Az amerikai Patriot Act[2], majd az ún. PRISM-program keretében végzett tömeges megfigyelés, melyre Edward Snowden hívta fel a figyelmet, olyan óriási hullámokat keltett az adatvédelem terén, mely most az Európai Bíróság ún. Schrems döntésében (az Európai Unió Bíróságának C-362/14. számú, Maximillian Schrems kontra Data Protection Commissioner ügyben 2015. október 6-án kelt ítélete)[1] érte el egy csúcspontját, s ezzel olyan kihívások elé állította az adatvédelemmel foglalkozókat - a jogalkotót és a jogalkalmazókat egyaránt - melyhez hasonlókkal régóta nem kellett szembenézniük. S ha a készülő egységes EU-s adatvédelmi rendelettel[3] együttesen szemléljük hatását, nyugodtan állíthatjuk, hogy valószínűleg olyan döntés ez, amely újra fogja rajzolni a korábban oly szilárdnak hitt kereteket, melyek az adatok kezelését meghatározták.
A Safe Harbor rendszer (Biztonságos Kikötő adatvédelmi elvek) alapján történő adattovábbítások jogszerűségét az EU-ban azután kezdték megkérdőjelezni, hogy az amerikai Nemzetbiztonsági Ügynökség (National Security Agency - NSA) nemzetbiztonsági célú megfigyelési programjával kapcsolatos információk (melynek során az NSA EU állampolgároknak az USA területén tárolt személyes adataihoz fért hozzá) 2013-ban napvilágot láttak. A Safe Harbor rendszer 2000 óta működött, az Európai Bizottság (Bizottság) 2000. július 26-i 2000/520/EK számú határozata alapján. A Safe Harbor rendszerhez csatlakozott, az USA területén letelepedett cégnek vállalnia kellett az USA Kereskedelmi Minisztériuma (United States Department of Commerce - DOC) által meghatározott adatvédelmi követelmények megtartását, és ekkor az EU-s adatvédelmi hatóságok úgy tekintették, hogy a cég megfelelő védelmi szintet biztosít a számára továbbított személyes adatok tekintetében. A Safe Harbor rendszerhez csatlakozó amerikai cégek alapvetően hét, a 95/46/EK Adatvédelmi Irányelv keretrendszerét követő adatvédelmi alapelvnek való megfelelést vállaltak, amelyekre tekintettel az EU elismerte a rendszer által biztosított megfelelő védelmet.[4] A hét alapelv lényege a következő:
1. Adatvédelmi tájékoztatás: a cégnek tájékoztatnia kell az érintett személyeket (i) az adatkezelési célokról; (ii) arról, hogy kérdéseikkel vagy panaszukkal hogyan léphetnek kapcsolatba a céggel; (iii) a harmadik felek típusairól, amelyeknek a cég átadja az adatokat; valamint (iv) a cég által az érintett személyeknek az adatok felhasználásának és nyilvánosságra hozatalának korlátozására felkínált választási lehetőségekről és eszközökről.
2. Választási lehetőség: a cégnek választási lehetőséget kell felkínálnia az érintett személyeknek, hogy személyes adataikat átadják-e harmadik félnek; vagy felhasználják-e az eredeti, illetve az egyén által engedélyezett adatgyűjtési céllal nem összeegyezethető célra. Különleges adatok tekintetében megerősítő vagy kifejezett választási lehetőséget kell biztosítani.
3. Adattovábbítás harmadik fél részére: ahhoz, hogy a személyes adatot harmadik fél számára átadhassák, a cégeknek alkalmazniuk kell az adatvédelmi tájékoztatás és a választási lehetőség elveit.
4. Adatbiztonság: a személyes adatot kezelő cégeknek megfelelő intézkedéseket kell tenniük, hogy megóvják az adatot az elvesztéstől, a hibás felhasználástól és a jogtalan hozzáféréstől, a nyilvánosságra hozataltól, a megváltoztatástól és a megsemmisítéstől.
