„Az EU vezetői elhatározták magukat, hogy még ebben az évben megegyeznek egy új adatvédelmi rendelet megalkotásában. Kevesebb mint egy hónappal azelőtt, hogy az Európai Bizottság, a Parlament és a Tanács leül tárgyalni a vonatkozó jogalkotásról, az Európai Adatvédelmi Biztos szerint nincs helye a hibázásnak. Az EurActiv interjúja Giovanni Buttarelli európai adatvédelmi biztossal az uniós adatvédelmi szabályozás reformjáról.
>>Az interjú hátteréről: a jelenlegi uniós adatvédelmi szabályozás keretét 1995-ben fektették le a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv képében. A jogharmonizációs csomagot azóta több alkalommal kiegészítették, pl. 2008-ban, amikor a Tanács elfogadta a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló 2008/977/IB kerethatározatát. Az elmúlt két évtized tanulságait figyelembe véve 2012-ben a Bizottság elkészítette az uniós adatvédelmi szabályozás reformját jelentő jogalkotási csomagját, mely egy általános jellegű, a jelenleg hatályban lévő irányelvi szabályozást felváltó rendeletből, és egy, a büntető ügyekben történő adatvédelmi rendelkezésekről szóló irányelvből áll. A javaslatok körül évek óta heves diskurzus folyik, azokat a mai napig nem fogadták el az uniós döntéshozók; erre azonban a közeljövőben jó esély van. – a szerk.<< Az EurActivnak adott interjújában Buttarelli a rendelettervezet kapcsán elmondta, hogy “a reform valószínűleg két évtizeden át fog tartani, amely idő ma évszázadoknak tűnik”. Az olasz Buttarelli tavaly decemberben lépett az adatvédelmi biztosi hivatalba, közvetlenül az idei év adatvédelmi változásait megelőzően, egy olyan időszakban, amikor a cégek általi Európából történő adatexportról szóló, Egyesült Államokkal kötött „Safe Harbour” („biztonságos kikötő”) egyezmény rendszere omladozik.
>>„Safe Harbour” egyezmény: az 1995-ös adatvédelmi irányelv egyik alapelve, hogy az EU területéről személyes adatot csak olyan országba lehet exportálni, ahol a védelem legalább olyan magas szintje biztosított, mint az EU-ban. Annak érdekében, hogy az EU-ban tevékenységet végző amerikai vállalatok az adatoknak egyébként alacsonyabb szintű védelmet biztosító Egyesült Államokba továbbíthassanak személyes adatokat, az Unió és az Egyesült Államok kétoldalú megállapodást kötött. Ennek lényege, hogy az amerikai cégek önként, a szükséges intézkedéseket megtéve alávethetik magukat az EU-s adatvédelmi irányelvben meghatározott elveknek és követelményeknek, így a Kereskedelmi Minisztérium (Department of Commerce) listájára felkerülve jogosulttá válnak személyes adatok exportjára. Az adatokat csak a listán szereplők, illetve olyan egyéb cégek részére lehet továbbítani, akik szerződéses kötelezettséget vállaltak az ugyanolyan szintű védelmi intézkedések biztosítására. – a szerk.<< Az adatvédelmi reform a magánélet védelmét szolgáló eszközöket, illetve a szabályszegő cégek elleni bírságolás lehetőségét is magában foglalja. A jövőbeli egyeztetéseken szintén központi szerepet kap a felhasználói beleegyezés definíciójának kérdése, valamint az, hogy a cégek milyen feltételekkel használhatják, tárolhatják és használhatják újra egyéb célokra személyes adatokat. A Parlament tavaly első olvasatban megszavazta a reformjavaslatokat, azonban néhány tagállam szkeptikusan a rendelettel kapcsolatban, különösen az adatvédelmi panaszok kezelésével kapcsolatos ún. „one stop shop” megközelítése miatt. Buttarelli szerint „sok sajátosság van jelen nemzeti szinten, de nem engedhetünk túl tág teret a kiigazításra és eltérésre, amelyekkel az ablakon kidobott dolgok a bejárati ajtón visszajöhetnek. Körültekintően meg kell vizsgálni a szabályozásnak a közszektorra kiterjedő hatályával kapcsolatos vitákat.” Németország korábban ellenezte, hogy a polgárok személyes adataival kapcsolatban a cégekre irányadó szabályokat a közszektorra is kiterjesszék. Az elmúlt héten ugyanakkor a német belügyminiszter, Thomas de Maizière a közszektor-klauzulára utalva elmondta: „Nem volt számunkra, németek számára könnyű elfogadni, de megtettük”. „One stop shop”
