Mi szabályozza személyes adataink kezelését - az új adatvédelmi rendelet

Személyes adatok védelme

Eljött a nagy nap..

2018. május 29. - Kuviklacz

Gondolom nem én vagyok az egyetlen (egyik ismerősöm a facebookon panaszkodott is miatta), aki sorra kapja az értesítéseket azoktól, akik az adataimat nyilvántartják, hogy megfelelnek az új általános adatvédelmi rendelet követelményeinek, szíveskedjek elolvasni adatvédelmi nyilatkozatukat, esetleg bele is egyezni, illetve adjam hozzájárulásomat adataim további kezeléséhez, ha kapcsolatban akarok maradni, kapni akarom a hírlevelet stb.

Május 25-étől ugyanis alkalmazni kell az új szabályokat - két év felkészülési idő után.

A fentemlített panaszra egyik ismerősünk úgy reagált, hogy egy csomó helyről kap értesítést, amelyekről nem is sejtette, hogy kezelik (amibe beletartozik többek között a tárolás, közzététel, feldolgozás stb.) adatait, és ez már eredmény.

Annak ellenére, hogy ismertem a régi és ismerem az új szabályokat (az uniós intézményekre vonatkozó speciális szabályozás kidolgozásában érintőleg, mint egyik alkalmazó képviselője, részt is vettem), meglepett, hogy ennyi értesítést kapok. Az adatkezelés törvényességét megalapozó indokok, de az adatvédelmi nyilatkozatok kötelező tartalma nem változott lényegesen ugyanis, inkább a lehetséges szankció, az új rendelet körüli hírverés és az érintett személyek (ez a kifejezés azokat jelenti, akiknek a személyes adatait kezelik) jogainak inkább pontosítása, mint kiterjesztése lehet az, ami cselekvésre ösztönözte az adatkezelőket (akik az adatokat nyilvántartják, közzéteszik stb., vagyis akik felelősek az adatok kezeléséért). Igaz, több jogunk van megtiltani adataink kezelését, és nem számít beleegyezésnek (hozzájárulásnak) a passzív tűrés.

Akik átdolgozták adatkezelési nyilatkozatukat, azok nagy eséllyel eddig túl lazán kezelték annak tartalmát. Nem mindenkinek kellene beleegyezésünket kérni, csak azoknak, akik beleegyezés alapján kezelik az adatokat, és nem kérték meg ezt úgy, hogy az egyértelmű, informált és aktív legyen, vagyis nem egy előre bejelölt kocka bejelölve hagyása, vagy implicite a szolgáltatás használata. Ez utóbbiak ugyanis az új szabályok szerint nem számítanak beleegyezésnek.

A hozzájárulás az új rendelet kommunikációjában nagy szerepet kapott, szerintem nagyobbat, mind amennyit megérdemelt volna. Vannak ugyanis más jogalapok is, hogy adatankat kezeljék, ezek egyike például az adatkezelő jogos érdeke. És a preambulum szerint (amely persze nem része a kötelező előírásoknak, a bíróság azonban felhasználhatja a jogalkotó szándékának megállapítására) a direkt marketing is jogos érdeknek minősülhet. De például egy szerződés végrehajtása érdekében is kezelhetnek adatot a szerződéses felek.

Miért érdekesek ezek a más jogalapok? Azért, mert a hozzájárulás bármikor visszavonható, míg a más alapon történő adatkezelés ellen csak megfelelő indokkal lehet kifogást emelni. Erre sokan rá fognak jönni, ha szembesülnek azzal, hogy az ügyfeleik, akiktől megkérték a hozzájárulást, megtagadják azt az adatkezelő számára szükséges adatok kezeléséhez is. Érdemes tehát ésszerűen végiggondolni, megtagadjuk-e hozzájárulásunkat.

Milyen jogokat ad nekem az új Általános Adatvédelmi Rendelet?

Valóban nem lehet az adataimat a hozzájárulásom nélkül használni? Vagy legalább mindig tudnom kell, hogy mi történik az adataimmal?

