Ütött az óra. Az Európai Unió és az USA között politikai megállapodás született a transzatlanti adatáramlás új keretéről adatvédelmi pajzs néven. A hír üdvözlendő, a játszmának azonban még koránt sincs vége. A VJT & Partners szakértőinek írása szerint az adatvédelmi pajzs jövője teljes mértékben bizonytalan, de a cégeknek már most dönteniük kell a következő lépésekről.

A Snowden-ügy hatása, avagy a biztonságos kikötőt elsodorták a hullámok? Több mint 15 éven keresztül az EU–USA közötti adattovábbítások jogi keretét az úgynevezett biztonságos kikötőről szóló határozat teremtette meg.

A biztonságos kikötő rendszerében több mint ötezer egyesült államokbeli cég és több tízezer uniós székhelyű cég vett részt, több millió polgár személyes adatait érintve – fejtette ki dr. Hacsi Gábor és dr. Várady Endre.

Az Edward Snowden által leleplezett megfigyelési botrány azonban nyilvánvalóvá tette, hogy az amerikai hírszerzés tömegesen vizsgálja az európaiak személyes adatait, tehát a biztonságos kikötő nem tölti be rendeltetését.

Ezért indította meg az osztrák jogász Max Schrems a Facebook elleni pert. Ennek következtében az Európai Bíróság 2015. október 6-án kimondta a biztonságos kikötő érvénytelenségét, hatalmas port kavarva a transzatlanti üzleti világban.

Az Európai Bíróság döntését legfőképp arra alapozta, hogy az USA hatóságai hozzáférhettek az EU-ból továbbított személyes adatokhoz, és azokat a továbbításuk céljaival összeegyezhetetlenül, nem a nemzetbiztonság védelméhez feltétlenül szükséges és arányos módon kezelték – mondták el a VJT & Partners szakértői.

Mi ellen nyújt védelmet az „adatvédelmi pajzs”?

Az EU és az USA között végre sikerült egy megállapodást tető alá hozni, és ezzel új alapokra helyezni a transzatlanti adattovábbításokat. De mi ennek az úgynevezett adatvédelmi pajzsnak a lényege?

A megállapodás legfontosabb eleme, hogy az USA írásbeli biztosítékot adott arra nézve, hogy hatóságaik csak egyértelmű korlátozások és felügyelet mellett férhetnek hozzá a személyes adatokhoz. Az USA kizárta annak a lehetőségét, hogy hatóságaik az adatokat megkülönböztetés nélkül tömeges megfigyelés alatt tartsák.

Az adatvédelmi pajzs további előnye, hogy az uniós polgárok ezentúl jogi védelemben is részesülnek az USA-ban – emelte ki dr. Hacsi Gábor és dr. Várady Endre.

Ez abban nyilvánul meg, hogy panasz esetén az uniós polgárok európai adatvédelmi hatóságokhoz fordulhatnak, amelyek továbbítják a panaszokat az USA megfelelő hatóságaihoz, továbbá lehetőségük lesz arra is, hogy az újonnan kijelölt ombudsmant felkeressék.

Az amerikai cégeknek ezen túl jobban kell óvniuk az adatokat, és szigorúbb kötelezettségeket vállalnak a személyes adatok kezelésében, valamint az egyéni jogok gyakorlásának biztosításában. Végezetül, az USA és az EU évente felülvizsgálják, hogy a vállalások teljesülnek-e.

A játszmának még nincs vége

A megállapodás fontos fordulat, a játszmának azonban még koránt sincs vége. A végleges szöveg kidolgozása akár hónapokat is igénybe vehet, hiszen több körös egyeztetésen kell átmennie, és a végleges változatba a nemzeti adatvédelmi hatóságoknak, valamint egy uniós adatvédelmi munkacsoportnak is lényeges beleszólása lehet.

Vajon az adatvédelmi pajzs megállja-e majd az Európai Bíróság próbáját? Egyes jogvédő szervezetek erősen kételkednek ebben – mutattak rá a VJT & Partners szakértői.

 „Minden tisztelet mellett egy pár levél a leköszönő Obama-adminisztrációtól nem elegendő jogi alap arra, hogy hosszú távon biztosítsa 500 millió európai polgár alapjogainak védelmét, miközben explicit amerikai törvény teszi lehetővé a külföldi állampolgárok tömeges megfigyelését” – emelte ki Max Schrems, a Facebook-per megindítója.

A fiatal osztrák jogász, Max Schrems nevét mára megtanulta a világ
AFP PHOTO / JOHN THYS
Forrás: AFP/John Thys

A VJT & Partners szakértői szerint az adatvédelmi pajzs csak akkor felelhet meg az Európai Bíróság döntésében foglalt követelményeknek, ha a megállapodásba erős garanciákat építenek, és az USA hatóságai a megállapodás kötelezettségeit a gyakorlatban is maradéktalanul betartják. Máskülönben az adatvédelmi pajzs könnyen a biztonságos kikötő sorsára juthat.

Egyelőre marad a bizonytalanság, de várhatóan az elkövetkező hetekben, hónapokban tisztábban fogunk látni – hangsúlyozta Dr Hacsi Gábor és dr. Várady Endre.

Mit tegyen a cégem?

A magyar cégeknek már most dönteniük kell arról, hogy az adatvédelmi pajzs rendszerének elfogadásáig milyen alternatív megoldásokkal legalizálják az adattovábbításokat az USA-ba (így például modell klauzulával, vagy a kötelező szervezeti szabályozással). A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis bármikor kopogtathat a cégek ajtaján, és bírságolhat is a jogellenes adattovábbítások miatt.

Az alternatív megoldások használata során a cégek maguk kötelesek ellenőrizni, hogy a személyes adatok megfelelő védelme az uniós irányelv szerint megvalósul-e, ami plusz terhet jelent az érintett cégek számára.

Az adatvédelmi jogászok azonban segíthetnek abban, hogy az adatvédelmi pajzs rendszerének elfogadásáig a cégek megfelelő alternatív megoldást alakítsanak ki – hívták fel végül a figyelmet a VJT & Partners szakértői.