Az Európai Parlament,

–  tekintettel az Európai Unió Alapjogi Chartájára (a Charta) és különösen annak 7., 8., 16., 47. és 52. cikkére,

–  tekintettel az Európai Bíróság C-311/18. sz., Data Protection Commissioner kontra Facebook Ireland Limited és Maximillian Schrems ügyben hozott, 2020. július 16-i ítéletére („Schrems II”)(1);

–  tekintettel az Európai Bíróság C-362/14. sz., Maximillian Schrems kontra Data Protection Commissioner ügyben hozott, 2015. október 6-i ítéletére („Schrems I”)(2),

–  tekintettel az Európai Bíróság C-623/17. sz., Privacy International kontra Secretary of State for Foreign and Commonwealth Affairs és társai ügyben hozott, 2020. október 6-i ítéletére(3),

–  tekintettel a transzatlanti adatáramlásokról szóló, 2016. május 26-i állásfoglalására(4),

–  tekintettel az EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2017. április 6-i állásfoglalására(5),

–  tekintettel az EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2018. július 5-i állásfoglalására(6),

–  tekintettel a Facebook-felhasználók adatainak a Cambridge Analytica általi felhasználásáról és az adatvédelemre gyakorolt hatásokról szóló, 2018. október 25-i állásfoglalására(7),

–  tekintettel a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5-i 2010/87/EU bizottsági határozatra (az értesítés a C(2010) 593. számú dokumentummal történt)(8),

–  tekintettel a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozatra (az értesítés a C(2016) 4176. számú dokumentummal történt)(9),

–  tekintettel az uniós kereskedelempolitikai felülvizsgálatáról szóló, 2020. november 26-i állásfoglalására(10),

–  tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet)(11), és különösen annak V. fejezetére,

–  tekintettel az elektronikus hírközlési adatvédelmi rendeletre irányuló bizottsági javaslatra (COM(2017)0010), tekintettel az intézményközi tárgyalások megkezdéséről szóló határozatra, amelyet a Parlament 2017. október 25-i plenáris ülése megerősített, valamint a Tanács 2021. február 10-én elfogadott általános megközelítésére (6087/21),

–  tekintettel az Európai Adatvédelmi Testületnek az adattovábbítási eszközöket a személyes adatok uniós védelmi szintjének való megfelelés biztosítása érdekében kiegészítő intézkedésekről szóló 01/2020. számú ajánlására, az Európai Adatvédelmi Testületnek a megfigyelési intézkedésekre vonatkozó alapvető európai garanciákról szóló 02/2020. számú ajánlására, valamint az Európai Adatvédelmi Testületnek az elektronikus hírközlési adatvédelemi rendeletről, valamint a felügyelő hatóságok és az Európai Adatvédelmi Testület jövőbeli szerepéről szóló, 2020. november 19-i nyilatkozatára,

–  tekintettel eljárási szabályzata 132. cikkének (2) bekezdésére,

A.  mivel a személyes adatok határokon átnyúló továbbíthatósága az innováció, a termelékenység és a gazdasági versenyképesség kulcsfontosságú mozgatórugója lehet; mivel ez még fontosabb a jelenlegi Covid19-világjárvány kapcsán, mivel az ilyen adattovábbítások elengedhetetlenek az üzleti és kormányzati működés, valamint a társas interakciók folytonosságának biztosításához; mivel ezek támogathatják a világjárványból való kilábalás stratégiáit, és hozzájárulhatnak a gazdasági fellendüléshez is;

B.  mivel az Európai Unió Bírósága a Schrems I. ügyben hozott ítéletében érvénytelenítette a „biztonságos kikötő” adatvédelmi elvekre vonatkozó bizottsági határozatot azon megállapítás alapján, hogy rámutatott, hogy a hírszerző hatóságok válogatás nélküli hozzáférése az elektronikus kommunikáció tartalmához sérti a Charta 7. cikkében foglalt, a közlések titkosságához való jog lényegét;

C.  mivel a Bíróság a Schrems II. ügyben hozott ítéletében megállapította, hogy az Egyesült Államok nem biztosít megfelelő jogorvoslati lehetőségeket a nem egyesül államokbeli állampolgárok számára a tömeges megfigyeléssel szemben, és ez sérti a Charta 47. cikkében biztosított jogorvoslathoz való jog lényegét;

D.  mivel az általános adatvédelmi rendelet minden olyan vállalkozásra vonatkozik, amely uniós érintettek személyes adatait kezeli, amennyiben az adatkezelési tevékenységek az uniós érintettek számára felajánlott áruszállításhoz vagy szolgáltatásnyújtáshoz vagy magatartásuk figyelemmel kíséréséhez kapcsolódik, amennyiben ez a magatartás az Unión belül valósul meg;

E.  mivel az európai polgárok távközlési szolgáltatók és vállalkozások által tárolt és továbbított adatai olyan alapvető erőforrást jelentenek, amely hozzájárul az Unió stratégiai érdekeihez;

F.  mivel az állami szereplők által végzett általános tömeges megfigyelés rontja az európai polgárok, kormányok és vállalkozások digitális szolgáltatásokba, kiterjesztve pedig a digitális gazdaságba vetett bizalmát;

