… A földrészeink közötti adatáramlások alapvető fontosságúak társadalmaink és gazdaságaink számára – és mostantól olyan szilárd keretrendszerrel rendelkezünk, amely biztosítja, hogy ezek az áramlások a legmegfelelőbb és legbiztonságosabb feltételek mellett történjenek”. Az EU–USA adatvédelmi pajzs a következő elvekre épül:
- Adatokat kezelő vállalatokra vonatkozó szigorú kötelezettségek: az új megállapodás szerint az Egyesült Államok Kereskedelmi Minisztériuma rendszeres frissítéseket és felülvizsgálatokat végez a részt vevő vállalatok tekintetében, annak érdekében, hogy azok betartsák az általuk vállalt szabályokat. Ha a vállalatok a gyakorlatban nem teljesítik ezt, szankciókat rónak ki rájuk és eltávolítják őket a listáról. A harmadik felek részére történő adattovábbítások szigorodó feltételei azonos szintű védelmet garantálnak az adatvédelmi pajzsban részt vevő vállalattoktól történő adattovábbítások esetén.
- Az egyesült államokbeli kormányzati hozzáférésre vonatkozó egyértelmű biztosítékok és átláthatósági kötelezettségek:
- az Egyesült Államok biztosítékokat adott az uniónak arra nézve, hogy a közigazgatási szervek bűnüldözési vagy nemzetbiztonsági célú adathozzáférése tekintetében egyértelmű korlátozásokat, biztosítékokat és felügyeleti mechanizmusokat fognak alkalmazni.
- Szintén első alkalommal minden uniós polgár jogorvoslati mechanizmusokat is igénybe vehet ezen a területen. Az USA kizárta az EU–USA adatvédelmi pajzsról szóló megállapodás szerint az USA-ba továbbított személyes adatok megkülönböztetés nélküli tömeges megfigyelésének lehetőségét. A nemzeti hírszerzés igazgatójának hivatala tisztázta továbbá, hogy nagy mennyiségű adatgyűjtés kizárólag különleges feltételek mellett alkalmazható, és a lehető leginkább célzottnak kell lennie. A hivatal részletesen ismertette az ilyen kivételes körülmények közötti adathasználatra vonatkozó, meglévő biztosítékokat.
- Az Egyesült Államok külügyminisztere a Külügyminisztériumon belül kialakított ombudsmani mechanizmus révén a nemzeti hírszerzés területére vonatkozó jogorvoslati lehetőséget hozott létre az európai polgárok számára.
- Az egyének jogainak hatékony védelme: Azok a polgárok, akik úgy vélik, hogy az adatvédelmi pajzs keretrendszerén belül visszaéltek az adataikkal, több hozzáférhető és megfizethető vitarendezési mechanizmust vehetnek igénybe:
- Ideális esetben maga a vállalat oldja meg a panaszt; vagy ingyenes alternatív vitarendezési mechanizmust fognak biztosítani. Az egyének ezenfelül saját nemzeti adatvédelmi hatóságaikhoz fordulhatnak, amelyek a Szövetségi Kereskedelmi Bizottsággal együttműködve gondoskodnak arról, hogy kivizsgálják és rendezik az uniós polgárok panaszait. Ha az ügy másképp nem oldható meg, végső eszközként választottbírósági mechanizmus is igénybe vehető. Az uniós polgárokat a nemzetbiztonság területén megillető jogorvoslati lehetőséget az Egyesült Államok hírszerző szolgálataitól független ombudsman kezeli majd.
- Éves közös felülvizsgálati mechanizmus: a mechanizmus keretében nyomon követik az adatvédelmi pajzs – és ezen belül a bűnüldözési és nemzetbiztonsági célú adathozzáférésre vonatkozó kötelezettségek és biztosítékok – működését. A felülvizsgálatot az Európai Bizottság és az Egyesült Államok Kereskedelmi Minisztériuma fogja végezni amerikai nemzetbiztonsági szakértők és európai adatvédelmi hatóságok bevonásával. A Bizottság az összes rendelkezésre álló információforrást igénybe veszi, és nyilvános jelentést bocsát ki az Európai Parlament és a Tanács számára.
Az adatvédelmi pajzs tervezetének februári előterjesztése óta a Bizottság tanulmányozta az európai adatvédelmi hatóságok (a 29. cikk szerinti munkacsoport), és az európai adatvédelmi biztos véleményét, valamint az Európai Parlament állásfoglalását, hogy számos további pontosítást és javítást foglaljon bele a tervezetbe. Az Európai Bizottság és az Egyesült Államok megállapodott különösen a nagy mennyiségű adatgyűjtés további pontosításáról, az ombudsmani mechanizmus erősítéséről, valamint az adatmegőrzés és a harmadik fél részére történő adattovábbítás tekintetében a vállalatokra vonatkozó konkrétabb kötelezettségekről.
A következő lépések: ma értesítik a tagállamokat a „megfelelőségi határozatról”, amely ennélfogva hatályba lép. Az Egyesült Államok részéről az adatvédelmi pajzs keretrendszerét a Szövetségi Közlönyben – a Hivatalos Lap amerikai megfelelőjében – teszik közzé. Az Egyesült Államok Kereskedelmi Minisztériuma működésbe helyezi az adatvédelmi pajzsot. A vállalatok augusztus 1-jétől nyújthatnak be tanúsítást a kereskedelmi minisztériumhoz, miután lehetőséget kaptak a keretrendszer áttekintésére és megfelelésük naprakésszé tételére.
A Bizottság ezzel egyidejűleg rövid útmutatót tesz majd közzé a polgárok számára, amelyben elmagyarázza, hogy milyen jogorvoslatok állnak rendelkezésre, ha az érintett úgy véli, hogy személyes adatait az adatvédelmi szabályok figyelmen kívül hagyásával használták fel.
Az Európai Bizottság és az Egyesült Államok kormánya 2016. február 2-án politikai megállapodásra jutott a személyes adatok kereskedelmi célú transzatlanti cseréjének új keretrendszeréről: az EU–USA adatvédelmi pajzsról (IP/16/216). A Bizottság 2016. február 29-én előterjesztette a határozattervezetek szövegét. A 29. cikk szerinti munkacsoport (adatvédelmi hatóságok) április 29-i véleményét és az Európai Parlament május 26-i állásfoglalását követően a Bizottság 2016. július 12-én lezárta az elfogadási eljárást.
Az EU–USA adatvédelmi pajzs eleget tesz azoknak a követelményeknek, amelyeket az Európai Unió Bírósága a korábbi védett adatkikötőkre vonatkozó keretet érvénytelenné nyilvánító, 2015. október 6-i ítéletében fogalmazott meg.
(This decision enters into force upon notification to Member States)
Közlemény: Transzatlanti adatáramlások: a bizalom helyreállítása erős biztosítékok segítségével