Márciusban az Európai Tanács bejelentette az ún. „one stop shop” modellt (egyablakos mechanizmus) az adatvédelmi panaszok kezelésére. Ennek keretében felállna egy, a nemzeti hatóságokból álló Európai Adatvédelmi Tanács (EDPB) az elé utalt ügyekben való beavatkozásra. A jogalkotók szerint ezzel megkönnyítik az állampolgári és céges panaszbejelentést, mivel azt megtehetik a nemzeti hatóságnál, és nem kell emiatt külföldre utazniuk (a Tanács szerint ez a mechanizmus a költséghatékonyságot és az egységes jogalkalmazást is elősegíti – a szerk.). Buttarelli szerint a tagállamközi adatvédelmi ügyek összehangolásában az EDPB felállítása a legnagyobb kihívás: „Igazi kihívás megtalálni egy ésszerű egyensúlyt egy darab, kötelező erejű határozatot hozó hatóság eljárása és aközött, hogy érvényre jusson a közelség elve, miszerint az érintettet ne kényszerítsük arra, hogy egy alapvető joga gyakorlásához Európa másik felébe kelljen utaznia.”A „Safe Harbour” megmentése
Az Európai Bíróság várhatóan még e hónapban hoz egy döntést, mely felkavarhatja a Safe Harbour egyezmény körüli állóvizet. Az amerikai hírszerző ügynökségek adatgyűjtése körüli ügyek a Safe Harbour rendszer módosításával kapcsolatos tárgyalásokat is megakasztotta. „A Safe Harbour nem csak, hogy veszélyben van, de zátonyra is futott”, mondta Buttarelli. „A megegyezésre nyitva álló két határidő is eredménytelenül járt le tavaly, illetve idén májusban. Tisztában vagyunk a nehézségekkel, de ugyanakkor itt az idő, hogy az amerikai féltől is kapjunk választ a kereskedelmi dimenzióval és a nemzetbiztonsági kivétellel kapcsolatban is.”Buttarelli szerint a Safe Harbour rendszert megreformálni kell és nem egy másik rendszerre cserélni, mivel lehetővé teszi, hogy az amerikai cégek Európában is végezhessék tevékenységüket. „Ugyan a rendszer nem teljesen megfelelő európai adatvédelmi szempontból, de fontos szerepe van. Mára nem tudjuk elképzelni, hogy az Európából az Egyesült Államokba irányuló nagymértékű adattranszfer kezelhető lenne csupán beleegyezéses megközelítéssel, szerződésekkel vagy kötelező erejű céges szabályzatokkal. Ez megmagyarázza, hogy miért vesz részt a Safe Harbour rendszerben több mint 4000 cég. Ha tehát eltöröljük azt, valami fel fogja váltani. De miért kellene valami másra átállnunk, ha egyszerűen a meglévő biztosítékokat is hatékonyabbakká lehet tenni a gyakorlatban?”
Márciusban Buttarelli egyhetes washingtoni látogatáson járt, ahol a jogalkotókkal találkozott. Szeptemberre újabb utat tervez, a Szilícium-völgybe, hogy „az európai adatvédelem nagyköveteként” járjon el és „bebizonyítsa, hogy az adatvédelem beleillik a nagy adatvilágba”. Hozzátette, azért mennek Kaliforniába, hogy „megismerjenek egy olyan régiót, ahol sokkal gyorsabban fejlődik a technológia, mint itt, Európában. Szeretnénk látni, hova fejlődik a technológia 10-15 év múlva. Meg szeretnénk előzni azokat a problémákat, amikkel ilyen időtávon találkozunk és a meglévő szabályokat sokkal inkább jövőorientálttá szeretnénk tenni.””
Forrás:
Európai adatvédelmi reform – interjú Giovanni Buttarelli európai adatvédelmi biztossal; Ars Boni; 2015. június 6.