Állásfoglalásra irányuló indítvány - B8-0622/2016Állásfoglalásra irányuló indítvány
B8-0622/2016

ÁLLÁSFOGLALÁSI INDÍTVÁNY a transzatlanti adatáramlásokról

17.5.2016 - (2016/2727(RSP))

benyújtva a Tanács és a Bizottság nyilatkozatait követően
az eljárási szabályzat 123. cikkének (2) bekezdése alapján

Jan Philipp Albrecht, Judith Sargentini a Verts/ALE képviselőcsoport nevében

Eljárás : 2016/2727(RSP)
A dokumentum állapota a plenáris ülésen
Válasszon egy dokumentumot :  
B8-0622/2016
Előterjesztett szövegek :
B8-0622/2016
Elfogadott szövegek :

B8-0622/2016

European Parliament resolution on transatlantic data flows

(2016/2727(RSP))

Az Európai Parlament,

–  tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK európai parlamenti és tanácsi irányelvre[1] (a továbbiakban: „az irányelv”) és különösen annak 25. cikkére,

–  tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/697 európai parlamenti és tanácsi rendeletre[2] (a továbbiakban: „általános adatvédelmi rendelet”), amely 2016. május 24-jén lépett hatályba, és amelyet 2018. május 25-től kell alkalmazni,

–  tekintettel az Európai Unió Alapjogi Chartájára (a továbbiakban: „a Charta”), valamint az emberi jogok európai egyezményére (EJEE),

–  tekintettel az Európai Bíróság C-362/14 számú, Maximillian Schrems kontra adatvédelmi biztos ügyben hozott 2015. október 6-i ítéletére,

–  tekintettel EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2016. február 29-i bizottsági végrehajtási határozat tervezetére, valamint az Egyesült Államok kormánya és Kereskedelmi Minisztériuma által küldött, a tervezethez mellékletként csatolt levelekre,

–  tekintettel a „transzatlanti adatáramlás: erős biztosítékok a bizalom helyreállításáért” című 2016. február 29-i (COM(2016)0117), „a védett adatkikötő működéséről az uniós polgárok és az EU-ban letelepedett vállalatok szempontjából” című 2013. november 27-i (COM(2013)0847) és „az Európai Unió és az Egyesült Államok közötti adatáramlás vonatkozásában a bizalom újjáépítéséről” című 2013. november 27-i (COM(2013)0846) bizottsági közleményekre,

–  tekintettel az irányelv 29. cikkének megfelelően felállított munkacsoport e témával kapcsolatos 2016. április 13-i véleményére (WP 238), valamint az ugyanezen témában kiadott korábbi véleményeire (WP12, WP27 és WP 32),

–  tekintettel a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmus szabályainak és általános elveinek megállapításáról szóló 16-i (EU) 182/2011 európai parlamenti és tanácsi rendeletre[3], és különösen a rendelet vizsgálóbizottsági eljárásról szóló 5. cikkére,

–  tekintettel az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló bizottsági határozattervezetről szóló, 2000. július 5-i állásfoglalására[4],

–  tekintettel az egyesült államokbeli NSA megfigyelési programjáról, a különféle tagállamokban megfigyelést végző szervekről és az uniós polgárok alapvető jogaira gyakorolt hatásukról, valamint a transzatlanti bel- és igazságügyi együttműködésről szóló 2014. március 12-i[5], valamint az európai uniós polgárok tömeges elektronikus megfigyeléséről szóló 2014. március 12-i európai parlamenti állásfoglalás nyomon követéséről szóló 2014. október 29-i állásfoglalására[6],

–  tekintettel eljárási szabályzata 123. cikkének (2) bekezdésére,

A.  mivel az információs társadalom és az elektronikus kereskedelem fejlődése, valamint a hírszerző ügynökségek lehallgatási képességeinek fejlesztése globális szinten azt eredményezte, hogy exponenciális nőtt az adatmozgás és az elektronikus kommunikáció, illetve az ilyen adatokkal való visszaélés és az ilyen kommunikáció lehallgatásának veszélye is;

B.  mivel az ilyen visszaélések nemcsak fékezik az e-kereskedelem fejlődését, hiszen aláássák a fogyasztók bizalmát, hanem gyakran sértik az emberek jogait és szabadságait is, és különösen a magánélethez való jogot;

