Az Európai Parlament 2023. május 11-i állásfoglalása az EU–USA adatvédelmi keret által nyújtott védelem megfelelőségéről (2023/2501(RSP))
Az Európai Parlament,
– tekintettel az Európai Unió Alapjogi Chartájára (a Charta) és különösen annak 7., 8., 16., 47. és 52. cikkére,
– tekintettel az Európai Unió Bírósága (EUB) által a C-362/14. sz. Maximillian Schrems kontra adatvédelmi biztos ügyben hozott, 2015. október 6-i ítéletre (Schrems I)(1),
– tekintettel az EUB által a C-311/18. sz., Adatvédelmi biztos kontra Facebook Ireland Limited és Maximillian Schrems ügyben hozott, 2020. július 16-i ítéletre (Schrems II)(2),
– tekintettel az Edward Snowden révén az uniós polgárok tömeges elektronikus megfigyelésével kapcsolatban napvilágra került információkkal kapcsolatos vizsgálatára, beleértve az egyesült államokbeli NSA megfigyelési programjáról, a különböző tagállamokban megfigyelést végző szervekről és azoknak az uniós polgárok alapvető jogaira gyakorolt hatásáról, valamint a transzatlanti bel- és igazságügyi együttműködésről szóló, 2014. március 12-i állásfoglalásában foglalt megállapításokat is(3),
– tekintettel a transzatlanti adatáramlásokról szóló, 2016. május 26-i állásfoglalására(4),
– tekintettel az EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2017. április 6-i állásfoglalására(5),
– tekintettel az EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2018. július 5-i állásfoglalására(6),
– tekintettel 2021. május 20-i állásfoglalására az Európai Bíróság 2020. július 16-i ítéletéről – Adatvédelmi biztos kontra Facebook Ireland Limited és Maximillian Schrems (Schrems II) – C-311/18. sz. ügy(7),
– tekintettel az (EU) 2016/679 európai parlamenti és tanácsi rendelet szerinti, a személyes adatoknak az EU–USA adatvédelmi keret szerinti megfelelő szintű védelméről szóló bizottsági végrehajtási határozat tervezetére,
– tekintettel az Egyesült Államok elnökének az Egyesült Államok jelfelderítési tevékenységeire vonatkozó biztosítékok megerősítéséről szóló, 2022. október 7-i 14086. sz. elnöki rendeletére,
– tekintettel az Egyesült Államok elnökének az Egyesült Államok hírszerzési tevékenységeiről szóló, 1981. december 4-i 12333. sz. elnöki rendeletére,
– tekintettel az Egyesült Államok főügyésze által kiadott, az adatvédelmi felülvizsgálati bíróságról szóló rendeletre (a továbbiakban: főügyészi rendelet),
– tekintettel a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre (általános adatvédelmi rendelet)(8), és különösen annak V. fejezetére,
– tekintettel az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelvre(9),
– tekintettel a 29. cikk alapján létrehozott munkacsoport megfelelőségi referenciájára (WP 254 rev.01), amelyet az Európai Adatvédelmi Testület is megerősített, valamint az Európai Adatvédelmi Testületnek az adattovábbítási eszközöket a személyes adatok uniós védelmi szintjének való megfelelés biztosítása érdekében kiegészítő intézkedésekről szóló 01/2020. számú ajánlásaira és a megfigyelési intézkedésekre vonatkozó alapvető európai garanciákról szóló 02/2020. számú ajánlásaira,
– tekintettel az Európai Adatvédelmi Testületnek a személyes adatoknak az EU-USA adatvédelmi keret szerinti megfelelő védelméről szóló európai bizottsági végrehajtási határozat tervezetéről szóló, 2023. február 28-i 5/2023. számú véleményére,
