A főtanácsnok nem kötelező erejű tanácsadói indítványának december 19-én 9:45 körül Luxemburgban történő átadására való felkészülés jegyében az alábbi előkészítő dokumentumot állítottuk össze. Az ügy 6,5 éve van függőben, a magánélet védelmére vonatkozó összetett uniós és amerikai felügyeleti jogszabályokkal foglalkozik, és négy meghallgatáson vett részt különböző bíróságok előtt. Az ügy tehát rendkívül összetett.
I. Az ügy háttere
Amerikai megfigyelés. Amint azt Edward Snowden nyilvánosságra hozatalai megerősítették, számos nagy amerikai internetes vállalat (ebben az esetben a Facebook) köteles lehetővé tenni az amerikai kormány számára, hogy "külföldi hírszerzési" célokra (beleértve a terrorizmus elleni küzdelmet és a kémkedést) tömegesen hozzáférjen az európai felhasználók adataihoz. Az európaiak adatainak ilyen jellegű felhasználása az EU és tagállamai nemzeti érdekeivel ellentétes lehet (például az uniós vállalatokkal szembeni amerikai szankciók érvényesítésénél vagy az uniós polgárok és kormányok elleni kémkedésnél).
A 2015-ös "biztonságos kikötő" ügy. Ezen tények alapján Schrems úr 2013-ban panaszt nyújtott be a Facebook ellen az ír adatvédelmi biztoshoz ("DPC"). A DPC először elutasította a panaszt, mint "komolytalant és bosszantó". Schrems úr fellebbezett a DPC ellen, és végül nyert: Ebben az ügyben, C-362/14 Schremsaz EUB ("Európai Unió Bírósága", az EU legfelsőbb bírósága) megerősítette az álláspontját, és kimondta, hogy a tömeges megfigyelés sérti az európai alapjogokat. Az EUB megsemmisítette a korábbi "biztonságos kikötő" rendszert, amely megkönnyítette az EU-USA adattovábbítást. Ezt a rendszert 2016-ban sürgősen felváltotta a "Privacy Shield" rendszer. Schrems: "Az adatvédelmi pajzs az illegális "biztonságos kikötő" frissített változata. Az amerikai felügyeleti jogban semmit sem változtattak vagy javítottak"
Szabványos szerződési feltételek ("SCC-k"). A "Safe Harbor"-ról szóló első EUB-határozat után a Facebook azt állította, hogy nem a "Privacy Shield"-et, hanem az ún. "Szabványos szerződéses záradékok" (SCC-k).
Az SCC-k egy uniós vállalat (itt a Facebook Ireland) és egy nem uniós vállalat (itt a Facebook Inc., Kalifornia) közötti szerződés, amelyben a külföldi vállalat kötelezettséget vállal az európaiak magánéletének tiszteletben tartására. A törvény elfogadja, hogy az ilyen szerződések kellőképpen védik az európai adatokat, amikor azokat külföldre továbbítják.
Alapvető probléma: Az uniós adatvédelmi jogszabályok ütköznek az amerikai felügyeleti joggal. Az uniós adatvédelmi jogszabályok ("GDPR") és az SCC-k értelmében az "adatexport" harmadik országba csak akkor jogszerű, ha az exportáló vállalat (ebben az esetben a Facebook Ireland Ltd.) "megfelelő védelmet" tud biztosítani az Egyesült Államokban. A gyakorlatban ez lehetetlennek bizonyult, mivel az amerikai megfigyelési törvények (mint például a FISA 702 és az EO 12.333) azt eredményezik, hogy az amerikai kormány "tömeges feldolgozást" végez a személyes adatok megfigyelési célú "tömeges feldolgozása". Schrems: "Egyszerűbben fogalmazva: Az uniós jog megköveteli a magánélet védelmét, míg az amerikai jog tömeges megfigyelést ír elő. A kérdés az, hogy mi történik akkor, ha egy uniós vállalat az amerikai, nem pedig az uniós jogot követi."
