EU Bíróság főtanácsadója: nem elegendő a Safe Harbor
Az amerikai vállalatok a Safe Harbor egyezményen keresztül férnek hozzá az európai polgárok adataihoz, ez teszi lehetővé, hogy az adatokat kivigyék az Unióból. Az Európai Unió Biróságának főtanácsnoka azonban álláspontjában leszögezi: a Safe Harbor érvénytelen - ez pedig hamarosan ítéletben is megjelenhet.
Nem elégíti ki az EU adatvédelmi direktíváját a Safe Harbor keretegyezmény - mondta ki az Európai Unió Bíróságának főtanácsnoka Yves Bot hivatalos állásfoglalásában. Az állásfoglalás szerint az keretrendszer az amerikai Nemzetbiztonsági Ügynökség (NSA) válogatás nélküli megfigyelési gyakorlata miatt nem felel meg az uniós szabályozásnak. A dokumentum nem ítélet, de a Bíróság döntése csak nagyon ritkán megy szembe a főtanácsnok hivatalos állásfoglalásával, így előrevetíti, hogy a Bíróság el fogja kaszálni a keretrendszert egy most folyó perben.
Az ügyet Maximillian Schrems osztrák állampolgár indította Írországban, amikor az ír adatvédelmi hatóság előtt panaszt tett. Schrems azt kifogásolta, hogy a Facebook által róla gyűjtött adatok, amelyekre a Safe Harbor keretegyezmény vonatkozik, nem részesülnek megfelelő védelemben, mivel azokhoz az amerikai kormányügynökség gyakorlatilag korlátozás nélkül hozzáfér. A panaszt az írországi hatóságok elutasították, Schrems ezt követően perre vitte az ügyet, az írországi bíróság pedig az Európai Unió Bírósága elé helyezte azt.
A hivatalos állásfoglalásról szóló sajtóközlemény szerint az írországi adatvédelmi hatóság hibásan járt el akkor, amikor az Európai Bizottság 2000-es döntésére hivatkozva elutasította a panaszt. A kérdéses döntés kimondja, hogy a Safe Harbor elegendő védelmet nyújt az uniós polgárok adatai számára, az állásfoglalás ezzel szemben határozottan kimondja, hogy a Bizottság kérdéses döntése nem írja felül a tagállami adatvédelmi hatóságok kontrollját, az ír hatóságnak tehát jogkörében van vizsgálni a kérdést.
A száraz és bonyolult kérdés tisztázásánál azonban nem áll meg az állásfoglalás, Bot konkrétan kimondja, hogy az Egyesült Államok adatgyűjtési gyakorlata nem csak az adatvédelmi irányelvvel, hanem az Európai Unió Alapjogi Chartájával is szembemegy, mivel a polgárok számára nem biztosít semmilyen jogi védelmet a válogatás nélküli adatgyűjtéssel szemben. Bot szerint sérül az arányosság elve is, a "válogatás nélküli tömeges adatgyűjtés" ugyanis eleve kizárja ennek lehetőségét is.
A fentiek alapján a Safe Harbort implementáló bizottsági döntés Bot szerint érvénytelen, mivel nem tartalmaz semmilyen garanciát az általános hozzáférés és a tömeges adatgyűjtés ellen. "Nincs független hatóság, amely ellenőrzini tudná az Egyesült Államokban az adatvédelmi elvek megsértését az olyan szereplők által, mint az Egyesült Államok biztonsági ügynökségei" - fogalmaz Bot.
Lássuk az elejétől
Az európai uniós adatvédelmi irányelv (EU 95/46/EC direktíva) kimondja az uniós állampolgárok személyes adataira vonatkozó illetve a magánéletet védő szabályozást. A szabályozás szerint a védett adatok kizárólag akkor hagyhatják el az EGT (Európai Gazdasági Térség) területét, ha a fogadó jogi környezet legalább olyan szintű védelmet nyújt, mint amit az irányelv megkövetel.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Az amerikai adatvédelmi gyakorlat a cégek önszabályozásán alapszik, vagyis általános törvényi védelme nincs a személyes adatoknak, a vállalatok gyakorlatilag bármit megtehetnek a rájuk bízott információval, az egyetlen komolyan vett feltétel, hogy saját adatvédelmi szabályzatot kell közzétenniük és azt be is kell tartaniuk (annak tartalmára vonatkozóan azonban érdemi megkötések nincsenek).
A két rendszer tehát mélyen inkompatibilis, ezt hivatott áthidalni a Safe Harbor keretegyezmény. Ez lehetővé teszi, hogy az amerikai vállalatok, amelyek európai polgárok adatait szeretnék kezelni, nyilatkozatot tegyenek arról, hogy betartják az uniós adatvédelmi irányelvet, így jogosulttá válnak az adatkezelésre. Ehhez a cégeknek vállalniuk kell, hogy a Safe Harbor hét elvét betartják, így például informálják a felhasználót az adatgyűjtésről és -feldolgozásról, ésszerű lépéseket tesznek az adatok védelméért, stb. A nyilatkozatot 12 havonta meg kell újítani - ezen felül azonban más kötelezettséggel a cégek nem rendelkeznek.
Fontos részleg, hogy Bot álláspontja nem a Bíróság döntése, az ügyben eljáró bírák azonban figyelembe fogják venni, és valószínűsíthető, hogy részben vagy egészében el is fogadják azt. A legfontosabb kérdés, hogy milyen erősségű lesz ez az ítélet, tényleg kimondja-e a Bizottság döntésének semmisségét, vagyis kimondja-e a Safe Harbor érvénytelenségét. Ha igen, azzal még nem lesz az európai Facebooknak vége, de attól a ponttól az amerikai cégeknek kimondottan az EU-s direktíva alapján kell majd felhasználói adatokat kezelniük, ami igen komoly váltás lenne a legtöbbjük számára.
Következmények lesznek
Az Egyesült Államok közben újabb fontos tabuk ledöntésére készül a nemzetközi adatvédelemben. Az Obama-kormányzat álláspontja szerint az amerikai vállalatok kontrollja alatt lévő adatokhoz az amerikai bíróságok korlátlan hozzáféréssel rendelkeznek, így bekérhetnek olyan adatokat is, amelyeket nem az Egyesült Államok területén lévő szervereken tárolnak a cégek. Az ügy úgy került fókuszba, hogy a Microsoft megtagadta egy írországi adatközpontjában tárolt emailek kiadását egy bűnügyi perben, arra hivatkozva, hogy azok nem az amerikai törvények hatálya alatt állnak. A kormányzat álláspontja szerint egyébként ez nem csak az amerikai illetőségű, hanem minden, az Egyesült Államokban tevékenységet végző cégre igaz. Az ügyről részletesebben itt írtunk.