SG.hu
Az EU és az Egyesült Államok adatvédelmi keretrendszert fogadott el
Az Európai Bizottság és az Egyesült Államok elfogadta a közös adatvédelmi keretrendszerre vonatkozó megfelelőségi határozatot, amely megállapítja, hogy az új keret alapján Washington megfelelő, az Európai Unióéhoz hasonló védelmi szintet biztosít az EU-ból az egyesült államokbeli vállalatoknak továbbított személyes adatok számára - közölte a brüsszeli testület. Az uniós bizottság közleménye szerint az új megfelelőségi határozat alapján a személyes adatok biztonságosan áramolhatnak az EU-ból a keretrendszerben részt vevő amerikai vállalatokhoz anélkül, hogy további adatvédelmi biztosítékokat kellene bevezetniük.
A személyes adatok EU-ból az Egyesült Államokba történő továbbítását az Európai Unió Bírósága két mérföldkőnek számító ügyben is jogellenesnek ítélte. A legutóbbi, Schrems II. elnevezésű ítéletben az uniós bírák az amerikai biztonsági szolgálatok birtokában lévő európai tömeges adatokhoz való aránytalan hozzáférést és azok nem megfelelő védelmét emelték ki, ahogyan azt Edward Snowden 2013-ban először nyilvánosságra hozta. Az EU-USA adatvédelmi keret új, kötelező erejű biztosítékokat vezet be az Európai Unió Bírósága által felvetett valamennyi aggály kezelésére, ideértve az Egyesült Államok hírszerző szolgálatainak az uniós adatokhoz való hozzáférésének a szükséges és arányos mértékre való korlátozását, valamint az adatvédelmi felülvizsgálati bíróság (DPRC) létrehozását.
Az új keret lehetővé teszi, hogy ha megállapítást nyer, hogy az adatgyűjtés az új biztosítékok megsértésével történt, elrendeljék az adatok törlését. Az adatokhoz való kormányzati hozzáférés területén az új biztosítékok kiegészítik azokat a kötelezettségeket, amelyeket az EU-ból adatokat importáló egyesült államokbeli vállalatoknak be kell tartaniuk. Az adatokhoz való hozzáférés a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozódik - tették hozzá. Didier Reynders, az Európai Bizottság igazságügyi biztosa sajtótájékoztatóján kijelentette, hogy "a személyes adatok mostantól szabadon és biztonságosan áramolhatnak az európai gazdasági térségből az Egyesült Államokba".
A megfelelőségi határozat szövegének az eredeti tervezethez képest jelentős kiegészítése, hogy ha egy szervezet nem tesz eleget az európai adatvédelmi hatóság kérésének, az ügyet jelezni kell az amerikai kereskedelmi minisztériumnak és a Szövetségi Kereskedelmi Bizottságnak. Tovább pontosították a vállalatok által az Egyesült Államokban tárolt adatokhoz való hozzáférésre vonatkozó közigazgatási idézés és a házkutatási parancsok kiadásának feltételeit közérdekű célokból. A megfelelőségi határozat továbbá megköveteli, hogy a hírszerző szolgálatok határozzák meg a konkrét megőrzési időszakot és az indoklást, például a tárolt információk típusát vagy azt, hogy azokra szükség van-e egy személy védelméhez.
Az amerikai vállalatok csatlakozhatnak az EU-USA adatvédelmi keretrendszerhez, ha kötelezettséget vállalnak arra, hogy eleget tesznek számos adatvédelmi kötelezettségnek, például a személyes adatok törlésére vonatkozó követelménynek, ha már nincs rájuk szükség abból a célból, amelyből azokat gyűjtötték, valamint a védelem folyamatosságának biztosítására, amikor a személyes adatokat harmadik felekkel osztják meg. Az uniós magánszemélyek jogorvoslattal élhetnek abban az esetben, ha adataikat amerikai vállalatok helytelenül kezelik. Következő lépésként az EU-USA adatvédelmi keretrendszer működését az Európai Bizottság az európai adatvédelmi hatóságok és az Egyesült Államok illetékes hatóságainak képviselőivel együtt rendszeres felülvizsgálatnak veti alá. Az első felülvizsgálatot a megfelelőségi határozat hatálybalépésétől számított egy éven belül végzik annak ellenőrzésére, hogy az Egyesült Államok teljes mértékben jogrendszerébe ültette-e az összes vonatkozó elemet, és azok hatékonyan működnek-e a gyakorlatban.
