A Snowden-féle nyilvánosságra hozatalok óta tudjuk, hogy az USA tömeges megfigyelést folytat az uniós felhasználókkal szemben azáltal, hogy személyes adatokat gyűjt az amerikai nagyvállalatoktól. A "Privacy and Civil Liberties Oversight Board" (PCLOB) az Egyesült Államok legfontosabb felügyeleti hatósága e törvények tekintetében. Az amerikai média most arról számol be, hogy a PCLOB demokrata tagjait eltávolították és e-mail fiókjaikat lezárták. Ezzel a kinevezett tagok száma a PCLOB működéséhez szükséges küszöbérték alá csökkent. Az a tény, hogy az amerikai elnök egyszerűen eltávolított embereket egy (állítólag) független hatóságból, megkérdőjelezi az összes többi amerikai végrehajtó jogorvoslati szerv függetlenségét.
Az Európai Unió ezekre az amerikai testületekre és bíróságokra támaszkodva állapította meg, hogy az USA "megfelelő" védelmet biztosít a személyes adatoknak. A PCLOB-ra és más mechanizmusokra támaszkodva az EU Bizottsága lehetővé teszi, hogy az európai személyes adatok szabadon áramoljanak az USA-ba az úgynevezett "transzatlanti adatvédelmi keretrendszer" (TADPF) keretében. A PCLOB a megállapodás egyetlen releváns "felügyeleti" eleme. A többi elem csupán jogorvoslati szervként működik. Több ezer uniós vállalkozás, kormányzati ügynökség vagy iskola támaszkodik ezekre a rendelkezésekre. A TADPF nélkül azonnal fel kellene hagyniuk az amerikai felhőszolgáltatók, például az Apple, a Google, a Microsoft vagy az Amazon használatával.
- Az EU-USA adattovábbítási saga háttere
- TADPF tájékoztató PDF az EU által
- Az amerikai kormány TADPF programoldala
- TADPF-határozat (EU) 2023/1795
- EUB: Schrems I és Schrems II
- Jelentés a PCLOB-tagok eltávolításáról
Az EU-USA adattovábbítási rendszer - az uniós és az amerikai jog keveréke. Az uniós jog általánosságban 1995 óta tiltja a személyes adatoknak az EU-n kívüli országokba történő exportálását, kivéve, ha erre feltétlenül szükség van (pl. amikor egy e-mailt küldenek bármely nem uniós országba). Az adatok akkor küldhetők külföldre, ha az EU-n kívüli ország "lényegében egyenértékű" védelmet biztosít az európaiak személyes adatainak. Az Egyesült Államokban viszont nagyon erős tömeges megfigyelési törvények vannak érvényben (pl. FISA702 vagy EO 12.333), amelyek lehetővé teszik az amerikai kormány számára, hogy az Amazon, Meta, Microsoft, Google és bármely más amerikai nagy technológiai cégnél tárolt adatokhoz hozzáférjen valószínűsíthető ok vagy egyedi bírósági jóváhagyás nélkül. Ezért az Európai Bíróság kétszer is kimondta(Schrems I és Schrems II), hogy az amerikai jog nem "lényegében egyenértékű". Ursula von der Leyen azonban ragaszkodott egy harmadik EU-USA megállapodás, a "Transzatlanti adatvédelmi keret" (TADPF ) elfogadásához.
