Akkor most illegális a Facebook Európában?

Február elején megszületett az új adatkezelési megállapodás az USA és az EU között. Eddig is volt ilyen, úgy hívták, hogy Safe Harbour, de ezt októberben az Európai Bíróság érvénytelenítette, mert nem jelentett elég védelmet az európai adatoknak. Ezért új jogi medret kellett ásni a transzatlanti adatfolyamnak, és megszületett a Privacy Shield, amely már most nagyon ellentmondásos.

Pedig valódi megállapodás még nem is létezik, csak a nagy sietségben be kellett jelenteni valamit. A hivatalos közlemények soha nem látott garanciákról szólnak, a kritikusok szerint valójában homályos ígéreteket próbálnak áttörésként eladni. Mi lesz a Facebookhoz, Google-höz és amerikai társaikhoz kerülő adatainkkal?

Biztonságos kikötő, elsüllyesztett adat

Az Erópai Unió és az Egyesült Államok közötti adatforgalmat az utóbbi 15 évben a Safe Harbour, vagyis biztonságos kikötő nevű megállapodás szabályozta. Ezt azonban az Európai Bíróság október elején érvénytelenítette.

Az eseményeket egy Max Schrems nevű osztrák egyetemista-jogvédő indította be, amikor még 2013-ban az ír adatvédelmi hatósághoz fordult a Facebookkal kapcsolatban. Azért ide, mert Írországban van a Facebook európai székhelye, ezért ez a szerv látja el a cég felügyeletét a kontinensen. És azért ekkor, mert frissen a Snowden-botrány után kíváncsi lett volna arra, hogy a Facebook betartotta-e az európai szabályokat, vagy az ő adatait is az amerikai titkosszolgálatok rendelkezésére bocsátotta.

Az ír hatóság ezt a kérdést azzal hessegette el, hogy az Európai Bizottság (EB) és az USA által 2000-ben kötött Safe Harbourt kell csak betartani, ha ez megvan, ki lehet pipálni mindenféle adatvédelmi aggályt. Az Európai Bíróság viszont máshogy gondolta. Szerintük nem szabad megfeledkezni két dologról:

• 15 évvel ezelőtt még jóval kevésbé fejlett eszközök álltak a megfigyeléseket végző NSA rendelkezésére, ezért nem túl elegáns a dolgot azzal lesöpörni, hogy egy korábbi állapotokat tükröző, rég idejétmúlttá vált megállapodás szerint minden oké.
• Ráadásul a Safe Harbour nem is vonatkozott az állami szervekre, csak a magáncégekre.

A bíróság tehát októberben lényegében kimondta, hogy Európának a Safe Harbour ellenére joga van foglalkozni a polgárait érintő adatvédelmi aggályokkal, és a tagállamok vizsgálhatják az ezzel kapcsolatos panaszokat.

De mi is maga a probléma, amiért szükség volt a Safe Harbourre, és amire már nem találtatott alkalmasnak? Mivel manapság mindannyian számos amerikai szolgáltatást használunk itt Európában is, az adataink gyakran amerikai szervereken haladnak át, így az amerikai törvények szerint férhetnek hozzá az amerikai hatóságok. Márpedig ez még ma, a Snowden-féle szivárogtatást követő törvénymódosítások idején is joggal aggaszthatja az erre fogékony felhasználókat.

A Safe Harbour éppen azért született annak idején, hogy a két alapvetően eltérő adatvédelmi hozzáállás közötti híd lehessen. A közös nevező a közös működéshez, hogy a különbségek ellenére európai mércével is biztonságban legyenek az európai adatok. Vagyis a cégek csak akkor vihették ki ezeket az adatokat az EU-ból, ha beleegyeztek, hogy a megállapodás irányelveit önszorgalomból betartva kezelik őket. Csakhogy ezek felett az irányelvek felett eljárt az idő, és közben a két oldal igényei továbbra se közeledtek – az ellentéteknek akár a szimbóluma is lehetne, hogy az érvénytelenített megállapodást a nyelvi eltérések miatt Európában Safe Harbournek, de Amerikában Safe Harbornek írták.

Az októberi döntés miatt az amerikaiak rögtön tiltakoztak. Egyrészt azért, mert az utóbbi időben már Obama elnök is protekcionizmussal vádolta Európát, amiért folyamatosan az amerikai cégeket szorongatja, például átláthatóbb adatkezelést, tisztességesebb versenyt és több adótkövetelve tőlük, vagy épp a netsemlegesség csorbításával ellensúlyozva a piaci előnyüket.

Másrészt az USA hivatalos álláspontja szerint nincs is szó tömeges megfigyelésről, az NSA-t már megfelelő alapossággal ellenőrzik, és az európai adatokat is rendesen kezelik. Ehhez képest meglepően lelkes volt Penny Pritzker amerikai kereskedelmi miniszter, amikor az új egyezmény elfogadásakor arról beszélt, hogy

ez a történelmi megállapodás jelentős eredmény a magánszféra és a vállalkozások számára az Atlanti-óceán mindkét oldalán.

