Az Európai Parlament,

–  tekintettel az Európai Unióról szóló szerződésre (EUSZ), az Európai Unió működéséről szóló szerződésre (EUMSZ) és az Európai Unió Alapjogi Chartájának (az EU Charta) 6., 7., 8., 11., 16., 47. és 52. cikkére,

–  tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet)(1) és a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelvre(2),

–  tekintettel az Európai Unió Bírósága által a C-362/14. sz. Maximillian Schrems kontra adatvédelmi biztos ügyben hozott, 2015. október 6-i ítéletre(3),

–  tekintettel az Európai Unió Bírósága által a C-203/15. sz. Tele2 Sverige AB kontra Post- och telestyrelsen és a C-698/15. sz. Secretary of State for the Home Department kontra Tom Watson és társai ügyben hozott, 2016. december 21-i ítéletre(4),

–  tekintettel a 95/46/EK európai parlamenti és tanácsi irányelv értelmében az EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozatra(5),

–  tekintettel az európai adatvédelmi biztosnak (EDPS) az EU-USA adatvédelmi pajzsra vonatkozó tervezet megfelelőségi határozatáról szól, 2016. május 30-i 4/2016. számú véleményére(6),

–  tekintettel a 29. cikk szerinti adatvédelmi munkacsoportnak (WP29) az EU–USA adatvédelmi pajzsról szóló 2016. április 13-i 01/2016. sz. véleményére(7) és 2016. július 26-i WP29-nyilatkozatra(8),

–  tekintettel a Bizottság által az Európai Parlamenthez és a Tanácshoz intézett, az EU–USA adatvédelmi pajzs működésének első éves felülvizsgálatáról szóló, 2017. október 18-i jelentésre (COM(2017)0611) és az ahhoz csatolt bizottsági szolgálati munkadokumentumra (SWD(2017)0344),

–  tekintettel a WP29 „EU–USA adatvédelmi pajzs – Első éves közös felülvizsgálat” című, 2017. november 28-i dokumentumára(9),

–  tekintettel a WP29 a külföldi hírszerzői tevékenység megfigyeléséről szóló amerikai törvény (FISA) 702. szakaszának újbóli engedélyezésével kapcsolatos, 2018. április 11-i válaszlevelére,

–  tekintettel az EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2017. április 6-i állásfoglalására(10),

–  tekintettel eljárási szabályzata 123. cikkének (2) bekezdésére,

A.  mivel az Európai Unió Bírósága (továbbiakban: EUB) a C-362/14. számú, a Maximillian Schrems kontra adatvédelmi biztos ügyben hozott 2015. október 6-i ítéletében érvénytelenítette a védett adatkikötőről szóló határozatot, és az ítéletben világossá tette, hogy a valamely harmadik országban biztosított, megfelelő szintű védelmet úgy kell értelmezni, hogy az „lényegében egyenértékű” az Unióban a Charta fényében értelmezett 95/46/EK irányelv értelmében biztosított védelemmel, és emiatt szükség van az új megállapodás megkötésére irányuló tárgyalások lezárására, a jogbiztonságot biztosítandó azzal kapcsolatban, hogy a személyes adatokat miként kell továbbítani az EU-ból az USA-ba;

B.  mivel a harmadik ország által biztosított védelmi szint vizsgálata során a Bizottság köteles értékelni a belföldi jogából, vagy a vállalt nemzetközi kötelezettségeiből eredően ebben az országban alkalmazandó szabályok tartalmát, valamint az e szabályok tiszteletben tartásának biztosítására szolgáló gyakorlatot, mivel a Bizottságnak a 95/46/EK irányelv 25. cikke (2) bekezdésének megfelelően figyelembe kell vennie a személyes adatok harmadik országba való továbbításával kapcsolatos valamennyi körülményt; mivel ezen értékelésnek nem csupán a kereskedelmi és magáncélú személyes adatok védelmével kapcsolatos jogszabályokra és gyakorlatokra kell hivatkoznia, de az adott országban vagy ágazatban alkalmazandó keret valamennyi aspektusára ki kell terjednie, különösen, de nem kizárólag, a bűnüldözés, a nemzetbiztonság és az alapvető jogok tiszteletben tartása szempontjaira;

C.  mivel a személyes adatok uniós és egyesült államokbeli kereskedelmi szervezetek közötti átadása a globális gazdaság egyre növekvő digitalizációja fényében a transzatlanti kapcsolatok fontos eleme; mivel az adattovábbításnak a személyes adatok védelméhez való jog és a magánélethez való jog maradéktalan tiszteletben tartása mellett kell történnie; mivel az EU egyik alapvető célja az EU Chartában foglalt alapvető jogok védelme;

D.  mivel az adatvédelmi pajzsot aláíró Facebook megerősítette, hogy mintegy 2,7 millió uniós állampolgár adatai is szerepeltek a Cambridge Analytica politikai tanácsadó cég által nem megfelelően felhasznált adatok között;

