A személyes adatok védelme
A személyes adatok védelme és a magánélet tiszteletben tartása európai alapvető jogok. Az Európai Parlament mindig hangsúlyozza, hogy egyensúlyt kell találni a biztonság fokozása és az emberi jogok– köztük az adatvédelem és a magánélet védelme– között. 2018májusában léptek hatályba az új uniós adatvédelmi szabályok, amelyek megerősítik a polgárok jogait és egyszerűsítik a digitális korban működő vállalkozásokra vonatkozó szabályokat. Az Európai Parlament számára készített kutatások szerint az adatáramlás szabályozására vonatkozó uniós jogszabályok évente 51,6milliárd euróval járulnak hozzá az Európai Unió GDP-jéhez. Az Európai Parlament Pegasus és azzal egyenértékű kémszoftverek használatának kivizsgálásával foglalkozó vizsgálóbizottsága (PEGA-bizottság) számára készített kutatás megerősíti az adatvédelem fontosságát a demokrácia és az egyéni szabadságjogok védelme szempontjából az EU-ban.
Jogalap
Az Európai Unió működéséről szóló szerződés (EUMSZ) 16.cikke.
Az Európai Unió Alapjogi Chartájának 7.és 8.cikke.
é쾱űé
Az Uniónak biztosítania kell az Európai Unió Alapjogi Chartájában is szereplő adatvédelemhez való alapvető jog következetes alkalmazását. Tekintettel az adattovábbítások mennyiségének exponenciális növekedésére– mely növekedés legnagyobb részét az EU, az Egyesült Államok és Kanada teszi ki– valamennyi uniós politika keretében meg kell erősíteni a személyes adatok védelmével kapcsolatos uniós álláspontot.
峾éԲ
A. Intézményi keret
1. Lisszaboni Szerződés
A Lisszaboni Szerződés hatálybalépése előtt a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségben az adatvédelemmel kapcsolatos jogszabályok megoszlottak az első (magán- és üzleti célokat szolgáló adatvédelem, a közösségi módszer alkalmazásával) és a harmadik pillér (bűnüldözési célokat szolgáló adatvédelem, kormányközi szinten) között. Ennek következtében a döntéshozatali folyamat a két területen eltérő szabályok szerint zajlott. A Lisszaboni Szerződéssel megszűnt a pillérstruktúra, és az új szerződés szilárdabb alapot nyújt az egyértelműbb és hatékonyabb adatvédelmi rendszer kialakításához, ugyanakkor új hatáskörökkel ruházza fel az Európai Parlamentet, amely így társjogalkotóvá vált. Az EUMSZ 16.cikke úgy rendelkezik, hogy a természetes személyeknek a személyes adataik uniós intézmények, szervek, hivatalok és ügynökségek által végzett kezelése tekintetében történő védelmére vonatkozó szabályokat a Parlament és a Tanács állapítja meg, illetve a tagállamok, amennyiben az uniós jog hatálya alá tartozó tevékenységet végeznek.
2. Stratégiai iránymutatások a szabadság, a biztonság és a jogérvényesülés területén
A Tamperei (1999.október) és Hágai Programot (2004.november) követően az Európai Tanács 2009decemberében a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségre vonatkozóan többéves programot hagyott jóvá a 2010–2014-es időszakra. 2014.júniusi következtetéseiben az Európai Tanács meghatározta az elkövetkező évek jogalkotási és operatív programjainak tervezésére vonatkozó stratégiai iránymutatásokat a szabadságon, a biztonságon és a jog érvényesülésén alapuló térségen belül, az EUMSZ 68.cikke alapján. A fő célkitűzések egyike a személyes adatok jobb védelme az EU-ban.
B. Az adatvédelemre vonatkozó főbb jogalkotási aktusok
1. Az EU Alapjogi Chartája
Az Európai Unió Alapjogi Chartájának 7.és 8.cikkében a magánélet tiszteletben tartása és a személyes adatok védelme egymással szorosan összefüggő, de különálló alapvető jogként nyer elismerést.