A TADPF homokra épült. Az Európai Bizottság 2023.7.10-én kiadta az (EU) 2023/1795 végrehajtási határozatot, amelyben hivatalosan elfogadta a TADPF-et. Ez lehetővé tette, hogy bármely uniós vállalkozás szabadon továbbíthasson adatokat amerikai szolgáltatóknak, az amerikai megfigyelési törvények ellenére. Az Európai Bizottság az amerikai kormány (nagyon megkérdőjelezhető) végrehajtási rendeleteire vagy leveleire, köztük a PCLOB-ra támaszkodott, hogy megállapítsa, hogy az USA "lényegében egyenértékű". Ezek az elemek azonban nem tükröződnek az amerikai törvényekben és kodifikált jogszabályokban, mivel az amerikai kongresszusban nem volt többség az ilyen törvények elfogadásához. Sokáig kritizálták, hogy a következő amerikai elnök egy tollvonással megölheti ezeket a védelmeket. Ez a forgatókönyv most a láthatáron van. Határozatában az Európai Bizottság 31 alkalommal említette a PCLOB-ot, hogy megmagyarázza, miért van az USA-ban "lényegében egyenértékű" védelem. A PCLOB az egyetlen olyan általános "felügyeleti" szerv, amely ellenőrzi, hogy az amerikai szolgálatok valóban betartják-e a törvényeket, rendeleteket és egyéb ígéreteket. Az amerikai jog más elemei, mint például a különböző jogorvoslati mechanizmusok, a felperes aktivitását igénylik. Az USA hagyományosan megakadályozza, hogy ezekhez a szervekhez különböző "állandó" szabályokkal hozzáférjenek, ami azt eredményezi, hogy lényegében soha nem fogadnak el pereket. Ez azt jelenti, hogy a PCLOB az egyetlen releváns felügyeleti mechanizmus, amelyre a TADPF támaszkodott.
Max Schrems:"Ez az alku mindig is homokra volt építve, de az uniós üzleti lobbi és az Európai Bizottság mindenképpen ezt akarta. Stabil jogi korlátozások helyett az EU olyan végrehajtási ígéretekbe egyezett bele, amelyek pillanatok alatt visszavonhatók. Most, hogy az első Trump-hullámok eltalálták ezt az alkut, sok uniós vállalkozást gyorsan jogi bizonytalanságba taszít. Maga a PCLOB csak egy puzzle-darab, és amíg csak átmenetileg nem működik, addig van érv amellett, hogy az alku nem rosszabb, mint korábban. Azonban az irány, amit ez a Trump-elnökség első hetében mutat, nem tűnik jónak. Szorosan figyelemmel kísérjük, hogy ez csak átmeneti probléma-e, vagy a PCLOB-ot végleg megölik."
A végrehajtó szervek függetlensége megkérdőjeleződött. Az uniós adatvédelmi hatóságoktól eltérően az amerikai felügyeleti szervek többsége a végrehajtó hatalom alkotása, és így nem független. A függetlenséget gyakran csak az elnök biztosítja, de az bármikor visszavonható vagy felülbírálható. E furcsa jogi koncepciók közül sok annak a strukturális képtelenségnek a következménye, hogy az USA-ban nem tudnak tényleges jogszabályokat elfogadni. Ehelyett egész jogterületeket csupán elnöki rendeletek szabályoznak. Az a tény, hogy az amerikai elnök most megpróbál egyszerűen eltávolítani embereket, megkérdőjelezi, hogy az (állítólagosan) "független" végrehajtó szervek ötlete egyáltalán vitatható volt-e a kezdetektől fogva. A TADPF számos más eleme, például az adatvédelmi felülvizsgálati bíróság még a PCLOB-nál is gyengébb jogi védelemmel rendelkezik.
Max Schrems:"Sok kérdés merült fel ezeknek a felügyeleti mechanizmusoknak a függetlenségével kapcsolatban. Sajnos úgy tűnik, hogy úgy tűnik, hogy talán még a Trump-elnökség első napjait sem állják ki. Ez a különbség a szilárd jogi védelem a törvényben és a vágyálom között. Az Európai Bizottság kizárólag az utóbbira hagyatkozott."
45 nap a következő kritikus pontig. Trump hétfőn aláírt első végrehajtási rendeleteinek egyikében meghatározta, hogy minden bideni nemzetbiztonsági határozatot (beleértve azokat a vonatkozó határozatokat is, amelyekre az EU-USA transzferek támaszkodnak) 45 napon belül felül kell vizsgálni és potenciálisan el kell törölni. Ez azt jelenti, hogy a TADPF által támasztott további elemek napokon belül összeomolhatnak. Mivel az egész megállapodás Biden végrehajtói határozatokon alapul, Trump egyetlen aláírással az alku összes kulcsfontosságú elemét megsemmisítheti - ami azonnal illegális adattovábbításhoz vezetne az EU és az USA között.
