Bajba került a Facebook

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Sőt, nemcsak a Facebook, hanem más multnacionális tech cégek is, például a Google, az Európai Bíróság ítélete ugyanis kedvezőtlenül érinti őket.

Az Európai  Bíróság érvénytelennek nyilvánítja a Bizottság azon határozatát, amely megállapítja, hogy az Egyesült Államok megfelelő védelmi szintet biztosít a továbbított személyes adatok számára – olvasható az Európai Bíróság keddi közleményében.

Ez messzemenő következményekkel járhat az olyan technológiai cégek üzleti modelljére, mint a Facebook, vagy a Google.

A közlemény szerint a személyes adatok kezeléséről szóló irányelv úgy rendelkezik, hogy az ilyen adatok főszabály szerint csak akkor továbbíthatók valamely harmadik országba, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. Továbbá a Bizottság megállapíthatja, hogy a harmadik ország belföldi joga, vagy a nemzetközi kötelezettségei alapján megfelelő védelmi szintet biztosít-e. Végül az irányelv előírja, hogy minden tagállam kijelöl egy vagy több hatóságot az irányelv értelmében elfogadott nemzeti rendelkezések területén történő alkalmazásának felügyelete céljából („nemzeti felügyelő hatóságok”).

Az ítélet alapjául szolgáló panasz

Maximilian Schrems, osztrák állampolgár, 2008 óta használja a Facebookot. Az unió területén lakó többi Facebook-felhasználóhoz hasonlóan az M. Schrems által a Facebookra feltett adatokat a Facebook ír leányvállalatától részben vagy egészben az Egyesült Államokban található szerverekre továbbítják, és azokat ott kezelik. Schrems panaszt nyújtott be az ír adatvédelmi hatósághoz, amelyben azt állította, hogy az Edward Snowden által 2013-ban az Egyesült Államok hírszerző szolgálatainak (különösen a National Security Agency-nek, NSA) a tevékenységeire vonatkozóan kiszivárogtatott információkra tekintettel az Egyesült Államok joga és gyakorlata nem biztosít elégséges védelmet az ebbe az országba továbbított adatok hatóságok általi megfigyelésével szemben.

Az ír hatóság többek között azzal az indokkal utasította el a panaszt, hogy a Bizottság 2000. július 26-i határozatában megállapította, hogy az Egyesült Államok az ún. „biztonságos kikötő” rendszere keretében megfelelő védelmi szintet biztosít a továbbított személyes adatok számára.

Az ügyben eljáró High Court of Ireland (ír legfelsőbb bíróság) arra vár választ, hogy a Bizottság e határozata azzal a hatással jár-e, hogy megakadályozza a nemzeti adatvédelmi hatóságot abban, hogy olyan panasz ügyében folytasson vizsgálatot, amely azt állítja, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet, és adott esetben felfüggessze a vitatott adattovábbítást.

Kevés a bizottsági határozat

A Bíróság úgy ítéli meg, hogy a Bizottság azon határozatának létezése, amely megállapítja, hogy valamely harmadik ország megfelelő védelmi szintet biztosít a továbbított személyes adatoknak, nem teheti semmissé, vagy csökkentheti a nemzeti felügyeleti hatóságok számára az Európai Unió Alapjogi Chartája és az irányelv alapján biztosított jogköröket. A Bíróság e tekintetben kiemeli a személyes adatok védelmének a Chartában biztosított jogát, valamint az ugyanezen Charta értelmében a nemzeti felügyelő hatóságokra ruházott feladatot. A Bíróság legelőször is megállapítja, hogy az irányelv egyetlen rendelkezése sem akadályozza meg a nemzeti felügyelő hatóságokat abban, hogy a személyes adatok olyan, harmadik országba való továbbítását felügyeljék, amely bizottsági határozat tárgyát képezte.

Így a kérelem ügyében eljáró nemzeti felügyelő hatóságoknak még a Bizottság határozatának létezése esetén is jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgálják, hogy valamely személy adatainak harmadik országba való továbbítása tiszteletben tartja-e az irányelvben támasztott követelményeket. A Bíróság mindazonáltal emlékeztet arra, hogy egyedül ő rendelkezik hatáskörrel valamely uniós jogi aktus, így a Bizottság határozatának érvénytelenné nyilvánítására.

HMJ – Hatályos Magyar Jogszabályok három nyelven
Több mint 350 jogszabály, több mint 120 Legfelsőbb Bírósági határozat rendelkező része, a kettős adóztatásról szóló egyezmények jelentős része, több mint 100 Legfelsőbb Bírósági állásfoglalást, több mint 120 Versenytanácsi határozat három nyelven. Az új Jogtáron online módon is elérhető. Bővebb információ és konstrukciók >>

Következésképpen, amennyiben a nemzeti hatóság, vagy pedig az a személy, aki a nemzeti hatósághoz fordult, úgy ítéli meg, hogy valamely bizottsági határozat érvénytelen, e hatóságnak vagy személynek jogosultnak kell lennie arra, hogy a nemzeti bíróságokhoz forduljon, hogy azok – amennyiben ők maguknak is kételyeik vannak a Bizottság határozatának érvényességét illetően – a Bíróság elé utalhassák az ügyet. Tehát végső soron a Bíróság feladata annak megállapítása, hogy a Bizottság valamely határozata érvényes-e vagy sem.

