Megtiltotta a hatóság a tengerentúli adattovábbítást a Facebook-nak
Az Erópai Unió Bírósága 2020. július 16-án hozott, Schrems II néven elhíresült döntése egyben az EU és USA között fennálló adatvédelmi megállapodás (Privacy Shield) végét is jelentette. Az ítélet részleteiről, illetve annak hosszútávon várható hatásairól részletesebben ezekben a cikkekben írtunk. 2020. szeptember 9-én jelentette be az Ír Adatvédelmi Hatóság (DPA), hogy megiltja a Facebook számára a harmadik országba (Amerika) történő adattovábbítást, mivel a cég által jelenleg alkalmazott gyakorlat nincs összehangban a GDPR rendelkezéseivel.
A Hatóság 2020. augusztusában kezdte vizsgálni, hogy a Facebook milyen módon küld adatokat az Egyesült Államokba, és ezek mennyire vannak összhangban a Schrems II. ítélettel.
A Facebook a Privacy Shield egyezmény érvénytelenítését követően az általános szerződési feltételek (SCC) alapján történő adattovábbításra tért át, ezt azonban most az ír Hatóság jogtalannak nevezte. A Facebook szóvivőjének nyilatkozata szerint a cég úgy hitte, jelenlegi adattovábbítási gyakorlata megfelel az elvárásoknak, mivel a Schrems II is kimondta, hogy az SCC-k használata jogszerű és ezt a gyakorlatot a továbbiakban is folytatni szándékoznak, amíg erre vonatkozóan más iránymutatást nem kapnak.
A cégnek a végső döntés meghozatala előtt még lehetősége lesz megjelenni a DPA előtt, hogy az ügyet tisztázza, azonban az már most sem kérdéses, hogy az ítélet precedensértékű lesz a jövőbeni EU-USA adattovábbítások szempontjából. Az SCC-k használatával kapcsolatban a Schrems II döntés után meglehetősen nagy volt a bizonytalanság; az ítélet ugyan nem tiltotta kimondottan azok használatát, azonban kötelezte a módszer használó cégeket, hogy vizsgálják felül gyakorlatukat, és esetről esetre vizsgálják, hogy az adattovábbítás az adott partnernek, az adott harmadik országba teljesíthető-e, a fogadó ország jogrendje tehát biztosít-e az EU-val hasonló védelmet a személyes adatoknak.
Az SCC-k alkalmazása a Schrems II-t követően több, mint meglepő lépés volt a tech cégek részéről, az ítélet ugyanis egyértelműen kimondja, hogy a harmadik országba történő adattovábbítást megelőzően az adatot küldő félnek részletesen meg kell vizsgálnia, hogy a célország jogrendje hasonló védelemben részesíti-e a személyes adatokat, mint az EU. Amennyiben a célország az Egyesül Államok, abban az esetben az adattovábbítónak roppant egyszerű dolga van, az Európai Unió Bírósága ugyanis az ítéletben már megtette ezt helyette, és ezen vizsgálat következményeként megállapította, hogy a védelem szintje nem megfelelő, mely következményeként érvénytelenítette a Privacy Shieldet. Ezekután furcsa volt, hogy a cégek úgy álltak elő az SCC-ikkel, mintha az maga lett volna a GDPR svájci bicska.
Max Schrems az ítélet nevét adó adatvédelmi szakértő szerint – aki panaszával az ügyet elindította – a Facebook már 2013 óta sérti a törvényt adatkezelési gyakorlatával, és üdvözölte az ír Hatóság döntését. A DPA látszólag igyekszik gyorsan lezárni az ügyet, ezzel ugyanis „precedenst” teremtene az SCC-k alkalmazása kapcsán akár a többi EU-s hatóság számára is. A végső döntést előzetes információk szerint októberre várják, de nem kizárt, hogy tovább tarthat, amennyiben a tech-óriás tovább próbálja lassítani az ügymenetet.
A Wall Street Journal információi szerint a DPA máris előzetes felszólítást küldött a Facebooknak az adattovábbítás megszüntetésére vonatkozóan. A Hatóság szerint a Facebook Amerikában megvalósított adatkezelése az amerikai jogrendben lévő, nemzetbiztonsággal kapcsolatos jogszabályok miatt (Fisa 702, EO 12333) nem nyújt megfelelő védelmet a személyes adatok kezelése során.
Nick Clegg a Facebook szóvivője szerint az adatok továbbításával kapcsolatban egyre nagyobb a bizonytalanság a piacon. Ezzel egyidőben ígéretet tesz, hogy a cég igyekezni fog olyan adatvédelmi gyakorlatokat bevezetni, mellyel még az EU adatvédelmi szakértői is elégedettek lesznek. Nem vitás, hogy a DPA bejelentése egyben jelzés a többi hasonló óriáscégnek, melyeknek a jövőben szintén felül kell majd vizsgálniuk hasonló gyakorlatukat (pl. Google, Twitter, Instagram, Snapchat).
A Privacy Shield érvénytelenítése – mivel az ítélet nem határozott meg átmeneti időszakot – több ezer olyan tengerentúli cég adattovábbítását sodorta veszélybe, akik az internetes infrastruktúra biztosítása tekintetében kulcsszerepe van. Maga Max Schrems is folyamatosan nyomon követi az eseményeket; augusztus végén már 101 céget fel is jelentett különböző EU-s hatóságoknál, mivel azok az ítéletet követő egy hónapon belül semmit nem változtattak adatkezelésükön.
A Facebook természetesen megtámadta a döntést, az ezzel kapcsolatos UPDATE ebben a cikkünkben olvasható.
