Nyílt levél az EU-USA adattovábbítás jövőjéről

Nyílt levél az EU-USA adattovábbítás jövőjéről

Bár sok részlet még mindig nem világos, egyre több részlet derül ki a tervezett EU-USA adattovábbítási megállapodásról. Ezek a részletek egyre több kérdést vetnek fel az Európai Bizottság új megfelelőségi megállapodásának stabilitását illetően. Ezen aggasztó fejlemények fényében a "Schrems I." és "Schrems II." ügyek vezető felperese az alábbi nyílt levelet (PDF) küldte az érintett érdekelt feleknek:

Tisztelt Didier Reynders biztos úr!
Tisztelt Gina Raimondo miniszter asszony,
Tisztelt Pauline Dubarry,
Kedves Andrea Jelinek, az EDPB elnöke,
Tisztelt LIBE elnök Juan Fernando López Aguilar,

Tudomásul vesszük az új transzatlanti adatvédelmi keretrendszerre vonatkozó elvi megállapodás bejelentését. Úgy tudjuk, hogy az "elvben elfogadott" jövőbeli megállapodás elsősorban von der Leyen bizottsági elnök és Joe Biden amerikai elnök közötti politikai megállapodáson alapul, de nem az amerikai jognak az EUB ítéletére adott válaszként történő lényeges módosításának eredménye. Ez a megközelítés az "Adatvédelmi pajzs" megállapodás megismétlésének tűnik, és mélyen aggasztó.

Tisztában vagyunk azzal, hogy a bejelentés csak vázlatos elképzeléseket és címszavakat tartalmaz, de a végleges szövegről még tárgyalni kell. Az alábbi előzetes észrevételek ezért a korlátozott politikai bejelentésen és a további részleteken alapulnak, amelyeket az EU és az USA nem hivatalosan, különböző nyilvános vagy félig nyilvános formában osztott meg az érdekeltekkel.

E nyilatkozatok alapján úgy tudjuk, hogy az USA elutasított minden lényeges védelmet a nem amerikai személyekkel szemben, és továbbra is diszkriminatívan kezeli a nem amerikai személyeket azáltal, hogy elutasítja az alapvető védelmet, például az egyedi megfigyelési intézkedések bírósági jóváhagyását.

Úgy tudjuk, hogy a tervezett megállapodás nagyrészt az amerikai végrehajtási rendeletekre fog támaszkodni. Az amerikai megfigyelési szakértőkkel és jogászokkal együtt dolgozva az ügyön, az ilyen végrehajtási rendeletek szerkezetileg elégtelennek tűnnek az EUB követelményeinek teljesítéséhez.

Az ismert sarokpontok alapján figyelmeztetjük a tárgyalófeleket az Atlanti-óceán mindkét oldalán, az EU Tanácsát, az EDPB-t és az Európai Parlament LIBE bizottságát, hogy a bejelentett keretrendszer az EUB előtt ugyanolyan sorsra juthat, mint két elődje, hacsak az Egyesült Államokban nem hajtanak végre érdemi (jogalkotási) reformokat.

Felszólítjuk a tárgyalófeleket, hogy a "Schrems III" döntés elkerülése érdekében folytassák a munkát egy hosszú távú, a magánélet védelmét szolgáló megoldásért a transzatlanti adatforgalomban. A jelenlegi megközelítés évekig további jogbizonytalanságot okozhat a polgárok és a vállalkozások számára - ezt a félelmet az iparág képviselői is hangoztatták az "elvi megállapodásra" reagálva.

Teljesen tisztában vagyunk azzal, hogy ez minden, csak nem könnyű feladat, de a helyes megoldásba való befektetés nemcsak azt biztosítaná, hogy ez az ügy hosszú távon megoldódjon, hanem mindkét oldalon a polgárok és a gazdaság javát is szolgálná.

E cél elérése érdekében az alábbi részletesebb észrevételeket és ajánlásokat terjesztjük elő:

(1) A CFR 8. cikke szerinti helyes arányossági teszt alkalmazása az amerikai megfigyelési jogra

Értesüléseink szerint az amerikai tárgyaló felek nem tervezik az amerikai törvényi szabályozás módosítását az anyagi megfigyeléssel kapcsolatban, hanem azt tervezik, hogy lényegében egy új végrehajtási utasítással váltják fel a 28. elnöki politikai irányelvet (PPD-28) a jelhírszerzési tevékenységekről, amely a "szükséges és arányos" kifejezést tartalmazná.

