A magánélet védelméért az eddiginél szigorúbb uniós intézkedésekre van szükség a felhasználói adatok továbbítása terén – mondta ki az Európai Unió Bírósága.

Az Európai Unió Bírósága érvénytelenítette csütörtökön az Európai Unió és az Egyesült Államok közötti, a személyes adatok továbbítását lehetővé tevő adatvédelmi megállapodást. A bírák aggodalmukat fejezték ki amiatt, hogy az úgynevezett adatvédelmi pajzs (Privacy Shield) rendelkezései alapján továbbított adatok "nem korlátozódnak a feltétlenül szükséges információkra" az uniós állampolgárok adatainak amerikai feldolgozásakor.

Mint emlékeztettek, az általános adatvédelmi rendelet (GDPR) szerint az érzékeny adatok csak akkor továbbíthatók valamely unión kívüli országba, ha az adott ország ezen adatok számára megfelelő védelmi szintet biztosít. Az adatok továbbítása csak akkor lehetséges, ha az érintettek érvényesíthető jogokkal és hatékony jogorvoslati lehetőségekkel rendelkeznek.

A bíróság arra figyelmeztetett, hogy a személyes adatok védelméről szóló amerikai korlátozások nincsenek úgy szabályozva, hogy megfeleljenek az uniós jog követelményeinek.

Érintett a Facebook is

A mechanizmus érvénytelenítése hatással lesz a Facebook közösségi oldalra, valamint más cégek ezreire – írja a Wired. Ugyanakkor visszatérhetnek az adatvédelmi pajzs rendelkezéseinek 2016-os kidolgozása előtt használt, SCC nevű egyezséghez. Ez – vagyis a személyes adatok unión kívüli országokban működő vállalatoknak való továbbítására vonatkozó, az általános szerződési feltételekről szóló európai bizottsági határozat – továbbra is érvényes az uniós bíróság ítélete szerint. Az SCC-t 2015 után kezdték alkalmazni: akkor érvénytelenítették ugyanis az amerikai vállalatok adatszerzését addig könnyítő Safe Harbour (biztonságos kikötő) megállapodást. Erre az amerikai hírszerzés, az NSA megfigyelési botrányának kirobbanása után került sor.

Az említett amerikai szabályozásból semmilyen módon nem derül ki – állapították meg –, hogy léteznének a személyes adatok továbbítását, felhasználását és tanulmányozását érintően a nem amerikaiak számára szóló garanciák.

Kijelentették: az adattovábbítás szabályait felügyelő hatóságok kötelesek felfüggeszteni vagy megtiltani a személyes adatok unión kívüli országba irányuló továbbítását, ha az általános adatvédelmi kikötéseket ebben az országban nem tartják be, vagy nem lehet őket ott tiszteletben tartani. Illetve akkor, ha a továbbított adatok védelme, amelyet az uniós jog megkövetel, más eszközzel nem biztosítható. Mindezek ismeretében az uniós bíróság kimondta:

az Egyesült Államokkal kötött, személyes adatok átadásáról szóló megállapodást semmisnek kell tekinteni, mert az adatvédelmi rendelet nem biztosít az érintetek számára jogorvoslati lehetőséget olyan szerv előtt, amely az uniós jogban megkövetelt garanciákkal lényegében azonos biztosítékokat nyújtana.

Illetve – tették hozzá – nem hatalmazzák fel az illetékes ombudsmant arra, hogy az amerikai hírszerzési szervezetekkel szemben kötelező erejű határozatokat hozzon.

Az EU azonnal tárgyalásokat kezdeményez az Egyesült Államokkal

Az Európai Bizottság azonnal felveszi a kapcsolatot amerikai partnereivel, hogy konstruktív és intenzív munkát kezdeményezzen egy megerősített és tartós adatvédelmi mechanizmus kidolgozása érdekében – közölte Didier Reynders, az Európai Bizottság igazságügyi biztosa.

Reynders sajtótájékoztatóján elmondta, az uniós bizottság már a bírósági határozat meghozatala előtt új forgatókönyveket készített az uniós adatvédelmi pajzs megújítására. Az ítélet remények szerint megvilágítja, hogy a szabályozás mely pontjain kell szigorítani az alapvető jogok megerősítéséhez.

Az uniós biztos reméli, hogy az európai törekvéseket "hasonló ambícióval fogadják az amerikai oldalon", és az amerikai adatvédelmi pajzsot használó mintegy ötezer amerikai vállalat mihamarabb áttérhet egy olyan mechanizmusra, amely lehetővé teszi számukra a szükséges az adatok továbbítását az unióból.