EURÓPAI BIZOTTSÁG

Brüsszel, 2016.2.29.

COM(2016) 117 final

A BIZOTTSÁG KÖZLEMÉNYE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK

Transzatlanti adatáramlás: erős biztosítékok a bizalom helyreállításáért

1. Bevezetés: A személyes adatok cseréjének szerepe az EU–USA kapcsolatban

Az Európai Unió és az Amerikai Egyesült Államok közötti stabil transzatlanti partnerség az idők során semmit sem veszített jelentőségéből. Közös értékeket vallunk, közös politikai és gazdasági célokért küzdünk, és szorosan együttműködünk a biztonságunkat fenyegető közös veszélyek elleni küzdelemben. Kapcsolatunk időtálló és szilárd – ezt bizonyítja kereskedelmi kapcsolataink nagyságrendje és a globális ügyek terén folytatott szoros együttműködésünk is.

A személyes adatok továbbítása és cseréje nélkülözhetetlen összetevőként épül be az Európai Unió (EU) és az Amerikai Egyesült Államok (USA) között mind a kereskedelem, mind a bűnüldözés terén fennálló szoros kapcsolatba. Az ilyen adatcsere magas szintű adatvédelmet és megfelelő biztosítékokat tesz szükségessé.

2013 júniusában hírek kerültek napvilágra az USA-ban folytatott széles körű hírszerzési programokról, ami uniós és tagállami szinten egyaránt komoly aggodalmakat ébresztett azt illetően, hogy milyen hatást gyakorol az európaiak alapvető jogaira a személyes adatoknak az egyesült államokbeli közigazgatási szervek és magáncégek általi kiterjedt kezelése.

A Bizottság ennek nyomán 2013. november 27-én közleményt adott ki a bizalom helyreállításáról az EU–USA adatáramlások tekintetében 1 , amelyben cselekvési tervet vázolt fel az adattovábbítás iránti bizalomnak a digitális gazdaság érdekében történő helyreállítására, az európai személyek jogainak védelmére, valamint a tágabb értelemben vett transzatlanti kapcsolatok előmozdítására vonatkozóan. A közlemény az alábbi kulcsfontosságú intézkedéseket határozta meg a kitűzött célok elérése érdekében:

i.    a Bizottság által 2012-ben előterjesztett adatvédelmi reformcsomag 2 elfogadása;

ii.    a védett adatkikötő biztonságának fokozása a védett adatkikötőről szóló közleményben 3 megfogalmazott 13 ajánlás alapján; valamint

iii. a bűnüldözési együttműködésre vonatkozó adatvédelmi biztosítékok megerősítése az EU–USA adatvédelmi keretmegállapodásról szóló tárgyalások lezárása által. A keretmegállapodásnak egyúttal azt is célja, hogy írásban rögzítse az USA kötelezettségvállalását a végrehajtható, személyhez fűződő jogok – köztük a bírósági jogorvoslati lehetőségek – biztosítására vonatkozóan, mindenekelőtt a bírósági jogorvoslati törvény hatálybaléptetése révén, amely a magánélet védelméről szóló, 1974. évi egyesült államokbeli törvényben foglalt bizonyos jogokat – amelyek korábban kizárólag az USA állampolgáraira és állandó lakosaira vonatkoztak – az uniós polgárokra is kiterjeszti.

E célkitűzéseket a Juncker-Bizottság politikai iránymutatása 4 is megerősíti: „Az adatvédelem a digitális korban különösen fontos alapvető jog. Az Európai Unió közös adatvédelmi szabályaival kapcsolatos jogalkotási munka gyors befejezése mellett e jogot külkapcsolatainkban is érvényesítenünk kell. A tömeges megfigyelések közelmúltban napvilágra került esetei miatt közeli partnereinknek, például az Egyesült Államoknak meg kell győznie minket arról, hogy a jelenlegi mentességi megállapodások valóban biztonságosak, ha fenn kívánják tartani ezeket. Az Egyesült Államoknak azt is szavatolniuk kell, hogy az uniós polgárok az egyesült államokbeli bíróságokon is érvényesíthessék adatvédelmi jogaikat, függetlenül attól, hogy az Egyesült Államokban tartózkodnak-e, vagy sem. Ez elengedhetetlen a transzatlanti kapcsolatokba vetett bizalom helyreállításához.”

A Bizottság azóta sokat tett e célok eléréséért. Felgyorsította a tárgyalásokat a keretmegállapodásról, amelyet a felek 2015. szeptember 8-án parafáltak. Felélénkítette az adatvédelmi reformcsomagról zajló intézményközi párbeszédet, aminek eredményeként a Tanács és az Európai Parlament 2015. december 15-én politikai megállapodásra jutott. A kereskedelmi vonatkozású transzatlanti adattovábbítást illetően a Bizottság 2014 januárjában tárgyalni kezdett az USA-val a védett adatkikötő megerősítéséről. A Bíróság a Schrems-ügyben hozott, 2015. október 6-i ítéletében 5 érvénytelenné nyilvánította a védett adatkikötőre vonatkozó határozatot. Ez szintén a keret megújításának szükségességét támasztja alá, egyúttal további iránymutatást nyújt arról, hogy milyen feltételeknek kell eleget tennie az új keretnek. Az ítélet kihirdetése után, 2015. november 6-án a Bizottság iránymutatást bocsátott ki a vállalkozások számára azokról az alternatív eszközökről, amelyek továbbra is lehetővé teszik a személyes adatok Egyesült Államokba való továbbítását 6 . 2016. február 2-án politikai megállapodás született a transzatlanti adatáramlás új keretéről, a korábbi megállapodás helyébe lépő EU–USA adatvédelmi pajzsról 7 .

Ezek az eredmények előmozdítják majd a transzatlanti kapcsolatokat, és a várakozások szerint helyreállítják az európaiak digitális gazdaság iránti bizalmát, ugyanakkor alapvető jogaikat is megszilárdítják. Ezen túlmenően erősebb adatvédelmi jogi keretet biztosítanak az EU és tagállamai számára, ami hozzájárul a belső piac – és kiváltképp a digitális egységes piac – szorosabb integrációjához, és lehetővé teszi a magánélet és a személyes adatok védelmére vonatkozó nemzetközi normák előmozdítására és továbbfejlesztésére irányuló uniós erőfeszítések fokozását.

Ezen törekvéssel párhuzamosan jelentős kezdeményezések indultak, amelyek fontos változásokat eredményeztek az USA jogrendjében. 2014. január 17-én Obama elnök bejelentette az Egyesült Államok jelfelderítési tevékenységére vonatkozó reformot 8 , amelyet ezt követően a 28. elnöki rendeletben (PPD-28) 9 rögzítettek. Fontos megemlíteni, hogy a reformok előirányozták a magánélet védelmére vonatkozó egyes szabályok külföldiekre való kiterjesztését, valamint az adatgyűjtésben érvényesített szemlélet átalakítását, vagyis a tömeges adatgyűjtéstől a célirányos adatgyűjtést és hozzáférést előtérbe helyező megközelítés felé történő elmozdulást. A Bizottság üdvözölte a szemléletváltást, amelyet a helyes irányba tett fontos lépésnek tekint 10 . A reformfolyamat szintén meghatározó volt az Egyesült Államokkal az EU–USA adatvédelmi pajzsról folytatott tárgyalások tekintetében. Azóta további változások léptek életbe. Például 2015 júniusában az Egyesült Államok elfogadta az USA Freedom Act nevű törvényt 11 , amely módosított bizonyos amerikai megfigyelési programokat, megerősítette azok igazságügyi felügyeletét, és javította alkalmazásuk nyilvános átláthatóságát. Végül 2016. február 10-én az USA Kongresszusa jóváhagyta a bírósági jogorvoslati törvényt, amelyet Obama elnök 2016. február 24-én aláírásával törvényerőre emelt 12 .

