Stabil a transzatlanti adatexport
Gyakorlatilag háborút robbantott ki az uniós csúcsszervek között az Schrems-döntés. A következményekkel minden szereplő elkezdett foglalkozni, a Bizottság és az adatvédelmi hatóságokat tömörítő uniós munkacsoport is állást foglalt.
Januárig adott határidőt az európai adatvédelmi hatóságok fóruma (Article 29 Working Party) az EU és az Egyesült Államok vezetésének arra, hogy a Safe Harbor utódját tető alá hozzák. Erre az időszakra gyakorlatilag moratóriumot hirdettek az egyes nemzeti hatóságok, nem fogják a transzatlanti adattranszfert büntetni, három hónap múlva azonban indulhatnak a vizsgálatok. A Bizottság erre adott válaszában arra hívja fel a figyelmet, hogy a "Safe Harbor 2.0" nélkül is van lehetőség adatexportra, az adatvédelmi fragmentáció rémétől pedig nem kell félni.
Mint arról már részletesen beszámoltunk, az Európai Unió Bírósága a várakozásoknak megfelelően elkaszálta a Safe Harbor mechanizmust (ez a Schrems-ügy), amely keretet biztosított ahhoz, hogy amerikai cégek amerikai jog alatt tárolják az uniós állampolgárok személyes adatait. A bíróság ítélete szerint az amerikai jog nem nyújt elegendő védelmet ezen adatok számára, az amerikai kormányzat gyakorlata pedig az európai alapjogokat is megsérti. Az ítélet az uniós állampolgárokra vonatkozó tömeges megfigyelést és adatgyűjtést kifogásolta, amely a PATRIOT Act széles értelmezése szerint legális - erre a Snowden-féle szivárogtatások nyomán derült fény.
A Safe Harbor eltörlésével komoly nyomás alá került a transzatlanti diplomácia, a szereplők azt várják, hogy az unió képviselői és az Egyesült Államok tempósan tető alá hoz egy hasonló, de javított megállapodást, amely akárcsak a korábbi verzió, kényelmes adatexportot tesz lehetővé az amerikai tech-cégek számára. Nagy kérdés azonban, hogy az amerikai fél ennyi idő alatt hogyan szünteti majd meg a hírszerző ügynökségek korlátlan hozzáférését az adatokhoz - ez volt ugyanis a bíróság kritikájának alapja.
Szerződéses viszonyok
A Bíróság és az adatvédelmi fórum állásfoglalására adott reakciójában az Európai Bizottság azokat a (korábban is létező) mechanizmusokat sorolja fel, amelyek továbbra is lehetővé teszik az adatexportot olyan országok számára, amelyeket az Unió nem ismer el adatvédelmi szempontból ekvivalensnek a saját szabályozásával. A Bizottság által ajánlott első megoldás a szerződéses rendezés, amely korábban is létezett, és az olyan országokba történő adatexportot teszi lehetővé, amely amúgy nem felel meg az uniós normáknak. Eszerint az adatkezelők illetve feldolgozók közötti adatcseréhez léteznek olyan standard szerződéses kitételek (SCC - standard contractual clauses), amelyek megfelelő garanciát nyújtanak a felhasználói adatok védelméhez. A megfelelőséget ebben az esetben a Bizottság úgy érti, hogy az ilyen szerződések alapján végrehajtott adattranszfer kompatibilis az uniós adatvédelemmel, így az a Safe Harborral ekvivalens lehetőséget nyújt.
A kitételek között az adatbiztonságra (adatlopás elleni védelem), az adatalany széleskörű informálására (hatósági adatigényléskor, érzékeny adatok átadásakor, szándékos vagy téves adatszivárgáskor), illetve az adatok törlésére vagy módosítására vonatkozó felhasználói jogok is szerepelnek. Ezen túl a szerződésnek a kártérítési igényt is szükségszerűen tartalmaznia kell szerződésszegés esetére, továbbá ki kell kötnie, hogy a szerződő fél aláveti magát valamelyik európai adatvédelmi hatóságnak (DPA-nak).