A. mivel az EUB a „Schrems I” ítéletben hatályon kívül helyezte a 95/46/EK irányelv alapján az Egyesült Államok Kereskedelmi Minisztériuma által a biztonságos kikötő adatvédelmi elvek által biztosított védelem megfelelőségéről és a kapcsolódó gyakran feltett kérdésekről szóló, 2000. július 26-i bizottsági határozatot(10), és rámutatott arra, hogy a hírszerző hatóságoknak az elektronikus hírközlés tartalmához való megkülönböztetés nélküli hozzáférése sérti a közlés bizalmasságához fűződő, a Charta 7. cikkében előírt alapvető jog lényegét; mivel a Bíróság rámutatott arra, hogy a harmadik országnak a megfelelőségi határozat céljaiból nem azonos, hanem az uniós jogban biztosított védelmi szinttel „lényegében azonos” védelmi szintet kell biztosítania, amely különböző eszközökkel valósítható meg;
B. mivel az EUB a „Schrems II” ítéletben hatályon kívül helyezte a 95/46/EK irányelv alapján az EU–USA adatvédelmi pajzs által nyújtott védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozatot(11), és arra a következtetésre jutott, hogy az nem biztosít elegendő jogorvoslati lehetőséget a nem amerikai állampolgárok tömeges megfigyelése ellen, és ez sérti a Charta 47. cikkében előírt jogorvoslathoz való alapvető jog lényegét;
C. mivel az Egyesült Államok elnöke 2022. október 7-én aláírta az Egyesült Államok jelfelderítési tevékenységeire vonatkozó biztosítékok megerősítéséről szóló, 14086. sz. elnöki rendeletet (14086. sz. elnöki rendelet);
D. mivel 2022. december 13-án a Bizottság elindította az EU–USA adatvédelmi keretre vonatkozó megfelelőségi határozat elfogadásának folyamatát;
E. mivel a harmadik ország által nyújtott védelem szintjének vizsgálatakor a Bizottság köteles értékelni az adott országban alkalmazandó, az adott ország nemzeti jogából vagy nemzetközi kötelezettségvállalásaiból eredő szabályok tartalmát, valamint az e szabályoknak való megfelelés biztosítását célzó gyakorlatot; mivel amennyiben egy ilyen értékelés a megfelelőség és az egyenértékűség tekintetében nem bizonyul kielégítőnek, a Bizottságnak tartózkodnia kell megfelelőségi határozat elfogadásától, mivel az a vonatkozó garanciák végrehajtásától függ; mivel a Bizottság köteles felfüggeszteni a megfelelőséget, ha már nem áll fenn egyenértékűség; mivel az általános adatvédelmi rendelet előírja, hogy a vonatkozó értékelésnek folyamatos folyamatnak kell lennie, figyelembe véve az alkalmazandó szabályok és gyakorlatok változásait;
F. mivel a személyes adatok határokon átnyúló továbbíthatósága az innováció, a termelékenység és a gazdasági versenyképesség kulcsfontosságú mozgatórugója lehet, amennyiben megfelelő biztosítékokat nyújtanak; mivel a szóban forgó adattovábbításoknak a személyes adatok védelméhez való jog és a magánélethez való jog maradéktalan tiszteletben tartása mellett kell történnie; mivel az EU egyik célja a Chartában foglalt alapvető jogok védelme;
G. mivel az általános adatvédelmi rendelet minden olyan vállalkozásra vonatkozik, amely uniós érintettek személyes adatait kezeli, amennyiben az adatkezelési tevékenységek az uniós érintettek számára felajánlott áruszállításhoz vagy szolgáltatásnyújtáshoz vagy magatartásuk figyelemmel kíséréséhez kapcsolódik, amennyiben ez a magatartás az Unión belül valósul meg;
H. mivel az állami szereplők által végzett tömeges megfigyelés, azaz az egyének magánéletébe való beavatkozás korlátozására szolgáló biztosítékok nélküli, válogatás nélküli adatgyűjtés rontja az európai polgárok és vállalkozások digitális szolgáltatásokba, kiterjesztve pedig a digitális gazdaságba vetett bizalmát; mivel míg az amerikai ügynökségek számára tilos az Egyesült Államokban élő amerikai állampolgárok tömeges adatainak gyűjtése, ez a tilalom nem vonatkozik az uniós polgárokra; mivel az állami szereplők általi tömeges megfigyelés jogellenes, és a hatások negatívan befolyásolják az uniós polgárok és vállalkozások digitális szolgáltatásokba, kiterjesztve pedig a digitális gazdaságba vetett bizalmát;
