ÁLLÁSFOGLALÁSI INDÍTVÁNY a transzatlanti adatáramlásokról
23.5.2016 - (2016/2727(RSP))
az eljárási szabályzat 123. cikkének (2) bekezdése alapján
Cornelia Ernst, Marina Albiol Guzmán, Barbara Spinelli, Javier Couso Permuy, Luke Ming Flanagan, Tania González Peñas, Miguel Urbán Crespo, Lola Sánchez Caldentey, Xabier Benito Ziluaga, Estefanía Torres Martínez, Stelios Kouloglou, Kostas Chrysogonos, Dimitrios Papadimoulis, Marisa Matias, Eleonora Forenza, Patrick Le Hyaric, a GUE/NGL képviselőcsoport nevében
Az Európai Parlament,
– tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre (a továbbiakban: „az irányelv”)[1] és különösen annak 25. cikkére,
– tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv[2] hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/697 európai parlamenti és tanácsi rendeletre (a továbbiakban: „általános adatvédelmi rendelet”), amely 2016. május 24-jén lépett hatályba, és amelyet két évvel ezt az időpontot követően kell alkalmazni,
– tekintettel az Európai Unió Alapjogi Chartájára, valamint az emberi jogok európai egyezményére,
– tekintettel az Európai Bíróság C-362/14 számú, Maximillian Schrems kontra adatvédelmi biztos ügyben hozott 2015. október 6-i ítéletére,
– tekintettel EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2016. február 29-i bizottsági végrehajtási határozat tervezetére, valamint az Egyesült Államok kormánya és az Egyesült államok Szövetségi Kereskedelmi Bizottsága által küldött, a tervezethez mellékletként csatolt levelekre,
– tekintettel az erről a témáról szóló, 2016. február 29-i (COM(2016)0117), valamint az „a védett adatkikötő működéséről az uniós polgárok és az EU-ban letelepedett vállalatok szempontjából” című 2013. november 27-i (COM(2013)0847) és „az Európai Unió és az Egyesült Államok közötti adatáramlás vonatkozásában a bizalom újjáépítéséről” című 2013. november 27-i (COM(2013)0846) bizottsági közleményekre,
– tekintettel az irányelv 29. cikkének megfelelően felállított munkacsoport e témával kapcsolatos 2016. április 13-i véleményére (WP 238), valamint az ugyanezen témában kiadott korábbi véleményekre (WP12, WP27 és WP 32),
– tekintettel a Bizottság végrehajtási hatásköreinek gyakorlására vonatkozó tagállami ellenőrzési mechanizmus szabályainak és általános elveinek megállapításáról szóló, 2011. február 16-i (EU) 182/2011 európai parlamenti és tanácsi rendeletre[3], és különösen a rendelet vizsgálóbizottsági eljárásról szóló 5. cikkére,
– tekintettel az Egyesült Államok Kereskedelmi Minisztériuma által kiadott, a védett adatkikötőre vonatkozó elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló bizottsági határozattervezetről szóló, 2000. július 5-i állásfoglalására[4],
– tekintettel az egyesült államokbeli NSA megfigyelési programjáról, a különféle tagállamokban megfigyelést végző szervekről és az uniós polgárok alapvető jogaira gyakorolt hatásukról, valamint a transzatlanti bel- és igazságügyi együttműködésről szóló 2014. március 12-i[5], valamint az európai uniós polgárok tömeges elektronikus megfigyeléséről szóló 2014. március 12-i európai parlamenti állásfoglalás nyomon követéséről szóló 2015. október 29-i állásfoglalására[6],
– tekintettel eljárási szabályzata 123. cikkének (2) bekezdésére,
A. mivel az információs társadalom és az elektronikus kereskedelem fejlődése, valamint a hírszerző ügynökségek lehallgatási képességeinek fejlesztése globális szinten azt eredményezte, hogy exponenciális nőtt az adatmozgás és az elektronikus kommunikáció, illetve az ilyen adatokkal való visszaélés és az ilyen kommunikáció lehallgatásának veszélye is;
