A legtöbb EU-USA adattovábbítás a "Transzatlanti adatvédelmi keretrendszer" (TAFPF) vagy az úgynevezett "általános szerződési feltételek" (SCC) alapján történik. Mindkét eszköz törékeny amerikai törvényekre, nem kötelező érvényű rendeletekre és esetjogra támaszkodik, amelyek támadás alatt állnak - és valószínűleg a következő hónapokban felrobbannak. Mivel az amerikai jogrendszer instabilitása tagadhatatlanná válik, és az USA az EU-val szembeni ellenségesség nyílt jeleit mutatja, ideje újragondolni, hogy hová áramlanak adataink - és hogy meddig bírja ki az EU által felépített jogi "kártyavár".
Max Schrems blogbejegyzése
Az amerikai és az uniós jog rétegei. Az a "híd", amelyet az Európai Bizottság és a korábbi demokrata párti amerikai kormányok építettek annak érdekében, hogy az uniós személyes adatok feldolgozhatók legyenek az Egyesült Államokban, nem egy egyszerű, stabil amerikai adatvédelmi törvényen alapul. Ehelyett az EU és az USA a belső iránymutatások és rendeletek tonnáinak, a Legfelsőbb Bíróság ítélkezési gyakorlatának, az amerikai tényszerű "gyakorlatok" vagy végrehajtási rendeletek alapján.
A végsőkig való eljutás érdekében ezek a rétegek nem támogatják egymást, hanem úgy sorakoznak, hogy a lehető legvékonyabb kapcsolatot hozzák létre az uniós és az amerikai jog között - ami azt jelenti, hogy a kudarc csak a egy a sok jogi elem közül, a legtöbb EU-USA adattovábbítást valószínűleg azonnal jogellenessé tenné. Akárcsak egy kártyavárban, bármelyik kártya instabilitása összeomlasztja a házat.
A Trump-kormányzat rendkívül romboló megközelítése miatt az EU-USA adattovábbítás számos eleme támadás alatt áll - gyakran nem is közvetlen szándékok miatt. Ehelyett a jelenlegi amerikai kormányzat egyszerűen széles körben támadja az amerikai jogrendszert és alkotmányos szerkezetet (egy erősen átpolitizált Legfelsőbb Bíróság segítségével) - aminek számos lehetséges következménye lehet az EU-USA adatáramlásra nézve.
1. valószínű hibapont: Az FTC függetlensége. Múlt hétfőn az amerikai Legfelsőbb Bíróság a Szövetségi Kereskedelmi Bizottság (FTC) függetlenségéről tárgyalt. Egy 1935-ös ügy óta (Humphrey végrehajtó) óta az amerikai Legfelsőbb Bíróság ítélkezési gyakorlata szerint az amerikai jogalkotó "független" szerveket hozhat létre a végrehajtó hatalmi ágon belül, amely némileg el van szigetelve az amerikai elnöktől.
Az amerikai konzervatív jogászok körében mára teret nyert az a korábban marginális elmélet, amely szerint az amerikai alkotmány szerint a végrehajtó hatalom minden hatásköre egyetlen személy (az elnök) kezében van. Ez az úgynevezett "egységes végrehajtó hatalom elmélete" tipikusan alkotmányellenesnek minősítene minden független hatóságot, mint például az FTC-t. Minden hatáskörnek az elnökben kellene összpontosulnia.
A oldalon Trump kontra Slaughter ügybenaz amerikai Legfelsőbb Bíróság most meghallgatta egy FTC-biztos érveit, akit Trump minden függetlenségi garancia ellenére eltávolított a 15 U.S.C. § 41. A bírák hozzászólásai és kérdései alapján széles körben elterjedt az a vélemény (lásd pl. The Guardian, CNN vagy SCOTUS blog), hogy az amerikai Legfelsőbb Bíróság konzervatív többsége Trump mellé fog állni, és (valamilyen mértékben) követni fogja az "unitárius végrehajtó hatalom elméletét", felborítva az FTC függetlenségét.
Az amerikai Legfelsőbb Bíróság ítéleteivel kombinálva a az elnök abszolút mentelmi joga, az USA ezáltal egyre inkább egy olyan rendszer felé mozdulna el, amelyben az elnök abszolút "király" - legalábbis négy évig.
Európai szempontból az FTC függetlensége kulcsfontosságú elem, mivel az EU Alapjogi Chartájának (CFR) 8. cikkének (3) bekezdése előírja, hogy a személyes adatok feldolgozását egy "független" szerv. A TADPF-ben (és korábban a "biztonságos kikötő" és az "adatvédelmi pajzs" rendszerekben) az EU és az USA megállapodott abban, hogy ezeket a hatásköröket az FTC-re ruházzák az USA-ban - amely ilyen "független" szerv. A 2.3.4. szakasz a TADPF-határozatának az Európai Bizottság kiemeli az FTC végrehajtási szerepét. Preambulumbekezdés és a 92. lábjegyzet kifejezetten utal a következőkre 15 U.S.C. § 41 mint az Egyesült Államokban a szükséges függetlenségi garanciák alapját.
