Az Európai Bizottság (EB) mai bejelentése szerint ez az új keretrendszer (Privacy Shield) megvédi minden olyan uniós polgár alapvető jogait, akinek a személyes adatait az Egyesült Államokba továbbították, valamint egyértelmű jogi helyzetet teremt azoknak a vállalkozásoknak a számára, amelyek igénybe veszik a transzatlanti adattovábbításokat.

A közlemény megemlíti, hogy az Európai Bizottság és az Egyesült Államok kormánya 2016. február 2-án politikai megállapodásra jutott a személyes adatok kereskedelmi célú transzatlanti cseréjének új keretrendszeréről: az EU–USA adatvédelmi pajzsról (IP/16/216). A Bizottság 2016. február 29-én előterjesztette a határozattervezetek szövegét. A 29. cikk szerinti munkacsoport (adatvédelmi hatóságok) április 29-i véleményét és az Európai Parlament május 26-i állásfoglalását követően a Bizottság 2016. július 12-én lezárta az elfogadási eljárást.

Elég lesz?

Az EU–USA adatvédelmi pajzs a következő elvekre épül:

• az adatokat kezelő vállalatokra vonatkozó szigorú kötelezettségek: az új megállapodás szerint az Egyesült Államok Kereskedelmi Minisztériuma rendszeres frissítéseket és felülvizsgálatokat végez a részt vevő vállalatok tekintetében, annak érdekében, hogy azok betartsák az általuk vállalt szabályokat. Ha a vállalatok a gyakorlatban nem teljesítik ezt, szankciókat rónak ki rájuk és eltávolítják őket a listáról. A harmadik felek részére történő adattovábbítások szigorodó feltételei azonos szintű védelmet garantálnak az adatvédelmi pajzsban részt vevő vállalatoktól történő adattovábbítások esetén

• az egyesült államokbeli kormányzati hozzáférésre vonatkozó egyértelmű biztosítékok és átláthatósági kötelezettségek: az Egyesült Államok biztosítékokat adott az Uniónak arra nézve, hogy a közigazgatási szervek bűnüldözési vagy nemzetbiztonsági célú adathozzáférése tekintetében egyértelmű korlátozásokat, biztosítékokat és felügyeleti mechanizmusokat fognak alkalmazni. Szintén első alkalommal minden uniós polgár jogorvoslati mechanizmusokat is igénybe vehet ezen a területen. Az USA kizárta az EU-USA adatvédelmi pajzsról szóló megállapodás szerint az USA-ba továbbított személyes adatok megkülönböztetés nélküli tömeges megfigyelésének lehetőségét. A nemzeti hírszerzés igazgatójának hivatala tisztázta továbbá, hogy nagy mennyiségű adatgyűjtés kizárólag különleges előfeltételek mellett alkalmazható, és a lehető leginkább célzottnak és fókuszáltnak kell lennie. A hivatal részletesen ismertette az ilyen kivételes körülmények közötti adathasználatra vonatkozó, meglévő biztosítékokat. Az Egyesült Államok külügyminisztere a Külügyminisztériumon belül kialakított ombudsmani mechanizmus révén a nemzeti hírszerzés területére vonatkozó jogorvoslati lehetőséget hozott létre az európai polgárok számára.

• az egyének jogainak hatékony védelme: azok a polgárok, akik úgy vélik, hogy az adatvédelmi pajzs keretrendszerén belül visszaéltek az adataikkal, több hozzáférhető és megfizethető vitarendezési mechanizmust vehetnek igénybe: Ideális esetben maga a vállalat oldja meg a panaszt; vagy ingyenes alternatív vitarendezési mechanizmust fognak biztosítani. Az egyének ezenfelül saját nemzeti adatvédelmi hatóságaikhoz fordulhatnak, amelyek a Szövetségi Kereskedelmi Bizottsággal együttműködve gondoskodnak arról, hogy kivizsgálják és rendezik az uniós polgárok panaszait. Ha az ügy másképp nem oldható meg, végső eszközként választott bírósági mechanizmus is igénybe vehető. Az uniós polgárokat a nemzetbiztonság területén megillető jogorvoslati lehetőséget az Egyesült Államok hírszerző szolgálataitól független ombudsman kezeli majd
• éves közös felülvizsgálati mechanizmus: a mechanizmus keretében nyomon követik az adatvédelmi pajzs – és ezen belül a bűnüldözési és nemzetbiztonsági célú adathozzáférésre vonatkozó kötelezettségek és biztosítékok – működését. A felülvizsgálatot az Európai Bizottság és az Egyesült Államok Kereskedelmi Minisztériuma fogja végezni amerikai nemzetbiztonsági szakértők és európai adatvédelmi hatóságok bevonásával. A Bizottság az összes rendelkezésre álló információforrást igénybe veszi, és nyilvános jelentést bocsát ki az Európai Parlament és a Tanács számára

A következő lépések

A mai napon értesítik a tagállamokat a „megfelelőségi határozatról”, amely ennélfogva hatályba lép. Az Egyesült Államok részéről az adatvédelmi pajzs keretrendszerét a Szövetségi Közlönyben – a Hivatalos Lap amerikai megfelelőjében – teszik közzé. Az Egyesült Államok Kereskedelmi Minisztériuma megkezdi az adatvédelmi pajzs működtetését. A vállalatok augusztus 1-jétől nyújthatnak be tanúsítást a Kereskedelmi Minisztériumhoz, miután lehetőséget kaptak a keretrendszer áttekintésére és megfelelésük naprakésszé tételére. A Bizottság ezzel egyidejűleg rövid útmutatót tesz majd közzé a polgárok számára, amelyben elmagyarázza, hogy milyen jogorvoslatok állnak rendelkezésre, ha az érintett úgy véli, hogy személyes adatait az adatvédelmi szabályok figyelmen kívül hagyásával használták fel.

Az ígéret szép szó

Az új keretrendszert érő kritikákról már többször írtunk mi is, és mint a fenti hivatalos szövegből is kitűnik, igaza van Tomaso Falchettának, a Privacy Shieldet élesen kritizáló Privacy International vezetőjének, amikor így fogalmazott: „In short: new 'Shield', old problems.” Vagyis véleményük szerint az új egyezmény megint csak erőből jött létre, az amerikai vállalatok és az USA kormánya újra csak megígérik, hogy „rendesek lesznek”, nem látható egy hatékony szankcionálási rendszer – legfeljebb jogi szépségekkel gazdagodott az új szerződés, ám valódi védelmi mechanizmusnak nem tekinthető, mivel az erősebb diktálta. A jogvédők úgy látják, hogy az Európai Bíróság ezt a szerződést is hatályon kívül fogja helyezni.

Megoldást csak az jelenthetne, ha az EU és az USA adatvédelmi szabályait összehangolnák, ám erre vajmi kevés esély mutatkozik.