Nem készült el határidőre a Safe Harbor 2
Lejárt az európai tagállami adatvédelmi hatóságok által adott ultimátum, az amerikai-uniós tárgyalás pedig egyelőre eredmény nélkül áll. A szituáció leginkább a kis cégeket fenyegeti, akár az adatexport felfüggesztése is következmény lehet.
Nem tudott megegyezni az amerikai és az uniós tárgyalóbizottság a Safe Harbor jövőjéről a megadott február elsejei határidőre. A nemzeti adatvédelmi hatóságok (DPA-k) február 1-ig adtak "türelmi időt" az amerikai és az európai félnek arra, hogy tető alá hozzák az európai polgárok személyes adatainak védelmére hivatott Safe Harbor 2.0-t. A vállalás szerint ez alatt a türelmi idő alatt nem lépnek a DPA-k, és nem lépnek fel az immár törvénytelen adatgyűjtést végző amerikai vállalatok ellen.
Mint arról részletesen beszámoltunk, az Európai Unió Bírósága még október elején elkaszálta a Safe Harbort - azt a jogi keretrendszert, amely lehetővé teszi, hogy amerikai cégek Európából exportálják az európai polgárok személyes adatait. A bíróság szerint (ahogy azt a Snowden-szivárogtatások is mutatták) ez a keretrendszer nem garantálja, hogy a személyes adatokhoz amerikai kormányügynökségek és a hírszerzés nem fér hozzá illetéktelenül, így azt érvénytelenítette. A döntés után szinte azonnal nekiállt az amerikai kormány és az uniós tárgyalócsapat a "Safe Harbor 2" kidolgozásának.
A tárgyalási folyamat állásáról viszonylag keveset tudunk. Vera Jourová, az európai delegációt vezető igazságügyi biztos december közepén elmondta, hogy melyek az uniós követelmények. A Safe Harbor 2-nek az európai álláspont szerint tartalmaznia kell egy "biztosítékot", amely lehetővé teszi, hogy az európai fél egyoldalúan felfüggessze a keretegyezményt, ha problémát észlel (ilyen záradék nem volt az eredeti Safe Harborban). Egy másik, talán fontosabb elem, hogy az amerikai cégeknek rendszeresen jelentést kell tenniük arról, hogy a náluk tárolt adatokhoz milyen volumenben férnek hozzá amerikai szervek - ez hivatott féket építeni a rendszerbe a tömeges megfigyelés ellen.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
Most, hogy letelt a határidő, felmerül a kérdés: mi lesz a következő lépés? A megfelelő keretrendszer hiányában ugyanis a DPA elrendelheti az amerikai adatexport felfüggesztését az olyan cégek számára, amelyek nem tudják implementálni az alternatív megoldásokat. Ez nyilván drákói intézkedés lenne, a jelenleg érvényes szabályozás azonban nem nagyon hagy mozgásteret a hatóságoknak. Néhány tagállam adatvédelmi illetékese névtelenül megerősítette a Politicónak, hogy a határidőt igyekeznek rugalmasan kezelni, és ha közel van a megegyezés, akkor készek azt kitolni.
Félelem és bizonytalanság
A nagy cégek számára, mint a Microsoft, a Facebook vagy a Google a Safe Harbor eltörlése nem okozott nagy fennakadást. Léteznek ugyanis alternatív jogi megoldások a Safe Harbor mellett, amelyek lehetővé teszik a transzatlanti adatexportot a Safe Harbor nélkül is - igaz, ezek implementációja költséges és bonyolult. Az SCC (standard contractual clauses) és a BCR (binding corporate rules) emiatt a kis cégek, startupok számára jobbára elérhetetlen, ezek a cégek függenek leginkább a Safe Harbor 2-től. A kettő mellett persze vannak további megoldások is, például a személyes adatok európai adatközpontokban történő tárolása, ezek azonban jellemzően nem olcsóbbak és nem is egyszerűbbek.
Az egyezmény hiánya így leginkább a kis vállalkozásokat hozza nehéz, bizonytalan helyzetbe. El kell dönteniük ugyanis, hogy szeretnék valamelyik alternatív megoldást implementálni, vagy inkább kivonulnak Európából. Esetleg folytatják az eddigi gyakorlatot és reménykednek, hogy az európai hatóságok nem szabnak ki valamilyen komoly büntetést az illegális adatexportért.