanácsnak az EU–USA adatvédelmi pajzs működésének második éves felülvizsgálatáról (COM(2018)860 final), lásd: https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .
Commission Staff Working Document Accompanying the Report from the Commission to the European Parliament and the Council on the second annual review of the functioning of the EU-U.S. Privacy Shield (Az EU–USA adatvédelmi pajzs működésének második éves felülvizsgálatáról az Európai Parlamentnek és a Tanácsnak tett jelentést kísérő bizottsági szolgálati munkadokumentum) (SWD(2018)497 final), lásd: https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
Presidential Policy Directive 28: Signals Intelligence Activities (28. sz. elnöki politikai irányelv : jelfelderítési tevékenységek) (2014. január 17.), amely a nem amerikai személyekre vonatkozó fontos korlátozásokat és biztosítékokat határoz meg a jelfelderítő tevékenységek területén.
Az uniós tagállamok nemzeti adatvédelmi hatóságainak képviselőit és az európai adatvédelmi biztost tömörítő független testület.
Lásd: T-738/16. sz., La Quadrature du Net kontra Bizottság ügy. Az adatvédelmi pajzzsal kapcsolatos kérdések merültek fel a C-311/18. sz., Data Protection Commissioner kontra Facebook Ireland Limited, Maximillian Schrems ügyben („Schrems II”) is, amelyben a Bíróság nagytanácsa előtti meghallgatásra 2019. július 9-én került sor.