hogy az USA nemzetbiztonsági hatóságai csak a szükséges és arányos mértékben férjenek hozzá a személyes adatokhoz,
hogy ezen hatóságok adatkezelése hatékony felügyelet alatt legyen és hogy az érintett személyeknek hatékony és eredményes jogorvoslati lehetőségek álljanak rendelkezésükre.
Az amerikai Számítógép- és Kommunikációs Ipari Szövetség (Computers and Communications Industry Association) már üdvözölte a megállapodást és az európai vállalkozások és politikusok oldaláról is pozitív volt a fogadtatás. Az adatvédelmi szakma azonban szkeptikus. Az első reakció a két előző adattovábbítási megállapodást a bíróságon sikerrel megtámadó Max Schrems részéről (akinek „Semmi közöd hozzá” – None of your business elnevezésű nonprofitja a bírósági sikert követve nagy erővel küzd, hogy érvényt szerezzen az ítéletnek, bepanaszolva például az amerikai alvállalkozókat használó európai webhelyeket) igencsak brutális volt.
Az optimizmust elsősorban a jogi bizonytalanság fékezi, de az is, hogy ez csak egy elvi megállapodás, és noha heteken belülre ígérik a végleges szöveget, annak még sok fázison kell keresztülmennie ahhoz, hogy valóban érvénybe lépjen. Egyik oldalról az Egyesült Államokban hatályba kell léptetni a megfelelő jogi változásokat (erről később), másrészt az EU-ban is van még feladat. Az uniós oldalról a megoldást véleményezni fogja – a választott konkrét megoldástól függően – az Európai Adatvédelmi Biztos és a tagállamok adatvédelmi hatóságait tömörítő Európai Adatvédelmi Testület, esetleg az Európai Parlament és a Tanács is. Mindez hónapokat vehet igénybe.
Szinte biztos, hogy a konstrukció – igaz, csak hatálybalépése után – meg fogja járni az Európai Bíróságot is, amely nagyon szigorú kritériumokat szabott ahhoz, hogy egy következő konstrukciót ne találjon ismét jogellenesnek.
Itt egy kis kitérőt kell tennünk, a konkrét megoldás ugyanis legalább kétféle lehet:
az Európai Bizottságnak joga van – a fent említett konzultációk után – meghozni egy megfelelőségi határozatot, amely megállapítja, hogy a célország jogrendszere az uniós adatvédelmi normákkal egyenértékű védelmet biztosít. Az eddigi két struktúra ilyen volt, de csak a vállalkozói szektor azon cégeire terjedt ki, amelyek regisztráltak az amerikai Kereskedelmi Minisztérium által kezelt rendszerbe, és elvállalták feltételeinek teljesítését. Ezzel nem is volt komoly probléma, az adatvédelmi pajzs kiküszöbölte elődjének (a Safe Harbour-nak) a hiányosságait ezen a területen. A gond az USA nemzetbiztonsági szerveinek – főleg a szeptember 11-ei merényletek után elnyert, és Trump elnök alatt tovább erősített – szinte korlátlan jogosítványaival volt. Egy megfelelőségi határozat tűnik a valószínűbb lehetőségnek, mert a hivatalos közlemények arról beszélnek, hogy a cégek regisztrációs és megfelelési kötelezettsége nem változik, ugyanakkor van pár olyan mechanizmus, amely nem teszi szükségessé a bizottsági határozatot, a leggyakrabban használt ezek közül az Általános Szerződéses Feltételek rendszere. Ekkor az adatot fogadó cég szerződésben vállalja az adatok megfelelő kezelését, de ez nem elég. A két félnek együtt azt is elemeznie kell, hogy nincs-e a célországban olyan jogszabály vagy gyakorlat, amely lehetetlenné tenné a feltételek teljesítését. A jelenlegi amerikai jogrendről pedig az Európai Bíróság megállapította, hogy van – pont a nemzetbiztonsági célú megfigyelések területén. Ezen változtathatnának a Biden elnök által felvállalt intézkedések.
A gyakorlatban a fenti két lehetőség alapján az adattovábbítás megkezdésének időzítése és kockázata eltérő.
