AZ EURÓPAI BÍRÓSÁG ÍTÉLETE A FACEBOOK ÉS ÍR ADATVÉDELMI HATÓSÁG KONTRA MAX SCHREMS ÜGYÉBEN
Ebben a bejegyzésban az Európai Bíróság 2020.07.16-i azon döntését és véleményem szerint várható következményeit ismertetem, mely azonnali hatállyal megszünteti az USA és EGT közötti adatcserét biztosító kormányközi megállapodást.
Mint várható volt, a bírósági ítélet komoly visszhangot kapott. Sok hozzáértő ember igyekezte értelmezni, és meghatározni, hogy milyen jövőbeli következményekre lehet számítani. A nyári szabadságolási időszak pont jókor jött, hogy megvárjam, amíg a nagyobb hullámok leülepszenek, és kicsit kitisztul a kép. Sajnos, még mindig nem kellően tiszta. A szakértői véleményekben találok ellentmondásokat, amelyekre jelen dokumentumomban fel is fogom hívni a figyelmet.
Összefoglaló (Ha valaki nem kívánja részletesebben átolvasni):
Az EU Bírósági ítélet alapján és a jelenlegi USA törvényi szabályozással kétségesnek tartom, hogy jogilag megfelelő egy amerikai tulajdonú, vagy ott székhellyel rendelkező internet-, vagy felhőszolgáltató online szolgáltatásait használni egy EU-s adatkezelőnek! Tudjuk, hogy a GDPR rendelet szerint, ha adatkezelőnek számítunk, a mi mérlegelésünk és felelősségünk, hogy olyan adatfeldolgozót használjunk, mely megfelel a GDPR rendeletnek. Amennyiben az mégsem teszi ezt, úgy a mi hátunkon fog a hatóság ostora csattanni, így minden adatkezelőnél fokozott átgondolását kérem, hogy milyen USA felhőszolgáltatót vesz igénybe.
Az Ítélet: Az EU Bírósági ítélet igazat adott Max Schrems-nek, hogy az USA jelenlegi törvényi szabályozása, a FISA 702 szövetségi törvény és a EO12333 elnöki rendelet alapján, ezen jogszabályok alá eső internet- vagy bármilyen felhőszolgáltatónál tárolt, nem USA állampolgárok személyes adatait nem védi oly módon, melyet a GDPR rendelt megkövetel. Az USA szabályozás gyakorlatilag minden nagy szolgáltatót kötelez (pl: Facebook, Microsoft, Amazons, Google, stb…) a tömeges titkosszolgálati adatgyűjtésre, az egyénnek pedig nincs lehetősége ez, ellen tiltakozni. Az bírósági ítélet szerint ez nem megfelelő, és ez alapján az EU-USA közötti Privacy Shield egyezményt, melyre hivatkozva ezen cégek az adataikat az EU területéről hazaküldik az USA-ba, azonnali hatállyal megszűnteti.
Az Ítélet következménye:
A GDPR alapján minden cégnek, akik EGT (Európai Gazdasági Térség) területéről gyűjtenek adatokat, ha 3. országba kívánja elküldeni, annak jogi alappal kell rendelkezni. Ilyen jogi alap volt a Privacy Shield egyezmény, amit azonnali hatállyal megszüntetett!
Mit tettek a felhőszolgáltatók? Gyorsan frissítették adatkezelési tájékoztatójukat és az angolul Standard Contractual Clauses (SCC)-nek, magyarul Általános Szerződéses Feltételeknek vagy Binding Corporate Rules (BCR) vagyis Kötelező Érvényű Vállalati Szabályoknak nevezett adatátadási mechanizmusokra hivatkozva küldik továbbra is az USA-ban található adatközpontjaiknak adatainkat. Sajnos azonban, véleményem szerint ezek sem megfelelőek, mivel az Európai Bizottság 2010/87-es rendelete, amelyre a Bíróság is hivatkozik, úgy fogalmaz, hogy az adatküldőnek mérlegelnie kell külön-külön, hogy az adatimportáló kellő garanciát tud-e nyújtani a személyes adatok védelmére. A bírósági FAQ-ban is szerepel, hogy bár rendelkezésre állnak ezek az adatátadási mechanizmusok továbbra is, az adatátadók felelőssége, hogy megfelelően mérlegeljenek, de a jogi környezet problémája továbbra is fennál az USA-ban.