G.  mivel a fogyasztói és más civil társadalmi szervezetek korlátozott erőforrásokkal rendelkeznek, és az adatvédelmi jogok és kötelezettségek érvényesítése nem függhet azok fellépésétől; mivel a nemzeti eljárások és gyakorlatok szerteágazóak, ami kihívást jelent az általános adatvédelmi rendeletben a határokon átnyúló panaszokra vonatkozóan meghatározott együttműködési mechanizmus számára: mivel nincsenek egyértelmű határidők, az eljárások általában lassúak, a felügyelő hatóságok nem rendelkeznek elegendő erőforrással, bizonyos esetekben hiányzik a hajlandóság vagy a már elkülönített források hatékony felhasználása; mivel a nagy technológiai vállalatok állítólagos jogsértéseivel szembeni panaszok jelenleg egyetlen nemzeti hatóság kezében összpontosulnak, ami szűk keresztmetszetet okoz a végrehajtásban;

H.  mivel a Bíróság ezen ítéletéhez vezető eljárás azt is megmutatja, hogy az érintettek és a fogyasztók milyen nehézségekkel szembesülnek a jogaik védelme során, ami visszatartja őket attól, hogy meg tudják védeni jogaikat az ír adatvédelmi biztos előtt;

I.  mivel a Parlament 2018. október 25-i állásfoglalásában rámutatott arra, hogy az USA nem tett eleget annak, hogy 2018. szeptember 1-jéig teljes mértékben megfeleljen az adatvédelmi pajzsnak, és már felszólította a Bizottságot az adatvédelmi pajzs felfüggesztésére, amíg az USA hatóságai nem felelnek meg a feltételeknek;

J.  mivel az érintettek uniós adatvédelmi jogszabályok által garantált jogait tiszteletben kell tartani, függetlenül a személyes adatok kezelése során felmerülő kockázat mértékétől, ideértve a személyes adatok harmadik országokba történő továbbítását is; mivel az adatkezelőknek mindig elszámoltathatónak kell lenniük az adatvédelmi kötelezettségek teljesítésével kapcsolatban, ideértve az adatkezelés megfelelőségének bizonyítását is, függetlenül az adatkezelés jellegétől, terjedelmétől, összefüggéseitől és céljaitól, valamint az érintettek kockázataitól;

K.  mivel a Bíróság ítélkezési gyakorlatának az elmúlt öt évben végbement jelentős fejlődése, valamint 2018. május 25. óta az általános adatvédelmi rendelet tényleges alkalmazása ellenére a felügyeleti hatóságok a mai napig nem hoztak olyan döntést, amely korrekciós intézkedéseket vezetne be a személyes adatok továbbításával kapcsolatban az általános adatvédelmi rendelet egységes alkalmazást célzó mechanizmusa szerint; mivel a nemzeti szintű felügyeleti hatóságok nem fogadtak el olyan érdemi határozatot, amely korrekciós intézkedést vagy bírságot ír elő személyes adat harmadik országokba történő továbbításával kapcsolatban;

L.  mivel Biden amerikai elnök első hivatali napján kinevezte az Egyesült Államok Kereskedelmi Minisztériumának szolgáltatásokért felelős államtitkár-helyettesét, aki a kereskedelmi célú adattovábbítás tekintetében az EU-val folytatott tárgyalások főtárgyalója lesz; mivel az elnök által az USA kereskedelmi miniszterének jelölt Gina Raimondo a Szenátus megerősítő meghallgatásán „kiemelt prioritásnak” nevezte az adatvédelmi pajzs helyébe lépő megállapodásról szóló tárgyalások gyors lezárását;

Általános észrevételek

1.  tudomásul veszi a Bíróság 2020. július 16-i ítéletét, amelyben a Bíróság elvben fenntartotta a nemzetközi adattovábbítások legszélesebb körben használt mechanizmusának számító általános szerződési feltételekről szóló 2010/87/EU határozat érvényességét; megjegyzi továbbá, hogy a Bíróság megsemmisítette az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló (EU) 2016/1250 határozatot; megjegyzi, hogy mindeddig a kereskedelmi vonatkozású személyes adatok EU és USA közötti jogszerű továbbítását garantáló egyetlen fenntartható és egységes mechanizmus sem állt meg a Bíróság előtt emelt jogi kifogással szemben;

2.  megjegyzi, hogy a Bíróság megállapította, hogy az általános szerződési feltételek hatékony mechanizmust jelentenek az EU-ban biztosított védelem szintjének való megfelelés biztosítására, de előírta, hogy az Európai Unióban letelepedett adatkezelőnek/adatfeldolgozónak és a személyes adatok címzettjének az adattovábbítást megelőzően ellenőriznie kell, hogy az érintett harmadik országban tiszteletben tartják-e az uniós jog által előírt védelmi szintet; emlékeztet arra, hogy ez magában foglalja a hatóságok személyes adatokhoz való hozzáférésére vonatkozó jogi keret értékelését annak biztosítása érdekében, hogy az érintettek és továbbított adataik ne legyenek kitéve annak a veszélynek, hogy a személyes adatok tömeges gyűjtését lehetővé tevő amerikai megfigyelési programok hatálya alá tartoznak; emlékeztet arra, hogy a Bíróság határozata szerint amennyiben a címzett nem tudja betartani az általános szerződési feltételeket, úgy az adatkezelők vagy -feldolgozók kötelesek felfüggeszteni az adattovábbítást és/vagy felmondani a szerződést; megjegyzi azonban, hogy számos vállalat, különösen a kkv-k nem rendelkeznek az ilyen ellenőrzések elvégzéséhez szükséges ismeretekkel vagy kapacitással, ami üzleti zavarokhoz vezethet;