Max Schrems:"Nehezen tudom elképzelni, hogy egy olyan Biden-végrehajtási határozat, amelyet az EU kényszerített az USA-ra, és amely az amerikai kémkedést szabályozza külföldön, túlélhetné Trump "Amerika az első" logikáját. A probléma az, hogy nem csak az amerikai Big Tech, hanem különösen a normális uniós vállalkozások mind erre az instabil végrehajtási rendeletek rendszerére támaszkodnak, hogy azzal érveljenek, hogy az amerikai felhőrendszerek használata legális az EU-ban."
A Bizottság a szakadék felé manőverezte az uniós vállalkozásokat. Az Európai Parlament és az uniós adatvédelmi hatóságok minden tény és kritika ellenére az Európai Bizottság következetesen azt állította, hogy a TADPF szilárd és megbízható. Az uniós üzleti lobbi egy(nyi) megállapodást sürgetett - függetlenül attól, hogy mennyire instabil vagy bolondos. Hasonlóképpen, az amerikai nagyvállalatok is az EU piacán akartak maradni az amerikai kormányok hozzáférésével kapcsolatos technikai korlátozások nélkül. Most a nagy bankoktól kezdve a teljes nemzeti iskolarendszereken át számos kisvállalkozásig mindenki arra ébredhet, hogy hamarosan illegális lesz az amerikai felhőtermékek használata.
Az EU-USA adattovábbítás egyelőre legális - de készüljetek fel! Az amerikai kormányzat döntése nem fogja azonnal illegálissá tenni az amerikai adatátvitelt. Az Európai Bizottság döntése általában jogszerű, amíg érvényben van, és nem semmisíti meg sem maga a Bizottság, sem a Bíróság. Tehát még ha az anyagi megállapítás téves is lesz, a határozat formálisan akkor is fennáll, amíg meg nem semmisítik. Ha azonban olyan kulcsfontosságú elemek, amelyekre az EU támaszkodott, nem működnek, akkor az EU-nak meg kell semmisítenie a megállapodást.
Max Schrems: "Bár az EU-USA megállapodás melletti érvek szétesni látszanak, a vállalatok mindaddig támaszkodhatnak az egyezségre, amíg azt hivatalosan nem semmisítik meg. Az Egyesült Államokban zajló fejlemények miatt azonban a vállalkozások és más szervezetek számára minden eddiginél fontosabb, hogy rendelkezzenek egy 'host in Europe' vészhelyzeti tervvel"."
Az Európai Bizottság nehéz helyzetben van. Az Európai Bizottság nemcsak hitelességi, hanem diplomáciai szempontból is nehéz helyzetbe manőverezte magát. Ha most gyorsan reagál, és megsemmisíti a TADPF-et, az amerikai technológiai oligarchia azt fogja kiáltani, hogy az EU "kicseszik" az amerikai nagyvállalatokkal. A Trump-kormányzat ezt oknak veheti arra, hogy az EU-val kezdje meg az első nagyobb harcot. Ugyanakkor az is problematikusnak tűnik, hogy nem tesz lépéseket, és nem figyelmezteti hivatalosan az USA-ba adatokat küldő uniós vállalkozásokat, közintézményeket és egyéb szervezeteket. A TADPF jövője nagyon rövid életű lehet.
Az amerikai TikTok-vita uniós változata? Míg az Egyesült Államok sokáig lekicsinyelte a személyes adatoknak az USA-ba történő áramlásával és tömeges megfigyelésre való felhasználásával kapcsolatos európai félelmeket, az USA hirtelen megfordult, miután a TikTok saját adatait összesítette. Egyfelől az amerikai Big Tech betiltása vagy kötelező felvásárlása Európában jogilag lehetetlen lenne. Az amerikai vállalkozások védve lennének attól, hogy az EU a "TikTok-tilalommal" egyenértékű határozatot hozzon. Ugyanakkor az uniós jog szerint 1995 óta alapértelmezett az a kötelezettség, hogy az uniós adatok ne kerüljenek az amerikai kormányzat kezébe. Ez lenne a jog akkor is, ha az Európai Bizottság megsemmisítené az EU-USA megállapodást. Az amerikai Big Tech-nek ekkor meg kellene védenie uniós adatközpontjait az amerikai anyavállalatok hozzáférésétől.
