Az Európai Adatvédelmi Testület üdvözli a jelentős előrelépéseket, mint például azon követelményeknek a bevezetését, amelyek megtestesítik a szükségesség és az arányosság alapelveit az Egyesült Államok hírszerzési adatgyűjtésére, valamint az új jogorvoslati mechanizmust az uniós érintettek számára. Ugyanakkor számos pont vonatkozásában kifejezi aggályát és pontosításokat kér. Ezek különösen bizonyos érintetti jogokra, többszörös adattovábbításokra, mentességek körére, ideiglenes tömeges adatgyűjtésre és a jogorvoslati mechanizmus gyakorlati működésére vonatkoznak. Az EDPB üdvözölné, ha nem csak a hatálybalépés, hanem a határozat elfogadása is annak függvénye lenne, hogy valamennyi amerikai hírszerző ügynökség fogadjon el a 14086. számú elnöki rendelet végrehajtására vonatkozó frissített politikákat és eljárásokat. Az EDPB azt javasolja a Bizottságnak, hogy értékelje ezeket a frissített politikákat és eljárásokat, és ossza meg értékelését az Európai Adatvédelmi Testülettel.
Andrea Jelinek szerint: „Az uniós polgárok jogainak és szabadságainak megóvásához elengedhetetlen az adatvédelem magas szintje. Miközben elismerjük, hogy az Egyesült Államok jogi keretrendszerében eszközölt módosítások jelentősek, javasoljuk az itt megfogalmazott aggodalmak kezelését és a kért pontosítások megadását annak biztosítása érdekében, hogy megfelelőségi határozat időtálló legyen. Ugyanezen okból azt gondoljuk, hogy a megfelelőségi határozat első felülvizsgálatát követően, hogy a későbbiek felülvizsgálatok kell, hogy történjenek legalább háromévente, és mi elkötelezettek vagyunk abban, hogy azokban közreműködjünk.”
Az Európai Bizottság által 2022. december 13-án közzétett megfelelőségi határozat tervezete az EU-USA adatvédelmi keretrendszeren (DPF) alapul – célja, hogy az Európai Unió Bíróságának Schrems II. ítéletében érvénytelenített adatvédelmi pajzs helyébe lépjen. Az adatvédelmi keretrendszer kulcsfontosságú eleme azon EU-USA adatvédelmi keret alapelvek, amelyeket az Egyesült Államok Kereskedelmi Minisztériuma adott ki. Az adatvédelmi keret csak az azon Egyesült Államokbeli szervezetekre alkalmazandó, amelyek önmagukat tanúsították. Az EDPB most elfogadta Véleményét a határozattervezetről, amely vizsgálja mind a kereskedelmi szempontokat, mind az Egyesült Államok állami hatóságainak hozzáférését és adatfelhasználását.
A kereskedelmi szempont tekintetében az EDPB üdvözli az adatvédelmi keret alapelvekben eszközölt számos korszerűsítést. Megjegyzi azt is, hogy számos alapelv lényegében változatlan maradt az adatvédelmi pajzshoz képest. Ekként néhány aggály is fennmaradt, mint például a hozzáférési jog alóli bizonyos mentességek, a kulcsdefiníciók hiánya, az adatvédelmi keret alapelveinek a feldolgozókra történő alkalmazásának tisztázása hiánya, a nyilvánosan rendelkezésre álló információkhoz való hozzáférési jog alóli széles körű mentesség, valamint automatizált döntéshozatal és profilalkotás kapcsán konkrét szabályok hiánya vonatkozásában. Az Európai Adatvédelmi Testület továbbá megismétli, hogy a védelem szintjét nem lehet aláásni a többszörös adattovábbítások révén. Ezért felkéri a Bizottságot, hogy tisztázza, hogy a harmadik országban az a kezdeti címzett által az importőrre rótt biztosítékoknak hatékonyaknak kell lenniük a harmadik országbeli jogszabályok fényében, még többszörös adattovábbítás megtörténte előtt.
Ezenkívül az Európai Adatvédelmi Testület felkéri a Bizottságot, hogy tisztázza az adatvédelmi keret alapelveinek való megfeleléssel kapcsolatos kötelezettség alóli mentességek terjedelmét, és hangsúlyozza az adatvédelmi keret hatékony felügyeletének és végrehajtásának fontosságát. Ezeket a szempontokat az Európai Adatvédelmi Testület folyamatosan figyelni fogja, olyan uniós érintetteknek nyújtott jogorvoslati lehetőségek hatékonyságával együtt, akiknek a személyes adatait az adatvédelmi keretrendszer megsértésével dolgozzák fel.