2. Európa Tanács
a. Az 1981.évi, 108.sz.egyezmény
Az Európa Tanács személyes adatok gépi felhasználása során az egyének védelméről szóló, 1981.január28-i, 108.számú egyezménye volt az adatvédelem területén elfogadott, első jogilag kötelező erejű nemzetközi okmány. Az egyezmény célja, hogy „minden egyén számára biztosítva legyen, hogy jogait és alapvető szabadságjogait, különösen a magánélethez való jogát tiszteletben tartsák személyes adatainak gépi feldolgozása során”. Az egyezmény módosításáról szóló jegyzőkönyv hatályának kiterjesztésére, az adatvédelem növelésére és hatékonyságának javítására törekszik.
b. Az emberi jogok európai egyezménye (EJEE)
Az emberi jogok és alapvető szabadságok védelméről szóló, 1950.november4-i egyezmény 8.cikke bevezeti a magán- és családi élet, az otthon és a kommunikáció tiszteletben tartásához való jogot.
3. Az adatvédelemre vonatkozó jelenlegi uniós jogalkotási aktusok
a. Általános adatvédelmi rendelet (GDPR)
Az Európai Parlament és a Tanács (EU)2016/679 rendelete (2016.április27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet (általános adatvédelmi rendelet) hatályon kívül helyezéséről 2018májusában lépett hatályba. A jogszabály célja, hogy valamennyi uniós polgárt megvédje a magánélet és az adatok megsértésétől egy egyre adatközpontúbb világban, miközben egyértelműbb és következetesebb keretet teremt a vállalkozások számára. A polgárok jogai között szerepel egy egyértelmű és megerősítő hozzájárulás kezelendő adataik tekintetében, valamint az ezekre vonatkozó egyértelmű és érthető tájékoztatáshoz való jog; a személyes adatok tárolásának megszüntetéséhez való jog: a polgárok kérhetik adataik törlését; az adatok másik szolgáltatóhoz történő továbbításának joga (pl.egyik közösségi hálózatról egy másikra történő váltás); valamint a személyes adatok feltörése tényének megismeréséhez való jog. Az új szabályok az EU-ban működő valamennyi vállalatra vonatkoznak, még akkor is, ha e vállalatok székhelye az EU-n kívül van. Emellett korrekciós intézkedéseket, például figyelmeztetéseket és végzéseket lehet kiadni, illetve bírságot kiszabni azokra a vállalkozásokra, amelyek megszegik a szabályokat. 2020.június24-én az Európai Bizottság [1].
b. A bűnüldözésben érvényesítendő adatvédelemről szóló irányelv
A személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016.április27-i (EU)2016/680 európai parlamenti és tanácsi irányelv 2018májusában lépett hatályba. Az irányelv védi a polgárok adatvédelemhez való alapvető jogát, amikor a bűnüldöző hatóságok személyes adatokat használnak. Biztosítja, hogy az áldozatok, a tanúk és a bűncselekményekkel gyanúsítottak személyes adatai megfelelő védelemben részesüljenek, és elősegíti a határokon átnyúló együttműködést a bűnözés és a terrorizmus elleni küzdelemben. Az Európai Bizottság 2022.július25-én közzétette . Ezt követően értékelő tanulmány készült az Állampolgári Jogi, Bel- és Igazságügyi Bizottság (LIBE) megbízásából, amely a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv végrehajtásának kritikai értékelését tartalmazta[2].
c. Elektronikus hírközlési adatvédelmi irányelv
Az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló, 2002.július12-i (elektronikus hírközlési adatvédelmi irányelv) a 2009.november29-i módosította. Felveti az adatmegőrzés kényes kérdését, amelyet többször is az Európai Unió Bírósága (EUB) elé terjesztettek, és amely számos, legutóbb hozott ítélethez vezetett, amelyek kimondják, hogy az uniós jog kizárja a forgalmi és helymeghatározó adatok általános és különbségtétel nélküli megőrzését.