E.  mivel az európai adatvédelmi biztos a 4/2016. sz. véleményében több fenntartást is megfogalmazott az adatvédelmi pajzs tervezetével kapcsolatban; mivel ugyanebben a véleményében az európai adatvédelmi biztos üdvözli az összes fél arra irányuló erőfeszítéseit, hogy megoldást találjanak a személyes adatoknak az EU-ból az USA részére kereskedelmi célokból, egy öntanúsítási rendszer keretében történő továbbítására;

F.  mivel az EU–USA adatvédelmi pajzs tervezetének megfelelőségével kapcsolatos bizottsági végrehajtási határozatról szóló 01/2016 sz. véleményében a WP29 üdvözölte, hogy az adatvédelmi pajzs javulást eredményezett a védett adatkikötőről szóló határozathoz képest, ugyanakkor komoly aggályokat is megfogalmazott mind az adatvédelmi pajzs keretében továbbított adatok kereskedelmi szempontjai, mind a hatóságok ezen adatokhoz való hozzáférése kapcsán;

G.  mivel az Egyesült Államok hatóságaival való további megbeszéléseket követően a Bizottság 2016. július 12-én elfogadta az (EU) 2016/1250 végrehajtási határozatot, amelyben az EU–USA adatvédelmi pajzs keretében az Európai Unióból az Egyesült Államokban található szervezeteknek továbbított személyes adatok védelmének szintjét megfelelőnek nyilvánítja;

H.  mivel az EU–USA adatvédelmi pajzsot az Egyesült Államok kormányának számos egyoldalú kötelezettségvállalása és biztosítéka kíséri, többek közt elmagyarázza az adatvédelmi elveket, a felügyelet, a jogérvényesítés és a jogorvoslat működését, valamint azokat a védelmi és biztonsági intézkedéseket illetően, amelyek alapján a biztonsági ügynökségek hozzáférhetnek a személyes adatokhoz és feldolgozhatják azokat;

I.  mivel 2016. július 26-i nyilatkozatában a WP29 üdvözölte az EU–USA adatvédelmi pajzs mechanizmusa által a védett adatkikötőről szóló határozathoz képest bevezetett javításokat, és elismeréssel nyugtázta, hogy a Bizottság és az amerikai hatóságok figyelembe vették az aggályait; mivel ugyanakkor a WP29 azt jelzi, hogy számos aggálya továbbra is fennáll mind az EU-ból átvitt adatok kereskedelmi aspektusai, mind az USA közigazgatási hatóságainak az adatokhoz való hozzáférése tekintetében, így például az automatizált döntésekről szóló konkrét szabályok és az általános kifogásolási jog hiánya, az ombudsmani mechanizmus függetlenségével és hatáskörével kapcsolatos, szigorúbb biztosítékok szükségessége, illetve konkrét biztosítékok arra, hogy nem kerül sor a személyes adatok tömeges és megkülönböztetés nélküli gyűjtésére (tömeges gyűjtés);

J.  mivel a 2017. április 6-i állásfoglalásában a Parlament elismeri ugyan, hogy az EU–USA adatvédelmi pajzs jelentős előrelépést jelent a szabványok egyértelműségének tekintetében a védett EU–USA adatkikötőhöz képest, ám úgy véli, hogy fontos kérdések maradtak megoldatlanok bizonyos kereskedelmi szempontokat, a nemzetbiztonságot és a bűnüldözést illetően; mivel felszólítja a Bizottságot, hogy az első közös éves felülvizsgálat során végezze el a hiányosságok és a gyengeségek alapos és mélyreható vizsgálatát, továbbá mutassa be, hogy miként kezelte ezeket az uniós Chartának és az uniós jognak való megfelelés érdekében, valamint különös alapossággal értékelje, hogy az amerikai kormányzat által megfogalmazott garanciákban és pontosításokban szereplő mechanizmusok és biztosítékok hatékonyak és megvalósíthatók-e;

K.  mivel a Bizottság által a Parlamenthez és a Tanácshoz intézett, az EU–USA adatvédelmi pajzs működésének első éves felülvizsgálatáról szóló jelentés és az ahhoz csatolt bizottsági szolgálati munkadokumentum elismeri ugyan, hogy az Egyesült Államok hatóságai bevezették az adatvédelmi pajzs megfelelő működésének biztosításához szükséges struktúrákat és eljárásokat, továbbá arra a következtetésre jutottak, hogy az Egyesült Államok továbbra is biztosítja az adatvédelmi pajzs keretében továbbított személyes adatok megfelelő szintű védelmét, ugyanakkor tíz ajánlást fogalmaztak meg az Egyesült Államok hatóságai számára annak érdekében, hogy meg lehessen oldani az aggodalomra okot adó problémákat nem csupán az amerikai kereskedelmi minisztérium által az adatvédelmi pajzs hatálya alá tartozó szervezetek tanúsításának nyomon követéséért és az alapelvek végrehajtásáért felelős közigazgatási szervként ellátott feladatokat és tevékenységeket illetően, hanem a nemzetbiztonság területéhez kapcsolódó kérdéseket, például a FISA 702. szakaszának újbóli engedélyezését, az állandó ombudsman kinevezését vagy azt illetően is, hogy még mindig nem léptek hivatalba a Polgári Szabadságjogi Felügyelő Tanács tagjai;

