Érvénytelenítette az Európai Unió Bírósága a Privacy Shield megállapodást Maximillian Schrems osztrák adatvédelmi aktivista keresete nyomán. Az Egyesült Államok és az Európai Unió közötti 2016-os szerződés az EU-s állampolgárok adatainak biztonságát volt hivatott garantálni, ha azok az USA-ba kerülnek.

A Privacy Shield négy éve éppen azért váltotta le elődjét, az ún. Safe Harbor egyezményt, mert Schrems keresete nyomán az EU bírósága azt is hatályon kívül helyezte.

Az osztrák aktivista a Snowden-botrány hatására kezdett el foglalkozni a kérdéssel: arra volt kíváncsi, hogy megfelel-e az uniós adatvédelmi szabályoknak, amikor a közösségi oldal az európai felhasználók adatait tengerentúli szervereken tárolja, ezzel kvázi megnyitva azokat az amerikai titkosszolgálatok előtt.

Az új megoldással sem volt elégedett

Ahogy a Safe Harbornak, úgy a Privacy Shieldnek is elvileg az lett volna az értelme, hogy a különböző online szolgáltatások révén az USA-ban lévő adatközpontokba került és ott tárolt EU-ból származó személyes adatok ugyanolyan védelmet élvezzenek, mint az amerikai állampolgárok adatai. Schrems szerint azonban a 2016-os egyezmény sem garantálja a uniós polgárok adatainak biztonságát.

A bíróság most, ahogy öt éve a Safe Harbor esetében is, neki adott igazat. Az indoklás szerint az amerikai nemzeti jogrend továbbra is lehetővé teszi, hogy az amerikai bíróságok akadály nélkül férjenek hozzá az EU-s polgárok adataihoz. (Az amerikai törvények értelmében a bíróság akkor is kényszeríthet egy amerikai vagy Amerikában is jelenlévő külföldi vállalatot az általa kezelt adatok kiszolgáltatására, ha azok fizikailag más országban vagy kontinensen vannak.)

Az eljárás során, az EU bírósága konkrétan a Facebook gyakorlatát vizsgálta, hogy a közösségi oldalnál mi történik/történhet azokkal az EU-s állampolgárokhoz köthető személyes adatokkal, melyek átkerülnek a vállalat kaliforniai központjába. A korábbi ügyhöz képest itt már azt is vizsgálták, hogy az adatkezelési gyakorlat mennyire felel meg az EU általános adatvédelmi rendeletének, a GDPR-nek.

A döntés egyenes következménye, hogy az Egyesült Államoknak és az EU-nak újra le kell ülnie, hogy tető alá hozzanak egy a korábbiaknál hathatósabban működő megállapodást. A cél egy olyan egyezmény lenne, amely garantálja az uniós állampolgárok személyes adatainak a GDPR által meghatározott szintű védelmét az USA-ban is.