A hozzájárulás (vagy beleegyezés) nem az egyetlen, nem is a legfőbb alap arra, hogy személyes adatokat kezeljen valaki, kivéve az érzékeny adatokat (különleges adatok kategóriája, ilyenek az egészségre, etnikai eredetre, vallásra, politikai véleményekre, szexuális orientációra vonatkozó adatok), de ezek esetében is lehet őket kezelni  meghatározott indokok esetén, például az érintett személy életét fenyegető veszély elhárítása érdekében.

Itt érdemes tisztázni két fogalmat: adatkezelésnek nevez a jogszabály majdnem minden tevékenységet, amelyet a személyes adatokkal végeznek, az érintett személy pedig az, aknek az adatait kezelik.

Az adatvédelmi szabályok két ellentétes filozófia között kell megtalálják a megfelelő kompromisszumot: sokan tartják az adatvédelmet felesleges tehernek, szerintük nekik semmi titkolnivalójuk nincsen, a "titkolózás" csak a bűnözőket, a stikliket elkövetőket védi. Ez egy kicsit "amerikai" felfogás, ahol ugyan létezik a magánélet védelme, de ez inkább annak a joga, hogy az egyént "békén hagyják", az aktív beavatkozás ellen véd (ezért lehet ott a magánélet védelme alapján alkotmányellenes az abortusz tiltásatiltásag) - amelybe beletartozik a megfigyelés, az adatok gyűjtése is, de ennél sokkal radikálisabb az európai filozófia: a személyes adatok az egyén tulajdonát képezik, és az azok feletti rendelkezés jogát csak indokolt esetben lehet elvitatni tőle. Érdekes módon a magyar Alkotmánybíróság az első értelmezés mellett tört lándzsát  3110/2013. (VI. 4.) döntése 88. paragrafusában, amikor a magánszférába történő aktív behatolás nélkül, tehát nem megfigyelés útján folytatott adatgyűjtést nem tekintette a magánszférához való jog megsértésének.

Azért az első - "nincs titkolnivalóm" - filozófia vajon azt is jelenti, hogy  egy független fiatal - aki esetleg több partnerrel is kapcsolatot tart - egyik partnerének meg kell tudnia, hogy egy másikkal  hol volt annak érdekében, hogy egy parkolási díjat (nem bírságot) behajtsanak tőle?

A szükségesség és az arányosság fontos szerepet játszanak annak meghatározásában, hogy egy adatkezelés indokolt-e vagy sem.

Az elvek tehát (zárójelben kissé egyszerűsítve tartalmuk legfontosabb elemei; fontos, hogy egyesek alól indokolt esetben kivételek lehetnek, például indokolt lehet, hogy az érintett személy ne tudjon adatai kezeléséről pl. egy vizsgálat esetén):

jogszerűség, tisztességes eljárás és átláthatóság (megfelelő jogalap kell és az érintett személynek tudnia kell az adatkezelésről és annak módjáról)

célhoz kötöttség (adatot kezelni csak meghatározott, egyértelmű és jopgszerű célból lehet)

adattakarékosság (a szükségesre kell korlátozódniuk)

pontosság (az adatoknak pontosnak és naprakésznek kell lenniük)

korlátozott tárolhatóság (csak a szükséges ideig tárolhatóak)

integritás és bizalmas jelleg (az adakothoz illetéktelenek nem férhetnek hozzá, azokat nem módosíthatják)

Az adatfeldolgozást indokolhatja:

az érintett hozzájárulása

ha az adatkezelés szerződés teljesítéséhez szükséges

az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, ha ezzel szemben az érintett személy alapvető jogainak érvényesítése nem élvez elsőbbséget, különösen igaz ez a korlátozás gyermek esetén.

Visszatérve ezután a hozzájárulásra: az új rendelet tisztázza, hogy amennyiben ez az adatkezelés alapja, egyrészt a szükséges információ birtokában,másrészt kifejezetten, aktívan kell történnie. Amennyiben például egy kocka vagy kör bejelölésével jelezzük, a kocka vagy kör nem lehet előre bejelölve, vagy azzal, hogy egy szolgáltatást használok, implicite nem adok hozzájárulást.

