Mi lesz a “Privacy shield”-del (avagy hogyan és meddig mehet adat az USA-ba)?

Tudvalévő, hogy az internetes platformok, szociális hálók zömét amerikai cégek birtokolják vagy üzemeltetik. Sokan gondolkodás nélkül megadják nekik adataikat, mások aggódnak, vagy legalább óvatosak. Közben Snowden szépen kiszivárogtatott egy csomó információt az USA hatóságainak tevékenységéről, többek között arról, hogy nemzetbiztonsági céllal tömegesen gyűjtenek be adatokat ezektől a tech-cégektől.




Az aggódók ügyét vállalta fel “modern Robin Hood-ként” egy osztrák joghallgató, Maximilian Schrems, még az Általános Adatvédelmi Rendelet előtti időkben. Első csatáját megnyerte, most harcba indult a romokon felépült új védelmi vonalak ellen.

Na de mi is történt valójában, és mit jelent ez az egyszerű Facebook-felhasználó számára?

Az EU 1995 óta veszi komolyan személyes adataink védelmét, akkorról datálódik az adatvédelmi irányelv, amelyet még minden tagállamnak át kellett ültetnie saját jogrendjébe. Ez az irányelv, illetve az azt átültető jogszabályok nem vonatkoztak az EU lakosainak adatait kezelő külföldi cégekre (így az amerikai Facebookra sem), de megszabták, hogy mikor adhatók át számukra személyes adatok (az új Általános Adatvédelmi Rendelet már mindenkire vonatkozik, aki EU-lakosok személyes adatait kezeli). A Facebook európai cégének székhelye pedig Írországban van, míg az adatok feldolgozását az amerikai cég végzi, és annak adott ezért át adatokat. Ennek azonban már az irányelv is szigorú feltételeket szabott. Az egyik lehetőség, hogy a célországban az európaival egyenértékű védelemben részesülnek személyes adataink, beleértve a jogi eljárások lehetőségét is a szabályok ellen vétőkkel szemben. Ezt az egyenértékűséget elismerni pedig az Európai Bizottság joga. Az Egyesült Államokra nincs ilyen általános érvényű elismerés, viszont volt egy program, az amerikai Kereskedelmi Minisztérium kezelésében, és amely cégek ebbe regisztráltak és teljesítették a feltételeket, azok egyenértékű védelmen nyújtónak számítottak és részükre átadhatók voltak az adatok.

Schrems a Snowden-féle leleplezésekre hivatkozva azt kérte a bíróságtól, hogy semmisítse meg a Bizottság ezen döntését (a “Safe harbour”, biztonságos kikötő rendszerét), mert tényszerűen nem biztosítható a személyes adatok védelme, tömeges és válogatás nélküli adatgyűjtés folyik, amellyel szemben az érintett személyeknek nincs módjuk eredményesen jogilag fellépni. Az Európai Bíróság, amely elé az ügy végül került, meg is semmisítette a rendszert. Természetesen vannak más megoldások is, hiszen szükséges lehet adatokat átadni olyan országokba is, amelyekre még nincs egyenértékűség megállapítva. Ezek jogilag kikényszeríthető egyedi eszközök: megállapodások, szabályzatok stb. Ezeket hirtelen tömegével nem lehetett volna létrehozni, ráadásul akik standardizált szolgáltatásokat (mint tömeges levélküldő rendszerek vagy felméréseket készítő rendszerek) használtak, nem tudták volna elérni, hogy ezen szolgáltatók mondjuk egyedi szerződéseket kössenek velük.

Ezért gyorsan tárgyalások kezdődtek az EU és az USA között, és meg is született egy olyan megállapodás, a “Privacy shield”, vagyis a magánszférát védő “pajzs”, ahol már az amerikai állam is vállalt kötelezettségeket.

A Facebook tehát továbbra is átküldhette adatainkat Amerikába – különben leállt volna a szolgáltatás, egyrészt mert Európában nincs kielégítő kapacitás a feldolgozásra, másrészt az európai adatok “elszigetelésével” megszűntek volna az európai felhasználók kapcsolatai az Európán kívüliekkel.

Schrems pedig ismét harcba indult. Nem általában a Faceboook valóban kétséges adatkezelési gyakorlata ellen, hanem csak azért, hogy az adatok Európában maradjanak.