5. Adatintegritás: a cég nem kezelhet személyes adatot a gyűjtés céljaival vagy az érintett személy által a későbbiekben engedélyezett célokkal összeegyeztethetetlen módon, és biztosítania kell, hogy az adatok a tervezett felhasználás szempontjából megbízhatók, pontosak, teljesek és időszerűek legyenek.
6. Hozzáférés: az érintett személyeknek hozzáféréssel kell rendelkezniük a cég birtokában lévő, rájuk vonatkozó személyes adatokhoz, és lehetőségük kell, hogy legyen a pontatlan adatok javítására, módosítására vagy törlésére, kivéve, ha az adott esetben a hozzáférés biztosításának terhe vagy költsége nem állna arányban az egyén adatvédelmi jogának a kockázatával, vagy ha ezzel más személy jogait érné sérelem.
7. Végrehajtás: a cégeknek megfelelő mechanizmusokkal kell biztosítaniuk a Safe Harbor elvek teljesítését (pl. jogorvoslati jog, belső szankciók, könnyen hozzáférhető és megfizethető független vitarendezési mechanizmusok).
A rendszerhez az USA-ban körülbelül 4000 cég csatlakozott. Az első jelentős, nyilvános kritikát 2013 júliusában Viviane Reding uniós igazságügyi biztos fogalmazta meg egy informális igazságügyi tanácskozáson Vilnius-ban: "A Safe Harbor egyezmény egyáltalán nem biztos, hogy biztonságos" - állította.[5] A Safe Harbor rendszer egészen addig zavartalanul működött, és sem a politikai döntéshozók, sem a hatóságok nem vizsgálták, hogy az NSA nemzetbiztonsági célú adatgyűjtése miatt a Safe Harbor ne biztosítana megfelelő védelmet.
A Bizottság ezt követően haladéktalanul vizsgálni kezdte, hogy a bírálatok nyomán hogyan erősíthető a Safe Harbor jogszerűsége. Ennek nyomán 2013. november 27-én 13 ajánlást tett közzé[6] a Safe Harbor végrehajtásának és megfelelőségének javítása érdekében. Az ajánlások a következők:
- 123/124 -
1. A Safe Harbor tanúsítványt vállaló cégeknek nyilvánosságra kell hozniuk adatvédelmi szabályzatukat.
2. A cégek honlapján közzétett adatvédelmi szabályzatnak minden esetben tartalmaznia kellene egy hivatkozást a DOC Safe Harborra vonatkozó weboldalára, amely felsorolja a Safe Harbor program összes aktív tagját.
3. A Safe Harbor tanúsítványt vállaló cégeknek közzé kellene tenniük az alvállalkozóikkal - például felhőszolgáltatókkal - kötött szerződéseikben szereplő adatvédelmi feltételeket.
4. A DOC weboldalán világosan meg kellene jelölni minden olyan céget, amely nem aktív tagja a programnak.
1. A cégek weboldalán található adatvédelmi szabályzatnak hivatkoznia kellene a Safe Harborral kapcsolatban eljáró alternatív vitarendezési szolgáltatóra.
2. Az alternatív vitarendezésnek könnyen hozzáférhetőnek és megfizethetőnek kellene lennie.
3. A DOC-nek rendszeresebben kellene figyelemmel kísérnie az alternatív vitarendezési szolgáltatókat, hogy átlátható és hozzáférhető tájékoztatást nyújtanak-e az általuk alkalmazott eljárás és a panaszok nyomonkövetéséről.
1. Miután a Safe Harbor keretében sor kerül a cégek tanúsítására vagy ismételt tanúsítására, az említett vállalatok bizonyos százaléka esetében hivatalból indított vizsgálatokat kellene végezni adatvédelmi szabályzataik hatékony teljesülése tekintetében (a formális követelmények teljesítésének ellenőrzésén túlmenően).
2. Ha egy panaszt vagy vizsgálatot követően a Safe Harbor elvek megsértését állapítanák meg, az érintett cég esetében egy év elteltével újabb utánkövetési vizsgálatot kellene végezni.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