A transzparencia, vagyis jogom a tájékoztatáshoz minden esetben fennáll, csak nagyon korlátozott kivételekkel nem kell tudnom adataim kezeléséről és annak módjáról. Megnyugtatandó azokat, akik szerint az adatvédelem a bűnözőket védi: a bűncselekmények felderítése és üldözése szerepel ezek között a kivételeo között, sőt, a bűnüldözés és szankcionálás területén egy másik irányelv szabályozza a személyes adatok kezelését - irányelv lévén, keretei között a tagállamok szabadon határozhatnak meg szabályokat.

Megfogalmazásában új az elfeledtetés joga (így fordították, nyelvtanilag precízen). Már régóta folynak viták arról, hogy helyes-e, hogy ami egyszer felkerült az internetre, örökre megtalálható lehet. Aztán egy spanyol úr megtámadta a Google-t - sikeresebben, mint don Quijote a szélmalmokat -, hogy távolítsa el a találatai közül egy régebbi ballépésének nyomát. Az ügy az Európai Bíróság elé került, amely az akkor hatályos adatvédelmi irányelv alapján is megalapozottnak találta az érvelést, hogy az információ idővel elvesztette jelentőségét. Így aztán az új európai adatvédelmi rendeletben is megjelent ez a jog. Tartalma azonban nem azonos - a Google ügyben csak a névre végzett keresések eredményei közül kellett eltávolítani az információt, az eredeti internetes közzététel érintetlen maradt. A rendelet azonban az információ eltávolítását írja elő - értelemszerűen a feltételek is szigorúbbak. Világos azonban, hogy az információt el kell távolítani, ha nem szükséges többé - ez csak egy kokrétabb megfogalmazása az elvnek, hogy csak a szükséges információt és csak a szükséges ideig szabad kezelni -, de lehetővé teszi egyrészt a hozzájárulás egyszerű visszavonását, különösen, ha valaki gyerekként kezdett egy információs társadalomi szolgáltatást igénybe venni, másrészt lehetővé teszi (amrégi szabályoknak megfelelően, hogy egy személy speciális körülményeire hivatkozva kérje személyes adatai eltávolítását (tehát hiába jogszerű általában az adatok megtartása, az adott személy adatait indokolt lehet eltávolítani).

Azokban az esetekben, ha az adatkezelés alapja az érintett beleegyezése vagy a vele kötött szerződés, kérhető, hogy az adatokat géppel olvasható formában rendelkezésére bocsássák, illetve egy másik adatkezelőnek átadják. Ennek jelentősége szolgáltatóváltáskor van, és kiterjedhet például az e-mail fiókban tárolt levelezésre vagy a mobiltelefonos híváslistákra is. Legalábbis erre utal a jelenlegi irányelv 29. cikke alapján a tagállamok adatvédelmi hatóságai által létrehozott munkacsoport (amely jövő májusban átalakul a jóval nagyobb hatáskörű Adatvédelmi Tanáccsá) által közzétett útmutatás, amly persze felveti, hogy ennek során a híváslistában vagy e-mailekben szereplő más személyek jogait is figyelembe kell venni. Hogy ez hogy fog működni, az a gyakorlatban fog kiderülni, az útmutatás önmagában nem bír joghatállyal, de ezért említettem, hogy a testület jogutódja több hatáskörrel fog bírni.

További jogokról és egyéb gyakorlati szempontokról a következő részekben lesz szó.

Az új európai "Általános Adatvédelmi Rendelet", 1. rész

Az új „Általános Adatvédelmi Rendelet” (AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg) 2018 május 25-ével lép életbe. Meghozatalának oka többek között az volt, hogy 1995 óta, amikor az adatvédelmi irányelvet elfogadták, sok minden megváltozott a világban, az adatkezelés területén is. Emellett maga az, hogy nem irányelv, hanem rendelet született, azt jelenti, hogy minden tagállamban egységes szabályok érvényesülnek, az egyes parlamenteknek, kormányoknak csak azokban a kérdésekben van joguk külön szabályokat alkotni, amelyeken erre őket a rendelet felhatalmazza (ilyenek főleg a közhatalmi, igazgatási területeken vannak). AZ “EGT vonatkozású szöveg” kitétel pedig azt jelenti, hogy a teljes Európai Gazdasági Térségre érvényes, nem csak az EU tagállamaira. Svájcnak pedig saját érdeke, adatvédelmi szabályozását összhangba hozza az új rendelettel (és ezáltal megtartsa státusát, hogy az EU-ban élvezettel egyenértékű védelmet biztosít).