B. mivel az ilyen visszaélések nemcsak fékezik az e-kereskedelem fejlődését, amennyiben aláássák a fogyasztók bizalmát, hanem gyakran sértik az emberek jogait és szabadságait is, és különösen a magánélethez való jogot;
C. mivel globális tendencia, hogy az állami bűnüldöző hatóságok hatalmas mennyiségű, a magánszemélyek birtokában lévő személyes adatot dolgoznak fel, és ezáltal elmosódik a határvonal a bűnüldözés szereplői és az üzleti élet szereplői között, ami súlyos kérdéseket vet fel a célhoz kötöttség kulcsfontosságú alapelvével kapcsolatban;
D. mivel az adatok védelme azok védelmét is jelenti, akikre a feldolgozandó információ vonatkozik, és mivel e védelem az Unió által elismert alapvető jogok közé tartozik (az Európai Unió Alapjogi Chartájának 8. cikke és az EUMSZ 16. cikke);
E. mivel a 95/46/EK irányelv („az adatvédelmi irányelv”), amelyet 2018-ban az általános adatvédelmi rendelet vált fel, rögzíti az érintett jogait és az adatfeldolgozók, illetve az említett adatfeldolgozás felett ellenőrzést gyakorlók vonatkozó kötelezettségeit, ideértve azokat az eseteket is, amikor a személyes adatokat az Unión kívülre továbbítják;
F. mivel a személyes adatok harmadik országokban való védelmének megfelelőségét az adott állam teljes jogrendszerének szigorú vizsgálata révén kell értékelni, és mivel a védelemnek összességében a személyes adatok vonatkozásában az Unió által biztosított védelmi szinttel egyenértékű védelmi szintet kell biztosítania;
G. mivel az uniós adatvédelmi jogszabályok a Bizottságra bízzák, hogy az Unió és tagállamai polgárai nevében gondoskodjon arról, hogy a harmadik országok megfelelő védelmi szintet biztosítsanak;
H. mivel 2015. október 6-i ítéletében a Bíróság érvénytelennek nyilvánította az Egyesült Államok Kereskedelmi Minisztériuma által kiadott, a védett adatkikötőre vonatkozó elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló bizottsági határozatot;
I. mivel a Bíróság az ítéletben világossá tette, hogy valamely harmadik országban biztosított, megfelelő szintű védelmet úgy kell értelmezni, hogy az „lényegében egyenértékű” az Unióban biztosított védelemmel;
Bevezetés
1. hangot ad a magánélethez való és a személyes adatok védelméhez való emberi jogok melletti szilárd elkötelezettségének;
2. figyelmeztet egy olyan kultúra irányába történő elmozdulást kirajzoló, egyre növekvő tendenciára, amelynek során mind a magán-, mind az állami szereplők habozás nélkül semmibe veszik az adatvédelemhez való jogot, és olyan üzleti, illetve bűnüldözési modelleket alakítanak ki, amelyek sértik ezt az alapvető jogot, amely minden demokratikus társadalomban központi szerepet tölt be;
3. hangsúlyozza, hogy az EU adatvédelmi kerete maradéktalanul biztosítja a nemzetközi kereskedelmi tevékenységek gyakorlását, tekintettel arra, hogy a személyes adatok védelmének magas szintjét biztosítja, az Európai Unió Alapjogi Chartájában rögzítetteknek megfelelően;
4. ezért elutasítja azt a hamis dichotómiát, miszerint az alapvető jogok összefüggésében a magánélethez való jog és a személyes adatok védelmének magas szintje valamiképpen gátolná a személyes adatoknak az Európa és az Egyesült Államok közti szabad áramlását;
5. ehelyett hangsúlyozza, hogy a polgárok világszerte egyre inkább az olyan vállalkozások felé fordulnak, amelyek termékeikben érvényesítik a beépített adatvédelem elvét, ami arra utal, hogy mind a polgárok (mint fogyasztók), mind a vállalkozások megértik, hogy a magánélethez való jog mindennapi életünk alapvető eleme;