L.  mivel a WP29 2017. november 28-i, „EU–USA adatvédelmi pajzs – Első éves közös felülvizsgálat” című, az első közös éves felülvizsgálatot követően kiadott véleménye elismeri, hogy az adatvédelmi pajzs előrelépést jelent a védett adatkikötőről szóló érvényét vesztő határozathoz képest; mivel a WP29 elismeri az Egyesült Államok hatóságai és a Bizottság által az adatvédelmi pajzs végrehajtása érdekében kifejtett erőfeszítéseket;

M.  mivel a WP29 több olyan fontos megoldatlan kérdést azonosított, amely jelentős aggodalomra ad okot egyrészt a kereskedelmi problémák tekintetében, másrészt pedig annak kapcsán is, hogy az Egyesült Államok hatóságai hozzáférnek az adatvédelmi pajzs keretében az Egyesült Államoknak (akár bűnüldözési célból, akár nemzetbiztonsági okok miatt) átadott adatokhoz, és ezeket a kérdéseket a Bizottságnak és az Egyesült Államok hatóságainak meg kell oldaniuk; mivel azt kérte, hogy mihamarabb, de legkésőbb a második közös felülvizsgálat idején hozzanak létre egy cselekvési tervet annak bizonyítására, hogy el fogják oszlatni mindezeket az aggályokat;

N.  mivel abban az esetben, ha az adott határidőn belül nem orvosolják a WP29 által azonosított problémákat, a WP29 tagjai megfelelő intézkedéseket hoznak, ideértve az adatvédelmi pajzs megfelelőségi határozatának nemzeti bíróságok elé utalását azzal a céllal, hogy azok az Európai Unió Bíróságához utalhassák azt előzetes döntéshozatalra;

O.  mivel egy megsemmisítés iránti keresetet (T-738/16 sz. La Quadrating du Net és mások kontra Bizottság), valamint az írországi adatvédelmi biztos, a Facebook Ireland Limited és Maximilian Schrems (Schrems II ügy) közötti ügynek az ír High Court általi továbbutalását az EUB elé terjesztették; mivel a továbbutalás megjegyzi, hogy továbbra is zajlik tömeges megfigyelés, valamint vizsgálja, hogy létezik-e hatékony jogorvoslat az amerikai jogban azon európai uniós polgárok számára, akinek személyes adatait átadják az Egyesült Államoknak;

P.  mivel az USA Kongresszusa 2018. január 11-én módosította és hat évre ismét engedélyezte a FISA 702. szakaszát anélkül, hogy eloszlatta volna a Bizottság közös felülvizsgálati jelentésében és a WP29 véleményében megfogalmazott aggályokat;

Q.  mivel a 2018. március 23-án aláírt költségvetési gyűjtőjogszabály részeként az USA Kongresszusa elfogadta az adatok tengeren túli felhasználásának pontosításáról szóló törvényt, amely megkönnyíti a bűnüldözés hozzáférését a kommunikációs tartalmakhoz és egyéb kapcsolódó adatokhoz, lehetővé téve az amerikai bűnüldöző hatóságok számára a kommunikációs adatok átadásának kikényszerítését abban az esetben is, ha azokat az Egyesült Államokon kívül tárolják, továbbá lehetővé téve bizonyos külföldi országok számára, hogy végrehajtási megállapodásokat kössenek az Egyesült Államokkal annak érdekében, hogy az amerikai szolgáltatók eleget tehessenek a kommunikációs adatokhoz való hozzáférést igénylő bizonyos külföldi kéréseknek;

R.  mivel a Facebook, a Cambridge Analystica és az SCL Elections az adatvédelmi pajzs keretében tanúsított vállalatok, és így a megfelelőségi határozatot jogalapként használták fel arra, hogy személyes adatokat adjanak át az Európai Unióból az Egyesült Államokba, és azokat ott dolgozzák fel;

S.  mivel az általános adatvédelmi rendelet 45. cikkének (5) bekezdése értelmében, amennyiben a rendelkezésre álló információk szerint egy harmadik állam már nem biztosít megfelelő szintű védelmet, a Bizottság visszavonja, módosítja vagy felfüggeszti a megfelelőségi határozatát;

1.  kiemeli az adatvédelmi pajzs továbbra is fennálló hiányosságait az érintettek alapvető jogainak tiszteletben tartása tekintetében; hangsúlyozza, hogy egyre nagyobb a kockázata annak, hogy az EUB érvényteleníti az adatvédelmi pajzsról szóló (EU) 2016/1250 bizottsági végrehajtási határozatot;

