Újabb hullámok az USA-ba irányuló adattovábbítások vizein
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az USA-ba irányuló személyes adatok továbbítása a GDPR alkalmazásának kritikus területe; egy évek óta húzódó, átmeneti megoldásokkal tűzdelt, megoldhatatlannak látszó probléma. 2022-ben a felek újra a tettek mezejére léptek, ezek bemutatására vállalkozunk cikkünkben.
Az elmúlt évek során végig kísérhettük számos megoldási kísérlet jogi sorsát az adattovábbítások jogszerű megvalósításáról, kezdve az Adatvédelmi Pajzs kritikájával, majd érvénytelenítésének jogkövetkezményeivel, végül pedig az EDPB alapvetései adtak hasznos iránymutatást.
A mindennapos, rutinszerű, tömeges adattovábbításokat az USA-beli importőr felé mindeddig egyik jogi eszköz sem tudta teljesen jogszerűvé tenni, mert bár rendelkezésre álltak ugyan megújított standard szerződéses klauzulák (SCC-k), de az amerikai jogrendszer és jogalkalmazás miatt valójában nem biztosítható a megfelelő védelmi szint. Érintettként azt gondoltuk, hogy ezen a helyzeten Európából nem is lehet változtatni, és valljuk be, magánemberként lassan bele is nyugodtunk, de legalábbis nem tettünk ellene, hogy európainak álcázott adatkezelők és adatfeldolgozók továbbították mégis személyes adatainkat az USA-ba. Vannak persze cégek, amelyek a helyzet ismeretében gazdasági kapcsolataikat úgy alakították, hogy ne kelljen ilyen adattovábbításokat végezniük, azonban ezt jellemzően csak a tőkeerős, nagyobb társaságok engedhették meg maguknak.
Az Európai Bizottság – a Schrems II. ítélet után – két éve tett vállalása, miszerint „azonnal felveszi a kapcsolatot amerikai partnereivel, hogy közösen megerősített és tartós adatvédelmi mechanizmust dolgozzanak ki”, 2022-ben végre eredményt hozott.
2022 márciusában az Európai Bizottság és az USA elnöke bejelentette[1], hogy elvi megállapodásra jutottak egy új EU – USA Adatvédelmi Keretrendszer létrehozásáról, amely képes kezelni az Európai Unió Bírósága által meghozott ítéletben megfogalmazott aggályokat. Ezek a Foreign Intelligence Surveillance Act (FISA) 702. cikke és az 12333. Elnöki Rendelet arányosság követelményének való megfelelés hiánya, az e rendelkezéseken alapuló megfigyelési programok tényleges szükségességének és az amerikai ombudsman végrehajtó hatalomtól való függetlenségének megkérdőjelezhetősége, továbbá a hatékony jogorvoslathoz való jog hiánya voltak. Az elvi megállapodás szerint az adatáramlás szabad és folyamatos lehet az EU és az amerikai cégek között, amelyhez csak a szükséges és arányos mértékben férhet majd hozzá az amerikai hírszerzés.
2022 októberében a Biden-adminisztráció alatt megszületett az Elnöki rendelet (Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities – October 7, 2022.), amely a hírszerzési tevékenységek garanciáinak megerősítését célozza, és amely az USA-beli legfőbb ügyész által kiadott szabályokkal együtt a fenti megállapodás elemeit kötelező jogi keretek közé ülteti.[2]
A legfontosabb vívmány, amely nélkül az elemi probléma nem lett volna orvosolható, hogy az Elnöki Rendelet korlátozza az amerikai titkosszolgálatok uniós adatokhoz való hozzáférését, egyidejűleg kötelezi ezen szervezeteket a tevékenységükre vonatkozó elvek és eljárások felülvizsgálatára. A Rendelet szerint a titkosszolgálatok munkájának a magánélet védelme és a polgári szabadságjogok szerves részét kell, hogy képezze. Ezután a titkosszolgálatok csak akkor jogosultak végrehajtani bizonyos tevékenységeket, ha az „összes releváns tényező észszerű értékelése alapján” megállapítást nyert, hogy a tevékenységek szükségesek a célok eléréséhez. Némiképp rontja az összképet és újabb kiskaput nyithat, hogy a Rendelet szerint nem feltétel, hogy a titkosszolgálati aktivitás az egyetlen módja legyen a hírszerzési célok elérésének.
