Az EUB tárgyalást folytat az EU-USA adattovábbítással kapcsolatos ügyben (általános szerződési feltételek és adatvédelmi pajzs)

This page has been translated automatically. Read the original or leave us a message if something is not right.
2019. 09. 17., Tue – 09:40
Thumbnail

Letöltés: Sajtóközlemény

Számos megkeresés nyomán összefoglaltuk az Európai Unió Bírósága (EUB) előtt folyamatban lévő, az EU-USA adattovábbítással és az amerikai kormányzat általi tömeges megfigyeléssel kapcsolatos ügy legfontosabb tényeit. Az ügyet holnap (július 9-én, kedden 9:00 órakor) tárgyalja a Bíróság nagytanácsa.

Az üggyel kapcsolatos gyakori félreértések

  • Ez az ügy minden EU-USA adattovábbításról szól? Nem, csak az USA-ba irányuló, "tömeges megfigyelésnek" alávetett adattovábbításokról van szó. A legtöbb esetben egyszerű módon elkerülhető a tömeges megfigyelés, és számos iparág (pl. bankok, légitársaságok, kereskedelem és banki tevékenység) nem tartozik a tömeges megfigyelésre vonatkozó törvény hatálya alá. Schrems úr panasza csak a Facebook ellen irányul, amely a Snowden-dokumentumban szerepel, mint az NSA-nak a "PRISM" keretében történő tömeges megfigyelésben segítő szervezet.
  • Ez az ügy az összes nemzetközi uniós adattovábbításról szól? Az eljárásban részt vevő felek közül csak az ír adatvédelmi biztos van azon az állásponton, hogy a "szabványos szerződési feltételek" (SCC) érvénytelenek. Schrems úr úgy véli, hogy (ha az adatvédelmi hatóság helyesen alkalmazza és érvényesíti) az SCC-k megfelelő megoldást jelentenek. Az írországi eljárásban a DPC-n kívül más fél sem vetett fel érvényességi kérdéseket.
  • Minden USA-ba irányuló adattovábbítás problémás? Nem. Az olyan megfigyelési törvények, mint a FISA 702, csak az "elektronikus hírközlési szolgáltatókra" vonatkoznak. Az európai jog is különbséget tesz a szükséges adattovábbítások (hallgassa meg az eltéréseket) és a feldolgozás szükségtelen "kiszervezése" között. Ezzel együtt a probléma elsősorban a felhőszolgáltatókkal és a kommunikációs szolgáltatókkal kapcsolatban merül fel, amelyek a megfigyelési törvények hatálya alá tartoznak (pl. Facebook, Google, Apple, Amazon Web Services), de más iparágakkal vagy "szükséges" adattovábbításokkal (pl. e-mailek, foglalások és hasonlók) nem.
  • Schrems úr az SCC-k érvénytelenítése mellett érvel? Nem. Schrems úr azzal érvel, hogy az SCC-k lehetővé teszik az ír adatvédelmi biztos számára, hogy leállítsa az egyedi adattovábbításokat, mint például a Facebook által történő adattovábbítást. Mivel a problémára nyilvánvaló megoldás létezik, véleménye szerint nincs érvényességi kérdés.
  • Az "adatvédelmi pajzs" az asztalon van? Igen. A Facebook az "Adatvédelmi pajzs" keretében az Európai Bizottság amerikai jogra vonatkozó értékelésére támaszkodott, és azzal érvel, hogy ezt az értékelést az "általános szerződési feltételekre" is alkalmazni kell. Schrems úr viszont azzal érvelt, hogy a Bizottság értékelése téves. Mivel az adatvédelmi pajzs az amerikai jog téves értelmezésén alapul, azt érvényteleníteni kell.
  • Továbbra is tud majd e-maileket küldeni az Egyesült Államokba, vagy repülőjegyet foglalni? Igen. A GDPR 49. cikke "eltéréseket" ír elő, amelyek lehetővé tesznek minden adattovábbítást, ha az például "szerződés teljesítéséhez szükséges", vagy ha a felhasználó kifejezetten hozzájárult. Például: Szükséges e-mailt küldeni az USA-ba, ha a címzett ott van, de nem szükséges e-mailt küldeni az USA-n keresztül, ha a feladó és a címzett Európában van.
  • Milyen típusú átutalásokat kell ekkor leállítani? Alapvetően az adatfeldolgozás "kiszervezése", amelyet Európában vagy más, megfelelő adatvédelmi normákat biztosító országokban is el lehetne végezni.

