Az a közel 4 400 amerikai cég, amelyik vállalta, hogy betartja az EU adatvédelmi szabályait, felkerült a Safe Harbour („biztonságos kikötő”) listára, így az EU állampolgárok személyes adatai e cégek részére korlátozások nélkül továbbíthatóak voltak. Eddig.

Az Európai Bíróság úgy döntött, hogy az EU állampolgárok személyes adatainak az Egyesült Államokba történő továbbítása az ún Safe Harbour rezsim alapján nem egyeztethető össze az EU adatvédelmi szabályozásával, mivel az nem garantálja a továbbított adatok megfelelő szintű védelmét.

Az Európai Bírósága döntésével jogellenesnek minősítette ezeket az adattovábbításokat, amely elsősorban a nagy tech cégeket (Facebook, Google és társaik) érinti érzékenyen, de komoly problémát fog okozni az amerikai központú multinacionális cégeknek is, amelyre inkább előbb, mint utóbb megoldást kell találnia az EU intézményeinek.

A perre az adott alapot hogy az egy osztrák kérelmező Maximillian Schrems megkereste a Facebook Írországban található európai központját, hogy adjanak neki tájékoztatást arról: ki és hogyan férhetett hozzá a szolgáltató szerverein tárolt adataihoz. Az Edward Snowden által nyilvánosságra hozott információk alapján azt feltételezte, hogy az NSA minden különösebb nehézség nélkül hozzájuthatott az adataihoz. A Facebook nem adott ki információt számára arra hivatkozással, hogy az EU-nak érvényes adatkereskedelmi egyezménye van az Egyesült Államokkal és a cég a Safe Harbour rezsimet alkalmazza. Ezek után Schrems először az ír adatvédelmi biztoshoz fordult, majd miután az adatvédelmi biztos a Facebook-nak adott igazat, a biztos döntését keresettel támadta meg. A High Court of Ireland pedig az Európai Bírósághoz fordult jogértelmezésért.

Döntésének indoklásában az Európai Bírósága többek között rámutatott arra, hogy a Safe Harbour csak az érintett cégek saját vállalása volt, azok betartását a helyi hatóságok nem kérhetik számon a cégeken, sőt a helyi jog és az EU szabályok összeütközése esetén az előbbit kell alkalmazni.

Megállapíthatjuk tehát, hogy semmi garancia nem volt arra, hogy a cégek e vállalásukat betartják. Ez már csak ezért is problémás, mert az amerikai jog a jogorvoslat lehetőségét csak az amerikai állampolgárok, vagy ott rezidens más állampolgárok számára biztosítja, azaz nem ott élő EU-s állampolgárok számára nem.

Judgment in Case C-362/14  Maximillian Schrems v Data Protection Commissioner

Dr. Szűcs Gábor ügyvéd

dr.szucs.gabor@upcmail.hu

20 9569313