Az EUB érvénytelenítette az "adatvédelmi pajzsot" az amerikai megfigyelési ügyben. Az SCC-t a Facebook és a hasonló vállalatok nem használhatják.
A Facebook és a hasonló vállalatok sem használhatják az "SCC-ket" adattovábbításra, mivel a DPC-nek le kell állítania az ezen eszköz szerinti adattovábbítást. Schrems: "Szükségünk van az amerikai megfigyelési reformra. A Bíróság egyértelművé tette, hogy nem lehet az uniós joggal ellentétes adattovábbítást végezni."
Max Schrems (a noyb.eu elnöke és az ügyben részt vevő fél) első reakciója az ítéletre:
Schrems: "Nagyon örülök az ítéletnek. Úgy tűnik, a Bíróság minden tekintetben követett minket. Ez teljes csapás az ír DPC-re és a Facebookra. Egyértelmű, hogy az USA-nak komolyan meg kell változtatnia a megfigyelési törvényeit, ha az amerikai vállalatok továbbra is jelentős szerepet akarnak játszani az EU piacán."
Az amerikai megfigyelési reform elkerülhetetlen - az EUB most mondja ki hangosan
A Bíróság egyértelműen kijelentette, hogy a messzemenő amerikai megfigyelési törvények ellentétesek az uniós alapjogokkal. Az USA a legtöbb védelmet az "amerikai személyekre" korlátozza, de nem védi az amerikai vállalatok külföldi ügyfeleinek adatait az NSA-tól. Mivel nincs mód arra, hogy megtudják, megfigyelés alatt állnak-e önök vagy vállalkozásuk, az embereknek nincs lehetőségük bírósághoz fordulni sem. Az EUB megállapította, hogy ez sérti egyes uniós alapjogok "lényegét".
Schrems: "A Bíróság immár másodszor tisztázta, hogy az uniós adatvédelmi jog és az amerikai megfigyelési jog között ütközés van. Mivel az EU nem fogja megváltoztatni az alapvető jogokat az NSA kedvéért, az egyetlen módja ennek az ütközésnek a leküzdésére az, hogy az USA szilárd adatvédelmi jogokat vezet be minden ember számára - beleértve a külföldieket is. A megfigyelési reform ezáltal döntő fontosságúvá válik a Szilícium-völgy üzleti érdekei szempontjából."
"Ez az ítélet nem az adattovábbítás korlátozásának oka , hanem az amerikai megfigyelési törvények következménye . Nem hibáztathatjuk a bíróságot, amiért kimondta az elkerülhetetlent - ha a szar a ventilátorba csapódik, nem hibáztathatjuk a ventilátort."
Az Európai Bizottság meghajolt az amerikai nyomásnak
Az ítéletből az is világossá válik, hogy az Európai Bizottság nem végezte el az amerikai megfigyelési törvények alapos és pontos értékelését az adatvédelmi pajzs keretében. Ehelyett az amerikai nyomásnak engedett az adatvédelmi pajzs elfogadásakor.
Herwig Hofmann, a Luxemburgi Egyetem jogászprofesszora és a Schrems-ügyekben az EUB előtt érvelő ügyvédek egyike: "Az EUB megsemmisítette a második olyan bizottsági határozatot, amely sérti az uniós adatvédelmi alapjogokat. Nem lehet adatokat továbbítani egy olyan országba, ahol tömeges megfigyelési formák léteznek. Amíg az amerikai jog felhatalmazza kormányát arra, hogy az USA-ba továbbított uniós adatokat felporszívózza, addig az ilyen eszközöket újra és újra érvényteleníteni fogják. Azzal, hogy a Bizottság az adatvédelmi pajzsról szóló határozatban elfogadta az amerikai megfigyelési törvényeket, védekezés nélkül hagyta őket."
Az adatvédelmi hatóságoknak "cselekvési kötelezettsége" van - Fontos megerősítés a GDPR számára
A Bíróság azt is egyértelművé tette, hogy az uniós adatvédelmi hatóságoknak (adatvédelmi hatóságok) kötelességük intézkedni. A Bíróság kiemelte, hogy az adatvédelmi hatóságok "kötelesek teljes körűen és kellő gondossággal végrehajtani a GDPR teljes körű érvényesítésének biztosításáért viselt felelősségét". Eddig sok adatvédelmi hatóság úgy vélte, hogy korlátlan mérlegelési jogkörrel rendelkezik, és elnézi a dolgot. A Bíróság most véget vetett ennek a gyakorlatnak.
Schrems: "A Bíróság nemcsak azt mondja az ír adatvédelmi hatóságnak, hogy hét év tétlenség után tegye a dolgát, hanem azt is, hogy az összes európai adatvédelmi hatóságnak kötelessége intézkedni, és nem nézhet csak úgy félre. Ez alapvető változást jelent, amely messze túlmutat az EU-USA adattovábbításon. Az olyan hatóságok, mint az ír adatvédelmi hatóság, eddig azzal ássák alá a GDPR sikerét, hogy egyszerűen nem dolgozzák fel a panaszokat. A Bíróság egyértelműen azt mondta az adatvédelmi hatóságoknak, hogy kezdjenek hozzá és szerezzenek érvényt a jognak."
