Joe Biden 2022. október 7-én aláírta az Amerikai Egyesült Államok hírszerzési tevékenységére vonatkozó garanciák megerősítéséről szóló végrehajtási rendeletet („Végrehajtási Rendelet”, angolul „executive order”). A Végrehajtási Rendelet meghatározza azokat a lépéseket, amelyeket az USA a Biden elnök és Ursula von der Leyen európai bizottsági elnök által 2022 márciusában bejelentett EU-USA adatvédelmi és adattovábbítási keretrendszerhez szükséges amerikai kötelezettségvállalások végrehajtása érdekében tesz. A 2022. márciusi bejelentésről írt korábbi cikkünkben részletesen ismertettük a Végrehajtási Rendelet aláírásának előzményeit.
A transzatlanti adatforgalom kulcsfontosságú az EU és az USA közötti gazdasági kapcsolatok szempontjából. A Végrehajtási Rendelet elősegítheti, hogy az Európai Bizottság a GDPR 45. cikke szerinti megfelelőségi határozat elfogadásával helyreállítsa az EU és az USA között a megfelelő védelmet biztosító transzatlanti adatáramlás korábban kiemelten fontos keretrendszerét. Fontos ugyanakkor kiemelni, hogy a Végrehajtási Rendelet aláírása önmagában nem hoz létre egy „Privacy Shield 2.0” megállapodást, így a szervezeteknek továbbra is olyan alternatív megoldásokat kell alkalmazniuk, mint az Európai Bizottság által a GDPR 46. cikk (2) bekezdés c) pontja értelmében 2021 júniusában elfogadott harmadik országba irányuló adattovábbításokra vonatkozó általános szerződési feltételek („standard contractual clauses, „SCC”), vagy a GDPR 47. cikke szerinti kötelező erejű vállalati szabályok.
A Végrehajtási Rendelet által bevezetett új szabályok
A Végrehajtási Rendelet elsődleges célja orvosolni azokat a hiányosságokat, amelyek alapján az Európai Unió Bírósága 2020. július 16-án hozott Schrems-II ítéletében érvénytelenítette a korábbi transzatlanti adattovábbítások biztosítékát képező „Privacy Shield” adattovábbítási keretrendszert elismerő megfelelőségi határozatot. A Schrems II ítélet elsősorban az USA nemzetbiztonsági célú hírszerzési és titkos információgyűjtési gyakorlatával kapcsolatos átláthatósági aggályokat, és az azzal kapcsolatos jogorvoslati lehetőségek hiányosságait emelte ki. A Végrehajtási Rendelet ezekre reflektálva, és a 2022. márciusában tett vállalásokkal összhangban állapít meg garanciális rendelkezéseket az USA hírszerzési tevékenysége folytatásával kapcsolatban:
1. Előírja, hogy hírszerzési tevékenység kizárólag jogszabály, végrehajtási rendelet, proklamáció vagy más elnöki utasítás alapján jóváhagyott hírszerzési cél előmozdítása érdekében végezhető, és csak az adott hírszerzési cél eléréséhez szükséges és arányos mértékben és módon („szükségességi és arányossági teszt”).
2. A hírszerző szerveknek a hírszerzés során gyűjtött személyes adatok kezelésére vonatkozó szabályokat kell kialakítaniuk.
3. Kötelezi az amerikai hírszerző szerveket eljárásaik és irányelveik frissítésére és felülvizsgálatára, hogy azok tükrözzék a Végrehajtási Rendelet által bevezetett új szabályokat.
4. Előírja, hogy a hírszerző szervek kötelesek a tömeges adatgyűjtés („bulk data collection”) helyett a célzott adatgyűjtést kell előnyben részesíteni, és a tömeges adatgyűjtés kizárólag abban az esetben engedélyezhető, ha az adott hírszerzési cél elérésének előmozdításához szükséges információ célzott adatgyűjtéssel észszerűen nem szerezhető meg.
5. Többszintű jogorvoslati és felülvizsgálati mechanizmust hoz létre azon panaszok elbírálására, amelyek szerint az amerikai hírszerzés a személyes adatokat az alkalmazandó amerikai jog megsértésével gyűjtötte vagy kezelte:
- Első szint: a Nemzeti Hírszerzési Igazgató Hivatalának polgári szabadságjogok védelméért felelős tisztviselője („Civil Liberties Protection Officer in the Office of the Director of National Intelligence”, röviden „CLPO”) elvégzi a beérkezett panaszok első vizsgálatát annak megállapítása érdekében, hogy megsértették-e az Végrehajtási Rendeletben foglalt megerősített garanciákat, vagy más alkalmazandó amerikai jogszabályt, és ha igen, megvizsgálja a megfelelő jogorvoslati lehetőségeket. A CLPO ezen jogosítványa keretében hozott vizsgálati eredmény a hírszerző szervekre nézve kötelező erejű, a második felülvizsgálati szintre is figyelemmel.
- Második szint: az USA Főügyésze („Attorney General”) által létrehozott Adatvédelmi Felülvizsgálati Bíróság („Data Protection Review Court”, röviden „DPRC”) az érintettek vagy valamely hírszerző szerv kérelmére független felügyeleti szervként felülvizsgálja a CLPO határozatait. A DPRC bíráit az USA Főügyésze nevezi ki az adatvédelem és a nemzetbiztonsági jog területén megfelelő tapasztalattal rendelkező jogászok közül, előnyben részesítve a korábbi bírói tapasztalattal rendelkező személyeket.
A Végrehajtási Rendelet fenti garanciális rendelkezései jelentős előrelépést jelentenek a Privacy Shield rendszeréhez képest a transzparencia és elérhető jogorvoslatok tekintetében, és ezáltal megalapozhatja az Európai Bizottság számára egy új, a GDPR 45. cikke szerinti megfelelőségi határozat elfogadását.
