Fontos változások az EU-USA adattovábbítás jogi kérdéseiben

Az érvénytelenítés arra tekintettel történt, hogy nem volt biztosított az uniós jog által garantált védelmi szint, illetve a megfelelő garanciák sem az amerikai titkosszolgálatok tömeges megfigyelési gyakorlatával, uniós polgárok USA területén lévő szervereken tárolt személyes adataihoz való hozzáférésével kapcsolatosan.

Az EUB egyik fő kritikája a Privacy Shield Framework ombudsmani mechanizmusára vonatkozott. Ez lehetővé tette az uniós polgárok számára, hogy panaszt nyújtsanak be az amerikai hírszerző ügynökségek megfigyelésével kapcsolatosan a helyi adatvédelmi hatóságaiknál, amelyek kötelesek voltak továbbítani ezeket a panaszokat az Egyesült Államok külügyminisztériumának ombudsmanjához. Ezt követően az ombudsmannak kellett feldolgoznia a panaszt, és orvosolnia az esetleges jogsértéseket.

A Schrems II-ügyben az EUB úgy ítélte meg, hogy ez a mechanizmus és az ombudsmani intézmény nem nyújt kielégítő jogi védelmet az Alapjogi Charta 47. cikke alapján, miután az ombudsman, mint közigazgatási alkalmazott, nem rendelkezik a bírói függetlenség intézményi garanciáival és döntése ellen nem volt lehetőség megfelelő jogorvoslatra sem.

Az első szint hasonló az előző ombudsmani mechanizmushoz. Az állampolgároknak panaszt kell benyújtaniuk saját államuk adatvédelmi hatóságaihoz, amelyek továbbítják a panaszt az Egyesült Államok illetékes szerveihez. Az Egyesült Államok külügyminisztériumának ombudsmanja helyett az Egyesült Államok Hírszerzési Koordinációs Központjának adatvédelmi tisztjei dolgozzák fel a panaszokat, majd az érintett állampolgár határozat formájában tájékoztatást kap az ügy kivizsgálásának eredményéről.

Amennyiben az érintett nem fogadja el a tájékoztatást, úgy fellebbezéssel fordulhat a határozat ellen az adatvédelmi felülvizsgálati bírósághoz, amely bár nem része az igazságszolgáltatás szervezetrendszerének, tagjai teljes függetlenséggel kell, hogy rendelkezzenek a végrehajtó hatalmon belül. Olyan személyekből kell állnia a bíróságnak, akik nem tagjai az Egyesült Államok közigazgatási hierarchiájának (például korábbi bírák). Ebben az eljárásban sem vesz részt közvetlenül az érintett, hanem a képviseletében a bíróság által kinevezett ügyvéd jár el.

Az új adatvédelmi felülvizsgálati bíróság megoldást jelenthet az EUB által elvárt kielégítő adatvédelmi jogi szintre vonatkozó követelmények teljesítésére. Továbbra is kérdéses ugyanakkor, hogy az EUB számára elegendő lesz-e egy kvázi bírói testület a „valódi" bíróság helyett.

Az érintett állampolgárok nem befolyásolhatják a titkos eljárást, ami további jogállami kérdéseket (tisztességes eljárás elve, nyilvános meghallgatáshoz való jog, bírósági eljárásban a meghallgatáshoz való jog) vet fel. Amíg a végrehajtási rendelet alapján az Európai Bizottság nem bocsát ki megfelelőségi határozatot, addig az adatkezelőknek továbbra is más jogi megoldásokkal kell biztosítaniuk az EU-USA adattovábbítás jogszerűségét, például a jelenleg is alkalmazott, az Európai Bizottság által elfogadott általános adatvédelmi szerződési kikötésekkel.