I. mivel az adatkezelőknek mindig elszámoltathatónak kell lenniük az adatvédelmi kötelezettségek teljesítésével kapcsolatban, ideértve az adatkezelés megfelelőségének bizonyítását is, függetlenül annak jellegétől, terjedelmétől, összefüggéseitől és céljaitól, valamint az érintettek kockázataitól;
J. mivel az Egyesült Államokban nincs a magánélet védelmére és az adatvédelemre vonatkozó szövetségi jogszabály; mivel a 14086. sz. elnöki rendelet bevezeti az olyan kulcsfontosságú adatvédelmi fogalmak meghatározását, mint a szükségesség és az arányosság elve, ami jelentős előrelépést jelent a korábbi adattovábbítási mechanizmusokhoz képest; mivel ezen elvek értelmezése szoros nyomon követést igényel; mivel előfordulhat, hogy az adatvédelmi felülvizsgálati bíróság (DPRC) eljárásai átláthatóságának hiánya miatt nem lehet átfogóan értékelni, hogy ezeket az elveket hogyan hajtják végre az Egyesült Államok jogrendjében;
1. emlékeztet arra, hogy a magán- és a családi élet tiszteletben tartása és a személyes adatok védelme jogilag érvényesíthető alapvető jogok, melyeket a Szerződések, a Charta és az emberi jogok európai egyezménye, valamint jogszabályok és az ítélkezési gyakorlat rögzítenek; hangsúlyozza, hogy az általános adatvédelmi rendelet alapján hozott megfelelőségi határozatok jogi határozatok, nem pedig politikai választások, és hogy a magánélet tiszteletben tartásához és az adatok védelméhez való jog csak más alapvető jogokkal állítható szembe, nem pedig kereskedelmi vagy politikai érdekekkel;
2. tudomásul veszi a 14086. sz. elnöki rendelet keretében tett, arra irányuló erőfeszítéseket, hogy korlátozásokat állapítsanak meg az Egyesült Államok jelfelderítési tevékenységeire vonatkozóan azáltal, hogy az arányosság és a szükségesség elvét alkalmazzák az Egyesült Államok jelfelderítési jogi keretére, és felsorolják az ilyen tevékenységek jogszerű céljait; megjegyzi, hogy ezek az elvek kötelezőek lennének az Egyesült Államok teljes hírszerzési közösségére nézve, és azokra az érintettek a 14086. sz. elnöki rendeletben előirányzott eljárás során hivatkozhatnának; hangsúlyozza, hogy ez az elnöki rendelet jelentős javításokat ír elő annak biztosítása érdekében, hogy ezek az elvek az uniós jogban lényegében egyenértékűek legyenek; rámutat azonban, hogy ezek az elvek az uniós adatvédelmi rendszer régóta fennálló kulcsfontosságú elemei, és hogy anyagi jogi meghatározásuk a 14086. sz. elnöki rendeletben nincs összhangban az uniós jog szerinti fogalommeghatározásukkal és az EUB általi értelmezésükkel; rámutat továbbá, hogy az EU–USA adatvédelmi keret alkalmazásában ezeket az elveket kizárólag az Egyesült Államok, nem pedig az EU jogának és jogi hagyományainak fényében fogják értelmezni; megjegyzi, hogy a 14086. sz. elnöki rendelet 12 olyan jogszerű célt sorol fel, amelyek elérése érdekében sor kerülhet jelfelderítési célú adatgyűjtésre, és öt olyan célt, amelyek elérése érdekében tilos a jelfelderítési célú adatgyűjtés; megjegyzi, hogy az Egyesült Államok elnöke módosíthatja és bővítheti a jogos nemzetbiztonsági célkitűzések listáját, anélkül, hogy köteles lenne nyilvánosságra hozni a vonatkozó frissítéseket vagy tájékoztatni az EU-t; rámutat, hogy a 14086. sz. elnöki rendelet azt írja elő, hogy a jelfelderítést a szükséges és a „validált hírszerzési prioritással” arányos módon végezzék, ami e fogalmak tág értelmezésének tűnik; hangsúlyozza, hogy az arányosság és a szükségesség elvének a 14086. sz. elnöki rendelet összefüggésében történő átfogó értékeléséhez azokat működőképessé kell tenni és végre kell hajtani az Egyesült Államok hírszerző ügynökségeinek politikáiban és eljárásaiban; ugyanakkor aggodalmát fejezi ki amiatt, hogy az elemzőknek nem kötelező minden egyes megfigyelési határozat esetében arányossági értékelést végezniük;