Közben életbe lépett az EU új Általános Adatvédelmi Rendelete, amely pontosabban fogalmazta meg az adatátadás feltételeit, és új lehetőségeket adott (igen, nem mindenben szigorúbb az új rendelet, de a feltételek jobban meghatározottak) az átadásra. Az USA kormánya adatokat kért – nem általában, hanem konkrét bűnesetek, köztük egy adócsalás felderítéséhez – mind a Microsoft-tól, mind a Google-tól. Mindketten tiltakoztak azon az alapon, hogy az adatok nem az USÁ-ban vannak, és így nem kötelesek átadni. Mindkét ügy amerikai bíróság elé került, a Microsoft nyert, mert azt nyilatkozta, hogy az adatok konkrétan Európában vannak, a Google vesztett, mert arra hivatkozott, hogy az adatok a “felhőben” (vagyis az interneten összekötött szerverek valamelyikén) vannak és nem biztos, hogy Amerikában. A Microsoft ügy a Legfelső Bíróságon landolt és úgy tűnt, hogy (a republikánusok az eddig kiegyensúlyozott erőviszonyokhoz képest Trump két kinevezésével döntő fölénybe kerültek) a Microsoftnak nincs sok esélye. A gordiuszi csomót a kongresszus vágta át: március 21-én a költségvetési csomag részeként (nem hungarikum a salátatörvény?) megszavazták a „CLOUD act”-ot, amely lehetővé teszi az USA hatóságainak, bizonyos garanciák mellett, hogy az Egyesült Államokon kívül tárolt adatokat is megkapjanak, ugyanakkor az Amerikában tárolt adatokhoz is hozzáférést biztosít külföldi hatóságok számára – csak bűnüldözés céljaira.

Amikor Schrems ismét kifogásolta, hogy adatai Amerikába kerültek át, ez utóbbiról még nem tudott. Ki akart viszont használni egy új lehetőséget, amelyet az új adatvédelmi rendelet hozott létre: hogy magánszemélyek egy csoportjának nevében, nem csak a sajátjában indítson pert. Ezt elutasították, mert miután egy szervezetet hozott létre, cikkeket ír és előadásokon szerepel az ügyével, nem tekinthető már kizárólag magánszemélynek. A Facebook is bevetett egy trükköt: megpróbálta elérni, hogy az ír bíróság, amelynél az ügy elindult, ne kérhesse az Európai Bíróság állásfoglalását. Ezt meg ők bukták el, és július 9-én már sor is került a meghallgatásra (miután itt az eljáró bíróság kér véleményt az Európai Bíróságtól, nem tárgyalásnak nevezik).

A per során az is kiderült, hogy miután a Faceboook tudta, hogy Schrems meg fogja támadni a “Privacy shield”-et, a Facebook két cége, az amerikai és az ír, szerződést kötött egymással, a Bizottság által jóváhagyott feltételekkel (már az irányelv is lehetővé tette, hogy általános szerződési feltételeket hagyjanak jóvá az adatátadásra).



Schrems szerint a szerződés a valós amerikai gyakorlat fényében nem betartható, ezért kéri az adatátadás törvénytelenné nyilvánítását. Eredeti indítványában még a “Privacy shield” érvénytelenné nyilvánítását is kérte, azon feltételezés alapján, hogy ez az adatátadás jogi alapja. A Bíróságnak még most is joga van ezt akkor is megtenni, ha a konkrét tranzakció hivatkozási alapja nem ez.

Schrems ugyan azt nyilatkozta, hogy nem az általános feltételeket vagy a “Privacy shield”-et akarja megsemmisíttetni, de jogi képviselője ezt is indítványozta a meghallgatást során. Schrems szerint viszont az a kérdés (ahogy az első ügyben is ez volt), hogy az ír adatvédelmi hatóságnak elég-e arra hivatkoznia, hogy a Facebook egy, a rendelet szerint elfogadható megoldásra alapítja az adatok átadását, vagy pedig vizsgálhatja ezen megoldások konkrét alkalmazhatóságát, illetve tényleges alkalmazását. Ellenfelei szerint az általános feltételek elegendő biztosítékot nyújtanak, nincs szükség további vizsgálatokra. Ha a Bíróság ezt elfogadja, csak a feltételek konkrét megsértése esetén lehetne kifogást emelni.

Kérdés még, hogy mint ahogy az adatvédelmi rendelet megfogalmaz kivételeket, amikor az adatvédelmi jogok korlátozhatóak például nemzetbiztonsági megfontolásból, az USA nemzetbiztonsági érdekeit lehet-e figyelembe venni, amikor azt ítélik meg, hogy kellő védelemben részesülnek-e az EU polgárainak adatvédelmi jogai. Ez most, a CLOUD act fényében még fontosabb lesz.

Az ügyben először az Európai Bíróság egyik “főügyésze” (aki nem a vádat képviseli, hanem szakvéleményt ad – a Bíróság véleményt mond az EU-jog értelmezéséről, nem a konkrét pert dönti el, az eljárás hivatalos neve is egyébként “előzetes döntéshozatal iránti kérelem”) tesz javaslatot a vita eldöntésére, majd a Bíróság határoz. Az esetek nyolcvan százalékában az ítélet követi a főügyész javaslatát, és az adatvédelemben specializált főügyészek igencsak jó szakemberek. Amennyiben Schrems nyer, az adatvédelmi hatóságok jogköre tovább erősödik, és komoly feladatot kapnak – ezzel együtt nagyobb jelentőségre fog szert tenni a szintén az új Általános Adatvédelmi Rendelet által létrehozott nemzetközi (EU-n belüli) egyeztetési mechanizmus.

Szabó S. László

(Kiemelt kép: Maximilian Schrems)