Mi ennek a jelentősége? Az, hogy a cégeknek vagy más szervezeteknek nem kell alkalmazkodniuk az egyes országokban eltérő szabályozásokhoz, hanem minden országban lényegében ugyanazoknak a szabályoknak kell megfelelniük.

Ebben és a következő posztokban a legfontosabb változásokat foglalom össze. Nem jogi precizitásra törekszem, sokszor egyszerűsítek, a főbb vonásokat vázolom, a rendelet a fenti linken megtalálható, mindenben annak a szövege az irányadó. Néhol mégis kénytelen vagyok a rendelet hivatalos magyar fordításának megfogalmazásait használni, amelyek nem feltétlenül felelnek meg a magyar köznyelvnek. Ez néhol érthető, hiszen olyan új fogalmakat vezet be a rendelet, amelyekre eddig nem volt magyar kifejezés. Ilyenek például a beépített és az alapértelmezett adatvédelem (privacy by design and by default), az elfeledtetéshez való jog (right to be forgotten), az adathordozhatósághoz való jog (right to data portability) vagy az „egységességi mechanizmus” (one stop shop). Az internetes felületeken négyzeteket kell bejelölni (a köznyelv kockának hívja, de az iskolából tudjuk, hogy ezeket szabatosan négyzeteknek kell hívni). Ugyanakkor az eddig hatályos adatvédelmi irányelvben is szereplő kifejezéseket meg kellett tartani. A személyes adatok gyűjtése, rögzítése, rendszerezése, tárolása, átalakítása vagy megváltoztatása, hozzáférhetővé tétele, stb. (a teljes lista a rendelet 4. cikkének 2. pontjában megtalálható) az adatkezelés, az ezért felelős szervezet az adatkezelő, a személyt, akinek adatait kezelik, érintettnek vagy érintett személynek, léteznek az adatok különleges kategóriái (amelyek érzékeny adatok) stb.

Az elvek nem változnak, egyes szabályok azonban szigorúbbak lesznek, másokat egyértelműsítettek. Fontos, hogy a szabályokat igazították a digitális korszak követelményeihez, de azok egyben kevésbé technológiaspecifikusak lettek, ezzel felkészülve a jövőbeni technológiai fejlődésre. Erre példa, hogy az adatkezeléshez a hozzájárulás megadásának módjai tükrözik az internet szokásait. A böngésző beállításai vagy más technikai beállítások például minősülhetnek a hozzájárulás megadásának.

A rendelet hatálya igencsak széles: mindenkire kiterjed, aki az EU-ban tartózkodó személyek adatait kezeli, kivéve a természetes személyek kizárólag személyes vagy otthoni tevékenységét. Felmerül természetesen a kérdés, hogy az interneten – pl. Facbookon – megadott adatok esetén tudni kell-e az adatkezelőnek, hogy kezeli-e európai illetőségűek adatait. Erre a rendelet tartalmaz utalást erre, a 23. preambulumbekezdésben, nem elegendő az, hogy a honlap vagy más elérhetőség hozzáférhető legyen az Unió területén, de ha egy vagy több tagállamban általánosan használatos nyelvet vagy pénznemet használ (amely nem általánosan használt saját országában), vagy utal az Unióban tartózkodó személyekre, az jelzi ezt a szándékot. Kivételt képeznek az uniós jog hatályán kívüli tevékenységek (ez nem az EU „hatásköreit” jelenti a közkeletű „oktatás, szociálpolitika nem uniós hatáskör” értelmében, annál szűkebb a korlátozás), valamint a közös kül- és biztonságpolitika, valamint a bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása. Ez utóbbi területen egy ugyanekkor elfogadott irányelv (amelyet a tagállamok saját törvényhozása ültet át nemzeti jogukba, és jogalkotási szabadságukat csak az korlátozza, hogy az nem lehet ellentétes az irányelvben meghatározottakkal) határozza meg a fő elveket és szabályokat.