Kritikák
Ugyan a Végrehajtási Rendelet lényeges új garanciális rendelkezéseket tartalmaz, nem jelenthető ki teljes bizonyossággal, hogy ezeket az uniós szabályozó szervek (pl. az Európai Parlament, Európai Adatvédelmi Testület), vagy az Európai Bizottság megfelelőségi határozatának elfogadása esetén az Európai Unió Bírósága megfelelőnek és elfogadhatónak tartja majd. A leggyakoribb kritika a Végrehajtási Rendelettel szemben nem az új szabályokkal, hanem az elfogadás módjával kapcsolatos. Az Egyesült Államokban törvényalkotás kezdeményezésére kizárólag a Kongresszus („Congress”) jogosult, és a jogszabály-tervezetek a Képviselőház („House of Representatives”) és Felsőház („Senate”) együttes támogatása és elfogadása által válnak szövetségi szinten alkalmazható jogszabállyá. Egy elnöki végrehajtási rendelet ezzel szemben a végrehajtó hatalmi ág rendelkező intézkedése, amelynek megváltoztatása vagy teljes visszavonása is lényegesen egyszerűbb, mint a törvényhozás intézményein keresztül zajló jogszabálymódosítás.
További kritikaként merült fel, hogy a DPRC kizárólag névben független, tekintettel arra, hogy a bírók kinevezésére a kormányzat által kinevezett Főügyész rendelkezik hatáskörrel, valamint, hogy a „szükségességi és arányossági teszt” így is túlzott mérlegelésre és tág értelmezésre ad lehetőséget.
Következő lépések
A Végrehajtási Rendelet aláírását követően az Európai Bizottság kezdeményezheti a GDPR 45. cikke szerinti megfelelőségi határozat tervezetének előterjesztését, majd az annak elfogadására irányuló eljárást. A megfelelőségi határozat elfogadására irányuló eljárás különböző lépésekből áll, előszőr szükséges az Európai Adatvédelmi Testület véleményének beszerzése, majd egy, a tagállamok képviselőiből álló külön bizottság jóváhagyása. Csak ezen lépéseket követően fogadhatja el az Európai Bizottság végrehajtási határozat formájában az új GDPR 45. cikke szerinti megfelelőségi határozatot.
A megfelelőségi határozatban az Európai Bizottság ismerteti az amerikai Kereskedelmi Minisztérium („Department of Commerce”) által meghatározott, az új adattovábbítási keretrendszerhez való csatlakozás feltételeit és folyamatait, ideértve a csatlakozni kívánó szervezetek által biztosítandó érintetti jogok meghatározását, az érintetti jogok érvényesítését lehetővé tevő belső folyamatok kialakítását, valamint az öntanúsítási és ellenőrzési mechanizmust. A megfelelőségi határozat elfogadásának pillanatától kezdve az adatok szabadon és biztonságosan áramolhatnak majd az új keretrendszer alapján tanúsított amerikai vállalatok között. Az amerikai vállalatok öntanúsítási mechanizmuson keresztül csatlakozhatnak a keretrendszerhez, amellyel vállalják, hogy megfelelnek a megfelelőségi határozatban és az amerikai Kereskedelmi Minisztérium által meghatározott részletes adatvédelmi kötelezettségeknek.
Frissítés
2022. október 26-án a német Baden-Württemberg tartományi adatvédelmi hatóság („Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg”, röviden „LfDI BW”) elsőként tette közzé a Végrehajtási Rendelettel kapcsolatos álláspontját. Az LfDI BW a Végrehajtási Rendelet kiadását pozitív fejleményként értékeli, ezzel együtt jelentős jogi bizonytalanságokat lát azzal kapcsolatban, hogy a Végrehajtási Rendelet egy „Privacy Shield 2.0” megállapodás megfelelő alapja legyen. Az LfDI BW által megfogalmazott kritikus pontok:
- Egy, az USA jog szerinti „végrehajtási rendelet” milyen mértékben lehet hatékony eszköz a GDPR követelményeinek biztosítására, tekintve, hogy ez egy belső utasítás a kormány és az alárendelt hatóságok számára, és nem egy, az USA törvényalkotása által elfogadott törvény.
- A Végrehajtási Rendelet nem tartalmaz rendelkezéseket arra vonatkozóan, hogy miként viszonyul más meglévő amerikai szabályozásokhoz, például az adatok jogszerű tengerentúli felhasználásáról szóló Cloud Act-hez („Clarifying Lawful Overseas Use of Data Act”).
- A panaszosok nem kapnak kifejezett tájékoztatást arról, hogy személyes adataikat az amerikai hatóságok hírszerzési tevékenység keretében kezelték, hanem csak egy szabványosított értesítést kapnak arról, hogy panaszuk felülvizsgálata lezárult. Ugyanez a megfogalmazás vonatkozik a DPRC későbbi határozatára is.
- A Végrehajtási Rendelet nem tudja garantálni a DPRC szervezeti függetlenségét, ha annak tagjait a végrehajtó hatalom által kinevezett Főügyész nevezi ki.
Az LfDI BW hozzátette, az Európai Bizottság feladata annak eldöntése, hogy az Egyesült Államokban a személyes adatok védelmének rendszere az uniós védelemmel egyenértékű-e. Az LfDI értékelése szerint ugyanakkor már az is kérdéses, hogy a Bizottság egyáltalán újraértékelheti-e az adatvédelem szintjét az Egyesült Államokban pusztán a Végrehajtási Rendelet alapján, és hogy lehetséges-e pusztán egy „végrehajtási rendelet” alapján a GDPR szerint megfelelőségi határozatot hozni.