Hétfőn az Egyesült Államok Legfelsőbb Bírósága a Trump kontra Slaughter ügyben úgy döntött, hogy az amerikai Szövetségi Kereskedelmi Bizottság („FTC”) többé nem tekinthető függetlennek. 2000 óta az EU az „független” FTC-re támaszkodott az EU–USA közötti személyes adatokra vonatkozó megállapodások végrehajtójaként. Az uniós szerződéses jog szerint az ilyen felügyeletnek függetlennek kell lennie. A jelenlegi EU–USA megállapodásban az Európai Bizottság 259 (!) alkalommal hivatkozik a független FTC-re. Max Schrems: „Mivel az Egyesült Államokban már nincsenek független hatóságok, felszólítjuk az Európai Bizottságot, hogy szabályszerűen vonja vissza az Egyesült Államokra vonatkozó megfelelőségi határozatot.”
- Az EU–USA adatvédelmi keretrendszerről szóló EU 2023/1795 számú bizottsági végrehajtási határozat (EUR-Lex)
- Az Egyesült Államok Legfelsőbb Bíróságának ítélete a Trump kontra Slaughter
- noyb Levél az Európai Bizottsághoz
Az EU–USA adatvédelmi keretrendszer. 1995 óta az EU általában tiltja a személyes adatok harmadik országokba történő exportját, hogy biztosítsa: az EU adatvédelmi szabályait ne lehessen megkerülni egyszerűen az adatok külföldre küldésével. Bár vannak kivételek a szükséges adattovábbításokra – a szállodafoglalástól kezdve a bonyolult tranzakciókig –, sok uniós vállalat egyszerűen kiszervezte a személyes adatok feldolgozását amerikai felhőszolgáltatóknak. 2000 óta az Európai Bizottság többször is elismerte, hogy az USA a személyes adatok védelme tekintetében „megfelelő” országnak minősül – lehetővé téve ezzel a szabad adatáramlást az EU és az USA között. Az Európai Bíróság (CJEU) hatályon kívül helyezte a Bizottság két korábbi határozatát az úgynevezett „Schrems I” ítéletében (amely véget vetett a „Safe Harbour” programnak) és „Schrems II” határozat (amely véget vetett a „Privacy Shield”-nek), az amerikai megfigyelési törvények és az Egyesült Államokban a bírósági jogorvoslatok hiánya miatt. Mindazonáltal az Európai Bizottság 2023-ban kiadott egy harmadik EU–USA megállapodást, az úgynevezett „EU–USA adatvédelmi keretrendszer” néven, amely nagyrészt a korábban megsemmisített megállapodások másolata volt.
Az EU követelménye a független adatvédelmi hatóságra vonatkozóan. Az EUszerződéses joga (tehát az EU „alkotmányos” kerete), nevezetesen az EUMSZ 16. cikk (2) bekezdése és az Alapjogi Charta 8. cikkének (3) bekezdéseelőírja, hogy az adatvédelmi ügyek felügyeletét „független” hatóságnak kell ellátnia. Mivel a harmadik országoknak „lényegileg egyenértékű” védelmet kell biztosítaniuk, szükséges, hogy minden olyan harmadik ország, amely az EU-ból származó személyes adatok szabad áramlását kívánja élvezni, szintén biztosítsa az ilyen védelmet. Eddig az USA a „független” FTC-t nevezte ki adatvédelmi szabályozó hatóságként, hogy megfeleljen az EU független felügyeletre vonatkozó követelményének. Az EU viszont az EU–USA adatáramlásról szóló határozatában összesen 259 (!) alkalommal hivatkozott az FTC-re.
Max Schrems: „Döntő fontosságú, hogy az EU alkotmányos kerete független felügyeletet ír elő. Ezt csak az EU-szerződések módosításáról szóló, valamennyi EU-tagállam által egyhangúlag meghozott szavazással lehetne megváltoztatni.”
