Privacy Shield: mégis itt a Safe Harbor utódja
Sikerült nyélbe ütni a Safe Harbor helyébe lépő új mechanizmust - jelentette be diadalittasan Vera Jourová, az amerikai-uniós tárgyalásokat vezető biztos. Az összecsapott új egyezmény azonban a szakértők szerint nem fog megállni a bíróság előtt, amely az előző megállapodást is elkaszálta.
Az utolsó utáni pillanatban, de még épp időben megszületett a Safe Harbor utódja, amivel elvben pont kerülhet a hálózatsemlegesség mellett legfontosabb techszektor-szabályozási kérdés végére is. A hivatalos február elsejei határidő helyett másodikán jelentette be az uniós tárgyalócsapatot vezető Vera Jourová cseh uniós biztos, hogy megszületett az új mechanizmus, amely a hangzatos Privacy Shield nevet kapta. Az ígéretek szerint ez már kiállja az uniós bíróságok próbáját és "kényszerzubbonyt" húz az amerikai hírszerzés adathozzáférésére. A kritikusok szerint erről szó sincs, és néhány hónap múlva ez is a Safe Harbor sorára jut.
Miért kellett a Privacy Shield?
A probléma magja az, hogy az amerikai jogrendszer kizárólag az amerikai állampolgárokra terjeszti ki az alkotmányos jogokat, mindenki más egy kalap alá esik és semmilyen védelmet nem kap az adatgyűjtés ellen. Ez azt jelenti, hogy jelenleg az EU-s állampolgárok Amerikában tárolt adataihoz a helyi állambiztonsági szervek, kormányintézmények széles körű hozzáférést élveznek, a lehetőségekkel pedig élnek is. Ezt a gyakorlatot ítélte el az európai bírósági ítélet, amely kimondta, hogy a Safe Harbor (az Európai Bizottság korábbi deklarációja ellenére) nem biztosít megfelelő védelmet az uniós polgárok személyes adatai számára, ezért érvénytelenítette azt.
A Safe Harbor eltörlését követően a tagállami adatvédelmi hatóságok (DPA-k) háromhónapos határidőt adtak a Bizottságnak arra, hogy egy új mechanizmussal kezelje a kérdést. Ez a határidő hivatalosan február elsejét járt le, a DPA-k pedig szerdára (mára) hirdettek gyűlést, ezen hoztak volna döntést a következő lépésekről - így a tényleges határidő hétfő helyett végül a kedd délután lett. A felgyorsított tárgyalások eredményeként végül a felek erre az időpontra tető alá tudtak hozni egy megállapodást, így a DPA-k nem kezdtek hivatalból vizsgálatot indítani az adatexportot végző cégek ellen.
Privacy Shield - mit tesz az asztalra?
A hivatalos uniós (pontosabban bizottsági) álláspont szerint a Privacy Shield "megvédi az uniós polgárok alapjogait és jogi biztonságot nyújt a cégek számára. Az új egyezmény megfelel az Európai Unió Bírósága által megszabott feltételeknek" - állítja a Bizottság közleménye. Az új egyezmény újdonsága, hogy folyamatos kapcsolatra épít, a vitás kérdésekről egyeztetnek, a szöveget pedig igény szerint frissíthetik, pontosíthatják, újabb vállalásokkal egészíthetik ki.
A közlemény az új mechanizmus három kulcsfontosságú pontját emeli ki. Az első, hogy az Egyesült Államok jogilag kötelező erejű dokumentumban vállalta, hogy az amerikai hatóságok csak korlátozások mellett férnek hozzá az uniós állampolgárok amerikai földön tárolt adataihoz. Ehhez az amerikai fél írott biztosítékot ad, amelynek betartását az uniós fél ellenőrizheti.
A második elem, hogy a mechanizmus egy évenként esedékes átvilágítással egészült ki, az Európai Bizottság és az amerikai Kereskedelmi Minisztérium közösen fogja vizsgálni, hogy a vállalások teljesülnek-e. A munkában a tagállami adatvédelmi hatóságok is részt vesznek majd, ami erősíti e szervek hatáskörét a Privacy Shield felügyeletében.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A harmadik, hogy az uniós állampolgárok közvetlenül az amerikai jogrendszerben kapnak védelmet. Ez azt jelenti, hogy ha valaki úgy érzi, csorbultak a jogai és amerikai intézmények hatáskörüket túllépve, illetéktelenül fértek hozzá az adataihoz, akkor lehetősége van jogorvoslatot kérni. Ráadásul értelmes formában: a polgárok az EU-s adatvédelmi hatóságokhoz fordulhatnak, melyek az amerikai Szövetségi Kereskedelmi Bizottsággal (FTC) együttműködve vizsgálódnak. A munkához határidők is tartoznak, így nem húzható a végtelenségig a folyamat. Amennyiben ez nem oldja meg a kérdést, a sértett fordulhat döntőbírósághoz is. Az amerikai oldalon a panaszokat nem a hírszerző szervek, hanem egy új ombudsman kezeli majd, aki (elvben) függetlenséget élvez.
