Izgalmas fejlemények vannak kibontakozóban egy, az Európai Bizottság 2000-ben hozott határozata, az ún. „safe harbor” határozat kapcsán, amelynek értelmében az Amerikai Egyesült Államokban működő vállalatok megfelelő védelmet tudnak biztosítani az Európai Unióból továbbított személyes adatok kapcsán, ha bizonyos feltételeknek megfelelnek és regisztrálja őket az illetékes amerikai hatóság. Egy osztrák Facebook-felhasználó ügye azonban változást hozhat a határozat alkalmazása terén, ugyanis az Európai Bíróság főtanácsnoka szerint az egyes nemzeti felügyeleti hatóságok szükség esetén felülbírálhatják a 15 éve alkalmazott jogszabályt.

A történet egy osztrák Facebook-felhasználó ügyével kezdődött, aki panaszt tett az ír adatvédelmi hatóságnál (a Facebook a személyes adatokat az ír leányvállalatától továbbítja az USA-ba), azt nehezményezve, hogy az amerikai hírszerzéssel kapcsolatos, 2013-ban Edward Snowden által nyilvánosságra hozott információk alapján az USA nem nyújt megfelelő biztonságot személyes adatai számára. Az ír hatóságok az Európai Bizottság 2000-től hatályos, „safe harbor” határozatára hivatkozva elutasították a panaszt, az ügy így az ír bíróságok elé került. Az Európai Unió ugyanis úgy véli, hogy az uniós polgárok személyes adatai biztonságban vannak azoknál az amerikai cégeknél, amelyek megfelelnek a határozatban támasztott feltételeknek. Az ügy kapcsán tehát az ír bíróságok előtt felmerült a kérdés, hogy a nemzeti felügyeleti hatóságok felülbírálhatják-e a valamennyi tagállamban alkalmazandó bizottsági határozatot. Az ír felsőbb bíróság ennek elbírálása végett az Európai Bírósághoz fordult.

A kérdésben Yves Bot, az Európai Bíróság főtanácsnoka határozott véleményt fogalmazott meg a „safe harbor” kapcsán, és bár a főtanácsnok álláspontja nem köti a Bíróságot, de az esetek többségében mérvadónak számít. A főtanácsnok a napokban kijelentette, hogy az Európai Bizottság harmadik ország felé továbbított személyes adatok védelmére vonatkozó határozatának létezése nem teheti semmissé, illetve nem csökkentheti a nemzeti felügyeleti hatóságok jogkörét. A főtanácsnok szerint továbbá érvénytelen a Bizottság “safe harbor” határozata.

Bot főtanácsnok úgy véli, hogy ha a nemzeti felügyeleti szervek döntései feltétel nélkül az Európai Bizottság határozatának lennének alárendelve, az korlátozná teljes függetlenségüket, amelyet viszont az EU adatvédelmi irányelve megad számukra. Vagyis a Bizottságnak nincs felhatalmazása arra, hogy korlátozza az egyes országok adatvédelmi hatóságainak hatáskörét. Éppen ezért Bot azt a következtetést vonja le, hogy egyrészt a fent említett ügyhöz hasonló esetekben a panaszok nem utasíthatók el automatikusan, a panasz körülményeinek megvizsgálása nélkül, másrészt pedig, ha az egyes országok hatóságai szerint az adattovábbítás veszélyezteti az EU-s polgárok személyes adatainak megfelelő védelmét, fel kell tudniuk függeszteni a továbbítást, függetlenül a Bizottság határozatában tett megállapításoktól.

A jelen ügy kapcsán például az ír felsőbb bíróság és a Bizottság is megállapította, hogy az EU-tagállamokból származó személyes adatok Egyesült Államok általi hatékony jogorvoslat nélküli tömeges gyűjtésének és kezelésének gyakorlata nem biztosít az érintettek számára megfelelő védelmet. Ezt az Európai Bizottság határozata sem tudja garantálni.

Ezen túl azt is fontosnak tartja kiemelni, hogy a személyes adatokhoz az Egyesült Államok titkosszolgálata általi korlátlan hozzáférés szemben áll az EU Alapjogi Chartája által védett alapvető jogokkal, úgymint a magán- és családi élet tiszteletben tartásához való joggal, valamint a személyes adatok védelméhez való joggal.

A főtanácsnok ennél is tovább megy és úgy véli, hogy a “safe harbor” határozat alkalmazását a Bizottságnak fel kell függesztenie.

Ha a fenti álláspontot a Bíróság is osztja, úgy az számos nehézséget okozhat bármely magyarországi cég számára, amely az Egyesült Államokba továbbít adatokat arra hivatkozással, hogy a “safe harbor” alapján ott a személyes adatok megfelelő szintű védelmet élveznek. Tapasztalataink alapján ilyen pedig a gyakorlatban számos esetben fordul elő. Azon társaságoknak tehát célszerű a fejleményeket követni, ahol az amerikai partner “safe harbor” tanúsítvány alapján biztosítja az exportált személyes adatok EU által megkívánt megfelelő szintű védelmét. A jövőben ugyanis ez már lehet, hogy nem lesz elég…