A legfontosabb változás, hogy az új szabályok kevésbé az adminisztratív megfelelésre koncentrálnak, inkább a kockázat alapú megközelítést célozzák. Ezzel azonban az adatkezelők felelőssége is megnő. Az adatvédelmi hatósághoz (vagy biztoshoz – a rendelet „felügyeleti hatóságnak” nevezi) beküldött bejelentési kötelezettség helyett az adatkezelő köteles olyan nyilvántartást vezetni, amely dokumentálja, hogy az adatkezelés megfelel a rendeletnek. Eltűnik a különleges adatok kezelése esetén kötelező előzetes engedélyezés, az adatvédelmi hatósággal (biztossal) az adatkezelő „csak” konzultál. Az adatvédelmi hatásvizsgálat az első lépés. Ez tulajdonképpen egy kockázatelemzés, amely akkor kötelező, ha az adatkezelés valószínűsíthetően magas kockázattal jár. A konzultáció akkor kötelező, amennyiben a hatásvizsgálat eredménye visszaigazolja a magas kockázatot. A kockázati tényezőket ismét csak egy preambulumbekezdés sorolja fel, természetesen csak indikatív jelleggel. Ezekről az adatok különleges kategóriáinál lesz részletesebben szó, a folytatásban.

Említésre méltó a kiskorúak fokozottabb védelme is. Aki gyermekként (a korhatár 16 év; itt van a tagállamoknak joga ezt a korhatárt csökkenteni, de nem csökkenthetik 13 év alá) információs társadalommal összefüggő szolgáltatást (ilyenek lehetnek a szociális hálózatok, internetes kommunikációs szolgáltatások, a hivatalos definíció: „térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás”http://eur-lex.europa.eu/legal-content/HU/TXT/?qid=1492283545138&uri=CELEX:31998L0048) akar igénybe venni, ahhoz szükséges a gyermek feletti szülői felügyeletet gyakorló személy hozzájárulása. Ha az érintett személy (ez a neve annak, akinek a személyes adatait kezelik, azt kéri, az adatkezelő köteles törölni az adatokat minden mástól függetlenül (az „elfeledetéshez való jog” vagy „törléshez való jog” is egy újdonság a rendeletben).

Fontos változások, amelyekről a következő részekben lehet majd részleteket találni:

Az említett elfeledtetéshez való jog, amelynek értelmében azokat az adatokat, amelyeknek megőrzésére a jogalap idővel megszűnik, nem szabad tovább megőrizni – és ezzel kapcsolatban az archiválási célú megőrzés szabályozása.

Az adatok hordozhatóságához való jog, amelynek alapján kérhetjük, hogy egy szolgáltatónak egyszer már megadott adatainkat a szolgáltató gépi feldolgozásra alkalmas módon (de csak olyan módon, amelyet rendszerei lehetővé tesznek, ezáltal elkerülve, hogy ez aránytalan terhet jelentsen neki) átadja egy másik szolgáltatónak, ha kérjük.

Az „egységességi mechanizmus”, amely megoldja, hogy ha egy másik országban működő adatkezelővel van problémánk, vagy egy probléma több országot érint, ne nekünk kelljen szaladgálni egyik ország adatvédelmi hatóságtól a másikig vagy akár megkeresni, hogy melyikük az illetékes. Ez egyben egyszerűsíti az adatkezelők dolgát is, hisz nekik is csak egy adatvédelmi hatósággal lesz dolguk, még ha több országban is vannak ügyfeleik.

Meghatározza a rendelet, hogy mikor kell egy adatkezelőnek adatvédelmi tisztviselőt (vagyis az adatvédelem felelősét) alkalmaznia, és mik ennek a tisztviselőnek a kötelezettségei, jogai, milyen követelményeknek kell megfelelnie.