3.  úgy véli, hogy a Bíróság ítélete az olyan uniós érintettek számára biztosított adatvédelem szintjére összpontosít, akiknek adatait az adatvédelmi pajzs mechanizmusa keretében továbbítják az Egyesült Államokba, ugyanakkor következményekkel jár a más harmadik országokat – köztük az Egyesült Királyságot – érintő megfelelőségi határozatokra nézve is; ismét megerősíti a jogi egyértelműség és jogbiztonság szükségességét, mivel a személyes adatok határokon átnyúló biztonságos továbbítására való képesség egyre fontosabbá vált az egyének, jogaik és személyes adataik védelme, a nemzetközi áruértékesítéssel és szolgáltatásnyújtással foglalkozó szervezetek valamennyi típusa, valamint a működésüket szabályozó jogi szabályozás tekintetében a vállalkozások számára; hangsúlyozza azonban, hogy a meglévő megfelelőségi határozatok hatályban maradnak azok visszavonásáig, felváltásáig vagy a Bíróság általi megsemmisítésig;

4.  csalódott amiatt, hogy az ír adatvédelmi biztos (DPC) eljárást indított Maximilian Schrems és a Facebook ellen az ír High Court előtt ahelyett, hogy a 2010/87/EU határozat 4. cikke és az általános adatvédelmi rendelet 58. cikke szerinti hatáskörén belül határozatot hozott volna; emlékeztet azonban arra, hogy az ír adatvédelmi biztos azt a jogi utat vette igénybe, amely lehetővé teszi az adatvédelmi hatóságok számára, hogy a Bizottság végrehajtási határozatának érvényességével kapcsolatos aggályaikat a nemzeti bírák elé terjesszék annak érdekében, hogy előzetes döntéshozatal iránti kérelmet nyújtsanak be a Bírósághoz; mély aggodalmát fejezi ki amiatt, hogy az adott ügyekben a legfontosabb hatóságnak minősülő adatvédelmi biztos még mindig nem hozott határozatot az általános adatvédelmi rendelet megsértése miatt 2018. május 25-én, az általános adatvédelmi rendelet alkalmazásának kezdőnapján benyújtott számos panaszról, valamint adat- és fogyasztóvédelmi csoportok más panaszairól; aggodalmát fejezi ki amiatt, hogy az adatvédelmi biztos az általános adatvédelmi rendelet 60. cikkének (3) bekezdésében a „haladéktalanul” kifejezést – a jogalkotói szándékkal ellentétben – hónapoknál is hosszabb időszakként értelmezi; aggodalmát fejezi ki amiatt, hogy a felügyeleti hatóságok nem tettek az általános adatvédelmi rendelet 61. és 66. cikke alapján proaktív lépéseket annak érdekében, hogy az ír adatvédelmi biztost az általános adatvédelmi rendelet szerinti kötelezettségei teljesítésére kényszerítsék; aggodalmát fejezi ki az adatvédelmi biztosnál dolgozó technológiai szakemberek hiánya és az általuk használt elavult rendszerek miatt is; elítéli az ír adatvédelmi biztos arra irányuló kísérletének következményeit, hogy a bírósági eljárás költségeit az alperesre hárítsa át, ami jelentős visszatartó hatást eredményezett volna; felszólítja a Bizottságot, hogy indítson kötelezettségszegési eljárást Írország ellen az általános adatvédelmi rendelet nem megfelelő érvényesítése miatt;

5.  aggodalmát fejezi ki az általános adatvédelmi rendelet nem megfelelő szintű érvényesítése miatt, különösen a nemzetközi adattovábbítások területén; aggodalmának ad hangot amiatt, hogy a nemzeti felügyeleti hatóságok nem dolgoztak ki prioritásokat és nem végeznek átfogó ellenőrzést a személyes adatok harmadik országokba történő továbbítása tekintetében, annak ellenére, hogy a Bíróság ítélkezési gyakorlatában az elmúlt öt évben fontos fejlemények következtek be; sajnálja, hogy nem hoztak érdemi döntéseket és a korrekciós intézkedéseket e tekintetben, és sürgeti az Európai Adatvédelmi Testületet és a nemzeti felügyeleti hatóságokat, hogy az ellenőrzési, megfelelési és végrehajtási stratégiáikba vonják be a személyes adatok továbbítását; rámutat, hogy a jogbiztonság garantálása és a határokon átnyúló panaszok kezelése érdekében harmonizált és kötelező erejű igazgatási eljárásokra van szükség az érintettek képviseletével és az elfogadhatósággal kapcsolatban;

6.  tudomásul veszi a személyes adatok harmadik országokba történő továbbítására vonatkozó általános szerződési feltételekről szóló bizottsági végrehajtási határozat tervezetét; sürgeti az Európai Adatvédelmi Testületet, hogy tegyen közzé a nemzetközi adattovábbításról szóló további iránymutatást a vállalatok, különösen a kkv-k számára, beleértve az adattovábbítások értékelésére szolgáló ellenőrző listát, az annak értékelésére szolgáló eszközöket, hogy a kormányok jogosultak vagy képesek-e hozzáférni az adatokhoz, valamint az általános szerződési feltételek alkalmazásával történő adattovábbításhoz szükséges kiegészítő intézkedésekre vonatkozó információkat; felhívja az Európai Adatvédelmi Testületet, hogy kérje ki független tudományos szakemberek véleményét a főbb kereskedelmi partnerekre vonatkozó potenciálisan ütköző nemzeti joggal kapcsolatban;

