Rés az Adatvédelmi Pajzson

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Másfél év telt el a GDPR hatályba lépésétől és a kezdeti fellángolás után lassan ez a terület is érdektelenné válik a nagyközönség számára. Az adatvédelemben a vállalkozások nem az általa elérni hivatott célt, hanem az azzal járó – kétségkívül jelentős – adminisztratív terheket látják. Az adatvédelem elvesztette a trendi-jellegét, kerékkötővé vált. Történik mindez akkor, amikor nemzetközi szinten elfogadottá vált, hogy az adat lesz a 21. század olaja és a következő évtizedekben annak birtoklásáért fog folyni a harc.

Az adatok jelentősége az ezredfordulón kezdett egyértelművé válni. Megjelentek a harmadik országok felé történő adattovábbítási igények is, a vállalkozások az egyének adatait leányvállalataik, partnereik számára akarták továbbítani. Ezt már az akkor hatályban volt EU-s Adatvédelmi Irányelv is tilalmazta, hiszen az USA-ban nem volt kötelező generális adatvédelmi szabályozás, így nem volt biztosított a személyes adatok megfelelő védelme.

Az üzleti élet nyomása alapján az Európai Bizottság a Safe Harbor adatvédelmi elvekről szóló határozatával megteremtette az USA-ba mint harmadik országba irányuló adattovábbításokhoz szükséges, az ún. „megfelelő védelmi szint”-et biztosító keretrendszert.

Ebben az EU elismerte, hogy az USA-ban a Safe Harbor keretrendszerhez önként csatlakozó vállalkozások felé jogszerűen továbbítható személyes adat az Európai Unióból, mert ezen vállalkozások megfelelő védelmi szintet biztosítanak. Valójában azonban a keretrendszer az öntanúsítást alkalmazta, tehát az adatokat fogadó szervezetnek mindössze nyilvánosan ki kellett nyilvánítania az elvek teljesítésére vonatkozó kötelezettségvállalását és ha a határozatban megjelölt szervek hatásköre alá tartozott, már meg is felelt az Európai Bizottság elvárásainak.

2015-ig számtalan vállalkozás vállalta, hogy biztosítja a megfelelő adatvédelmi szintet a Safe Harbor elvek betartásával, például az Apple Inc., a Hewlett Packard Ec. és a Facebook Inc.

Nem meglepő, hogy ez a keretrendszer nem biztosított valódi védelmet, hiszen a szövetségi állami szervek és ügynökségek az USA-ba továbbított személyes adatokhoz szinte korlátlanul hozzáférhettek, az önként csatlakozó vállalkozások pedig nem voltak képesek és nem is tettek érdemi intézkedéseket a megfelelő védelmi szint garantálására, míg az uniós polgároknak nem volt ténylegesen érvényesíthető jogorvoslati lehetősége a jogsértésekkel szemben.

Ilyen előzmények után 2015-ben az Európai Unió Bírósága a Schrems-ítélettel (C-362/14) érvénytelenné nyilvánította a Safe Harbor határozatot, deklarálva azt, hogy tényleges hatósági felügyelet hiányában, a védett jogok csupán elméleti, névleges biztosításával a vállalkozások nem tehetnek eleget az adatvédelmi kötelezettségeknek, így az USA-ba mint harmadik országba irányuló adattovábbításokhoz szükséges jogalap elveszett a vállalkozások számára.

A kialakult helyzetben szinte rekordidő alatt kidolgozásra került az EU-USA Adatvédelmi Pajzs, és az Európai Bizottság 2016. júliusában igazolta is az ezen pajzs által biztosított védelem megfelelőségét. Az Adatvédelmi Pajzs egyrészt már valódi védelmet kíván biztosítani azon európai polgárok számára, akiknek a személyes adatai továbbításra kerülnek az USA-ba, másrészt tiszta jogi helyzetet kíván teremteni azon vállalatok részére, akik számára mindennapos az ilyen adattovábbítás.

