2020. júliusa, az Európai Bíróság Schrems II. ügyben hozott ítélete óta az EU-n kívülre irányuló adattovábbítások témája az adatvédelmi közbeszéd egyik közpotni eleme lett. Gazdasági és politikai jelentősége miatt ezen belül is az USA-ba irányuló adattovábbítások témája kiemelt helyet foglal el a diskurzusban. A korábban már két alkalommal „elkaszált” megfelelőségi hattározata után, az Európai Bizottság - az EU és az USA közötti elvi adattovábbítási keretrendszer és az USA elnökének vonatkozó rendelete (Executive Order) alapján - tavaly év végén közzétette az újabb, USA-ra vonatkozó megfelelőségi határozatának tervezetét és elindította a határozat elfogadásához vezető folyamatot. Ennek a folyamatnak a részeként az Európai Adatvédelmi Testület február végén elfogadta és elérhetővé tette a megfelelőségi határozat tervezetére vonatkozó véleményét.
Hogyan foglalt állást a Testület a megfelelőségi határozat tervezete kapcsán?
A Testület alapvetően pozitívan nyilatkozott a megfelelőségi határozat tervezetéről, különösen a szükségesség és arányosság elveinek és az EU polgárok egyéni jogérvényesítási lehetőségeinek a megjelenéséről. A Testület véleménye persze azt is kiemeli, hogy vannak területek, ahol további intézkedések szükségesek, illetve elvárásként fogalmazódott meg a Bizottság felé, hogy az elnöki végrehajtási rendeletben foglaltak teljesülését is kísérjék figyelemmel.
Nagyon röviden összefoglalva, a Testület véleménye az alábbi főbb megállapításokat tartalmazza:
- A Testület kiemeli, hogy nem támasztanak az USA-val szemben olyan elvárást, miszerint az uniós adatvédelmi jogot tükröző adatvédelmi keretrendszert kellene kialakítaniuk, ugyanakkor a megfelelőségi határozat elfogadásához szükséges, hogy az érintettek lényegében az uniós védelemnek megfelelő garanciákkal rendelkezzenek az adataik védelme tekintetében.
- Az általános megjegyzések (lásd a vélemény 1.3. pontját) között a Testület rögzíti, hogy
- az alkalmazandó USA-beli adatvédelmi szabályok kapcsán érdemes lenne további információkat megadni, mivel ezek segítenék az EU-USA adatvédelmi keretrendszer (Data Privacy Framework, DPF) és az alkalmazandó USA-beli jogszabályok kölcsönhatásának a megértésében,
- az USA számos adatvédelmet érintő nemzetközi kezdeményezésnek, együttműködésnek is a résztvevője,
- az USA több tagállamában is elfogadásra kerültek adatvédelmi jogszabályok és továbbiak is várhatók 2023-ban, sőt szövetségi szinten is napirenden szerepel a kérdés,
- a Bizottság részéről szükséges lenne a határozat kiegészítése az Adatvédelmi Keretrendszer alkalmazását esetlegesen korlátozó kivételekkel, amelyek alkalmazhatóak lehetnek az USA-ban,
- a határozat egyes részei, hivatkozásai nem eléggé átláthatók, nem könnyű kiigazodni közöttük, illetve egyes fogalmak definíciója is hiányzik és a fogalmak következetes használata is elmarad a dokumentum egyes részeinél.
- Az általános adatvédelmi szempontok (lásd a vélemény 2. pontját) körében a Testület kiemeli:
- az érintetti jogok (hozzáférés, helyesbítés, törlés és tiltakozás) tekintetében további pontosítások, egyértelműsítések szükségesek, illetve egyes esetekben a kivételek túl széles körben adottak a jogok érvényesítése kapcsán,
- további garanciák szükségesek az EU-beli érintettek adatait érintő további adattovábbítások (onward transfers) kapcsán,
- szintén további garanciák szükségesek az automatizált egyedi döntések tekintetében (a bizottsági határozat hivatkozik ugyan több szektorális szabályra is e tekintetben, de ezek, általános alkalmazandóság hiányában, nem minden esetben nyújtanak védelmet az érintettek számára),
- több előrelépés történt a végrehajtás kapcsán, ugyanakkor fontosnak tartja kiemelni, hogy a rögzített feltételek és mechanizmusok működésének nyomon követése szükséges,
- a jogérvényesítési mechanizmusok tényleges érvényesülésének nyomon követésével kapcsolatos elvárást.
