Az amerikai vállalatok sokkolóan gyenge megfelelőséggel kezelik azokat az európai uniós szabályokat, amelyek a felhasználói adatok transzatlanti továbbítására vonatkoznak – állítja saját kutatására hivatkozva a NOYB digitális jogvédő szervezet. A nonprofit egyesületet Maximilian Schrems osztrák adatvédelmi aktivista alapította 2017-ben, és már a neve is az angol "none of your business", vagyis "semmi közöd hozzá" kifejezésből származik, utalva a digitális adatgazdaság gyakorlataira a felhasználói adatok gátlástalan összegyűjtésére és felhasználására.

Schrems nevéhez fűződik az az eljárás, amelynek eredményeként az Európai Unió Bírósága 5 évvel ezelőtt érvénytelenítette az Erópai Unió és az Egyesült Államok közti adattovábbítás kereteit lefektető európai bizottsági határozatot és az erre vonatkozó Safe Harbor egyezményt. Időközben hatályba lépett az általános európai adatvédelmi rendelet (GDPR), ennek alapján pedig a bíróság az újabb megállapodást, a Privacy Shieldet is szabálytalannak minősítette idén júliusban, ugyancsak az uniós polgárok adatainak védelmére hivatkozva az USA területén.

Bár a Privacy Shield értelmében az EU-ból származó személyes adatok ugyanolyan védelmet élveznek a tengerentúlon, mint az amerikai állampolgároké, a GDPR-megfelelőséghez ez is kevés. Az ottani bíróságok akkor is adatszolgáltatásra kényszeríthetnek amerikai vagy Amerikában is jelenlévő külföldi vállalatokat, ha azok fizikailag más országban vagy kontinensen vannak, a GDPR alapján viszont személyes adatokat harmadik országba csak akkor lehet továbbítani, ha azok védelme ezt követően is az EU-ban megkövetelt szinten marad.

Ahány ház, annyiféle válasz

Ahogy néhány nappal ezelőtt mi is beszámoltunk róla, a Facebook európai üzletét felügyelő dublini adatvédelmi hatóság a bírósági határozat nyomán előzetesen elrendelte az adatok tengerentúli transzferének felfüggesztését, ami a közösségi hálózat álláspontja szerint a Facebook vagy az Instagram szolgáltatásainak ellehetetlenülését ererdményezheti Európában. Bár egyelőre nehéz komolyan venni a társaság tényleges kivonulását az európai piacról, az biztos, hogy a digitális üzletek sokasága épül a szinte ellenőrizetlen transzatlanti adattovábbításra, ennek pedig az alaposan alávághatnak az EU technológiai és adatszuverenitásra irányuló törekvései.

Visszatérve a NOYB nemrég kiadott anyagára, a szervezet összesen 33 digitális szolgáltatónak tett fel kérdéseket azzal kapcsolatban, hogy a felhasználóik miként győződhetnek meg saját adataik GDPR-kompatibilis kezeléséről, azok tényleges utaztatásáról és mindennek jogi kereteiről. A nagyrészt amerikai, kisebb részben uniós vagy brit központú vállalatok a NOYB szerint egészen változatosan reagáltak a megkeresésekre, összességében azonban elmondható, hogy többségükben képtelenek voltak érdemi tájékoztatást adni ebben az egyre fontosabb kérdésben.

A NOYB közleményében Schrems arról ír, hogy a visszajelzések között voltak ugyan részletes magyarázatok, de olyan is volt, aki elismerte, hogy pillanatnyilag fogalma sincs, mi a helyzet az egész GDPR-dologgal, sőt egyes helyekről a szabályok meglepően agresszív tagadása jött vissza. Az Airbnb, a Netflix vagy a WhatsApp még arra sem vette a fáradságot, hogy válaszoljon a megkeresésre, mások pedig a GDPR-re vonatkozó tájékoztatás helyett csak saját adatvédelmi szabályaikat ajánlották a NOYB figyelmébe, amelyek között viszont nem található válasz a feltett kérdésekre.

Zavarodottság és/vagy kivárás

Semmitmondó reakciókból sem volt hiány: a Slack például közölte, hogy önszántából sosem ad hozzáférést kormányügynökségeknek a felhasználói adatokhoz, ebből viszont nem derül ki, hogy milyen kötelezettségeket hárít a szolgáltatóra a megfigyelésről szóló amerikai szabályozás. Schrems szerint az ottani hírszerzés számára különösen különösen az üzleti szoftverek adatai bírnak jelentőséggel, és egészen elképesztő dolog, hogy az ilyen szolgáltatások üzemeltetői maguk sem tudják megmondani, hogy az általuk kezelt adatokhoz hozzáférhet-e vagy sem az amerikai kormányzat.

A NYOB jó példaként hivatkozik a Microsoftra, ahol minden kérdésüket megválaszolták, vagy a Virgin Media, ahonnan elküldték a szolgáltatásaikban alkalmazott általános szerzősési feltételek egy másolatát. Ezzel együtt az aktivisták még ezeket a eakciókat sem találták megfelelően részletesnek, bár a Microsoft a maga részéről elismerte, hogy a felhasználói adatokat saját szerződési feltételei szerint is kiadhatja, nem csak szigorúan az Egyesült Államok külföldi hírszerzői tevékenység megfigyeléséről szóló törvényének (FISA) 702. szakaszának érvényesítésekor.

A közlemény konklúziója, hogy a most megkeresett vállalatok (Airbnb, Amazon, American Express, Apple, Asos, Blizzard, Booking, Clevver, Coinbase, Ebay, Facebook, GMX, Google, Hinge, Hotels.com, Instagram, LinkedIn, Mango, Mastercard, Microsoft, Netflix, Nike, OneTrust, Revolut, Signal, Slack, Tinder, Trivago, Twitter, Under Armour, Virgin Media, WhatsApp, Zoom) jellemzően nem adtak érdemi tájékoztatást, és konkrét tervekkel sem rendelkeznek a jövőt illetően. Azok pedg, amelyek nem is válaszoltak, nyíltan szembemennek az Európai Bíróság fent említett döntésével.