7.  emlékeztet arra, hogy – az Európai Adatvédelmi Testületnek az (EU) 2016/679 rendelet 49. cikke szerinti eltérésekről szóló 2/2018. sz. iránymutatásával(12) összhangban – amennyiben az adattovábbításra a megfelelőségi határozatokon vagy a megfelelő biztosítékokat nyújtó egyéb eszközökön kívül de az általános adatvédelmi rendelet 49. cikke szerinti egyedi helyzetekre vonatkozó eltérésekre támaszkodva kerül sor, azokat megszorítóan kell értelmezni annak érdekében, hogy a kivétel ne váljon általánossá; megjegyzi azonban, hogy az EU–USA adatvédelmi pajzs érvénytelenítése óta a digitális hirdetési célú transzatlanti adatáramlás is fennmaradt, annak ellenére, hogy kétségek merültek fel a hirdetési célú adattovábbítás jogalapjával kapcsolatban; felszólítja az Európai Adatvédelmi Testületet és az adatvédelmi hatóságokat, hogy az ilyen eltérések alkalmazása és ellenőrzése során biztosítsák az Európai Adatvédelmi Testület iránymutatásainak következetes értelmezését;

8.  üdvözli az általános adatvédelmi rendeletnek és a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvnek(13) megfelelő, határokon átnyúló személyesadat-áramlásáról folytatott nemzetközi vitákat; hangsúlyozza, hogy az általános adatvédelmi rendeletet, a bűnüldözésben érvényesítendő adatvédelemről szóló irányelvet, az elektronikus adatvédelemre vonatkozó szabályokat, valamint a magánélet és a személyes adatok védelméhez való alapvető jogokat védő egyéb meglévő és jövőbeli intézkedéseket nem szabad nemzetközi kereskedelmi megállapodásokkal aláásni, vagy azok részévé tenni; sürgeti a Bizottságot, hogy kövesse az EU 2018. évi horizontális álláspontját(14), és ne térjen el attól, továbbá vegye figyelembe a harmadik országok kereskedelmi jog szerinti idevágó kötelezettségvállalásait, amikor értékeli azok megfelelőségét, ideértve az adatok továbbítását is;

Általános szerződési feltételek

9.  tudomásul veszi a Bizottság végrehajtási határozatának tervezetét és az általános szerződési feltételek tervezetét; üdvözli, hogy a Bizottság nyilvános konzultáció szervezése útján visszajelzést kért az érdekelt felektől e tervezettel kapcsolatban; megjegyzi, hogy az Európai Adatvédelmi Testület és az európai adatvédelmi biztos a 2021. január 15-én kiadott közös véleményben(15) pozitívan nyilatkozott az általános szerződési feltételek tervezetéről, de további javításokat javasoltak; elvárja, hogy a komitológiai eljárás megkezdése előtt a Bizottság vegye figyelembe a kapott eredményeket;

10.  emlékeztet arra, hogy jelentős számú kkv alkalmaz általános szerződési feltételeket; hangsúlyozza, hogy a vállalatok valamennyi típusának sürgősen egyértelmű iránymutatásokra és támogatásra van szüksége ahhoz, hogy a Bíróság ítéletének alkalmazása és értelmezése során biztosított legyen a jogbiztonság érvényesülése;

11.  tudomásul veszi az Európai Adatvédelmi Testületnek az adattovábbítási eszközöket a személyes adatok uniós védelmi szintjének való megfelelés biztosítása érdekében kiegészítő intézkedésekről szóló, 01/2020. számú ajánlását(16); üdvözli, hogy az Európai Adatvédelmi Testület nyilvános konzultációt tartott ajánlásairól; aggodalmát fejezi ki a szóban forgó ajánlások és a Bizottság általános szerződési feltételekre vonatkozó javaslata közötti potenciális ellentmondások miatt; felkéri a Bizottságot és az Európai Adatvédelmi Testületet, hogy a Bíróság ítéletét követően a jogbiztonság szavatolása érdekében működjenek együtt dokumentumaik véglegesítése kapcsán; indokoltnak tartja, hogy a Bizottság kövesse az Európai Adatvédelmi Testület iránymutatását;

12.  különösen üdvözli az Európai Adatvédelmi Testület arra vonatkozó ajánlásait, hogy az adatkezelőknek objektív tényezőkre kell támaszkodniuk annak értékelésekor, hogy a harmadik ország jogának vagy gyakorlatának részét képezi-e olyan elem, amely a szóban forgó adattovábbítások esetében esetleg hatást gyakorolhat az adattovábbítási eszközökbe beépített megfelelő biztosítékok hatékony érvényesülésére, és nem hagyatkozhatnak – amint azt a Bíróság több alkalommal is kizárta – szubjektív tényezőkre, például annak valószínűségére, hogy a hatóságok nem az uniós előírásoknak megfelelő módon férnek hozzá adatokhoz; e tekintetben felszólítja a Bizottságot, hogy az általános szerződési feltételekre vonatkozó javaslatát teljes mértékben hangolja össze a Bíróság alkalmazandó ítélkezési gyakorlatával;

13.  kiemeli, hogy az Unión kívülre személyes adatokat továbbító uniós vállalatok számára alapvető fontosságú, hogy a Bíróság ítéletében foglaltaknak megfelelő, szilárd mechanizmusokra támaszkodhassanak; e tekintetben úgy véli, hogy az általános szerződési feltételek sablonjára vonatkozó jelenlegi bizottsági javaslatnak megfelelően figyelembe kell vennie az Európai Adatvédelmi Testület összes vonatkozó ajánlását; támogatja a szabályozók által elfogadott, opcionális kiegészítő – például biztonsági és adatvédelmi tanúsításokra, titkosítási biztosítékokra és álnevesítésre vonatkozó – intézkedésekből, valamint az Unió fő kereskedelmi partnereinek releváns jogszabályaival kapcsolatos nyilvánosan elérhető forrásokból álló eszköztár létrehozását;