A Bíróság ezért megvizsgálta a 2000. július 26-i bizottsági határozat érvényességét. A Bíróság e tekintetben emlékeztetett arra, hogy a Bizottságnak azt kellett megállapítania, hogy az Egyesült Államok – belföldi joga, vagy nemzetközi kötelezettségei alapján – az alapjogok védelmének lényegében ténylegesen ugyanazon szintjét biztosítja, mint amilyet a Chartával összefüggésben értelmezett irányelv alapján az Unió biztosít. A Bíróság rámutat arra, hogy a Bizottság nem állapította ezt meg, hanem a biztonságos kikötő rendszerének vizsgálatára szorítkozott. Márpedig a Bíróság – anélkül hogy meg kellene vizsgálnia, hogy e rendszer az Unióban biztosított védelmi szinttel lényegében azonos védelmi szintet biztosít-e – rámutatott arra, hogy e rendszer kizárólag azokra az amerikai vállalkozásokra alkalmazandó, amelyek csatlakoztak hozzá, az Egyesült Államok hatóságaira azonban nem vonatkozik.

A nemzetbiztonságra, a közérdekre vagy a bűnüldözésre vonatkozó követelmények továbbá megelőzik a biztonságos kikötő rendszerét, így az amerikai vállalkozások korlátozás nélkül kötelesek mellőzni az e rendszerben foglalt védelmi szabályokat, amennyiben azok e követelményekbe ütköznek. A biztonságos kikötő amerikai rendszere ezáltal lehetővé teszi, hogy az amerikai hatóságok beavatkozhassanak a személyek alapjogaiba, mivel a Bizottság határozata nem említi, hogy az Egyesült Államokban léteznének az ilyen esetleges beavatkozások korlátozására irányuló szabályok, vagy pedig hatékony jogvédelem az ilyen beavatkozásokkal szemben.

A Bíróság úgy ítélte meg, hogy a Bizottság két közleménye (Az Európai Parlamenthez és a Tanácshoz intézett, „A bizalom helyreállítása az EU‑USA adatáramlások tekintetében” című bizottsági közlemény (COM(2013) 846 final, 2013. november 27.), valamint az Európai Parlamenthez és a Tanácshoz intézett, „A védett adatkikötő működése az uniós polgárok és az EU-ban letelepedet vállalatok szempontjából” című bizottsági közlemény (COM(2013) 847 final, 2013. november 27.) megerősíti a rendszerre vonatkozó fenti megállapításokat, mivel e közleményekből kiderül különösen, hogy az Egyesült Államok hatóságai hozzáférhettek a tagállamokból e harmadik országba továbbított személyes adatokhoz, és azokat többek között a továbbításuk céljaival összeegyeztethetetlen, valamint a nemzetbiztonság védelméhez feltétlenül szükséges és azzal arányos mértéket meghaladó módon kezelhették.

Nincs jogorvoslati lehetőség 

A Bizottság ehhez hasonlóan megállapította, hogy az érintett személyeknek nem volt olyan közigazgatási, illetve bírósági jogorvoslati lehetőségük, amely többek között lehetővé tette volna, hogy hozzáférjenek a rájuk vonatkozó adatokhoz, és adott esetben azokat helyesbíttessék, illetve töröltessék.

Ami az alapvető jogok és szabadságok Unióban biztosított védelmi szintjével lényegében azonos védelmi szintet illeti, a Bíróság megállapítja, hogy az uniós jog szerint valamely szabályozás nem korlátozódik a feltétlen szükségesre, amennyiben általános jelleggel lehetővé teszi minden olyan személy valamennyi személyes adatának tárolását, akiknek az adatait az Unióból az Egyesült Államokba továbbították, anélkül hogy a kitűzött cél alapján bármilyen különbségtételt, korlátozást vagy kivételt alkalmazna, és anélkül hogy objektív kritériumokat írna elő a hatóságok adatokhoz való hozzáférésének és későbbi felhasználásának korlátozása érdekében.

A Bíróság hozzáfűzi, hogy azt a szabályozást, amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, úgy kell tekinteni, hogy az sérti a magánélet tiszteletben tartásához való alapvető jog lényegét.

A Bíróság  megállapította, hogy az olyan szabályozás, amely nem biztosítja a jogalany számára a jogorvoslat lehetőségét abból a célból, hogy a rá vonatkozó személyes adatokhoz hozzáférést kapjon, vagy azokat helyesbíttesse, illetve töröltesse, sérti a hatékony bírói jogvédelemhez való jog lényegét, az ilyen lehetőség ugyanis a jogállamiság szerves része. Végül a Bíróság megállapítottaa, hogy a Bizottság 2000. július 26-i határozata megfosztja a nemzeti felügyelő hatóságokat jogköreiktől, amennyiben valamely személy a határozatnak a magánélet, valamint a személyek alapvető jogai és szabadságai védelmével való összeegyeztethetőségét vonja kétségbe.

A Bíróság megállapítása szerint a Bizottságnak nem volt hatásköre ily módon korlátozni a nemzeti felügyelő hatóságok jogköreit. Mindezen indokok alapján a Bíróság megállapítja a 2000. július 26-i határozat érvénytelenségét. Ezen ítélet következtében az ír felügyelő hatóság köteles kellő gondossággal megvizsgálni M. Schrems panaszát, és a vizsgálata végén határoznia kell, hogy az irányelv alapján felfüggessze-e az európai Facebook-felhasználók adatainak az Egyesült Államokba való továbbítását azzal az indokkal, hogy ezen ország nem biztosítja a személyes adatok megfelelő védelmi szintjét – zárul a közlemény.

A teljes ítélet elolvasható itt.

---