Az ügy előzményei

Az ügy középpontjában Max Schrems adatvédelmi ügyvéd 2013-as panasza áll a Facebook ellen(link a panaszhoz). Több mint hat évvel ezelőtt Edward Snowden nyilvánosságra hozta, hogy a Facebook a "PRISM"-hez hasonló megfigyelési programok keretében hozzáférést biztosít az amerikai hírszerző szolgálatoknak az európaiak személyes adataihoz (lásd Wikipedia). A panasz a Facebook EU-USA adattovábbításának leállítását célozza. Az ír adatvédelmi hatóság eddig nem tett konkrét lépéseket ennek érdekében.

Az első elutasítás és az EUB ítélete a biztonságos kikötővel kapcsolatban

Az ügyet először 2013-ban utasította el az ír adatvédelmi biztos (DPC), majd Írországban bírósági felülvizsgálatra került sor, és az Európai Unió Bírósága (EUB) elé került. Az EUB 2015-ben úgy döntött, hogy az EU és az USA közötti adattovábbítást lehetővé tevő úgynevezett "biztonságos kikötő" megállapodás érvénytelen(link a C-362/14. sz. ügyben hozott ítélethez), és hogy az ír DPC-nek ki kellett vizsgálnia az ügyet, amit kezdetben megtagadott.

Tájékoztatás az "általános szerződési feltételek" alkalmazásáról

Meglepő módon a DPC 2015 végén tájékoztatta Schrems urat arról, hogy a Facebook valójában soha nem támaszkodott a most érvénytelenített "Safe Harbor" megállapodásra, hanem már 2013-ban a "Standard Contractual Clauses" (egy másik mechanizmus az EU-ból az USA-ba történő adattovábbításhoz) alkalmazta. A DPC elmulasztotta ezt a tényt nyilvánosságra hozni, és ehelyett azt sugallta, hogy a Safe Harbor akadályozza őket az ügy folytatásában. Ez a "kitérő" az EUB első döntését az ügy szempontjából irrelevánssá tette.

Második vizsgálat és per

Schrems úr a panaszát a "standard szerződési záradékok" alapján történő adattovábbításokra igazította, és ugyanígy követelte a Facebook USA felé történő adattovábbítás megszüntetését, arra hivatkozva, hogy az adatokat az NSA számára hozzáférhetővé teszik. A DPC vizsgálata mindössze néhány hónapig, 2015 decemberétől 2016 tavaszáig tartott. A DPC ahelyett, hogy döntött volna a panaszról, 2016-ban pert indított a Facebook és Schrems úr (mindketten alperesek) ellen az ír Legfelsőbb Bíróságon, hogy további kérdéseket terjesszen az EUB elé. A több mint hathetes, főként 2017-ben tartott meghallgatás után az ír Legfelsőbb Bíróság megállapította, hogy az amerikai kormányzat európai személyes adatok "tömeges feldolgozását" végzi, és 2018-ban tizenegy kérdést másodszor is az EUB elé terjesztett(link az ítélethez).

Következő lépések

Az EUB az ügyet a C-311/18-as jegyzékbe vette, és 2019. július 9-én - az eredeti panasz benyújtásától számított mintegy hat év elteltével - másodszor is tárgyalni fogja. Az ítélet meghozatala az év vége előtt várható. Az EUB ítélete után a DPC-nek végre először kellene döntenie a panaszról. A döntés ellen ismét fellebbezhet a Facebook vagy Schrems úr.

