EURÓPAI PARLAMENT 2014-2019 Petíciós Bizottság 29.8.2014 KÖZLEMÉNY A KÉPVISELŐK RÉSZÉRE Tárgy: Jan Douwe Kooistra holland állampolgár által benyújtott 1618/2012. számú petíció a személyes adatok védelméhez való jogról 1. A petíció összefoglalása A petíció benyújtója úgy véli, uniós polgárként joga van személyes adatainak védelméhez (az EUMSZ 16. cikkének (1) bekezdése). A holland kormányhoz intézett kérdésekre adott válaszok alapján megállapította, hogy a holland útleveleket a Morpho nevű vállalkozás készíti, amely egy, az Egyesült Államokban bevezetett Patriot Act hatálya alá tartozó amerikai vállalat része. A holland miniszter szerint nem zárható ki annak lehetősége, hogy az Egyesült Államok kormánya személyes adatokat kérhet ki. Következésképpen az uniós polgárokat érintő személyes adatok az Egyesült Államok hatóságainak kezébe kerülhetnek anélkül, hogy erről valamely európai bíróság határozott volna. A szóban forgó vállalat nem tájékoztathat harmadik feleket az ilyen adatok iránti kérelmekről, amiből adódóan az érintett uniós polgár nem tudhatja, mi történik adataival. A petíció benyújtója ezért úgy véli, személyes adatait nem védik megfelelően. Az EUMSZ 16. cikke szerint az Unió jogszabályokat fogadhat el a természetes személyek védelme érdekében. A petíció benyújtója kéri az Európai Parlamentet, hogy kérje fel az Európai Bizottságot egy arra irányuló javaslat előterjesztésére, hogy a tagállamok ne készíttethessenek személyazonosító dokumentumokat az Egyesült Államokban bevezetett Patriot Act hatálya alá tartozó vállalkozásokkal. 2. Elfogadhatóság Elfogadhatónak nyilvánítva: 2013. május 23. Tájékoztatás kérése a Bizottságtól (az eljárási szabályzat 216. cikkének (6) bekezdése szerint) megtörtént. CM\1034181.doc PE537.416v01-00 Egyesülve a sokféleségben
3. A Bizottságtól kapott válasz: 2014. augusztus 29. 2013 júniusa óta nyilvánosan hozzáférhető információkból kiderült, hogy az Egyesült Államok hatóságai nagy számban férnek hozzá a jelentősebb amerikai online szolgáltatókat használó európaiak adataihoz, és fel is dolgozzák azokat. A Bizottság számtalan alkalommal adott hangot aggodalmának és kért magyarázatot egyesült államokbeli partnerintézményeitől azzal kapcsolatban, hogy az amerikai hatóságok közvetlenül hozzáférnek a vállalatok által tárolt adatokhoz. Egy hónappal az első sajtójelentések megjelenését követően egy EU USA adatvédelmi szakértői csoportot állítottak fel a kérdés tisztázása érdekében. Az uniós fél elnöki teendőit a Bizottság és az Elnökség közösen látta el. Az uniós felet a Bizottság, az Elnökség, a terrorizmus elleni küzdelem uniós koordinátora, az Európai Külügyi Szolgálat, a 29. cikk alapján létrehozott munkacsoport (a tagállamok adatvédelmi hatóságait képviselő testület) egy tagja és legfeljebb 10, adatvédelemmel vagy biztonsággal foglalkozó tagállami szakértő alkotta. Az amerikai felet az amerikai igazságügy-minisztérium, a nemzeti hírszerzés igazgatói hivatala, a külügyminisztrérium és a belbiztonsági minisztérium alkotta. Az előkészítő ülésre 2013. július 8-án került sor Washingtonban. A csoport 2013. július 22-én és 23-án Brüsszelben, 2013. szeptember 19-én és 20-án Washingtonban, 2013. november 6-án pedig ismét Brüsszelben ülésezett. Az EU USA eseti adatvédelmi munkacsoport megbeszéléseinek eredményéről az EU USA eseti munkacsoport uniós társelnökeinek adatvédelmi megállapításairól szóló jelentés számol be 1. A jelentés tartalmazza az Egyesült Államok által adott magyarázatokat és további információkat, valamint rávilágít a kérdéskörre vonatkozó amerikai jogi keretre. 