Ellehetetlenülhet a Facebook európai működése

Transzatlanti adatvédelmi/adatforgalmi krízist robbanthat ki Írország azzal a helyi adatvédelmi biztos által előkészített határozattal, mely megtiltja a Facebook írországi leányvállalata - egyben a cég európai központja - számára, hogy európai uniós állampolgárok személyes adatait átadja az amerikai központnak. A határozat egyenes következménye annak az Európai Bíróságon júliusban született ítéletnek, mely kimondja, hogy az Amerikai Egyesült Államok és az Európai Unió közt kötött Privacy Shield adatvédelmi egyezmény nem tudja betölteni funkcióját, ezért hatályon kívül kell helyezni.

Már a Privacy Shield, illetve annak elődje, a Safe Harbor kapcsán született ítéleteknél is elsősorban a Facebook adatkezelési rutinja került célkeresztbe: mindkét esetben lényegében ugyanazon az adatkezelési gyakorlaton levezetve nyert bizonyítást, hogy a megállapodásban foglaltak nem elegendőek ahhoz, hogy az uniós állampolgárok személyes adatait az EU elvárásainak megfelelően kezeljék a tengerentúlon. Így a luxembourgi székhelyű testület a nyáron is elsősorban azt vizsgálta, hogy a Facebook írországi leányvállalata milyen, EU-s állampolgárokat érintő személyes adatokat ad át a kaliforniai anyacégnek és azt pontosan hogyan teszi.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A bíróság a Privacy Shield elkaszálásával kimondta ugyanakkor azt is, hogy a Bizottság 2010/87 számú határozata továbbra is érvényben marad - ez írja elő, hogy a szolgáltatóknak milyen általános szerződési feltételekkel (ÁSZF) engedélyezett a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítása. Az ír adatvédelmi hatóság lényegében erre a bizottsági állásfoglalására hivatkozva állapította meg, hogy - a Facebook esetében - az amerikai és európai entitások közti adatcsere folyamatát nem lehet a jelenlegi módszerrel, pusztán az ÁSZF-ekben meghatározott feltételekkel szabályozni.

A helyi adatvédelmi hatóságnak egyébként minden jogalapja megvan erre, a fenti bizottsági határozat szövegezése szerint ugyanis a tagállamok illetékes hatóságai a magánszemélyek – személyes adatainak feldolgozására tekintettel történő – védelme érdekében élhetnek azzal a jogukkal, hogy megtilthatják vagy felfüggeszthetik a harmadik országokba történő adattovábbítást, ha

• megállapítják, hogy az adatátvevőre vagy a további feldolgozóra irányadó jog olyan követelményeket támaszt vele szemben, amelyek értelmében el kell térnie az alkalmazandó adatvédelmi jogtól, .... és amennyiben ezek a követelmények vélhetően jelentős hátrányos hatással lesznek az alkalmazandó adatvédelmi jog és az általános szerződési feltételek által nyújtott garanciákra;
• az illetékes hatóság megállapította, hogy az adatátvevő vagy a további feldolgozó nem tartotta be a mellékletben szereplő általános szerződési feltételeket; vagy
• nagy a valószínűsége, hogy a mellékletben szereplő általános szerződési feltételeknek nem tesznek eleget vagy nem fognak eleget tenni, és az adattovábbítás folytatása súlyosan veszélyeztetné az érintetteket.

Az ír adatvédelmi biztos határozatára válaszul a Facebook közölte, amennyiben a szerződési feltételek a jelenlegi formájukban nem tudják betölteni a fenti célt, az rövid távon káoszt okozhat a világgazdaságnak, hatását pedig a gazdaság számos területén működő kisebb és nagyobb piaci szereplők egyaránt meg fogják érezni. Így a Facebook szerint az ír döntésnek a közösségi szolgáltatás európai működésén túl hatása lehet lényegében az összes amerikai központú felhőszolgáltatás, videokonferencia-platform és hasonló megoldás európai működésére.

Az óceán két partján elhelyezkedő államoknak és nemzetközösségnek a fentiek tükrében minden eddiginél sürgetőbbé vált egy olyan, kikezdhetetlen adatvédelmi egyezmény tető alá hozása, mely a Privacy Shield helyét betöltheti, ám az ehhez szükséges munka java még hátra van, ami az ír döntés fényében számos szolgáltató működésének alapjait bizonytalaníthatja el.