Mi a helyzet az USÁ-ban (Schrems-II előttről)

 Az Európai Parlament határozatot fogadott el, amelyben aggodalmát fejezi ki, mert az USÁ-ban gyengítik (aláássák, írják ők) az adatvédelmi biztosítékokat amelyeket a "Privacy Shield" biztosít, az EU és az USA közötti megállapodás, melynek célja, hogy az EU elismerje, hogy az USÁ-ban az európaival egyenértékű védelmet élveznek az uniós polgárok személyes adatai.

Ebben utalnak arra, hogy nemrég nyilvánosságra került, hogy 2015-ben is titkos megfigyelést végzett az NSA és az FBI számára az egyik amerikai távközlési szolgáltató, valamint felidéznek egy pár rendelkezést, amelyek gyengítik a személyes adatok védelmét. Emellett kifogásolják, hogy a Privacy and Civil Liberties Oversight Board létszáma a határozatképtelenségi határ alá csökkent - ennek a testületnek a feladata az adatkezelések felügyelete - és a Privacy Shield közvetlen felügyeletét ellátó Federal Trade Commission (az adatvédelmi együttműködés, miután amerikai vállalatok kereskedelmi érdekeit érinti, mindig is a Kereskedelmi Minisztérium alá tartozott -, nem nevezték ki a jogok új biztosát és hiányoznak a garanciák, hogy az európai polgárok az USÁ-ban hatékony jogvédelemben részesüljenek ezen a területen.

Miről szól (mondanánk pestiesen) mindez?

Az Európai Bizottság joga, hogy határozattal megállapítsa, ha egy, az Európai Gazdasági Térségen kívüli országban a személyes adatok védelme egyenértékű (nem azonos) az EU által biztosítottal. Az Egyesült Államokkal egy önminősítési rendszeren alapuló megállapodás, a "Safe Harbour" egyezmény biztosította, hogy azon vállalkozások esetén, amelyek megfeleltek az önminősítés követelményeinek és ezt bejelentették a Federal Trade Commission-nál, ezt elismerte és így ezeknek a vállalatoknak ugyanúgy lehetett személyes adatokat átadni, mint más EU-beli vállalatoknak (így például informatikai szolgáltatást végezhettek).

Egy Maximilian Schrems nevű osztrák joghallgató bepanaszolta a Facebook Írországot (a Fb európai központját) az ír adatvédelmi biztosnál, hogy adatait jogtalanul adja át az Egyesült Államokban székelő anyavállalatának.. Részletek mellőzésével: az ügy az Európai Bíróságnál landolt, amely érvénytelenítette ezt. Az indok főleg az volt, hogy a Snowden-féle leleplezések megmutatták, hogy az amerikai kormányzat tömegesen és differenciálatlanul hozzáfér az amerikai cégeknél tárolt személyes adatokhoz, valamint hogy nem áll az európai polgárok rendelkezésére megfelelő jogorvoslati lehetőség arra az esetre, ha megsértik személyes adataikhoz fűződő jogaikat.

Ezt volt hivatva kiküszöbölni az említett "Privacy Shield". Ez még nem állta ki a bíróság próbáját, de jelenleg érvényben van.

A Facebook azonban más utat választott: az EU által elfogadott "Modellszerződés" alapján adja most át az adatokat. M. Schrems ezt is megtámadta.

Amíg bíróság nem érvényteleníti mindkét megoldás jogilag megalapozott. Majd lesz egy poszt általában is az EGT-n kívülre történő adattovábbításról, most maradjunk az USÁ-nál. Mi itt a kockázat?

Nos, a vállalati megoldások problémája az, hogy nem védenek az állami beavatkozás ellen. A "P.A.T.R.I.O.T." act (angolul egyrészt hazafit jelent, másrészt a törvény részletes megnevezésének rövidítése) ugyanis kötelezővé teszi minden vállalat számára, amely a hatálya alá tartozik, hogy személyes adatokat adjon át, ha az amerikai hatóságok a terrorizmus elleni harc érdekében szükségesnek tartják. A törvény hatálya alá pedig azok az Amerikán kívüli vállalatok is odatartoznak, amelyek jelentős tevékenységet folytatnak az USÁ-ban, és "természetesen" elvileg idetartoznak az amerikai cégek európai leányvállalatai is.

Legújabban az okozott némi felzúdulást, hogy Trump aláírt egy elnöki rendeletet, amely szerint senki nem tagfadhatja meg adatok kiadását, ha nemzetbiztonsági szempontból szükséges. Van azonban a rendeletben egy félmondat: "a hatályos jogszabályok keretei között". Ebbe beleértendő a "Privacy shield"-et életbe léptető rendelet is. Ezt Az USA külön megerősítette az Európai Bizottságnak.

A "Privacy Shield" szerepe, hogy az európai polgárok számára védelmet, illetve jogorvoslati lehetőséget biztosítson. A Trump által nemrég hozott rendelet, amelyben ismét előírta, hogy adatvédelmi megfontolások nem állhatnak az állambiztonsági okból kért adatok kiszolgáltatásának útjába, tartalmaz egy kitételt: "a hatályos jogszabályok betartásával". A "Privacy Shield" keretében elfogadott jogszabályok is ide tartoznak, tehát jogilag minden rendben van. De hogy a bíróságok hogy fogják ezt megítélni, az kérdéses.

És bizonyos esetekben ez amerikai bíróságokra fog hárulni. Két ügy van folyamatban, mindkettő az amerikai biztonsági szolgálatoknak az amerikai cégek európai leányvállalatai által Európában tárolt adatokra vonatkozik, A Microsoftnak sikerült nyernie: nem köteles kiadni az adatokat. A Google egy másik bíróságon vesztett. Kis különbség, hogy a Google nem állította határozottan, hogy az adatok kizárólag Európában vannak tárolva, ő azt állította, hogy nem tudja, hogy vannak-e adatok az USÁ-ban. A különbség számottevő, de nem döntő. Mindkét ügy megy feljebb, és valószínűleg az USA Legfelsőbb Bíróságán fog kikötni.

Ott valószínűleg azután tárgyalják, hogy Trump kinevezte az új elnököt és saját jelöltjét állítja az elhúnyt Scalia helyére. Az eredmény legalábbis kétséges mind az USA, mind az Európai Bíróság ismét visszaküldhet minket a start mezőre.

Megjegyzések

Népszerű bejegyzések ezen a blogon

Kelle adatvédelem vírusjárvány idején?

Adattovábbítás - az EDPB megszólalt; az ürügy az Európán kívüli, de a GDPR alá eső adatkezelők adattovábbítása

Eljött a nagy nap (2018 május 25.)