A "biztonságos kikötő" megállapodás célja az volt, hogy az amerikai vállalatoknak lehetővé tegye, hogy személyes adatokat gyűjtsenek ügyfeleikről. Adatok az uniós polgárok körében. A megállapodás célja az volt, hogy az uniós polgárok hagyományos adatvédelmét fenntartsák, amely az Egyesült Államokban nem biztosított ugyanilyen mértékben. Az Európai Unió 2015 szeptembere óta érvénytelennek tekinti a megállapodást, és ezzel több mint 15 éves gyakorlatnak vetett véget az adatvédelmi jog területén.
Biztonságos kikötő: biztonságos menedék?
2015 szeptemberében a biztonságos kikötőről szóló megállapodás jelentős visszaesést szenvedett. Az Európai Bíróság főtanácsnoka - Yves Bot - véleményében arra a döntésre jutott, hogy a Safe Harbor határozat nem érvényes és nem kötelező érvényű. A biztonságos kikötőről szóló megállapodás 2000-ben jött létre, és az adatvédelmi jog területéhez tartozik. Az Európai Bizottság döntésének célja az volt, hogy lehetővé tegye a vállalatok számára a személyes adatok továbbítását az Egyesült Államokba, feltéve, hogy az európai adatvédelmi irányelveknek megfelelnek. Nincs "megállapodás" a szó szoros értelmében - azonban az USA-val megállapodtak egy ilyen eljárásról, így beszélhetünk egyfajta "megállapodásról". 2015. október 6-án az Európai Bíróság (ECJ) érvénytelennek nyilvánította a biztonságos kikötőről szóló megállapodást.
A biztonságos kikötőről szóló megállapodás története
Az Európai Unión belül a 95/46/EK adatvédelmi irányelv megtiltja a személyes adatok továbbítását a tagállamokból más olyan államokba, amelyek nem rendelkeznek hasonló védelmet nyújtó adatvédelmi jogszabályokkal. Az Egyesült Államokban az adatvédelem területén alig van olyan jogi szabályozás, amely az Európai Unió normáival egyenrangú lenne. A szigorú uniós szabályozás gyakorlati problémákhoz vezetett, ezért az USA és az EU 2000-ben megállapodást kötött. Az adatvédelmi irányelv betartása az adatforgalom leállásához vezetne, ezért született meg a Safe Harbor rendelet. Az USA-beli vállalatok feliratkozhatnak az Egyesült Államok Kereskedelmi Minisztériumának listájára, és így csatlakozhatnak a biztonságos kikötőhöz. A csatlakozással az amerikai vállalatok kinyilvánították, hogy hajlandóak betartani a megállapodás elveit és előírásait. A jogi szabályozást gyakorlatilag nemzetközi szintű magánjogi szabályozásokkal egészítették ki. Az Európai Bizottság bizonyítottnak látta, hogy az újonnan létrehozott rendszerben működő vállalatok megfelelő védelmet nyújtanak az uniós polgárok és személyes adataik számára. Mire 2015 szeptemberében visszavonták, számos vállalat csatlakozott a megállapodáshoz. Köztük volt a General Motors, az Amazon, MicrosoftIBM, Google, Facebook, a Dropbox és a Hewlett-Packard.
A biztonságos kikötőről szóló megállapodás népszerű kritikái
A biztonságos kikötőről szóló megállapodást újra és újra bírálták. A negatív hangok megtagadták a megállapodás megfelelő védelmi funkcióját. Nem lehetett az amerikai vállalatok "szavára" hagyatkozni, ezért bizonyítékokat kellett benyújtani. Néhány év múlva megszületett az amerikai hazafias törvény: Az új jogi helyzetnek köszönhetően az amerikai biztonsági hatóságok minden adathoz hozzáférhettek anélkül, hogy az adatok tulajdonosát értesíteni kellett volna. Az informátor Edward Snowden felfedései után 2013-ban a rendszer felülvizsgálatát szorgalmazták. 2013-ban Viviane Reding, az EU igazságügyi biztosa bejelentette az európai adatvédelem reformját. Minden vállalatot éves forgalmának két százalékáig terjedő bírsággal kellett volna sújtani, ha illegális adattovábbítást hajt végre.