Mindezen előzmények tükrében a jelenlegi közlemény számba veszi, mennyiben sikerült megvalósítanunk a 2013-as közleményben megfogalmazott célokat. Emellett azokat a területeket is kiemeli, amelyeken további munkára van szükség a transzatlanti adatáramlás iránti bizalom megszilárdítása és teljes körű helyreállítása érdekében.

2. Az EU adatvédelmi reformja

2.1. Háttér

A digitálisan egyre inkább összekapcsolt világ lehetőségeinek kiaknázása és kihívásainak kezelése érdekében az Európai Bizottság 2012 januárjában adatvédelmi reformcsomagot terjesztett elő (a továbbiakban: a reform). A reform a digitális gazdaság iránti bizalom növelését célozza az uniós belső szabályozás megerősítése, valamint a személyek számára személyes adataik fokozott ellenőrzésének lehetővé tétele révén, attól függetlenül, hogy a személyes adatok feldolgozására egy tagállamon belül, az EU-ban vagy egy harmadik országban, például az Egyesült Államokban kerül-e sor.

A reformcsomag két jogi eszközből áll: az adatvédelem közös uniós keretét megteremtő általános adatvédelmi rendeletből 13 (a továbbiakban: a rendelet), valamint a rendőrségi és igazságügyi együttműködés területére vonatkozó adatvédelmi irányelvből 14 (a továbbiakban: a rendőrségi irányelv). A tagállamokban közvetlenül alkalmazandó rendeletre tett javaslat által a Bizottság egy mindenkire érvényes, közös adatvédelmi normát kívánt létrehozni, így kiküszöbölve az egyes tagállamok által biztosított védelem szintje közötti eltéréseket. A rendőrségi irányelv hasonló szellemben szintén első ízben fektet le uniós szintű közös szabályrendszert, ugyanakkor figyelembe veszi a tagállamok hagyományos igazságügyi és bűnüldözési gyakorlatainak sajátosságait.

2015. december 15-én az Európai Parlament és a Tanács politikai megállapodásra jutott a reformcsomagról, és ezzel megvalósult a 2013-as közleményben foglalt kulcsintézkedések egyike.

2.2. Mi változott?

A rendelet a magánélethez való jogok garantálása céljából frissíti, korszerűsíti és bizonyos esetekben megerősíti az 1995. évi adatvédelmi irányelvben 15 rögzített adatvédelmi elveket. Elsősorban a személyhez fűződő jogok megerősítésére, az uniós belső piac mélyítésére, a szabályok szigorúbb érvényesítésére, a személyes adatok belső továbbításának egyszerűsítésére, valamint a globális adatvédelmi normák megteremtésére összpontosul. A szabályok annak biztosítását célozzák, hogy az unióbeli egyének személyes adatai – továbbításuk, feldolgozásuk vagy tárolásuk helyétől függetlenül – az EU-n kívül is megfelelő védelemben részesüljenek, hiszen erre a digitális világban sok esetben szükség lehet. A reform számos eleme kiemelt figyelmet érdemel.

Az első a területi hatály: a rendelet egyértelművé teszi, hogy hatálya a harmadik országokban letelepedett olyan vállalkozásokra is kiterjed, amelyek termékeket és szolgáltatásokat kínálnak, vagy megfigyelik a fogyasztói magatartást az EU-n belül. Az EU-n kívüli székhelyű vállalkozásoknak ugyanazokat a szabályokat kell alkalmazniuk, mint az uniós székhelyűeknek. Ez biztosítja az unióbeli egyének jogainak átfogó védelmét. Emellett egyenlő versenyfeltételeket teremt az uniós és a külföldi vállalkozások számára, ezáltal kiküszöbölve az egyensúlytalan versenyhelyzet kialakulását e vállalkozások EU-n belüli vagy az uniós fogyasztókra irányuló tevékenysége tekintetében.

A második elem az adatvédelmi szabályok szigorúbb érvényesítése: a rendelet hatékony szankciórendszert vezet be a nemzeti adatvédelmi hatóságok jogköreinek harmonizációja révén. Lehetővé teszi e hatóságok számára, hogy 20 millió EUR-ig vagy az adott vállalkozás éves globális bevételének 4 %-áig terjedő összegű bírságokat szabjanak ki. Az adatvédelmi szabályok be nem tartása esetén visszatartó erejű szankciók bevezetésére vonatkozó hatáskör, valamint a feljebb említett területi hatály együttesen biztosítja, hogy az EU-ban üzleti tevékenységet folytató vállalkozások ösztönzést kapjanak az uniós jognak való megfelelésre. Az új szabályok ezen túlmenően világosabb és szigorúbb felelősségi rendszert vezetnek be az adatkezelők és adatfeldolgozók tekintetében.

A harmadik elem a bűnüldözési együttműködés harmonizált szabályrendszere: a rendőrségi irányelv értelmében az általános adatvédelmi elvek és szabályok azokban az esetekben is alkalmazandók, amikor a tagállamok rendőrségi vagy igazságügyi hatóságai bűnüldözési céllal dolgozzák fel a személyes adatokat. Ez magában foglalja a személyes adatoknak a bűnüldözési együttműködés keretében történő nemzetközi továbbítására vonatkozó harmonizált szabályokat is 16 . Az új irányelv fokozza az egyének védelmét, ugyanakkor biztosítja, hogy az áldozatok, a tanúk és a bűncselekmények gyanúsítottjainak adatai megfelelő védelemben részesüljenek a bűnügyi nyomozások vagy bűnüldözési tevékenységek összefüggésében. A felügyelet független nemzeti adatvédelmi hatóságok révén fog megvalósulni, és az egyének számára biztosítani kell a hatékony jogorvoslat lehetőségét. Ezzel egyidejűleg az összehangoltabb jogszabályok lehetővé teszik a rendőrség és az igazságügyi hatóságok hatékonyabb együttműködését – a tagállamok között és a nemzetközi partnerekkel egyaránt – a bűnözés és a terrorizmus elleni eredményesebb küzdelem érdekében. Ez az európai biztonsági stratégia 17 meghatározó része.

A reform negyedik kiemelendő eleme a nemzetközi adattovábbítás biztonságát fokozó szigorú szabályok bevezetése: mind a rendelet, mind a rendőrségi irányelv átlátható, részletes és átfogó szabályokat irányoz elő a személyes adatok harmadik országokba történő továbbítására vonatkozóan. A szabályok a nemzetközi adattovábbítás valamennyi formáját felölelik, legyen szó kereskedelmi vagy bűnüldözési célú, magánszereplők vagy közigazgatási szervek közötti adattovábbításról. A nemzetközi adattovábbításra vonatkozó szabályok felépítése a jelenlegi adatvédelmi irányelvhez képest alapvetően nem változik (tehát továbbra is megmaradnak a megfelelőségi határozatok, az általános szerződési feltételek, a kötelező erejű vállalati szabályok, valamint a személyes adatok EU-n kívülre történő továbbítására vonatkozó általános tilalomtól való bizonyos eltérések), viszont a reform számos tekintetben tisztázza és egyszerűsíti ezeket a szabályokat, és ezáltal csökkenti a bürokráciát. A reform emellett új nemzetközi adattovábbítási eszközöket is bevezet.

