Újra válságban a transzatlanti adatexport
Újra az uniós bíróság előtt a transzatlanti adatexport kérdése. Az alany újra a Facebook, de a gyakorlatban az amerikai szabályozásról kell véleményt alkotnia majd az bíróságnak.
Kikéri az Európai Unió Bíróságának állásfoglalását az írországi igazságszolgáltatás az amerikai-uniós adattranszferek ügyében - robbant ma reggel az új adatvédelmi bomba. Az írországi High Court (tulajdonképpen legfelsőbb bíróság) ugyanis úgy döntött, hogy nem dönt saját hatáskörben egy új kritikus ügyben, hanem kikéri a legfelsőbb uniós bíróság, az Európai Unió Bíróságának (CJEU) véleményezését. Ezzel új szintre emelkedik a transzatlanti adatexport jelentős részét irányító szabványos szerződéses feltételek vizsgálata - és jelen állás szerint könnyen a Safe Harbor útjára (és a történelem süllyesztőjébe) kerülhet.
The story so far
Az ügy maga roppant komplex, de érdemes felgyűrni az ingujjat és elmerülni benne. Kezdjük tehát az elején: az Edward Snowden-féle szivárogtatással és a PRISM-program nyilvánosságra kerülésével indul a történet, ennek során vált egyértelművé, hogy az amerikai nemzetbiztonsági szolgálat válogatás nélküli megfigyelésnek veti alá az összes külföldi állampolgárt, akinek adatai amerikai szervereken landolnak. Az információ birtokában egy osztrák ügyvéd (pontosabban akkor még csak jogászhallgató), Max Schrems mintapert indított a Facebook ellen, miszerint a cég megsérti az uniós szabályozást. Mivel a Facebook az adatexportot írországi leányvállalatán keresztül végzi és az uniós polgárok elsősorban ezzel az entitással kerülnek kapcsolatba, a perre is Írországban került sor. Az ügy tétje azonban ennél sokkal fontosabb volt: a tesztper ugyanis az Egyesült Államok és az Európai Unió között megkötött, az adatexportot lehetővé tévő megállapodást vizsgálta - és végül erről hozott döntést az Európai Unió Bírósága is, amikor eltörölte a Safe Harbor mechanizmust.
Max Schrems - felnőtt a feladathoz.
Most az ügy második fejezete zajlik, Schrems a Facebook által bevetett alternatív mechanizmust, a Standard Contractual Clauses-t (bővebben lásd lejjebb) vette célkeresztbe. Az új körben tehát az a tét, hogy az SCC kiállja-e a bíróság próbáját és ténylegesen alkalmas-e arra, hogy megvédje az uniós polgárok személyes adatait az amerikai hatóságok jogszerűtlen (és uniós alapjogokat sértő) vizsgálódásaival szemben. Az Európai Unió Bírósága lassan őrlő malom, a fórum átlagosan másfél év alatt hoz döntést az elé kerülő ügyekben - az előző, Safe Harbor-ügyben is hasonló, 1 év 3 hónapos időszak alatt foglalt állást.
Modellek és kitételek
Az EU szigorú szabályokkal védi az uniós polgárok személyes adatait, így kemény feltételek vonatkoznak arra is, hogy milyen feltételekkel lehet ezeket más, nem-EU-s országokba kivinni és ott tárolni. Az alapelv itt, hogy olyan területen lehet tárolni uniós polgárok adatait, ahol az adatvédelem legalább olyan erős, mint otthon az unió területén. Erre több mechanizmus is létezik, az egyik a Safe Harbor (majd annak elkaszálása után helyébe lépő Privacy Shield), de szintén elfogadott a "szabványos szerződéses feltételek" (Standard Contractual Clauses - SCC) illetve a kötelező erejű vállalati szabályok (Binding Corporate Rules - BCR).
