32016D2297[1]
A Bizottság (EU) 2016/2297 végrehajtási határozata (2016. december 16.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országokba és harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2001/497/EK és 2010/87/EU határozatok módosításáról (az értesítés a C(2016) 8471. számú dokumentummal történt)
A BIZOTTSÁG (EU) 2016/2297 VÉGREHAJTÁSI HATÁROZATA
(2016. december 16.)
a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országokba és harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2001/497/EK és 2010/87/EU határozatok módosításáról
(az értesítés a C(2016) 8471. számú dokumentummal történt)
(EGT-vonatkozású szöveg)
AZ EURÓPAI BIZOTTSÁG,
tekintettel az Európai Unió működéséről szóló szerződésre,
tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre (1) és különösen annak 26. cikke (4) bekezdésére,
az európai adatvédelmi biztossal folytatott konzultációt követően,
mivel:
(1) Az Európai Unió Bírósága a C-362/14. sz., Maximillian Schrems kontra adatvédelmi biztos (2) ügyben hozott 2015. október 6-i ítéletében megállapította, hogy a Bizottság a 2000/520/EK határozat (3) 3. cikkének elfogadásával túllépte azon hatáskört, amelyet a 95/46/EK irányelvnek az Európai Unió Alapjogi Chartájával összefüggésben értelmezett 25. cikkének (6) bekezdése ruházott rá, és ezért érvénytelennek nyilvánította az említett határozat 3. cikkét.
(2) A 2000/520/EK határozat 3. cikke (1) bekezdésének első albekezdése korlátozó feltételeket állapít meg, amelyek alapján a nemzeti felügyeleti hatóságok dönthetnek arról, hogy a Bizottság megfelelőségi határozata ellenére felfüggesztik az adott öntanúsító amerikai vállalat felé irányuló adatáramlást.
(3) A Bíróság a Schrems-ügyben hozott ítéletében kifejtette, hogy a nemzeti felügyeleti hatóságok továbbra is hatáskörrel rendelkeznek arra, hogy ellenőrizzék a személyes adatok olyan harmadik országba irányuló továbbítását, amely a Bizottság megfelelőségi határozatának hatálya alá tartozik, továbbá a Bizottság nem rendelkezik hatáskörrel arra, hogy korlátozza az említett hatóságokat 95/46/EK irányelv 28. cikke alapján megillető jogköröket. E cikk szerint a szóban forgó hatóságok rendelkeznek mindenekelőtt vizsgálati jogkörrel, mint például a felügyeleti feladatok ellátásához szükséges adatok gyűjtésének joga, tényleges beavatkozási jogosultságokkal, mint például az adatkezelés átmeneti vagy végleges tilalmának megállapítása, valamint bírósági eljárásban való részvétel jogával (4).
(4) A Bíróság ugyanezen ítéletben emlékeztetett arra, hogy a 95/46/EK irányelv 25. cikke (6) bekezdésének második albekezdése szerint a tagállamok és szerveik kötelesek megtenni az ahhoz szükséges intézkedéseket, hogy teljesítsék az uniós intézmények jogi aktusait, mivel az utóbbiak főszabály szerint vélelmezhetően jogszerűek, és ennélfogva mindaddig joghatásokat váltanak ki, amíg azokat vissza nem vonják, megsemmisítés iránti kereset alapján meg nem semmisítik, illetve előzetes döntéshozatal iránti kérelem vagy jogellenességi kifogás következtében érvénytelennek nem nyilvánítják.
(5) A 95/46/EK irányelv 26. cikkének (4) bekezdése szerint elfogadott bizottsági határozat értelemszerűen kötelező erejű a tagállamok címzett szerveire, köztük a független felügyeleti hatóságokra nézve, amennyiben ennek következményeként elismerik, hogy az abban foglalt általános szerződési feltételek alapján végzett adattovábbítások - az említett irányelv 26. cikke (2) bekezdésében előírtak szerint - elegendő biztosítékot nyújtanak. Ez nem akadályozza meg, hogy a nemzeti felügyeleti hatóság gyakorolja az adatáramlások ellenőrzéséra vonatkozó jogkörét, beleértve a személyes adatok továbbításának felfüggesztését vagy tilalmát, ha a hatóság megállapítja, hogy az uniós vagy a nemzeti adatvédelmi jog megsértésével végzik az adattovábbítást, így például az adatátvevő nem tartja tiszteletben az általános szerződési feltételeket.