- Az USA-ba továbbított adatokhoz történő kormányzati hozzáférés és felhasználás (lásd 3. pont) tekintetében a Testület több fontos megállapítást is tesz. Ezek közül kiemelést érdemel, hogy
- a nagy mennyiségű adatgyűjtések tekintetében a független hatóság általi előzetes jóváhagyás nem jelenik meg követelményként, és az ezzel kapcsolatos biztosítékok hiányosak lehetnek,
- a Data Protection Review Court felállítása mindenképpen előrelépés a korábbiakohoz képest, ugyanakkor egyes kérdések esetében még további egyértelműsítésre, pontosításra lehet szükség a megfelelő garanciák megléte érdekében,
- az elnöki rendelet alapján az egyes ügynökségeknek el kell fogadniuk a saját vonatkozó eljárásaikra alkalmazandó szabályzatokat, amelyek nagyban befolyásolják majd, hogy az Adatvédelmi Keretrendszerben és az elnöki rendeletben foglaltak miként érvényesülnek a gyakorlatban, ezért a Testület véleménye szerint a megfelelőségi határozat elfogadását is ezen szabályzatok és eljárások elfogadásától kellene főggővé tenni.
Hogyan tovább?
A Testület véleményének közzététele még messze nem a végállomás a megfelelőségi határozat elfogadásához vezető úton. A Bizottságnak zöld utat kell kapnia a tagállamok képviselőiből álló bizottságtól, továbbá az Európai Parlament is véleményt nyilvánít majd a megfelelőségi határozat kapcsán. (Az Európai Parlament LIBE bizottságának február 14-i határozati javaslatra irányuló tervezete azt tartalmazza, hogy nem elégségesek a garanciák az USA részéről, így a megfelelőségi határozat még nem fogadható el. A Testület elnöke március 1-én számolt be a Testület véleményéről a LIBE előtt. Kérdés, hogy az Európai Parlament végleges álláspontja miként alakul majd a téma kapcsán.) Ezen lépések megtörténtét követően kerülhet sor a végleges határozat Bizottság általi elfogadására.
Egy kis EU-USA adattovábbítási kronológia
- 2000. július 26.: USA-ra vonatkozó első megfelelőségi határozat (Safe Harbour) elfogadása (2000/520 EK határozat)
- 2015. október 6.: Az USA-ra vonatkozó első megfelelőségi határozatot (Safe Harbour) megsemmisítő ítélet (C-362/14, Schrems I.)
- 2016. április 27.: A GDPR elfogadása
- 2016. május 24.: A GDPR hatályba lépése (az EU Hivatalos Lapjában történő közzétételt követő 20. napon)
- 2016. július 12.: Az USA-ra vonatkozó második megfelelőségi határozat (Privacy Shield) elfogadása (2016/1250. sz. bizottsági végrehajtási határozat)
- 2018. május 25.: A GDPR alkalmazandóvá válása
- 2020. július 16.: USA-ra vonatkozó második megfelelőségi határozatot (Privacy Shield) megsemmisítő ítélet (C-311/18, Schrems II.)
- 2022. március 25.: Bejelentik az EU-USA adattovábbítási keretmegállapodást (Trans-Atlantic Data Privacy Framework)
- 2022. október 7.: Az USA elnöke aláírja a rendeletet (Executive Order) a keretmegállapodás alapján (EO 14086)
- 2022. december 13.: Az Európai Bizottság közzéteszi USA-ra vonatkozó (harmadik) megfelelőségi határozatának tervezetét
- 2023. február 28.: Az Európai Adatvédelmi Testület elfogadja és közzéteszi az Európai Bizottság USA-ra vonatkozó (harmadik) megfelelőségi határozatának tervezetére vonatkozó véleményét