A múlt héten Gina Raimondo amerikai kereskedelmi miniszter bejelentette, hogy az adatvédelmi keretrendszer végrehajtásához szükséges valamennyi kötelezettségvállalás teljesült, különösen a jogorvoslati mechanizmus és a hírszerző szolgálatok korlátozásai tekintetében. Szintén a múlt héten az EU nemzeti képviselői széles többséggel elfogadták az adatok megfelelőségéről szóló határozatot. Reynders szerint a Bizottság "jelentős előrelépést" tett, és elérte a megfelelő egyensúlyt a kollektív biztonság és az egyéni jogok között. A megfelelőségi határozat végleges változatával azonban nem mindenki maradéktalanul elégedett.
Az Európai Adatvédelmi Testület - amely az összes uniós adatvédelmi hatóságot tömöríti - az adatok megfelelőségéről szóló határozat több pontján is javítanivalót emelt ki, különösen az érintettek jogait, a továbbított adattovábbítást és az ideiglenes tömeges adatgyűjtést illetően. Emellett az európai adatvédelmi szabályozók megjegyezték, hogy szorosan figyelemmel kell kísérni, hogy a gyakorlatban hogyan fog működni a jogorvoslati mechanizmus, és hogyan fogják értelmezni a szükségesség és az arányosság elvét. Különösen az adatokhoz való "arányos" hozzáférés fogalma nem biztos, hogy összhangban van az EU Alapjogi Chartájával, mivel az amerikai joggyakorlat fogja meghatározni ezt a fogalmat.
A jogorvoslati mechanizmus egy másik ellentmondásos szempont. A polgári szabadságjogok védelméért felelős tisztviselőn kívül az adatvédelmi felülvizsgálati bíróságot is magában foglalja, amely azonban nem teljesen független, mivel az amerikai végrehajtó hatalom alá tartozik. "Pusztán annak bejelentése, hogy valami "új", "robusztus" vagy "hatékony", nem elég a Bíróság előtt" - mondta Max Schrems osztrák aktivista, aki megnevezte a bírósági ügyeket, hozzátéve, hogy az amerikai megfigyelési törvények módosítására is szükség lenne ahhoz, hogy "ez működjön", de "egyszerűen nincs meg". Reynders biztos az esetleges Schrems III-ról szóló kérdésre azt mondta, hogy szerinte hasznos lehet az új rendszer tesztelése, mielőtt bíróság elé kerülne. Hozzátette, hogy az új keretrendszer bevezetése előtt találkozott Schremsszel, valamint más érdekelt felekkel is. Schrems arra számít, hogy a megfelelőségi határozat legújabb változata "jövő év elejére visszakerül a Bíróság elé", amely akkor "akár fel is függesztheti az új megállapodást, amíg érdemben felülvizsgálja azt".
A személyes adatok EU-ból az Egyesült Államokba történő továbbítását az Európai Unió Bírósága két mérföldkőnek számító ügyben is jogellenesnek ítélte. A legutóbbi, Schrems II. elnevezésű ítéletben az uniós bírák az amerikai biztonsági szolgálatok birtokában lévő európai tömeges adatokhoz való aránytalan hozzáférést és azok nem megfelelő védelmét emelték ki, ahogyan azt Edward Snowden 2013-ban először nyilvánosságra hozta. Az EU-USA adatvédelmi keret új, kötelező erejű biztosítékokat vezet be az Európai Unió Bírósága által felvetett valamennyi aggály kezelésére, ideértve az Egyesült Államok hírszerző szolgálatainak az uniós adatokhoz való hozzáférésének a szükséges és arányos mértékre való korlátozását, valamint az adatvédelmi felülvizsgálati bíróság (DPRC) létrehozását.
Az új keret lehetővé teszi, hogy ha megállapítást nyer, hogy az adatgyűjtés az új biztosítékok megsértésével történt, elrendeljék az adatok törlését. Az adatokhoz való kormányzati hozzáférés területén az új biztosítékok kiegészítik azokat a kötelezettségeket, amelyeket az EU-ból adatokat importáló egyesült államokbeli vállalatoknak be kell tartaniuk. Az adatokhoz való hozzáférés a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozódik - tették hozzá. Didier Reynders, az Európai Bizottság igazságügyi biztosa sajtótájékoztatóján kijelentette, hogy "a személyes adatok mostantól szabadon és biztonságosan áramolhatnak az európai gazdasági térségből az Egyesült Államokba".