Mit vizsgálhat egy DPA?
"A Bizottság hivatalos döntései minden tagországra vonatkozóan kötelezőek, az SCC-k szerződésbe foglalása kötelezi a DPA-kat a szerződéses védelem elismerésére" - mondja az állásfoglalás. A Bizottság szerint tehát a DPA-k (itthon a NAIH) nem vizsgálhatja saját hatáskörben, hogy az SCC-k elegendő védelmet nyújtanak-e, csupán azok betartását felügyelhetik. Ez roppant fontos álláspont, a Safe Harbor eltörlésével nagyon komoly aggodalommá vált, hogy az amerikai cégeknek így a 28 tagország egyedi adatvédelmi szabályozásait kell követni, ami hatalmas feladatot jelent még a legnagyobb cégek számára is, a kisebbek számára pedig megoldhatatlan. Az SCC-k egyetemessé nyilvánításával a Bizottság azt reméli, hogy ez a fragmentáltság megkerülhető, így marad egységes keretrendszer a jogkövető magatartáshoz.
Az állásfoglalás értelmében az SCC-k teljes bemásolása a szerződésekbe automatikus jóváhagyást jelent, az adatexport ilyen körülmények között (elvben) folyhat az adatvédelmi hatóság explicit beleegyezése és engedélye nélkül is. Ilyen engedélyre szükség van viszont, ha a szerződésbe az SCC-k módosított formában vagy hiányosan vannak implementálva.
Cégen belüli adattranszfer és egyedi beleegyezés
Másik érdekes kérdés a leányvállalatok-anyavállalatok közötti adattranszfer. Jellemzően ez történik a nagyobb amerikai tech-cégek esetén, az európai leányvállalat exportálja az adatokat az amerikai entitás felé. Erre is kínál eszközt a Bizottság, ez a kötelező erejű vállalati szabály (BCR - binding corporate rules), amely a cég olyan belső szabályrendszere, amely az adatok átadására vonatkozik, betartását pedig rendszeres audit, monitorozás és egyéb mechanizmusok kényszerítik ki. A cégek felelősek a BCR-ek betartásáért, szabályszegés esetén masszív büntetések és kártérítések megfizetésére kötelezhetőek.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A fenti két mechanizmus viszonylag fájdalommentes (mind a felhasználók, mind a cégek számára), van azonban egy harmadik, kivételes lehetőség is, a felhasználók egyedi, félreérthetetlen, kimondott és előzetes beleegyezése alapján. Ez meglehetősen szigorú feltételek alapján működik, a munkacsoport olyan finomságokat is meghatározott, hogy a beleegyezést kérő felületen ne legyen pipa a hozzájárulást kifejező dobozban, az adattranszfer pedig nem lehet implicit, annak lehetősége és következményei kimondottak kell legyenek.
Ki nyeri ezt a kört?
A Bíróság döntése egyértelműen kimondta, hogy az amerikai jogi környezet nem csak az európai adatvédelmi irányelvvel, de az európai alapjogokkal is inkompatibilis, a korlátozás nélküli hatósági adatgyűjtés és -rögzítés sérti az uniós polgárok elementáris jogait. Az nem világos, hogy ez ellen a fenti mechanizmusok hogyan tudják megvédeni a felhasználói adatokat - jelenlegi ismereteink szerint sehogyan. Mivel azonban az ítélet ezek használatát nem kaszálta még el, így a cégek számára használhatóak maradnak egyelőre, mivel a Bizottság határozata alapján az SCC és a BCR mechanizmusok is megfelelnek az uniós irányelvnek.
Adja magát tehát, hogy a következő nagy adatvédelmi csata a Safe Harbor után ezeket az alternatív mechanizmusokat célozza majd. Mivel (tudomásunk szerint) nem folyik olyan ügy, amelyben valaki panasszal élt volna ezek érvényessége ellen és egy ilyen per átfutása néhány év, egyelőre a két mechanizmus stabil alapot ad a transzatlanti adatexportra.