A független bíróságra vonatkozó követelmény. Ezen felülaz EUB azt is kiemelte, hogy az Egyesült Államoknak független jogorvoslati mechanizmust kell biztosítania a kormányzati megfigyeléssel kapcsolatos ügyekben. Mivel az Egyesült Államok nem tudta elfogadni a vonatkozó jogszabályokat, a Biden-kormány létrehozta a „Adatvédelmi Felülvizsgálati Bíróságot”. Noha „bíróságnak” nevezik, valójában az amerikai Igazságügyi Minisztériumon belüli végrehajtó szerv. Csak egy végrehajtási rendelet (EO) révén „független”, amelyet Trump bármikor módosíthat, és amely nem kötelező érvényű az elnökre nézve.
A „Slaughter”-ítélet: egységes (Trump-féle) végrehajtó hatalom.A joggyakorlattól 180 fokos fordulatotvéveaz amerikai Legfelsőbb Bíróság konzervatív többsége most úgy döntött, hogy az FTC függetlensége alkotmányellenes. Ez az „egységes” elméletet követi, miszerint az amerikai elnöknek hatalmának ki kell terjednie minden amerikai végrehajtó szerv felett, és alkotmányellenesnek nyilvánította az összes olyan amerikai törvényt, amely különböző ügynökségeket függetlenné tesz. Mivel az EU szinte minden esetben az FTC-nek mint adatvédelmi felügyelő szervnek a „függetlenségére” támaszkodott, az EU–USA adatvédelmi keretrendszer teljes szerkezete most összeomlott.
Max Schrems: „Még az Európai Bizottság logikája szerint is megszűnt minden EU–USA adatátadási megállapodás alapja. Felhívjuk a Bizottságot, hogy kezdje meg a rendezett kivonulást az amerikai felhőből – ami nem könnyű, de sajnos elkerülhetetlen. A Bizottság az iparág nyomására jogi kártyavárat épített, és most, hogy az egyértelműen összeomlik, felelősséget kell vállalnia.”
A hatás nem korlátlan. Mégha az EU-határozat minden alapja meg is szűnt, az Európai Bizottság határozata formálisan addig marad hatályban, amíg az Európai Bizottság vissza nem vonja, vagy az Európai Bíróság meg nem semmisíti. Nincs tehát azonnali hatálya. A GDPR emellett csak a személyes adatok továbbítását szabályozta. A nem személyes adatok szabadon áramolhatnak. Továbbá, a GDPR 49. cikke lehetővé teszi a szükséges adatátvitelt bármely harmadik országba. Ugyanakkor nem teszi lehetővé az adatok strukturális kiszervezését az EU-ból, ha ez nem feltétlenül szükséges.
Az SCC-k és a BCR-ek is érintettek. Noha egyes vállalatok nem támaszkodnak közvetlenül az EU–USA keretmegállapodásra, hanem formálisan az SCC-ket és a BCR-eket alkalmazzák, általában egy „hatásvizsgálatra” is támaszkodnak, amely viszont korábban független amerikai végrehajtó szervekre, például a PCLOB-ra vagy az Adatvédelmi Felülvizsgálati Bíróságra támaszkodik. A Legfelsőbb Bíróság döntése ezért általában rájuk is hatással van, még akkor is, ha nem támaszkodnak az FTC-re. A formális bizottsági határozatra támaszkodó adatkezelőktől eltérően nekik haladéktalanul frissíteniük kell értékelésüket – és logikusan arra a következtetésre kell jutniuk, hogy az adatátvitel már nem jogszerű.
Következő lépések: A Bizottságnak hatályon kívül kell helyeznie az EU–USA megállapodást. A noyb hivatalos levelet hivatalos levelet az Európai Bizottságnak , amelyben arra kéri a Bizottságot, hogy tegye meg a megfelelő lépéseket az EU–USA adatvédelmi megállapodás rendezett módon történő hatályon kívül helyezése érdekében. Politikai szempontból számos EU-tagállam már a „digitális szuverenitás” irányába mozdult el, és kijelentette, hogy elszakad az amerikai szolgáltatóktól. Néhány amerikai szolgáltató is az EU-n belüli külön adatfeldolgozás irányába halad. Mivel azonban az USA továbbra is hatalmas nyomást gyakorol az EU-ra a személyes adatok áramlásának fenntartása érdekében, a noyb a következő hetekben pert is indít, azzal a céllal, hogy az Európai Unió Bírósága (CJEU) megsemmisíthesse a jelenlegi megállapodást. Egy ilyen per lezárásáig azonban általában 2–3 év telik el, mire végleges döntés születik.