Az elektronikus hírközlés során a magánélet tiszteletben tartásáról és a személyes adatok védelméről, valamint a 2002/58/EK irányelv (elektronikus hírközlési adatvédelmi rendelet) hatályon kívül helyezéséről szóló európai parlamenti és tanácsi hosszas megbeszélések folynak. Az Európai Parlament szakértői jelezték, hogy a Parlamentnek ellen kell állnia a Tanács arra irányuló kísérleteinek, hogy kizárja az európai adatvédelmi elvek alkalmazását[3].
d. A személyes adatok uniós intézmények és szervek általi kezeléséről szóló rendelet
A természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018.október23-i 2018.december11-én lépett hatályba.
e. Az ágazatspecifikus jogalkotási aktusokban foglalt adatvédelmi cikkek
A fent említett, az adatvédelemről szóló fő jogalkotási aktusok mellett az adatvédelemre vonatkozóan különös rendelkezések is szerepelnek az ágazatspecifikus jogalkotási aktusokban, mint például:
- az utas-nyilvántartási adatállománynak (PNR) a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása érdekében történő felhasználásáról szóló, 2016.április27-i (EU)2016/681 európai parlamenti és tanácsi irányelv 13.cikke (a személyes adatok védelme);
- a fuvarozóknak az utasokkal kapcsolatos adatok közlésére vonatkozó kötelezettségéről szóló, 2004.április29-i 6.cikke (az adatfeldolgozásról). Ezt az irányelvet hatályon kívül helyezi a Parlament plenáris ülésén 2024.április24-én megszavazott két új rendelet, amelyek , valamint [4] óԲ;
- a Bűnüldözési Együttműködés Európai Uniós Ügynökségéről (Europol) szóló, 2016.május11-i (EU)2016/794 európai parlamenti és tanácsi rendelet VI.fejezete (adatvédelmi biztosítékok);
- az Európai Ügyészség létrehozására vonatkozó megerősített együttműködés bevezetéséről szóló, 2017.október12-i (EU)2017/1939 tanácsi rendelet VIII.fejezete (adatvédelem).
4. Az Európai Unió adattovábbításra vonatkozó főbb nemzetközi megállapodásai
a. Kereskedelmi adattovábbítás: megfelelőségi határozatok
Az általános adatvédelmi rendelet 45.cikke értelmében a Bizottság hatáskörébe tartozik annak megállapítása, hogy egy EU-n kívüli ország megfelelő szintű adatvédelmet biztosít-e, legyen az saját hazai jogszabályai vagy az általa vállalt nemzetközi kötelezettségek alapján.
Míg az EU és Észak-Amerika közötti adatátvitel exponenciálisan nőtt, mely tekintetében az Egyesült Államok uralja az online magánreklámokat és az online megfigyelést[5], a Parlament számos ááڴDzá fogadott el, amelyekben aggályokat fogalmazott meg a transzatlanti adatáramlással kapcsolatban. Különösen úgy véli, hogy az EU–USA adatvédelmi pajzsról szóló határozat nem biztosítja az uniós jog által megkövetelt megfelelő szintű védelmet, miközben az EUB ismételten érvénytelenítette az Egyesült Államokra vonatkozó megfelelőségi határozatokat (lásd a a védett adatkikötőről szóló, 2015.évi és a az EU–USA adatvédelmi pajzsról szóló, 2020.évi ítéletét).
Annak ellenére, hogy az Egyesült Államokban nem került sor az adatvédelmi rendszer reformjára, az Európai Bizottság újabb megállapodásra jutott az Egyesült Államokkal, és terjesztett elő egy újabb EU–USA adatvédelmi keretre vonatkozóan. A LIBE bizottság ԻíٱáԲáԲ 2023.május11-i előterjesztését követően a Parlament ááڴDzá fogadott el az EU–USA adatvédelmi keret által biztosított védelem megfelelőségéről, amelyben arra a következtetésre jutott, hogy az EU–USA adatvédelmi keret nem teremt alapvető egyenértékűséget a védelmi szint tekintetében, és felszólította a Bizottságot, hogy folytassa a tárgyalásokat egyesült államokbeli partnereivel, de tartózkodjon a megfelelőségi megállapítás elfogadásától mindaddig, amíg a Parlament állásfoglalásában és az Európai Adatvédelmi Testület véleményében megfogalmazott valamennyi ajánlást teljes mértékben végre nem hajtják.