C.  mivel az adatok védelme azok védelmét is jelenti, akikre a feldolgozandó információ vonatkozik, és mivel e védelem az Unió által elismert alapvető jogok közé tartozik (az Európai Unió Alapjogi Chartájának 8. cikke és az Európai Unió működéséről szóló szerződés 16. cikke);

D.  mivel az irányelv, amelyet 2018-ban az általános adatvédelmi rendelet vált fel, rögzíti az érintett jogait és az adatfeldolgozók, illetve a adatfeldolgozás felett ellenőrzést gyakorlók kötelezettségeit;

E.  mivel a védelem haszontalan lenne, ha csak az Unió területére korlátozódna, és nem biztosítana megfelelő, az irányelvvel összhangban álló védelmet azokban a harmadik országok, amelyekbe az adatokat továbbítják;

F.  mivel a személyes adatok harmadik országban érvényesülő védelmének megfelelőségét a harmadik ország nemzeti joga vagy nemzetközi kötelezettségvállalásai fényében kell értékelni, és mivel ezeknek az eszközöknek a gyakorlatban is hatékonynak kell bizonyulniuk;

G.  mivel a Bizottságnak az Unió polgárai és tagállamai nevében gondoskodnia kell arról, hogy az érintett harmadik országokban is megfelelő védelmi szint biztosított;

H.  mivel 2015. október 6-i ítéletében az Európai Unió Bírósága érvénytelennek nyilvánította az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló bizottsági határozatot;

I.  mivel az Európai Bíróság az ítéletben világossá tette, hogy valamely harmadik országban biztosított, megfelelő szintű védelmet úgy kell értelmezni, hogy az „lényegében egyenértékű” az Unióban biztosított védelemmel;

Bevezetés

1.  üdvözli azokat az erőfeszítéseket, amelyeket a Bizottság és az Egyesült Államok kormánya tett, hogy jelentős előrelépést érjenek el az adatvédelmi pajzs tekintetében a védett adatkikötőről szóló határozathoz képest;

2.  hangsúlyozza az alapvető jogok fontosságát, ideértve az adatvédelemhez és a magánélethez való jogot;

3.  hangsúlyozza a transzatlanti kereskedelem és együttműködés fontosságát;

4.  hangsúlyozza a jogbiztonság fontosságát az érintettek és az adatkezelők számára;

5.  aggodalmát fejezi ki amiatt, hogy az adatvédelmi pajzzsal kapcsolatos megállapodás esetleg nem felel meg a Chartában, az irányelvben, az általános adatvédelmi rendeletben, valamint az Európai Bíróság és az Emberi Jogok Európai Bírósága vonatkozó határozataiban szereplő előírásoknak;

Magánszektor

6.  megjegyzi, hogy az adatvédelmi pajzs alapelvei (II. melléklet) nem biztos lényegében egyenértékű elveket, mivel ezek esetében nem szükséges az érintett beleegyezése, nem foglalják magukban az adatminimalizálás elvét, és lehetővé teszik személyes adatok feldolgozását olyan célokból is, amelyek összeegyeztethetetlenek az adatgyűjtés eredeti céljával;

7.  rámutat, hogy az adatvédelmi pajzs alapelvei általános engedélyt adnak mindenféle személyes adat feldolgozására anélkül, hogy szükség lenne az érintett hozzájárulására, vagy teljes mértékben biztosított lenne a tiltakozáshoz való jog; aggodalmát fejezi ki amiatt, hogy még az „opt-out” lehetőségek (értesítés és választási lehetőség) is csak a cél lényeges megváltozása vagy az adatok harmadik félnek való továbbítása esetén állnak rendelkezésre; aggodalmát fejezi ki amiatt, hogy még érzékeny adatok esetében is csak e két esetben van szükség az érintett beleegyezésére;

8.  rámutat, hogy a 2(a) kiegészítő elv összeegyeztethetetlen a Bíróság 2014. május 13-i, a Google Spain/Costeja ügyben (C-131/12) hozott ítéletével és az EU adatvédelmi joga értelmében biztosított törléshez való joggal (a személyes adatok tárolásának megszüntetéséhez való jog);

