A Safe Harbor érvénytelenítése nem a világvége?
Akadnak alternatív lehetőségek is, ráadásul az EU-s adatvédelmi irányelv miatt jogbizonytalanságról sincs szó. Megjöttek az első reakciók az elmarasztaló döntésre.
Miután az Európai Unió Bírósága jogerős, megfellebbezhetetlen döntésében érvénytelennek nyilvánította és így megszüntette az EU és az Egyesült Államok között másfél évtized óta hatályban lévő Safe Harbor adatkezelési keretrendszert, látszólag "kitört a pánik" (már ha a nagyobb hírportálok címeit és interpretációit nézzük).
Pedig a Safe Harbor messze nem az egyetlen védelmi háló az amerikai illetőségű cégeknek az uniós polgárok adatainak kezelésére, az előrelátóbbak az elmúlt években úgy módosították adatkezelési nyilatkozataikat és tényleges gyakorlataikat, hogy azok az érvénytelenített egyezmény erőtlen feltételein felül az EU adatvédelmi irányelveinek is megfeleljenek. A legjobb példa erre talán a Microsoft hivatalos reakciója a bírósági döntésre, amiben a redmondi vállalat egyértelműen leírja, hogyan és miként felel meg a Safe Harboron túl is az EU-s előírásoknak.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A Microsoft már európai "felhős terjeszkedése" kezdetén, 2011-ben elkezdte jogilag és műszakilag is implementálni az európai adatvédelmi irányelveket és ajánlott szerződéses kitételeket ("EU Model Clauses"), utóbbiakat pedig tavaly óta felhős szolgáltatásaihoz kapcsolódó szerződései alapvető részévé is tette. A cég természetesen hivatalos EU-s állásfoglalást is szerzett az implementáció megfelelőségéről az európai adatvédelmi hatóságok munkacsoportjától (Article 29 Working Party), valamint idén a Nemzetközi Szabványügyi Szervezet (International Standard Organization, ISO) által kiadott, a nyilvános felhőkben tárolt személyes adatok kezelésére vonatkozó (ajánlott) szabványt is implementálta.
A cég több mint száz adatközpontot működtet világszerte, messze nem csak az ideális terheléselosztás miatt - így ugyanis az egyes országok vagy régiók, az amerikainál jóval szigorúbb adatvédelmi szabályozásainak is meg tud felelni. A Microsoft a titkosítás alkalmazási körét is jelentősen szélesítette, és csak az adott régióra vonatkozó szabályoknak megfelelő jogi procedúrák lefolytatása után ad ki adatot erre feljogosított állami intézményeknek. Ezeknek a lépéseknek egyébként nem hogy az amerikai, de még európai (nemzet)biztonsági szervek sem örülnek, az elmúlt hónapokban az Europol és a brit titkosszolgálat valamint rendőrség vezetői is nyilvánosan bírálták az IT vállalatok szigorúbb adatvédelmi gyakorlatát.
Az ügynek alapot adó Facebook egyelőre csak egy szűkszavú közleményben reagált a döntésre. A vállalat szerint "Ez az ügy nem a Facebookról szól. Maga a bíróság főtanácsnoka (general advocate) is azt mondta, hogy a Facebook semmi rosszat nem tett. Itt az európai jogrendszer transzatlanti adatkezelést lehetővé tévő mechanizmusa a tét. A Facebbok, ahogy több ezer másik amerikai cég, a Safe Harboron túl számos EU-s jogi előírásra támaszkodik, hogy Európából legálisan vigyen át adatot az Egyesült Államokba. Szükségszerű, hogy az EU és az Egyesült Államok kormányai továbbra is biztosítsanak egy megbízható módot a legális adatátvitelre és [közben] kezeljék a nemzetbiztonsági kockázatokat."
Az Amerikai Kereskedelmi Kamara uniós képviselete szerint a döntés "veszélyeztetheti az EU gazdasági felépülését és negatívan hathat a Bizottság egységes európai digitális piac létrehozását célzó törekvésére."
Jogi fekete lyuk? Dehogy
A Politico adatai szerint az Európai Unióban mintegy négy és félezer olyan amerikai illetőségű cég működik, mely napi működésében erősen támaszkodik (támaszkodott) a Safe Harbor adta lehetőségekre. A megegyezés hatályon kívül helyezésével a bíróság az egyes tagállamok adatvédelmi szerveinek kezébe adta a hatalmat, ez pedig első látásra szabályozási rémálomhoz vezethetne, ha az EU és az Egyesült Államok nem tudna újra egy átfogó, minden tagállamra is érvényes keretmegállapodást nyélbe ütni.
A döntést eddig hivatalosan vagy közvetetten kommentáló cégek ettől tartanak a legjobban, megemlítve, hogy az európai (digitális) piacon esetenként mennyire nehéz zöldágra vergődni – gondoljunk csak például a szerzői jogokra, melyek egységes európai szabályozása sikeresen gátolja a videós streaming szolgáltatások itteni terjedését. Az adatvédelem tekintetében azonban pont nem így van, hiszen létezik egységes uniós adatvédelmi irányelv, így itt a szabályozás minden EU-s országban egyértelmű a Safe Harbor hiányában is: amíg az Egyesült Államok nem biztosít az EU-ssal legalább azonos szintű adatvédelmet, addig az uniós polgárok személyes adatai csak külön, explicit megegyezés után hagyhatják el az európai "jogteret". Erre pedig – ismerve a téma érzékenységét – aligha akad majd példa.