Figyelmen kívül hagyja a Facebook az Európai Bíróság ítéleteit

Hiába ítélt kétszer is az Európai Bíróság úgy, hogy a Facebook adatkezelése, s különösen az amerikai adatvédelmi szabályozás az uniós jog szempontjából aggályos, a tech óriás ügyvédjei továbbra is olyan szakmai anyagokat készítenek, amelyek célja, hogy biztosítsák az adatáramlást Európa és az amerikai központ között – tudta meg a POLITICO.

Az egyik ilyen, 2021-ben készült dokumentumban a következő áll:

„A megfelelőségi vizsgálat összességében arra az eredményre vezetett, hogy az Egyesült Államok vonatkozó törvényei és joggyakorlata az adatvédelem kapcsán alapvetően megegyezik azzal a szintű jogvédelemmel, amelyet az Európai Unió joga megkövetel.”

Két uniós bírósági ítélet is a Facebook gyakorlata és az uniós adatvédelmi szabályozás összeütközéséről szól

Ennek ellenére, ahogy arról 2020. júliusában a Precedens is írt, a  luxemburgi Európai Bíróság ítéletében érvénytelennek nyilvánította azt a határozatot, ami eddig megalapozta az uniós állampolgárokra vonatkozó adatok áramlását az Egyesült Államok irányába. Az úgy nevezett EU-USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szólt, s amely lényegében megfelelő jogalapot teremtett az adatkezelésre az olyan Európán kívüli multik számára, mint amilyen a Facebook is.

Az adatvédelmi pajzs tulajdonképpen egyfajta szabályzat (keretrendszer), amelybe beszerződve a cég jogi eszközök útján kötelezi magát arra, hogy fokozott körültekintéssel jár el az adatkezelés során. Egyszerűbben fogalmazva egyfajta lasszóként is felfogható, amivel az Európán kívüli – harmadik országbeli – cégek a GDPR hatálya alá vonhatók.

A 2020-as európai bírósági ítélet a testület 2015-ben kialakított gyakorlatát erősítette meg. Ekkor az Európai Unió Bírósága az EU-USA adatvédelmi pajzs elődjével kapcsolatban mondta ki, hogy az ellentétes az uniós joggal. 

Mindkét uniós bírósági ítélet lényege az, hogy

Kettőből semmit

A Facebook most nyilvánosságra került anyagaiból pedig az derül ki, hogy a Facebook figyelmen kívül hagyja ezeket az ítéleteket. A POLITICO egészen pontosan úgy értesült, hogy a dokumentumok szerint 

ugyanis a bírósági ítéletek a már említett EU-USA adatvédelmi pajzsra vonatkoznak, nem pedig az úgy nevezett Modell Klauzulákra, amelyeket a Facebook ténylegesen alkalmaz az adattovábbítási folyamat során. A belső dokumentumokból kiderül az is, hogy időközben az USA adatvédelemért felelős hatósága, a Federal Trade Commission „korábban sosem látott erővel és szigorral látja el a feladatát adatvédelmi ügynökségi minőségében.”

Írország, a trójai faló?

A Facebook Incorporation egy amerikai vállalat. Jogi szempontból az Európai Unió és az Egyesült Államok között a logikai kapcsolatot az uniós tagállam Írországban székhellyel rendelkező Facebook Ireland Limited teremti meg, amely egyúttal írországi adóalany is. A gyakorlat szintjén mindez úgy valósul meg, hogy a Facebook európai felhasználói a regisztráció során a Facebook Ireland nevű céggel írnak alá szerződést, amelyben az áll, hogy a cég a személyes adatokat részben vagy egészben a Facebook Inc. amerikai szervereire továbbítják s kezelik. Ez azt jelenti, hogy 

A feltételes mód alkalmazásának oka az, hogy Írország mintha vonakodna eljárás alá vonni a világ egyik legnagyobb tech vállalatát. Az ír adatvédelmi bizottságot (Data Protection Commission) jó ideje gyanúsítják amiatt, hogy túlságosan enyhe megközelítést alkalmaz az Egyesült Államok tech cégeivel szemben. A DPC a jelek szerint nemcsak a Facebookkal bánik kesztyűs kézzel: hálóján átcsúszik a Google és az Apple is.

Írország vonakodásának egyik jele, hogy 2020 szeptemberében a DPC éppen az Európai Bíróság néhány hónappal korábbi, júliusi ítélete alapján utasította a Facebookot arra, hogy hagyjon fel az uniós polgárok adatainak továbbításával az Egyesült Államok irányába. 

Az utasítás azonban csak a tervezet szintjéig jutott el;

Nem lehet eléggé hangsúlyozni, hogy amennyiben a DPC a Facebookot végül is arra kötelezi, amire Európában mindenki vár, azzal a tech óriás valóban nehéz helyzetbe kerülhet, már ami a tengerentúli adattovábbítást illeti. 

Írország jelenlegi gyakorlata kiüresíti a GDPR-t, és ez Brüsszel szerint jól van így

Az Európai Unió legfőbb adatvédelemmel kapcsolatos jogszabálya az általános adatvédelmi rendelet (General Data Protection Regulaton, GDPR). Ez a tág értelemben vett Európai Unió területén tartózkodó személyek adatait védi, egyúttal a tagállamok közötti adatáramlást is szabályozza. 2016. májusában lépett hatályba, és 2018. májusától kezdve alkalmazzák.
Pontosabban alkalmaznák, ha például Írország erre hajlandó lenne. Ugyanakkor nemcsak Írország felelőssége merül fel a GDPR kiaknázatlansága miatt. Az Euractiv még idén szeptemberben írt arról, hogy az Irish Council for Civil Liberties (ICCL) nevű ír jogvédelmi szervezet egyik tanulmánya szerint Brüsszel meglehetősen higgadtan viszonyul ahhoz, hogy Írország lazán kezeli a világ legszigorúbb adatvédelmi szabályait.

„A Bizottságnak kötelessége meggyőződni arról, hogy az uniós jogot megfelelően alkalmazzák. Ez a GDPR-ra is vonatkozik. Az általunk ma közölt jelentés azonban azt jelzi, hogy mindez elmaradt. Mindannyiunk és annak érdekében, hogy a Google-t, a Facebook-ot és a nagy tech cégeket biztosan felelősségre vonják,

– nyilatkozta Johnny Ryan, a jelentést készítő szervezet vezető kutatója. 

Ennek kapcsán a tanulmányból kiderül az is, hogy az Európai Bizottság nem rendelkezik elégséges információval arra nézve, hogy kiderítse, hogy mely tagállamok adatvédelmi hatóságai milyen terjedelemben gyakorolják jogköreiket, s hogy milyen ügyekben indítanak egyáltalán eljárást.

Kép: Mohssen Assanimoghaddam / DPA / dpa Picture-Alliance via AFP

Dobozi Gergely