GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az Európai Adatvédelmi Testület véleménye az USA-ra vonatkozó megfelelőségi határozat tervezetéről

2023. március 08. 11:30 - poklaszlo

2020. júliusa, az Európai Bíróság Schrems II. ügyben hozott ítélete óta az EU-n kívülre irányuló adattovábbítások témája az adatvédelmi közbeszéd egyik közpotni eleme lett. Gazdasági és politikai jelentősége miatt ezen belül is az USA-ba irányuló adattovábbítások témája kiemelt helyet foglal el a diskurzusban. A korábban már két alkalommal „elkaszált” megfelelőségi hattározata után, az Európai Bizottság - az EU és az USA közötti elvi adattovábbítási keretrendszer és az USA elnökének vonatkozó rendelete (Executive Order) alapján - tavaly év végén közzétette az újabb, USA-ra vonatkozó megfelelőségi határozatának tervezetét és elindította a határozat elfogadásához vezető folyamatot. Ennek a folyamatnak a részeként az Európai Adatvédelmi Testület február végén elfogadta és elérhetővé tette a megfelelőségi határozat tervezetére vonatkozó véleményét.

Hogyan foglalt állást a Testület a megfelelőségi határozat tervezete kapcsán?

A Testület alapvetően pozitívan nyilatkozott a megfelelőségi határozat tervezetéről, különösen a szükségesség és arányosság elveinek és az EU polgárok egyéni jogérvényesítási lehetőségeinek a megjelenéséről. A Testület véleménye persze azt is kiemeli, hogy vannak területek, ahol további intézkedések szükségesek, illetve elvárásként fogalmazódott meg a Bizottság felé, hogy az elnöki végrehajtási rendeletben foglaltak teljesülését is kísérjék figyelemmel.

Nagyon röviden összefoglalva, a Testület véleménye az alábbi főbb megállapításokat tartalmazza:

  • A Testület kiemeli, hogy nem támasztanak az USA-val szemben olyan elvárást, miszerint az uniós adatvédelmi jogot tükröző adatvédelmi keretrendszert kellene kialakítaniuk, ugyanakkor a megfelelőségi határozat elfogadásához szükséges, hogy az érintettek lényegében az uniós védelemnek megfelelő garanciákkal rendelkezzenek az adataik védelme tekintetében.
  • Az általános megjegyzések (lásd a vélemény 1.3. pontját) között a Testület rögzíti, hogy
    1. az alkalmazandó USA-beli adatvédelmi szabályok kapcsán érdemes lenne további információkat megadni, mivel ezek segítenék az EU-USA adatvédelmi keretrendszer (Data Privacy Framework, DPF) és az alkalmazandó USA-beli jogszabályok kölcsönhatásának a megértésében,
    2. az USA számos adatvédelmet érintő nemzetközi kezdeményezésnek, együttműködésnek is a résztvevője,
    3. az USA több tagállamában is elfogadásra kerültek adatvédelmi jogszabályok és továbbiak is várhatók 2023-ban, sőt szövetségi szinten is napirenden szerepel a kérdés,
    4. a Bizottság részéről szükséges lenne a határozat kiegészítése az Adatvédelmi Keretrendszer alkalmazását esetlegesen korlátozó kivételekkel, amelyek alkalmazhatóak lehetnek az USA-ban,
    5. a határozat egyes részei, hivatkozásai nem eléggé átláthatók, nem könnyű kiigazodni közöttük, illetve egyes fogalmak definíciója is hiányzik és a fogalmak következetes használata is elmarad a dokumentum egyes részeinél.  
  •  Az általános adatvédelmi szempontok (lásd a vélemény 2. pontját) körében a Testület kiemeli:
    1. az érintetti jogok (hozzáférés, helyesbítés, törlés és tiltakozás) tekintetében további pontosítások, egyértelműsítések szükségesek, illetve egyes esetekben a kivételek túl széles körben adottak a jogok érvényesítése kapcsán,
    2. további garanciák szükségesek az EU-beli érintettek adatait érintő további adattovábbítások (onward transfers) kapcsán,
    3. szintén további garanciák szükségesek az automatizált egyedi döntések tekintetében (a bizottsági határozat hivatkozik ugyan több szektorális szabályra is e tekintetben, de ezek, általános alkalmazandóság hiányában, nem minden esetben nyújtanak védelmet az érintettek számára),
    4. több előrelépés történt a végrehajtás kapcsán, ugyanakkor fontosnak tartja kiemelni, hogy a rögzített feltételek és mechanizmusok működésének nyomon követése szükséges,
    5. a jogérvényesítési mechanizmusok tényleges érvényesülésének nyomon követésével kapcsolatos elvárást.
  • Az USA-ba továbbított adatokhoz történő kormányzati hozzáférés és felhasználás (lásd 3. pont) tekintetében a Testület több fontos megállapítást is tesz. Ezek közül kiemelést érdemel, hogy   
    1. a nagy mennyiségű adatgyűjtések tekintetében a független hatóság általi előzetes jóváhagyás nem jelenik meg követelményként, és az ezzel kapcsolatos biztosítékok hiányosak lehetnek,
    2. a Data Protection Review Court felállítása mindenképpen előrelépés a korábbiakohoz képest, ugyanakkor egyes kérdések esetében még további egyértelműsítésre, pontosításra lehet szükség a megfelelő garanciák megléte érdekében,
    3. az elnöki rendelet alapján az egyes ügynökségeknek el kell fogadniuk a saját vonatkozó eljárásaikra alkalmazandó szabályzatokat, amelyek nagyban befolyásolják majd, hogy az Adatvédelmi Keretrendszerben és az elnöki rendeletben foglaltak miként érvényesülnek a gyakorlatban, ezért a Testület véleménye szerint a megfelelőségi határozat elfogadását is ezen szabályzatok és eljárások elfogadásától kellene főggővé tenni.