Schrems úr kérelme és az ír DPC reakciója. Tekintettel a fenti helyzetre és az EUB "Safe Harbor" ügyben hozott ítéletére, Schrems úr következésképpen 2015-ben kérte az ír DPC-t, hogy alkalmazza az SCCs 4. cikkét, amely lehetővé teszi a DPC számára, hogy egyedi esetekben az adattovábbítás "felfüggesztésére" kötelezze a Facebookot. Bár a DPC most egyetértett Schrems úrral abban, hogy az amerikai megfigyelési törvények sértik az uniós jogot, nem tettek közvetlen lépéseket. Schrems: "Célzott megoldást kértünk, csak azokra a vállalatokra vonatkozóan, amelyek e megfigyelési törvények hatálya alá tartoznak. A DPC egy napon belül ki tudott volna adni egy ilyen határozatot"
Az ír DPC érvényteleníteni akarja az SCC-ket. A DPC azonban nem tett eleget Schrems kérésének, hanem ehelyett pert indított a Facebook és Schrems ellen az ír legfelsőbb bíróságon azzal a céllal, hogy az ügyet visszautalják az Európai Unió Bírósága elé - ezúttal az SCC-k érvényességéről. Az ír Legfelsőbb Bíróság eleget tett a DPC kérésének, és visszautalta tizenegy kérdést az EUB elé, Schrems úr és a Facebook ellenállása ellenére (mindketten különböző okokból ellenezték az előterjesztést). Gerard Rudden (az ARQ Solicitors-tól, Schrems úr képviseletében): "Ügyfelem célzott megoldást kért az amerikai tömeges megfigyelési törvények hatálya alá tartozó vállalatok számára. A DPC már régen kiadhatott volna egy ilyen határozatot. Ehelyett 7 év és két, az EUB elé utalt ügy után még mindig nem kaptunk hivatalos határozatot a DPC-től."
noyb.eu & Jogi csapat Schrems úr ezt az ügyet pro bono alapon indította, és egy ír, amerikai és luxemburgi ügyvédekből álló csapat támogatja. Az ügyet az európai nonprofit szervezet is támogatja noyb.eu, amelynek ő a tiszteletbeli elnöke is. Schrems urat Eoin McCullhan képviseli az Ahern Rudden Quigley Solicitors ügyvédi iroda megbízásából. Prof. Herwig Hofmann európai jogi kérdésekben támogatta az ügyet. Ashley Gorski az Amerikai Polgári Szabadságjogi Uniótól (ACLU.org) szakértő tanúként segített az amerikai megfigyelési joggal kapcsolatban.
II. Lehetséges eredmények
Az AG véleménye és a jogerős ítélet közötti különbség nagyon valószínű. Az ügy tizenegy, részben egymással összefüggő kérdést vetett fel, amelyekhez számos további kérdés társul. Sok más esettől eltérően nem várható bináris válasz. A vélemény és a jogerős ítélet egyaránt kibővíthet egyes kérdéseket, más kérdésekben pedig hallgathat. Schrems: "Ez az ügy tizenegy, egymással összefüggő kérdést tartalmaz. Nagyon valószínűtlen, hogy a főtanácsnoktól egyetlen egyértelmű "igen vagy nem" választ kapunk. Tekintettel a sok lehetőségre, még kevésbé valószínű, hogy a bírák ezt a tizenegy kérdést a végső ítéletükben ugyanúgy fogják megközelíteni."
Az ügy sokféle lehetőségén túlmenően az ügy szóbeli tárgyalása is jelezhette volna, hogy az AG és a bírák között némileg eltérő nézetek vannak. Schrems: "A bírósági tárgyalás során a főtanácsnok egészen más irányba tett fel kérdéseket, mint a bírák. Úgy tűnt, hogy a bírák sokkal kritikusabbak voltak az amerikai joggal és az Európai Bizottság értékelésével szemben, mint a főtanácsnok. Ezért arra számítok, hogy a végleges ítélet a csütörtöki véleménynél szigorúbb adatvédelmi védelmet biztosíthat."
Hosszú távú megoldásra van szükség. Hosszú távon az uniós adatvédelmi jogszabályok és az amerikai megfigyelési törvények közötti alapvető összeütközés nagy valószínűséggel nem fog megoldódni ebben az ügyben. Schrems: "Ha az USA fel akarja dolgozni a külföldiek adatait, akkor legalább ugyanolyan alapvető adatvédelmi védelmet kell nyújtania a külföldieknek. Jelenleg az USA egy kicsit úgy viselkedik, mintha Svájc azt mondaná, hogy 'tárolja nálunk az összes aranyát, de valójában nincsenek jogai, ha már itt van'. Ha ez a helyzet, akkor ki a világon bízza meg az USA-t az adataival?"