Az Európai Bizottság 2023.július10 -én fogadta el a .
b. EU–USA keretmegállapodás
Az egyetértési eljárás során a Parlament részt vett az Egyesült Államok és az Európai Unió közötti, a személyes adatoknak a bűncselekmények megelőzésével, nyomozásával, felderítésével és büntetőeljárás alá vonásával kapcsolatos védelméről szóló megállapodás– az adatvédelmi keretmegállapodás– jóváhagyásában. E megállapodás célja a bűnüldözési célokat szolgáló transzatlanti együttműködés keretében továbbított személyes adatok magas szintű védelmének biztosítása, nevezetesen a terrorizmus és a szervezett bűnözés elleni küzdelem során.
c. Az EU–USA, az EU–Ausztrália, valamint az EU–Kanada utas-nyilvántartási adatállományról (PNR) szóló megállapodások
Az EU utas-nyilvántartási adatállományra vonatkozó kétoldalú megállapodásokat írt alá az Egyesült Államokkal, Ausztráliával és Kanadával. A PNR-adatok az utasok által a járatok foglalása vagy az azokra való bejelentkezés során nyújtott információkat, valamint a légi fuvarozók által saját kereskedelmi céljaikra gyűjtött információkat tartalmazzák. A bűnüldöző hatóságok a súlyos bűncselekmények és a terrorizmus elleni küzdelem céljából használhatják fel a PNR-adatokat.
Kanadát illetően az EUB a 2017.július26-i 1/15.sz.véleményében kijelentette, hogy az EU és Kanada között 2014.június25-én aláírt tervezett megállapodás jelenlegi formájában nem köthető meg. E véleményt követően 2018júniusában új PNR-tárgyalások kezdődtek Kanadával, amelyek jelenleg is folyamatban vannak.
A Tanács 2020.február18-án határozatot fogadott el, amelyben felhatalmazást adott az EU és Japán közötti, a PNR-adatok továbbításáról és felhasználásáról szóló megállapodásra irányuló tárgyalások megkezdésére, amelyek szintén folyamatban vannak.
d. A terrorizmus finanszírozásának felderítését célzó EU–USA program (TFTP)
Az EU kétoldalú megállapodást írt alá az Amerikai Egyesült Államokkal az EU-ból származó pénzügyi üzenetadatoknak a terrorizmus finanszírozásának felderítését célzó program céljából történő feldolgozásáról és az Amerikai Egyesült Államok részére való átadásáról.
5. Az adatvédelmi szempontok kezelése az ágazatspecifikus állásfoglalásokban
Különböző szakpolitikai területekről szóló több parlamenti állásfoglalás is foglalkozik a személyes adatok védelmével, így biztosítva az összhangot az általános uniós adatvédelmi jogszabályokkal és a magánélet védelmével az egyes ágazatokban.
6. Uniós adatvédelmi felügyeleti hatóságok
olyan független felügyeleti hatóság, amely biztosítja, hogy az uniós intézmények és szervek eleget tegyenek adatvédelmi kötelezettségeiknek. Az európai adatvédelmi biztos elsődleges feladata a felügyelet, a konzultáció és az együttműködés.
– korábban a 29.cikk alapján létrehozott munkacsoport– jogi személyiséggel rendelkező uniós szerv státusszal rendelkezik, és független titkársággal működik. Az Európai Adatvédelmi Testületet az EU nemzeti adatvédelmi hatóságai, az európai adatvédelmi biztos és a Bizottság képviselői alkotják. Az Európai Adatvédelmi Testület kiterjedt hatáskörrel rendelkezik a nemzeti felügyeleti hatóságok közötti viták elbírálására, valamint az általános adatvédelmi rendelet és a bűnüldözésben érvényesítendő adatvédelemről szóló irányelv kulcsfontosságú fogalmaival kapcsolatos tanácsadás és iránymutatás biztosítására.
Az Európai Parlament szerepe
A Parlament kulcsszerepet játszott a személyes adatok védelmére vonatkozó uniós jogszabályok kialakításában azáltal, hogy politikai prioritásként kezeli a magánélet védelmét. Emellett a rendes jogalkotási eljárás keretében a Tanáccsal egyenrangú félként dolgozott az adatvédelmi reformon. 2017-ben megtette az utolsó jelentős lépést is: befejezte az elektronikus hírközlési adatvédelemről szóló új rendelettel kapcsolatos munkát, és várja, hogy a Tanács is lezárja a munkát az intézményközi tárgyalások megkezdése érdekében.