2.  tudomásul veszi a védett adatkikötőre vonatkozó megállapodáshoz képest bekövetkezett javulást, ideértve a kulcsfontosságú fogalommeghatározások beillesztését, az adatmegőrzéssel és az adatok harmadik országoknak való továbbításával kapcsolatos szigorúbb kötelezettségeket, az egyéni jogorvoslatot és a független felügyeletet biztosító ombudsmani hivatal létrehozását, az érintettek jogainak érvényesülését biztosító fékeket és ellensúlyokat, a külső és belső megfelelési felülvizsgálatokat, a rendszeresebb és szigorúbb dokumentációt és nyomon követést, a többféle jogorvoslati mód rendelkezésre állását, valamint a nemzeti adatvédelmi hatóságok által a panaszok kivizsgálásában játszott kiemelt szerepet;

3.  emlékeztet rá, hogy a WP29 2018. május 25-ét tűzte ki határidőként a fennmaradó kérdések megoldására, és ennek be nem tartása esetén úgy dönthet, hogy a nemzeti bíróságok elé terjeszti az adatvédelmi pajzsot annak érdekében, hogy azok az EUB-hez utalhassák az ügyet előzetes döntéshozatalra(11);

Intézményi kérdések/jelölések

4.  sajnálatosnak tartja, hogy ilyen sok időt vett igénybe az Adatvédelmi és Polgári Szabadságjogi Felügyelő Tanács (PCLOB) elnökének és két új tagjának kinevezése, továbbá sürgeti a Szenátust, hogy a kinevezések ratifikálása céljából végezze el e személyek profiljának ellenőrzését, és ezáltal állítsa vissza a független ügynökség határozatképességét, és tegye lehetővé, hogy az ügynökség elvégezze a feladatait a terrorizmus megelőzése, illetve a magánélet és a polgári szabadságjogok védelme terén;

5.  aggodalmát fejezi ki amiatt, hogy az elnök és a határozatképesség hiánya korlátozta a PCLOB-t a cselekvésben és feladatai ellátásában; felhívja a figyelmet arra, hogy határozatképtelenség esetén a PCLOB nem kezdeményezhet új tanácsadási vagy felügyeleti projektet, illetve nem vehet fel alkalmazottakat; emlékeztet rá, hogy a PCLOB még nem adta ki régóta várt, a 12333. számú elnöki rendelet konkrét működéséről való tájékoztatásra szolgáló jelentését az említett elnöki rendelet szerinti megfigyelések végrehajtásáról, valamint a rendelet szükségességéről és arányosságáról az adatvédelem terén keltett hatások fényében; megjegyzi, hogy erre a jelentésre nagy szükség lenne, tekintettel a 12333. számú elnöki rendelet alkalmazásának bizonytalanságára és kiszámíthatatlanságára; sajnálatosnak tartja, hogy a PCLOB nem adott ki új jelentést a FISA 702. szakaszáról a 2018. januári újbóli engedélyezést megelőzően; úgy véli, hogy a határozatképtelenség súlyosan aláássa az Egyesült Államok hatóságai által vállalt megfelelőségi és felügyeleti garanciákat és biztosítékokat; sürgeti ezért az amerikai hatóságokat, hogy haladéktanul nevezzék ki és erősítsék meg az új igazgatótanácsi tagokat;

6.  annak fényében, hogy a 28. sz. elnöki politikai irányelv (PPD 28) az adatvédelmi pajzs egyik központi eleme, kéri a PPD 28-ról szóló PCLOB-jelentés kiadását, amely továbbra is elnöki privilégium hatálya alá tartozik és ezért még nem tették közzé;

7.  megismétli azt az álláspontját, hogy az Egyesült Államok külügyminisztériuma által létrehozott ombudsmani mechanizmus nem eléggé független, és nem rendelkezik elegendő tényleges hatáskörrel feladatai ellátásához és az uniós állampolgárok hatékony jogorvoslati lehetőségeinek biztosításához; hangsúlyozza, hogy pontosítani kell az ombudsmani mechanizmus pontos hatásköreit, és különösen a hírszerzési közösséggel szembeni hatásköreit, valamint a határozataival szembeni hatékony jogorvoslat szintjét; sajnálatosnak tartja, hogy az ombudsman csak az amerikai kormányzati szervektől kérhet intézkedéseket és információkat, és nem utasíthatja a hatóságokat a jogellenes felügyelet megszüntetésére vagy az információk végleges megsemmisítésére; hangsúlyozza, hogy hivatalban van ugyan egy megbízott ombudsman, ám az Egyesült Államok kormánya mindmáig nem nevezett ki állandó ombudsmant, ami nem járul hozzá a kölcsönös bizalomhoz; úgy véli, hogy független, tapasztalt és kellő hatáskörökkel rendelkező ombudsman kinevezésének hiányában az uniós állampolgárok részére nyújtott hatékony jogorvoslatra vonatkozó amerikai biztosítékok semmisek lennének;

8.  elismeri, hogy a Szenátus a közelmúltban megerősítette a Szövetségi Kereskedelmi Bizottság (Federal Trade Commission, a továbbiakban: FTC) új elnökét és négy új biztosát; sajnálatosnak tartja, hogy az említett megerősítés előtt az FTC öt posztja közül négyet nem töltöttek be, hiszen az FTC az illetékes szerv az adatvédelmi pajzs elveinek amerikai szervezetek általi végrehajtása tekintetében;

