Az osztrák adatvédelmi hatóság (DSB) január 13-án közzétett elmarasztaló döntését követően február 10-én a francia adatvédelmi hatóság (CNIL) jutott hasonló megállapításra. A két döntés ráadásul csak az előszele a más tagállami hatóságoktól Európa-szerte várható döntési hullámnak. Ennek oka, hogy az osztrák és a francia döntés is egyike az EU és EGK valamennyi tagállamában Max Schrems adatvédelmi aktivista szervezete által kezdeményezett mintegy 101 eljárásnak, amelyek során – nagy valószínűséggel egyező kimenetellel – hasonló döntések sorozata fog követni.

Max Schrems nevéhez köthetőek azok az Európai Bírósági ítéletek (2015-ös Schrems I. és 2020-as Schrems II. ítéletek), amelyek a transzatlanti adattovábbítások egyik meghatározó módjaként rendelkezésre állt korábbi európai bizottsági határozatokat (Safe Harbour, illetve az azt követő Privacy Shield) érvénytelenítették, tekintettel arra, hogy az amerikai jogszabályok nem biztosítanak megfelelő szintű védelmet az európaiakhoz képest. Ennek oka elsősorban az Európából Amerikába továbbított adatokhoz való amerikai titkosszolgálati hozzáférésében és ehhez társultan az európai jogalanyok számára elérhető elégtelen jogorvoslatokban keresendő.

Kapcsolódó

„A mostani osztrák és francia döntéseknek azért van kiemelt jelentősége, mert azon túlmenően, hogy 101 panaszból 3-at kifejezetten magyar weboldalak ellen adott be Schrems, a Schrems által véletlenszerűen kiválasztott magyar weboldalakon túl valamennyi Google Analytics-ot, Facebook Connect-et vagy egyéb amerikai adattovábbítással járó technikai megoldást alkalmazó weboldal tulajdonosa aggódhat hasonló eljárás indítása miatt, ami komoly bírságfenyegetettséget jelent.

A döntés komolyságát jól mutatja, hogy az eljárás tárgyát képező weboldalelemző szolgáltatás keretében közel sem névre szóló vagy szenzitív adatok Amerikába történő továbbításáról beszélünk, hanem leginkább a weboldal használatának elemzését segítő online azonosítókról, IP címről és böngésző azonosítók amerikai szolgáltató általi kezeléséről, amelyeket ráadásul további titkosítással is elláttak” – foglalja össze Kopasz János, a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértője.

Az amerikai adattovábbításokat érintő döntések mögül kétségtelenül felsejlik egy európai adatprotekcionizmus, amely szorgalmazni igyekszik, hogy harmadik országbeli szolgáltatók helyett EU-n belüli vagy olyan szolgáltatókat vegyünk igénybe, amelyek európai szervereken tárolják az adatokat.

Az adatlokalizációs igényeken túlmenően látható, hogy amíg az amerikai titkosszolgálatok jogkörével és ezzel összefüggő jogorvoslati problémákkal kapcsolatban nem kínálnak hathatós megoldást az amerikaiak, addig az EU és az USA közötti kockázatmentes adattovábbításról nehezen lehet beszélni. Mindez pedig gátat szabhat egy feljavított Privacy Shieldről szóló bizottsági határozat elfogadásának, miközben a fentiek alapján látható, hogy égető szükség lenne a transzatlanti adattovábbítások megnyugtató rendezésére.

Nem véletlen, hogy a Google-höz hasonló amerikai nagyvállalatok, köztük a Facebook, Instagram, Whatsapp szolgáltatásait magáénak tudó Meta cégcsoport egyenesen az Európából történő kivonulást fontolgatja, amennyiben az európai adatok amerikai szervereken történő tárolásának jelenleg borús helyzete nem oldódik meg.

Természetesen az európai piac értékesebb ezen vállalatok számára annál, mintsem elhagyják, az azonban már könnyen elképzelhető, hogy lényeges különbségek várhatóak az amerikai és európai szolgáltatások között, amennyiben nem rendeződik megnyugtatóan az amerikai adattovábbítások helyzete.