A rendelet ezen túlmenően megerősíti az uniós adatvédelmi hatóságok hatásköreit, többek között a nemzetközi adattovábbítás terén. A hatályos adatvédelmi irányelvhez képest a rendelet részletesebben kifejti és lényegesen kiterjeszti az uniós adatvédelmi hatóságok függetlenségére, feladataira és hatásköreire vonatkozó rendelkezéseket. Ezek között konkrétan szerepel a harmadik országbeli felek vagy nemzetközi szervezetek számára történő adattovábbítás felfüggesztésére vonatkozó hatáskör. A rendőrségi irányelv hasonló rendelkezéseket tartalmaz a nemzetközi adattovábbítás és az adatvédelmi hatóságok bűnüldözéssel kapcsolatos hatáskörei tekintetében.

A Bizottság megfelelőségi határozataira vonatkozó szabályokat illetően a rendelet előirányozza azon elemek pontos és részletes jegyzékének összeállítását, amelyeket a Bizottságnak figyelembe kell vennie a harmadik országok jogrendjében biztosított adatvédelem szintjének felmérésekor. Ez a folyamat a Bizottság által elvégzendő átfogó értékelésből áll, amelynek – a Schrems-ügyben hozott ítélettel összhangban – ki kell terjednie a harmadik országbeli közigazgatási szervek személyes adatokhoz való hozzáférésére vonatkozó szabályokra. Az értékelési folyamat másik lényeges összetevője annak felmérése, hogy az egyének eredményes és végrehajtható adatvédelmi jogokkal rendelkeznek-e, és hatékony közigazgatási vagy bírósági jogorvoslathoz juthatnak-e.

A rendelet továbbá kifejezetten előírja a Bizottság számára valamennyi megfelelőségi határozatának rendszeres, legalább négyévente történő felülvizsgálatát, hogy tájékozódhasson minden jelentős, harmadik országbeli fejleményről, amely közvetlen vagy káros hatást gyakorolhat az adott ország jogrendjében biztosított adatvédelem szintjére. A megfelelőség ilyen módon történő folyamatos nyomon követése dinamikusabb folyamat lesz, mivel magában foglalja az érintett harmadik országok hatóságaival folytatott párbeszédet is.

Az olyan harmadik országokba történő adattovábbítást illetően, amelyekre nem vonatkozik megfelelőségi határozat, a rendelet meghatározza az alternatív adattovábbítási eszközök – mint például az általános szerződési feltételek és a kötelező erejű vállalati szabályok – használatára vonatkozó feltételeket. Egyéb adattovábbítási eszközöket is megjelöl, köztük a jóváhagyott magatartási kódexeket és a jóváhagyott akkreditációs mechanizmusokat. Végül egyértelműen meghatározza, hogy mely helyzetekben alkalmazható eltérés.

2.3. További teendők

Az adatvédelmi reform elengedhetetlen lépés afelé, hogy megerősítsük a polgárok alapvető jogait a digitális korban, valamint a vállalkozásokra vonatkozó szabályok egyszerűsítése révén megkönnyítsük az üzleti tevékenységet a digitális egységes piacon. Az uniós és harmadik országbeli piaci szereplők iránti fogyasztói bizalom élénkíteni fogja és ezáltal előmozdítja majd az európai és a globális digitális gazdaságot. Kedvező hatással lesz az első számú kereskedelmi partnerünkkel, az Egyesült Államokkal fennálló kereskedelmi kapcsolatainkra. Egyértelmű és stabil működési környezetet teremt az uniós és külföldi vállalkozások számára egyaránt. Az egyesült államokbeli vállalkozásoknak előnyös lesz a jogbiztonság, amely az egységes adatvédelmi szabályrendszert alkalmazó, integrált gazdasági övezettel folytatott üzleti tevékenységből adódik.

A bűnüldözési ágazatra vonatkozó közös szabályok biztosítani fogják az egyének adatainak jobb védelmét és a hatékony bírósági jogorvoslathoz való hozzáférést. A tagállami rendőrségi és igazságügyi hatóságok közötti határokon átnyúló együttműködés elősegítése növelni fogja a bűnüldözés hatékonyságát, és így megteremti az EU-n belüli hatékonyabb bűnmegelőzés feltételeit. Ezzel párhuzamosan e hatóságok számára zökkenőmentesebbé válik a harmadik országbeli partnereikkel való együttműködés.

Az Európai Parlament és a Tanács várhatóan 2016 első felében hivatalosan elfogadja a reformcsomagot. A rendelet alkalmazása két évvel az elfogadása után kezdődik, míg a rendőrségi irányelv a végrehajtásra kétéves időszakot irányoz elő. A kétéves átmeneti időszakot az EU-n belüli és kívüli valamennyi érdekelt félnek ki kell használnia az új szabályok alkalmazására való felkészülésre. A Bizottság is kiveszi ebből a részét. Az átmeneti időszakban a Bizottság szorosan együttműködik majd a tagállamokkal, az adatvédelmi hatóságokkal és más érdekelt felekkel a szabályok egységes alkalmazásának biztosítása és a megfelelést ösztönző környezet előmozdítása érdekében.

3. Az EU–USA adatvédelmi pajzs: a személyes adatok áramlásának új transzatlanti kerete

3.1. Háttér

A személyes adatok EU és USA közötti, kereskedelmi célú áramlásának megkönnyítése, valamint ezen adatok védelmének biztosítása céljából a Bizottság még 2000-ben kimondta, hogy a védett adatkikötőre vonatkozó keret megfelelő védelmi szintet nyújt 18 . Ennek eredményeként – annak ellenére, hogy az USA-ban nem létezett általános adatvédelmi jogszabály – a személyes adatokat szabadon továbbíthatták az uniós tagállamokból azon amerikai vállalkozások számára, amelyek kötelezettséget vállaltak a keret alapját képező adatvédelmi elvek érvényesítésére.

A védett adatkikötőről szóló 2013-as közleményben 19 a Bizottság számos olyan gyenge pontra mutatott rá a rendszer működését illetően, amelyek az idő előrehaladtával kerültek felszínre – ezek közé tartozott, hogy a vállalatok nem nyújtanak átlátható tájékoztatást a rendszernek való megfelelésüket illetően, és az amerikai hatóságok általi végrehajtás kevéssé hatékony a vállalkozások adatvédelmi elveknek való megfelelése terén. Ráadásul a szintén 2013-ban, a közleményt megelőzően napvilágra került tömeges megfigyelési ügyek kérdéseket vetettek fel bizonyos egyesült államokbeli hírszerzési programok nagyságrendje és hatóköre kapcsán, valamint arra vonatkozóan, hogy az USA közigazgatási szervei milyen mértékben férnek hozzá az európai polgárok védett adatkikötő keretében továbbított személyes adataihoz. A Bizottság ezeket és más tényezőket 20 figyelembe véve arra a következtetésre jutott, hogy felül kell vizsgálni a védett adatkikötő rendszerét. Ezen előzmények után a Bizottság 13 ajánlást 21 fogalmazott meg a keretbe ágyazott adatvédelmi garanciák megerősítése és korszerűsítése érdekében. Az ajánlások az alábbiakra irányulnak: i. az érdemi adatvédelmi elvek megerősítése, valamint az átláthatóság fokozása az egyesült államokbeli öntanúsított vállalkozások ezen elveket követő adatvédelmi politikájára vonatkozóan; ii. az egyesült államokbeli hatóságok által végzett jobb és hatékonyabb felügyelet, nyomon követés és végrehajtás a vállalkozások adatvédelmi elveknek való megfelelése terén; iii. megfizethető vitarendezési mechanizmusok rendelkezésre állása az egyéni panaszok számára; valamint iv. annak biztosítása, hogy a védett adatkikötőre vonatkozó 2000. évi határozatban rögzített, nemzetbiztonsági és bűnüldözési kivétel használata a feltétlenül szükséges és arányos mértékre korlátozódjon.