Az adatvédelmi incidensek (adatok kiszivárgásának, meghekkelésének) bejelentési szabályai védik az érintetteket, ugyanakkor reális követelményeket határoznak meg az adatkezelők számára.

Egyértelműbbé válnak az adatkezeléshez adandó hozzájárulás módjai. Ugyanakkor érdemes szem előtt tartani, hogy az adatkezelés hozzájárulás nélkül is lehet jogszerű, ha az indokolt – a rendelet a jogszabályon alapuló adatkezelés mellett bevezeti a „jogos érdek” (legitimate interest) fogalmát, amely lefedheti a vállalatok üzleti érdekeltségét. Viszont a fentemlített „elfeledtetéshez való jog”, tehát az a jog, amikor az érintett kérheti adatainak törlését, szélesebb abban az esetben, ha az adatkezelés nem jogszabályon alapszik.

A jogtalan adatkezelés szankciói között megjelennek a (jelentős mértékű) pénzbeli bírságok.

Említettem az adatok különleges kategóriáit (érzékeny adatokat, mint a vallásra, politikai nézetekre, egészségügyi állapotra, szexuális orientációra vonatkozó adatok). Ezek kiegészülnek a genetikai és biometrikus adatokkal, követve a technika fejlődését. Külön korlátok vonatkoznak az automatikusan hozott döntésekre, és az úgynevezett profilírozásra.

Végül pontosodnak az EU-val egyenértékű adatvédelmet nem biztosító országokba történő adattovábbítás feltételei. Az USA speciális helyzetéről az előző posztban már szó volt, a részletek a következő posztokban következnek.

Folyt. köv.

Mi a helyzet az USÁ-val?

Az Európai Parlament határozatot fogadott el, amelyben aggodalmát fejezi ki, mert az USÁ-ban gyengítik (aláássák, írják ők) az adatvédelmi biztosítékokat amelyeket a "Privacy Shield" biztosít, az EU és az USA közötti megállapodás, melynek célja, hogy az EU elismerje, hogy az USÁ-ban az európaival egyenértékű védelmet élveznek az uniós polgárok személyes adatai.

Ebben utalnak arra, hogy nemrég nyilvánosságra került, hogy 2015-ben is titkos megfigyelést végzett az NSA és az FBI számára az egyik amerikai távközlési szolgáltató, valamint felidéznek egy pár rendelkezést, amelyek gyengítik a személyes adatok védelmét. Emellett kifogásolják, hogy a Privacy and Civil Liberties Oversight Board létszáma a határozatképtelenségi határ alá csökkent - ennek a testületnek a feladata az adatkezelések felügyelete - és a Privacy Shield közvetlen felügyeletét ellátó Federal Trade Commission (az adatvédelmi együttműködés, miután amerikai vállalatok kereskedelmi érdekeit érinti, mindig is a Kereskedelmi Minisztérium alá tartozott -, nem nevezték ki a jogok új biztosát és hiányoznak a garanciák, hogy az európai polgárok az USÁ-ban hatékony jogvédelemben részesüljenek ezen a területen.

Miről szól (mondanánk pestiesen) mindez?

Az Európai Bizottság joga, hogy határozattal megállapítsa, ha egy, az Európai Gazdasági Térségen kívüli országban a személyes adatok védelme egyenértékű (nem azonos) az EU által biztosítottal. Az Egyesült Államokkal egy önminősítési rendszeren alapuló megállapodás, a "Safe Harbour" egyezmény biztosította, hogy azon vállalkozások esetén, amelyek megfeleltek az önminősítés követelményeinek és ezt bejelentették a Federal Trade Commission-nál, ezt elismerte és így ezeknek a vállalatoknak ugyanúgy lehetett személyes adatokat átadni, mint más EU-beli vállalatoknak (így például informatikai szolgáltatást végezhettek).