Hogyan tovább?

A Testület véleményének közzététele még messze nem a végállomás a megfelelőségi határozat elfogadásához vezető úton. A Bizottságnak zöld utat kell kapnia a tagállamok képviselőiből álló bizottságtól, továbbá az Európai Parlament is véleményt nyilvánít majd a megfelelőségi határozat kapcsán. (Az Európai Parlament LIBE bizottságának február 14-i határozati javaslatra irányuló tervezete azt tartalmazza, hogy nem elégségesek a garanciák az USA részéről, így a megfelelőségi határozat még nem fogadható el. A Testület elnöke március 1-én számolt be a Testület véleményéről a LIBE előtt. Kérdés, hogy az Európai Parlament végleges álláspontja miként alakul majd a téma kapcsán.) Ezen lépések megtörténtét követően kerülhet sor a végleges határozat Bizottság általi elfogadására.   

Egy kis EU-USA adattovábbítási kronológia

  • 2000. július 26.: USA-ra vonatkozó első megfelelőségi határozat (Safe Harbour) elfogadása (2000/520 EK határozat)
  • 2015. október 6.: Az USA-ra vonatkozó első megfelelőségi határozatot (Safe Harbour) megsemmisítő ítélet (C-362/14, Schrems I.)
  • 2016. április 27.: A GDPR elfogadása
  • 2016. május 24.: A GDPR hatályba lépése (az EU Hivatalos Lapjában történő közzétételt követő 20. napon)
  • 2016. július 12.: Az USA-ra vonatkozó második megfelelőségi határozat (Privacy Shield) elfogadása (2016/1250. sz. bizottsági végrehajtási határozat)
  • 2018. május 25.: A GDPR alkalmazandóvá válása
  • 2020. július 16.: USA-ra vonatkozó második megfelelőségi határozatot (Privacy Shield) megsemmisítő ítélet (C-311/18, Schrems II.)
  • 2022. március 25.: Bejelentik az EU-USA adattovábbítási keretmegállapodást (Trans-Atlantic Data Privacy Framework)
  • 2022. október 7.: Az USA elnöke aláírja a rendeletet (Executive Order) a keretmegállapodás alapján (EO 14086)
  • 2022. december 13.: Az Európai Bizottság közzéteszi USA-ra vonatkozó (harmadik) megfelelőségi határozatának tervezetét
  • 2023. február 28.: Az Európai Adatvédelmi Testület elfogadja és közzéteszi az Európai Bizottság USA-ra vonatkozó (harmadik) megfelelőségi határozatának tervezetére vonatkozó véleményét
Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr5318065492

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása