A Facebook belengette, hogy kivonulhat Európából
2020. szeptember 26. – 18:39
frissítve
Sok a kérdés a Facebook európai sorsa körül, miután kiderült, a cég egy bírósági beadványban azt írta: ha az ír adatvédelmi hatóság megtiltja nekik, hogy az európai felhasználók adatait továbbítsák az Egyesült Államokba, akkor kénytelenek lesznek kivonulni az európai piacról.
(Ez a cikk eredetileg a Telex.hu indulása előtt, lapunk Facebook-oldalán jelent meg 2020. szeptember 23-án.)
Mitől rezelt így be a Facebook?
Az internet tele van amerikai szolgáltatásokkal, amelyek a felhasználói adatokat feldolgozásra hazaküldik az Egyesült Államokba. Innentől ezekre az amerikai adatvédelmi törvények vonatkoznak, amelyek jóval enyhébbek, mint az európaiak. A különbségek áthidalása érdekében az adattovábbítást nemzetközi egyezmények szabályozzák, hogy az óceán túloldalán is megfelelő védelmet élvezhessenek az adataink. Legalábbis elvben.
Az Európai Unió Bírósága azonban idén július 16-án hozott egy mérföldkőnek számító döntést: érvénytelenítették az EU és az USA közötti adattovábbításnak eddig keretet adó megállapodást, az úgynevezett Privacy Shieldet (adatvédelmi pajzsot). Ezt a döntést a tagállami hatóságoknak kell végrehajtaniuk, a Facebook esetében például az írországinak, mert ott található a cég európai központja.
Miért olyan nagy veszély ez a Facebookra nézve?
A cég üzleti modelljének alapja, hogy a felhasználóiról rengeteg adatot gyűjt be, és ezek alapján tudja rájuk szabni a hirdetéseket. Az ilyen, célzott reklámok sokkal hatékonyabbak, mint egy sima hirdetés, ezért drágán lehet eladni őket. A rengeteg begyűjtött adat feldolgozása viszont Amerikában történik, így ha megszűnik az adattovábbítás lehetősége, a cég alapvető működése kerülhet veszélybe.
Mi volt a bíróság baja az eddigi megállapodással?
Arra jutottak, hogy a Privacy Shield nem védi kellőképpen az európai felhasználók személyes adatait, mert az Egyesült Államokban nincs megfelelő garancia arra, hogy az amerikai hírszerző ügynökségek ne férhessenek hozzá külföldi állampolgárok adataihoz. Magyarul nem látták biztosíthatónak, hogy az európai adatokba ne kukucskálhasson be a CIA, az NSA, vagy bármelyik más hárombetűs kormányhivatal.
Hogy jutottunk idáig?
Európa és Amerika viszonyában az adattovábbítás kényes pont, mert az uniós adatvédelmi szigor erősödésével – például a GDPR 2018-as életbe lépésével – az utóbbi években egyre nagyobb adatbiztonsági szakadék nyílt a két kontinens között.
Már Privacy Shield is nagy küzdelmek árán született. Az elődjét, a 15 éven át hatályos Safe Harbour (biztonságos kikötő) nevű megállapodást 2015 októberében érvénytelenítette a bíróság, miután egy Max Schrems nevű osztrák aktivista bepanaszolta a Facebookot az ír adatvédelmi hatóságnál. Mindez még az amerikai tömeges megfigyeléseket mainstream témává emelő 2013-as Snowden-botrány után történt, így az ügy különösen nagy figyelmet kapott.
A döntés után alig néhány hónappal, 2016 februárjában már el is fogadták a Privacy Shieldet, hogy gyorsan véget vessenek a jogbizonytalanságnak. Az új keretmegállapodást azonban már akkoriban is sok kritika érte, és idén júliusban – ismét Max Schrems beadványa alapján – ezt is érvénytelenítették.
Ezt a döntést kezdte el szeptemberben érvényre juttatni az ír adatvédelmi hatóság, és felszólította a Facebookot, hogy hagyjon fel az európai adatok Amerikába küldözgetésével.
Na és a Facebook miért fordult bírósághoz?
Mert megtámadták az ír adatvédelmi hatóság tiltását. Yvonne Cunnane, a Facebook írországi leányvállalatának adatvédelmi vezetője a beadványában azt írta, ha teljes egészében fel kell függeszteniük az adattovábbítást, nem világos, hogyan tudnák továbbra is elérhetővé tenni a szolgáltatásaikat Európában. Cunnane szerint az eljárás nem fair, például csak három hetet kaptak, hogy reagáljanak a döntésre. Elfogultsággal is megvádolta az íreket, amiért egyedül a Facebookot pécézték ki az amerikai cégek közül.
Tényleg odáig fajulhat a dolog, hogy nem fogunk tudni facebookozni Európában?
Ha sem az európai adatvédelmi hatóságok, sem a Facebook nem hátrál meg, akkor elvileg igen, sőt akkor az Instagram is kivonulhat. Persze erősen valószínűtlennek tűnik, hogy a Facebook egyszerűen eltűnjön Európából; ennek az emlegetése inkább nyomásgyakorlásra lehet alkalmas.
A cég azt állítja, a kivonulás belengetését nem fenyegetésnek szánták, az puszta realista helyzetértékelés.
Ezzel együtt is világos, hogy ha egy ekkora cég úgy értékeli a helyzetet, hogy kénytelen lesz hátrahagyni 410 millió aktív európai felhasználóját, annak az üzenetnek elég nagy súlya van. Egyébként közel sem csak a Facebook szolgáltatásait érintheti ez az egész adatvédelmi huzavona, hanem elvileg minden olyan amerikai céget, amely felhasználói adatokat továbbít az anyaországba – például a Google-t is.
Mi lehet a megoldás?
Egyrészt az, hogy az amerikai cégek minden felhasználói adatot Európában tárolnak és dolgoznak fel, a helyi törvények szerint. Ez az átállás azonban igen költséges lenne, és jóval hosszabb ideig tartana, mint amennyi most a cégek rendelkezésére áll.
Másrészt érdemes megjegyezni, hogy valójában nem a Privacy Shield (volt) az egyetlen módja a transzatlanti adattovábbításnak. Az Európai Bizottság például egész országok helyett egyes cégek adatkezelési gyakorlatát is ítélheti kielégítőnek, ha azok önként vállalják egy direkt erre kidolgozott modellszerződésben a feltételeket – bár a júliusi ítéletében a bíróság ezzel a megoldással kapcsolatban is további biztosítékokat lát szükségesnek.