9.  hangsúlyozza, hogy a Facebook és a Cambridge Analytica által alkalmazott gyakorlattal kapcsolatos közelmúltbeli értesülések kiemelik, hogy proaktív felügyeleti és végrehajtási intézkedésekre van szükség, amelyek nem csupán a panaszokon alapulnak, hanem módszeresen ellenőrzik azt is, hogy a tanúsítási életciklus folyamán a gyakorlatban miként felelnek meg az adatvédelmi politikák az adatvédelmi pajzs elveinek; felkéri az illetékes uniós adatvédelmi hatóságokat, hogy hozzanak megfelelő intézkedéseket, és meg nem felelés esetén függesszék fel az átadásokat;

Kereskedelmi kérdések

10.  úgy véli, hogy az átláthatóság biztosítása és a hamis tanúsítási ügyek elkerülése érdekében a Kereskedelmi Minisztériumnak nem szabadna megengednie, hogy az amerikai vállalatok azelőtt tegyék nyilvánossá az adatvédelmi pajzs tanúsítványukat, hogy a Minisztérium véglegesítette volna a tanúsítási eljárást, és felvette volna őket az adatvédelmi pajzs listájára; aggódik amiatt, hogy a Kereskedelmi Minisztérium nem használta ki az adatvédelmi pajzsban foglalt lehetőséget, hogy a megfelelés biztosítása érdekében elkérje a tanúsítással rendelkező vállalkozások által a harmadik felekkel kötött szerződésekben használt szerződéses feltételek másolatát; úgy véli ezért, hogy nincs hatékonyan ellenőrizve, hogy a tanúsítással rendelkező vállalkozások valóban megfelelnek-e az adatvédelmi pajzs rendelkezéseinek; felhívja a Kereskedelmi Minisztériumot, hogy proaktív módon és rendszeresen végezzen hivatalból megfelelőségi felülvizsgálatot az adatvédelmi pajzs szabályainak és követelményeinek a vállalkozások által történő eredményes betartásának nyomon követésére;

11.  úgy véli, hogy az uniós polgárok számára elérhető számos jogorvoslati eljárás túl bonyolult és nehezen használható, ezért kevésbé eredményes lehet; úgy véli, hogy ahogy a független jogorvoslati eljárási mechanizmusokat nyújtó vállalkozások is kiemelték, a legtöbb panaszt az adatvédelmi pajzsról általános információkat, illetve az adataik feldolgozását megismerni kívánó egyének tették közvetlenül a vállalkozásoknak; azt ajánlja ezért, hogy az amerikai hatóságok konkrétabb információkat tegyenek közzé az adatvédelmi pajzsról a weboldalukon hozzáférhető és könnyen érthető formában az egyének számára a jogaik, valamint az elérhető jogorvoslat és megoldások tekintetében;

12.  az adatvédelmi pajzs keretében tanúsított vállalatok, például a Facebook és a Cambridge Analytica által elkövetett, a személyes adatokkal való visszaélés közelmúltbeli fejleményei tekintetében felhívja az adatvédelmi pajzsért felelős amerikai hatóságokat, hogy késedelem nélkül lépjenek fel e fejlemények ügyében, teljes mértékben összhangban a jelenlegi adatvédelmi pajzs rendelkezéseinek betartására adott biztosítékokkal és kötelezettségvállalásokkal, és ha szükséges, töröljék ezeket a vállalatokat az adatvédelmi pajzs listájáról; felhívja az illetékes uniós adatvédelmi hatóságokat is a fejlemények kivizsgálására, és adott esetben az adatvédelmi pajzs keretében az adattovábbítás felfüggesztésére vagy letiltására; úgy véli, hogy a fejlemények egyértelműen azt mutatják, hogy az adatvédelmi pajzs mechanizmusa nem védi megfelelően az adatvédelemhez való jogot;

13.  komoly aggodalmát fejezi ki amiatt, hogy a Facebook megváltoztatta a felhasználói feltételeit az Egyesült Államokban és Kanadában élő nem uniós polgárok számára, akik eddig az EU adatvédelmi jogszabályainak védelmét élvezték, és akiknek most a Facebook Írország helyett a Facebook USA céget kell elfogadniuk, mint adatkezelőt; úgy véli, hogy ez mintegy 1,5 milliárd felhasználó személyes adatainak egy harmadik országba való továbbítását jelenti; komoly kétségei vannak az iránt, hogy az volt-e az adatvédelmi pajzs célja, hogy egy gyakorlatilag monopolhelyzetben lévő platform felhasználóinak alapvető jogait ilyen példátlan nagy mértékben korlátozzák; felhívja az EU adatvédelmi hatóságait az ügy kivizsgálására;

14.  komoly aggodalmát fejezi ki amiatt, hogy ha ezt az ügyet nem rendezik, akkor a személyes adatokkal ily módon visszaélő, a politikai véleményt vagy a választói viselkedést manipulálni szándékozó számos fél fenyegetést jelenthet a demokratikus folyamatra és arra az alapelvre, hogy a szavazók képesek tájékozott, tényeken alapuló döntéseket hozni;