9.  aggodalmát fejezi ki amiatt, hogy az adatvédelmi pajzs elvei alapján történő jogérvényesítés rendkívül nehéz lenne, mivel az érintettnek öt egymást követő lépést kell tennie (panasz benyújtása az adatkezelőhöz, alternatív vitarendezés, panasztétel a Kereskedelmi Minisztériumnál vagy a Szövetségi Kereskedelmi Bizottságnál az európai adatvédelmi felügyeleti hatóságon keresztül, adatvédelmi pajzs testület, egyesült államokbeli bíróság); emlékeztet rá, hogy az 1993. április 5-i 93/13/EGK tanácsi irányelv értelmében tilos az alternatív vitarendezés a fogyasztói szerződések esetében;

10.  rámutat, hogy az adatvédelmi pajzs elveit megsértő adatkezelőre kiszabott egyetlen szankció az adatvédelmi pajzs jegyzékéből való törlés; úgy véli, hogy ez nem lényegében egyenértékű az uniós adatvédelmi jog, és különösen az általános adatvédelmi rendelet szankcióival és egyéb büntetéseivel;

11.  rámutat, hogy sem a Szövetségi Kereskedelmi Bizottság (FTC), sem a Kereskedelmi Minisztérium, sem az alternatív vitarendezési szolgáltatók nem rendelkeznek az európai felügyeleti hatóságokéhoz hasonló vizsgálati hatáskörrel; emlékeztet rá, hogy az Európai Bíróság kimondta, az elsődleges uniós jog szerinti adatvédelmi felügyelet tekintetében alapvető fontosságúak a tényleges felügyeleti jogkörök;

12.  emlékeztet rá, hogy a megfelelőségi határozat kiváltságos hozzáférést ad az érintett harmadik ország adatkezelői számára az uniós piachoz; aggodalmát fejezi ki amiatt, hogy az adatvédelmi pajzs elvei által előírt, az uniós adatvédelmi szabályoknál kevésbé szigorú követelmények versenyelőnyhöz juttatnák az Egyesült Államokban bejegyzett adatkezelőket és -feldolgozókat az uniós versenytársaikkal szemben;

13.  sajnálatosnak tartja, hogy az elmúlt években tett bizonyos erőfeszítések ellenére az USA még mindig nem fogadott el átfogó fogyasztói adatvédelmi törvényt;

Kormányzati megfigyelés

14.  megjegyzi, hogy a VI. melléklet (Robert S. Litt (ODNI) levele) pontosítja, hogy a 28. elnöki rendelet (PPD-28) értelmében hat esetben továbbra is van lehetőség a nem amerikai állampolgárok tömegesen gyűjtött személyes adatainak és kommunikációinak felhasználására; rámutat, hogy a tömeges gyűjtésnek csupán „ésszerű és a gyakorlatban megvalósítható mértékben” kell „testre szabottnak” lennie, ami nem felel meg a szükségesség és az arányosság Chartában lefektetett kritériumainak; rámutat, hogy az Emberi Jogok Európai Bírósága tavaly kimondta, hogy a szükségesség és arányosság helyes alkalmazásának biztosítása érdekében a lehallgatási engedélynek világosan meg kell határoznia, hogy mely konkrét személyt helyezik megfigyelés alá, és mi célból, valamint hogy az azonosításra nevek, címek, telefonszámok vagy egyéb vonatkozó információk alapján kerülhet sor (Zakharov kontra Oroszország (2015), 264. bekezdés); rámutat, hogy ugyanez a bíróság tavaly azt is pontosította, hogy a szükségességi próba szerint a beavatkozásnak feltétlenül szükségesnek kell lennie egy egyedi műveletben létfontosságú információk adatok megszerzéséhez (Szabó és Vissy kontra Magyarország (2015), 73. bekezdés);

15.  megjegyzi, hogy a VI. melléklet azt is egyértelművé teszi, hogy a személyes adatok és kommunikációk öt évig vagy annál hosszabb ideig is tárolhatók, amennyiben ez „az Egyesült Államok nemzetbiztonsági érdekeit szolgálja”; aggodalmát fejezi ki amiatt, hogy ez sérti az Európai Unió Bíróságának az adatok megőrzéséről szóló 2014. évi (C-293/12 és C-594/12 egyesített ügyek) ítéletét;

