Az Európai Bíróság megint megtiltotta, hogy a Facebook csak úgy adatokat továbbítson az USA-ba

Szerző: Bakó Bea
2020.07.16. 15:54

Megsemmisítették azt a bizottsági határozatot, amely annak ellenére megengedte az adattovábbítást bizonyos amerikai cégeknek, hogy ott az NSA és az FBI simán hozzáférhet az adatokhoz. Elmagyarázzuk, miért fontos ez.

Az Európai Bíróság megint megtiltotta, hogy a Facebook csak úgy adatokat továbbítson az USA-ba

Mielőtt unottan legyintenél a címet olvasva, hogy már száz cikket olvastál a Facebookról meg az adatvédelemről, gondolj vissza arra, hogy mikor vásároltál utoljára a neten. És hogy ekkor el is olvastad-e az általános szerződési feltételeket és az adatvédelmi tájékoztatót, vagy csak kipipáltad a rubrikákat és már fizettél is?

Könnyen lehet pedig, hogy utóbbiban arról olvashattál volna, hogy az adataidat egy, valahol a világ másik végén bejegyzett cégnek is továbbítják, nemes egyszerűséggel partnerként hivatkozva rájuk.

Nem kell ahhoz feltétlenül Facebook, hogy az adataid olyan cégek kezelésébe kerüljenek, amelyekre már nem vonatkoznak az EU viszonylag szigorú adatvédelmi szabályai.

(És itt ne csak a nevedre, címedre, bankkártyádra gondolj, de mondjuk arra is, hogy mit vásároltál, hol foglaltál szállást, milyen filmet néztél a Netflixen – mindez rengeteg dolgot elárul az érdeklődési körödről, anyagi helyzetedről, stb.)

Persze az EU eddig is igyekezett (legalább a látszat szintjén) biztosítani, hogy az EU-s polgárok adatai az EU-n kívül is biztonságban legyenek, de a csütörtökön közzétett európai bírósági ítélet szerint ezt még van hova javítani. Az EU-n kívüli, ún. harmadik országokba való adattovábbítást általánosan szabályozó bizottsági határozat ugyan érvényben marad, de a nemzeti adatvédelmi hatóságok ettől még vizsgálhatják, hogy adott harmadik országokban megfelelő-e az adatvédelmi szint, és kezdeményezhetik az oda való adattovábbítás megtiltását az Európai Adatvédelmi Testületnél.

A kifejezetten amerikai cégekre, többek közt a Facebookra is vonatkozó „adatvédelmi pajzs” határozatot viszont megsemmisítette az Európai Bíróság, ráadásul ez borítékolható is volt.

Elmondjuk, miért.

1200 oldalnyi adat négy év alatt egy Facebook-felhasználóról

A konkrét ügy felperese, Max Schrems harca a Facebookkal nem ma kezdődött. Az osztrák jogász már 2012-ben kikérte a Facebooktól, hogy az milyen adatokat kezel róla: ekkor négy éve használta a közösségi oldalt, és meglepetésére

egy 1200 oldalas pd-fet kapott, amiben benne voltak a törölt üzenetváltásai és törölt posztjai is, valamint az összes hely és IP-cím, ahonnan valaha bejelentkezett.

2013-ban aztán Edward Snowden kirobbantotta az NSA-botrányt, amely során kiderült, hogy az amerikai nemzetbiztonsági ügynökség amerikaiak és külföldiek millióinak adataihoz férhet hozzá.

Max Schrems pedig panaszt tett az ír adatvédelmi biztosnál (a Facebook európai leánycége Írországban van bejegyezve ugyanis), hogy tiltsa meg, hogy az ő személyes adatait ezek után a Facebook az USA-ba továbbítsa, hiszen ott azok nincsenek biztonságban. Az ügy előbb ír bíróság elé került, majd úgynevezett előzetes döntéshozatali eljárás keretében az Európai Bíróság elé került. Ilyen akkor történik, ha EU-s jogot is kell értelmezni egy ügyben, márpedig ekkor hatályban volt egy, az Európai Bizottság által kibocsátott határozat, amely azt mondta ki, hogy az adatvédelem USA-ban biztosított szintje az európai uniós előírásoknak megfelelő.

AZ ÜGYET ELINDÍTÓ MAX SCHREMS. FOTÓ: NOYB / FACEBOOK

Ezt a megfelelőségi határozatot akkor megsemmisítette az Európai Bíróság, azonban nem meglepő módon gyorsan alkottak is helyette egy új, nagyon szabályrendszert, nehogy fennakadásokat okozzon, hogy nem lehet jogszerűen adatokat továbbítani az EU-ból az USA-ba. Így született meg az egészen mostanáig hatályban volt EU-USA „adatvédelmi pajzs”, ami egy olyan elvgyűjtemény, amelyhez önkéntesen csatlakozhatnak az amerikai adatkezelők.