Úgy tűnik, hogy az Európai Bizottság azt szeretné elérni, hogy az amerikai végrehajtási rendelet e szavai egyenértékűnek tekintendők az uniós arányossági teszttel, amelyet az EU Chart 52. cikke tartalmazer alapjogi Keretegyezmény (CFR) 52. cikke szerinti követelménynek.

Nehéz azonban belátni, hogy a meglévő amerikai megfigyelés hogyan lehet "szükséges és arányos" az európai jog szerint, ha az EUB két ítéletében kifejezetten az ellenkezőjét állapította meg.

Ez a megközelítés legalább a következő okok miatt nem tűnik elégségesnek:

• Az EUB mindkét ítéletében ("Schrems I." és "Schrems II.") a Bíróság egyértelműen megállapította, hogy az USA megfigyelési törvényei és gyakorlata sérti az Alapjogi Charta 7., 8. és 47. cikkét. Az EUB még azt is kifejezetten megállapította, hogy ezek a törvények és gyakorlatok nem "szükségesek és arányosak".
• A "Schrems II" ítéletet a PPD28 (mint az akkori vonatkozó végrehajtási irányelv) figyelembevételével hozták meg. Ahogy az Európai Bizottság és az Egyesült Államok kormánya az EUB előtt érvelt, a PPD-28 már tartalmazza a "lehető legjobbantestre szabott" megfogalmazást, amelyet a Bizottság a CFR 52. cikke szerinti arányossággal egyenértékűnek értelmezett. Az EUB elutasította ezt az elképzelést. Nem értjük, hogy az EUB által kifejezetten nem "szükségesnek és arányosnak" minősített törvények és gyakorlatok hogyan győznék meg hirtelen az EUB-t, ha a "megvalósítható mértékben testre szabott" helyett a "szükséges és arányos" megjelölést kapnák.
• Úgy tudjuk, hogy bár az USA elfogadhatja ezeket a szavakat, nem egyezett bele a nem amerikai érintettekmegfigyelésének lényegeskorlátozásába . Konkrétan az USA nem jelentette be, hogy szándékában állna korlátozni vagy felülvizsgálni az EUB által az ítéletében konkrétan említett törvények és programok (FISA 702, EO 12,333, "PRISM" és "Upstream") alapján folytatott megfigyelési gyakorlatot. Az USA szintén nem jelezte, hogy változtatásokat hajtana végre a tömeges megfigyelési gyakorlatának megszüntetése érdekében. Úgy tűnik, a megfigyelési programok változatlanul folytatódnak. Az EUB elvégezte a KER 52. cikke szerinti arányossági vizsgálatot, és arra a következtetésre jutott, hogy az amerikai megfigyelési gyakorlatok nem feleltek meg ennek a vizsgálatnak. Ha az USA integrálná a"szükségesség és arányosság" koncepcióját, az e megfigyelési gyakorlatok leállítását vagy erőteljes korlátozását jelentené. A tárgyaló felek világosan kijelentették, hogy ez nem áll szándékukban.
• A tárgyaló felek ezért úgy tűnik, hogy a CFR és az EUB ítélkezési gyakorlatának szavait csupán átültetik egy amerikai végrehajtási rendeletbe, de valószínűleg az EUB-tól eltérő értelmezést fognak alkalmazni, mivel ez egyébként a külföldi hírszerzési megfigyelési törvény (FISA) 702. szakasza szerinti Upstream és Downstream (korábban "PRISM") programok leállításához, valamint a 12.333. számú végrehajtási rendelet szerinti tömeges megfigyelés megszüntetéséhez vezetne.
• Aggodalmunkat fejezi ki továbbá, hogy a végrehajtási rendeletek általában nem ruháznak fel harmadik személyeket jogokkal. Úgy tűnik, hogy még ha a CFR 52. cikkével összhangban lévő "szükséges és arányos" tesztet végre is hajtanák egy végrehajtási utasításban, az érintettek nem biztos, hogy képesek lennének bírósági úton érvényesíteni az ilyen korlátozásokat.

Összefoglalva, úgy tűnik, hogy ez a megközelítés csupán mindkét fél politikai, diplomáciai és PR-követelményeit elégíti ki, de figyelmen kívül hagyja azt a tényt, hogy az EUB már megállapította, hogy az amerikai megfigyelés nem "szükséges és arányos", és az USA folytatni fogja ezt a gyakorlatot.

(2) Az értelmes jogorvoslat megteremtése a CFR 47. cikke alapján

Értesüléseink szerint az amerikai tárgyaló felek nem tervezik az amerikai jog olyan módosítását, amely lehetőséget teremtene az uniós érintettek számára a bírósági jogorvoslatra.