6. rámutat az Egyesült Államokban tapasztalt fejleményekre, melyek során a magánvállalkozások egyre nagyobb mértékben szállnak szembe az intruzív állami erőkkel, amelyek tevékenyen alá próbálják ásni a vállalkozások által a termékek vonatozásában alkalmazott, a beépített és alapértelmezett adatvédelmet célzó politikákat;
Magánszektor
7. hangsúlyozza, hogy a biztonságos kikötő megállapodással a legnagyobb probléma a nevetséges öntanúsítási eljárás, melynek révén magukra a vállalkozásokra bízták annak tanúsítását, hogy betartják a személyes adatok védelmére vonatkozó kulcsfontosságú elveket, miközben a Szövetségi Kereskedelmi Bizottság (FTC) kezében semmilyen eszköz sincs a jogszabályok érvényesítésére;
8. rámutat, hogy az alapvető jogok terén a puszta önszabályozás nem képes biztosítani a fékek és a biztosítékok az alapvető jogok érvényre jutatásához szükséges egyensúlyát;
9. aggodalmát fejezi ki amiatt, hogy az adatvédelmi pajzzsal kapcsolatos, frissen létrejött megállapodás nem felel majd meg az Európai Unió Alapjogi Chartájában, az adatvédelmi irányelvben, az általános adatvédelmi rendeletben, valamint a Bíróság és az Emberi Jogok Európai Bírósága vonatkozó határozataiban szereplő előírásoknak;
10. megjegyzi, hogy az adatvédelmi pajzs alapelvei (II. melléklet) nem biztosítanak „lényegében egyenértékű” elveket, mivel ezek esetében nem szükséges az érintett beleegyezése, nem foglalják magukban az adatminimalizálás elvét, és lehetővé teszik személyes adatok feldolgozását olyan célokból is, amelyek összeegyeztethetetlenek az adatgyűjtés eredeti céljával, és így nem felelnek meg az uniós adatvédelmi jog alapelveinek;
11. rámutat, hogy az adatvédelmi pajzs alapelvei általános engedélyt adnak a személyes adatok mindenféle típusú feldolgozására anélkül, hogy szükség lenne az érintett hozzájárulására, vagy teljes mértékben biztosított lenne a tiltakozáshoz való jog; aggodalmát fejezi ki amiatt, hogy még az „opt-out” lehetőség (értesítés és választási lehetőség) is csak a cél lényeges megváltozása vagy az adatok harmadik félnek való továbbítása esetén áll rendelkezésre; aggodalmát fejezi ki amiatt, hogy még érzékeny adatok esetében is csak e két esetben van szükség az érintett beleegyezésére;
12. rámutat, hogy a 2(a) kiegészítő elv összeegyeztethetetlen a Bíróság 2014. május 13-i, a Google Spain/Costeja ügyben (C-131/12) hozott ítéletével és az EU adatvédelmi joga értelmében biztosított törléshez való joggal (a személyes adatok tárolásának megszüntetéséhez való jog);
13. aggodalmát fejezi ki amiatt, hogy az adatvédelmi pajzs elvei alapján történő jogérvényesítés rendkívül nehéz folyamat lenne, mivel az érintettnek öt egymást követő lépést kellene tennie (panasz benyújtása az adatkezelőhöz, alternatív vitarendezés, panasztétel a Kereskedelmi Minisztériumnál vagy a Szövetségi Kereskedelmi Bizottságnál az európai adatvédelmi felügyeleti hatóságon keresztül, adatvédelmi pajzs testület, egyesült államokbeli bíróság); emlékeztet rá, hogy az 1993. április 5-i 93/13/EGK tanácsi irányelv értelmében tilos az alternatív vitarendezés a fogyasztói szerződések esetében;
14. rámutat, hogy az adatvédelmi pajzs elveit megsértő adatkezelőre kiszabott egyetlen szankció az adatvédelmi pajzs jegyzékéből való törlés; nem fogadhatja el, hogy ez lényegében egyenértékű volna az uniós adatvédelmi jog, és különösen az általános adatvédelmi rendelet szerinti szankciókkal és egyéb büntetésekkel;
