Hétpecsét Információbiztonsági Egyesület

Adatvédelmi ultimátum az EU-nak és az USA-nak

Ha január végéig nincs új biztoskikötő-megállapodás, az európai nemzeti adatvédelmi hatóságok közös jogi lépéseket tesznek a törvénysértő amerikai cégek ellen.

Az európai adatvédelmi hatóságok három hónapot adtak az Európa Bizottságnak és a tagállamoknak, hogy az Európai Unió Bírósága (Court of Justice of the European Union, CJEU) által félresöpört Safe Harbor, azaz biztonságoskikötő-megállapodás alternatívájával álljanak elő. Az Egyesült Államokkal kötendő, bármilyen új megállapodásnak azonban az unió polgárainak személyes adatait ténylegesen meg kell védenie a tömeges megfigyelés gyakorlatával szemben, amely ellentétes az EU törvényeivel, figyelmeztettek a 29-es cikkely munkacsoportot alkotó hatóságok pénteken.
Miután október 6-án a CJEU határozatában kimondta, hogy az Európa Bizottság és az Egyesült Államok hatóságai között meglévő adatvédelmi megállapodás nem adja meg a szükséges jogi garanciákat, azok a cégek, amelyek a megállapodás alapján ügyfeleik és alkalmazottaik személyes adatait az EU-ból az USA-ba továbbítják, jogi vákuumban teszik ezt.

A CJEU döntését az írországi fellebviteli bíróság váltotta ki, amely az osztrák Facebook-felhasználó Maximilian Schrems és az ír adatvédelmi biztos ügyében véleményezést kért az unió bíróságától. Schrems ugyanis panasszal fordult az ír adatvédelmi biztoshoz, mondván, hogy az Edward Snowden által kiszivárogtatott dokumentumok tanúsága szerint az Egyesült Államok nemzetbiztonsági hivatala, az NSA hozzáfér az amerikai cégek által kezelt adatokhoz, tehát az a gyakorlat sem felel meg az uniós jogi követelményeknek, ahogyan a Facebook az ő személyes adatait kezeli. Schrems azért fordult az ír adatvédelmi biztoshoz, mert a Facebook európai központja Dublinban található. Miután az adatvédelmi biztos elutasította panaszát, Schrems az ír fellebbviteli bírósághoz fordult, ahol a CJEU döntését követően az ügy tárgyalása a héten folytatódott.
Egyedül abban az esetben engedi meg az uniós jog a személyes adatok továbbítását más országokba, ha azok ott ugyanolyan védelmet kapnak, mint az unión belül. Ezek a jogi garanciák többféleképp biztosíthatók, a Safe Harbor megállapodás is ilyen megoldás volt, amely lefedte a követelményeinek eleget tevő vállalatok adattovábbítását az Egyesült Államokba. A CJEU azonban most kimondta, hogy a megállapodás ugyan kötelezte a vállalatokat, az amerikai hatóságok magatartását azonban nem korlátozta. A munkacsoport szerint azok az országok, amelyekben a hatóságok a demokratikus társadalmakban elfogadott és szükséges mértéken felül hozzáférnek a személyes információkhoz, nem tekinthetők biztonságos kikötőnek.
Amíg nem születik új adatvédelmi megállapodás az EU és az USA között, a vállalatoknak időigényes és költséges jogi intézkedések - pl. a szerződésekhez hozzáadható záradékok vagy kötelező érvényű céges szabályzatok kidolgozása - által kell biztosítaniuk a továbbított adatok védelmét, vagy arról le kell mondaniuk.
Egyébként a Snowden-botrány kirobbanását követően az Európa Bizottság is felismerte, hogy a biztonságoskikötő-megállapodás nem ad kellő védelmet a tömeges megfigyeléssel szemben, és annak újratárgyalását kezdeményezte az Egyesült Államok hatóságainál.
Ezek a megbeszélések egy új megállapodás alapját képezhetik, feltéve, hogy az a hatóságokra nézve is kötelező érvénnyel szabályozza a hozzáférést, mondta ki a munkacsoport, de január végéig eredményre kell jutniuk, ellenkező esetben az uniós tagállamok adatvédelmi hatóságai összehangolt jogi lépéseket tehetnek annak érdekében, hogy az adatokat továbbító vállalatokat törvényi megfelelésre bírják.

Computerworld, 2015. október 21.

Képek


Megtekintés: 3064