A Bizottság e 13 ajánlás alapján 2014 januárjában tárgyalásokat kezdett az egyesült államokbeli hatóságokkal. A Bíróság 2015. október 6-án érvénytelenné nyilvánította a védett adatkikötőről szóló határozatot, ami alátámasztotta a transzatlanti kereskedelmi adatáramlás új, erősebb keretének szükségességét. A Bíróság ítélete a Bizottság 2013. évi ajánlásaira támaszkodik, ugyanakkor hangsúlyozza a korlátozások, biztosítékok és igazságügyi kontrollmechanizmusok meglétének szükségességét, mivel ezek biztosítják az unióbeli egyének személyes adatainak folyamatos védelmét, többek között abban az esetben is, amikor a közigazgatási szervek nemzetbiztonsági, közérdekű vagy bűnüldözési céllal férnek hozzá az adatokhoz és kezelik azokat.

2016. február 2-án, egy kétéves intenzív tárgyalási folyamatot követően az EU és az USA politikai megállapodásra jutott az új keretről, az EU–USA adatvédelmi pajzsról. Ez az új szabályrendszer lényeges új biztosítékokat tartalmaz, és garantálja az unióbeli egyének alapvető jogainak magas szintű védelmét. Megfelelő jogbiztonságot teremt az Atlanti-óceán két partján tevékenykedő azon vállalkozások számára, amelyek közös üzleti tevékenységet kívánnak folytatni, továbbá újult lendületet ad a transzatlanti partnerségnek.

Az USA-val folytatott tárgyalások lezárása után a Bizottság kikéri az uniós adatvédelmi hatóságokat tömörítő, 29. cikk alapján létrehozott munkacsoport véleményét az új keret által biztosított védelem szintjéről. Ezt követően – még a megfelelőségi határozat elfogadása előtt – le kell folytatni a bizottsági eljárást. A Bizottság ugyancsak konzultál majd az európai adatvédelmi biztossal.

3.2. Mi változott?

Az EU–USA adatvédelmi pajzs kimerítő és hatékony válaszintézkedést jelent mind a Bizottság 13 ajánlása, mind a Schrems-ítélet vonatkozásában. Sok szempontból lényegesen továbbfejleszti a korábbi keretet az egyesült államokbeli vállalkozások által teljesítendő kötelezettségeket illetően. Emellett fontos új kötelezettségeket tartalmaz, és részletesen kifejti a vonatkozó egyesült államokbeli jogszabályokat és hatósági gyakorlatokat. Az adatvédelmi pajzs – elődjével ellentétben – nem csupán a kereskedelmi szektorra vonatkozó kötelezettségvállalásokat foglalja magában, hanem az EU és az USA kapcsolatának történetében először a közigazgatási szervek személyes adatokhoz való, többek között nemzetbiztonsági célú hozzáférésére is kiterjed. Ez a Bíróság ítélkezési gyakorlatának fényében meghatározó és nélkülözhetetlen elem, amely hozzájárul majd a transzatlanti kapcsolatokba vetett bizalom helyreállításához a megfigyelési ügyek nyilvánosságra kerülése után.

Az új rendszer leglényegesebb jellemzői négy fő kategóriába sorolhatók:

Az első a vállalkozások szigorú kötelezettségei és a szigorú végrehajtás: az új keret átláthatóbb lesz és hatékony felügyeleti mechanizmusokat fog tartalmazni annak biztosítása érdekében, hogy a vállalkozások betartsák azokat a szabályokat, amelyek érvényesítésére jogi kötelezettséget vállaltak. Azoknak az egyesült államokbeli vállalkozásoknak, amelyek az adatvédelmi pajzs keretében európai személyes adatokhoz kívánnak hozzáférni, szigorú kötelezettségeket kell vállalniuk a személyes adatok kezelésére és a személyhez fűződő jogok garantálására nézve. Ez magában foglalja a szigorúbb feltételeket és felelősségvállalási rendelkezéseket az adatvédelmi pajzsot alkalmazó azon vállalkozásokra vonatkozóan, amelyek – például további feldolgozás céljából – uniós adatokat továbbítanak a keretben részt nem vevő, akár az USA területén, akár más harmadik országban lévő harmadik felek számára („harmadik fél részére történő adattovábbítás”). A felügyeletet illetően az USA Kereskedelmi Minisztériuma kötelezettséget vállalt annak rendszeres és szigorú nyomon követésére, hogy a vállalkozások mennyire tesznek eleget kötelezettségeiknek, továbbá arra is, hogy kiszűrje a potyautasokat, vagyis azokat a vállalkozásokat, amelyek valótlanul állítják, hogy részt vesznek a rendszerben. A vállalkozások kötelezettségvállalásai kötelező jogi erejűek és az USA joga szerint a Szövetségi Kereskedelmi Bizottság által végrehajthatók. A mulasztáson ért vállalkozásoknak szigorú szankciókkal kell számolniuk.

A második kategória az USA kormányzatának hozzáférésére vonatkozó egyértelmű korlátok és biztosítékok: az USA kormánya – az Igazságügyi Minisztériumon és az amerikai hírszerzés egészét felügyelő Nemzeti Hírszerzés Igazgatójának Hivatalán keresztül – most első ízben adott az EU-nak írásbeli nyilatkozatot és biztosítékokat arra vonatkozóan, hogy a közigazgatási szervek bűnüldözési, nemzetbiztonsági és egyéb közérdekű célú hozzáférése terén világos korlátokat, biztosítékokat és felügyeleti mechanizmusokat fognak alkalmazni. Az USA emellett új jogorvoslati mechanizmust hoz létre az uniós érintetteknek a nemzetbiztonsággal kapcsolatos ügyeket illetően, mégpedig a nemzeti biztonsági hatóságoktól független ombudsman kinevezése révén. Az ombudsman nyomon követi majd az uniós egyének nemzetbiztonsági célú adathozzáféréssel kapcsolatos panaszait és kérdéseit, továbbá visszajelzést ad az egyéneknek az adott jogszabályok betartásáról, illetve a megfelelés esetleges hiányának orvoslásáról. Ez lényeges előrelépés, amely nem csupán az adatvédelmi pajzs keretében megvalósuló adattovábbításra terjed ki, hanem a kereskedelmi céllal az USA-ba továbbított valamennyi személyes adatra is, függetlenül az adattovábbítás jogalapjától.

