 |
| Fotó forrása: pressfoto (Freepik) |
Az Európai Adatvédelmi Testület (EDPB) nemrég véleményezte az Európai Bizottság javaslatát az EU és az USA közötti adattranszferekről. Az együttműködésnek két törvény a része: az USA oldalon Biden elnök már 2022 októberében adta ki a törvényerejű rendeletét, amely többek között korlátozza az USA-beli titkosszolgálatok és egyéb szervek számára az EU-s állampolgárok személyes adatihoz való hozzáférést. Az EDPB véleményezése, bár nem kötelező erejű, de előremozdíthatja az együttműködést a föderális szinttel. Mindemellett az amerikai tagállamok szintjén is elkezdtek terjedni a GDPR-hoz hasonló adatvédelmi felfogások.
A transz-atlanti adatvédelem korábban
A transzatlanti megállapodásra többek közt a felhőalapú szolgáltatások miatt van szükség, mint például a legtöbb szociális média vagy a reklámadatokkal kereskedő cégek. Ezeknél az adatcenterek redundanciája miatt a felhasználók adatai egyszerre sok párhuzamos adatcenterben tárolódnak. Így ha valamely adatcenter kiesik a szolgáltatásból, az zökkenésmentesen működhet tovább. A költséghatékonyság miatt viszont sok amerikai cég nem telepített centereket Európában. Az új keretrendszer és az EU bírósági ítéletek is egybevágnak a Bizottság azon törekvésével, hogy a Unió adatszuverenitást érjen el, azaz hogy az európaiak adatait mindenképp európai felhőszolgáltatók vagy adatcenterek tárolják. Ellenkező esetben a Bizottság az európai állampolgárok adatainak védelmét úgy akarja biztosítani, hogyha azok harmadik országokba kerülnek, legyen az az USA, a UK vagy Oroszország, ugyanolyan módon kezeljék őket, mintha a Unión belül lennének.
Safe Harbour és Privacy Shield
A mostani megállapodáshoz a két
korábbi egyezmény sikertelensége vezetett. Az ún. adatpajzs
egyezményt az Európai Bíróság 2020-ban
érvénytelenítette a Schrems
II ítéletben. Egyrészt arra hivatkozva, hogy az nem korlátozta
megfelelő szinten az amerikai végrehajtó szerveket; másrészt pedig azért, mert
az egyezmény nem biztosított elegendő jogorvoslati lehetőségeket az európai
állampolgároknak, akiknek az adatai átkerülnének az USA-ba. Ez a két érv a GDPR
V. fejezetével kapcsolatos, miszerint európaiak személyes adatait csak akkor
lehet a Unión kívülre továbbítani ha a célországban a uniós szintnek
megfelelő az adatvédelem.
Az adatpajzs elődje az ún. biztonságos
kikötő egyezmény 2000-ben jött létre, bukását ugyanúgy Maximilian
Schrems "okozta", aki az ír adatvédelmi hatóságnál perelte be a Facebook-ot az Edward
Snowden/PRISM-botrány kitörése után. Habár kiderült, hogy az amerikai titkosszolgálatok több millió amerikai állampolgárt figyeltek meg illegálisan és nincs bizonyíték arra, hogy tömegesen figyeltek volna meg európai állampolgárokat, az európai intézmények és országok bizalma megingott az amerikaiak adatvédelmi struktúráiban. Az egyezményt az Európai Bíróság
2015-ben helyezte
hatályon kívül a Schrems
I ítéletben.
Az új transzatlanti adattovábbítási keretegyezmény
2018-ban jött létre a keretegyezmény, amely alapján 2022 októberében Biden elnök kiadta a törvényerejű rendeletét. A következő lépés az Európai Bizottságnál van, aki a GDPR 45-ös cikkelyének megfelelően fog törvényjavaslatot benyújtani az Európai Parlament és a Tanács felé. Az új egyezmény várhatóan tisztább alapokra helyezi a transzatlanti adatátviteleket. A mihamarabbi megszületése azért is érdekes, mert az ír adatvédelmi hatóság ennek hiányában akár el is lehetetlenítené többek közt a Meta, a Microsoft 365 és a Google Suite jelenlegi működését, mivel nem használhatnák a "sztenderd szerződéses kikötéseket" az adatátvitelekre. Mindeközben az amerikai kormány is elkezdte firtatni egyes európai országok adatvédelmi szokásait, mint például Magyarország, Lengyelország és Franciaország kevésbé elégséges jogorvoslati lehetőségeit az unión kívüli állampolgárok esetében.
