Jelenleg egy részletes elemzésen dolgozunk, amelyet a következő napokban teszünk közzé a noyb.eu oldalon.
Első reakció: Az amerikai megfigyelésről szóló végrehajtási rendelet valószínűleg nem felel meg az uniós jognak
Több mint hat hónappal az EU és az Egyesült Államok közötti "elvi megállapodás" után Joe Biden amerikai elnök aláírta a régóta várt végrehajtási rendeletet, amely az Európai Bíróság (EUB) korábbi ítéleteinek tiszteletben tartását szolgálja. Ennek célja az EU-USA adattovábbítással kapcsolatos korlátozások leküzdése. Az EUB megkövetelte, hogy (1) az amerikai megfigyelés arányos legyen az Alapjogi Charta 52. cikke értelmében, és (2) a Bíróság biztosítsa a bírósági jogorvoslathoz való hozzáférést, amint azt a Charta 47. cikke előírja. Úgy tűnik, Biden új végrehajtási rendelete mindkét követelményt nem teljesíti. Folyamatos "tömeges megfigyelés" és egy "bíróság", amely nem valódi bíróság.
Végrehajtási rendelet. A végrehajtási rendelet az amerikai elnök belső utasítása a szövetségi kormányzaton belül, de nem törvény. Korábban az ügyet Obama elnök 2014-es, PPD-28 elnevezésű rendelete szabályozta. Bár jó látni, hogy peres ügyeink most az amerikai elnök reakciójához vezetnek, ez a belső elnöki rendelet valószínűleg nem fogja megoldani a problémát:
A tömeges megfigyelés kétféle "arányossági" módszerrel folytatódik. Az USA kiemeli, hogy az új végrehajtási rendelet az uniós jog megfogalmazását használja ("szükséges" és"arányos", mint a KER 52. cikkében) a PPD-28 1. szakaszának d) pontjában használt korábbi"a lehető legrészletesebb" kifejezés helyett. Ez megoldhatná a problémát, ha az USA is ezt a felfogást követné, és az EUB arányossági tesztjét alkalmazná.
A szavak megváltoztatása ellenére azonban semmi nem utal arra, hogy az amerikai tömeges megfigyelés a gyakorlatban változni fog. Az úgynevezett "tömeges megfigyelés" az új végrehajtási rendelet értelmében is folytatódik (lásd a 2. szakasz c) pontjának ii. alpontját), és az amerikai szolgáltatóknak küldött adatok továbbra is olyan programokba kerülnek, mint a PRISM vagy az Upstream, annak ellenére, hogy az EUB kétszer is kimondta, hogy az amerikai megfigyelési törvények és gyakorlatok nem"arányosak"(a szó európai értelmezése szerint).
Hogyan lehetséges ez? Úgy tűnik, az EU és az USA megállapodott abban, hogy a"szükséges" és az"arányos" szavakat átveszik a végrehajtási rendeletbe, de abban nem egyeztek meg, hogy ezeknek ugyanaz lesz a jogi jelentése. Ha azonos lenne a jelentésük, az USA-nak alapvetően korlátoznia kellene tömeges megfigyelési rendszereit, hogy megfeleljen az "arányos" megfigyelés uniós értelmezésének.
Max Schrems, a noyb.eu elnöke:"Az EU és az USA most már egyetért az "arányos" szó használatában, de úgy tűnik, hogy a jelentésében nem értenek egyet. Végül az EUB definíciója fog érvényesülni - ami valószínűleg ismét megöl minden uniós döntést. Az Európai Bizottság ismét szemet huny az amerikai jog felett, és lehetővé teszi az európaiak folyamatos megfigyelését."
a "bíróság" nem valódi bíróság. A végrehajtási rendelet célja az is, hogy jogorvoslatot nyújtson. Mostantól kétlépcsős eljárás lesz, amelynek első lépcsője egy, a nemzeti hírszerzés igazgatója alá tartozó tisztviselő, a második lépcső pedig egy "adatvédelmi felülvizsgálati bíróság". Ez azonban nem "bíróság" lesz a Charta 47. cikkének vagy az amerikai alkotmánynak a szokásos jogi értelmében, hanem az amerikai kormány végrehajtó ágán belüli szerv. Az új rendszer a korábbi "ombudsmani" rendszer továbbfejlesztett változata, amelyet az EUB már elutasított. Egyértelműnek tűnik, hogy ez a végrehajtó szerv nem jelentene "bírósági jogorvoslatot", ahogyan azt az EU Charta előírja.
A "bíróság" általi ítélkezés már a végrehajtási rendeletben is szerepel. A felhasználóknak egy nemzeti uniós szervhez kell majd fordulniuk, amely viszont az amerikai kormányhoz fordul a kérdéssel. Az amerikai kormány sem megerősíteni, sem cáfolni nem fogja, hogy a felhasználó megfigyelés alatt állt, és csak arról fogja tájékoztatni a felhasználót, hogy vagy nem történt jogsértés, vagy azt orvosolták (lásd az EO 3. szakasza c) pontjának E) alpontját). Ez a fellebbezés lehetőségét is haszontalanná teszi, mivel egyszerűen nincs miért fellebbezni, amíg a felhasználó megkapta ezt a gumibélyegzős választ. A 3. szakasz i. d) H) pontja még azt is kimondja, hogy a "bíróság" mit fog válaszolni - érvektől és ügytől függetlenül:"a felülvizsgálat vagy nem állapított meg semmilyen lefedett jogsértést, vagy az adatvédelmi felülvizsgálati bíróság megfelelő orvoslást előíró határozatot hozott"
Max Schrems, a noyb.eu elnöke:"Részletesen meg kell vizsgálnunk a javaslatot, de első pillantásra egyértelmű, hogy ez a "bíróság" egyszerűen nem bíróság. A Charta egyértelműen előírja a "bírósági jogorvoslatot" - attól, hogy valamilyen panaszügyi szervet "bíróságnak" neveznek át, még nem lesz tényleges bíróság. Az eljárás részletei is relevánsak lesznek annak szempontjából, hogy ez megfelelhet-e az uniós jognak."