3. megállapítja, hogy a 14086. sz. elnöki rendelet bizonyos esetekben megengedi a jelfelderítés útján történő tömeges adatgyűjtést, ideértve a kommunikációk tartalmát; ugyanakkor megjegyzi, hogy a 14086. sz. elnöki rendeleti rendelet előírja, hogy a célzott adatgyűjtést előnyben kell részesíteni a tömeges adatgyűjtéssel szemben; emlékeztet arra, hogy jóllehet a 14086. sz. elnöki rendelet számos biztosítékot tartalmaz a tömeges adatgyűjtés esetére, nem rendelkezik a tömeges adatgyűjtés független előzetes engedélyezéséről, amelyet a 12333. sz. elnöki rendelet szintén nem irányoz elő; emlékeztet arra, hogy a Schrems II. ügyben a Bíróság kifejtette, hogy az amerikai megfigyelés nem felel meg az uniós jognak, mivel nem ír elő olyan „objektív kritériumot”, amely „képes igazolni” a magánéletbe való kormányzati beavatkozást; rámutat arra, hogy ez aláásná a célkitűzéseknek mint az egyesült államokbeli hírszerzési tevékenységek korlátozására szolgáló biztosítékoknak a célját; emlékeztet arra, hogy az „adatvédelmi pajzsra” vonatkozó megfelelőségi határozat alapját képező 28. elnöki politikai irányelv (PPD-28) után a Polgári Szabadságjogi Felügyelő Tanács (PCLOB) felülvizsgálati jelentést(12) adott ki, és arra a következtetésre jutott, hogy a PPD-28 lényegében fenntartotta a hírszerző közösség meglévő gyakorlatait; meggyőződése, hogy a PPD-28 nem fogja leállítani az uniós polgárok egyesült államokbeli hatóságok általi tömeges elektronikus megfigyelését;
4. osztja az Európai Adatvédelmi Testület azzal kapcsolatos aggályait, hogy a 14086. sz. elnöki rendelet nem nyújt elegendő biztosítékot tömeges adatgyűjtés esetén, nevezetesen nincs független előzetes engedélyezés, nincsenek egyértelmű és szigorú adatmegőrzési szabályok, lehetséges az „ideiglenes” tömeges adatgyűjtés, valamint hiányoznak a tömegesen gyűjtött adatok terjesztésére vonatkozó szigorúbb biztosítékok; rámutat különösen arra a konkrét aggodalomra, hogy az egyesült államokbeli hatóságok számára történő terjesztés további korlátozása nélkül a bűnüldöző hatóságok olyan adatokhoz férhetnének hozzá, amelyekhez egyébként tilos lenne hozzáférniük; emlékeztet arra, hogy az újbóli adattovábbítások gyakorlatilag megsokszorozzák az adatvédelmet fenyegető kockázatokat; megjegyzi, hogy az Európai Adatvédelmi Testület felszólított egy jogilag kötelező erejű kötelezettség beillesztésére annak elemzésére és meghatározására, hogy egy harmadik ország elfogadható minimális szintű biztosítékokat nyújt-e;
5. rámutat, hogy a 14086. sz. elnöki rendelet nem vonatkozik a hatóságok által más módon, például az Egyesült Államok számításifelhő-törvénye vagy a „Patriot Act”, illetve a kereskedelmi adatvásárlások vagy önkéntes adatmegosztási megállapodások révén hozzáférhető adatokra;
6. rámutat, hogy az alapvető probléma a nem egyesült államokbeli személyeknek az USA joga szerinti megfigyelése, valamint az, hogy az európai polgárok e tekintetben nem tudnak hatékony jogorvoslatért folyamodni; kéri, hogy az uniós polgárok ugyanazokkal a jogokkal és kiváltságokkal rendelkezzenek, mint az amerikai polgárok az amerikai hírszerző közösség tevékenységei és az amerikai bíróságokhoz való hozzáférés tekintetében;