Egy Maximilian Schrems nevű osztrák joghallgató bepanaszolta a Facebook Írországot (a Fb európai központját) az ír adatvédelmi biztosnál, hogy adatait jogtalanul adja át az Egyesült Államokban székelő anyavállalatának.. Részletek mellőzésével: az ügy az Európai Bíróságnál landolt, amely érvénytelenítette ezt. Az indok főleg az volt, hogy a Snowden-féle leleplezések megmutatták, hogy az amerikai kormányzat tömegesen és differenciálatlanul hozzáfér az amerikai cégeknél tárolt személyes adatokhoz, valamint hogy nem áll az európai polgárok rendelkezésére megfelelő jogorvoslati lehetőség arra az esetre, ha megsértik személyes adataikhoz fűződő jogaikat.

Ezt volt hivatva kiküszöbölni az említett "Privacy Shield". Ez még nem állta ki a bíróság próbáját, de jelenleg érvényben van.

A Facebook azonban más utat választott: az EU által elfogadott "Modellszerződés" alapján adja most át az adatokat. M. Schrems ezt is megtámadta.

Amíg bíróság nem érvényteleníti mindkét megoldás jogilag megalapozott. Majd lesz egy poszt általában is az EGT-n kívülre történő adattovábbításról, most maradjunk az USÁ-nál. Mi itt a kockázat?

Nos, a vállalati megoldások problémája az, hogy nem védenek az állami beavatkozás ellen. A "P.A.T.R.I.O.T." act (angolul egyrészt hazafit jelent, másrészt a törvény részletes megnevezésének rövidítése) ugyanis kötelezővé teszi minden vállalat számára, amely a hatálya alá tartozik, hogy személyes adatokat adjon át, ha az amerikai hatóságok a terrorizmus elleni harc érdekében szükségesnek tartják. A törvény hatálya alá pedig azok az Amerikán kívüli vállalatok is odatartoznak, amelyek jelentős tevékenységet folytatnak az USÁ-ban, és "természetesen" elvileg idetartoznak az amerikai cégek európai leányvállalatai is.

Legújabban az okozott némi felzúdulást, hogy Trump aláírt egy elnöki rendeletet, amely szerint senki nem tagfadhatja meg adatok kiadását, ha nemzetbiztonsági szempontból szükséges. Van azonban a rendeletben egy félmondat: "a hatályos jogszabályok keretei között". Ebbe beleértendő a "Privacy shield"-et életbe léptető rendelet is. Ezt Az USA külön megerősítette az Európai Bizottságnak.

A "Privacy Shield" szerepe, hogy az európai polgárok számára védelmet, illetve jogorvoslati lehetőséget biztosítson. A Trump által nemrég hozott rendelet, amelyben ismét előírta, hogy adatvédelmi megfontolások nem állhatnak az állambiztonsági okból kért adatok kiszolgáltatásának útjába, tartalmaz egy kitételt: "a hatályos jogszabályok betartásával". A "Privacy Shield" keretében elfogadott jogszabályok is ide tartoznak, tehát jogilag minden rendben van. De hogy a bíróságok hogy fogják ezt megítélni, az kérdéses.

És bizonyos esetekben ez amerikai bíróságokra fog hárulni. Két ügy van folyamatban, mindkettő az amerikai biztonsági szolgálatoknak az amerikai cégek európai leányvállalatai által Európában tárolt adatokra vonatkozik, A Microsoftnak sikerült nyernie: nem köteles kiadni az adatokat. A Google egy másik bíróságon vesztett. Kis különbség, hogy a Google nem állította határozottan, hogy az adatok kizárólag Európában vannak tárolva, ő azt állította, hogy nem tudja, hogy vannak-e adatok az USÁ-ban. A különbség számottevő, de nem döntő. Mindkét ügy megy feljebb, és valószínűleg az USA Legfelsőbb Bíróságán fog kikötni.

Ott valószínűleg azután tárgyalják, hogy Trump kinevezte az új elnököt és saját jelöltjét állítja az elhúnyt Scalia helyére. Az eredmény legalábbis kétséges mind az USA, mind az Európai Bíróság ismét visszaküldhet minket a start mezőre.