Ehelyett az amerikai végrehajtó hatalomnak egy új "szervet" kellene létrehoznia a végrehajtó hatalmon belül (a korábbi "ombudsmanhoz" hasonlóan, de a főtanácsnok hatáskörébe tartozóan), amely az amerikai jogszabályok és végrehajtási rendeletek esetleges megsértésével foglalkozik majd. Ez az "Adatvédelmi felülvizsgálati bíróság" elnevezésű szerv - nevével ellentétben - nem "bíróság", hanem végrehajtó szerv lesz. A végrehajtó hatalom része lesz, korlátozott függetlenséggel.

Úgy tudjuk, hogy az uniós adatalanyok az eljárás során nem férhetnek hozzá az őket érintő esetleges megfigyelési műveletekre vonatkozó információkhoz, és nem fellebbezhetnek e "bíróság" határozatai ellen az Egyesült Államok alkotmányának 3. cikke alapján létrehozott, teljesen független bírósági szervhez.

Úgy tűnik, hogy ez a megközelítés legalább a következő szempontból sérti az EUB ítélkezési gyakorlatát:

• A javasolt megoldás nem bírósági jogorvoslatról, hanem a végrehajtó hatalmon belüli jogorvoslati szervrőlrendelkezik - hasonlóan az ombudsmanhoz, amit az EUB nem csak aránytalannak, de a CFR 47. cikkének lényegét sértőnek talált. Egy végrehajtó szerv "bíróságnak" való elnevezése önmagában még nem teremt jogorvoslatot. Úgy tűnik, hogy a megközelítést inkább "Ombudsperson Plusz"-ként kellene leírni.
• Nehéz elképzelni, hogy ez az új szerv hogyan teljesítené a CFR 47. cikke szerinti bíróság vagy törvényszék formai követelményeit, különösen az EU-n belül folyamatban lévő ügyekkel és az alkalmazott normákkal összehasonlítva (például Lengyelországban és Magyarországon). Az EUB-t arra kérnék, hogy az EU-n belül a CFR 47. cikkének "magas" szabványát alkalmazza, de az amerikai "adatvédelmi felülvizsgálati bíróság" esetében a CFR 47. cikkének "alacsony" szabványát. Az Európai Bizottságnak kellene meggyőznie az EUB-t a CFR 47. cikke szerinti eltérő normákról.
• Úgy tudjuk, hogy aez az új "bíróság" továbbra is a jelenlegi "ombudsmanhoz" hasonlóan fog működni, és sem megerősíteni, sem cáfolni nem fogja, hogy egy személy megfigyelés tárgyát képezte-e, és hogy megsértette-e az amerikai jogot. Értesüléseink szerint az érintettnek sem közvetlenül, sem közvetve nem lesz lehetősége arra, hogy bizonyítékokat lásson, felderítést kérjen, kikérdezze az ellenfelet, vagy indoklással ellátott ítéletet kapjon . Ez egy "gumibélyegzős" intézményt tesz majd belőle, amelynek nincs gyakorlati jelentősége.
• Ez a "gumibélyegzős" megközelítés korlátozza a másodlagos szervekhez benyújtott, esetlegesen tervezett fellebbezés lehetőségeit is: Ha az "adatvédelmi felülvizsgálati bíróság" köteles egy előírt szabványos választ küldeni, nem látjuk, hogy lenne helye bármilyen megalapozott, érdemi fellebbezésnek. Ha minden esetben csak egy lehetséges előre meghatározott eredmény van, akkor aligha lesz olyan eset, amikor egy polgár hibát vethet fel, mivel úgy tűnik, hogy csak egyetlen lehetséges válasz létezik.
• Alapvető kérdéseket vet fel, hogy az olyan amerikai doktrínák, mint a " államtitok" fog-e vonatkozni ezekre a szervekre, és tovább korlátozza-e a tisztességes eljárás lehetőségét. Úgy tudjuk, hogy az amerikai kormány továbbra is ezekre a doktrínákra fog támaszkodni.

Összefoglalva, nem látjuk, hogy ez az új "bíróság" hogyan lenne összhangban a KER 47. cikkével, különösen az EUB közelmúltbeli, az amerikai megfigyeléssel kapcsolatos ítélkezési gyakorlatának fényében, de az EUB bírósági jogorvoslattal és az uniós tagállamok jogállamiságával kapcsolatos ítélkezési gyakorlatának fényében sem. Úgy tűnik, hogy az EUB-nak külön, a CFR 47. cikk szerinti tesztet kellene kidolgoznia az USA-ra vonatkozóan, hogy megállapítsa, hogy egy végrehajtó szerv, amely gumibélyegzős válaszokat ad, valóban a bírósági jogorvoslat egyik formája. Nem látjuk, hogy az EUB ítélkezési gyakorlatának ilyen irányú fejlődése távolról sem reális vagy akár csak kívánatos.

