Kedden nem kötelező érvényű állásfoglalást adott ki az Európai Adatvédelmi Testület az Egyesült Államokkal kötendő új adattovábbítási paktummal kapcsolatban. Az EDPB (European Data Protection Board) aggasztónak találja, hogy az Európai Bizottság megnyitotta az utat az új paktum vitája előtt. Az EDPB szerint a szerződés ugyanis jelen formájában nem védi kellően az uniós polgárok magánélethez fűződő jogait.

Kétévnyi egyeztetés van a szövegben

A decemberben kiadott határozattervezetet az EB úgy ítélte meg, hogy az amerikai biztosítékok elég erősek ahhoz, hogy eloszlassák az uniós adatvédelmi aggályokat. Itt elsősorban az a kérdés, hogy az amerikai hírszerzési szervek milyen adatokhoz férhetnek hozzá, és milyen módon.

A megegyezést sokan fogadták örömmel. Egy magyar ügyvédi iroda oldalán például így kommentálták a tervezetet: az "új adatvédelmi keretrendszer biztosítja a biztonságos transzatlanti adatáramlást. Így hamarosan újra jogszerűen használhatjuk az amerikai szolgáltatók digitális marketinghez szükséges alapvető szolgáltatásait."

A pozitív vélemények általában azon alapultak, hogy egy akármilyen szabályozás is jobb, mint a szabályozatlanság, ami csak káoszhoz és végtelen jogi vitákhoz vezet. A transzatlanti adattovábbítás ugyanis 2020 óta ismét rendezetlen volt: az Európai Bíróság akkor helyezte hatályon kívül a 2016-ban elfogadott Privacy Shieldet azzal az indoklással, hogy a megállapodás nem védi elvárható mértékben az uniós polgárok személyes adatait, ha azok az USA-ba kerülnek.

Az EDPB viszont azon az állásponton van, hogy ha már egyszer új megállapodást kell kidolgozni, készüljön olyan, ami kiállja az idő (és főleg a bíróság) próbáját. Erről beszélt a testület elnöke, Andrea Jelinek is, aki ezzel együtt szükségesnek véli a megállapodás háromévenkénti felülvizsgálatát.

Az állásfoglalás szerint a paktum több fontos kérdésről sem rendelkezik egyértelműen. Ilyen például, hogy ki és miért mentesülhet a paktum hatálya alól, mi a helyzet az adatok ideiglenes tömeges gyűjtésével, és a jogorvoslati mechanizmusok sem tisztázottak. Kockázatos például, hogy a tömeges adatgyűjtéshez nem szükséges egy független hatóság előzetes engedélye. Javasolja továbbá, hogy a paktumban kössék ki a felek: az ilyen adatgyűjtésekkel kapcsolatban független testületnek kelljen utólag rendszeresen felülvizsgálatot végezni.

A mostani helyzet senkinek sem jó

Az EU-nak és az USA-nak is fontos volt, hogy a Privacy Shield (és elődje, a Safe Harbour) megszűnte után mihamarabb új adattovábbítási keretmegállapodás jöjjön létre. A szabályozatlanság miatt ugyanis a felhőszolgáltatások egy jelentős része akarata ellenére is egyfajta jogi senkiföldjére került. Nem lehetett tudni, hogy például milyen szabályok vonatkoznak az USA-ból nyújtott adattárolási-, bérszámfejtési-, pénzügyi- vagy marketingszolgáltatásokra.

Az Egyesült Államoknak és az Uniónak tavaly márciusban sikerült eljutnia egy előzetes megállapodásig. A Bizottság ez alapján készítette el és tette közzé tavaly decemberben a határozattervezetet. A szerződésszöveg végleges változata az EDPB, valamint a tagállamok észrevételeinek beépítése után nyárra készülhet el.