III. A felek álláspontja a "fő vitás kérdésben"
Amint egy adatvédelmi hatóság úgy véli, hogy egy adatátvevőre olyan harmadik országbeli jogi kötelezettségek vonatkoznak, amely nem felel meg az uniós jognak (mint ebben az esetben), felmerül a kérdés, hogyan oldható meg ez a dilemma. Az eljárásban részt vevő három fél három különböző választ javasolt:
|
|
Az ír DPC |
Max Schrems |
|
|
Az amerikai megfigyelés nem sérti az uniós jogot ("nincs megoldandó probléma") |
Nincs |
Nem |
Igen |
|
A 4. cikk értelmében az SCC-k lehetővé teszik a felfüggesztést ("célzott megoldás" a FISA-vállalatok számára) |
Nem |
Igen |
Igen, ha probléma merülne fel |
|
Az SCC-k globálisan érvénytelenek ("radikális megoldás") |
Igen |
Nem |
Nem |
- A Facebook álláspontja szerint a kérdés feltevése téves, mivel az amerikai megfigyelés (különböző okokból) megfelel az uniós jognak, és az ügyre nem az uniós jog vonatkozik.
- Schrems úr úgy véli, hogy az SCCs 4. cikke lehetővé teszi a DPC számára, hogy egyedi esetekben felfüggessze az adatáramlást, de a DPC nem él ezzel a "célzott megoldással" a törvény értelmében.
- A DPC "szisztematikus" problémát lát, amelynek az SCC-k globális érvénytelenítéséhez kellene vezetnie, és nem a DPC-nek kellene minden egyes esetben külön-külön eljárnia.
IV. GYIK és gyakori félreértések
- Schrems úr nem próbálta meg eltörölni a standard szerződési feltételeket?
Schrems úr soha nem állította, hogy az SCC-k érvénytelenek lehetnek. Az összes fél és az EUB-nál történt összes beavatkozás közül csak a DPC volt azon az állásponton, hogy az SCC-ket érvényteleníteni kell. Mindenki (az uniós intézmények, a tagállamok, a lobbicsoportok, a Facebook és Schrems úr) azon az állásponton van, hogy az SCC-k nem érvénytelenek.
- Az EU nem csak a szabad kereskedelmet akadályozza?
Két törvény vezet ehhez a joghatósági összeütközéshez: (1) az amerikai megfigyelési törvények, amelyek lehetővé teszik a külföldiek tömeges megfigyelését és a kémkedést egyéni bírósági jóváhagyás nélkül, és (2) a magánélethez való európai alapjog. Rendkívül ésszerű megtiltani az adatáramlást egy idegen területre, ha ezekkel az adatokkal visszaélhetnek. Az USA-nak hasonló aggályai vannak az olyan alkalmazásokkal, mint a "TikTok" vagy a Huawei 5G hardvereivel kapcsolatban.
- Ez az eset nem azt jelenti, hogy többé nem küldhet e-maileket az USA-ba?
Egyszerűen fogalmazva, a GDPR kétféle adatáramlásról beszél: (1) Szükséges adatáramlások (mint például az e-mailek vagy a külföldi szállodafoglalás), amelyekre a GDPR 49. cikke eltéréseket tartalmaz, és (2) az adatfeldolgozás harmadik országba történő "kiszervezésének" esetei, amelyek nem feltétlenül szükségesek. Még ha az SCC-ket érvénytelenítenék is, ennek csak a második kategóriába tartozó esetekre lenne következménye, amelyekre nem vonatkozik "eltérés".
Az e-mailek esetében ez azt jelentené, hogy a Gmail postafiók egésze már nem szervezhető ki az USA-ba, de az egyes e-maileket, amelyek egy amerikai barátnak vagy kollégának szólnak, továbbra is kézbesítik (ahogyan ma is küldenek e-maileket Kínába, Oroszországba vagy akár Észak-Koreába).
- Ez az eset az USA-ba irányuló összes adatáramlást érinti?
Schrems úr érvelése szerint az alapvető kérdés azokra a vállalatokra korlátozódik, amelyek a "FISA 702" nevű, különleges megfigyelési törvény hatálya alá tartoznak. Ez a törvény csak az "elektronikus hírközlési szolgáltatókra" (mint a Facebook, a Google vagy a Microsoft) vonatkozik, de nem vonatkozik a "hagyományos vállalkozásokra", mint a légitársaságok, szállodák, kereskedelem, pénzügyek és hasonlók.