(6) A 2001/497/EK (5) és a 2010/87/EU (6) bizottsági határozat a nemzeti felügyeleti hatóságok jogkörének hasonló korlátozását tartalmazza, mint a 2000/520/EK határozat 3. cikke (1) bekezdésének első albekezdése, amelyet a Bíróság érvénytelennek nyilvánított.
(7) A Schrems-ítélet alapján és a Szerződés 266. cikkének megfelelően ezért a nemzeti felügyeleti hatóságok jogkörét korlátozó, említett határozatokat fel kell váltani.
(8) A tagállamoknak tájékoztatniuk kell a Bizottságot a nemzeti felügyeleti hatóságok által hozott vonatkozó intézkedésekről annak érdekében, hogy megkönnyítsék általános szerződési feltételekről szóló, jelenleg hatályos határozatok működésének hatékony figyelemmel kísérését.
(9) A 95/46/EK irányelv 29. cikke alapján létrehozott, az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport véleményt nyilvánított, amit figyelembe vettek e határozat elkészítésekor.
(10) Az e határozatban előírt intézkedések összhangban állnak a 95/46/EK irányelv 31. cikke (1) bekezdése szerint felállított bizottság véleményével.
(11) A 2001/497/EK és a 2010/87/EU határozatot ezért ennek megfelelően módosítani kell,
ELFOGADTA EZT A HATÁROZATOT:
1. cikk
A 2001/497/EK határozat 4. cikke helyébe a következő szöveg lép:
"4. cikk
Ha a tagállamok hatáskörrel rendelkező hatóságai oly módon gyakorolják a 95/46/EK irányelv 28. cikkének (3) bekezdése alapján őket megillető jogköreiket, hogy ez - az egyéneknek a személyes adataik kezelése tekintetében történő védelme érdekében - harmadik országokba irányuló adatáramlás felfüggesztéséhez vagy végleges tilalmához vezet, az érintett tagállam haladéktalanul tájékoztatja erről a Bizottságot, amely továbbítja ezt a tájékoztatást a többi tagállamnak."
2. cikk
A 2010/87/EU határozat 4. cikke helyébe a következő szöveg lép:
"4. cikk
Ha a tagállamok hatáskörrel rendelkező hatóságai oly módon gyakorolják a 95/46/EK irányelv 28. cikkének (3) bekezdése alapján őket megillető jogköreiket, hogy ez - az egyéneknek a személyes adataik kezelése tekintetében történő védelme érdekében - harmadik országokba irányuló adatáramlás felfüggesztéséhez vagy végleges tilalmához vezet, az érintett tagállam haladéktalanul tájékoztatja erről a Bizottságot, amely továbbítja ezt a tájékoztatást a többi tagállamnak."
3. cikk
Ennek a határozatnak a tagállamok a címzettjei.
Kelt Brüsszelben, 2016. december 16-án.
a Bizottság részéről
Věra JOUROVÁ
a Bizottság tagja
(1) HL L 281., 1995.11.23., 31. o.
(2) ECLI:EU:C:2015:650.
(3) A Bizottság 2000. július 26-i 2000/520/EK határozata a 95/46/EK európai parlamenti és tanácsi irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott biztonságos kikötő adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről (HL L 215., 2000.8.25., 7. o.).
(4) A Schrems-ügyben hozott ítélet 40. és azt követő pontjai és 101-103. pontja.
(5) A Bizottság 2001. június 15-i 2001/497/EK határozata a 95/46/EK irányelv alapján a személyes adatok harmadik országokba irányuló továbbítására vonatkozó általános szerződési feltételekről (HL L 181., 2001.7.4., 19. o.).
(6) A Bizottság 2010. február 5-i 2010/87/EU határozata a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről (HL L 39., 2010.2.12., 5. o.).
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32016D2297 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32016D2297&locale=hu