Az Európai Bíróság 2015 szeptemberében hozott ítélete
2015 szeptemberében az Európai Bíróság főtanácsnoka - Yves Bot - kijelentette, hogy a biztonságos kikötőről szóló megállapodás már nem érvényes és nem kötelező érvényű. A High Court of Ireland azt kérdezte az Európai Bíróságtól, hogy a biztonságos kikötőről szóló rendelet alkalmazandó-e, és ha igen, milyen mértékben. A szóban forgó ügy a Facebook által az Egyesült Államokba történő adattovábbításra vonatkozott. Az ítélet indokolásában a főtanácsnok kijelentette, hogy az Európai Unió nem jogosult beavatkozni a tagállamok hatáskörébe és korlátozni azt. Amint az EU Chartája által biztosított alapvető jogok tiszteletben tartása veszélybe kerül egy tagállamban, lehetővé kell tenni a megfelelő fellépést. Az alapvető jogok között szerepel a személyes adatok védelme. Az USA-ban az uniós polgárok védtelenül ki vannak szolgáltatva az adatgyűjtőknek, mivel az USA jelentős mértékben engedélyezi az uniós polgárok adatgyűjtését. Ugyanakkor nincsenek hatékony eszközök a bírósági jogorvoslat igénybevételére. Az amerikai hírszerző szolgálatok intenzív megfigyelést folytatnak, ami nem arányos, és lehetővé teszi az adatvédelem célzott beavatkozását. Az Európai Bíróság követte a főtanácsnok kijelentéseit, és ezzel megpecsételte a megállapodás végét. Az ítélet rendelkező részében az amerikai titkosszolgálatokra hivatkoztak. Az amerikai vállalatokat alávetik ezeknek a vizsgálatoknak, és kénytelenek aláásni minden védelmi szabályozást. Ezért nem létezik a személyes adatok hatékony védelme. Ez az eljárás egyrészt sérti a magánélet tiszteletben tartásához való alapvető jogot, másrészt viszont a hatékony bírósági jogvédelemhez való jogot is.
A német adatvédelmi hatóságok megközelítése
Az Európai Bíróság ítéletének közzétételét követően a német adatvédelmi hatóságok gyorsan cselekedtek. A szövetségi államok és a szövetségi kormány adatvédelmi biztosai által kidolgozott állásfoglalásban egyértelművé tették, hogy az adattovábbítás kizárt, amennyiben az adattovábbítás kizárólag a biztonságos kikötőről szóló megállapodáson alapul. A megállapodáson alapuló új engedélyeket a továbbiakban nem adnak ki. Ezen túlmenően a vállalati rendszerek és az adatexport-megállapodások a továbbiakban nem kerülnek elismerésre. Az Egyesült Királyságban az a nézet, hogy az adattovábbítás továbbra is lehetséges, feltéve, hogy a hozzájárulás megtörtént, vagy az EU szabványos szerződéses záradékai érvényben vannak. A német adatvédelmi biztosok véleménye szerint a hozzájárulás nem elegendő, mivel a tömeges és ismételt adattovábbítás ilyen mértékben már nem engedélyezhető.
Új rendeletek és ajánlások
Szövetségi szinten az illetékes szövetségi adatvédelmi biztos üdvözölte az Európai Bíróság döntését. A közeljövőben megvizsgálják, hogy az ítélet érinti-e és milyen mértékben a kötelező erejű vállalati szabályokat és az uniós általános szerződési feltételeket Németországban. 2015.10.26-án közzétették a szövetségi kormány és a tartományok álláspontját. A felügyeleti hatóságok bejelentették, hogy fellépnek minden olyan adattovábbítás ellen, amely a Safe Harbor alapján történik. Az ítélet óta teljesen egyértelmű, hogy a korábbi megállapodás szerinti igazolás teljesen elfogadhatatlan. Azok a vállalatok, amelyek személyes adatokat továbbítanak az Egyesült Államokba, fájdalmas bírságot kockáztatnak, ezért a honlapok szövegét, a reklámanyagokat és az adatvédelmi nyilatkozatokat a lehető leggyorsabban ki kell igazítani. Ezenkívül felül kell vizsgálni a jelenlegi adattovábbításokat. A kötelező erejű vállalati szabályok és az EU szabványos szerződési záradékok alkalmazhatóságát meg kell magyarázni. Azok, akik nem tudnak lemondani az USA-ba történő adattovábbításról, az EU szabványos szerződési záradékaihoz kell folyamodniuk, amelyekkel a bírság kockázata jelentősen minimalizálható, legalábbis az esetek többségében. A titkosítási módszerek tesztelése és alkalmazása elengedhetetlen. Ha a hozzájárulás megszerezhető, kapcsolatba kell lépni az adatvédelmi hatósággal, és meg kell kérdezni, hogy az adattovábbításhoz megengedett-e az ilyen legitimáció. Ilyen hozzájárulás esetén egyértelműen ki kell jelenteni, hogy az adatok továbbítására az Egyesült Államokba kerül sor. Ezenkívül fel kell sorolni a lehetséges következményeket. Az ilyen hozzájárulás aligha valósítható meg állandó és tömeges adattovábbítás esetén, például az ügyféladatok esetében. A lehető legjobb jogi védelem elérése érdekében a jogi kérdéseket eseti alapon kell megvizsgálni. A technikai és szervezési intézkedések jelentősen csökkenthetik a jogszabálysértések kockázatát.