15.  üdvözli és támogatja az amerikai jogalkotónak címzett felhívásokat, hogy dolgozzanak ki egy törvénycsomagot a magánélet védelme és az adatvédelem terén;

16.  emlékeztet az arra vonatkozó aggodalmaira, hogy nincsenek külön szabályok és biztosítékok az adatvédelmi pajzsban a jogi hatállyal vagy az egyénre jelentős hatással bíró, az automatizált adatfeldolgozáson/profilalkotáson alapuló döntésekre; elismeri a Bizottság azon szándékát, hogy tanulmányt rendeljen meg tényszerű bizonyítékok gyűjtésére, és annak további vizsgálatára, hogy az adatvédelmi pajzs keretében mennyire releváns az automatizált döntéshozatal az adattovábbítás szempontjából; felhívja a Bizottságot, hogy ha a tanulmány ezt ajánlja, alkosson konkrét szabályokat az automatizált döntéshozatal vonatkozásában elegendő biztosíték nyújtása céljából; tudomásul veszi e tekintetben a közös felülvizsgálatból szerzett azon információt, hogy nem történhet automatizált döntéshozatal olyan személyes adatok alapján, amelyeket az adatvédelmi pajzs keretében továbbítottak; sajnálatának ad hangot amiatt, hogy a WP29 szerint a vállalatoktól érkező válaszok nagyon általánosak voltak, és nem tették egyértelművé, hogy ezek az állítások az adatvédelmi pajzshoz csatlakozó minden vállalat esetében megfelelnek-e a valóságnak; hangsúlyozza továbbá az általános adatvédelmi rendelet (GDPR) alkalmazhatóságát a GDPR 3. cikkének (2) bekezdésében foglalt feltételeknek megfelelően;

17.  hangsúlyozza, hogy tovább kell javítani a HR-adatok értelmezését és kezelését, mivel az amerikai kormány, illetve a Bizottság és a WP29 eltérően értelmezi a „HR-adat” fogalmát; teljes mértékben egyetért a WP29 azon felhívásával, hogy a Bizottság kezdjen tárgyalásokat az amerikai hatóságokkal az adatvédelmi pajzs mechanizmusának e kérdés tekintetében való módosításáról;

18.  megismétli azon aggodalmát, hogy az adatvédelmi pajzs alapelvei nem követik a beleegyezésen alapuló adatfeldolgozás uniós modelljét, hanem csak nagyon különleges esetekben engedik a kívülmaradást vagy a tiltakozást; a közös felülvizsgálat fényében ezért sürgeti a Kereskedelmi Minisztériumot, hogy működjön együtt az európai adatvédelmi hatóságokkal, hogy pontosabb iránymutatásokat nyújtson az adatvédelmi pajzs alapvető elvei, mint például a választási lehetőség elve, a tájékoztatás elve, a továbbítás, az adatkezelő és az adatfeldolgozó közötti kapcsolat és hozzáférés tekintetében, amelyek az (EU) 2016/679 rendeletben sokkal jobban tiszteletben tartják az érintettek jogait;

19.  megismétli az aggodalmait amiatt, hogy a Kongresszus 2017 márciusában elutasította a Federal Communications Commission (szövetségi kommunikációs bizottság) által előterjesztett, a széles sávú és egyéb hírközlési szolgáltatások fogyasztói adatainak védelmére vonatkozó szabályozást, ami gyakorlatilag megszünteti a széles sávú internet használatával kapcsolatos adatvédelmet, amely előírta volna az internetszolgáltatók számára, hogy az internetes böngészéssel kapcsolatos és egyéb személyes adatok hirdetők és más vállalatok számára történő értékesítése vagy megosztása előtt a fogyasztók kifejezett hozzájárulását meg kell szerezniük; úgy véli, hogy ez újabb fenyegetést jelent a személyes adatok egyesült államokbeli védelmére;

Bűnüldözési és nemzetbiztonsági kérdések

20.  úgy véli, hogy az adatvédelmi pajzs mechanizmusában nincs konkrétan elkülönítve a „nemzetbiztonság” fogalma annak biztosítása érdekében, hogy az adatvédelmi szabályok megsértését eredményesen lehessen bírósági úton felülvizsgálni, biztosítva a szükségesség és az arányosság szigorú tesztjének való megfelelést; felszólít ezért a „nemzetbiztonság” egyértelmű definíciójának meghatározására;

21.  megjegyzi, hogy a FISA 702. szakaszában foglalt célok száma növekedett a technológiai és kommunikációs minták változása, illetve a folyamatosan változó fenyegetési környezet miatt;

