Tegnap megszületett a döntés: az Európai Unió Bírósága kimondta, hogy az amerikai megfigyelési ügyek rávilágítottak arra, hogy az Egyesült Államok és az uniós államok közötti biztonságos adatcserét biztosítani hivatott Safe Harbor keretrendszer nem alkalmas az európai polgárok adatainak megvédésére, így az egyezményt és az általa kínált könnyítéseket érvénytelennek kell tekinteni.

A panasz

A várhatóan igen komoly következményekkel járó határozathoz vezető útról az IT café is beszámolt nemrég.

A szóban forgó pert egy osztrák állampolgár, Maximillian Schrems indította Írországban, miután az ír adatvédelmi hatóság elutasította a panaszát. Schrems azzal érvelt, hogy szerinte az amerikaiak az európai adatvédelmi szabályokat megszegve jutnak hozzá európai polgárok adataihoz – példaként az NSA-t hozta fel (Edward Snowden kiszivárogtatásaira alapozva), illetve a Facebookot, akik Schrems megítélése szerint szintén jogtalanul juttatják el az Egyesült Államokba a felhasználók személyes adatait. Mivel az ír legfelsőbb bíróság nem tudott dönteni, ezért fordultak állásfoglalásért a törvényértelmezési célból fenntartott CJEU-hoz, melynek vezető szakértője egyetértett a panaszossal, és a Safe Harbor szerinte sem alkalmas az uniós polgárok jogainak megvédésére. És mivel a vezető szakértő véleménye a bíróságon kiemelt súllyal esik latba a végső döntésnél, így nem meglepő, hogy a bíróság most is azonosult ezzel az értelmezéssel.

Következmények?

A Safe Harbort 15 évvel ezelőtt alakították ki, és azóta már nagyon sok amerikai vállalat használta ki a kereteit, köztük a legnagyobbak is, például az IBM vagy a Google. Célja az, hogy az Európa és az USA közötti adatáramlás átlátható módon, biztonságosan, az európai adatvédelmi előírásoknak megfelelően történjék. A keretrendszert az utóbbi években már igen sok kritika érte, mivel önkéntes alapon működik (az amerikai vállalatok megígérik, hogy betartják az előírásokat, és kész), ellenőrző vagy jogorvoslati gyakorlata pedig valójában nem létezik az Egyesült Államokban.

A bíróság határozatának indoklásában kimondta, hogy a közelmúltban kirobbant megfigyelési botrányok egyértelműen bizonyítják, hogy a keretrendszer alkalmatlan az európai polgárok személyes adatainak védelmére, ráadásul az amerikai szabályozás hiányosságai miatt az uniós polgárok jogilag nem tudnak fellépni olyankor, ha visszaélnek az adataikkal.

Az Egyesült Államok képviselői hivatalosan is sajnálkozásukat fejezték a döntés után.

Hasonlóképp nyilatkoztak a nagy amerikai vállalatok is. Még nem tudni, hogy egy új megállapodás milyen feltételeket szabna, de az adatmozgás korlátozása, illetve megnehezítése minden bizonnyal költségnövekedéssel járna, pl. át kellene alakítani e vállalatok európai adatközpontjai, illetve újak építése is szükségessé válhat, és ez különösen az Európában is tevékenykedő amerikai kkv-kat érintené kellemetlenül.

Egyelőre cseppfolyós a helyzet

Az ítélet a kihirdetés időpontjától kezdve hatályos, így sürgető a helyzet rendezése. Frans Timmermans, az Európai Bizottság alelnöke közölte, hogy folytatják a már korábban megkezdett munkát, hogy egy új szabályrendszert alakítsanak ki a transzatlanti adatáramlás módszereire.

Addig maradnak az alternatív megoldások, melyeken most már gőzerővel dolgoznak a jogászok. Az EU egyébként mindössze 11 országnak adta meg az „adatvédelmileg biztonságos” minősítést (vagyis ahol olyan a jogi környezet, hogy az kielégíti az európai adatvédelmi előírásokat), és az Egyesült Államok e bírósági döntéssel most elveszítette ezt a státuszt. Ez a gyakorlatban azt jelenti, hogy mostantól külön, egyedi szerződésekkel, általában meglehetősen bürokratikus eljárással lehet európai adatokat nem biztonságos országokba eljuttatni.