Itt az adatvédelmi pajzs

Az októberi döntés azonnal bizonytalan helyzetet teremtett, hiszen érvényes keretmegállapodás nélkül maradtak a továbbra is működő cégek. Ezért az EB január végéig adott magának haladékot, hogy új megoldással álljanak elő. Február 1-jén viszont még nem volt megállapodás – jöttek is a szalagcímek, hogy aznaptól nem törvényes a Facebook az Unióban. Erről persze nem volt szó, de a február 1-jén lejáró türelmi idő után valóban légüres jogi térbe kerülhettek volna a cégek, amelyek rutinszerűen hordták ki az európai adatokat. Márpedig ilyen cégből több mint négyezer van.

Végül azonban a tárgyalók megnyomták a hajrát, és február 2-án mégis megszületett az új megállapodás, amely a Privacy Shield nevet kapta, vagyis pajzsként hivatott védeni a magánszférát.

A keretmegállapodásról mindeddig csak egy sajtóközleményt adott ki a Bizottság. Eszerint a Privacy Shield “biztosítja, hogy ne sérüljenek az európai polgárok alapvető jogai, amikor adataikat az Egyesült Államokba továbbítják, valamint jogbiztonságot teremt a vállalkozások számára.” A már idézett amerikai miniszterhez hasonlóan Věra Jourová, az EB részéről a tárgyalásokat vezető biztos is nagyon bizakodó, szerinte

az Egyesült Államok most első ízben adott az Uniónak kötelező erejű biztosítékokat arra nézve, hogy a közigazgatási szervek nemzetbiztonsági célú adathozzáférése tekintetében egyértelmű korlátozásokat, biztosítékokat és felügyeleti mechanizmusokat fognak alkalmazni”,

vagyis hogy visszafogják a hírszerzést, és megadják a több tiszteletet az adatainknak. Ezt ezekkel a főbb pontokkal érné el a megállapodás:

• Szigorúbb kötelezettségek az európai polgárok személyes adatait kezelő vállalkozások számára.
• Biztosítékok az amerikai kormányzati hozzáféréssel kapcsolatban: az ígéretek szerint az adatokhoz csak kivételes esetekben és csak a szükséges és arányos mértékben férhetnek hozzá a hatóságok. Az USA kizárta, hogy az adatokat “megkülönböztetés nélkül tömeges megfigyelés alatt tartsa”.
• Több és hatékonyabb jogorvoslati lehetőség: aki úgy gondolja, hogy mégis visszaélnek az adataival, fordulhat a cégekhez, az amerikai hatóságokhoz, ingyenesen igénybe vehet alternatív vitarendezést, és egy új amerikai ombudsmant is kineveznek, hogy felügyelje az adatkezelést.
• Az új egyezmény betartását és a garanciákat folyamatosan felügyelik és rendszeresen felülvizsgálják a nemzetbiztonsági és az adatvédelmi hatóságok közreműködésével.

A lényeg tehát korszerű – értsd: a poszt-Snowden érában is elfogadható – egyensúlyt találni a nemzetbiztonság és a személyes adatok védelme között, ami egyébként is a biztonságpolitika egyik slágertémája manapság. De éppen ez az, ami a kritikusok igen népes tábora szerint nem látszik körvonalazódni az új megállapodásból sem.

Rés a pajzson

Az amerikai kormányon és a bizottsági tárgyalókon kívül a nagy techcégeket és iparági érdekvédelmi szervezeteket tömörítő DigitalEurope is meg van elégedve [pdf] az új megállapodással. A biztonsági szakemberek, jogvédők és civil szervezetek viszont nagyon szkeptikusak, szerintük több a probléma a Privacy Shielddel, mint amit megoldana. Maga az októberi ítéletet kiharcoló Max Schrems is elégedetlen:

De mi a tiltakozók problémája? Nagyjából az, hogy szerintük az új megállapodás nem több, mint az októberben érvénytelenített Safe Harbour újramelegített változata, és csak ideiglenes hézagpótlásra alkalmas, mert

• a tömeges megfigyelés nem szűnik meg teljesen,
• ezért az Európai Bíróság ítéletének se felel meg a Privacy Shield,
• jogilag egyébként se kötelező érvényű, csak egy levélváltás, vagyis az amerikai hatóságok ígéretére hagyatkozik, illetve egy valódi hatalom nélküli ombudsmanra,
• ráadásul még meg se született valójában a megállapodás.

Kezdjük a végén. A legnagyobb gond, hogy valódi jogi megállapodás még nem is született, csak egy nagy fanfárral bejelentett politikai szándéknyilatkozat, ezért nevezték PR-akciónak és időhúzásnak többen is. Közeledett a Bizottság által megszabott határidő, fel kellett mutatni valamilyen eredményt, már csak azért is, hogy ne álljon le az adatforgalom, ami dollárban és euróban mérve is milliárdos károkat okozhatott volna.