A felek főbb érvei

  • Az ír adatvédelmi biztos csatlakozik Schrems úr álláspontjához, miszerint az amerikai megfigyelési törvények sértik a magánélethez, az adatvédelemhez és a jogorvoslathoz való, az európai jog szerinti alapvető jogokat. A DPC szerint azonban nincs hatásköre a kérdés megoldására. Mivel a Facebook által használt adattovábbítási mechanizmus (Standard Contractual Clauses) nem rendelkezik ilyen helyzetről, magukat a záradékokat kell érvényteleníteni. Ez azt jelentené, hogy az ezen eszköz alapján bármely nem uniós országba történő adattovábbítást le kellene állítani.
  • A Facebook úgy véli, hogy az amerikai jog nem lép túl azon, ami az uniós jog szerint jogszerű. A Facebook azt is megkérdőjelezi, hogy az EU-nak van-e joghatósága "nemzetbiztonsági" ügyekben. Összefoglalva a Facebook nem lát problémát abban, hogy a FISA-hoz hasonló tömeges megfigyelési törvények alapján továbbra is adatokat továbbítson az Egyesült Államokba. A Facebook az Európai Bizottság által az amerikai jogról az úgynevezett "adatvédelmi pajzs" határozatban megfogalmazott értékelésre is támaszkodik, amely szerint az amerikai megfigyelési törvények megfelelnek az uniós követelményeknek.
  • Schrems egyetért a DPC-vel a problémát illetően, de egy megfontoltabb megoldást javasol. A törvény (az SCC 4. cikke) lehetővé teszi a DPC számára, hogy leállítsa az egyes adattovábbításokat (mint például a Facebookét). Schrems szerint az ír DPC-nek kötelessége cselekedni, ahelyett, hogy az ügyet visszarúgja az EUB elé. A Facebooknak az "adatvédelmi pajzsra" való hivatkozásával kapcsolatban Schrems úr úgy véli, hogy az Európai Bizottság adatvédelmi pajzsról szóló határozata nem írja le megfelelően az amerikai felügyeleti jogszabályokat, még távolról sem képes megfelelő adatvédelemre, ezért érvényteleníteni kell.
  • Európai Bizottság: Az Európai Bizottság várhatóan mindkét határozatát meg fogja védeni: Az általános szerződési feltételek és az adatvédelmi pajzs. Valószínűleg az Egyesült Államok és a Facebook mellé fog állni abban a tekintetben, hogy az Egyesült Államokban nem sérülnek az alapvető jogok, de azt is elismeri, hogy a DPC-nek megvan a hatalma arra, hogy maga oldja meg a kérdést, ha az EUB úgy látja, hogy az Egyesült Államokban sérülnek az alapvető jogok.

Schrems úr nyilatkozata

Max Schrems, a noyb elnöke: "Mi egy megfontolt megoldást javasolunk: Az ír DPC-nek egyszerűen csak megfelelően végre kell hajtania a szabályokat, ahelyett, hogy újra és újra visszarúgja az ügyet Luxemburgba. Ez az ügy már hat éve függőben van. Ez alatt a hat év alatt a DPC az eléje került ügyek mindössze 2-3%-ában hozott döntést. Nekünk nem a "szabványos szerződési záradékokkal" van problémánk, hanem a végrehajtással."

noyb

noyb egy új európai nonprofit szervezet, amely peres úton érvényesíti a magánélethez való jogot. Támogatja ezt az ügyet, és maga is több mint 3.500 adományozó tag támogatja.

Kulcsfigurák

A bíróság előtt álló felek az ír adatvédelmi biztos, a Facebook Ireland Ltd. és Max Schrems. Az ír bíróság négy "amicus curiae"-t (a bíróság semleges segítői) is beengedett az ügybe, nevezetesen az amerikai kormányt, az Electronic Privacy Information Center-t (epic.org) és két iparági lobbiszervezetet.

Az összes uniós tagállam, az Európai Bizottság, az Európai Parlament és az Európai Adatvédelmi Testület (EDPB) is beadványt nyújthatott be.

Uploads

MakePrivacyReal

#Become a member
Munkánkat több mint 3.100 támogató tag teszi lehetővé - talán Ön is?

Share