14.  hangsúlyozza, hogy a külföldi hírszerzői tevékenység megfigyeléséről szóló egyesült államokbeli törvény (Foreign Intelligence Surveillance Act, a továbbiakban: FISA) hatálya alá tartozó adatkezelők a tömeges megfigyelés magas kockázata miatt ezen általános szerződési feltételek értelmében nem továbbíthatnak személyes adatokat az Unióból; elvárja, hogy ha az Egyesült Államokkal nem sikerül rövid időn belül kialakítani egy olyan megállapodást, amely garantálja az általános adatvédelmi rendelet és a Charta által nyújtott védelem szintjével lényegében azonos, következésképpen pedig megfelelő szintű védelmet, akkor a helyzet rendezéséig függesszék fel ezen adattovábbításokat; kiemeli, hogy a Bíróság megállapítása szerint sem a FISA 702. cikke, sem a 28. sz. elnöki politikai irányelvvel (Presidential Policy Directive 28, a továbbiakban: PPD-28) összefüggésben értelmezett 12333. sz. elnöki rendelet (Executive Order 12333, a továbbiakban: E.O. 12333) nem felel meg az uniós jogban az arányosság elvéhez társított minimális követelményeknek, következésképpen pedig az e rendelkezéseken alapuló megfigyelési programok nem tekinthetők a feltétlenül szükséges mértékre korlátozódónak; hangsúlyozza, hogy az érintettek személyes adatainak megfelelő védelme érdekében tartós megoldással kell szolgálni a Bíróság ítéletében azonosított problémákra; emlékeztet arra, hogy egyetlen vállalatok közötti szerződés sem nyújthat védelmet a hírszerző hatóságoknak az elektronikus kommunikáció tartalmához való válogatás nélküli hozzáférésével szemben, és hogy a vállalatok közötti szerződések nem biztosíthatnak megfelelő jogorvoslatot a tömeges megfigyeléssel szemben; hangsúlyozza, hogy ehhez át kell alakítani az Egyesült Államok megfigyelésre vonatkozó jogszabályait és gyakorlatait annak biztosítása érdekében, hogy az Egyesült Államok biztonsági hatóságai csak a szükséges és arányos mértékben férjenek hozzá az Unióból továbbított adatokhoz, és hogy az európai érintettek hatékony bírósági jogorvoslattal élhessenek az Egyesült Államok bíróságai előtt;

15.  felhívja a figyelmet arra, hogy az európai kkv-k, valamint nonprofit szervezetek és szövetségek, amelyektől – a harmadik országokra vonatkozó kötelező megfelelési önértékelés miatt – elvárt, hogy eligazodjanak a különböző harmadik országok jogi kereteinek bonyolult rendszerében, korlátozott alkupozícióval, jogi és pénzügyi kapacitásokkal rendelkeznek; sürgeti a Bizottságot és az Európai Adatvédelmi Testületet, hogy szolgáljanak iránymutatással – kiváltképpen a kkv-k számára – a megbízható kiegészítő intézkedések gyakorlati alkalmazásáról;

16.  felhívja az adatvédelmi hatóságokat, hogy tegyenek eleget a Bíróság ítéletében hangsúlyozott kötelezettségeiknek, és az általános szerződési feltételek alkalmazásának szoros nyomon követésével gondoskodjanak az általános adatvédelmi rendelet megfelelő és gyors végrehajtásáról; felhívja az adatvédelmi hatóságokat, hogy a Bíróság ítélkezési gyakorlatának való megfeleléshez nyújtsanak segítséget a vállalatoknak; sürgeti továbbá az adatvédelmi hatóságokat, hogy teljeskörűen gyakorolják az általános adatvédelmi rendelet 58. cikke szerinti vizsgálati és korrekciós hatásköreiket azokban az esetekben, amikor az adatátadók annak ellenére továbbítanak személyes adatokat, hogy a nem uniós célország jogszabályai megakadályozzák, hogy az adatátvevő megfeleljen az általános szerződési feltételeknek, és nem léteznek hatékony kiegészítő intézkedések; emlékeztet a Bíróság azon megállapítására, miszerint minden egyes felügyeleti hatóságnak el kell látnia az általános adatvédelmi rendelet „teljes körű tiszteletben tartásának biztosításában álló feladatát”;

Adatvédelmi pajzs

17.  megjegyzi, hogy a Bíróság szerint az EU–USA adatvédelmi pajzs nem nyújt az általános adatvédelmi rendelet és a Charta által biztosított védelem szintjével lényegében azonos, következésképpen pedig megfelelő szintű védelmet, aminek hátterében mindenekelőtt az áll, hogy az Egyesült Államok hatóságai – a szükségesség és arányosság elvével ellentétes módon – tömeges adatgyűjtést végezhetnek az adatvédelmi pajzs keretében továbbított személyes adatok esetében, továbbá hogy az uniós érintettek nem rendelkeznek az Egyesült Államok hatóságaival szemben érvényesíthető jogokkal az egyesült államokbeli bíróságok vagy bármely más igazságszolgáltatási fórumként működő független hatóság előtt; elvárja, hogy az Egyesült Államok jelenlegi kormánya a lehetséges jövőbeli adattovábbítási mechanizmusokból eredő kötelezettségei teljesítése kapcsán tanúsítson nagyobb elkötelezettséget, mint a korábbi kormányok, amelyek sem a „biztonságos kikötő” szabályainak betartása és érvényesítése, sem pedig az adatvédelmi pajzs szabályainak érvényesítése tekintetében nem mutattak politikai elkötelezettséget;