15. rámutat, hogy sem a Szövetségi Kereskedelmi Bizottság (FTC), sem a Kereskedelmi Minisztérium, sem az alternatív vitarendezési szolgáltatók nem rendelkeznek az európai felügyeleti hatóságokéhoz hasonló vizsgálati hatáskörrel; ismételten emlékeztet rá, hogy a Bíróság kimondta, az elsődleges uniós jog szerinti adatvédelmi felügyelet tekintetében szükségesek a tényleges felügyeleti jogkörök;
16. kéri, hogy az egyenértékű végrehajtás biztosítása érdekében egyszerűsítsék az adatvédelmi pajzsot és hozzák összhangba a végrehajtási eljárással, továbbá tegyék lehetővé az érintett adatalanyok nevében fellépő nemzeti adatvédelmi hatóságok közvetlen bevonását;
17. ismételten emlékeztet rá, hogy a megfelelőségi határozat kiváltságos hozzáférést ad az érintett harmadik ország adatkezelői számára az uniós piachoz; aggodalmát fejezi ki amiatt, hogy az adatvédelmi pajzs elvei által előírt, az uniós adatvédelmi szabályoknál kevésbé szigorú követelmények versenyelőnyhöz juttatnák az USA-ban bejegyzett adatkezelőket és -feldolgozókat az uniós versenytársaikkal szemben;
18. sajnálatosnak tartja, hogy az elmúlt években tett bizonyos erőfeszítések ellenére az USA még mindig nem fogadott el átfogó fogyasztói adatvédelmi törvényt;
Kormányzati megfigyelés
19. komoly aggodalmának ad hangot amiatt, hogy állami hatóságuknak lehetőségük van hozzáférni az adatvédelmi pajzs keretében továbbított adatokhoz, így ugyanis nem áll rendelkezésre elegendő pontos információ az EU-ból származó személyes adatok tömeges és válogatás nélküli gyűjtésének kizárásához; emlékeztet arra, hogy ez az elem kulcsfontosságú volt a Bíróság C-362/14 számú (Maximillian Schrems kontra adatvédelmi biztos ügyben hozott) ítéletében, amely a védett adatkikötőről szóló határozatot érvénytelennek nyilvánította azon az alapon, hogy nem biztosít védelmet a panaszos számára az USA hatóságainak behatoló jellegű megfigyelési hatáskörével szemben, miként azt a Snowden által közzétett információk leleplezték;
20. megjegyzi, hogy a VI. melléklet (Robert S. Litt, a Nemzeti Hírszerzés Hivatala Igazgatója (DNI) által küldött levél) pontosítja, hogy a 28. elnöki rendelet (a továbbiakban: „PPD-28”) értelmében hat esetben továbbra is lehetőség van nem amerikai állampolgárok személyes adatainak és kommunikációinak tömeges gyűjtésére; rámutat, hogy a tömeges gyűjtésnek csupán „ésszerű és a gyakorlatban megvalósítható mértékben” kell „testre szabottnak” lennie, ami nem felel meg a szükségesség és az arányosság tekintetében a Chartában előírt kritériumoknak; rámutat, hogy az Emberi Jogok Európai Bírósága tavaly kimondta, hogy a szükségességgel és arányossággal kapcsolatos teszt helyes alkalmazásának biztosítása érdekében a lehallgatási engedélynek világosan meg kell határoznia, hogy mely konkrét személyt helyeznek megfigyelés alá és mi célból, valamint hogy az azonosításra nevek, címek, telefonszámok vagy egyéb vonatkozó információk alapján kerülhet sor (Zakharov kontra Oroszország (2015), 47143/06, 2015. december 4., 264. paragrafus); rámutat, hogy az Emberi Jogok Európai Bírósága tavaly azt is pontosította, hogy a „szükségességi teszt” tanúsága szerint a beavatkozásnak feltétlenül szükségesnek kell lennie egy egyedi műveletben létfontosságú információk adatok megszerzéséhez (Szabó és Vissy kontra Magyarország, 37138/14, 2016. január 12., 73. paragrafus);