Megjelenik továbbá az arányosság követelménye és az elvárás, hogy az ilyen tevékenységeket csak meghatározott nemzetbiztonsági célok elérése érdekében végezzék. A célok között szerepel a kémkedés és a terrorizmus elleni küzdelem, továbbá az USA nemzetbiztonsága védelmében például más kormányok tevékenységének vagy céljainak megismerése és értékelése is, csakúgy mint nemzetközi bűncselekmények vagy a kiberbűnözés elleni védekezés. A listát az USA elnöke jogosult bővíteni. A tiltott célokat is felsorolja a Rendelet, amelyek között szerepel a szabad véleménynyilvánítás elnyomása, a jogos privacy érdekek és a diszkrimináció, valamint a jogi védelemhez való jog korlátozása, illetve amerikai cégek gazdasági előnyhöz juttatása a gyűjtött adatok, üzleti titkok felhasználásával. A rendelet szerint a célzott gyűjtést előnyben kell részesíteni, a tömeges adatgyűjtés csak akkor engedélyezhető a hírszerzés vezetői által, ha a célzott adatgyűjtés valószínűsíthetően nem vezetne eredményre. Az adatkezelés módjának szabályai között rögzítésre került annak célhoz kötött jellege, a minimalizálás követelménye, a korlátozott adatátadás, illetve az adattovábbítás részletei, a szükséges ideig, megfelelő adatbiztonsági és hozzáférési követelmények mellett történő tárolás, majd kötelező törlés is.
Kialakításra került továbbá egy kétszintű jogorvoslati rendszer, külön felülvizsgálati bíróság létrehozásával. Az első szinten az uniós polgárok panasz nyújthatnak be az úgynevezett „polgári szabadságjogok védelméért felelős tiszthez” az amerikai hírszerzés szervei illetve tevékenysége ellen, akinek a panasz elbíráló határozata kötelező érvényű lesz, és meghatározza a megfelelő kártérítést is. A második szinten a tiszt határozata elleni fellebbezés elbírálása történik, amelyet az amerikai legfőbb ügyész által létrehozott Adatvédelmi Felülvizsgálati Bíróság lát majd el, amelynek tagjait az amerikai kormánytól függetlenül jelölik ki, döntése pedig szintén kötelező erejű lesz.
Az új keretrendszer – elődjeihez hasonlóan – a cégek öntanúsításon alapuló megfelelésére épít, erős adatvédelmi kötelezettségek megfogalmazása mellett. Az európai jogász számára érhetetlen, hogy miért egy, az alkalmatlanságát már számtalanszor megállapított mechanizmust kell újra életre hívni. Az ön- és társszabályozás jól működik bizonyos szektorokban, még a fogyasztóvédelmi jogban is megállja a helyét egy-egy esetben. Talán ez utóbbi indok arra, hogy újra ehhez a megoldáshoz nyúltak az amerikaiak: az adatvédelemhez való hozzáállásuk ugyanis alapjaiban tér el az európai szemlélettől, a személyes adatot pénzben mérhető javakként kezelik, és a vonatkozó szabályok is a fogyasztóvédelmi jogi területen voltak korábban elszórtan fellelhetők. Azonban míg egy fogyasztó panasza ilyen keretrendszerben könnyen orvosolható, addig egy adatvédelmi incidens olykor visszafordíthatatlan károkat és sérelmeket is okozhat, amelynek megelőzésére vagy reparálására kevéssé alkalmas a módszer.
Az Európai Bizottság új megfelelőségi határozat formájában készül a fentiek jogi elismerésére, amelyben az Európai Adatvédelmi Testület friss, 2023. februárban kiadott véleményének is meghatározó szerepe lesz. A Testület elismerte, hogy érdemi előrelépés történt az Elnöki Rendeletben a korlátozásokat illetően, de elvárja, hogy a hírszerzés szervei a Rendeletnek megfelelően aktualizálják eljárásaikat és adatvédelmi politikájukat, amely kötelezettséget a Rendelet is előír. A Testület aggályát fejezi ki a tömeges adatgyűjtés lehetőségének fenntartása és bizonyos fogalmi pontatlanság miatt és további pontosítást kér az érintettek jogainak körében, különösen a hozzáférés és a tiltakozás gyakorlása tárgyában, továbbá az egyes hírszerzők közötti adatátadások szabályozását is szigorítaná. Bár a Testület véleménye nem kötelező erejű, az Európai Bizottság bizonyosan figyelembe veszi majd a döntéshozatalkor.
Látható, hogy a két éve tett vállalás valós eredményre még nem vezetett, de az amerikai jogalkotás a megfelelő irányban indult el. A kérdés, hogy az elnöki rendelet gyakorlatban való alkalmazása eléri-e azt a védelmi szintet, amelyet a Schrems-ítélet még 2015-ben deklarált. Az elmúlt évek tapasztalatai alapján vannak kétségeink.
Források:
https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100
https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045
https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/
Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework | European Data Protection Board (europa.eu)
[1] https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045
[2] https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/