7. megjegyzi, hogy az egyesült államokbeli értelmezéssel összhangban a „jelfelderítés” a külföldi hírszerzési megfigyelésről szóló törvényben (FISA) előírt valamennyi adathozzáférési módszert lefedi, beleértve az adatoknak a 2008-ban a FISA-t módosító törvény 1881a. szakaszával beillesztett „távoli számítástechnikai szolgáltatások” szolgáltatóitól való beszerzését is; felhívja a Bizottságot, hogy a jövőbeli tárgyalások során tisztázza a „jelfelderítés” 14086. sz. elnöki rendelet szerinti meghatározását és hatályát; emlékeztet arra, hogy a FISA 702. szakasza értelmében az Egyesült Államok kormánya továbbra is azt állítja, hogy hatáskörrel rendelkezik arra, hogy tágan értelmezett külföldi hírszerzési információk megszerzése érdekében külföldön bármely nem egyesült államokbeli személyt célba vegyen;
8. rámutat arra, hogy új jogorvoslati mechanizmust hoztak létre, amely lehetővé teszi az uniós érintettek számára, hogy panaszt nyújtsanak be; hangsúlyozza ugyanakkor, hogy a DPRC határozatait minősítenék, és nem hoznák nyilvánosságra, illetve nem bocsátanák a panaszos rendelkezésére, akit csak arról tájékoztatnának, hogy a felülvizsgálat vagy nem tárt fel érintett jogsértéseket, vagy hogy a DPRC megfelelő intézkedést igénylő határozatot hozott, ezáltal aláásva a panaszosok adataikhoz való hozzáféréshez vagy azok helyesbítéséhez való jogát; aggodalmát fejezi ki amiatt, hogy ez azt jelenti, hogy az ügyet benyújtó személynek nem volna esélye arra, hogy tájékoztatást kapjon az ügy érdemi kimeneteléről, és a határozat végleges lenne; megjegyzi, hogy a javasolt jogorvoslati eljárás nem biztosít jogorvoslati lehetőséget a szövetségi bíróságok előtt, és ezért többek között nem biztosít lehetőséget a panaszosnak arra, hogy kártérítést követeljen; felhívja a Bizottságot, hogy folytassa a tárgyalásokat az Egyesült Államokkal az ezen aggályok kezeléséhez szükséges változtatások elérése érdekében;
9. megjegyzi, hogy a 14086. sz. elnöki rendelet bevezet néhány garanciát a DPRC bírái függetlenségének biztosítására, amint azt az Európai Adatvédelmi Testület véleményében elismerte; rámutat, hogy a DPRC a végrehajtó hatalom része, nem pedig az igazságszolgáltatásé, és bíráit négyéves határozott időtartamra nevezik ki; és az Egyesült Államok elnöke akár titokban is felülbírálhatja a DPRC döntéseit; rámutat, hogy bár az új jogorvoslati mechanizmus nem teszi lehetővé az Egyesült Államok főügyésze számára, hogy felmentse és felügyelje a DPRC bíráit, nem érinti az Egyesült Államok elnökének vonatkozó hatásköreit; hangsúlyozza, hogy amíg az Egyesült Államok elnöke elmozdíthatja a DPRC bíráit hivatali idejük alatt, e bírák függetlensége nem garantált; megjegyzi, hogy elfogadása esetén a Bizottságnak szorosan nyomon kellene követnie a biztosítékok alkalmazását a függetlenség gyakorlati biztosítása érdekében; rámutat, hogy a panaszost a DPRC által kijelölt „különleges ügyvéd” képviselné, akire nem vonatkozik a függetlenség követelménye; felhívja a Bizottságot, hogy megfelelőségi határozat elfogadása esetén biztosítsa a függetlenségre vonatkozó követelmény bevezetését; arra a következtetésre jut, hogy a DPRC jelenlegi formájában nem felel meg a Charta 47. cikkében foglalt függetlenségi és pártatlansági normáknak; megjegyzi, hogy míg a PCLOB függetlenül felülvizsgálná az új jogorvoslati eljárás működését, e felülvizsgálat hatóköre korlátozott lenne;
10. megjegyzi, hogy az Egyesült Államok új jogorvoslati mechanizmust hozott létre a hatóságok adatokhoz való hozzáférésével kapcsolatos kérdésekre vonatkozóan, de továbbra is kérdések merülnek fel a kereskedelmi ügyekben rendelkezésre álló jogorvoslatok hatékonyságával kapcsolatban, amelyek a megfelelőségi határozat értelmében változatlanok; megjegyzi, hogy az e kérdések megoldására irányuló mechanizmusok nagyrészt a vállalatok mérlegelésére vannak bízva, amelyek alternatív jogorvoslati lehetőségeket választhatnak, például vitarendezési mechanizmusokat vagy a vállalatok adatvédelmi programjainak alkalmazását; felhívja a Bizottságot, hogy megfelelőségi határozat elfogadása esetén alaposan elemezze e jogorvoslati mechanizmusok hatékonyságát;