18.  rámutat arra, hogy néhány vállalat a Schrems II. ítéletre reagálva sietve, az adatok jogszerű továbbítását szolgáló legjobb intézkedések értékelése nélkül vizsgálta felül az adatvédelmi pajzs alapján vállalt kötelezettségeikre hivatkozó adatvédelmi nyilatkozatait és harmadik felekkel kötött szerződéseit;

19.  sajnálatának ad hangot amiatt, hogy a Bizottság annak ellenére nem járt el az általános adatvédelmi rendelet 45. cikke (5) bekezdésének megfelelően, hogy 2016., 2017. és 2018. évi állásfoglalásaiban a Parlament számos alkalommal felszólította a Bizottságot, hogy tegyen meg minden szükséges intézkedést annak biztosítása érdekében, hogy az adatvédelmi pajzs maradéktalanul megfeleljen az általános adatvédelmi rendeletnek és a Chartának; sajnálja, hogy a Bizottság figyelmen kívül hagyta a Parlament azon felhívásait, amelyek – hangsúlyozva annak kockázatát, hogy a Bíróság érvénytelennek nyilváníthatja az adatvédelmi pajzsot – szorgalmazták az adatvédelmi pajzs felfüggesztését mindaddig, amíg az Egyesült Államok hatóságai nem felelnek meg a feltételeknek; emlékeztet arra, hogy az adatvédelmi pajzs működésével kapcsolatban a 29. cikk alapján létrehozott munkacsoport és az Európai Adatvédelmi Testület több alkalommal is felvetett problémákat;

20.  sajnálatát fejezi ki amiatt, hogy a Bizottság az Egyesült Államokkal fenntartott kapcsolatokat az uniós polgárok érdekei elé helyezte, és így az uniós jog védelmét az egyes polgárokra bízta;

Tömeges megfigyelés és a jogi keret

21.  ösztönzi a Bizottságot, hogy proaktív módon kövesse nyomon a tömeges megfigyelésre alkalmas technológiák egyesült államokbeli, valamint azon többi országbeli, például egyesült királyságbeli alkalmazását, amelyek megfelelőségi határozat tárgyát képezik vagy képezhetik; sürgeti a Bizottságot, hogy ne fogadjon el megfelelőségi határozatokat olyan országok esetében, ahol a tömeges megfigyelésre vonatkozó jogszabályok és programok nem felelnek meg – szövegük vagy szellemük tekintetében – a Bíróság kritériumainak;

22.  tudomásul veszi, hogy az Egyesült Államokban nemrégiben hatályba lépett a fogyasztók adatainak védelméről szóló kaliforniai törvény (California Consumer Privacy Act, a továbbiakban: CCPA); tudomásul veszi a kapcsolódó szövetségi szintű vitákat és jogalkotási javaslatokat; hangsúlyozza, hogy bár ezek a helyes irányba tett lépések, egyelőre sem a CCPA, sem pedig a szövetségi szintű javaslatok nem felelnek meg az általános adatvédelmi rendelet megfelelőség megállapítására vonatkozó követelményeinek; határozottan arra ösztönzi az Egyesült Államok jogalkotóját, hogy fogadjon el e követelményeknek megfelelő jogszabályokat, és ily módon járuljon hozzá annak biztosításához, hogy az Egyesült Államok joga az Unióban jelenleg garantált védelem szintjével lényegében azonos szintű védelmet nyújtson;

23.  hangsúlyozza, hogy a fogyasztói adatok védelmére és a magánélet tiszteletben tartására vonatkozó ilyen jogszabályok önmagukban nem lesznek elégségesek azoknak az alapvető problémáknak az orvoslásához, amelyeket a Bíróság az egyesült államokbeli hírszerző szolgálatok által folytatott tömeges megfigyeléssel, valamint az igénybe vehető jogorvoslati lehetőségek elégtelenségével kapcsolatban megállapított; ösztönzi az Egyesült Államok jogalkotóját, hogy módosítsa a FISA 702. szakaszát, az Egyesült Államok elnökét pedig, hogy módosítsa az E.O. 12333-t és a PPD-28-t, különösen a tömeges megfigyelés, valamint az uniós és az egyesült államokbeli polgárok azonos szintű védelmének biztosítása tekintetében; ösztönzi az Egyesült Államokat, hogy írjon elő olyan mechanizmusokat, amelyek szavatolják a magánszemélyek (késleltetett) értesítését, valamint azt, hogy a magánszemélyek megtámadhassák a 702. szakaszon és az E.O. 12333-on alapuló illetéktelen megfigyeléseket, továbbá hozzon létre jogszabályban szabályozott mechanizmust annak biztosítására, hogy a nem egyesült államokbeli állampolgárok a bírósági jogorvoslatról szóló törvényben (Judicial Redress Act) foglaltakon túlmutató, érvényesíthető jogokkal rendelkezzenek;

