SG.hu
Nem védi eléggé az USA az európai személyes adatokat
Felfüggeszthetik az európai Facebook-felhasználók adatainak az Egyesült Államokba való továbbítását. Az Európai Unió Bírósága érvénytelennek nyilvánította az Európai Bizottság azon határozatát, amely megállapítja, hogy az Egyesült Államok megfelelő védelmi szintet biztosít a továbbított személyes adatok számára.
Egy osztrák állampolgár, Maximilian Schrems 2008 óta használja a Facebookot. Az Unió területén lakó többi Facebook-felhasználóhoz hasonlóan az általa a Facebookra feltett adatokat a cég ír leányvállalatától részben vagy egészben az Egyesült Államokban található szerverekre továbbítják, és azokat ott kezelik. M. Schrems panaszt nyújtott be az ír adatvédelmi hatósághoz, amelyben azt állította, hogy az Edward Snowden által 2013-ban az Egyesült Államok hírszerző szolgálatainak (különösen a National Security Agency-nek, NSA) a tevékenységeire vonatkozóan kiszivárogtatott információkra tekintettel az Egyesült Államok joga és gyakorlata nem biztosít elégséges védelmet az ebbe az országba továbbított adatok hatóságok általi megfigyelésével szemben.
Az ír hatóság elutasította a panaszt, azzal az indokkal, hogy a Bizottság 2000-ben megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít a továbbított személyes adatok számára. Schrems fellebezett, az ír legfelsőbb bíróság elé került az ügy, amely az Európai Unió Bíróságához fordult. Arra kérdeztek rá, hogy a Bizottság korábbi határozata megakadályozza-e a nemzeti adatvédelmi hatóságot abban, hogy olyan panasz ügyében folytasson vizsgálatot, amely azt állítja, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet, és adott esetben felfüggessze a vitatott adattovábbítást.
A mai napon kihirdetett ítéletében a Bíróság úgy ítélte meg, hogy egy bizottsági határozat nem teheti semmissé vagy csökkentheti a nemzeti felügyeleti hatóságok számára az Európai Unió Alapjogi Chartája és az irányelv alapján biztosított jogköröket. A Bíróság megállapította, hogy az irányelv egyetlen rendelkezése sem akadályozza meg a nemzeti felügyelő hatóságokat abban, hogy a személyes adatok olyan, harmadik országba való továbbítását felügyeljék, amely bizottsági határozat tárgyát képezte. Így a kérelem ügyében eljáró nemzeti felügyelő hatóságoknak még a Bizottság határozatának létezése esetén is jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgálják, hogy valamely személy adatainak harmadik országba való továbbítása tiszteletben tartja-e az irányelvben támasztott követelményeket.
A Bizottság nem győzödött meg arról, hogy az Egyesült Államok az alapjogok védelmének ténylegesen ugyanazon szintjét biztosítja, mint amilyet az Unió biztosít, ehelyett csak az un. biztonságos kikötő rendszerének vizsgálatára szorítkozott. (Ez számos, a személyes adatok védelmére vonatkozó elvet tartalmaz, amelyekhez az amerikai vállalkozások önkéntes alapon csatlakozhatnak.) Kiemelik, hogy ez a rendszer kizárólag azokra az amerikai vállalkozásokra alkalmazandó, amelyek csatlakoztak hozzá, az Egyesült Államok hatóságaira azonban nem vonatkozik. A nemzetbiztonságra, a közérdekre vagy a bűnüldözésre vonatkozó követelmények továbbá megelőzik a biztonságos kikötő rendszerét, így az amerikai vállalkozások korlátozás nélkül kötelesek mellőzni az e rendszerben foglalt védelmi szabályokat, amennyiben azok e követelményekbe ütköznek.