A megfelelőségi határozat szövegének az eredeti tervezethez képest jelentős kiegészítése, hogy ha egy szervezet nem tesz eleget az európai adatvédelmi hatóság kérésének, az ügyet jelezni kell az amerikai kereskedelmi minisztériumnak és a Szövetségi Kereskedelmi Bizottságnak. Tovább pontosították a vállalatok által az Egyesült Államokban tárolt adatokhoz való hozzáférésre vonatkozó közigazgatási idézés és a házkutatási parancsok kiadásának feltételeit közérdekű célokból. A megfelelőségi határozat továbbá megköveteli, hogy a hírszerző szolgálatok határozzák meg a konkrét megőrzési időszakot és az indoklást, például a tárolt információk típusát vagy azt, hogy azokra szükség van-e egy személy védelméhez.
Az amerikai vállalatok csatlakozhatnak az EU-USA adatvédelmi keretrendszerhez, ha kötelezettséget vállalnak arra, hogy eleget tesznek számos adatvédelmi kötelezettségnek, például a személyes adatok törlésére vonatkozó követelménynek, ha már nincs rájuk szükség abból a célból, amelyből azokat gyűjtötték, valamint a védelem folyamatosságának biztosítására, amikor a személyes adatokat harmadik felekkel osztják meg. Az uniós magánszemélyek jogorvoslattal élhetnek abban az esetben, ha adataikat amerikai vállalatok helytelenül kezelik. Következő lépésként az EU-USA adatvédelmi keretrendszer működését az Európai Bizottság az európai adatvédelmi hatóságok és az Egyesült Államok illetékes hatóságainak képviselőivel együtt rendszeres felülvizsgálatnak veti alá. Az első felülvizsgálatot a megfelelőségi határozat hatálybalépésétől számított egy éven belül végzik annak ellenőrzésére, hogy az Egyesült Államok teljes mértékben jogrendszerébe ültette-e az összes vonatkozó elemet, és azok hatékonyan működnek-e a gyakorlatban.
A múlt héten Gina Raimondo amerikai kereskedelmi miniszter bejelentette, hogy az adatvédelmi keretrendszer végrehajtásához szükséges valamennyi kötelezettségvállalás teljesült, különösen a jogorvoslati mechanizmus és a hírszerző szolgálatok korlátozásai tekintetében. Szintén a múlt héten az EU nemzeti képviselői széles többséggel elfogadták az adatok megfelelőségéről szóló határozatot. Reynders szerint a Bizottság "jelentős előrelépést" tett, és elérte a megfelelő egyensúlyt a kollektív biztonság és az egyéni jogok között. A megfelelőségi határozat végleges változatával azonban nem mindenki maradéktalanul elégedett.
Az Európai Adatvédelmi Testület - amely az összes uniós adatvédelmi hatóságot tömöríti - az adatok megfelelőségéről szóló határozat több pontján is javítanivalót emelt ki, különösen az érintettek jogait, a továbbított adattovábbítást és az ideiglenes tömeges adatgyűjtést illetően. Emellett az európai adatvédelmi szabályozók megjegyezték, hogy szorosan figyelemmel kell kísérni, hogy a gyakorlatban hogyan fog működni a jogorvoslati mechanizmus, és hogyan fogják értelmezni a szükségesség és az arányosság elvét. Különösen az adatokhoz való "arányos" hozzáférés fogalma nem biztos, hogy összhangban van az EU Alapjogi Chartájával, mivel az amerikai joggyakorlat fogja meghatározni ezt a fogalmat.
A jogorvoslati mechanizmus egy másik ellentmondásos szempont. A polgári szabadságjogok védelméért felelős tisztviselőn kívül az adatvédelmi felülvizsgálati bíróságot is magában foglalja, amely azonban nem teljesen független, mivel az amerikai végrehajtó hatalom alá tartozik. "Pusztán annak bejelentése, hogy valami "új", "robusztus" vagy "hatékony", nem elég a Bíróság előtt" - mondta Max Schrems osztrák aktivista, aki megnevezte a bírósági ügyeket, hozzátéve, hogy az amerikai megfigyelési törvények módosítására is szükség lenne ahhoz, hogy "ez működjön", de "egyszerűen nincs meg". Reynders biztos az esetleges Schrems III-ról szóló kérdésre azt mondta, hogy szerinte hasznos lehet az új rendszer tesztelése, mielőtt bíróság elé kerülne. Hozzátette, hogy az új keretrendszer bevezetése előtt találkozott Schremsszel, valamint más érdekelt felekkel is. Schrems arra számít, hogy a megfelelőségi határozat legújabb változata "jövő év elejére visszakerül a Bíróság elé", amely akkor "akár fel is függesztheti az új megállapodást, amíg érdemben felülvizsgálja azt".