Az Egyesült Államokba továbbított adatokhoz való kormányzati hozzáférést illetően az Európai Adatvédelmi Testület elismeri az 14086. számú elnöki rendelet (Elnöki Rendelet) által hozott jelentős előrelépéseket. Az elnöki rendelet bevezeti a szükségesség és az arányosság fogalmát az egyesült államokbeli hírszerzési adatgyűjtés (hírszerzés) tekintetében.
Ezen túlmenően az új jogorvoslati mechanizmus további jogosultságokat létesít az uniós magánszemélyek számára, valamint megteremti az Adatvédelmi és Alapjogokat Felügyelő Testület (PCLOB) felülvizsgálatát is. Az elnöki rendelet a korábbi ombudsmani mechanizmushoz képest több biztosítékot ír elő az Adatvédelmi Felülvizsgálati Bíróság (DPRC) függetlenségének biztosítása érdekében, illetve hatékonyabb hatásköröket vezet be a jogsértések orvoslására, ideértve az érintettek számára további biztosítékokat is.
Az Európai Adatvédelmi Testület kiemeli, hogy szoros nyomon követés szükséges az újonnan bevezetett szükségesség és arányosság elvének gyakorlati alkalmazását illetően. További egyértelműsítésre van szükség az ideiglenes tömeges gyűjtés, valamint a tömegesen gyűjtött adatok további megőrzése és terjesztése tekintetében is.
Az Európai Adatvédelmi Testület aggodalmának ad hangot amiatt is, hogy az 12333. számú elnöki rendelet értelmében nem írják elő egy független hatóság előzetes engedélyét az adatok tömeges gyűjtéséhez, valamint amiatt, hogy hiányzik egy bíróság vagy azzal egyenértékű független testület általi rendszeres független utólagos felülvizsgálat is. Ami a külföldi hírszerzői tevékenység megfigyeléséről szóló törvény (FISA) 702. szakasza szerinti előzetes független engedélyezést illeti, az Európai Adatvédelmi Testület sajnálatát fejezi ki amiatt, hogy a FISA Bíróság nem vizsgálja az 14086. számú elnöki rendeletnek való megfelelést abban az esetben, ha a nem egyesült államokbeli személyek megcélzását engedélyező programokat engedélyez annak ellenére sem, hogy a programot végrehajtó hírszerző hatóságok annak alá vannak rendelve. Különösen hasznosak lennének az Adatvédelmi és Alapjogokat Felügyelő Testület jelentései arról, hogyan fogják megvalósítani a 14086. számú elnöki rendelet biztosítékait, és hogyan alkalmazzák ezeket a biztosítékokat, amikor a FISA 702. szakasza és a 12333. számú elnöki rendelet alapján gyűjtenek adatokat. A jogorvoslati mechanizmust illetően az EDPB értékeli a kiegészítő biztosítékokat, amiket nyújtanak mint, például a különleges jogvédők szerepét és a jogorvoslati mechanizmus Adatvédelmi és Alapjogokat Felügyelő Testület általi felülvizsgálatát. Ugyanakkor az Európai Adatvédelmi Testület aggodalmát fejezi ki az Adatvédelmi Felülvizsgálati Bíróság szabványos válaszának általános alkalmazása miatt, amely arról értesíti a panaszost, hogy vagy nem azonosítottak fedett jogsértést*, vagy megfelelő jogorvoslást előíró megállapítást hoztak, különös arra tekintettel, hogy ez a döntés nem fellebbezhető. Az Európai Adatvédelmi Testület ezért felkéri a Bizottságot, hogy szorosan kísérje figyelemmel ezen mechanizmus gyakorlati működését.
* A fedett jogsértés (covered violation) olyan gyakorlatot jelent, amely sérti az egyik résztvevő országának alkalmazandó fogyasztóvédelmi jogszabályait, és amely megegyezik vagy lényegében hasonló azokhoz a gyakorlatokhoz, amelyeket a másik résztvevő országának alkalmazandó fogyasztóvédelmi jogszabályai tiltanak.
(Köszönjük a fordítást Dr. Hepp Andrea és Dr. Szilágyi Zsuzsanna tagjainknak!)