Először természetesen az Egyesült Államokban hatályba kell lépni a jogszabálynak és létre kell jönni a megfelelő intézményeknek. Ekkor a második verzió azt jelenti, hogy az adatátadók és –átvevők újraértékelhetik a jogi helyzetet. Ha úgy ítélik meg, hogy megfelelően biztosítottak a feltételek az átadáshoz – vagyis az új rendszer megfelel az uniós követelményeknek –, akkor azonnal megkezdhetik az adatcserét. A kockázat, hogy az adatvédelmi hatóságok, majd – ha perre kerül a sor – a bíróságok osztják-e véleményüket. Az adatvédelmi aktivisták valószínűleg ugrásra készen várják az első ilyen esetet. Természetesen nem valószínű, hogy egy kisvállalkozást fognak megtámadni, amely amerikai szolgáltatóval kínál on line oktatást vagy a Google fonts-ot használja (amennyiben ez utóbbi hozzáfér a felhasználók IP címéhez, egy legutóbbi hatósági döntés alapján megvalósul az adattovábbítás az USÁ-ba), hanem egy ismertebb nagy portálra fenik a fogukat. Újratárgyalható lesz például a Facebook írországi cégének adattovábbítása, amely a Schrems-II ügy alapja volt, és ahol az Általános Szerződéses Feltételeket használják jogi alapként. Minden konkrét eset eltérő lehet viszont, mint ahogy a francia Legfelsőbb bíróság a Doctolib ügyben – igaz, drasztikus védelmi intézkedések miatt – a jelenlegi keretben is jogszerűnek minősítette egészségügyi (tehát különösen érzékeny) adatok tárolását az Amazon felhőszolgáltatásában.
A másik út hosszabb, de a cégek számára biztosabb: megfelelőségi határozat az amerikai lépéseket követő elemzés és konzultáció után hozható meg. Ezután viszont, miután esetleges megsemmisítése nem visszaható hatályú, automatikusan jogszerű lesz az adatok továbbítása. A megsemmisítés pedig időbe telik. Ugyanakkor egy adatvédelmi hatóságnak vagy más érintettnek joga van közvetlenül az Európai Bizottságnál jelezni, hogy nem tekinti megfelelőnek az amerikai jogi környezetet, de ha erre a Bizottság nem reagál, ugyanúgy az Európai Bíróságra kerül az ügy, mint ha egy adatvédelmi hatóságot perelnének be, ahogy ez az Adatvédelmi Pajzs esetében történt.
De miért is támadják a megállapodást? Gyenge pontja, hogy a mechanizmust elnöki rendelettel (executive order) léptetnék hatályba, amely könnyen módosítható, illetve egy következő elnök vissza is vonhatja. Kérdéses azt is, hogy létrehozható-e a felügyeleti és jogorvoslati testület (utóbbi gyakorlatilag egy bíróság kell legyen, amelynek az ítéletei ténylegesen kikényszeríthetőek) elnöki rendelettel. Mindenesetre az általános várakozás az, hogy a Bíróság nem fogja ezt egy olyan megbízható rendszernek tekinteni, amelynek alapján egy megfelelőségi határozat megáll. A jogi kockázat miatt kétséges, hogy érdemes-e bevállalni az adatcserét egy ilyen helyzetben, hogy a megsemmisítéskor ismét új megoldást kelljen keresni. Várható ugyanis, hogy az első ilyen adatcsere rögtön egy adatvédelmi panasz tárgyát fogja képezni, és ha az illetékes hatóság nem lép, perre kerül az ügy. Arra pedig akár az elsőfokú bíróságnak is joga van, hogy kérdéssel forduljon a luxemburgi bírákhoz. Hogy azután a taláros testület hajlandó lesz-e sürgősséggel kezelni az ügyet, az kérdés.