21. megjegyzi, hogy a VI. melléklet azt is egyértelművé teszi, hogy a személyes adatok és kommunikációk öt évig vagy akár hosszabb ideig is tárolhatók, amennyiben ez „az Egyesült Államok nemzetbiztonsági érdekeit szolgálja”; aggodalmát fejezi ki amiatt, hogy ez sérti az Európai Unió Bíróságának az adatok megőrzéséről szóló 2014. évi (C-293/12 és C-594/12 egyesített ügyekben hozott) ítéletét;
22. megjegyzi, hogy a PPD-28 új szabályokat ír elő a nem egyesült államokbeli személyek adatainak és kommunikációinak felhasználására és terjesztésére vonatkozóan, de nem korlátozza ezek tömeges gyűjtését; megjegyzi, hogy PPD-28 az 5. lábjegyzetében tisztázza, hogy a „tömeges gyűjtés” az amerikai kormány értelmezése szerint nem foglalja magában a személyes adatok és kommunikációk tömeges megfigyelését és az ezekhez való tömeges hozzáférést, hanem pusztán az ilyen adatok és kommunikációk tömeges mértékű tárolását; aggodalmát fejezi ki amiatt, hogy ez ellentétes az Európai Bíróság Schrems-ügyben hozott ítéletével, amely kimondja, hogy azt a szabályozást, „amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, úgy kell tekinteni, hogy a magánélet tiszteletben tartásához való, a Charta 7. cikkében biztosított alapvető jog lényegét sérti”;
23. megjegyzi, hogy a II. melléklet 5. pontjában szereplő általános nemzetbiztonsági kivételt szó szerint másolták át a védett adatkikötőre vonatkozó elvekből, és alkalmazását nem korlátozták;
24. megjegyzi, hogy az Egyesült Államok Külügyminisztériumában kineveztek egy ombudsmant, aki kapcsolatot tart az uniós felügyeleti hatóságokkal a kormányzati megfigyeléssel kapcsolatos kérdésekben; rámutat, hogy az Alapjogi Charta 47. cikk értelmében azonban jogorvoslati lehetőséget kell biztosítani az érintett számára; megjegyzi, hogy a III. melléklet (John F. Kerry külügyminiszter levele) kimondja, hogy az ombudsman „sem megerősíteni, sem cáfolni nem tudja, hogy egy adott személy megfigyelés alatt van-e”, és nem áll módjában „különleges jogorvoslat alkalmazását megerősíteni” ((4) bekezdés e) pont); hangsúlyozza továbbá, hogy az ombudsman nem rendelkezik a végrehajtó hatalomtól való szükséges függetlenséggel, hiszen a külügyminiszternek tartozik felelősséggel;
25. megjegyzi, hogy mivel a védett adatkikötőről szóló határozat érvénytelenítése óta az USA nem tett intézkedéseket annak érdekében, hogy visszafogja a Bíróság által említett megfigyelési programokat, hanem épp ellenkezőleg, elfogadta a kiberbiztonságról szóló 2015. évi törvényt, és hamarosan véglegesíti a szövetségi büntetőeljárási szabályok 41. cikkének módosítását, ami tovább veszélyeztetné a nem egyesült államokbeli személyek magánéletének védelmét;
26. megjegyzi, hogy mindezek ellenére továbbra is az Egyesült Államok az egyetlen olyan ország, amely lépéseket tett az alapvető jogok védelme érdekében a globális megfigyelési műveletekről napvilágra került információk nyomán, elfogadva a 2015. évi „USA Freedom Act” törvényt, amely korlátozza az USA hírszerző ügynökségei általi tömeges megfigyelést az Egyesült Államokon belül; aggodalmát fejezi ki azonban amiatt, hogy nem változott az Egyesült Államok hírszerző ügynökségei által az USA területén kívül, illetve a nem amerikai állampolgárokkal szemben az USA területén belül folytatott tömeges megfigyelés jogi helyzete (50 USC §1881a (702. szakasz)); úgy véli, hogy az Egyesült Államoknak további jogszabályokat kell elfogadnia e helyzet orvoslása érdekében;
