Ahogy azt előző cikkünkben megírtuk, a Safe Harbor, mint EU-USA adatvédelmi együttműködés véget ért, miután az Európai Unió Bírósága megszüntette azt az uniós polgárok nem megfelelő védelme miatt.

Az amerikai környezet ugyanis inkompatibilis azokkal az uniós irányelvekkel, amelyek nem engedik meg, hogy amerikai szerverekre és adatközpontokba kerüljenek az uniós polgárok adatai.

Mi lesz most?

Már akkor is tudni lehetett, hogy a 2015 októberében kiadott döntésnek a hosszú távú következményei akár súlyosak is lehetnek, főleg a TTIP tárgyalások fényében.

Hiszen az EU és az USA közötti szabadkereskedelmi egyezményt épp az gátolja, hogy az unió a magánszféra védelme miatt ódzkodik a szolgáltatások szabad áramlásától.

A Safe Harbor az amerikai cégek EU-ban történő terjeszkedésére kötött pórázt, de mindkét félnek fontos volt annak léte. Megszűnésével életre hívtuk a fokozottabb védelem vágyát.

A Privacy Shield néven illetett, Safe Harbort leváltó adatvédelmi mechanizmus emiatt született meg, de a fennálló helyzetet nem olyan könnyű megoldani, mint azt sokan gondolják.

A transzatlanti adatexport ezért igencsak komoly bizonytalanságba süllyedt.

A Privacy Shield sem az igazi?

A nemzeti adatvédelmi hatóságokat, vagyis DPA-kat magába foglaló munkacsoport (ismert nevén az Article 29 Working Party) ugyanis közreadta igencsak veretes véleményét a transzatlanti adatexport szabályozására szánt Privacy Shieldről.

Ez pedig elég határozottan szembemegy az Európai Bizottság “jól állunk, nincs itt semmi látnivaló” hozzáállásával.

Az amerikai és uniós tárgyalások elviekben tényleg szépen haladnak, de az Article 29 Working Party szerint a Privacy Shield mostani állapotában nem fogja megvédeni az Európai Unió állampolgárait. És nem ők az egyetlen kritikusok.

Azt senki sem cáfolja, hogy történtek előrelépések, de az új mechanizmussal kapcsolatban mindjárt meg is neveztek három főbb kifogást:

– a tervezet jelenleg nem kötelezi a cégeket arra, hogy az adatokat a tárolási cél elérése utána azonnal töröljék;
– a jogorvoslati lehetőségeket biztosító “Ombudsperson” nem lesz elég erős, és nem fog elég hatékonyan működni;
– egy mellékletben az is olvasható, hogy az USA hatóságai nem zárják ki a tömeges adatgyűjtés lehetőségét.

Nincs szó a korlátozásról

Az Article 29 Working Party szerint a Privacy Shield nem foglalkozik az adatkezelés céljának korlátozásával sem, pedig az a másik hiányolt ponttal, az adatok megőrzésével együtt fontos kitétele az uniós adatvédelemnek.

Éppen ezért a nemzeti adatvédelmi hatóságok szerint a Privacy Shield jelen formájában nem állítja meg az amerikai hatóságok adatgyűjtését. Vagyis az egészet újra kellene gondolni, és a tárgyalásokat lényegében a nullához közeli állapotról kellene elkezdeni.

Márpedig nem ártana gyorsan megegyezni, mivel a jogi huzavona miatt igencsak nagy a bizonytalanság az európai piacon jelenlévő amerikai cégeknél.

Csak úgy mellékesen viszont: az Európai Parlament április 14-én megszavazta az új (egységes) adatvédelmi szabályozást (General Data Protection Regulation – GDPR).