Ugyancsak kérdés, hogy – noha erről nagy csend van –, hogy a megnyert időt felhasználják-e az amerikaiak arra, hogy most már törvényben is rögzítsék a feltételeket és stabil intézményeket hozzanak létre. Egyre nagyobb a támogatottsága annak, hogy – sok amerikai állam saját adatvédelmi törvényének elfogadása után – szövetségi törvény rendelkezzen az adatvédelemről. Ugyancsak törvényben lehetne a külföldi állampolgároknak az amerikaiakéval azonos jogorvoslati lehetőséget is adni (joggal fájó pontja az ügynek, hogy ezt jelenleg megtagadják). A republikánus törvényhozók érdekes dilemma előtt állnak majd: vállalkozásbarátságuk és a nemzetbiztonság mindenek felettisége között kell dönteniük. A demokraták sovány szenátusi többsége és a nemzetbiztonság és szuverenitás népszerű ügye miatt a kiszavazó demokraták is megbuktathatják a törvény azon passzusait, amelyek korlátozzák a hatóságok jogait, főleg külföldiekkel szemben.
Noha, mint említettük, a közlemény a cégek jelenlegi regisztrációs rendszerének fenntartásáról szól, nagy esélye lenne a nemzetbiztonsági adatkezelés eurokonform megoldásának az, hogy az adatokat hatóságoknak is át lehetne adni – emlékezzünk az utasadatok átadása körüli nehézségekre. De ezt senki sem említi.
Az Egyesült Államokban nem ígérkezik diadalmenetnek a jelenleg elképzelt rendszer elfogadása sem. Könnyű lesz a demokrata kormányzatot nacionalista és szuverenista oldalról támadni, és ennek egyik útja lesz a bíróság előtti eljárás. A bírósági eljárás hosszabb lehet, mint Európában, mert a teljes bírósági rendszert végig kell járnia egy ügynek, hogy a törvények megsemmisítésére jogosult Legfelsőbb Bíróságig eljusson az ügy. Az esélyek azonban ott sem állnak jól. Egyrészt az évek során a viszonylag liberális testület erőteljesen jobbra tolódott. A konzervatív, de széles látókörű (az egyetlen olyan bírája volt a Legfelsőbb Bíróságnak, aki Európában is tanított) Anthony Kennedy volt sokáig a mérleg nyelve, de 2018-ban nyugdíjba vonult. A karizmatikus Ruth Bader Ginsburg 2020-as halálával Trump elnök immár a harmadik bírát nevezhette ki és ezáltal 6:3 lett a republikánus és demokrata elnökök által kinevezett bírák aránya. Másrészt pont március elején semmisítettek meg egy olyan bírósági ítéletet, amely úgy értelmezte, a FISA (Foreign Intelligence Surveillance Act, a külföldi hírszerzés tevékenységének megfigyelését szabályozó törvény) rendelkezéseit, hogy a bíróság feladata a megfigyelés törvényességének ellenőrzése. Az ügy visszakerül az alsóbb bíróságra, de egyértelmű, hogy az állami szervek az államtitokra hivatkozva a bíróságoktól is megtagadhatják az információkat. Az ügy hiába nincs lezárva a Civil Liberties Union már az állampolgári jogok súlyos megsértésének tartja az ítéletet magát is.
Ez egyrészt előrevetíti, hogy ez a bírósági gyakorlat nem fogja kedvezően hangolni az európai bírákat. Másrészt viszont annak az esélyét is mutatja, hogy ha a rendszert megtámadják, akkor könnyen elbukik az amerikai bírák előtt is. Érthető ugyan, hogy az USA-EU közeledés egyik demonstratív lépése lehet az adatcsere-megállapodás, és új életet lehelhet a Transzatlanti Technikai-Kereskedelmi Tanácsba is, amely a Biden elhozta enyhülés egyik emblematikus eredménye lehetne. Az amúgy is meglévő tendenciát tovább erősíti az ukrajnai háború – nem véletlen, hogy pont most jelentették be a megállapodást. Ugyanakkor ha ez elbukik, mert a politikai felülírta a szakmai-jogi megfontolásokat, az hosszú időre lehetetlenné teszi egy megoldás megtalálását.
Cikk forrása:
https://www.portfolio.huKeresőszó: Google, Adatbiztonság, Adatelemzés, Adatkezelés, Adatszigor, Adatvagyon, Adatvédelem, EU, USA