Valójában még hetekig-hónapokig fog tartani, amíg a tényleges megállapodást kidolgozzák, véglegesítik, és átpasszírozzák a különböző uniós szerveken. Először ugyanis a 29. cikk alapján létrehozott munkacsoportnak kell megvitatnia, amely az egyes tagállamok önálló adatvédelmi hatóságaiból és az európai adatvédelmi biztosból áll. Ezután kell majd elfogadnia az összes tagállam képviselőjének is.

Márpedig ahogy az USA és az EU általában mást gondol az adatvédelemről, úgy az EU-n belül is fontos különbségek lehetnek abban, ahogy például egy vállalkozásbarátabb brit vagy egy hangsúlyosabban adatvédő attitűdű francia adatvédelmi hatóság megítéli majd az új megállapodást. Isabelle Falque-Pierrotin, a munkacsoport – és egyben a francia hatóság – elnöke pedig már jelezte, hogy még ők se ismerik a megállapodás részleteit, úgyhogy azt se tudják megállapítani, hogy tényleg megoldja-e a problémákat. Eddig ők is csak olyasmit hallottak, hogy egyoldalú bizottsági döntésről és levélváltásról van benne szó, vagyis semmilyen jogilag kötelező megállapodásról.

Hogy őszinte legyek, nem sokat tudunk. Úgyhogy továbbra is várnunk kell, hogy kiderüljön, az USA milyen kötelezettségeket vállal.

Vagyis a bürokratikus burjánzásáról híres EU különböző szervei egymásra mutogatnak és egymás döntéseire várnak. Most úgy néz ki, hogy ez a várakozás első körben február végéig tart majd, eddig szeretné a munkacsoport megkapni a teljes megállapodást, különben a nemzeti hatóságok elkezdik saját hatókörükben ellenőrizni a cégeket. Aztán márciusban értékelik a helyzetet. Aztán áprilisban eldöntik, hogy meg vannak-e elégedve vele. Aztán ha nem, kezdődhet az egész elölről. (Az Electronic Privacy Information Center (EPIC) nevű civil szervezet sürgősségi adatigénylési kérelmeket nyújtott be az EU és az USA felé is a megállapodás teljes szövegéért. A beadványok egyik felelőse a magyar Hidvégi Fanny, aki korábban a TASZ Adatvédelmi és információszabadság programvezetője volt, jelenleg pedig az EPIC-nél foglalkozik nemzetközi adatvédelemmel.)

Annyi megnyugvása azért már most lehet a cégeknek, hogy a munkacsoport bejelentette, hogy az új megállapodás részleteinek kidolgozásáig békén hagyja őket. A régi Safe Harbour szerint már egyik cég se működhet, de a Bizottság azóta javasolt olyan ideiglenes alternatívákat [pdf], például egyedi szerződéses megállapodásokat vagy belső szabályozásokat, amelyeket az új megállapodás érvénybe lépéséig nem fognak bolygatni.

A közleményben a “megkülönböztetés nélküli tömeges megfigyelés” beszüntetése szerepel, ami kellően általános megfogalmazás, de Jourová megállapodásügyi biztos egy nappal a bejelentés előtti nyilatkozatában három olyan kivételt is felsorolt, amikor továbbra is mehet majd a tömeges hírszerzési adatfeldolgozás: ha a célzott megfigyelésre nincs technikai lehetőség, ha a cálzott megfigyelés más okból nem járható út, vagy ha a hatóságok “valamilyen nagyon veszélyes trendet látnak, amelyhez többre van szükség a célzott hozzáférésnél”. Érthető, ha ettől a jogvédő szervezetek nem feltétlenül alszanak nyugodtabban, még ha hozzá is tette Jourová, hogy ki fogják kötni, hogy a célzott megfigyelés legyen az elsődleges opció.

Mi lesz a vége?

Kikötő tehát már nincs, kikötések vannak, de hogy ezeknek sikerül-e érvényt szerezni, az még mindig nem dőlt el, hiába jelentettek be egy még nem is létező megállapodást. Kérdés, hogy Európa képes lesz-e egységesen fellépni ebben az ügyben, vagy egyes nemzeti hatóságok megelégszenek az új keretmegállapodással, mások viszont önálló vizsgálódásba kezdenek. Az sem világos, hogy egyáltalán a jogi próbát kiállja-e a megállapodás, mert többen máris jelezték, hogy ha a fentieknél erősebbet nem tud nyújtani a végleges változat sem, akkor megint az Európai Bírósághoz fognak fordulni, ahol könnyen újra fennakadhat. A bizonytalanság tehát még közel sem oszlott el, és több cég már most azzal próbálkozik, hogy inkább adatközpontot váltanak, és Európán belül kezdik tárolni az adatokat.

A legbiztosabb megoldást nyilván az jelentené, ha az USA megfigyelési gyakorlata is megváltozna, de erre semmi esély nincs még középtávon se, ezért a kérdés továbbra is az marad, hogy az EU tudja-e majd a gyakorlatban is érvényesíteni az akaratát, vagy a szorosabb együttműködés tényleg kimerül az amerikai fél önbevallásos szigorán, ahogy attól az új megállapodás kritikusai tartanak.