11. megjegyzi, hogy az európai vállalkozásoknak jogbiztonságra van szükségük és megérdemlik azt; hangsúlyozza, hogy az egymást követő adattovábbítási mechanizmusok, amelyeket később az EUB hatályon kívül helyezett, többletköltségeket okoztak az európai vállalkozások számára; elismeri ezért, hogy biztosítani kell a jogbiztonságot és el kell kerülni azt a helyzetet, hogy a vállalkozásoknak folyamatosan alkalmazkodniuk kell az új jogi megoldásokhoz, ami különösen nagy terhet jelenthet a mikro-, kis- és középvállalkozások számára; aggodalmát fejezi ki amiatt, hogy a megfelelőségi határozatot – elfogadása esetén – az EUB érvénytelenítheti (az elődeihez hasonlóan), ami a jogbiztonság folyamatos hiányához, további költségekhez és zavarokhoz vezethet az európai polgárok és vállalkozások számára;
12. rámutat, hogy az összes többi olyan harmadik országgal ellentétben, amelyek az általános adatvédelmi rendelet alapján megfelelőségi határozatot kaptak, az Egyesült Államok még mindig nem rendelkezik szövetségi adatvédelmi törvénnyel; rámutat arra, hogy a 14086. sz. elnöki rendelet alkalmazása nem egyértelmű, pontos vagy előre látható, mivel azt az Egyesült Államok elnöke bármikor módosíthatja vagy visszavonhatja, aki titkos vezetői utasítások kibocsátására is felhatalmazással rendelkezik; megjegyzi, hogy a megfelelőség megállapításának felülvizsgálatára a megfelelőségi határozat tagállamokkal való közlésétől számított egy év elteltével, majd ezt követően legalább négyévente kerülne sor; felhívja a Bizottságot, hogy bármely jövőbeli megfelelőségi határozat elfogadása esetén az Európai Adatvédelmi Testület véleményében kérteknek megfelelően legalább háromévente végezzen további felülvizsgálatokat; aggodalmát fejezi ki egy olyan, hatályvesztésre vonatkozó rendelkezés hiánya miatt, amelynek következtében a határozat a hatálybalépése után négy évvel automatikusan hatályát vesztené, ezt követően pedig a Bizottságnak új döntést kellene hoznia; aggodalmát fejezi ki amiatt, hogy e megfelelőségi határozat hatályvesztésre vonatkozó rendelkezésének hiánya megengedőbb megközelítést jelent az Egyesült Államokkal szemben annak ellenére, hogy az Egyesült Államok adatvédelmi kerete egy olyan elnöki rendeleten alapul, amely titkos módosításokat tesz lehetővé, és amely a Kongresszus jóváhagyása vagy az uniós partnerek tájékoztatása nélkül módosítható; ezért felhívja a Bizottságot, hogy vezessen be ilyen rendelkezést;
13. tudomásul veszi az Európai Adatvédelmi Testület által az érintettek jogaival, az automatizált döntéshozatalra és profilalkotásra vonatkozó kulcsfontosságú fogalommeghatározások és konkrét szabályok hiányával, az adatvédelmi keret elveinek az adatfeldolgozókra való alkalmazásával kapcsolatos egyértelműség hiányával, valamint a védelem szintjét aláásó újbóli továbbítások elkerülésével kapcsolatban kifejezett aggályokat;
14. hangsúlyozza, hogy a megfelelőségi határozatoknak egyértelmű és szigorú nyomon követési és felülvizsgálati mechanizmusokat kell tartalmazniuk annak biztosítása érdekében, hogy a határozatok időtállóak legyenek, vagy azokat szükség szerint hatályon kívül helyezzék vagy módosítsák, és hogy mindenkor garantálják az uniós polgárok adatvédelemhez való alapvető jogát; hangsúlyozza, hogy minden jövőbeli megfelelőségi határozatot folyamatosan felül kell vizsgálni, figyelembe véve az Egyesült Államokban bekövetkező jogi és gyakorlati fejleményeket;