Véleményem szerint, mivel a Bíróság kimondta, hogy az USA jogi szabályozása jelenleg nem megfelelő, ezért hiába hivatkoznak az SCC-re vagy a BCR-re adatátadásnál, annak is a GDPR által előírt adatvédelmet kellene biztosítani, ami a Bíróság ítélete alapján az adott cég nem tud megtenni az ottani jogi szabályozás miatt. Ráadásul az adatátadás mérlegelése és a felelősség innentől kezdve egyértelműen az internet- és felhőszolgáltatóké. Ennek jogi felelőssége, esetleges kártérítési következményei mind átkerültek az adott internet- vagy felhőszolgáltatóhoz, az államközi szerződés helyett. Ha az USA jogszabályi környezete egyszerűen nem megfelelő a GDPR-nak, akkor nem lehet egy ilyen mérlegelés pozitív kimenetelű egy az USA területén működő cégre nézve, véleményem szerint.
Ha valaki a jövőben további lépéseket tervez az amerikai internet és felhőszolgáltató felé, hogy azok hogyan kezelik adataikat. Milyen mérlegelés után kerültek az amerikai adatfogadó felé továbbításra, annak javaslom a Max Schrems weboldalán megadott sablonlevél használatát. (https://noyb.eu/en/next-steps-users-faqs ) . Véleményem szerint az elkövetkező időszakban sok ilyen megkeresés fog születni, ami azután hatósági eljárások és perek alapjait is képezheti a jövőben.
Azt gondolom, hogy az USA ezen szabályozását, a felhőszolgáltatók nyomására változtatni fogják 1-2 éven belül. Jelenleg az elnökválasztási kampány zajlik, ha ez lefut, a következő adminisztráció biztos vagyok benne, hogy fog valami változtatást eszközölni a Bíróság által igényelt módon, hogy az adatcsere újra papíron támadhatatlan lesz. Az, hogy ez valódi megoldást jelentene erősen kétlem, inkább valamilyen látszatmechanizmust hoznak létre. Amíg jelen dokumentumhoz gyűjtöttem az anyagokat olvastam olyan írást, melyben, ha jól emlékszem, 2015-ös adat szerepel, és azt írja, hogy körülbelül 1500 tiltakozó beadványt kaptak USA állampolgároktól azok a szervek, melyek a tömeges adatgyűjtést végzik (elvileg csak nem USA állampolgárok elektronikus adatiról), és egyetlen beadványnak sem adtak igazat.
Következő lépései bármely adatkezelőnek:
- Vizsgáljuk meg, hogy jelenleg milyen, nem EGT tagálami székhellyel rendelkező adatfeldolgozót használunk, és ha az az USA-ban székel, akkor keressünk alternatív szolgáltató az EGT-n belül. Itt hívnám fel figyelmüket a Beszerző Központ email, naptár és csoportmunka felhőszolgáltatására, mellyel egy Google Gsuite vagy Microsoft O365 előfizetés kiváltható és gazdaságosabb alternatívát jelent. Bővebb információ honlapunkon a https://www.beszerzokozpont.hu/email/
- Tudom, hogy nincs minden felhő szolgáltatásra EGT székhelyű alternatíva, ez esetben minimalizáljuk a lehetőségekhez képest az abban tárolt személyes adatokat. Legyünk tisztában azzal, hogy a közeljövőben, amíg nem változtatnak a jelenlegi helyzeten, ez egy kockázat az adatkezelők számára.
Ha valaki bővebben utána olvasna, az alábbi linkeken lévő tartalmak alapján dolgoztam:
https://naih.hu/files/EUB_sajtokozlemeny_cp200091hu.pdf (Európai bíróság sajtóközleménye magyarul)
https://noyb.eu/en/cjeu (Max Schrems saját portálja)
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf (Európai bíróság sajtóközleménye)
https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf (Európai bíróság FAQ-ja)
https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32010D0087&from=HU (Európai Bizottság 2010/87/EU döntése, melyre az Európai Bíróság FAQ-ja is hivatkozik)
https://dataprivacymanager.net/the-eu-court-of-justice-invalidates-eu-us-privacy-shield/ (hírportál)
https://www.fieldfisher.com/en/insights/us-surveillance-s702-fisa-eo-12333-prism-and-ups (hírportál)
Üdvözlettel,
Földvári György (DPO) Készült: 2020.08.16.
Jelen írás a szertő magánvéleményét tükrözi az dokumentum megírása pillanatában és nem tekinthető jogi állásfoglalásnak.