Az EDPB vélemény és a lehetséges Schrems III ügy
Az EDPB többnyire pozitívan értékelte az USA-beli változtatásokat, és véleménye szerint az újabb egyezmény megfelelő védelemmel látják el az európaiak adatait. Viszont hangsúlyozta, hogy a jogorvoslati mechanizmust kiemelt figyelemmel kell majd végigkísérni, hiszen ahogy láttuk a GDPR alkalmazása még az Unió tagállamai között is egy ingoványos talaj. A Testület további javaslatokat tett az egyezmény részeinek pontosítására, például az egyszeri nagy mennyiségű adatszerzéssel, a kivételekkel, az automatikus döntéshozatallal kapcsolatban és a harmadik országokba való továbbításról (az egyezmény értelmében itt nem a Unión kívüli, hanem az EU-n és az USA-n kívüli országokat kell érteni). Ami a Testület szerint még hiányzik az USA oldalon: a tömeges gyűjtésekhez nem kell előre jóváhagyni, nincs bírósági vagy hasonló testület, amely szisztematikusan és függetlenül vizsgálná meg a lezajlott adatcseréket, így megállapítva az egyezmény hosszútávú működését.
Max
Schrems kijelentette, hogy a mostani megállapodást is meg fogja
támadni az Európai Bizottság következő lépései alapján. Többek közt azt kritizálta, hogy az új egyezményben szereplő Felülvizsgálati Bizottság
a végrehajtó hatalom alá tagozódik az USA-ban és nem a független bírói ághoz. Ez, szerinte, nem tér el
szignifikánsan az adatvédelmi pajzsban leírt ombudsman szerepétől, amit
korábban az Európai Bíróság is kifogásolt. Kritizálta, hogy az rendelet alapján továbbra is lehetséges a tömeges adatgyűjtés, ahol az "szükséges" és "arányos", viszont ezek a jelzők nincsenek definiálva se az USA oldalon, se az EU-s tervezetekben. Ami még kihívóbb szerinte, hogy az amerikai vállalatokat nem kötelezi az egyezmény a GDPR betartására, és így nem szükséges nekik az európai felhasználók beleegyezését kérniük az adatkezelésre.
Szemléletváltás az USA tagállamaiban
Az USA-beli adatvédelmi felfogás nagyon sokáig a "kármegelőzés" elvét követi, az európai "felhasználói jogok" alapján felépülő elgondolással szemben. A kármegelőzéses megoldás általánosságban engedi, hogy a cégek és intézmények beleegyezés-kérés nélkül gyűjtsenek személyes adatokat a felhasználóikról, és csak azokat az eseteket szabályozza, amelyekben valamely bírósági ügy kapcsán vagy hasonló felismerések alapján kiderült, hogy kárt okoz a felhasználóknak. Ez ahhoz vezetett, hogy az amerikai adatvédelmi törvények többnyire csak egy-egy területre koncentrálódtak (ilyen például a HIPAA a betegek és az egészségügyi biztosítással kapcsolatos adatok védelméről, vagy a COPPA a gyerekek online adatainak védelméről).
Viszont a 2020 óta életbe lépett California Consumer Privacy Act (CCPA) a GDPR-hoz hasonló elveken alapszik. Habár CCPA főleg a fogyasztókról és cégekről szól, nem az állampolgárok és az adatkezelők egészéről, és kisebb hatóköre van mint a GDPR-nak, mégis hasonló általános jogokat biztosít (a tájékoztatáshoz való jog, a hozzáféréshez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog és a törléshez való jog mind megtalálható a CCPA-ban), bevezette a hozzájárulás és a jogos érdekek intézményét, és jogorvoslati lehetőségeket is biztosít az adatvédelmi szerződések kötelezővé tevésével.
A CCPA által megihletve Colorado, Connecticut, Utah és Virginia is tervez hasonló törvényeket hozni 2023-ban, California pedig tovább erősítette a CCPA-t egy új tagállami testület létrehozásával (hasonlóan a uniós nemzeti adatvédelmi hatóságokhoz). Bár ez az öt szabályozás különböző módon épül fel, az USA-beli onlinemagánélet-szemlélet gyökeres megváltozásának jeleit mutatják. Elképzelhető, hogy később föderálisan is életbe lépnek majd törvények a felhasználók vagy fogyasztók általánosabb, jogalapú adatvédelmére. Akár pontosan azért is, amit az európai jogharmonizáció is kierőszakolt: az eltérő szabályozások túl nagy megfelelési költséget rónak a vállalatokra.
Nincsenek megjegyzések:
Megjegyzés küldése