22.  sajnálja, hogy az USA nem ragadta meg az alkalmat a FISA 702. szakaszának újbóli engedélyezésekor a közelmúltban, hogy belefoglalja a PPD 28 által nyújtott biztosítékokat; bizonyítékokat és jogilag kötelező érvényű kötelezettségvállalásokat kér annak biztosítására, hogy a FISA 702. szakasza szerinti adatgyűjtés ne legyen megkülönböztető, és hogy a hozzáférés ne általános alapú (tömeges gyűjtés) legyen, ami ellentétes az EU Chartájával; tudomásul veszi a Bizottság szolgálati munkadokumentumában foglalt magyarázatát, hogy a FISA 702. szakasza szerinti megfigyelés mindig kiválasztási tényezőkön alapszik, és ennélfogva nem teszi lehetővé a tömeges gyűjtést; csatlakozik ezért a WP29 által tett felhíváshoz, hogy a Polgári Szabadságjogi Felügyelő Tanács adjon ki frissített jelentést a „célok” fogalmáról, a „kiválasztási tényezők meghatározásáról” és a kiválasztási tényezők alkalmazásának konkrét folyamatáról az UPSTREAM program keretében annak tisztázása és megoldása érdekében, hogy e tekintetben megvalósul-e a személyes adatok tömeges gyűjtése; sajnálja, hogy az EU állampolgárai ki vannak zárva a FISA 702. szakaszának újbóli engedélyezése által nyújtott hozzáadott védelemből; sajnálja, hogy a FISA 702. szakaszának újbóli engedélyezése számos csupán eljárásbeli módosítást tartalmaz, amelyek nem foglalkoznak a WP29-ben is felvetett legproblémásabb kérdésekkel; felhívja a Bizottságot, hogy vegye komolyan a FISA 702. szakaszának közelgő WP29-elemzését, és lépjen fel annak megfelelően;

23.  megerősíti, hogy a FISA 702. szakaszának újabb hat évre szóló újbóli engedélyezése megkérdőjelezi az adatvédelmi pajzs törvényességét;

24.  megismétli az aggodalmát amiatt, hogy a 12333. sz. elnöki rendelet lehetővé teszi a Nemzetbiztonsági Ügynökség számára, hogy bírósági parancs, bírósági végzés vagy kongresszusi engedély nélkül gyűjtött óriási mennyiségű személyes adatokat osszon meg 16 másik hivatallal, mint például az FBI, a Kábítószer-ellenes Hivatal és a Belbiztonsági Minisztérium; sajnálja, hogy a 12333. sz. elnöki rendelet alapján végzett megfigyelési tevékenységek nem képezik bírósági felülvizsgálat tárgyát;

25.  kiemeli a FISA 702. szakasza vagy a 12333. sz. elnöki rendelet alapján végzett megfigyelési intézkedések nem USA-állampolgár alanyai tekintetében a jogorvoslat folytatódó akadályozását, az eljárási követelmények amerikai bíróságok általi jelenlegi értelmezésének köszönhetően, hogy a nem USA-állampolgárok az őket érintő döntések ellen az amerikai bíróságokhoz fordulhassanak;

26.  aggodalmát fejezi ki az egyesült államokbeli közvédelem javításáról szóló 13768. sz. elnöki rendeletnek az USA-ban az egyének számára elérhető bírósági és adminisztratív jogorvoslatokra vonatkozó következményei miatt, mivel az adatvédelmi törvény már nem vonatkozik a nem USA állampolgárokra; tudomásul veszi a Bizottság álláspontját, hogy a megfelelőségi értékelés nem támaszkodik az adatvédelmi törvény által nyújtott védelemre, és hogy ezért ez az elnöki rendelet nem érinti az adatvédelmi pajzsot; úgy véli, hogy a 13768. sz. elnöki rendelet kinyilvánítja ugyanakkor az amerikai kormányzat azon szándékát, hogy visszavonja az uniós polgároknak korábban nyújtott adatvédelmi biztosítékokat, és felülírja az Obama-elnökség alatt az EU felé tett kötelezettségvállalásokat;

27.  komoly aggodalmát fejezi ki az adatok tengeren túli felhasználásának pontosításáról szóló törvény vagy „CLOUD-törvény” (H.R. 4943) közelmúltbeli elfogadása miatt, amely kiterjeszti az amerikai és külföldi bűnüldözés azon képességét, hogy a nemzetközi határokon keresztül célozzák meg az emberek adatait, és férjenek azokhoz hozzá, a kölcsönös jogsegély eszközeinek használata nélkül, amelyek megfelelő biztosítékokat nyújtanak, és tiszteletben tartják annak az országnak a bírósági hatáskörét, ahol az információ található; kiemeli, hogy a CLOUD-törvénynek komoly következményei lehetnek az EU-ra nézve, mivel széles a hatóköre, és potenciális konfliktust teremt az EU adatvédelmi jogszabályaival;

28.  úgy véli, hogy kiegyensúlyozottabb megoldás lehetett volna a kölcsönös jogsegélyről szóló szerződések megerősítése a nemzetközi és igazságügyi együttműködés ösztönzése céljából; megismétli, hogy az (EU) 2016/679 rendelet (általános adatvédelmi rendelet) 48. cikkében rögzítetteknek megfelelően a személyes adatokhoz való hozzáférés lehetővé tételének előnyben részesített mechanizmusait a kölcsönös jogsegélyről szóló megállapodások és más nemzetközi megállapodások tartalmazzák;