(3) A kereskedelmi magánélet védelmének aktualizálásának szükségessége

A bejelentett elvi megállapodásnak az amerikai megfigyelésre vonatkozó reformok hiányához kapcsolódó hiányosságai mellett és törvények, arra is figyelmeztetjük az uniós tárgyalófeleket, hogy bármilyen jövőbeli megállapodás keretében aktualizálni kell a kereskedelmi adatvédelmi kötelezettségeket.

Aggodalommal tölt el bennünket, hogy az EU és az USA tárgyaló felei a jelek szerint nem tervezik magának az adatvédelmi pajzs alapelveinek frissítését. Úgy tudjuk, hogy az adatvédelmi pajzs alapelveihez és tanúsítványaihoz nem nyúlnának hozzá, sőt, még csak át sem neveznék azokat. Ez rendkívül problematikus, mivel az elvek nagyrészt a 2000-es "Safe Harbor" elveken alapulnak, és csak 2016-ban történtek kisebb frissítések. Nem állnak összhangban a 2018-ban hatályba lépett GDPR követelményeivel. Valójában az adatvédelmi pajzs alapelvei még a nem régóta alkalmazandó 95/46/EK irányelvre is hivatkoznak, nem pedig a GDPR-ra.

Az alábbiakban néhány példát emelünk ki az Adatvédelmi Pajzs elveinek számos hiányossága közül, és azt, hogy hol térnek el a GDPR-tól:

• Az adatvédelmi pajzs alapelvei nem rendelkeznek a jogalapra vonatkozó általános követelménnyel, mint a GDPR 6. cikkének (1) bekezdése és a 8. cikk (2) bekezdése a Chart alapjogi Chartában foglaltaknak megfelelően. Valójában csak egy úgynevezett "értesítés és választás" megközelítés van, az elutasítás (opt-out) jogával. Különösen azért, mert az elvek általában az alvállalkozókra vonatkoznak, akik nem kerülnek közvetlen kapcsolatba az érintettel, aligha létezik olyan reális forgatókönyv, amelyben az érintettet egyáltalán értesítik a problémás adatkezelésről.
• Az adatvédelmi pajzs elvei nem követelik meg, hogy az adatfeldolgozás "szükséges" legyen, ahogyan azt a GDPR 5. cikke (1) bekezdésének c) pontja és a CFR 52. cikkének (1) bekezdése előírja, hanem csak "releváns".
• A GDPR 15. cikke és a chart 8. cikkének (2) bekezdése szerinti hozzáférési jog legtöbb elemeer Alapjogi Chartában foglaltak közül a legtöbbet nem tükrözik az adatvédelmi pajzs alapelvei.
• A jogorvoslati mechanizmus proelvek által biztosított jogorvoslati mechanizmus a magánbíráskodáson alapul, amely rendszer a 93/13/EGK irányelv óta tilos a fogyasztókkal szemben az EU-ban. A magán választottbírósági szolgáltatásokat az amerikai vállalat fizeti, és nem rendelkeznek a szükséges "felügyeleti és felderítési" mechanizmusokkal vagy hatáskörökkel, amelyek akár csak távolról is hasonlítanak az uniós felügyeleti hatóságok GDPR 58. cikke szerinti hatáskörére. Több lépésből áll, hogy bármely választottbírósági döntés ténylegesen végrehajtható legyen az amerikai jog szerint.

Számtalan további példa van arra, hogy az adatvédelmi pajzs elvei nem "lényegében egyenértékűek" a GDPR-ral, és ezért lehetővé teszik az amerikai versenytársak számára, hogy az európai piacon az uniós jog betartása nélkül működjenek. Még ha az amerikai megfigyeléssel kapcsolatos kérdések megoldódnának is, az EUB minden új megállapodást érvényteleníthet azon az alapon, hogy az adatvédelmi pajzs alapelvei egyáltalán nem "lényegében egyenértékűek" a GDPR-ral.