16.  megjegyzi, hogy a PPD-28 új szabályokat ír elő a nem egyesült államokbeli személyek adatainak és kommunikációinak felhasználására és terjesztésére vonatkozóan, de nem korlátozza ezek tömeges gyűjtését; megjegyzi, hogy PPD-28 5. lábjegyzete tisztázza, hogy a tömeges gyűjtés az amerikai kormány értelmezése szerint nem foglalja magában a személyes adatok és kommunikációk tömeges megfigyelését és az ezekhez való tömeges hozzáférést, hanem pusztán az ilyen adatok és kommunikációk tömeges mértékű tárolását; aggodalmát fejezi ki amiatt, hogy ez ellentétes az Európai Bíróság Schrems-ügyben hozott ítéletével, amely kimondja, hogy azt a szabályozást, „amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, úgy kell tekinteni, hogy a magánélet tiszteletben tartásához való, a Charta 7. cikkében biztosított alapvető jog lényegét sérti”;

17.  megjegyzi, hogy a PPD-28 nem egyenértékű az amerikai joggal, és azt bármely jövőbeli amerikai elnök egyoldalúan visszavonhatja; figyelmeztet rá, hogy ez jogbizonytalanságot teremt az az adatvédelmi pajzsra hagyatkozó uniós polgárok számára, amennyiben az Egyesült Államok részére továbbított valamennyi adat elveszítheti az adatvédelmi pajzs szerinti védelmet, mindenféle jogorvoslati lehetőség, jogalkotási eljárás vagy előzetes figyelmeztetés nélkül;

18.  megjegyzi, hogy a II. melléklet 5. pontjában szereplő általános nemzetbiztonsági kivételt szó szerint másolták át a védett adatkikötőre vonatkozó elvekből;

19.  tudomásul veszi, hogy az Egyesült Államok Külügyminisztériumában kineveztek egy ombudsmant, aki kapcsolatot tart az uniós felügyeleti hatóságokkal a kormányzati megfigyeléssel kapcsolatos kérdésekben; rámutat azonban arra, hogy az Alapjogi Charta 47. cikk értelmében jogorvoslati lehetőséget kell biztosítani az érintett számára; megállapítja, hogy a III. melléklet (John F. Kerry külügyminiszter levele) kimondja, hogy az ombudsman „sem megerősíteni, sem cáfolni nem tudja, hogy egy adott személy megfigyelés alatt van-e”, és nem tud „különleges jogorvoslatot megerősíteni” (4(e) bekezdés); hangsúlyozza továbbá, hogy az ombudsman nem rendelkezik a végrehajtó hatalomtól való szükséges függetlenséggel, hiszen a külügyminiszternek tartozik felelősséggel;

20.  megjegyzi, hogy mivel a védett adatkikötőről szóló határozat érvénytelenítése óta az USA nem tett intézkedéseket annak érdekében, hogy visszafogja az Európai Bíróság által említett megfigyelési programokat, hanem épp ellenkezőleg, elfogadta a kiberbiztonságról szóló 2015. évi törvényt, és hamarosan véglegesíti a szövetségi büntetőeljárási szabályok 41. cikkének módosítását, ami tovább veszélyeztetné a nem egyesült államokbeli személyek magánéletének védelmét;

21.  megjegyzi, hogy mindezek ellenére továbbra is az Egyesült Államok az egyetlen olyan ország, amely lépéseket tett az alapvető jogok védelme érdekében a globális megfigyelési műveletekről napvilágra került információk nyomán, elfogadva a 2015. évi „USA Freedom Act” törvényt, amely korlátozza az Egyesült Államok hírszerző ügynökségei általi tömeges megfigyelést az Egyesült Államokon belül; aggodalmát fejezi ki azonban amiatt, hogy nem változott az Egyesült Államok hírszerző ügynökségei által az USA területén kívül, illetve a nem amerikai állampolgárokkal szemben az USA területén folytatott tömeges megfigyelés jogi helyzete (50. cím, §1881a (702. szakasz)); úgy véli, hogy az Egyesült Államoknak további jogszabályokat kell elfogadnia e helyzet orvoslása érdekében;