A határozat szerint a biztonságos kikötő amerikai rendszere ezáltal lehetővé teszi, hogy az amerikai hatóságok beavatkozhassanak a személyek alapjogaiba, mivel a Bizottság határozata nem említi, hogy az Egyesült Államokban léteznének az ilyen esetleges beavatkozások korlátozására irányuló szabályok, vagy pedig hatékony jogvédelem az ilyen beavatkozásokkal szemben. A Bíróság úgy ítélte meg, hogy a Bizottság két közleményéből kiderül, hogy az Egyesült Államok hatóságai hozzáférhettek a tagállamokból e harmadik országba továbbított személyes adatokhoz, és azokat többek között a továbbításuk céljaival összeegyeztethetetlen, valamint a nemzetbiztonság védelméhez feltétlenül szükséges és azzal arányos mértéket meghaladó módon kezelhették. Mindez ellen ráadásul az érintett személyeknek semmilyen közigazgatási, illetve bírósági jogorvoslati lehetőségük nem volt.
A Bíróság hozzáfűzi, hogy azt a szabályozást, amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, úgy kell tekinteni, hogy az sérti a magánélet tiszteletben tartásához való alapvető jog lényegét. Megállapítják, hogy az olyan szabályozás, amely nem biztosítja a jogalany számára a jogorvoslat lehetőségét abból a célból, hogy a rá vonatkozó személyes adatokhoz hozzáférést kapjon, vagy azokat helyesbíttesse, illetve töröltesse, sérti a hatékony bírói jogvédelemhez való jog lényegét, az ilyen lehetőség ugyanis a jogállamiság szerves része.
Végül a Bíróság megállapítja, hogy a Bizottság 2000. július 26-i határozata megfosztja a nemzeti felügyelő hatóságokat jogköreiktől, amennyiben valamely személy a határozatnak a magánélet, valamint a személyek alapvető jogai és szabadságai védelmével való összeegyeztethetőségét vonja kétségbe. A Bíróság megállapítása szerint a Bizottságnak nem volt hatásköre ily módon korlátozni a nemzeti felügyelő hatóságok jogköreit. Mindezen indokok alapján a Bíróság megállapítja a 2000. július 26-i határozat érvénytelenségét. Ezen ítélet következtében az ír felügyelő hatóság köteles kellő gondossággal megvizsgálni M. Schrems panaszát, és a vizsgálata végén határoznia kell, hogy az irányelv alapján felfüggessze-e az európai Facebook-felhasználók adatainak az Egyesült Államokba való továbbítását azzal az indokkal, hogy ezen ország nem biztosítja a személyes adatok megfelelő védelmi szintjét.
Egy osztrák állampolgár, Maximilian Schrems 2008 óta használja a Facebookot. Az Unió területén lakó többi Facebook-felhasználóhoz hasonlóan az általa a Facebookra feltett adatokat a cég ír leányvállalatától részben vagy egészben az Egyesült Államokban található szerverekre továbbítják, és azokat ott kezelik. M. Schrems panaszt nyújtott be az ír adatvédelmi hatósághoz, amelyben azt állította, hogy az Edward Snowden által 2013-ban az Egyesült Államok hírszerző szolgálatainak (különösen a National Security Agency-nek, NSA) a tevékenységeire vonatkozóan kiszivárogtatott információkra tekintettel az Egyesült Államok joga és gyakorlata nem biztosít elégséges védelmet az ebbe az országba továbbított adatok hatóságok általi megfigyelésével szemben.
Az ír hatóság elutasította a panaszt, azzal az indokkal, hogy a Bizottság 2000-ben megállapította, hogy az Egyesült Államok megfelelő védelmi szintet biztosít a továbbított személyes adatok számára. Schrems fellebezett, az ír legfelsőbb bíróság elé került az ügy, amely az Európai Unió Bíróságához fordult. Arra kérdeztek rá, hogy a Bizottság korábbi határozata megakadályozza-e a nemzeti adatvédelmi hatóságot abban, hogy olyan panasz ügyében folytasson vizsgálatot, amely azt állítja, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet, és adott esetben felfüggessze a vitatott adattovábbítást.
A mai napon kihirdetett ítéletében a Bíróság úgy ítélte meg, hogy egy bizottsági határozat nem teheti semmissé vagy csökkentheti a nemzeti felügyeleti hatóságok számára az Európai Unió Alapjogi Chartája és az irányelv alapján biztosított jogköröket. A Bíróság megállapította, hogy az irányelv egyetlen rendelkezése sem akadályozza meg a nemzeti felügyelő hatóságokat abban, hogy a személyes adatok olyan, harmadik országba való továbbítását felügyeljék, amely bizottsági határozat tárgyát képezte. Így a kérelem ügyében eljáró nemzeti felügyelő hatóságoknak még a Bizottság határozatának létezése esetén is jogosultnak kell lenniük arra, hogy teljes függetlenséggel megvizsgálják, hogy valamely személy adatainak harmadik országba való továbbítása tiszteletben tartja-e az irányelvben támasztott követelményeket.