A gond ezzel az volt, hogy

nem oldotta meg azt az alapvető problémát, hogy hiába csatlakozik egy cég ehhez az elvgyűjteményhez, az amerikai jogszabályok alapján továbbra is hozzáférhet például az FBI-nak vagy az NSA a cég által kezelt adatokhoz,

és igen ellentmondásosan fogalmaz a szöveg az amerikai tömeges adatgyűjtésről és megfigyelésről is: egyik cikkében kimondja, hogy tilos az Egyesült Államokban a tömeges, nem célzott adatgyűjtés, másutt viszont leszögezi, hogy ugyanez csak hat specifikus okból lehetséges, és csak az internetes kommunikáció egy kis részére vonatkozik – vagyis mégiscsak lehetséges.

Ennek az úgynevezett adatvédelmi pajzsnak az érvényesülését egyébként éves jelentésben monitorozta az Európai Bizottság, és mindezek ellenére még legiutóbb, tavaly ősszel is azt találták, hogy az USA továbbra is megfelelő adatvédelmi szintet biztosít az – időközben a GDPR-nak köszönhetően magasabb szintre emelt – európai uniós szabályokhoz képest.

Az Európai Bíróság másodszor is közbelép

Max Schrems ezek után egy újabb panaszt adott be, amely az ír bíróságok megjárása után ismét Luxembourgban, az Európai Unió Bírósága előtt kötött ki. A csütörtökön meghozott ítélet szerint ugyan általában nem tiltható meg a harmadik országokba való adattovábbítás, de ezt is felügyelniük kell a tagállami adatvédelmi biztosoknak. A kifejezetten az USA-ba való adattovábbításra vonatkozó „adatvédelmi pajzs” határozatot viszont megsemmisítette az Európai Bíróság két fő okra hivatkozva.

1. Nem felel meg az arányos jogkorlátozás követelményének az, hogy a külföldi hírszerzésre vonatkozó amerikai jogszabályokban nincsenek sem korlátai a hatóságok adatszerzésre vonatkozó felhatalmazásának, sem megfelelő garanciák a nem amerikai személyek számára,

ez pedig eleve kizárja, hogy az Európai Unió Alapjogi Chartájának megfelelő védelmi szintnek lehessen nevezni az ilyen jogi helyzetet.

2. A jogszabályi keret nem biztosít megfelelő jogorvoslati lehetőséget az érintetteknek, magyarul,

ha visszaélnek egy uniós polgárnak az amerikába továbbított adataival, nincs hatékony lehetősége ez ügyben panaszt tenni vagy pert indítani.

Jogorvoslatként egy ombudsmani intézmény szerepel ugyanis a szabályozásban, csakhogy ez az ombudsman az USA külügyminisztériumának szerves részét képezi, a külügyminiszter nevezi őt ki, így függetlennek nem mondható, ráadásul kötelező erejű határozatot egyébként sem hozhat.

Lehet-e most örülni?

A Max Schrems-vezette Noyb nevű adatvédelmi jogvédő szervezet úgy kommentálta az ítéletet, hogy

az Európai Bíróság most mondta ki hangosan, hogy elkerülhetetlen a megfigyelési szabályok reformja az Egyesült Államokban,

és az Európai Bíróság meghajlott az USA nyomása előtt. Azt is üdvözölték, hogy az európai adatvédelmi hatóságoknak figyelniük és vizsgálniuk kell, milyen az adatvédelmi helyzet azokban az országokban, ahová az EU-ból adatokat továbbítanak. Mint írták: ez azt is jelenti, hogy a Facebook, és más, amerikai hatósági megfigyelés alá eső cégek nem bújhatnak egyszerűen az általános szerződési feltételek mögé. A feltétlenül szükséges, és az ügyfél beleegyezésén alapuló (ezért is fontos, milyen ászf-eket pipálsz ki) adattovábbítások továbbra is folytatódhatnak. 

Az ítélet tulajdonképpen azt jelenti: az USA ezentúl adattovábbítás szempontjából ugyanolyan harmadik országnak számít, mint bármely más, az EU-n kívüli ország, elveszítette a speciális státuszát – összegezte Schrems.

CÍMLAPMONTÁZS: Illés Gergő / Azonnali

Bakó Bea
Bakó Bea az Azonnali alapító-főszerkesztője

EU-jogász. 2021 márciusa óta anyasági szabadságon.

olvass még a szerzőtől

Tetszett a cikk?

Az Azonnali hírlevele

Nem linkgyűjtemény. Olvasmány. A Reggeli fekete hétfőn, szerdán és pénteken jön, még reggel hét előtt – tíz baristából kilenc ezt ajánlja a kávéhoz!

Feliratkozásoddal elfogadod az adatkezelési szabályzatot.

Kommentek