22.  rámutat, hogy számos tagállam, köztük Franciaország, az Egyesült Királyság és Hollandia is olyan jogszabályok elfogadását tervezi, vagy már el is fogadtak olyan jogszabályokat, amelyek jelentős mértékben fokozzák megfigyelési hatásköreiket és kapacitásaikat, de nem felelnek meg az Alapjogi Charta 7. és 8. cikkének, valamint az Európai Unió Bírósága és az Emberi Jogok Európai Bírósága ítélkezési gyakorlatának; felhívja a Bizottságot, hogy indítson kötelezettségszegési eljárást e tagállamok ellen;

Egyéb kérdések

23.  rámutat, hogy a Bizottság nem végzett vizsgálatokat azzal kapcsolatosan, hogy miként érvényesülnek az uniós polgárok jogai és védelme abban az esetben, ha egy amerikai adatkezelő az adatvédelmi pajzs értelmében továbbítja személyes adataikat egy amerikai bűnüldöző hatóságnak; rámutat, hogy a bűnüldöző hatóságok adatokhoz való hozzáférésére vonatkozó VII. melléklet (Bruce C. Swartz levele, Igazságügyi Minisztérium) csak a vállalkozások által tárolt adatokhoz való hozzáférésre tér ki, de nem foglalkozik az érintettek és azon személyek jogorvoslati lehetőségeivel, akiknek az adataihoz hozzáfértek;

24.  üdvözli, hogy a bizottsági végrehajtási határozat tervezetének 3. cikke szerint az uniós adatvédelmi felügyeleti hatóságok továbbra is felfüggeszthetik személyes adatok továbbítását az adatvédelmi pajzsban részt vevő adatkezelők számára; rámutat, hogy ez összhangban van a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről szóló 2001/497/EK bizottsági határozat 4. cikkével;

25.  hangsúlyozza, hogy az általános adatvédelmi rendelet bevezette a teljesítés helye szerinti jog alkalmazásának elvét; rámutat, hogy e rendelet alkalmazását követően számos, addig a védett adatkikötőről szóló megállapodást alkalmazó amerikai adatkezelő térhet át az adatvédelmi pajzs alkalmazására, és lesz köteles közvetlenül megfelelni a rendeletnek abban az esetben, ha az uniós piacon nyújt szolgáltatásokat, vagy ha az Unióban követ nyomon személyeket;

Következtetések

26.  úgy ítéli meg, hogy az adatvédelmi pajzs és az egyesült államokbeli helyzet nem jelent lényeges javulást a védett adatkikötőről szóló megállapodáshoz képest;

27.  rámutat, hogy nagyon valószínű, hogy a megfelelőségi határozat tervezetét is bíróság elé viszik majd az elfogadása után; rámutat arra, hogy ez jogbizonytalanságot teremt a vállalkozások és az egyének számára; megállapítja, hogy adatvédelmi szakértők és a gazdasági szervezetek már tanácsolják a cégek számára, hogy más módszereket alkalmazzanak a személyes adatok Egyesült Államokba történő továbbítására;

28.  aggódik amiatt, hogy a Bizottság túllépheti végrehajtási hatáskörét azzal, ha az amerikai rendszer teljes körű értékelése nélkül, illetve a jelen állásfoglalásban kiemelt kérdések figyelembe vétele nélkül úgy dönt, hogy az adatvédelmi pajzsról szóló megállapodás megfelelő védelmet biztosít az Egyesült Államokban;

29.  felhívja a Bizottságot, hogy folytassa a párbeszédet az Egyesült Államokkal annak érdekében, hogy még nagyobb előrelépést lehessen elérni az adatvédelmi pajzsról szóló megállapodás terén annak jelenlegi hiányosságai fényében, és minimalizálni lehessen annak esélyeit, hogy a megfelelőségi határozat elbukik a bíróságon;

30.  felhívja a Bizottságot, hogy illesszen be – legalább kétéves – hatályvesztési záradékot a megfelelőségi határozat érvényességére vonatkozóan, és az általános adatvédelmi rendelet alapján kezdjen új tárgyalásokat az USA-val a keret javításáról;

31.  utasítja elnökét, hogy továbbítsa ezt az állásfoglalást a Tanácsnak, a Bizottságnak, a tagállamok kormányainak és parlamentjeinek, valamint az Egyesült Államok kormányának és Kongresszusának.