Az SCC-ket már nem használhatják a Facebook és az amerikai felügyelet alá tartozó amerikai vállalatok
A Bíróság is csatlakozott Schrems úr álláspontjához, miszerint első lépésben az uniós vállalatoknak és az adatok nem uniós címzettjeinek az adott harmadik ország jogát kell felülvizsgálniuk. Csak ha nincs ellentétes jogszabály, akkor vehetik igénybe az SCC-ket. A védelem második szintjeként az illetékes adatvédelmi hatóságnak (DPA) az általános szerződési feltételekbe beépített "vészhelyzeti záradékot" kell alkalmaznia (az általános szerződési feltételekről szóló határozat 4. cikke). Az uniós adatvédelmi elveket sértő amerikai megfigyelési törvények esetében a vállalatok nem tettek lépéseket. A DPC 2016 óta küzd ez ellen az elképzelés ellen azzal a hamis állítással, hogy mérlegelési jogköre van arra, hogy ne tegyen semmit a külföldi hatalmak tömeges megfigyelésével szemben. Összefoglalva ez azt jelenti, hogy a Facebook többé nem használhatja az SCC-ket az EU-USA adattovábbításhoz, és ha továbbra is megsértik a törvényt, a DPC-nek sürgős intézkedéseket kell hoznia - ellentétben az ítéletre adott első reakciókban megfogalmazott egyes állításokkal.
Schrems: "Az ítélet egyértelművé teszi, hogy a vállalatok nem csak aláírhatják az SCC-ket, hanem azt is ellenőrizniük kell, hogy a gyakorlatban be tudják-e tartani azokat. Az olyan esetekben, mint a Facebook, ahol nem tesznek lépéseket, a DPC végig a saját kezében tartotta a megoldást ebben az ügyben. Már évekkel ezelőtt utasíthatta volna a Facebookot az átutalások leállítására. A panaszunkban azt követeltük, hogy adjon ki egy tiltó határozatot egy ésszerű végrehajtási határidővel, hogy a Facebook megtehesse a szükséges lépéseket. Ehelyett az EUB-hoz fordult, hogy érvénytelenítse az SCC-ket, amelyek érvényesek. Ez olyan, mintha az európai tűzoltóságért kiabálnánk, mert magunknak nincs kedvünk elfújni a gyertyát.
A felhasználóknak össze kell fogniuk & rendkívül magas költségek
Az a tény, hogy ez az ügy már 7 éve tart, és a DPC csak a Schrems úr panaszának megvívására közel 3 millió eurót költött ahelyett, hogy határozott lépéseket tett volna az európaiak jogainak védelme érdekében, a GDPR végrehajtási rendszerének néhány alapvető hibáját is mutatja. Egy normális ember számára jelenleg lehetetlen biztosítani, hogy a GDPR szerinti jogok ne csak üres ígéret maradjanak, hanem digitális életünk normális részévé váljanak.
Schrems: "A DPC 2,9 millió eurót fektetett be ellenünk - és lényegében veszített. Nem is akarom tudni, hogy a Facebook hány milliót dobott erre az ügyre. Ennek az ügynek a pénzügyi következményeiről most az ír bíróságok fognak dönteni. Az uniós jog szerint az állampolgári panaszok ingyenes és gyors elbírálását kell biztosítani. Ebben az esetben azonban már 7 éve a bíróságon vagyunk, és több mint 45 000 oldalnyi dokumentumot nyújtottak be. Az a mítosz, hogy egy joghallgató ezt egyedül is megteheti, sajnos téves."
folytatódhat a "szükséges" adatáramlás az USA-ba
Az ítéletben foglalt érvénytelenítések ellenére a GDPR 49. cikke alapján továbbra is folytatódhat a feltétlenül "szükséges" adatáramlás. Minden olyan helyzet, amikor a felhasználók azt szeretnék, hogy adataik külföldre áramoljanak, továbbra is jogszerű, mivel ez a felhasználó tájékozott hozzájárulásán alapulhat, amely bármikor visszavonható. Ugyanígy a törvény lehetővé teszi az adatáramlást a szerződés teljesítéséhez "szükséges" adatok esetében is. Ez szilárd alapot jelent az USA-val folytatott legtöbb jogi tranzakcióhoz. Egyszerűbben fogalmazva: az USA most visszakerült abba a "normális" helyzetbe, amely az EU-nak a legtöbb más harmadik országgal szemben van, de elvesztette az uniós piachoz való különleges hozzáférését az amerikai felügyelet miatt.
Schrems:"A Bíróság kifejezetten kiemelte, hogy az adatvédelmi pajzs érvénytelenítése nem hoz létre "jogi vákuumot", mivel a létfontosságú adatáramlás továbbra is folytatható. Az USA most egyszerűen visszakerül egy átlagos országgá, amely nem rendelkezik különleges hozzáféréssel az uniós adatokhoz."
v1