A harmadik az uniós egyének magánélethez való jogainak hatékony védelme számos jogorvoslati lehetőség révén: ha egy európai úgy gondolja, hogy visszaéltek adataival, az új rendszer keretében több megfizethető egyéni jogorvoslati lehetőséget is igénybe vehet, köztük az alternatív vitarendezési testületek díjmentes szolgálatait. A vállalkozások kötelezettséget vállalnak a panaszok megszabott határidőn belüli kezelésére. Ezen túlmenően az európai humánerőforrás-adatokat kezelő összes vállalkozásnak kötelezettséget kell vállalnia az illetékes uniós adatvédelmi hatóság határozatainak betartására, míg más vállalkozások önkéntes alapon tehetnek ilyen kötelezettségvállalást. Az egyének panaszaikkal „hazai” adatvédelmi hatóságukhoz is fordulhatnak, amely egy standard eljárás keretében a Kereskedelmi Minisztériumhoz vagy a Szövetségi Kereskedelmi Bizottsághoz utalhatja az ügyeket az egyes panaszok ésszerű határidőn belüli kivizsgálásának és rendezésének elősegítése céljából. Amennyiben az esetet ezen fórumok egyikén sem sikerül megoldani, az egyének végső lehetőségként az adatvédelmi pajzs testületéhez fordulhatnak, amely a vitarendezési mechanizmus keretében kötelező erejű és végrehajtható határozatokat hozhat az adatvédelmi pajzsban részt vevő egyesült államokbeli vállalkozásokkal szemben. Az uniós adatvédelmi hatóságok továbbá segítséget nyújthatnak az egyéneknek panaszuk előkészítésében. Amint az a fentiekben már említésre került, a nemzeti hírszerzési hatóságok esetleges hozzáférésével kapcsolatos panaszok kezelésére új ombudsmani tisztséget hoznak létre, ezáltal egy további jogorvoslati lehetőséget biztosítva.

A negyedik és egyben utolsó kategória az éves közös felülvizsgálati mechanizmus: ez lehetővé teszi a Bizottság számára az adatvédelmi pajzs valamennyi vonatkozásának – köztük a nemzetbiztonsági célú hozzáféréssel kapcsolatos korlátozásoknak és biztosítékoknak – a rendszeres nyomon követését azok működését illetően. A felülvizsgálatot a Bizottság és az USA Kereskedelmi Minisztériuma fogja végezni az uniós adatvédelmi hatóságok, valamint az egyesült államokbeli nemzeti biztonsági hatóságok és az ombudsman bevonásával. Ily módon az USA elszámoltatható lesz kötelezettségvállalásait illetően. A Bizottság azonban még ennél is messzebb megy: más rendelkezésre álló információforrásokat is fel fog használni, így például a vállalkozások által a kormányzati hozzáférési kérelmekről önkéntes alapon készített átláthatósági jelentéseket 22 . Az éves felülvizsgálat túlmutat az új rendeleten, amely csak négyévenkénti felülvizsgálatot ír elő, tükrözve mind az EU, mind az USA elkötelezettségét a teljes megfelelés szigorú biztosítása iránt.

A felülvizsgálat nem pusztán egy minden további következmény nélküli formaság lesz. Abban az esetben, ha az egyesült államokbeli vállalkozások vagy közigazgatási szervek nem tesznek eleget kötelezettségvállalásaiknak, a Bizottság életbe fogja léptetni az adatvédelmi pajzs felfüggesztésére vonatkozó eljárást. Amint azt a Bíróság a Schrems-ítéletben kiemelte, nem szabad, hogy a megfelelőségi határozat csupán írott malaszt maradjon – az egyesült államokbeli vállalkozásoknak és hatóságoknak életre kell kelteniük a keretet, és kötelezettségvállalásaiknak eleget téve folyamatosan fenn kell tartaniuk azt. Amennyiben ezt elmulasztják, indokolatlanná válnak a megfelelőségi határozatból eredő konkrét adattovábbítási előnyök, így azokat vissza kell vonni.

3.3. További teendők

A Bizottság új megfelelőségi határozata az USA által az adatvédelmi pajzs keretében vállalt kötelezettségeken fog alapulni, és azokat fogja tükrözni. A vállalkozásokat arra ösztönzik, hogy már most lássanak hozzá a szükséges előkészületekhez, hogy mihamarabb csatlakozni tudjanak a bizottsági határozat elfogadását követően hatályba lépő új kerethez. Az USA kormánya a maga részéről kihirdeti nyilatkozatait az Egyesült Államok Szövetségi Közlönyében, ezáltal nyilvánosan vállalva kötelezettségeinek betartását.

Az EU–USA adatvédelmi pajzs sok fél szerepvállalását követeli meg. Ezek közé tartoznak:

a részt vevő egyesült államokbeli vállalkozások, amelyeknek eleget kell tenniük a keret szerinti kötelezettségeiknek annak tudatában, hogy szigorú végrehajtásra és nemteljesítés esetén szankciókra kell számítaniuk. A fogyasztói bizalom megszilárdítása érdekében a vállalkozásokat arra ösztönzik, hogy az adatvédelmi pajzs keretében ellenük benyújtott panaszok megoldását bízzák az uniós adatvédelmi hatóságokra, hiszen az európai egyének nagyobb valószínűséggel fognak e testületekhez fordulni. Ehhez hasonlóan, a vállalkozások minél inkább készen állnak arra, hogy az egyesült államokbeli jogban biztosított lehetőséget kihasználva nyilvánosságra hozzák a fogadott uniós adatokhoz való nemzetbiztonsági vagy bűnüldözési célú hozzáférési kérelmekről készített átláthatósági jelentéseket, annál inkább erősödni fog a bizalom az iránt, hogy az ilyen hozzáférés a szükséges és arányos mértékűre korlátozódik 23 ;

a keret felügyeletével és végrehajtásával megbízott egyesült államokbeli hatóságok, amelyek tevékenységük során tiszteletben tartják a bűnüldözési és nemzetbiztonsági célú adathozzáférésre vonatkozó korlátozásokat és biztosítékokat, továbbá az uniós egyének személyes adataival való esetleges visszaélésre vonatkozó panaszok időben és érdemben történő megválaszolásával megbízott hatóságok;

az uniós adatvédelmi hatóságok, amelyek fontos szerepet játszanak annak biztosításában, hogy az egyének ténylegesen élhessenek az adatvédelmi pajzs által biztosított jogaikkal – ez magában foglalja a panaszok továbbítását az USA illetékes hatóságaihoz, az e hatóságokkal való együttműködést, az ombudsmani mechanizmus aktiválását, a panaszosoknak történő segítségnyújtást az ügyüknek az adatvédelmi pajzs testületéhez utalása terén és a humánerőforrás-adatok továbbítására vonatkozó felügyeleti tevékenységet; valamint

a Bizottság, amelynek feladata a megfelelőségi határozat kidolgozása és annak rendszeres felülvizsgálata: e rendszeres felülvizsgálat lényeges elmozdulást jelent a korábbi merev helyzethez képest, mivel az adatvédelmi pajzs keretében hozott megfelelőségi határozatot egy alaposan ellenőrzött, élő rendszerré teszi.

Az éves közös felülvizsgálat és az erről összeállított bizottsági jelentés – csakúgy mint meg nem felelés esetén a rendszer felfüggesztésének lehetősége – központi szerephez jut annak biztosításában, hogy az adatvédelmi pajzs kiállja az idő próbáját. A transzatlanti kapcsolatok terén kölcsönösen arra kell törekednünk, hogy közösen kialakítsuk az adatvédelemre vonatkozó szabálykövető magatartás és a személyhez fűződő jogok védelmének kultúráját, amely helyreállítja és táplálja a bizalmat.

