Brüsszel, február 28. – Az Európai Adatvédelmi Testület (EDPB) véleményt fogadott el az EU–USA adatvédelmi keretre vonatkozó megfelelőségi határozattervezetről. Az EDPB üdvözli az olyan jelentős előrelépéseket mint például az Egyesült Államok hírszerzésének adatgyűjtési módszereire vonatkozóan a szükségesség és az arányosság elvét szem előtt tartó előírások bevezetése, illetve az uniós érintettekre vonatkozó új jogorvoslati mechanizmusok. Több témakörrel kapcsolatban ugyanakkor aggályait fejezi ki és további pontosításokat javasol. Ezek különösen az érintettek bizonyos jogaira, az újbóli továbbításra, a mentességek körére, az átmeneti tömeges adatgyűjtésre és a jogorvoslati mechanizmusok gyakorlati működésére irányulnak. Az EDPB üdvösnek tartaná, ha a határozatnak nem csak a hatálybalépése, de már az elfogadása is attól függene, hogy minden amerikai hírszerző ügynökség elfogad-e aktualizált szabályzatokat és eljárásokat a 14086. sz. elnöki rendelet végrehajtására. Az EDPB azt ajánlja, hogy a Bizottság értékelje ezeket az aktualizált szabályzatokat és eljárásokat és ismertesse értékelését az EDPB-vel.
Andrea Jelinek, az Európai Adatvédelmi Testület elnöke a következőket nyilatkozta: „Az uniós polgárok jogainak és szabadságainak védelméhez elengedhetetlen a magas szintű adatvédelem. Elismerjük, hogy az amerikai jogi kereten eszközölt javítások jelentősek, ugyanakkor ahhoz, hogy a megfelelőségi határozat tartós legyen, ajánlásunk szerint meg kell vizsgálni a felmerülő aggályokat és rendelkezésre kell bocsátani a kért információkat. Ugyanezen oknál fogva úgy gondoljuk, hogy a megfelelőségi határozat első felülvizsgálata után rendszeres további felülvizsgálatokra kell sort keríteni legalább háromévenként; ezekhez készséggel hozzá is járulunk.”
A megfelelőségi határozat tervezetét, amely – az Európai Unió Bíróságának a Schrems II ügyben hozott ítélete által érvénytelenített „adatvédelmi pajzsot” helyettesítő – EU–USA adatvédelmi kereten (DPF) alapszik, 2022. december 13-án tette közzé az Európai Bizottság. A DPF sarokkövét az Egyesült Államok kereskedelmi minisztériuma által kibocsátott alapelvek képezik. A DPF kizárólag az öntanúsítást végző egyesült államokbeli szervezetekre vonatkozik. Az EDPB véleményt fogadott el a határozattervezettel kapcsolatban, amely figyelembe veszi a kereskedelem, valamint az egyesült államokbeli közigazgatási szervek adathozzáférésének és -felhasználásának szempontját is.
A kereskedelemi vonatkozásokkal kapcsolatban az EDPB üdvözli az adatvédelmi keret alapelvein eszközölt módosításokat. Megjegyzi továbbá, hogy az alapelvek egy része azonos az „adatvédelmi pajzs” alapelveivel. Így továbbra is felmerülnek ugyanakkor aggályok, többek között a betekintési jog hatálya alóli bizonyos mentességekre és a fő fogalommeghatározások hiányára vonatkozóan, valamint azzal kapcsolatban, hogy nem egyértelmű a DPF alapelveinek az adatfeldolgozókra vonatkozó alkalmazása; ezenfelül a nyilvánosan hozzáférhető információkhoz való hozzáférés joga alóli széles körű mentesség és az automatizált döntéshozatalra és profilalkotásra vonatkozó külön szabályok hiánya is problémákat vet fel. Az EDPB újfent hangsúlyozza, hogy az újbóli továbbítások nem csökkenthetik az adatvédelem szintjét. Felkéri ezért a Bizottságot, hogy tisztázza, hogy az eredeti címzett által a harmadik országbeli adatátvevőtől elvárt biztosítékoknak – a harmadik országbeli jogszabályok értelmében – már az újbóli továbbítás előtt érvényesülniük kell.
