Az EU Bírósága: Az Egyesült Államokban a személyes adatok nincsenek biztonságban

Érvénytelennek nyilvánította az Európai Unió Bírósága (EUB) azt a bizottsági határozatot, amely azt mondta ki, hogy az Amerikai Egyesült Államok megfelelő védelmi szintet biztosít a továbbított személyes adatok számára. A testület főtanácsnokának szeptember végi véleménye alapján a döntés nem volt váratlan.

Ahogy korábban megírtuk, az osztrák Maximillian Schrems mint a Facebook felhasználója panaszt nyújtott be az ír adatvédelmi hatósághoz amiatt, hogy a közösségi oldal ír szervereiről az Egyesült Államokban található szerverekre továbbít adatokat. Schrems szerint ugyanis az Edward Snowden által az NSA tevékenységéről kiszivárogtatott információk azt bizonyítják, hogy a felhasználók és adataik Amerikában nem részesülnek elégséges védelemben a hatóságok általi megfigyeléssel szemben. Állította ezt annak ellenére, hogy a Európai Bizottság egyik korábbi határozata értelmében adatvédelmi szempontból az Egyesült Államok biztonságos ország, azaz megfelelő védelmi szintet biztosít a személyes adatok számára.

Az ír legfelsőbb bíróság az Európai Unió Bíróságához fordult annak elbírálását kérve, hogy az ír hatóságok eljárhatnak-e olyan ügyben, amelyben a panaszos egy harmadik ország biztonságos mivoltát kérdőjelezi meg, miközben a biztonságos országokat bizottsági határozat rögzíti.

Érvénytelen a bizottság határozata

Az EUB megvizsgálta az említett bizottsági határozat érvényességét. A Bizottságnak ennek meghozatalánál lényegében azt kellett volna megállapítania, hogy az Egyesült Államok alapjogi védelem terén ugyanazt a szintet produkálja-e, mint az Európai Unió. A bíróság szerint viszont a Bizottság nem ezt döntötte el, hanem csak a „biztonságos kikötő” rendszerének vizsgálatára szorítkozott. Ehhez a rendszerhez amerikai vállalatok önként csatlakozhatnak, ha vállalják, hogy bizonyos adatvédelmi alapelveket betartanak. Ez a vizsgálat azonban nem terjedt ki az amerikai hatóságok befolyására, holott az Egyesült Államokban a nemzetbiztonsági és bűnüldözési érdek felülírja a biztonságos kikötő rendszerének szabályait.

Az unió bírósága szerint „az Egyesült Államok hatóságai hozzáférhettek a tagállamokból e harmadik országba továbbított személyes adatokhoz, és azokat többek között a továbbításuk céljaival összeegyeztethetetlen, valamint a nemzetbiztonság védelméhez feltétlenül szükséges és azzal arányos mértéket meghaladó módon kezelhették”, és ez ellen az érintetteknek nincs megfelelő jogorvoslati eszközük.

Az, hogy az USA hatóságai nem egyedileg, célzottan, hanem általánosan tömegesen fértek hozzá adatokhoz, a bíróság szerint sérti a magánélet tiszteletben tartásához való alapvető jogot.

Mindezek fényében az EUB úgy döntött, hogy a bizottság 2000-ben született határozata érvénytelen.

Az írek vizsgálhatják az USA biztonságosságát

A bíróság azt állapította meg, hogy az olyan nemzeti szerveknek, mint az ír adatvédelmi hatóság, akkor is jogosultak vizsgálni egy harmadik ország adatvédelmi biztonságát, ha azt az Európai Bizottság határozata már megállapította. Ellenkező esetben sérülnének az Európai Unió Alapjogi Chartája és az irányelv alapján
biztosított jogkörök.

„Ezen ítélet következtében az ír felügyelő hatóság köteles kellő gondossággal megvizsgálni M. Schrems panaszát, és a vizsgálata végén határoznia kell, hogy az irányelv alapján felfüggessze-e az európai Facebook-felhasználók adatainak az Egyesült Államokba való továbbítását azzal az indokkal, hogy ezen ország nem biztosítja a személyes adatok megfelelő védelmi szintjét.” – zárul az unió bíróságának közleménye.

(Fotó: Az Európai Unió Bírósága)