4. A keretmegállapodás: az adatvédelmi biztosítékok megerősítése a bűnüldözési együttműködés keretében

4.1. Háttér

Transzatlanti kapcsolataink fontos dimenziója az EU, a tagállamok és az USA arra való képessége, hogy együttműködve és összehangoltan hatékony válaszintézkedéseket hozzanak a közös biztonsági kockázatok és kihívások kezelésére. Az ilyen kollektív fellépés hátterében álló egyik jelentős tényező, hogy meglegyen a lehetőség a személyes adatok cseréjére a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében. E célkitűzés szellemében az idők során számos kétoldalú megállapodás született a tagállamok és az USA, illetve az EU és az USA között 24 . Ugyanakkor legalább ilyen fontos, hogy ezek a bűnüldözési megállapodások hatékony adatvédelmi biztosítékokat tartalmazzanak. Az egyesült államokbeli partnereinkkel való sikeres együttműködés kettős célt szolgál: hogy szembeszálljunk a bűnözés súlyos formáival és a terrorizmussal, és ezzel egyidejűleg az európai polgárok alapvető jogait és az uniós adatvédelmi szabályokat tiszteletben tartva fokozzuk az európaiak adatainak védelmét a fenti célt szolgáló adattovábbítás tekintetében. Ez a törekvés vezetett 2011 márciusában a bűnüldözés terén kialakítandó nemzetközi adatvédelmi megállapodásról, vagyis az EU–USA adatvédelmi keretmegállapodásról 25 szóló tárgyalások megkezdéséhez.

Az EU és az USA közötti tárgyalások 2015 nyarán lezárultak. A felek 2015. szeptember 8-án Luxemburgban parafálták a keretmegállapodást 26 , amely most mindkét fél részéről megerősítésre vár. A keretmegállapodás aláírásának azonban feltétele volt, hogy az USA Kongresszusa jóváhagyja a bírósági jogorvoslati törvényt, amely első ízben biztosít az uniós polgárok számára az egyesült államokbeli polgárokkal egyenlő bánásmódot az USA magánélet védelméről szóló, 1974. évi törvénye tekintetében 27 . A törvénytervezet a Kongresszus 2016. február 10-i jóváhagyását követően 2016. február 24-én törvényerőre emelkedett.

4.2. Mi változott?

A keretmegállapodás első ízben rögzíti azon adatvédelmi biztosítékok egységes és átfogó rendszerét, amelyek a bűnüldözés terén az illetékes hatóságok közötti valamennyi transzatlanti cserére alkalmazandók. Valójában egy magas szintű védelmet bevezető alapjogi megállapodásról van szó, amely a meglévő és jövőbeli rendszerek keretében megvalósuló összes adatcsere mércéjeként szolgál.

Először is, a keretmegállapodás által bevezetett védelem- és biztosítékrendszer horizontálisan alkalmazandó lesz a büntetőügyekben folytatott transzatlanti bűnüldözési együttműködés keretében megvalósuló valamennyi adatcserére. Ez lefedi a hazai jogszabályok, az EU és az USA közötti megállapodások, a tagállamok és az USA közötti megállapodások (például a kölcsönös jogsegélyről szóló megállapodások), valamint a magánfelek számára a személyes adatok bűnüldözési célú továbbítását lehetővé tevő egyedi megállapodások alapján történő adattovábbítást. Az elfogadott rendelkezések tehát azonnal megnövelik az uniós érintettek számára biztosított védelem szintjét adataik USA-ba való továbbítása esetén. Emellett minden bizonnyal fokozódik majd a transzatlanti bűnüldözési együttműködés jogbiztonsága annak biztosítása révén, hogy a meglévő megállapodások minden szükséges védelmi rendelkezést tartalmazzanak, és így jogi kérdések felmerülése esetén is megállják helyüket.

Másodszor, a rendelkezések az összes alapvető uniós adatvédelmi szabályt felölelik a feldolgozási normák (például az adatok minősége és sérthetetlensége, az adatbiztonság, az elszámoltathatóság és a felügyelet), a biztosítékok és korlátozások (például a célhoz kötöttség, a felhasználási korlátok, az adatmegőrzés, a harmadik felek számára történő adattovábbítás és a különleges adatok feldolgozása), valamint a személyhez fűződő jogok (a hozzáférés, a helyesbítés, a közigazgatási és a bírósági jogorvoslat) terén.

Harmadszor, a megállapodás hozzáférés megtagadása, helyesbítés megtagadása és jogosulatlan közzététel esetén bírósági jogorvoslati lehetőséget fog biztosítani. Ez rendkívüli előrelépést jelent, és számottevően hozzájárul majd a transzatlanti adatcserét övező bizalom helyreállításához. Ez a kulcsfontosságú, régóta fennálló és sok évig kielégítetlen uniós igény a bírósági jogorvoslati törvényben is tükröződik, amelyet 2015 márciusában az USA Kongresszusa elé terjesztettek, majd 2016. február 10-én jóváhagytak. A törvény kiterjeszti az uniós polgárokra 28 az USA magánélet védelméről szóló, 1974. évi törvényében foglalt alapvető bírósági jogorvoslati lehetőségeket, amelyeket jelenleg kizárólag az Egyesült Államok állampolgárai és állandó lakosai vehetnek igénybe. Így az uniós polgárok első ízben élhetnek majd a bűnüldözési célú összes transzatlanti adattovábbítás esetén általánosan alkalmazandó jogokkal. Ennek köszönhetően megszűnik az uniós, illetve az egyesült államokbeli polgárokkal szembeni bánásmód közötti kritikus különbség.

Negyedszer, a keretmegállapodás a bűnüldözési ágazat egészére nézve általánosítja és kiterjeszti az adatvédelem egyik nélkülözhetetlen elemének tekintett független felügyelet elvét, amely számos hatályos kétoldalú megállapodásból hiányzik. Ez az elv a megállapodásnak való megfelelést illetően magában foglalja az egyéni panaszok kivizsgálására és rendezésére vonatkozó hatékony jogköröket.

Ötödször, a keretmegállapodás végrehajtásának eredményességét rendszeres közös felülvizsgálatnak fogják alávetni. A felülvizsgálat keretében kiemelt figyelemmel kezelik majd a személyhez fűződő jogokra vonatkozó rendelkezéseket (hozzáférés, helyesbítés, közigazgatási és bírósági jogorvoslat).

A keretmegállapodás önmagában nem engedélyezi az adattovábbítást, és nem tekintendő megfelelőségi határozatnak.

4.3. További teendők

A bírósági jogorvoslati törvény hatálybalépése 29 előkészíti a terepet a keretmegállapodás aláírásához. A Bizottság hamarosan a Tanács elé terjeszti a keretmegállapodás aláírására való felhatalmazásról szóló határozatjavaslatot. Az aláírást követően az Európai Parlamentnek egyetértését kell adnia, majd a Tanácsnak el kell fogadnia a megállapodás megkötéséről szóló határozatot. A keretmegállapodás jelentős előrelépést eredményez majd a jelenlegi helyzethez képest, amelyet a többoldalú, kétoldalú, nemzeti és ágazati eszközök mozaikjából adódóan az elaprózott, összehangolatlan és gyakran gyenge adatvédelmi szabályok jellemeznek. A keretmegállapodás bizonyos értelemben visszamenőleges hatállyal rendelkezik, mivel ki fogja egészíteni a hatályos megállapodásokban foglalt adatvédelmi garanciákat, amennyiben ezek nem tartalmaznak biztosítékokat, vagy a biztosítékok szintje nem megfelelő. E tekintetben jelentős hozzáadott értéket teremt azáltal, hogy orvosolja a meglévő – a keretmegállapodásban foglaltaktól alacsonyabb szintű adatvédelmi szabályokat tartalmazó – megállapodások hiányosságait. Ez lehetővé teszi a bűnüldözési együttműködés folytonosságát, ugyanakkor fokozza az adattovábbítással kapcsolatos jogbiztonságot. A jövőbeli megállapodásokat illetően a keretmegállapodás a biztonsági háló szerepét tölti be, amely alá nem süllyedhet a védelem szintje. Ez kiemelkedően fontos garancia a jövőre nézve, és lényeges elmozdulás a jelenlegi helyzethez képest, amelyben minden egyes új megállapodás kapcsán a nulláról kell kezdeni a biztosítékokról, a védelemről és a jogokról szóló tárgyalásokat. A keretmegállapodás tehát a szabványos biztosítékokat tartalmazó sablonnak tekinthető, amely biztosítékokat nem lehet az enyhítés irányába módosítani. Ez nem csupán az EU–USA kapcsolatban példaértékű, hanem általánosabb értelemben is, bármilyen jövőbeli nemzetközi szintű adatvédelmi vagy adatcsere-megállapodásra nézve.

A reformról és a keretmegállapodásról szóló tárgyalások párhuzamosan zajlottak, így a keretmegállapodás illeszkedik az EU adatvédelmi vívmányaihoz. A keretmegállapodás és a rendőrségi irányelv összehangoltsága különösen nagy jelentőséggel bír, mivel kulcsfontosságú, hogy az adatvédelem egységesen magas szintű legyen attól függetlenül, hogy a személyes adatokat nemzeti szinten kezelik-e, vagy határokon átnyúlóan osztják-e meg az Unión belül vagy harmadik országokkal. E tekintetben a keretmegállapodás még inkább megerősíti a reform transzatlanti vonatkozású általános követelményeit.

A jogi és szakpolitikai szempontból összetett területen közös szabályokat megállapító keretmegállapodásról szóló tárgyalások lezárása kiemelkedő eredmény. A jövőben hatályba lépő keretmegállapodás helyreállítja és megszilárdítja a bizalmat, garantálja az adattovábbítás jogszerűségét, és előmozdítja az EU és az USA közötti együttműködést e területen.

Ami a további tennivalókat illeti, együttes fellépésre van szükség a rendőrségi és igazságügyi együttműködés terén jelentkező közös kihívások kezelése érdekében. Az egyik lényeges megoldásra váró kérdés a bűnüldöző hatóságok közvetlen hozzáférése a magánvállalatok által külföldön tárolt személyes adatokhoz. Az ilyen hozzáférésnek elvileg hivatalos együttműködési csatornák – például kölcsönös jogsegélyről szóló vagy más ágazati megállapodások – keretében kellene megvalósulnia. A magánvállalatoknak jelenleg a jogbizonytalanság kockázatával kell szembenézniük, ami hatással lehet arra is, hogy képesek-e különböző joghatóságokat átívelő tevékenységet folytatni, amikor egy adott ország jogának hatálya alatt elektronikus bizonyítékhoz való hozzáférést kérnek tőlük egy másik ország joghatóságába tartozó személyes adatokkal kapcsolatban. Az EU és az USA közötti kölcsönös jogsegélyről szóló megállapodás 30 közelgő felülvizsgálatával párhuzamosan az EU üdvözölné, ha élénkülne az USA-val ennek kapcsán folytatott párbeszéd, ideértve az elektronikus bizonyítékok gyűjtésére vonatkozó közös és hatékonyabb szabályok kidolgozásának megvitatását.

5. Következtetés

A 2013-as közleményben felvázolt kulcsfontosságú intézkedések sikeres végrehajtása azt bizonyítja, hogy az EU képes a pragmatikus és célirányos problémamegoldásra anélkül, hogy feladná az alapjogokra vonatkozó szilárd értékrendjét és hagyományait. Emellett az is bebizonyosodott, hogy az EU és az USA képes áthidalni a köztük levő különbségeket és nehéz döntéseket hozni egy olyan stratégiai kapcsolat megőrzése érdekében, amely már kiállta az idő próbáját. Ezzel egyidejűleg most, hogy új fejezetet nyitunk kétoldalú partneri kapcsolatunkban, változatlanul ébernek kell maradnunk, hiszen további közös veszélyekkel és kihívásokkal kell szembenéznünk a bizonytalan világban.

Az adatvédelmi pajzs és a keretmegállapodás hatálybalépése után mindkét félnek arra kell törekednie, hogy e két jelentős adattovábbítási keret hatékonyan és tartósan működjön. Ennek sikere nagyrészt az eredményes végrehajtáson és a személyhez fűződő jogok tiszteletben tartásán múlik. Emellett a két eszköz működésének folyamatos nyomon követésétől is függ, ami szemléletváltást tesz szükségessé: el kell mozdulni a statikustól a dinamikus folyamat felé.

Mindezeket figyelembe véve e folyamat egyik lényeges eleme az USA hírszerzési programjainak folyamatban lévő reformjához kapcsolódik. Ezt illetően a Bizottság szorosan nyomon követi majd a magánélethez való jog és az alapvető szabadságok képviseletében eljáró felügyeleti bizottság által közzéteendő jelentéseket, valamint a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény 702. szakaszának 2017-ben esedékes felülvizsgálatát. A Bizottság kitüntetett figyelemmel fogja követni az átláthatóságra és a felügyeletre vonatkozó további reformokat, valamint a biztosítékok nem egyesült államokbeli személyekre való kiterjesztését.

Tágabban véve a határokon átnyúló adatáramlás transzatlanti kereskedelmen belüli jelentőségét felismerve az EU szorosan nyomon követi majd az Egyesült Államok jogalkotási folyamatának alakulását a magánélet védelme terén. Most, hogy Európa egységes, koherens és megalapozott szabályrendszert hozott létre, reméljük, hogy az USA sem hagy fel a magánélet és az adatok védelmét szolgáló átfogó rendszer kialakítását célzó munkával. Pontosan egy ilyen átfogó megközelítés tenné lehetővé, hogy a két rendszer hosszú távon közeledjen egymáshoz. Ezzel összefüggésben a Bizottság éves adatvédelmi csúcstalálkozókat fog rendezni az Atlanti-óceán mindkét partjáról érkező érdekelt nem kormányzati szervezetek és más érintett szereplők bevonásával.

Az EU–USA partnerség a magánélet és a személyes adatok védelmére vonatkozó nemzetközi jogi normák kialakításának és terjesztésének mozgatórugójává válhat. Az ENSZ szintjén megvalósuló kezdeményezések – köztük a magánélethez való joggal foglalkozó különleges előadó tevékenysége – szintén fontos szerephez juthatnak e tekintetben. Ezek a kérdések egyre hangsúlyosabban jelennek meg a globális napirenden, ezért az EU-nak és az USA-nak az elkövetkező években meg kell ragadniuk a lehetőséget, hogy előmozdítsák az egyéni szabadságokra és jogokra vonatkozó közös értékeiket a globalizált digitális világban.

(1)

     A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak: A bizalom helyreállítása az EU-USA adatáramlások tekintetében, COM(2013) 846 final, 2013.11.27. (a továbbiakban: a 2013-as közlemény vagy a közlemény), a szöveg elérhetősége: http://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52013DC0846&from=HU .