Az EDPB arra kéri továbbá a Bizottságot, hogy tisztázza a mentességek hatókörét a DPF alapelveinek kötelező elfogadásával kapcsolatban, valamint hangsúlyozza a DPF hatékony felügyeletének és érvényesítésének fontosságát. Az EDPB szorosan nyomon fogja követni az említett szempontok megvalósítását, valamint azt, hogy mennyire hatékonyak az olyan az uniós érintettek számára biztosított jogorvoslati lehetőségek, akiknek az adatait az adatvédelmi keretben foglaltak megsértésével kezelik
Az USA-ba továbbított adatokhoz való kormányzati hozzáféréssel kapcsolatban az EDPB elismeri a 14086. sz. elnöki rendeletnek köszönhető jelentős javulást. Az elnöki rendelet vezeti be a szükségesség és arányosság fogalmát az egyesült államokbeli adatgyűjtés és hírszerzés (jelfelderítés) kontextusában.
Az új jogorvoslati mechanizmus ezenfelül jogokat keletkeztet az uniós polgárok számára, és a Polgári Szabadságjogi Felügyelő Tanács (PCLOB) felülvizsgálatához van kötve. Összehasonlítva a korábbi ombudsmani mechanizmussal, az elnöki rendelet több biztosítékot tartalmaz az Adatvédelmi Felülvizsgálati Bíróság függetlensége és hatékonyabb jogorvoslati hatáskör biztosításának érdekében, ideértve az érintetteket védő további biztosítékokat.
Az EDPB kiemeli, hogy a frissen bevezetett szükségesség és arányosság elvének gyakorlati alkalmazásával kapcsolatban szoros nyomon követésre lesz szükség. Tisztázni kell az átmeneti tömeges adatgyűjtéssel és az így gyűjtött adatok további tárolásával és terjesztésével kapcsolatos részleteket is.
Az EDPB ezenfelül aggályosnak tartja, hogy a 12333. sz. elnöki rendelet értelmében tömeges adatgyűjtés esetén nincs szükség egy független hatóság előzetesen engedélyezésére, valamint azt, hogy a bíróság vagy azzal egyenértékű módon független szerv nem végez szisztematikus, független, utólagos felülvizsgálatot. Ami a megfigyelésnek a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény (FISA) 702. szakasza szerinti előzetes független engedélyezését illeti, az EDPB sajnálatát fejezi ki amiatt, hogy a FISA-bíróság nem vizsgálja felül a 14086. sz. elnöki rendeletnek való megfelelést az olyan programok tanúsításakor, amelyek nem egyesült államokbeli személyek célzását teszik lehetővé, még akkor sem, ha a programot végrehajtó hírszerző hatóságokra nézve ez kötelező. Különösen hasznosak lennének a PCLOB jelentései a 14086. sz. elnöki rendelet biztosítékainak végrehajtásáról és arról, hogy hogyan alkalmazzák ezeket a biztosítékokat a FISA 702. szakasza és a 12333. sz. elnöki rendelet szerinti adatgyűjtés során. A jogorvoslati mechanizmust illetően az EDPB elismeri a nyújtott további biztosítékokat, például a különleges ügyvédek szerepét és a jogorvoslati mechanizmus PCLOB általi felülvizsgálatát. Az EDPB ugyanakkor problémásnak látja az Adatvédelmi Felülvizsgálati Bíróság sablonválaszának széles körű alkalmazását: ebben arról értesítik a panaszost, hogy vagy nem azonosították az általa felvetett jogsértéseket, vagy kiadták a megfelelő jogorvoslatot előíró rendelkezést – különösen aggályos, hogy e döntés ellen nem lehet fellebbezni. Az Európai Adatvédelmi Testület ezért felhívja a Bizottságot, hogy szorosan kövesse nyomon e mechanizmus gyakorlati működését.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.