Az Európai Unió és az Amerikai Egyesült Államok gazdasága adja a világ GDP-jének felét, a világkereskedelem egyharmadát, ezért a köztük fennálló kereskedelmi kapcsolatok meghatározó jelentőségűek a világpiac számára. Az EU Egyesült Államokba irányuló szolgáltatási exportja a szolgáltatási importhoz hasonlóan évek óta növekvő tendenciát mutat, ennek további támogatására a transzatlanti kereskedelmi és beruházási partnerségről 2013 óta zajlanak tárgyalások.[1] A kereskedelmi kapcsolatok szerves részét képezi az egyre növekvő adatáramlás,[2] mely egyben a személyes adatok cseréjét is jelenti, ezért gazdasági szempontból meghatározó jelentőségű az EU Egyesült Államokba irányuló adattovábbításra vonatkozó szabályozása.[3]
A személyes adatok magas szintű védelmének biztosítása, ugyanakkor a transzatlanti adattovábbítás megkönnyítése érdekében az Európai Unió Bizottsága 2000 júliusában hozott határozatában[4] megfelelő védelmet biztosító adatkezelőnek ismerte el az Egyesült Államok Kereskedelmi Minisztériuma által kiadott adatkezelésre vonatkozó elveket magukra nézve kötelezőnek elismerő szervezeteket, ezért lehetővé tette az európai személyes adatok továbbítását részükre (ún. Safe Harbor megállapodás).
Noha az Edward Snowden nevével fémjelzett megfigyelési botrány miatt a határozat felülvizsgálata már 2013 óta napirenden volt,[5] 2015 októberében az Európai Unió Bírósága a C-362/14. számú, Maximillian Schrems kontra Data Protection Commissioner ügyben hozott ítéletével végül érvénytelenné nyilvánította a keretrendszert,[6] komoly kihívás elé állítva ezzel az adatkezelőket, hogy más, az EU adatvédelmi irányelvének[7] megfelelő jogalapot biztosítsanak a transzatlanti adattovábbításra.
2016 februárjában megállapodás született az EU és az Egyesült Államok között a személyes adatáramlás új keretéről,[8] melynek eredményeként az Európai Unió Bizottsága 2016. július 12-én elfogadta az EU-USA Adatvédelmi Pajzsot.[9] A Safe Harbor helyére lépő megállapodás remélhetőleg megoldással szolgálhat az adatok biztonságával kapcsolatos aggályokra. Politikai nyilatkozatok terén szélesebb körű felügyeletet, bővebb ellenőrzési lehetőséget, hatékonyabb jogorvoslatokat ígérnek a szerződő felek.[10] Kérdéses azonban, hogy az adatkezelő szervezetek adatvédelmi követelményekre vonatkozó nyilvánosságra hozatali kötelessége, és az egyéb formális kötelezettség-vállalások mennyire jelentik a gyakorlatban is az adatvédelmi elvek megtartását.[11] Meg kell jegyeznünk, hogy egy ilyen rövid idő alatt kidolgozott "új" egyezmény kapcsán nehezen elképzelhető, hogy gyökeres változásokat hozhat az adattovábbítások, és főleg azok ellenőrzése gyakorlatába.[12] Ezért az EU-USA közötti "adatvédelmi pajzs" megállapodás, és az abból kibontakozó új rendszer tényleges érvényesülésig - sőt akár ezt követően is - kulcsszerepe lehet az Adatvédelmi irányelv EU-n kívüli adattovábbítást lehetővé tevő további jogalapjainak.
A továbbiakban ezeket az alternatív megoldásokat - az adattovábbításoknak megfelelő jogi keretet nyújtó szerződéseket és egyéb, az érintett és az adatkezelő között létrejövő megállapodásokat - mutatjuk be, kiemelve az érintett hozzájárulásának problémakörét, melyet a Facebook hozzájáruláson alapuló adatkezelési gyakorlatának elemzésével szemléltetünk.