A TADPF egyetlen más eleme sem rendelkezik a szükséges vizsgálati hatáskörrel és függetlenséggel. Létezik magánbíráskodás is, de ezek nem rendelkeznek vizsgálati vagy végrehajtási hatáskörrel. Következésképpen a TADPF bármely résztvevője vagy a független FTC vagy a DoT (a közlekedési szervezetek esetében) irányítása alá tartozik.
Trump kontra Slaughter ügyben a tervek szerint legkésőbb 2026 júniusában vagy júliusában születik döntés, de akár korábban is születhet. Ideje tehát "becsatolni" az öveket és felkészülni.
Az egyik út lehet az SCC-kre vagy BCR-ekre való áttérés, mivel ezek nem igényelnek független amerikai szervet a végrehajtáshoz, ugyanakkor lehetővé teszik, hogy a megállapodást egy uniós adatvédelmi hatóságnak rendeljék alá. Ugyanakkor hatalmas kérdések merülnek fel azzal kapcsolatban, hogy a már átadott adatokat hogyan lehet "visszahozni" bármelyik, az EU által jóváhagyott rendszerbe, vagy akár általában véve "visszahozni" az EU-ba. Az SCC-ket és a BRC-ket továbbá az amerikai jogban bekövetkező jelentős változások is érinthetik (lásd alább).
2. valószínű hibapont: Adatvédelmi felülvizsgálati bíróság. Közvetlenül a következőkkel kapcsolatban Trump kontra Slaughter ügyben, amely a magánszektor felügyeletével foglalkozik, ezzel párhuzamosan felmerül a kérdés, hogy az úgynevezett "Adatvédelmi felülvizsgálati bíróság" (DPRC) hogyan lehet még mindig az amerikai kormányzati megfigyeléssel szembeni reális jogorvoslat bármilyen formájára támaszkodni.
A DPRC-nek számos jogi problémája van (ezekkel a problémákkal könnyen meg lehetne tölteni egy doktori értekezést), de ami a DPRC-t illeti, a DPRC döntően nem valódi amerikai bíróság - azért sem, mert nem törvény által létrehozott bíróság. Valójában egy, a végrehajtó hatalmon belül működő csoportról van szó, amelyet kizárólag Biden végrehajtási rendelete hozott létre (EO 14.086, lásd a részleteket alább). Ezt az embercsoportot az EJEE 6. cikke szempontjából legfeljebb "bíróságnak" lehet nevezni, de valószínűleg még ez az állítás is túlzás.
A lényeg az, hogy a Trump kontra Slaughter, ennek az úgynevezett "bíróságnak" a "függetlenségét" még csak nem is a törvény állapítja meg (mint az FTC esetében a 15 USC 41. §-a), hanem a EO 14.086, tehát pusztán egy belső elnöki rendelet, amely bármikor megváltoztatható.
Logikusan, ha a Legfelsőbb Bíróság a Trump kontra Slaughter ügyben úgy ítéli meg, hogy a független végrehajtó szervek alkotmányellenesek, akkor könnyen lehet, hogy a 14.086. sz. rendeletben foglalt függetlenségi állítások is (logikusan) alkotmányellenesek. Ez nagyban függ attól, hogy a Legfelsőbb Bíróság milyen érvelést fog alkalmazni a következő ügyekben Trump kontra Slaughter ügyben, de nagyon valószínű, hogy ezt a tágabb értelemben vett döntés közvetlen következményeként láthatjuk.
Ez a probléma messze túlmutatna a TADPF-en, mivel más transzferrendszerek (SCC-k vagy BCR-ek) úgynevezett "transzferhatásvizsgálatokra" (Transfer Impact Assessments, TIA) támaszkodnak, amelyek viszont általában a következőkre mutatnak rá EO 14.086 és a DPRC-re hivatkoznak, mint arra, hogy miért jutott bármely uniós ellenőr arra a következtetésre, hogy az amerikai jog nem írhatja felül az SCC-ket vagy a BCR-eket azon túlmenően, amit a Charta 7., 8. és 47. cikke megenged.
Ha ezek az elemek eltűnnek, akkor a "szükséges" adattovábbításokra (pl. egy e-mail küldése az USA-ba, egy megrendelés leadása vagy egy szálloda- vagy repülőjegy-foglalás) a GDPR 49. cikke marad, de az amerikai felhőszolgáltatóknak vagy SaaS-szolgáltatóknak történő "kiszervezésnek" jellemzően már nem lesz életképes jogalapja.
3. valószínű hibapont: EO 14.086. Az amerikai alkotmányjog változásain túl maga Trump is jelentős kockázati tényező. Amint azt fentebb kifejtettük, az EU-USA adattovábbítás gyakorlatilag minden formája egy Biden-rendeletre támaszkodik (EO 14.086). Trump többször fenyegetőzött azzal, hogy ezt a rendeletet hatályon kívül helyezi. Már beiktatásának napján a médiajelentések szerint vakon hatályon kívül fog helyezni minden Biden-rendeletet. Végül aláírta 14.148. SZ. RENDELETET, amely csak 68 Biden-rendeletet és 11 Biden-elnöki memorandumot helyezett hatályon kívül, de a 14.086. számú rendeletet nem.
