Elviekben már fél éve létezik, valójában csak most kezd körvonalazódni az új EU–USA adatátviteli megállapodás

Ugyan elviekben már hat hónapja létezik, a jelek szerint továbbra sem lehet arra számítani, hogy az Európai Unió és az Egyesült Államok egyhamar épkézláb megállapodást kössön a személyes adatok továbbításáról. Joe Biden amerikai elnök és Ursula von der Leyen, az Európai Bizottság elnöke még március végén jelentették be, hogy a luxembourgi uniós bíróság által elkaszált két korábbi megállapodás után sikerült dűlőre jutniuk. Azóta azonban nem történt érdemi előrelépés, a pletykák szerint pedig az Egyesült Államok a kudarccal végződő korábbi kísérletekhez képest is kevesebb vállalást akar tenni – írja az európaiak digitális jogaival foglalkozó szervezet, a noyb.

Márciusban az Európai Bizottság kifejezetten nagy feneket kerített Biden és Von der Leyen találkozójának, ahol az Oroszország elleni szankciók, az orosz energiától való uniós függetlenedés és a digitális átállás mellett az EU és az Egyesült Államok szorosabb együttműködéséről is szó esett. Beleértve ebbe az adatátviteli megállapodást is, amely utoljára 2020 júliusában volt terítéken, amikor az Európai Unió Bírósága érvénytelenítette az előző, Privacy Shield (Adatvédelmi Pajzs) névre hallgató megállapodást, mert álláspontjuk szerint nem biztosított kellő védelmet az uniós polgároknak az amerikai megfigyeléssel szemben.

A bíróság ekkor számos aggályt vetett fel, a bizottság azonban márciusi közleményében hangsúlyozta, hogy az új, egyelőre elvi megállapodás ezek mindegyikét orvosolni fogja, és hozzátették, hogy az Egyesült Államok korábban sosem látott módon köteleződött el az adatvédelem és a szabadságjogok védelme mellett. Mint írták, ennek keretében az Egyesült Államok vállalta

• annak garantálását, hogy a hírszerzés általi megfigyelés szükséges és arányos lesz – melynek hiánya két éve az egyik fő problémája volt az uniós bíráknak –,
• a hírszerzési tevékenység ellenőrzésének feljebb tekerését,
• valamint egy új jogorvoslati mechanizmus létrehozását.

A közlemény szerint az elvi megállapodás több mint egyévnyi részletes egyeztetés végére tett pontot, és mint írták, robusztus alapot fog biztosítani a transzatlanti adatáramlásnak is. Ígéretekből tehát valóban nem volt hiány, sem az EU-s, sem pedig az amerikai oldalon, ám ahogy azt a noyb (ez a none of your business rövidítése, ami magyarul annyit tesz, semmi közöd hozzá) kiemelte pár napja, azóta valódi eredményeket nem sikerült elérni az ügyben. A bécsi központú nonprofit szervezet szerint valójában még rosszabbodtak is a kilátások, többek közt azért is, mert a pletykák szerint a fentebb emlegetett jogorvoslati mechanizmushoz kitalált új, meglehetősen rendhagyó szerv, a Data Protection Review Court (Adatvédelmi Fellebbviteli Bíróság) helyett egy sokkal kisebb horderejű megoldást tervezhetnek az amerikaiak – olyasmit, amit a luxembourgi bíróság már két éve is kifogásolt.

Ezen a ponton egyébként érdemes megemlíteni, hogy a noyb társalapítója, a korábbi két megállapodást elkaszáló bírósági ügyet elindító Max Schrems májusban nyílt levélben ment neki az eredeti koncepciónak. Schrems azt kifogásolta, hogy az új szervet elnöki rendelettel hozták volna létre, egy végrehajtói hatalomból születő entitás pedig alkalmatlan arra, hogy jogorvoslatot nyújtson az igazságszolgáltatásban. Ez egy teljesen érthető aggály, ahogy az is, hogy a korábbi példák alapján az ügyvéd-aktivista úgy érezte, hogy Luxemburgban erre sem bólintanának rá, de ahogy azt egy adatvédelemmel foglalkozó szakember írta júniusban a The Hillben, miután az Egyesült Államokban jelenleg nincsen szövetségi szintű adatvédelmi törvény, egy ilyen bíróság létrehozatala kezdésnek nem lett volna rossz, még ha voltak is vele szemmel is jól látható problémák.

Azzal, hogy a pletykák szerint visszatáncoltak ettől, egy kétséges vállalkozás helyett megint egy olyannál tartanak, amely szinte borítékolhatóan nem fog megállni. Emellett ráadásul a noyb szerint a szükséges és arányos megfigyelésre vonatkozó szövegrészt is tompítani akarja, így tovább tudja majd folytatni azt a tömeges megfigyelést, amelyet az uniós bíróság korábban kifogásolt. Schrems szerint ahelyett, hogy az ígérteknek megfelelően év végére megkaptuk volna a tökéletes megoldást, inkább csak most tehetik meg a felek az első lépést. Ráadásul egy olyan harmadik megállapodás felé, amelynek ugyanolyan problémái lesznek, mint az előző kettőnek.

„Megdöbbentő, hogy két demokrácia, amely alapvetően egyetért olyan normákban, mint a bírósági jóváhagyással végzett megfigyelés, nem tud egy rendes megállapodást kötni. Úgy tűnik, az Egyesült Államok továbbra is azon az állásponton van, hogy a nem amerikai állampolgároknak ne legyenek alapvető jogaik”

– mondta Schrems. Mindez főleg azért problémás, mert mind az EU-s, mind az amerikai cégeknek ebben a környezetben kell működniük, és bár egyre többen váltanak olyan szolgáltatókra, amelyek nem tartoznak az amerikai megfigyelési törvények alá, mások továbbra is megszegik a GDPR-t, és reménykednek abban, hogy egy új megállapodás tisztázza a helyzetet.

Időközben több adatvédelmi hatóság is hozott olyan döntéseket, amelyek orvosolták a helyzetet – többek közt Olaszországban és Franciaországban is betiltották a weboldalak statisztikáját elemző Google Analyticset, mert az az Egyesült Államokba küldi a felhasználók adatait –, általános megoldás eddig még nem született. A márciusban bejelentett megállapodás miatt egyelőre a legtöbb országban kivárásra játszanak az adatvédelmi hatóságok, a noyb azonban úgy véli, ez jelen állás szerint alighanem megint Luxembourgban fog kikötni.