A noyb és partnerei az elkövetkező napokban részletesebben elemzik a dokumentumokat, és a következő napokban és hetekben részletes jogi elemzést adnak ki. Amennyiben a Bizottság határozata nem áll összhangban az uniós joggal és az EUB vonatkozó ítéleteivel, a noyb valószínűleg újabb megtámadást nyújt be az EUB előtt. Addig is az amerikai kongresszusnak 2023-ban újra engedélyeznie kell a FISA 702-es számú törvényt, ami lehetővé teheti az amerikai jogalkotó számára, hogy a nem amerikai személyek magánélethez fűződő jogait tiszteletben tartó értelmes korlátozásokat vezessen be.
Max Schrems:"Részletesen elemezni fogjuk ezt a csomagot, ami néhány napot vesz igénybe. Első pillantásra úgy tűnik, hogy az alapvető kérdéseket nem sikerült megoldani, és előbb-utóbb visszakerül az EUB elé"."
A hasonló adatvédelmi védelemmel rendelkező országok nem tudnak stabil megállapodást kötni? Nem tűnik logikusnak, hogy két demokratikus ország, amelyek mindketten egyetértenek a magánélet védelmének alapvető jogi elveiben, valószínűleg a harmadik hibás megállapodást hozza létre egymás után:
Az Egyesült Államok alkotmányának negyedik kiegészítése rögzíti a magánélethez való jogot, és előírja, hogy minden lehallgatáshoz valószínűsíthető ok és bírói jóváhagyás szükséges. Hasonlóképpen, az Európai Unió Bírósága előírja, hogy a megfigyelésnek célzottnak kell lennie, és az EU Alapjogi Chartája értelmében bírósági jóváhagyásra vagy felülvizsgálatra van szükség.
Az egyetlen különbségnek az tűnik, hogy míg az EU a magánéletet olyan emberi jognak tekinti, amely minden emberre vonatkozik, addig a negyedik módosítás csak az amerikai állampolgárokra vagy az állandó lakosokra vonatkozik. Az USA szerint az európaiaknak nincsenek magánélethez fűződő jogaik. A FISA 702. számú dokumentum ezt a különbséget használja ki az amerikai jogban, és lehetővé teszi a negyedik kiegészítés értelmében jogellenes megfigyelést - mindaddig, amíg nem amerikaiak a célpontok.
Max Schrems:"Meglepő, hogy az EU és az USA egyetért abban, hogy a lehallgatáshoz valószínűsíthető ok és bírói jóváhagyás szükséges. Az USA azonban azon az állásponton van, hogy a külföldieknek nincsenek személyiségi jogaik. Kétlem, hogy az USA-nak a világ felhőszolgáltatójaként van jövője, ha a nem amerikai személyeknek nincsenek jogaik a törvényeik szerint. Számomra ellentmondásos , hogy az Európai Bizottság olyan megállapodáson dolgozik, amely elfogadja, hogy az európaiak "másodosztályú" állampolgárok, és nem illetik meg ugyanazokat a magánélethez fűződő jogokat, mint az amerikai állampolgárokat."
Az amerikai vállalkozásoknak nem kell megfelelniük a GDPR-nak. Ami szembetűnő, hogy az Európai Bizottság nem kérte, hogy az úgynevezett "adatvédelmi pajzs elveit" igazítsák a 2018 óta hatályos GDPR-hez. Az elvek nagyrészt megegyeznek a korábbi, 2000-ben kidolgozott "Safe Harbor" elvekkel, amelyeket az új keretrendszerben is alkalmazni fognak. Ez azt jelenti, hogy az amerikai vállalkozások továbbra is feldolgozhatnak európai adatokat a GDPR betartása nélkül. Például még csak jogalapra sincs szükségük az adatkezeléshez, például hozzájárulásra. Az adatvédelmi pajzs értelmében az amerikai vállalatoknak csak opt-out lehetőséget kell biztosítaniuk a felhasználók számára. Ez annak ellenére van így, hogy az EUB kiemelte, hogy az Egyesült Államokban "lényegében egyenértékű" védelemre van szükség.
Következő lépések. Most, hogy az Egyesült Államok kiadta végrehajtási rendeletét, az Európai Bizottságnak a GDPR 45. cikke alapján úgynevezett "megfelelőségi határozatot" kell kidolgoznia. A határozattervezet kiadását követően a Bizottságnak meg kell hallgatnia az Európai Adatvédelmi Testületet (EDPB), de annak megállapításai nem kötelezőek számára. Emellett az európai tagállamokat is meg kell hallgatni, és azok blokkolhatják az ügyletet. Ez a folyamat néhány hónapig is eltarthat. Ugyanakkor még az EDPB és a tagállamok negatív állásfoglalásai sem kötelezőek a Bizottságra nézve. A határozat közzététele után a vállalatok az USA-ba történő adatküldéskor hivatkozhatnak rá, a felhasználók pedig a nemzeti és az európai bíróságokon keresztül megtámadhatják azt. Ez 2023 tavasza előtt nem várható, még akkor sem, ha eredetileg 2022 őszére tervezték.