(2)

     A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, büntetőeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi irányelvre vonatkozó javaslat, COM(2012) 10 final, 2012.1.25., valamint a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet) vonatkozó javaslat, COM(2012) 11 final, 2012.1.25., a szövegek elérhetősége: http://ec.europa.eu/justice/data-protection/reform/index_en.htm.  

(3)

     A Bizottság közleménye az Európai Parlamentnek és a Tanácsnak: A védett adatkikötő működése az uniós polgárok és az EU-ban letelepedet vállalatok szempontjából, COM(2013) 847 final, 2013.11.27., 18–19. o. (a továbbiakban: a védett adatkikötőről szóló közlemény), a szöveg elérhetősége: http://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52013DC0847&from=HU .

(4)

Új kezdet Európa számára: a munkahelyteremtés, a növekedés, a méltányosság és a demokratikus változás programja – Politikai iránymutatás a hivatalba lépő következő Európai Bizottság számára.

(5)

A C-362/14. sz., Maximilian Schrems kontra Data Protection Commissioner ügyben hozott 2015. október 6-i ítélet, EU:C:2015 650.

(6)

Lásd: a Bizottság közleménye az Európai Parlamentnek és a Tanácsnak a 95/46/EK irányelv alapján, az Európai Bíróság C-362/14. sz. (Schrems-)ügyben hozott ítéletét követően a személyes adatoknak az Európai Unióból az Amerikai Egyesült Államokba történő továbbításáról, COM(2015) 566 final, 2015.11.6. Lásd továbbá: a 29. cikk alapján létrehozott munkacsoport 2016. február 3-i nyilatkozata a Schrems-ügyben hozott ítéletről, a szöveg elérhetősége: http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2016/20160203_statement_consequences_schrems_judgement_en.pdf.  

(7)

Lásd: http://europa.eu/rapid/press-release_IP-16-216_hu.htm .

(8)

  https://www.whitehouse.gov/the-press-office/2014/01/17/remarks-president-review-signals-intelligence  

(9)

  https://www.whitehouse.gov/the-press-office/2014/01/17/presidential-policy-directive-signals-intelligence-activities  

(10)

      http://europa.eu/rapid/press-release_MEMO-14-30_en.htm  

(11)

     USA FREEDOM Act, 2015, Pub. L., No. 114-23, § 401, 129 Stat. 268.

(12)

     H.R.1428 – bírósági jogorvoslati törvény, 2015. A törvény 90 hónappal a törvénybeiktatás után lép hatályba.

(13)

     COM(2012) 11 final, 2012.1.25.: lásd a 2. lábjegyzetet.

(14)

     COM(2012) 10 final, 2012. január 25.: lásd a 2. lábjegyzetet.

(15)

Az Európai Parlament és a Tanács 1995. október 24-i 95/46/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról, HL L 281., 1995.11.23., 31. o. (a továbbiakban: az adatvédelmi irányelv).

(16)

Eltérően a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló, 2008. november 27-i 2008/977/IB tanácsi kerethatározattól – amely csupán az illetékes tagállami hatóságok közötti, határokon átnyúló adatcserét szabályozza –, a rendőrségi irányelv keretében az ilyen szabályok alkalmazása független lesz attól, hogy a tagállami bűnüldöző hatóságok között korábban sor került-e a kérdéses adatok cseréjére.

(17)

Lásd: a Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának – Az európai biztonsági stratégia, COM(2015) 185 final, 2015.4.28.

(18)

     A Bizottság 2000. július 20-i 2000/520/EK határozata. A határozatban a Bizottság – az adatvédelmi irányelv 25. cikkének (6) bekezdése alapján – az EU-ból származó személyes adatok továbbítása céljából megfelelő védelmet biztosítónak ismerte el az Egyesült Államok Kereskedelmi Minisztériuma által kiadott, védett adatkikötőre vonatkozó elveket és az ezzel kapcsolatos gyakran felvetődő kérdéseket. A védett adatkikötőre vonatkozó szabályozás működése a csatlakozó vállalatok kötelezettségvállalásaira és öntanúsítására épül. Az Egyesült Államok joga szerint a szabályok kötelező erejűek a csatlakozó vállalatokra nézve, és végrehajthatók az Egyesült Államok Szövetségi Kereskedelmi Bizottsága által.

(19)

     Lásd a 3. lábjegyzetet.

(20)

     Ezen tényezők közé tartozott az adatforgalom exponenciális növekedése és az adatáramlás meghatározó jelentősége a transzatlanti gazdaság számára, valamint a védett adatkikötő rendszeréhez csatlakozó egyesült államokbeli vállalkozások számának ugrásszerű növekedése. Lásd: a védett adatkikötőről szóló közlemény, 37. oldal.

(21)

     A védett adatkikötőről szóló közlemény, 18–19. o.

(22)

     A nagy amerikai internetszolgáltatók már jelenleg is készítenek hasonló jelentéseket ügyfeleik bizalmának visszaszerzése érdekében. A 2015-ös USA FREEDOM Act nevű törvény lehetővé teszi a hozzáférési kérelmekről önkéntes alapon készített jelentések közzétételét, legalábbis a nemzetbiztonsági érdekek védelmét szolgáló, bizonyos keretek között.

(23)

     Az ilyen jelentéstétel a 2015-ös USA FREEDOM Act rendelkezéseivel összhangban valósulna meg. Lásd a 22. lábjegyzetet.

(24)

     Konkrétan az EU–USA megállapodás az utas-nyilvántartási adatállományról (PNR) és a terrorizmus finanszírozásának felderítését célzó EU–USA program (TFTP).

(25)

     Az EU és az USA közötti megállapodás a személyes adatok védelméről a bűncselekmények – köztük terrorista cselekmények – megelőzése, nyomozása, felderítése és büntetőeljárás alá vonása céljából, a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében történő adattovábbítás vagy -feldolgozás terén.

(26)

      http://europa.eu/rapid/press-release_STATEMENT-15-5610_en.htm  

(27)

A bírósági jogorvoslati törvény jogokat biztosít az USA kormánya által meghatározott „lefedett országok” állampolgárai számára. Az országok besorolása az alábbi kritériumokon alapul: a) az ország [vagy regionális szervezet] és az Egyesült Államok között a magánélet védelmére vonatkozó megállapodás jött létre a bűncselekmények megelőzése, nyomozása, felderítése és büntetőeljárás alá vonása céljából megosztott információkra vonatkozóan; b) az ország [vagy regionális szervezet] engedélyezi a személyes adatok Egyesült Államokba irányuló, kereskedelmi célú továbbítását; valamint c) a személyes adatok kereskedelmi célú továbbítására vonatkozó politikák és az adott ország vagy regionális szervezet kapcsolódó intézkedései érdemileg nem csorbítják az Egyesült Államok nemzetbiztonsági érdekeit.

(28)

A bírósági jogorvoslati törvény értelmében egyéb nem uniós országok vagy „regionális gazdasági integrációs szervezetek” egyaránt a „lefedett országok” közé sorolhatók, így ezek állampolgárai is élhetnek a bírósági jogorvoslathoz való joggal.

(29)

A bírósági jogorvoslati törvény a törvénybeiktatás után 90 nappal lép hatályba.

(30)

A Tanács 2009. október 23-i 2009/820/KKBP határozata az Európai Unió és az Amerikai Egyesült Államok közötti, kiadatásról szóló megállapodásnak és az Európai Unió és az Amerikai Egyesült Államok közötti, kölcsönös jogsegélyről szóló megállapodásnak az Európai Unió nevében történő megkötéséről, HL L 291., 2009.11.7., 40. o.