Következtetés
15. emlékeztet arra, hogy 2021. május 20-i állásfoglalásában a Parlament felszólította a Bizottságot, hogy ne fogadjon el új megfelelőségi határozatot az Egyesült Államokkal kapcsolatban, kivéve, ha érdemi reformokat vezetnek be, különösen a nemzetbiztonsági és hírszerzési célok vonatkozásában; úgy véli, hogy a 14086. sz. elnöki rendelet nem elég érdemi; megismétli, hogy a Bizottságnak nem szabadna az Európai Unió Bíróságára bíznia az uniós polgárok alapvető jogainak védelmét e polgárok panaszait követően;
16. emlékeztet arra, hogy a Bizottságnak a harmadik országok megfelelőségének értékelését a Schrems I. és a Schrems II. ügyben hozott ítélet és az általános adatvédelmi rendelet ((104) preambulumbekezdés) alapján megállapított módon nemcsak a bevezetett jogszabályok és gyakorlatok tartalmára, hanem azok gyakorlati alkalmazására is kell alapoznia;
17. megjegyzi, hogy az Egyesült Államok Kereskedelmi Minisztériuma által kiadott adatvédelmi keret elveit az adatvédelmi pajzsban szereplőkhöz képest nem módosították megfelelően ahhoz, hogy az általános adatvédelmi rendelet által biztosított védelemmel lényegében egyenértékű védelmet biztosítsanak;
18. megjegyzi, hogy bár az Egyesült Államok fontos kötelezettséget vállal arra, hogy javítja a jogorvoslathoz és a hatóságok általi adatkezelésre vonatkozó szabályokhoz való hozzáférést, az Egyesült Államok hírszerző közösségének 2023 októberéig aktualizálnia kell politikáit és gyakorlatait a 14086. sz. elnöki rendelet kötelezettségvállalásával összhangban, és hogy az Egyesült Államok főügyészének még meg kell neveznie az EU-t és tagállamait olyan országokként, amelyek jogosultak a DPRC keretében rendelkezésre álló jogorvoslati lehetőségek igénybevételére; hangsúlyozza, hogy ez azt jelenti, hogy a Bizottság nem volt abban a helyzetben, hogy értékelje a javasolt korrekciós intézkedések és az adatokhoz való hozzáféréssel kapcsolatban javasolt intézkedések hatékonyságát „a gyakorlatban”; ezért arra a következtetésre jut, hogy a Bizottság csak akkor teheti meg a megfelelőségi határozathoz kapcsolódó következő lépést, ha az Egyesült Államok először teljesítette ezeket a határidőket és mérföldköveket biztosítva ezzel a kötelezettségvállalások gyakorlati megvalósulását;
19. arra a következtetésre jut, hogy az EU–USA adatvédelmi keret nem teremt lényegében vett egyenértékűséget a védelem szintjén; felhívja a Bizottságot, hogy folytassa a tárgyalásokat egyesült államokbeli partnereivel egy olyan mechanizmus létrehozása céljából, amely biztosítaná ezt az egyenértékűséget, és amely garantálná az uniós adatvédelmi jog és a Charta által megkövetelt megfelelő szintű védelmet az EUB értelmezése szerint; felhívja a Bizottságot, hogy mindaddig ne fogadja el a megfelelőség megállapítását, amíg az ebben az állásfoglalásban tett valamennyi ajánlást és az Európai Adatvédelmi Testület véleményében foglaltakat nem hajtották végre teljes mértékben;
20. felhívja a Bizottságot, hogy lépjen fel az uniós vállalkozások és polgárok érdekében, biztosítva, hogy a javasolt keret szilárd, elégséges és jövőorientált jogalapot biztosítson az EU és az USA közötti adattovábbításhoz; arra számít, hogy bármely megfelelőségi határozat elfogadása esetén azt megtámadják az EUB előtt; kiemeli, hogy a Bizottság felelős azért, hogy nem védi az uniós polgárok jogait abban az esetben, ha a megfelelőségi határozatot az EUB ismét érvényteleníti;
o o o
21. utasítja elnökét, hogy továbbítsa ezt az állásfoglalást a Tanácsnak és a Bizottságnak, valamint az Amerikai Egyesült Államok Elnökének és Kongresszusának.