„Az Európai Bizottság a mai napon elfogadta az EU-USA adatvédelmi keretre vonatkozó megfelelőségi határozatát. A határozat megállapítja, hogy az Egyesült Államok – az Európai Unióhoz mérhető – megfelelő védelmi szintet biztosít az új keret alapján az EU-ból amerikai vállalatoknak továbbított személyes adatok tekintetében. Az új megfelelőségi határozat alapján a személyes adatok biztonságosan továbbíthatók az EU-ból a keretben részt vevő amerikai vállalatokhoz anélkül, hogy további adatvédelmi biztosítékokat kellene bevezetni.
Az EU-USA adatvédelmi keret új, kötelező erejű biztosítékokat vezet be az Európai Bíróság által felvetett valamennyi aggály kezelése érdekében, ideértve az amerikai hírszerző szolgálatok uniós adatokhoz való hozzáférésének a szükséges és arányos mértékre való korlátozását, valamint Adatvédelmi Felülvizsgálati Bíróság (DPRC) – létrehozását, amelyhez uniós magánszemélyek is fordulhatnak. Az új keret jelentős javulást eredményez az adatvédelmi pajzs keretében meglévő mechanizmushoz képest. Ha például a DPRC megállapítja, hogy az adatokat az új biztosítékok megsértésével gyűjtötték, elrendelheti az adatok törlését. Az adatokhoz való kormányzati hozzáférés területére vonatkozó új biztosítékok kiegészítik az EU-ból adatokat importáló amerikai vállalatok által betartandó kötelezettségeket.
Ursula von der Leyen elnök a következőket nyilatkozta: „Az új EU-USA adatvédelmi keret biztonságos adatáramlást biztosít az európaiak részére, és jogbiztonságot teremt az Atlanti-óceán mindkét partján működő vállalatok számára. Azt követően, hogy tavaly elvi megállapodásra jutottam Joe Biden elnökkel, az Egyesült Államok példátlan kötelezettségvállalásokat tett az új keret létrehozása érdekében. A mai napon fontos lépést teszünk annak érdekében, hogy megszilárdítsuk a polgároknak az adataik biztonságába vetett bizalmát, elmélyítsük az EU és az USA közötti gazdasági kapcsolatokat, és egyúttal újfent hitet tegyünk közös értékeink mellett. Mindez arról tanúskodik, hogy együttműködéssel a legösszetettebb kérdések is megoldhatók.”
Az amerikai vállalatok úgy csatlakozhatnak az EU-USA adatvédelmi kerethez, hogy vállalják egy sor, részletesen meghatározott adatvédelmi kötelezettség teljesítését, például annak a követelménynek a betartását, hogy törlik a személyes adatokat, ha azok már nem szükségesek ahhoz a célhoz, amelyre azokat gyűjtötték, valamint biztosítják a védelem folyamatosságát a személyes adatok harmadik felekkel való megosztása során.
Az uniós magánszemélyek több jogorvoslati lehetőséget is igénybe vehetnek abban az esetben, ha adataikat az amerikai vállalatok helytelenül kezelik. Ezek közé tartoznak az ingyenes független vitarendezési mechanizmusok és a választottbírói testület.
Emellett az Egyesült Államok jogi kerete számos biztosítékot ír elő az amerikai hatóságoknak a keret alapján továbbított adatokhoz való hozzáférése tekintetében, különösen a bűnüldözési és a nemzetbiztonsági célú hozzáférés vonatkozásában: Az adatokhoz való hozzáférés a nemzetbiztonság védelméhez szükséges és arányos mértékre korlátozódik.
Az uniós magánszemélyek az újonnan létrehozott Adatvédelmi Felülvizsgálati Bíróságot (DPRC) is magába foglaló független és pártatlan jogorvoslati mechanizmust vehetnek igénybe adataiknak az Egyesült Államok hírszerző ügynökségei általi gyűjtésével és felhasználásával kapcsolatban. Ez a Bíróság függetlenül eljárva vizsgálja ki és rendezi a panaszokat, többek között úgy, hogy kötelező erejű korrekciós intézkedéseket fogad el.
Az Egyesült Államok által bevezetett biztosítékok általánosabb értelemben is megkönnyítik a transzatlanti adatáramlást, mivel akkor is alkalmazandók, ha az adattovábbítás más eszközök – például általános szerződési feltételek és kötelező erejű vállalati szabályok – alkalmazásával történik.
Következő lépések
Az Európai Bizottság az európai adatvédelmi hatóságok és az illetékes amerikai hatóságok képviselőinek közreműködésével rendszeres időközönként felülvizsgálja az EU-USA adatvédelmi keret működését.
Az első felülvizsgálatra a megfelelőségi határozat hatálybalépésétől számított egy éven belül kerül sor. Ennek során azt ellenőrzik, hogy az összes releváns elemet teljes mértékben végrehajtották-e az Egyesült Államok jogi keretében, és azok hatékonyan működnek-e a gyakorlatban.
