Az EU az asztalra csapott, mégsem szórakozhat a Facebook az adatainkkal

Az EU az asztalra csapott, mégsem szórakozhat a Facebook az adatainkkal
Megszenvedhetik az amerikai cégek a Safe Harbor megállapodás érvénytelenítését. Az eddigi automatikus adatátvitel gyakorlatának vége, az adatáramlás az európai és amerikai cégek között csak költségesebb és időigényesebb eszközökkel tehető meg.

A vonatkozó adatvédelmi szabályozás alapján az EU-ból harmadik országba történő adattovábbításra csak akkor kerülhet sor az érintett kifejezett hozzájárulása nélkül, ha a célzott harmadik országban a személyes adatok védelmének megfelelő szintje biztosított.  Ezen utóbbi minősítés volt elérhető az amerikai vállalkozások számára amennyiben magukra nézve kötelezőnek ismerték el a Safe Harbor rendszerben felsorakoztatott adatvédelmi elveket.

Ezen Amerika és EU között 15 éve hatályban lévő adattovábbítási mechanizmus alkalmasságát kérdőjelezte meg Max Schrems, osztrák joghallgató, amikor panaszt nyújtott be az Ír Adatvédelmi Hatósághoz a Facebook adatkezelésére vonatkozóan, tekintettel arra, hogy a Facebook európai felhasználóinak adatkezelését végző ír leányvállalata szintén továbbít adatokat a Facebook amerikai szerveire. Az Amerikába történő adattovábbításokkal szembeni aggályok leginkább az USA hírszerző tevékenységeire vonatkozó 2013-as Snowden kiszivárogtatásokat követően kerültek előtérbe, amikor nyilvánvalóvá vált, hogy az USA-ba továbbított adatok esetében nem biztosított adataink védelme az amerikai hatóságok megfigyeléseivel szemben.

Miután az ügy az Európai Unió Bíróságára került, a bíróság október eleji ítéletében kimondta, hogy a tagállami hatóságok, így a Nemzeti Adatvédelmi és Információszabadság Hatóság is jogosult arra, hogy megvizsgálja a harmadik országba irányuló adattovábbítások kapcsán az adatvédelmi garanciák meglétét, még akkor is, ha az Európai Bizottság a tárgyban határozatot fogadott el. Másfelől, az Európai Unió Bírósága kimondta az Európai Bizottság azon határozatának érvénytelenségét, amely a Safe Harbor rendszere alapján lehetővé tette személyes adatok továbbítását az Amerikai Egyesült Államokba.

A Safe Harbor rendszere alapján történő adattovábbítás korszaka tehát véget ért. Az Amerikába adattovábbítást végző vállalkozásoknak más garanciákat kell nyújtaniuk a továbbiakban az adatvédelem megfelelő szintjének biztosítása érdekében. Az eddigi rendszer módosítása nem várt költségeket és erőforrásokat igényel az érintett cégektől. Míg korábban elegendő volta Safe Harbor szerinti adatvédelmi elvek vállalása az amerikai vállalkozások részéről, addig az alternatív megoldások már jóval költségesebb és időigényesebb alternatívák a vállalkozások számára.

A Safe Harbor alternatívját jelentheti az Európai Bizottság által elfogadott modellszerződések alkalmazása, melyek megkötése, naprakészen tartása, esetleges időközbeni szükséges módosításai már jóval nagyobb terhet jelent a piac szereplőinek, különösen egy sokszereplős adattovábbítási konstrukció esetén.

Másik alternatívát a kötelező szervezeti szabályozás alkalmazása jelentheti, mely október 1-jétől hazánkban is elérhető. A szabályozás lényege, hogy a Safe Harborhoz hasonlóan szintén egyoldalú kötelezettségvállalás keretében nyílik lehetőség adattovábbításra harmadik célország irányába. A konstrukció biztonságát a Safe Harborral szemben az biztosítja, hogy kizárólag a tagállami adatvédelmi hatóság által jóváhagyott, kötelező belső adatvédelmi szabályzat alapján történhet az adattovábbítás.  Hátrányát jelenti azonban, hogy csak vállalatcsoporton belüli megoldás lehet a kötelező szervezeti szabályozás, külső szereplők irányába történő adattovábbításokra nem alkalmazható.

A legfontosabb üzenet a cégeknek az, hogy cselekedjenek azonnal; azok a szervezetek, akik lassan reagálnak, magukra vonhatják a szabályzó hatóságok figyelmét. Több amerikai cég már korábban kilépett a Safe Harbor, mint megfelelősségi biztosíték alól, hiszen a megállapodás már jó ideje kivizsgálás alatt volt, különösen a Snowden kiszivárogtatás óta. Most a többieknek is követniük kell őket, hogy alternatívát találjanak az adatok megfelelő szintű védelmének biztosítására.