2013. november 27-én az Európai Bizottság részletes cselekvési tervet dolgozott ki az EU és az USA között zajló adatforgalommal kapcsolatos bizalom helyreállítására. Ez konkrétabban azt jelenti, hogy a Bizottság stratégiai dokumentumot (közleményt) terjesztett elő a transzatlanti adatforgalomról, melyben megállapította, hogy az amerikai hírszerző programokról napvilágra került információkat követően melyek a kihívások és a kockázatok, milyen lépéseket kell tenni ezen aggodalmak kezelésére, valamint elemezte az EU és az USA közötti, kereskedelmi célú adatátvitelt szabályozó Védett adatkikötő működését. A Bizottság számos olyan területet tárt fel, melyek kapcsán lépéseket kell tenni: Elsőként megállapította, hogy elengedhetetlen az uniós adatvédelmi reform mihamarabbi elfogadása. Minden eddiginél nagyobb szükség van az Európai Bizottság által 2012 januárjában javasolt szilárd jogi keretre, olyan egyértelmű szabályokkal, amelyek az adatok külföldre történő átadása esetén is érvényesíthetők. Az uniós intézményeknek ezért folytatniuk kell az uniós adatvédelmi reform elfogadását célzó munkát a személyes adatok hatékony és átfogó védelmének biztosítása érdekében. 1 Elérhető az alábbi címen: HYPERLINK "http://ec.europa.eu/justice/dataprotection/files/report-findings-of-the-ad-hoc-eu-us-working-group-on-data-protection.pdf" http://ec.europa.eu/justice/data-protection/files/report-findings-of-the-ad-hoc-eu-us-workinggroup-on-data-protection.pdf. PE537.416v01-00 2/5 CM\1034181.doc
Másodszor, a Védett adatkikötő rendszert 1 mindenképpen biztonságosabbá kell tenni. Jelenlegi működésének elemzése során ugyanis a Bizottság számos hiányosságot talált. A Bizottság ezért 13 ajánlást terjesztett elő a Védett adatkikötő rendszer működésének javítására. A megoldásokat 2014 nyaráig kell kidolgozni. A Bizottság ezt követően a 13 ajánlás végrehajtása alapján ismét megvizsgálja majd a rendszer működését. Harmadszor, a bűnüldözés terén meg kell erősíteni az adatvédelmi biztosítékokat. Mielőbb le kell zárni az Unió és az USA között a rendőrségi és igazságügyi együttműködés során történő adatátadásról és adatfeldolgozásról szóló átfogó megállapodásra irányulóan jelenleg zajló tárgyalásokat. A megállapodásnak magas szintű védelmet kell garantálnia a polgárok számára, akiknek az Atlanti-óceán mindkét partján ugyanazokat a jogokat kell élvezniük. Ez azt jelenti, hogy az Egyesült Államokban lakóhellyel nem rendelkező uniós polgároknak igénybe kell tudniuk venni az igazságügyi jogorvoslati mechanizmusokat. Negyedszer, a terület jelenleg zajló reformja során az Egyesült Államoknak figyelembe kell vennie az európai aggályokat. Jelenleg zajlik ugyanis az amerikai nemzeti biztonsági hatóságok tevékenységeinek felülvizsgálata. E folyamat során az uniós polgárokat is figyelembe kell venni. Legfontosabb módosításként az amerikai állampolgárok rendelkezésére álló biztosítékokat ki kellene terjeszteni az Egyesült Államokban lakóhellyel nem rendelkező uniós polgárokra is, növelni kellene az átláthatóságot, illetve hatékonyabbá kellene tenni a felügyeletet. Ötödször, az adatvédelmi előírásokat nemzetközi szinten elő kell mozdítani. Az Egyesült Államoknak csatlakoznia kellene az Európa Tanácsnak a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezményéhez ( 108. egyezmény ). A petíció benyújtója által felvetett kérdés akkor lenne releváns, ha például valamely uniós vállalat olyan személyes adatokat adna át egy amerikai vállalatnak/fiókvállalatnak, amely a Védett adatkikötőről szóló határozat hatálya alá tartozik, és azokhoz az USA hatóságai a Patriot Act vagy a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény (Foreign Intelligence Surveillance Act) alapján hozzáférhetnének. A Védett adatkikötő a Bizottságnak a 95/46/EK adatvédelmi irányelv szabályai szerint elfogadott megfelelőségi határozata, amely szerint a Bizottság eldöntheti, hogy egy Unión kívüli ország megfelelő védelmi szintet biztosít-e. A 2000 júliusában közzétett Védett adatkikötőről szóló határozat elismeri, hogy a védett adatkikötőre vonatkozó alapelvek, valamint az Egyesült Államok Szövetségi Kereskedelmi Minisztériuma által kiadott Gyakran ismételt kérdések című útmutató megfelelő védelmet biztosítanak az Unióból származó személyes adatok átadása szempontjából. Ennek eredményeként a Védett adatkikötőről szóló határozat lehetővé teszi, hogy kereskedelmi célokból uniós vállalatok személyes információkat adjanak át olyan amerikai vállalatoknak, amelyek csatlakoztak az elvekhez. Tekintettel arra, hogy az Unió és az USA adatvédelmi rendszerei között jelentősek az eltérések, a Védett adatkikötő nélkül nem lenne elképzelhető az adatok ilyen szabad áramlása. 