Háttér-információk
Az általános adatvédelmi rendelet (GDPR) 45. cikkének (3) bekezdése felhatalmazza a Bizottságot arra, hogy végrehajtási jogi aktus útján határozzon arról, hogy egy nem uniós ország „megfelelő védelmi szintet” – a személyes adatok védelmének az EU-n belüli védelmi szinttel lényegében azonos szintű védelmét biztosítja-e. A megfelelőségi határozatok azzal a hatással járnak, hogy a személyes adatok további akadályok nélkül szabadon áramolhatnak az EU-ból (valamint Norvégiából, Liechtensteinből és Izlandról) valamely harmadik országba.
Miután az Európai Unió Bírósága érvénytelenítette az EU-USA adatvédelmi pajzsra vonatkozó korábbi megfelelőségi határozatot, az Európai Bizottság és az Egyesült Államok kormánya megbeszéléseket kezdett egy olyan új keretről, amely megoldaná a Bíróság által felvetett kérdéseket.
2022 márciusában Ursula von der Leyen elnök és Joe Biden elnök bejelentette, hogy a Didier Reynders biztos és Gina Raimondo amerikai miniszter közötti tárgyalásokat követően elvi megállapodásra jutottak az új transzatlanti adatáramlási keretről. 2022 októberében Joe Biden elnök aláírta az Egyesült Államok jelfelderítési tevékenységeire vonatkozó biztosítékok megerősítéséről szóló elnöki rendeletet, amelyet Merrick Garland, az Egyesült Államok főügyésze rendeletekkel egészített ki. Ez a két eszköz együttesen végrehajtotta az elvi megállapodás keretében tett amerikai kötelezettségvállalásokat az Egyesült Államok jogában, és kiegészítette az amerikai vállalatokra vonatkozó, az EU-USA adatvédelmi kereten alapuló kötelezettségeket.
Az Egyesült Államok e biztosítékokat előíró jogi keretének egyik alapvető eleme az Egyesült Államok jelfelderítési tevékenységeire vonatkozó biztosítékok megerősítéséről szóló amerikai elnöki rendelet, amely az Európai Unió Bíróságának a Schrems II. sz., 2020. júliusi határozatában felvetett aggályait hivatott eloszlatni.
A keretet az Egyesült Államok Kereskedelmi Minisztériuma igazgatja és ellenőrzi. Az Egyesült Államok Szövetségi Kereskedelmi Bizottsága fogja kikényszeríteni, hogy az amerikai vállalatok megfeleljenek a keretnek.
További információk
Megfelelőségi határozat az EU-USA adatvédelmi keretről
Kérdések és válaszok: EU–USA adatvédelmi keret
Tájékoztató – Transzatlanti adatvédelmi keret
EU-USA adattovábbítás (europa.eu)
Az adatvédelem nemzetközi dimenziója (europa.eu)
Megfelelőségi határozatok (europa.eu)
Együttes nyilatkozat a transzatlanti adatvédelmi keretről (europa.eu)
Idézet(ek)
„Személyes adataink megfelelő védelme alapvető jog, amely egyre nagyobb jelentőségre tesz szert mindennapjainkban. A mai döntés az amerikai partnereinkkel folytatott intenzív együttműködés eredménye, amely azt hivatott biztosítani, hogy biztonságosan továbbítsák az európaiak adatait, bárhova kerülnek is azok. Az új megfelelőségi határozat jogbiztonságot fog teremteni a vállalkozások számára, és hozzá fog járulni az EU transzatlanti piacokon betöltött erőteljes szerepének további megszilárdításához, anélkül, hogy bármit is engedne az európaiak azon alapvető jogának tiszteletben tartásából, hogy adataik mindig védelemben részesüljenek.” – Věra Jourová, az értékekért és az átláthatóságért felelős alelnök – 10/07/2023
„E megfelelőségi határozat elfogadása az utolsó lépést jelenti annak biztosításához, hogy megvalósuljon az Atlanti-óceánon átívelő biztonságos és akadálymentes adattovábbítás. Biztosítja az egyéni jogok védelmét virtuális és összekapcsolt digitális világunkban, ahol a fizikai határok már nem számítanak. A Schrems II. határozat évekkel ezelőtti megszületésétől kezdve fáradhatatlanul munkálkodtam egyesült államokbeli kollégáimmal együtt a Bíróság által azonosított aggályok orvoslásán, valamint annak szavatolásán, hogy a technológiai fejlődés ára ne az európaiak bizalma legyen. Hasonló gondolkodású partnerekként azonban az EU és az USA közös értékeik alapján olyan megoldásokat találhatnak, amelyek egyszerre jogszerűek és működőképesek saját rendszereikben.” – Didier Reynders, a jogérvényesülésért felelős biztos – 10/07/2023”
Forrás:
Adatvédelem: az Európai Bizottság az EU és az USA közötti biztonságos ás megbízható adatáramlásra vonatkozó új megfelelőségi határozatot fogadott el; Európai Bizottság; 2023. július 10.