Az Adatvédelmi irányelv rögzíti, hogy a tagállami szabályozás csak olyan harmadik - az EGT tagállamain kívüli - országokba teheti lehetővé az adattovábbítási műveleteket, amelyek megfelelő védelmi szintet biztosítanak a személyes adatok kezelésére.[13] Az egyes országok adatvédelmi színvonalának megfelelőségét az Irányelvben meghatározott szempontok értékelése alapján az Európai Bizottság állapíthatja meg.[14] Ha egy ország adatkezelési szabályai nem összeegyeztethetőek az irányelvben lefektetett követelményekkel, az adattovábbítás csak az érintett egyértelmű hozzájárulásával, illetve egyéb szempontokhoz (szerződéshez, kiemelt közérdekhez, létfontosságú érdekhez) kapcsolódóan történhet,[15] ezek hiányában a Bizottság és a tagállamok kölcsönös kötelessége az adattovábbítás megakadályozása és a probléma megoldásához szükséges egyeztetések megkezdése.[16]
A Safe Harbor keretrendszer létrehozásakor, 2000 júliusában az amerikai jogrendszer nem felelt meg azoknak az elvárásoknak, amelyeket az Adatvédelmi irányelv megkövetelt a biztonságos harmadik országoktól. Az érintett jogait középpontba helyező európai felfogás adatvédelmi szempontból szilárdabb, míg az amerikai megközelítés az üzleti szempontból rentábilisabb megoldásokat támogatta,[17] az üzleti környezet biztosítása a nyilvánosságra hozott dokumentumok[18] szerint prioritást élvezett az érintett kizárólagos döntési jogosultságának biztosítása felett. Ennek megfelelően törvényszerű volt az irányelv és a kereskedelmi érdekek összeütközése, ezért kulcsfontosságú volt egy olyan megállapodás létrehozása, amely a szükséges adatvédelmi garanciák érvényesülése mellett enged teret a transzatlanti kereskedelmi kapcsolatokhoz szükséges adattovábbításnak. A Safe Harbor ennek megfelelően a bizonytalanságok csökkentését és előreláthatóbb jogi és üzleti környezet biztosítását tűzte ki célként.[19]
A rendszer 7 alapelvből és 15 hivatalosan elismert "gyakran ismételt kérdésből" állt.[20] Az adatvédelmi elveket elismerő, önmagát tanúsító tengerentúli adatkezelő - az amerikai Kereskedelmi Minisztériumhoz történő egyszerűsített regisztráció után - jogosulttá vált a "biztonságos kikötő" használatára, tehát jogszerűen kezelhetett európai adatokat transzatlanti üzleti tevékenysége során.
Ez jelentette azt az alapvető problémát, amely végül a fent említett Schrems- ügyben csúcsosodott ki, és a Bizottsági határozat érvénytelenné nyilvánításához vezetett. A szervezetek önkéntesen léphettek a Safe Harbor-keretrendszerbe, és jelentősebb külső kontroll nélkül, saját belső szabályozóikkal kellett megfelelniük az adatvédelmi szabályoknak. Ugyan az USA Szövetségi Kereskedelmi Kamarája (Federal Trade Commission) gyakorolt
- 64/65 -
némi hatósági szerepkört a "tisztességtelen vagy megtévesztő cselekmények és üzleti gyakorlat" felmerülése esetén, ám az adatkezelő szervezetek rendszeresen megszegték a vállalt kötelezettségeiket. Gyakran a Safe Harbor elveket magukra kötelezőnek el nem ismerő adatfeldolgozókat vettek igénybe, vállalatcsoporton belül továbbították a dolgozók adatait, vagy európai személyes adatokhoz nyújtottak hozzáférést az amerikai titkosszolgálati szerveknek.[21] Pozitívumként említhetjük azonban, hogy láthatóvá tette a legnagyobb amerikai adatkezelőket, s némiképp ösztönözte őket a transzparenciára is az adatkezelési módszerek tekintetében.
Az EU álláspontja szerint[22] a biztonságos kikötő érvénytelené nyilvánításától az adatvédelmi pajzs életbe lépéséig tartó átmeneti időszakban az általános adatvédelmi szerződési feltételek, illetve a kötelező erejű vállalati szabályok[23] jelenthetik a transzatlanti adattovábbítás kizárólagos jogi alapját, de azt követően is alkalmazhatóak maradnak. Fontos kiemelnünk azonban, hogy az alternatív megoldásokat még nem vizsgálta az EU Bírósága előzetes döntéshozatali eljárás keretében. Ebből kifolyólag jogi helyzetük, megítélésük, s ebből adódóan alkalmazásuk meglehetősen ingatag lehet, mely akadályozhatja széles körű elterjedésüket.[24] Természetesen ezen jogalapok alkalmazása esetén is lehetősége van a tagállami adatvédelmi hatóságoknak vizsgálni az adattovábbítások jogszerűségét, és a 29. cikk szerinti Adatvédelmi Munkacsoport[25] is folyamatosan vizsgálni köteles a követelmények érvényesülését.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás