Annak ellenére, hogy az Európai Unió Bírósága már két hónapja érvénytelenítette a korábban 15 évig alkalmazott jogszabályt, amely lehetővé tette személyes adatok továbbítását az USA-ba, Európa még nem nyújtott komoly alternatívát a több ezer érintett vállalkozásnak. Ennek hiányában a cégek kénytelenek egyéb jogszabályok és előírások szerint eljárni az USA-ba történő adattovábbítás során, ám az átmeneti megoldások nem alkalmazhatók mindenki által, illetve nem is teljeskörűek. Az EU most januárig adott magának határidőt a „safe harbor” határozat megújítására.

A 2000-ben hozott safe harbor határozat kimondta, hogy az USA-ban működő vállalatok megfelelő védelmet tudnak biztosítani az Európai Unióból feléjük továbbított személyes adatok számára, ha a vállalatok teljesítenek bizonyos adatvédelmi feltételeket. A döntés értelmében azonban az egyes tagállamok adatvédelmi hatóságai nem foszthatók meg a külföldre irányuló adattovábbítások biztonságának felülvizsgálatától.

A kérdésben Yves Bot, az Európai Bíróság főtanácsnoka még szeptemberben fogalmazott meg határozott véleményt annak nyomán, hogy az ír hatóságok a safe harborra hivatkozva elutasították egy osztrák Facebook-felhasználó panaszát, mely szerint úgy véli, személyes adatai nincsenek biztonságban az USA-ban a Facebooknál. Az esetek többségében mérvadó véleménnyel rendelkező főtanácsnok nehezményezte, hogy a határozat csökkenti a nemzeti felügyeleti hatóságok jogkörét, és javasolta a safe harbor felfüggesztését.

Az Európai Unió Bírósága pedig végül október elején osztotta a főtanácsnok véleményét és kimondta a safe harbor határozat érvénytelenségét. A Bíróság a döntést többek között azzal indokolta, hogy az USA hatóságai hozzáférhettek az EU tagállamaiból továbbított személyes adatokhoz, és nem volt arra valós garancia, hogy a továbbítás eredeti céljával megegyező módon fogják azokat kezelni. Emellett az is a határozat érvényessége ellen szólt, hogy az érintett személyek nem rendelkeztek az érintetti jogok gyakorlását (hozzáférés, helyesbítés, törlés) biztosító jogorvoslati lehetőséggel.

Hogyan reagáltak a tagállamok a döntésre?

A döntés nyomán több tagállam adatvédelmi hatósága is rendkívüli ülést kezdeményezett a megváltozott európai jogkörnyezethez való alkalmazkodás céljából, illetve meghatározta a legfontosabb feladatokat, és figyelmeztette a vállalati szférát is a változó jogkörnyezetre és joggyakorlatra. A határozat érvénytelenítése azonban egyelőre sok bizonytalanságot jelent. A döntés pillanatától kezdve elindított minden adattovábbításra vonatkozik, így az átdolgozott safe harbor hatályba lépéséig tartó átmeneti időszakban a vállalatok kénytelenek legális alternatív megoldásokat alkalmazni. Ugyanis az USA-ba irányuló adattovábbítás megszakítása sok esetben drasztikus következményekkel járna a cégek működése szempontjából, gondoljunk csak a közösségi oldalakat üzemeltető vállalatokra.

Németországban az egyik tartományi adatvédelmi hatóság egyenesen az USA-ba történő valamennyi adattovábbítás felfüggesztését javasolta.

Néhányan, köztük a magyar Nemzeti Adatvédelmi és Információszabadság Hatóság, illetve a Bíróság döntéséhez vezető ügyben közvetlenül érintett ír adatvédelmi hatóság is üdvözölte a döntést. Ugyanakkor például a több országban is alkalmazott EU-s standard szerződési záradékokhoz (EU Model Clauses) képest eltérő gyakorlattal élő (egy bizonyos szinten egyedi engedélyhez kötött adattovábbítási gyakorlattal rendelkező) Ausztriának és Spanyolországnak nagyobb feladat lesz a döntés gyakorlatba ültetése.

Mi helyettesíti ideiglenesen a safe harbort?

Az Európai Bizottság hamar reagált és november 6-án közleményt adott ki a témában. Ebben részletesen elemzi, hogy a Bizottság által kidolgozott általános szerződés feltételek és a kötelező erejű vállalati szabályok (Binding Corporate Rules – BCR) továbbra is megfelelő jogalapot biztosítanak az olyan harmadik országokba történő adattovábbításra, mint például az Egyesült Államok.

A közleményben a Bizottság mindazonáltal úgy véli, hogy a személyes adatok Egyesült Államokba történő továbbításának megújult és stabil kerete továbbra is kulcsfontosságú prioritás. Egy ilyen keret a legátfogóbb megoldás arra, hogy biztosított legyen az európai polgárok személyes adatainak tényleges és folyamatos védelme, ha azokat az Egyesült Államokba továbbítják. A transzatlanti kereskedelem számára is ez a legjobb megoldás. mivel egyszerűbb, kevésbé nehézkes és ezáltal kevésbé költséges átviteli mechanizmust biztosít, különösen a kkv-k számára.

A Bizottság tehát ennek érdekében egyeztetéseket folytat az Egyesült Államok kormányával, hogy egy új keretet dolgozzon ki az Egyesült Államokba történő adattovábbításra.

Mindaddig, amíg a megújított transzatlanti keret érvénybe lép, a vállalkozásoknak az alternatív adattovábbítási eszközökre kell hagyatkozniuk. Ez a lehetőség azonban felelősséget ró az adatátadókra, amelyet továbbra is az adatvédelmi hatóságok felügyelnek.