A Parlament számos állásfoglalásában kétségét fejezte ki az EU–USA védett adatkikötőre vonatkozó keret, majd ezt követően az EU–USA adatvédelmi pajzs által az uniós polgárok számára biztosított védelem megfelelőségével kapcsolatban. Miután a SchremsII.ügy az EU–USA adatvédelmi pajzsról szóló megállapodás által biztosított védelem megfelelőségéről szóló érvénytelenítéséhez vezetett,– azon aggályok miatt, hogy az Egyesült Államok kormányának megfigyelési jogköre az uniós jog által előírtak ellenére nem korlátozott, és hogy az uniós polgárok nem rendelkeznek hatékony jogorvoslati lehetőségekkel– az Európai Parlament ááڴDzá fogadott el, amelyben sajnálatát fejezte ki amiatt, hogy a Bizottság az USA-val fenntartott kapcsolatait az uniós polgárok érdekei elé helyezte[6].
A LIBE bizottság ԻíٱáԲáԲ 2023.május11-i előterjesztését követően a Parlament ááڴDzá az EU–USA adatvédelmi keret által biztosított védelem megfelelőségéről, amelyben arra a következtetésre jutott, hogy az EU–USA adatvédelmi keret nem teremt alapvető egyenértékűséget a védelmi szint tekintetében, és felszólította a Bizottságot, hogy folytassa a tárgyalásokat egyesült államokbeli partnereivel, de tartózkodjon a megfelelőségi megállapítás elfogadásától mindaddig, amíg az állásfoglalásban és az Európai Adatvédelmi Testület véleményében megfogalmazott valamennyi ajánlást teljes mértékben végre nem hajtják. Az Európai Bizottság 2023.július10-én elfogadta az szóló határozatát.
A Parlament vizsgálóbizottságot hozott létre a Pegasus és azzal egyenértékű kémszoftverek uniós tagállamokban való használatának kivizsgálására. A Jeroen Lenaers európai parlamenti képviselő elnökletével működő PEGA bizottság alaposan megvizsgálta azokat a gyakorlatokat, amelyek során kémprogramokat használnak az ellenzék tagjai, újságírók, ügyvédek és civil társadalmi aktivisták kivizsgálására, valamint azt, hogy ezek a gyakorlatok hogyan befolyásolják a demokratikus folyamatokat és az egyéni jogokat az EU-ban. Vizsgálata során a PEGA bizottság konzultált a vezető tudományos szakértőkkel, szakemberekkel és hatóságokkal az EU-ban és világszerte. Az Európai Parlament Tematikus Főosztálya jelentéseket készített a PEGA Բǰá, ööǰá és ciprusi kiküldetéséről. A PEGA bizottság 2023.május8-án megszavazta végleges jelentését (őó: Sophia in’t Veld EP-képviselő) az uniós jog alkalmazása során a Pegasus és az azzal egyenértékű kémszoftverek használatával kapcsolatos állítólagos jogsértések és hivatali visszásságok kivizsgálásáról, amely számos egyéb pont mellett ajánlást tartalmaz a kémszoftverek uniós polgárokkal szembeni használatának kutatására és nyomon követésére szolgáló uniós technológiai laboratórium létrehozásáról. A Parlamentnek a Tanácshoz és a Bizottsághoz intézett, a PEGA-jelentést követő ajánlását a plenáris ülés 2023.június15-én fogadta el. A Bizottság azonban nem adott időben választ az ajánlásra, és blokkolta az európai parlamenti képviselők által javasolt uniós technológiai laboratórium kísérleti projektjét.
A Parlament számos kutatási tanulmányt rendelt meg annak érdekében, hogy a technológiai fejlődés és az adatvédelem terén élenjáró jogalkotási tevékenységeihez tudományos alapot biztosítson, beleértve az általános adatvédelmi rendelet (GDPR) mesterséges intelligenciára gyakorolt hatásáról szóló tanulmányt, a biometrikus felismerésről és a viselkedés észleléséről szóló tanulmányt, a ٲܳó szóló tanulmányt, valamint a közelmúltban a jogról és az IKT-ról[7] szóló tanulmányt.
Pablo Abril Marti / Mariusz Maciejewski