29.  sajnálatosnak tartja, hogy az amerikai hatóságok nem tudták proaktív módon teljesíteni azon kötelezettségvállalásukat, hogy időben átfogó tájékoztatást nyújtsanak a Bizottságnak az adatvédelmi pajzs szempontjából releváns bármely fejleményről, például nem értesítették a Bizottságot az USA jogi rendszerének változásairól, például Trump elnöknek az egyesült államokbeli közvédelem javításáról szóló 13768. sz. elnöki rendelete vagy az internetszolgáltatók vonatkozásában az adatvédelmi szabályok visszavonása tekintetében;

30.  emlékeztet rá, hogy ahogyan azt a 2017. április 6-i állásfoglalásában is megfogalmazta, sem az adatvédelmi pajzs alapelvei, sem az Egyesült Államok kormányzatának levelei nem nyújtanak pontosításokat és biztosítékokat azt bizonyítva, hogy léteznének hatékony bírósági jogorvoslati jogok azon uniós polgárok számára, akiknek személyes adatait az amerikai hatóságok bűnüldözési és közérdekű céllal feldolgozzák, amely jogorvoslati jogokat az Európai Unió Bírósága 2015. október 6-i ítéletében az uniós Charta 47. cikkében megfogalmazott alapvető jog lényegeként emelt ki;

Következtetések

31.  felhívja a Bizottságot, hogy tegyen meg minden szükséges intézkedést annak biztosítására, hogy az adatvédelmi pajzs teljes mértékben megfeleljen a 2018. május 25-től alkalmazandó (EU) 2016/679 rendeletnek és az EU Chartájának, hogy a megfelelőség ne vezessen kiskapukhoz vagy versenyelőnyökhöz az amerikai vállalatok számára;

32.  sajnálatosnak tartja, hogy a Bizottság és az illetékes amerikai hatóságok nem kezdték újra a párbeszédet az adatvédelmi pajzs rendelkezéseiről, és nem állapodtak meg semmilyen cselekvési tervben, hogy minél hamarabb megoldják az azonosított hibákat, ahogyan arra a WP29 is felszólított a közös felülvizsgálatról szóló decemberi jelentésében; felszólítja a Bizottságot és az illetékes amerikai hatóságokat, hogy ezt haladéktalanul tegyék meg;

33.  emlékeztet rá, hogy a Szerződések, az EU Charta és az emberi jogok európai egyezménye, valamint jogszabályok és az ítélkezési gyakorlat rögzíti a magánélet tiszteletben tartásához és az adatok védelméhez való jogokat; hangsúlyozza, hogy ezeket olyan módon kell alkalmazni, amely nem akadályozza feleslegesen a kereskedelmi vagy nemzetközi megállapodásokat, de nem is lehet ezeket „kiegyensúlyozni” a kereskedelmi vagy politikai érdekeknek megfelelően;

34.  úgy véli, hogy a jelenlegi adatvédelmi pajzs rendelkezései nem nyújtanak az uniós adatvédelmi jogszabályok és az EU Charta által előírt megfelelő szintű védelmet, ahogy azt az Európai Unió Bírósága is értelmezte;

35.  úgy véli, hogy amennyiben az USA 2018. szeptember 1-jéig nem éri el a teljes megfelelőséget, azt a következtetést kell levonni, hogy a Bizottság nem tudta teljesíteni a GDPR 45. cikkének (5) bekezdését; felszólítja ezért a Bizottságot, hogy függessze fel az adatvédelmi pajzsot, amíg az amerikai hatóságok nem teljesítik annak feltételeit;

36.  utasítja az Állampolgári Jogi, Bel- és Igazságügyi Bizottságot, hogy továbbra is kövesse nyomon az e téren történt fejleményeket, köztük az EUB elé vitt ügyeket, és kövesse nyomon az ezen állásfoglalásban megfogalmazott ajánlások megvalósítását;

o
o   o

37.  utasítja elnökét, hogy továbbítsa ezt az állásfoglalást a Tanácsnak, a Bizottságnak, a tagállamok parlamentjeinek és kormányainak, valamint az Európa Tanácsnak.

(1) HL L 119., 2016.5.4., 1. o. (2) HL L 119., 2016.5.4., 89. o. (3) ECLI:EU:C:2015:650. (4) ECLI:EU:C:2016:970. (5) HL L 207., 2016.8.1., 1. o. (6) HL C 257., 2016.7.15., 8. o. (7) http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf (8) http://ec.europa.eu/justice/article-29/press-material/press-release/art29_press_material/2016/20160726_wp29_wp_statement_eu_us_privacy_shield_en.pdf (9) A WP 255 elérhető a következő címen:http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612621 (10) Elfogadott szövegek, P8_TA(2017)0131. (11) https://ec.europa.eu/newsroom/just/document.cfm?doc_id=48782