EO 14.148 előírja, hogy minden "nemzetbiztonsági" EO-t a nemzetbiztonsági tanácsadónak 45 napon belül felül kellett volna vizsgálnia - ennek 2025.03.06-ig kellett volna megtörténnie. Az ebből következő változásokról nem érkezett jelentés. Ez nem jelenti azt, hogy a 14.086-os EO-t időközben nem buktatták meg (részben), mivel a Az amerikai elnök kiadhat "titkos" EO-kat, amelyek megváltoztatják a közzétett 14.086-os EO-t. Tekintettel Trump kiszámíthatatlan intézkedéseire, ez nem valószínűtlen forgatókönyv.
A Biden által az úgynevezett Autopen használatával kapcsolatban nemrégiben kirobbant, Trump az összes Biden által autopennel aláírt EO-t érvénytelennek nyilvánította egy Truth Social bejegyzésében. Teljesen tisztázatlan, hogy a 14.086 EO ilyen "autopen" EO-e, és hogy Trump közösségi médiás bejegyzései az ilyen EO-k hivatalos hatályon kívül helyezését jelenti-e. Ugyanakkor elgondolkodtató, hogy vajon az NSA bármelyik tisztviselője úgy érzi-e, hogy ezek a rendeletek már túlzottan kötik őt. Az sem valószínűtlen, hogy az Igazság közösségi posztolást egy hivatalos EO követheti, amely hatályon kívül helyezi ezeket a Biden EO-kat.
Egy másik jel arra, hogy a 14.086-os EO lehet a soron, a "Project 2025" program az amerikai kormányzat konzervatív átvételére. A oldalon 225. oldala szerző az EO 14.086, az EU és az USA-val szembeni állítólagos tisztességtelen bánásmódot támadja - tehát az EO 14.086 egyértelműen napirenden van. Hogy a dolgok még abszurdabbá váljanak, a szerző (Dustin Carmack) a Meta új "republikánus" lobbistája - egy olyan vállalatnak, amely a 14.086. sz. európai adatvédelmi rendeletre támaszkodik, hogy igazolja az EU-USA adattovábbítást, amelyet a bíróságon megtámadtak Schrems I és a oldalon Schrems II.
Összességében a 14.086 EO bármelyik pillanatban elbukhat - és vele együtt a TADPF és vele együtt szinte az összes TIAS és a legtöbb SCC, BCR.
Sok más lehetőség. Bár ez túlmutat ezen a blogbejegyzésen, sok további kérdés merül fel a TADPF-ben használt számos egyéb elemmel kapcsolatban.
Nyilvánvalóan még mindig vannak fő kérdések azzal kapcsolatban, hogy a TADPF valaha is elérte-e "alapvető egyenértékűség". Például:
- A 14.086. sz. rendeletben foglalt védelem nagyrészt 1:1 arányú másolata volt a PPD-28. sz. Obama-rendeletnek, amelyet az EUB elutasított a következő ügyben Schrems II.
- A jogorvoslattal kapcsolatos rendkívül magas terhek vagy a DPRC előtti meghallgatáshoz való valódi jog hiánya mérföldekre van a Charta 47. cikkétől.
- A TADPF kereskedelmi adatvédelmi elvei még csak jogalapot sem követelnek meg (ahogyan azt a Charta 8. cikkének (2) bekezdése és az általános adatvédelmi rendelet 6. cikkének (1) bekezdése előírja), hanem csak az opt-out lehetőségét írják elő.
Továbbá kérdéses volt a PCLOB függetlensége, illetve az, hogy az EU nagymértékben támaszkodik a (nem írott) "Amerikai gyakorlatra" - miközben Trump megmutatta, hogy ő és kormánya még a törvényeket sem tartja tiszteletben, nemhogy a korábbi "gyakorlatokat".
Mit tehetünk? Véleményem szerint a uniós kormányoknak és az adatkezelőknek (minden eddiginél jobban) sürgősen fel kell készülniük az EU-USA adattovábbítást érintő nagyon valószínűsíthető csapásokra a következő hónapokban. A USA nemzetbiztonsági stratégiája világossá tette, hogy a Trump-kormányzat Európát inkább ellenségnek, mint partnernek tekinti, és hogy az európai digitális jogalkotás a valószínűsíthető amerikai agresszió egyik fő fókuszpontja.
Az egyetlen hosszú távú megoldás (sajnos) az amerikai szolgáltatóknak történő adattovábbítás korlátozása, amennyiben azok "birtokában, őrizetében vagy ellenőrzése alatt tartják" európai személyes adatok felett. Lehetnek még olyan ajánlatok, ahol az USA-ból történő minden tényszerű hozzáférés technikailag lehetetlen - azonban egyelőre az egyetlen reális védelem, ami a piacon elérhető, az a következő: átváltás a Európai szolgáltatókra.