Van egy másik kérdés a "EO 12.333" nevű megfigyelési engedély körül, amely lehetővé teszi az USA számára, hogy bármilyen üzleti szektorban megfigyelést folytasson, beleértve az Egyesült Államokon kívüli transzatlanti kábeleket is. Ez elsősorban az "Adatvédelmi pajzs" értékelése szempontjából lényeges.
Összességében az SCC-k szerinti adattovábbítás felfüggesztése csak a 2007-ben bevezetett FISA 702-es számú törvény hatálya alá tartozó vállalatok esetében szükséges. A probléma megoldható azáltal, hogy az Egyesült Államokban rögzítik ezt a törvényt.
- Schrems úr kétszer perelte be a Facebookot?
Bár Schrems úr 2013-ban nyújtotta be az eredeti panaszt a DPC-hez, a DPC szüneteltette ezt az eljárást, és pert indított a Facebook és Schrems úr ellen. Ők az alperesek, és nem indították el ezt a (második) hivatkozást az EUB előtt. Valójában mind Schrems úr, mind a Facebook különböző okokból ellenezte az EUB elé utalást.
- Mi köze van ennek az ügynek az "adatvédelmi pajzshoz"?
A Facebook felvetette az "Adatvédelmi pajzsot" az ügyben, mivel azzal érvelnek, hogy az Európai Bizottság az Adatvédelmi pajzsban jóváhagyta az Egyesült Államok megfigyelési törvényeit, és ennek az értékelésnek kötelezőnek kell lennie akkor is, amikor az Egyesült Államok megfigyelési törvényeit az SCC-k alapján értékelik. Schrems úr azzal érvelt, hogy ez az értékelés tényszerűen téves, és ezért a Privacy Shield érvénytelen.
Nem világos, hogy a főtanácsnok foglalkozik-e bármelyik érvvel, mivel a bírák a szóbeli meghallgatás során intenzíven kérdezték az Európai Bizottságot az adatvédelmi pajzsról.
- Miért mondja, hogy az SCC-k rendben vannak, de az adatvédelmi pajzs nem?
Az SCC egy általános eszköz a világ mintegy 200 országa számára. Nem foglalkozik az amerikai megfigyelési törvényekkel. Ha van egy ellentétes jogszabály, az SCC-k 4. cikke lehetővé teszi a DPC számára, hogy leállítsa az adattovábbítást. Az SCC tehát választ ad a Bíróság előtt álló problémára. Az adatvédelmi pajzsról szóló határozatban az Európai Bizottság kifejezetten úgy ítélte meg, hogy az USA felügyeleti joga összhangban van az uniós joggal, amivel mi alapvetően nem értünk egyet.
- Ön szerint mit kellett volna tennie a DPC-nek?
Az SCC 4. cikke értelmében bármely adatvédelmi hatóság (például a DPC) leállíthatja az adattovábbítást, ha az SCC-nek ténylegesen nem felel meg. A Facebook Ireland legalább 2013 óta tudott az NSA megfigyeléséről, de nem tett semmilyen intézkedést az adattovábbítások leállítására vagy korlátozására. Ilyen esetekben a szabályozó hatóságnak kell közbelépnie és intézkednie.
- Hogyan felelhetnek meg a vállalatok a kedvező döntésnek?
Először is azonosítaniuk kell, hogy adatai közül bármelyikük olyan amerikai "elektronikus hírközlési szolgáltatóhoz" kerül-e, amely a FISA 702. cikkének hatálya alá tartozik. A legtöbb hagyományos iparág nem tartozik e megfigyelési törvények hatálya alá, de a sokunk által használt nagy technológiai vállalatok (mint a Facebook, a Google, az Amazon vagy a Microsoft) igen.
Még ha az adatok valamelyik ilyen szolgáltatóhoz kerülnek is, a legtöbb alapvető adattovábbítás (pl. e-mailek, közvetlen üzenetek küldése vagy foglalási adatok) a GDPR úgynevezett "eltérései" alapján akkor is továbbítható. A puszta "kiszervezés" esetében azonban az európai vállalatoknak az Egyesült Államokon kívül kell alternatívát találniuk.
