Megsemmisítették azt a bizottsági határozatot, amely annak ellenére megengedte az adattovábbítást bizonyos amerikai cégeknek, hogy ott az NSA és az FBI simán hozzáférhet az adatokhoz. Elmagyarázzuk, miért fontos ez.
Mielőtt unottan legyintenél a címet olvasva, hogy már száz cikket olvastál a Facebookról meg az adatvédelemről, gondolj vissza arra, hogy mikor vásároltál utoljára a neten. És hogy ekkor el is olvastad-e az általános szerződési feltételeket és az adatvédelmi tájékoztatót, vagy csak kipipáltad a rubrikákat és már fizettél is?
Könnyen lehet pedig, hogy utóbbiban arról olvashattál volna, hogy az adataidat egy, valahol a világ másik végén bejegyzett cégnek is továbbítják, nemes egyszerűséggel partnerként hivatkozva rájuk.
(És itt ne csak a nevedre, címedre, bankkártyádra gondolj, de mondjuk arra is, hogy mit vásároltál, hol foglaltál szállást, milyen filmet néztél a Netflixen – mindez rengeteg dolgot elárul az érdeklődési körödről, anyagi helyzetedről, stb.)
Persze az EU eddig is igyekezett (legalább a látszat szintjén) biztosítani, hogy az EU-s polgárok adatai az EU-n kívül is biztonságban legyenek, de a csütörtökön közzétett európai bírósági ítélet szerint ezt még van hova javítani. Az EU-n kívüli, ún. harmadik országokba való adattovábbítást általánosan szabályozó bizottsági határozat ugyan érvényben marad, de a nemzeti adatvédelmi hatóságok ettől még vizsgálhatják, hogy adott harmadik országokban megfelelő-e az adatvédelmi szint, és kezdeményezhetik az oda való adattovábbítás megtiltását az Európai Adatvédelmi Testületnél.
Elmondjuk, miért.
1200 oldalnyi adat négy év alatt egy Facebook-felhasználóról
A konkrét ügy felperese, Max Schrems harca a Facebookkal nem ma kezdődött. Az osztrák jogász már 2012-ben kikérte a Facebooktól, hogy az milyen adatokat kezel róla: ekkor négy éve használta a közösségi oldalt, és meglepetésére
2013-ban aztán Edward Snowden kirobbantotta az NSA-botrányt, amely során kiderült, hogy az amerikai nemzetbiztonsági ügynökség amerikaiak és külföldiek millióinak adataihoz férhet hozzá.
Max Schrems pedig panaszt tett az ír adatvédelmi biztosnál (a Facebook európai leánycége Írországban van bejegyezve ugyanis), hogy tiltsa meg, hogy az ő személyes adatait ezek után a Facebook az USA-ba továbbítsa, hiszen ott azok nincsenek biztonságban. Az ügy előbb ír bíróság elé került, majd úgynevezett előzetes döntéshozatali eljárás keretében az Európai Bíróság elé került. Ilyen akkor történik, ha EU-s jogot is kell értelmezni egy ügyben, márpedig ekkor hatályban volt egy, az Európai Bizottság által kibocsátott határozat, amely azt mondta ki, hogy az adatvédelem USA-ban biztosított szintje az európai uniós előírásoknak megfelelő.
Ezt a megfelelőségi határozatot akkor megsemmisítette az Európai Bíróság, azonban nem meglepő módon gyorsan alkottak is helyette egy új, nagyon szabályrendszert, nehogy fennakadásokat okozzon, hogy nem lehet jogszerűen adatokat továbbítani az EU-ból az USA-ba. Így született meg az egészen mostanáig hatályban volt EU-USA „adatvédelmi pajzs”, ami egy olyan elvgyűjtemény, amelyhez önkéntesen csatlakozhatnak az amerikai adatkezelők.
A gond ezzel az volt, hogy
és igen ellentmondásosan fogalmaz a szöveg az amerikai tömeges adatgyűjtésről és megfigyelésről is: egyik cikkében kimondja, hogy tilos az Egyesült Államokban a tömeges, nem célzott adatgyűjtés, másutt viszont leszögezi, hogy ugyanez csak hat specifikus okból lehetséges, és csak az internetes kommunikáció egy kis részére vonatkozik – vagyis mégiscsak lehetséges.
Ennek az úgynevezett adatvédelmi pajzsnak az érvényesülését egyébként éves jelentésben monitorozta az Európai Bizottság, és mindezek ellenére még legiutóbb, tavaly ősszel is azt találták, hogy az USA továbbra is megfelelő adatvédelmi szintet biztosít az – időközben a GDPR-nak köszönhetően magasabb szintre emelt – európai uniós szabályokhoz képest.
Az Európai Bíróság másodszor is közbelép
Max Schrems ezek után egy újabb panaszt adott be, amely az ír bíróságok megjárása után ismét Luxembourgban, az Európai Unió Bírósága előtt kötött ki. A csütörtökön meghozott ítélet szerint ugyan általában nem tiltható meg a harmadik országokba való adattovábbítás, de ezt is felügyelniük kell a tagállami adatvédelmi biztosoknak. A kifejezetten az USA-ba való adattovábbításra vonatkozó „adatvédelmi pajzs” határozatot viszont megsemmisítette az Európai Bíróság két fő okra hivatkozva.
1. Nem felel meg az arányos jogkorlátozás követelményének az, hogy a külföldi hírszerzésre vonatkozó amerikai jogszabályokban nincsenek sem korlátai a hatóságok adatszerzésre vonatkozó felhatalmazásának, sem megfelelő garanciák a nem amerikai személyek számára,
2. A jogszabályi keret nem biztosít megfelelő jogorvoslati lehetőséget az érintetteknek, magyarul,
Jogorvoslatként egy ombudsmani intézmény szerepel ugyanis a szabályozásban, csakhogy ez az ombudsman az USA külügyminisztériumának szerves részét képezi, a külügyminiszter nevezi őt ki, így függetlennek nem mondható, ráadásul kötelező erejű határozatot egyébként sem hozhat.
Lehet-e most örülni?
A Max Schrems-vezette Noyb nevű adatvédelmi jogvédő szervezet úgy kommentálta az ítéletet, hogy
és az Európai Bíróság meghajlott az USA nyomása előtt. Azt is üdvözölték, hogy az európai adatvédelmi hatóságoknak figyelniük és vizsgálniuk kell, milyen az adatvédelmi helyzet azokban az országokban, ahová az EU-ból adatokat továbbítanak. Mint írták: ez azt is jelenti, hogy a Facebook, és más, amerikai hatósági megfigyelés alá eső cégek nem bújhatnak egyszerűen az általános szerződési feltételek mögé. A feltétlenül szükséges, és az ügyfél beleegyezésén alapuló (ezért is fontos, milyen ászf-eket pipálsz ki) adattovábbítások továbbra is folytatódhatnak.
Az ítélet tulajdonképpen azt jelenti: az USA ezentúl adattovábbítás szempontjából ugyanolyan harmadik országnak számít, mint bármely más, az EU-n kívüli ország, elveszítette a speciális státuszát – összegezte Schrems.
CÍMLAPMONTÁZS: Illés Gergő / Azonnali
Nem linkgyűjtemény. Olvasmány. A Reggeli fekete hétfőn, szerdán és pénteken jön, még reggel hét előtt – tíz baristából kilenc ezt ajánlja a kávéhoz!
Feliratkozásoddal elfogadod az adatkezelési szabályzatot.