Mindegyik mechanizmus némileg eltérő feltételrendszert hordoz egymástól pedig jobbára függetlenek - így például a Safe Harbor eltörlése után sok cég nem várta meg az utód szabályozást, hanem átállt a két megmaradt mechanizmus egyikére. Így tett az egyik legnagyobb adatkezelő, a Facebook is, amely jelenleg az SCC mechanizmust használja az uniós polgárok adatkezelésére.
Az SCC (más néven Model Clauses vagy Model Contracts) az európai hatóságok által elfogadott feltételrendszer. Lényege, hogy ha ezeket egy cég belefoglalja a felhasználókkal kötött megállapodásokba (és persze be is tartja ezeket), akkor teljesen jogszerűen viheti a felhasználók adatait az EU-n kívülre - külön engedélyezési procedúra nélkül. Az SCC mechanizmus nagy előnye egyébként, hogy az adatkezelő olyan szigorú feltételrendszert tesz maga számára kötelezővé, hogy az adatokat ettől a ponttól bárhová viheti - nem csak olyan országokba, amelyek az EU-val megegyező adatbiztonságot garantálnak.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A kitételek között az adatbiztonságra (adatlopás elleni védelem), az adatalany széleskörű informálására (hatósági adatigényléskor, érzékeny adatok átadásakor, szándékos vagy téves adatszivárgáskor), illetve az adatok törlésére vagy módosítására vonatkozó felhasználói jogok is szerepelnek. Ezen túl a szerződésnek a kártérítési igényt is szükségszerűen tartalmaznia kell szerződésszegés esetére, továbbá ki kell kötnie, hogy a szerződő fél aláveti magát valamelyik európai adatvédelmi hatóságnak (DPA-nak), vagyis annak joga lesz vizsgálni a kitételek betartását.
Oda szúr, ahol igazán fáj
A folyamatban lévő ügy főszereplője a Facebook, de a gyakorlatban rengeteg más cég is érintett a kérdésben - a Microsoft például különböző felhős megoldásaiban használja az SCC-t, ráadásul az SCC-n alapszik az Azure-t vagy épp Dynamics 365-öt használó más nemzetközi cégek adatkezelése is. Az SCC-kkel kapcsolatos negatív döntés első körben tehát az amerikai nagy szolgáltatóknak fájna, következő körben viszont az ő ügyfélkörük is megsínylené azt. Persze az alternatíva még rosszabb, ha kiderül, hogy az évtizedes mechanizmus nem alkalmas arra, hogy megvédje az uniós polgárok személyes adatait.
A Facebook itt kicsit Pilátus a krédóban, a cég ugyanis csak egy a sok szereplő közül, amelyek az SCC-t használják - de messze legnagyobb is, ha csak az ügyfelek számát tekintjük. A perben így meglehetősen paradox módon a cégnek kell védelmeznie az amerikai törvényi szabályozásokat és bizonyítania, hogy azok megfelelő védelmet nyújtanak a személyes adatok számára.
Az ügy másik furcsasága, hogy Schrems keresetében nem kifogásolta hivatalosan az SCC-t, csupán annak Facebook általi használatát és azt kérte az ír adatvédelmi hatóságtól, hogy állítsa le a Facebook amerikai és ír ága közötti adatcserét. A kérdést az ír DPA (data protection authority) eszkalálta és kiterjesztette az SCC egész rendszerére és indítványozta, hogy erről ne az ír bíróság, hanem az EU Bírósága hozzon döntést. Ezt az álláspontot fogadta el a bíróság és élt a lehetőséggel, hogy véleményezést kérjen az uniós bíróságtól.
Schrems álláspontja szerint erre az eszkalációra nem volt szükség, az ír DPA számára ugyanis pontosan az SCC garantálja a lehetőséget arra, hogy a jogszerűtlen adatexportot letiltsa. A jogszerűtlenség megállapítását azonban az amerikai cégekhez amúgy roppant közel álló DPA nem kockáztatta meg, hanem kezeit mosva inkább átpasszolta azt az uniós fórumnak.