Látszólag egy öt éve tartó jogi csatározás végére tett pontot az Európai Bíróság keddi döntése, amelyben jogellenesnek nyilvánította az Egyesült Királyságban, Franciaországban vagy Belgiumban is bevezetett, tömeges kormányzati megfigyelési programokat. A bíróság kimondta, hogy a három tagállamban korábban elfogadott törvények az uniós jogba ütköznek, amennyiben azok lehetővé teszik a kormányügynökségeknek, hogy általános céllal, válogatás nélkül kérjenek ki forgalmi és lokációs adatokat kérjenek az internetes és mobil szolgáltatóktól.

A bíróság szerint ilyamire még akkor sem lehetne módjuk, ha az adatigénylést nemzetbiztonsági érdekekre hivatkozva vinnék keresztül. A bizalmas kommunikációról és adattovábbításról szóló uniós szabályok hatályát a tagállamok csak akkor korlátozhatják, ha maguk a korlátozások is megfelelnek az EU vonatkozó előírásainak, tekintettel például az arányosság elvére és az Európai Unió Alapjogi Chartájában foglaltakra.

Mindez a lényegét tekintve azt jelenti, hogy az egyes államok nem építhetnek tetszésük szerint masszív adatbázisokat az állampolgárok digitális lábnyomaiból, hogy azokban tetszés szerint kutassanak a később felmerülő ügyekben. A megfigyeléseket mindig pontos célok és célpontok meghatározásával kell engedélyeztetni az illetékes bíróságokkal, ide értve a begyűjtött adatok megőrzésének szigorú feltételeit is.

A döntés értelmében tehát a nemzetbiztonsági érdekek is csak nagyon szűk és jól meghatározható esetekben írhatják felül az uniós adatbiztonsági szabályokat. A tömeges adatgyűjtésreke ilyenkor is csak álladó fenyegetések esetén, korlátozott módon, a legszükségesebb időtartamra van lehetőség, és annyiban a teljes folymatnak a nyilvánosság előtt kell zajlania, hogy meg kell vitatni és el kell fogadni az aktuális megfigyeléseket szabályozó törvényeket.

Nehéz máshogy értelmezni, de azért majd megpróbálják

Az állandó fenyegetés és a legszükségesebb időtartam természetesen olyan fogalmak, amelyeket a nemzetbiztonsági szolgálatok mindenhol elkezenek majd saját maguk értelmezni, a lehető legszélesebbre tágítva az Európai Bíróság ítélete nyomán kidolgozott újabb szabályozásokat. Mindenesetre az ügyet végigvivő Privacy International szerint manapság különösen fontos egyértelművé tenni, hogy a kormányzatok sem állnak a törvények fölött.

A kommentárok azt is kiemelik, hogy a keddi döntésnek a klasszikus Snowden-botrány vonatkozásában sem érdektelen. A hivatalos amerikai álláspont akkor az volt, hogy a metaadatok nem esnek a személyes adatok védelmének hatálya alá, mivel azok nem képezik részét a lehallgatott üzenetek vagy hangfelvételek tényleges tartalmának.A jelek szerint ezt Európában másképp gondolják, és a metaadatokra is pontosan ugyanolyan szabályokat vonatkoztatnak.

A bíróság határozata most úgy fogalmaz, hogy a forgalmi és helyadatok általános, válogatás nélküli megőrzése abban az esetben különösen súlyosan sérti a Charta által biztosított alapvető jogokat, amikor nincs konkrét összefüggés az érintett személyek magatartása és a szóban forgó jogszabályok céljai között. Ez, legalábbis elméletben, annyit jelent, hogy a tömeges megfigyelés innentől nem lehet pálya Európában.

Az Egyesült Királyság, bár a korábbiaknál is jobban az amerikai megközelítés felé navigál a személyes adatok kezelését illetően, a brexitet követően sem hagyhatja figyelmen kívül az Európai Bíróság ítéletét. Egyrészt a bíróság a kilépést követően sem azonnal és nem minden esetben veszíti el fölöttük az illetékességét, még fontosabb azonban, hogy az uniós joggal szembemenő megfigyelési gyakorlatok fenntartásával a britek ugyanabban a helyzetben találhatják magukat, mint a GDPR-rel küszködő amerikai technológiai multik a transzatlanti adattovábbítás kapcsán.