:

Szerző: Gálffy Csaba

2015. október 6. 11:32

Elkaszálta a Safe Harbort a bíróság

Nem okozott meglepetést az Európai Unió Bírósága, ítéletében elkaszálta az Safe Harbor egyezményt, ezzel megszüntette az amerikai cégek lehetőségét arra, hogy Európából Amerikába vigyék át a felhasználói adatokat.

Teljesen eltörölte az Európai Bizottság által 2000-ben kiadott Safe Harbor döntést az Európai Unió Bírósága. Ezzel az amerikai cégeknek nincs többé lehetőségük arra, hogy az uniós polgárok adatait fizikailag kivigyék az európai jog hatálya alól. A döntés hatásai egyelőre beláthatatlanok, a legtöbb jogi osztály most fogalmazza állásfoglalását a kérdésben. A döntést nem a cégek viselkedése, hanem az amerikai jogi környezet (és leginkább a PATRIOT Act) indokolta, amely a nem-amerikai állampolgárok adatai számára semmilyen védelmet nem biztosít a korlátlan kormányzati adatgyűjtés elől.

A történet eddig

Foglaljuk össze röviden, hogy mi a Safe Harbor és miért olyan nagyon fontos. Az EU adatvédelmi irányelve szerint az Unió területét (illetve az uniós szabályozás védőernyőjét) a polgárok személyes adatai csak akkor hagyhatják el, ha a fogadó ország szabályozása legalább azonos minőségű adatvédelmet biztosít. A direktíva ebben a formájában megakadályozta volna az EU-s adatok kivitelét az Egyesült Államokba, a két fél azonban létrehozott egy konstrukciót, amely áthidalja a problémát: azok a cégek, amelyek önkéntesen alávetik magukat egy hét pontból álló szabályozásnak és vállalják azok betartását. Ezt egyébként semmilyen szervezet nem ellenőrzi, az egyértelmű szabályszegésen kapott cégeket pedig az amerikai hatóságok szokták figyelmeztetésben részesíteni (büntetést, vagy az adatkezelési jog megvonását még egyetlen esetben sem szabták ki).

A fenti mechanizmust az Európai Bizottság 2000-ben hozott döntése deklarálta kompatibilisnek az uniós adatvédelemmel. Ez a döntés nyilvánítja hivatalosan elfogadhatónak a Safe Harbort, ettől a ponttól fogva kezelhetik jogszerűen a programban részt vevő és nyilatkozatot tevő amerikai cégek az európai polgárok adatait. Ugyan a Safe Harbort a szakma nevetségesen vékony, semmilyen visszatartó erővel nem bíró mechanizmusnak tartja, több, mint 15 évig ez nyújtott jogi lehetőséget az amerikai cégek adatgyűjtésére és -feldolgozására.

A Snowden-féle szivárogtatások és az amerikai kormányügynökségek PRISM néven futó tömeges, válogatás nélküli adatgyűjtési programja azonban felborította ezt a bizalmat, és alapot adott a keretrendszer elleni első komolyabb támadásnak is. Ezt egy fiatal osztrák jogász hallgató, bizonyos Maximillian Schrems indította, az ír adatvédelmi hatóságnál tett panaszt a Facebooknál tárolt adatok védelmével kapcsolatban (az európai Facebook Írországból üzemel, ezért az ír hatóság az illetékes). A panaszt a Bizottság fenti határozatára hivatkozva azonban elutasította, annak tartalmi vizsgálata nélkül - mondván, a nemzeti hatóság nem bírálhatja felül a Bizottság deklarációját. Schrems ezt követően vitte bíróság elé az ügyet, az ír igazságszolgáltatás pedig az Európai Unió Bíróságától kért segítséget, ebben született meg most az ítélet.

Teljes kasza

Az Európai Unió Bírósága most tette közzé ítéletét, ebben pedig nemes egyszerűséggel hatályon kívül helyezte az Európai Bizottság Safe Harbor döntését. A bíróság gyakorlatilag teljes mértékben elfogadta a főtanácsnok korábban közzétett állásfoglalását, és kimondta, hogy a Safe Harbor keretrendszer egyáltalán nem felel meg az uniós normáknak, az adatok egyáltalán nem részesülnek abban a védelemben, ami az uniós polgárokat megilletné. A döntés az ír adatvédelmi hatóságnak is kioszt egy szimbolikus pofont, mivel a nemzeti hatóságoknak igenis kötelességük lenne vizsgálni az ilyen panaszokat.