1 HYPERLINK "http://ec.europa.eu/justice/policies/privacy/thridcountries/adequacyfaq1_en.htm" http://ec.europa.eu/justice/policies/privacy/thridcountries/adequacyfaq1_en.htm. CM\1034181.doc 3/5 PE537.416v01-00
A Védett adatkikötőről szóló határozat 1. melléklete úgy rendelkezik, hogy az adatvédelmi elvek betartása korlátozható, amennyiben azt a nemzetbiztonság, a közérdek vagy bűnüldözési követelmények indokolják, illetve törvény, kormányrendelet vagy ítélkezési gyakorlat írja elő. A határozat kimondja, hogy ilyen korlátozásra kizárólag a nemzetbiztonság, a közérdek vagy a bűnüldözési követelmények kielégítéséhez szükséges mértékig kerülhet sor. Miközben a Védett adatkikötő rendszer rendelkezik az adatoknak a nemzetbiztonság, közérdek vagy bűnüldözés céljából történő kivételes feldolgozásáról, annak elfogadásakor még nem lehetett előre látni, hogy a kereskedelmi ügyletek keretében az Egyesült Államoknak átadott adatokhoz a hírszerző ügynökségek milyen mértékben férnek hozzá. A Védett adatkikötő ebben az esetben csatornaként működhet az uniós polgárok személyes adatainak az Unióból az USA-ba történő, olyan amerikai vállalatok általi átadása esetén, amelyek az amerikai hírszerzési programok keretében kötelesek kiszolgáltatni adataikat az amerikai hírszerző ügynökségeknek. Az Európai Bizottság felel a Védett adatkikötőről szóló határozat felülvizsgálatáért. A Bizottság a határozat végrehajtásával kapcsolatos tapasztalatok alapján megtarthatja, felfüggesztheti vagy kiigazíthatja azt. A legújabb fejlemények tükrében a Bizottság úgy vélte, hogy felül kell vizsgálni a Védett adatkikötőt. Fent említett közleményében a tizenhárom ajánlás alapján kijelölt egy ideiglenes útitervet és egy ütemtervet. Különösen az amerikai hatóságok általi hozzáférés tekintetében a Bizottság azt kérte, hogy a saját tanúsítással rendelkező vállalatok adatvédelmi politikája tartalmazzon információkat arról, hogy az amerikai jog milyen mértékben teszi lehetővé a hatóságoknak, hogy a Védett adatkikötő hatálya alatt továbbított adatokat begyűjtse és feldolgozza. A vállalatokat ezenkívül ösztönözni kell arra, hogy adatvédelmi politikájukban jelezzék, ha az elvektől a nemzetbiztonság, a közérdek vagy a bűnüldözési követelményeknek való megfelelés érdekében eltérnek. A Bizottság ezenkívül előírta, hogy a Védett adatkikötőről szóló határozatban foglalt nemzetbiztonsági kivételt kizárólag olyam mértékben alkalmazzák, amennyiben az feltétlenül szükséges és arányos. Összegzés A Bizottság a felvetett kérdéseket átfogóan közelítette meg, ajánlásokat fogalmazott meg, és a fennálló aggodalmak csillapítása érdekében megszabta a tevékenységek időkeretét. A Védett adatkikötőre vonatkozó ajánlások megfelelő végrehajtása hozzá fog járulni ehhez a célhoz. A Bizottság tovább vizsgálja a Védett adatkikötőről szóló határozat végrehajtását, és annak megfelelően felfüggesztheti vagy kiigazíthatja, ahogyan az várható is, amennyiben az amerikai fél rendszeresen elmulasztja a megfelelés biztosítását. A Tanács és az Európai Parlament által jelenleg tárgyalt adatvédelmi reform gyors elfogadása központi szerepet játszik a jogbiztonság garantálásában és az egyének adatvédelemhez való jogának biztosításában akkor is, ha adataikat külföldre továbbítják. PE537.416v01-00 4/5 CM\1034181.doc
CM\1034181.doc 5/5 PE537.416v01-00