A Privacy Shield akkor válik működőképessé, ha az Európai Bizottság határozatban mondja ki, hogy a megállapodás az uniós normákkal egyenértékű védelemben részesíti az EU-s személyes adatokat - ekkor nyílik meg a hivatalos lehetőség a Privacy Shield mentén végzett adatexportra. A hatóságok egyelőre rugalmasan kezelik a kérdést, és ugyan a határozat csak hónapok múlva esedékes, az adatexportot végző cégek ellen nem indítanak eljárást.
A jogvédők elégedetlenek
Az előzetes ígéretekhez képest a Privacy Shield mindkét fél által elfogadott változata elég vérszegény lett. Decemberben a tárgyalásokat vezető uniós biztos, Vera Jourová még egészen más tervezetet vázolt fel, amely központi eleme az adatközlési kötelezettség lett volna. Eszerint azok a cégek, melyeket az amerikai hatóságok adatok átadására köteleznek, erről átláthatósági jelentést adhatnának ki, így az európai fél pontosan követhetné a hatósági/hírszerzési adatgyűjtés volumenét, okait és eldönthetné, hogy tömeges, vagy célzott megfigyelésről van-e szó.
Ez az átláthatósági elem a Privacy Shieldből teljesen kikerült, a jogvédők szerint az amerikai nyomás mellett ebben az uniós tagállamok lobbizása is közrejátszott. Ma már ugyanis nem csak az Egyesült Államok hírszerzése végez tömeges adatgyűjtést, a brit GCHQ egyenesen élen jár ezen a területen, a francia és német hatóságok pedig gyorsan fejlődnek. Mivel az átláthatósági jelentés így már néhány tagállam érdekeivel is ellenkezett, a kitétel a süllyesztőbe került.
CJEU: "access on a generalised basis to communications" violates Fundamental Rights
- Max Schrems (@maxschrems) February 3, 2016
-v-#PrivacyShield / #SafeHarbor pic.twitter.com/TBceqgY16o
Jourová hétfői, az Európai Parlament jogi és igazgságügyi bizottsága (LIBE) meghallgatásán elmondta, hogy a Privacy Shield pontos szövege szerint a "testreszabott és célzott adathozzáférésnek prioritást kell élveznie az általános [tömeges] adateléréssel szemben, amely azonban nagyon ritka esetekben megtörténhet. Jourová nyilatkozata szerint ennek feltétele, ha a célzott megfigyelés műszakilag vagy működési szempontok miatt nem megvalósítható, illetve ha "[a hírszerzők] látnak valamilyen nagyon veszélyes trendet, amely a célzott hozzáférésnél többet igényel". Ez az álláspont szöges ellentétben van a Bíróság által megszabott követelményekkel, így ha ez valóban része a végleges szövegnek, nehezen elképzelhető, hogy átcsússzon a jogi ellenőrzésen. Sokatmondó, hogy a meghallgatás videóján (20:53:20-nál) elhangzanak ezek a mondatok, de a beszámoló szerkesztett változatából kimaradt ez a kritikus elem.
"Az Európai Bizottság feladta a Bíróság ítéletének védelmét és egy alapvetően hibás egyezményt fogadott el" - mondja az EDRI (Európai Digitális Jogok) rangos civil szervezet. Az állásfoglalás szerint a Privacy Shield viszonylag gyorsan a Safe Harbor sorsára fog jutni, mert nem teljesíti a Bíróság által megszabott alapkövetelményeket. A civil szervezet szerint így a Privacy Shield egyik kitűzött célját sem éri majd el - sem az adatvédelemben nem nyújt előrelépést, sem a cégek számára nem biztosít megbízható keretrendszert, hiszen néhány hónap múlva indulhat újraindulhat a pánikszerű tárgyalás.
Az EDRI álláspontját osztja Max Schrems, a Safe Harbort bíróság elé vivő jogász is. Schrems véleményezésében rendkívül kritikus hangot ütött meg: "Minden tisztelet mellett néhány levél a hamarosan leköszönő Obama-adminisztrációtól nem elegendő jogi alap, amire 500 millió európai polgár alapjogainak védelmét építeni lehet hosszú távon, miközben explicit amerikai törvény garantálja a külföldi állampolgárok tömeges megfigyelését."
A Privacy Shieldet kritizálta Viviane Reding is, a korábban a Safe Harbor reformját beindító uniós biztos. "A központi kérdésben az új szöveg csalódást okoz. A tömeges megfigyelés korlátozására vonatkozó vállalást csupán egy írott levél garantálja. Ez elegendő ahhoz, hogy korlátozza, megelőzze és felügyelje az adatokhoz való általános hozzáférést? Komolyan kételkedem benne, hogy ez a vállalás megáll majd az Európai Unió Bírósága előtt" - fogalmazott Reding.