A nagyobb pofont persze a Bizottság kapta, a bíróság ugyanis kimondja: a Bizottság úgy nyilvánította elfogadhatónak a Safe Harbor által nyújtott védelmet, hogy nem vizsgálta meg az amerikai jogi környezetet. A Safe Harbor ugyanis az adatkezelőkre vonatkozóan ugyan tartalmaz megkötéseket, az amerikai hatóságokra vonatkozóan azonban egyáltalán nem. Ebből eredően pedig a hatóságok folytathattak olyan gyakorlatot, amely megsérti az uniós polgárok alapjogait.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ez utóbbit egyébként a Bizottság is elismerte a Snowden-szivárogtatás kapcsán kiadott kommünikéjében, 2013-ban. A szöveg, amelyet a bíróság is felhasznált az ítélet indoklásában, kimondja, hogy az uniós állampolgárok semmilyen védelmet nem élveztek az amerikai hatóságok adatgyűjtésével szemben, az adatgyűjtés mértéke pedig messze túlmutatott azon, amit nemzetbiztonsági indokok mentén feltétlenül szükségesnek lehet ítélni.

A legfontosabb mondat, hogy a Bíróság a Bizottság 2000-es döntését érvénytelennek nyilvánítja, ezzel megszünteti a Safe Harbor keretrendszert. Ez a döntés végleges, jogerős, fellebbezésnek nincs helye. Az adott ügyben pedig Schrems panaszát visszaküldi az írországi adatvédelmi hatóságnak, és utasítja azt, hogy teljes körültekintéssel vizsgálja meg a panaszt és hozzon döntést, a Facebook európai felhasználói részesülnek-e az uniós irányelvnek megfelelő adatvédelemben, és az irányelvnek megfelelően fel kell-e függeszteni az adatok kivitelét az EU területéről az Egyesült Államokba. A választ majd az írek hozzák meg, a Safe Harbor likvidálásával azonban nem lehet kétség, hogy az adatok nem vihetőek ki.

A bíróság döntése a Snowden-botrány megítélése kapcsán is fontos mérföldkő. A volt hírszerzési munkatárs szivárogtatása igen megosztó az Egyesült Államokban, az ilyen döntések azonban legitimálják Snowden döntését a titkos, tömeges, válogatás nélküli adatgyűjtés nyilvánosságra hozataláról.

Sakk-matt

A bíróság döntése szemernyi kétséget sem hagy, jelen pillanatban az amerikai szabályozási környezet teljességgel inkompatibilis az uniós irányelvvel és az alapjogokkal is. Eszerint az európai polgárok adatai nem kerülhetnek amerikai szerverekre, amerikai adatközpontokba - bárhová, ahol az amerikai hatóságoknak lehetőségük van azokba az EU-s joggal ellentétes módon betekinteni. A döntés rövid és hosszú távú következményei is beláthatatlanok, az írországi adatvédelmi hatóság döntéséig hátralévő néhány hétben várhatóan minden szereplő tisztázni fogja az implementálandó új gyakorlatot.

"A mai döntés különösen érdekes a hamarosan élesedő TTIP (Transatlantic Trade and Investment Partnership) tárgyalások fényében, ugyanis az USA és EU között a szolgáltatások szabad áramlásának egyik legfőbb akadálya éppen a magánszféra védelméről vallott eltérő felfogás. Ez az egyik legnagyobb kérdés a most készülő uniós adatvédelmi szabályozás, a GDPR (General Data Protection Regulation) kialakítása során is. A Safe Harbor elv elutasítása tehát újabb megoldandó feladat elé állíthatja azokat, akik a megállapodás széleskörű kiterjesztéséért küzdenek." - mondta el kérdésünkre az Explico, az amerikai cégek közép-európai piacra lépésében segítő tanácsadó cég.

"A Safe Harbor elv alkalmazhatósága az unióban fontos szerepet tölt be az amerikai cégek terjeszkedésében, akik eddig igen gyakran támaszkodtak erre az alapelvre az adatkezeléseik során. A legtöbb uniós intézmény és adatvédelmi hatóság szerint azonban a Safe Harbor nem biztosítja a személyes adatok megfelelő védelmét, ráadásul erősen korlátozza az adatvédelmi hatóságok hatáskörét és beavatkozási lehetőségét. Ezért a fokozottabb védelem (privacy) támogatói  már korábban is szorgalmazták a Safe Harbor elvet megerősítő korábbi európai bizottsági döntés hatályon kívül helyezését. Ebben pedig fontos szerepe lesz a mostani ítéletnek. Nem véletlen, hogy az ügyet és a mostani döntést ilyen nagy figyelem kíséri." - tették hozzá.

A döntésre még sem az Egyesült Államok, sem az Európai Bizottság, sem a Facebook, sem az írországi adatvédelmi hatóság nem reagált hivatalosan.

a címlapról