A nemzetközi adattovábbítás jövője

Sajnálattal látjuk, hogy a tárgyaló felek nem használták ki ezt a lehetőséget arra, hogy biztosítsák a magánélethez és az adatvédelemhez való emberi jogok védelmét az Atlanti-óceán mindkét partján, földrajzi elhelyezkedéstől és állampolgárságtól függetlenül. Mély meggyőződésünk, hogy a globális internet és a személyes adatok szabad áramlása csak akkor lehetséges, ha a védelem nem történelmi és nacionalista fogalmakon, például az állampolgárságon alapul. Míg a GDPR és a CFR 7., 8. és 47. cikke emberi jogok, amelyek minden felhasználóra vonatkoznak, függetlenül a nemzeti kötődésektől, addig a FISA 702 és a vonatkozó amerikai végrehajtási rendeletek továbbra is az "amerikai személyek" és a "nem amerikai személyek" archaikus elképzelését követik.

Ez nemcsak az emberi jogok megsértését okozza, hanem úgy tűnik, hogy aláássa e megfigyelési törvények állítólagos céljait is: Tudjuk, hogy a legtöbb jelenlegi veszély (például a hazai terrorizmus, kémkedés és hasonlók) nem a célpont állampolgárságán alapul.

Felszólítjuk a tárgyalófeleket és más érintetteket, köztük például az amerikai technológiai ipart, hogy kérdőjelezzék meg a hagyományos nacionalista koncepciókat. Ha az internet nem ismerhet országhatárokat, akkor a magánélethez való jogainknak és a megfigyelésre vonatkozó törvényeinknek is felül kell emelkedniük a nacionalista koncepciókon. Az egyik lehetőség a demokratikus nemzetek közötti nemzetközi megállapodások lennének.

A GDPR 5. fejezete már lehetővé teszi az adatok szabad áramlását - amennyiben a védelem "lényegében egyenértékű". Sajnáljuk, hogy az USA és az EU nemzeti felügyeleti jogszabályai még mindig ragaszkodnak az állampolgársághoz hasonló fogalmakhoz, és egyelőre hiányoznak a modern interoperabilitási záradékok.

Az (interoperábilis) adatvédelem és a (nacionalista) felügyeleti jogszabályok közötti konfliktus akadályozza a nemzetközi adatáramlást, kereskedelmet és konvergenciát.

Reakció minden új megfelelőségi határozatra

Mivel peres eljárásaink célja mindig olyan tartós megoldás biztosítása, amely egyszerre védi a felhasználói adatokat és lehetővé teszi a szabad adatáramlást, elsőként üdvözölnénk minden ilyen eredményt. Továbbra is bízunk abban, hogy a végleges szöveg képes lesz kiküszöbölni az ebben a levélben kiemelt hiányosságokat, és arra bátorítjuk a tárgyalófeleket az Atlanti-óceán mindkét oldalán, hogy mozdítsák elő az amerikai jog nagyon szükséges reformjait.

E jogszabályi változtatások hiányában aggódunk amiatt, hogy bármilyen jövőbeli megállapodás (ismét) politikai reményeken alapulna a jogi realitások helyett. Különösen aggódunk amiatt, hogy az Európai Bizottság tudatosan elfogadhat egy újabb jogellenes megfelelőségi határozatot azzal a céllal, hogy aláássa az EUB ítéleteit. Ezt gyakran úgy emlegetik, hogy "még néhány évet vásárolnak". Ez nemcsak Brüsszel és Luxemburg közötti végtelen ping-ponghoz vezethet, hanem európai szinten veszélyezteti a jogállamiságba és a KFR-be vetett bizalmat is.

A fentiek fényében a noyb kész megtámadni minden olyan végleges megfelelőségi határozatot, amely nem biztosítja a szükséges jogbiztonságot. Amennyiben valóban szükség van ilyen peres eljárásra, különösen arra fogunk összpontosítani, hogy gyors és hatékony úton jussunk el az EUB-hoz, hogy gyors döntés szülessen. Reméljük, hogy ez rövidebb ideig tartó jogbizonytalanságot fog biztosítani bármilyen rosszul átgondolt politikai megállapodás esetén.

Egy ilyen kihívás magában foglalhatja azt a kérelmet, hogy az EUB függessze fel az amerikai megfelelőségi határozat bármely harmadik változatának alkalmazását. Az EUMSZ 278. cikke rendelkezik egy ilyen lehetőségről, és biztosíthatja, hogy az Európai Bizottság ne ássa alá az EUB-t azzal, hogy további jogellenes megfelelőségi határozatokat hoz, és ezzel próbálja megelőzni az EUB felülvizsgálatát.

Reméljük, hogy ezek az előzetes észrevételek hasznosak az Ön számára. Állunk rendelkezésére, ha bármilyen kérdése van, vagy további felvilágosítást szeretne adni a tervezett új megállapodással kapcsolatban.

Tisztelettel,

Max Schrems

Tiszteletbeli elnök, noyb