27. rámutat, hogy számos tagállam, köztük Franciaország és az Egyesült Királyság is olyan jogszabályok elfogadását tervezi vagy elfogadott olyan jogszabályokat, amelyek jelentős mértékben fokozzák megfigyelési hatásköreiket és kapacitásaikat, de nem felelnek meg az Alapjogi Charta 7. és 8. cikkének vagy a Bíróság és az Emberi Jogok Európai Bírósága ítélkezési gyakorlatának; felhívja a Bizottságot, hogy indítson kötelezettségszegési eljárásokat e tagállamok ellen;
Egyéb kérdések
28. rámutat, hogy a Bizottság nem végzett vizsgálatokat azzal kapcsolatosan, hogy miként érvényesül az uniós polgárok jogainak védelme abban az esetben, ha egy amerikai adatkezelő az adatvédelmi pajzs értelmében továbbítja személyes adataikat valamely amerikai bűnüldöző hatóságnak; rámutat, hogy a bűnüldöző hatóságok adatokhoz való hozzáférésére vonatkozó VII. melléklet (Bruce C. Swartz levele, Igazságügyi Minisztérium) csak a vállalkozások által tárolt adatokhoz való hozzáférésre tér ki, de nem foglalkozik az érintettek és azon személyek jogorvoslati lehetőségeivel, akiknek az adataihoz hozzáfértek;
29. üdvözli, hogy a bizottsági végrehajtási határozat tervezetének 3. cikke szerint az uniós adatvédelmi felügyeleti hatóságok továbbra is felfüggeszthetik személyes adatok továbbítását az adatvédelmi pajzsban részt vevő adatkezelők számára; rámutat, hogy ez összhangban van a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről szóló 2001/497/EK bizottsági határozat 4. cikkével;
30. nyomatékosan felhívja a figyelmet a teljesítés helye szerinti jog alkalmazásának elvére, amelyet az általános adatvédelmi rendelet vezetett be; rámutat, hogy e rendelet alkalmazását követően számos, addig a védett adatkikötőről szóló megállapodást alkalmazó amerikai adatkezelő térhet át az adatvédelmi pajzs alkalmazására, és lesz köteles közvetlenül megfelelni a rendeletnek – többek között a rendeletben előírt végrehajtási rendszernek –abban az esetben, ha az uniós piacon nyújt szolgáltatásokat, vagy ha az Unióban követ nyomon személyeket;
Következtetések
31. azt a következtetést vonja le, hogy az adatvédelmi pajzs és az egyesült államokbeli helyzet nem hoz elégséges javulást a védett adatkikötőről szóló megállapodáshoz képest;
32. rámutat annak nagy valószínűségére, hogy a megfelelőségi határozat tervezetét is bíróság elé viszik majd az elfogadása után; rámutat arra, hogy ez jogbizonytalanságot teremt mind az egyének, mind a vállalkozások számára; megjegyzi, hogy adatvédelmi szakértők és a gazdasági szervezetek már tanácsolják cégek számára, hogy más módszereket alkalmazzanak a személyes adatok Egyesült Államokba történő továbbítására;
33. aggódik amiatt, hogy a Bizottság túllépheti végrehajtási hatáskörét azzal, ha az amerikai rendszer teljes körű értékelése nélkül, illetve a jelen állásfoglalásban kiemelt kérdések figyelembe vétele nélkül úgy határoz, hogy az adatvédelmi pajzsról szóló megállapodás megfelelő védelmet biztosít az Egyesült Államokban;
34. felhívja a Bizottságot, hogy illesszen be kétéves hatályvesztési záradékot a megfelelőségi határozat érvényességére vonatkozóan, és az általános adatvédelmi rendelet alapján kezdjen új tárgyalásokat az USA-val a keret javításáról;
35. utasítja elnökét, hogy továbbítsa ezt az állásfoglalást a Tanácsnak, a Bizottságnak, a tagállamok kormányainak és parlamentjeinek, valamint az Egyesült Államok kormányának és Kongresszusának.
- [1] HL L 281., 1995.11.23., 31. o.
- [2] HL L 119., 2016.5.4., 1. o.
- [3] HL L 55., 2011.2.28., 13. o.
- [4] HL C 121., 2001.4.24., 152. o.
- [5] Elfogadott szövegek, P7_TA(2014)0230.
- [6] Elfogadott szövegek, P8_TA(2015)0388.