A Bizottság nem győzödött meg arról, hogy az Egyesült Államok az alapjogok védelmének ténylegesen ugyanazon szintjét biztosítja, mint amilyet az Unió biztosít, ehelyett csak az un. biztonságos kikötő rendszerének vizsgálatára szorítkozott. (Ez számos, a személyes adatok védelmére vonatkozó elvet tartalmaz, amelyekhez az amerikai vállalkozások önkéntes alapon csatlakozhatnak.) Kiemelik, hogy ez a rendszer kizárólag azokra az amerikai vállalkozásokra alkalmazandó, amelyek csatlakoztak hozzá, az Egyesült Államok hatóságaira azonban nem vonatkozik. A nemzetbiztonságra, a közérdekre vagy a bűnüldözésre vonatkozó követelmények továbbá megelőzik a biztonságos kikötő rendszerét, így az amerikai vállalkozások korlátozás nélkül kötelesek mellőzni az e rendszerben foglalt védelmi szabályokat, amennyiben azok e követelményekbe ütköznek.
A határozat szerint a biztonságos kikötő amerikai rendszere ezáltal lehetővé teszi, hogy az amerikai hatóságok beavatkozhassanak a személyek alapjogaiba, mivel a Bizottság határozata nem említi, hogy az Egyesült Államokban léteznének az ilyen esetleges beavatkozások korlátozására irányuló szabályok, vagy pedig hatékony jogvédelem az ilyen beavatkozásokkal szemben. A Bíróság úgy ítélte meg, hogy a Bizottság két közleményéből kiderül, hogy az Egyesült Államok hatóságai hozzáférhettek a tagállamokból e harmadik országba továbbított személyes adatokhoz, és azokat többek között a továbbításuk céljaival összeegyeztethetetlen, valamint a nemzetbiztonság védelméhez feltétlenül szükséges és azzal arányos mértéket meghaladó módon kezelhették. Mindez ellen ráadásul az érintett személyeknek semmilyen közigazgatási, illetve bírósági jogorvoslati lehetőségük nem volt.
A Bíróság hozzáfűzi, hogy azt a szabályozást, amely lehetővé teszi a hatóságok számára, hogy általános jelleggel hozzáférjenek az elektronikus kommunikációk tartalmához, úgy kell tekinteni, hogy az sérti a magánélet tiszteletben tartásához való alapvető jog lényegét. Megállapítják, hogy az olyan szabályozás, amely nem biztosítja a jogalany számára a jogorvoslat lehetőségét abból a célból, hogy a rá vonatkozó személyes adatokhoz hozzáférést kapjon, vagy azokat helyesbíttesse, illetve töröltesse, sérti a hatékony bírói jogvédelemhez való jog lényegét, az ilyen lehetőség ugyanis a jogállamiság szerves része.
Végül a Bíróság megállapítja, hogy a Bizottság 2000. július 26-i határozata megfosztja a nemzeti felügyelő hatóságokat jogköreiktől, amennyiben valamely személy a határozatnak a magánélet, valamint a személyek alapvető jogai és szabadságai védelmével való összeegyeztethetőségét vonja kétségbe. A Bíróság megállapítása szerint a Bizottságnak nem volt hatásköre ily módon korlátozni a nemzeti felügyelő hatóságok jogköreit. Mindezen indokok alapján a Bíróság megállapítja a 2000. július 26-i határozat érvénytelenségét. Ezen ítélet következtében az ír felügyelő hatóság köteles kellő gondossággal megvizsgálni M. Schrems panaszát, és a vizsgálata végén határoznia kell, hogy az irányelv alapján felfüggessze-e az európai Facebook-felhasználók adatainak az Egyesült Államokba való továbbítását azzal az indokkal, hogy ezen ország nem biztosítja a személyes adatok megfelelő védelmi szintjét.