A szabályozás szerint az USA Kereskedelmi Minisztériuma közzéteszi az adatvédelmi pajzsban részt vevő szervezetek listáját és a szervezeteknek évente újra kell tanúsítaniuk magukat, ennek hiányában nem kezelhetnek jogszerűen az EU-ból származó személyes adatokat. A Pajzs – elviekben – biztosítékokat nyújt az USA kormányzata általi adathozzáférésekkel szemben és jogorvoslati lehetőségeket teremt az EU-s polgárok számára.

Kétségtelen, hogy a Pajzs legjelentősebb vívmánya, hogy bárki, aki attól tart, hogy személyes adatait jogellenesen kezelik, jogosult az adatkezelőhöz fordulni. Amennyiben ott nem orvosolják a panaszt, akkor ingyenes és független vitarendezési lehetőségek állnak rendelkezésre és akár a saját nemzeti adatvédelmi hatóságunkhoz is fordulhatunk a felmerülő ügyekben. A valódi jogorvoslat lehetősége a jogszerű adatkezelés irányába fordítja az adatkezelőket, így közvetetten is biztosítja a jogkövetést.

Az aktuális adatok alapján nagyságrendileg 5000 cég vesz részt az EU-USA adatvédelmi keretrendszerben és az EU álláspontja szerint az Adatvédelmi Pajzs egy sikertörténet a résztvevők nagy száma miatt. Ugyanakkor ezen jelentős résztvevő ellenére mindössze hét ügyben indított eljárást az amerikai Federal Trade Commission, amely elenyésző az adatkezelések milliárdos darabszámú halmazában.

További aggály, hogy bár az Egyesült Államok Kormánya biztosította az Európai Bizottságot arról, hogy a személyes adatokhoz az amerikai hatóságok kizárólag egyértelmű korlátok, biztosítékok és jogorvoslati lehetőségek mellett férhetnek hozzá, az amerikai fél kezdeti segítőkészsége eltűnt.

Ugyanis eredetileg vállalták a tömeges és gyakorlatilag korlátlan megfigyelést biztosító – tehát az Adatvédelmi Pajzzsal teljesen ellentétes – U.S. Foreign Intelligence Surveillance Act (FISA) vonatkozó 702. cikkének 2017. december 31. napjával való hatályon kívül helyezését, azonban 2018 januárjában azt újabb hat évre hatályában tartották „a nemzet biztonságának megőrzése és a nemzetközi terrorizmus megakadályozása érdekében”. A kötelezettség tehát deklarálás szintjén maradt.

Természetes, hogy a Facebook Inc. és az Apple Inc. is önként csatlakozott az Adatvédelmi Pajzs rendszeréhez és örömmel tanúsították önmagukról, hogy betartják az előírt elveket. A valóságban ehelyett a Cambridge Analytica-szerű adatgyűjtés tovább zajlik, és az FBI arra akarja rávenni az Apple-t, hogy építsen back doort az eszközeibe, amelyet az amerikai hatóság bűnmegelőzési vagy bűnüldözési célból használhat.

2019 novemberében derült fény arra az adatvédelmi incidensre, hogy a Facebook applikáció görgetés során automatikusan bekapcsolja az Apple eszközök kameráját és rögzíti a látottakat. Ezen világcégeknek az Adatvédelmi Pajzsnak „hála” most ismét Európai Bizottsági igazolás van a kezükben arról, hogy megfelelően kezelik a személyes adatainkat…

Felmerül a kérdés, hogy jutottunk-e előbbre az Adatvédelmi Pajzs bevezetésével, ha ilyen esetek megtörténhetnek. Felmerül az is, hogy az Európai Bizottság a bírságoláson túl miért nem lép érdemben az ügyekben. A helyzet megértéséhez segítséget nyújthat az Európai Unió Állampolgári Jogi, Bel- és Igazságügyi Bizottságának még a korábbi rendszerrel kapcsolatos problémákról szóló 2013-as jelentése, amely szerint „még ha megerősítést is nyernek egyes hibák vagy jogellenes tevékenységek, azokat egyensúlyba kell hozni az USA és Európa közötti különleges kapcsolat fenntartásának szükségességével.” Az üzleti érdekek tehát felülírhatják a jogszabályokat. Rés van a pajzson.

A szerző ügyvéd, egyetemi oktató

---