24.  emlékeztet arra, hogy a terrorizmus finanszírozásának felderítését célzó program, az utasnyilvántartási adatokra vonatkozó EU–USA megállapodás, az adójogszabályoknak a külföldi számlával rendelkező adóalanyok általi betartásáról szóló egyesült államokbeli törvényt (FATCA) végrehajtó kormányközi megállapodások alapján végzett automatikus adóügyiinformáció-csere keretében a tagállamok továbbra is folytatnak személyesadat-cserét az Egyesült Államokkal, ami hátrányosan érinti az „amerikainak tekinthető” személyeket, amint az az USA adójogszabályok külföldi számlával rendelkező adóalanyok általi betartásáról szóló törvényének (FATCA) uniós polgárokra és különösen az „amerikainak tekinthető” személyekre gyakorolt kedvezőtlen hatásáról szóló 2018. július 5-i parlamenti állásfoglalásban(17) is szerepel; emlékeztet arra, hogy az Egyesült Államok továbbra is hozzáfér az uniós polgárok ujjnyomatait és DNS-adatait tartalmazó tagállami bűnüldözési adatbázisokhoz; felkéri a Bizottságot, hogy elemezze a Schrems I. és II. ítéletek ezen adatcserékre gyakorolt hatását, és 2021. szeptember 30-ig nyilvánosan és írásban is ismertesse az Állampolgári Jogi, Bel- és Igazságügyi Bizottsággal elemzését, valamint azt, hogy miként kívánja ezen adatcseréket összhangba hozni az ítéletekben foglaltakkal;

25.  felhívja továbbá a Bizottságot, hogy elemezze a FISA 702. szakaszának hatálya alá tartozó azon felhőszolgáltatók helyzetét, amelyek általános szerződési feltételek alkalmazásával végeznek adattovábbítást; felhívja ezenkívül a Bizottságot, hogy elemezze az EU–USA keretmegállapodásban (Umbrella Agreement) elismert jogokra, többek között a bírósági jogorvoslathoz való jogra gyakorolt hatást, figyelembe véve, hogy az Egyesült Államok kifejezetten csak azoknak a kijelölt országoknak a polgárai számára biztosítja ezt a jogot, amelyek engedélyezik a kereskedelmi célú adattovábbítást az Egyesült Államokba; elfogadhatatlannak tartja, hogy a Bizottság egy évvel a határidő lejárta után még mindig nem tette közzé a keretmegállapodás első közös felülvizsgálatának megállapításait, és felhívja a Bizottságot, hogy szükség esetén haladéktalanul hozza összhangba a megállapodást a Bíróság ítéleteiben meghatározott normákkal;

26.  úgy véli, hogy tekintettel az európai polgárok Egyesült Államokba továbbított adatainak védelme terén fennálló komoly hiányosságokra, támogatni kell az európai adattárolási eszközökbe (például a felhőszolgáltatásba) irányuló beruházásokat annak érdekében, hogy az Unió kevésbé függjön harmadik országok tárolási kapacitásaitól, és nagyobb stratégiai autonómiával rendelkezzen az adatgazdálkodás és -védelem szempontjából;

Megfelelőségi határozatok

27.  felhívja a Bizottságot, hogy tegyen meg minden szükséges intézkedést azt biztosítandó, hogy az Egyesült Államokkal kapcsolatos új megfelelőségi határozatok teljes mértékben megfeleljenek az (EU) 2016/679 rendeletnek, a Chartának és a Bíróság ítéleteiben foglalt valamennyi elemnek; emlékeztet arra, hogy a megfelelőségi keretek jelentősen megkönnyítik a gazdasági tevékenységet, különösen a kkv-k és az induló innovatív vállalkozások számára, amelyek a nagyvállalatoktól eltérően gyakran nem rendelkeznek a szükséges pénzügyi, jogi és technikai kapacitással ahhoz, hogy más adattovábbítási eszközöket használjanak; felhívja a tagállamokat, hogy kössenek kémkedést tiltó megállapodásokat az Egyesült Államokkal; felhívja a Bizottságot, hogy használja fel az egyesült államokbeli partnereivel kialakított kapcsolatokat annak kommunikálására, hogy amennyiben az Egyesült Államok nem módosítja megfigyelésre vonatkozó jogszabályait és gyakorlatait, a jövőbeli megfelelőségi határozatok meghozatalának egyetlen járható útját a kémkedést tiltó megállapodások tagállamokkal való megkötése jelentené;

28.  úgy véli, hogy a Bizottság jövőbeli megfelelőségi határozatainak alapja nem lehet az öntanúsítás rendszere, mint a „biztonságos kikötő” és az adatvédelmi pajzs esetében volt; felhívja a Bizottságot, hogy teljes mértékben vonja be az Európai Adatvédelmi Testületet az Egyesült Államokkal kapcsolatos új megfelelőségi határozatok tiszteletben tartásának és érvényesítésének értékelésébe; e tekintetben felhívja a Bizottságot, hogy állapodjon meg az Egyesült Államok kormányával az ahhoz szükséges intézkedésekről, hogy az Európai Adatvédelmi Testület hatékonyan el tudja látni ezt a feladatot; elvárja, hogy az Egyesült Államokkal kapcsolatos új megfelelőségi határozatok meghozatala előtt a Bizottság alaposabban mérlegelje a Parlament e határozatokra vonatkozó álláspontját;

29.  emlékeztet arra, hogy a Bizottság megkezdte a 95/46/EK irányelv alapján elfogadott összes megfelelőségi határozat felülvizsgálatát, amely folyamat jelenleg is zajlik; hangsúlyozza, hogy a Bizottságnak az általános adatvédelmi rendeletben, valamint a Bíróság Schrems I. és II. ítéletében meghatározott szigorúbb normákat kell alkalmaznia annak értékelésére, hogy az általános adatvédelmi rendelet által biztosítottal lényegében azonos védelmi szint érvényesül-e, többek között a hatékony jogorvoslathoz való hozzáférés, valamint a harmadik országbeli hatóságok személyes adatokhoz való jogosulatlan hozzáférésével szembeni védelem tekintetében; sürgeti a Bizottságot, hogy mielőbb véglegesítse ezeket a felülvizsgálatokat, és vonja vissza vagy függessze fel az általános adatvédelmi rendelet előtt hozott azon határozatokat, amelyek esetében úgy ítéli meg, hogy az adott harmadik ország nem nyújt lényegében azonos szintű védelmet, és a helyzetet nem lehet orvosolni;

30.  úgy véli, hogy a Biden-kormány azzal, hogy az adatvédelmi pajzs utódjáról szóló tárgyalások főtárgyalójának egy tapasztalt adatvédelmi szakértőt nevezett ki, tanúbizonyságot tett arra irányuló elkötelezettségéről, hogy – prioritásként kezelve – megoldást találjon az Unió és az Egyesült Államok közötti kereskedelmi célú adattovábbításra; arra számít, hogy a Bizottság és egyesült államokbeli partnerei közötti, közvetlenül a Bíróság ítélethozatala után megkezdett párbeszéd a következő hónapokban élénkebbé fog válni;

31.  felhívja a Bizottságot, hogy az Egyesült Államok jogszabályainak és gyakorlatának egyértelmű, jogi szempontból elfogadható, érvényesíthető és megkülönböztetésmentes reformján keresztül megvalósítható érdemi reformok – különösen a nemzetbiztonság és a hírszerzés terén történő – bevezetése hiányában ne fogadjon el új megfelelőségi határozatot az Egyesült Államok tekintetében; e tekintetben újfent felhívja a figyelmet a hatóságok személyes adatokhoz való hozzáférésével kapcsolatos megbízható garanciák fontosságára; felhívja a Bizottságot, hogy ültesse át a gyakorlatba „geopolitikai törekvéseit” annak érdekében, hogy az Unióban biztosítottal lényegében azonos szintű adatvédelem érvényesüljön az Egyesült Államokban és más harmadik országokban;

32.  javasolja, hogy a nemzeti adatvédelmi hatóságok függesszék fel az Egyesült Államok hatóságai számára hozzáférhető személyes adatok továbbítását, amennyiben a Bizottság úgy fogad el új megfelelőségi határozatokat az Egyesült Államok tekintetében, hogy nem kerül sor ilyen érdemi reformok bevezetésére;

33.  örömmel veszi tudomásul, hogy a Bizottság követi a 29. cikk alapján létrehozott munkacsoport által összeállított (és az Európai Adatvédelmi Testület által jóváhagyott), az általános adatvédelmi rendelet szerinti megfelelőségi referenciában(18), valamint az Európai Adatvédelmi Testületnek a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv szerinti megfelelőségi referenciára vonatkozó 01/2020. számú ajánlásában(19) meghatározott kritériumokat; úgy véli, hogy a Bizottságnak legalább ezen kritériumok figyelembevételével kell értékelnie, hogy egy adott harmadik ország megfelel-e a megfelelőségi határozatokra vonatkozó feltételeknek; megállapítja, hogy az Európai Adatvédelmi Testület a Bíróság ítélkezési gyakorlata alapján nemrégiben frissítette a megfigyelési intézkedésekre vonatkozó alapvető európai garanciákról szóló ajánlását(20);

o
o   o

34.  utasítja elnökét, hogy továbbítsa ezt az állásfoglalást a Bizottságnak, az Európai Tanácsnak, az Európai Unió Tanácsának, az Európai Adatvédelmi Testületnek, a tagállamok nemzeti parlamentjeinek, az Amerikai Egyesült Államok Kongresszusának és kormányának, valamint az Egyesült Királyság parlamentjének és kormányának.

(1) A Bíróság 2020. július 16-i ítélete, Data Protection Commissioner kontra Facebook Ireland Limited és Maximillian Schrems, C-311/18, ECLI:EU:C:2020:559. (2) A Bíróság 2015. október 6-i ítélete, Maximillian Schrems kontra Data Protection Commissioner, C-362/14, ECLI:EU:C:2015:650. (3) A Bíróság 2020. október 6-i ítélete, Privacy International kontra Secretary of State for Foreign and Commonwealth Affairs és társai, C-623/17, ECLI:EU:C:2020:790. (4) HL C 76., 2018.2.28., 82. o. (5) HL C 298., 2018.8.23., 73. o. (6) HL C 118., 2020.4.8., 133. o. (7) HL C 345., 2020.10.16., 58. o. (8) HL L 39., 2010.2.12., 5. o. (9) HL L 207., 2016.8.1., 1. o. (10) Elfogadott szövegek, P9_TA(2020)0337. (11) HL L 119., 2016.5.4., 1. o. (12) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_hu.pdf (13) Az Európai Parlament és a Tanács (EU) 2016/680 irányelve (2016. április 27.) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről (HL L 119., 2016.5.4., 89. o.). (14) Az EU javaslata a határokon átnyúló adatáramlásra, valamint a személyes adatok és a magánélet védelmére vonatkozó rendelkezésekről, http://trade.ec.europa.eu/doclib/docs/2018/july/tradoc_157130.pdf (15) Az európai adatvédelmi biztos és az Európai Adatvédelmi Testület 2021. január 14-i 2/2021. sz. közös véleménye a személyes adatok harmadik országokba történő továbbítására vonatkozó általános szerződési feltételekről. (16) Az Európai Adatvédelmi Testület 2020. november 11-i 01/2020. számú ajánlása az adattovábbítási eszközöket a személyes adatok uniós védelmi szintjének való megfelelés biztosítása érdekében kiegészítő intézkedésekről: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_hu (17) HL C 118., 2020.4.8., 141. o. (18) https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 (19) https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012021-adequacy-referential-under-law_hu (20) https://edpb.europa.eu/our-work-tools/our-documents/preporki/recommendations-022020-european-essential-guarantees_hu