Hirdetés
. Hirdetés

EU-USA adattovábbítás: zárva a biztonságos kikötő

|

Az Egyesült Államok és az Európai Unió között tizenöt éve hatályban lévő adattovábbítási gyakorlatnak vége, más megoldást kell keresni.

Hirdetés

Másfél évtizeden keresztül működő gyakorlatnak vetett véget október elején az Európai Unió Bírósága, amikor érvénytelennek nyilvánította az Unió és az Egyesült Államok közötti adattovábbítási megállapodást, a Biztonságos kikötő rendszerét. Az ítélet Maximilian Schrems osztrák joghallgató ügyében született, aki az Ír Adatvédelmi Hatósághoz nyújtott be panaszt azzal, hogy a Facebook európai felhasználóinak adatait kezelő ír központ adatokat továbbít a közösségi háló amerikai szervereire. Ítéletében az EU Bírósága kimondta, hogy a tagállami hatóságok (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság) jogosultak megvizsgálni a harmadik országba irányuló adattovábbítások kapcsán az adatvédelmi garanciák meglétét akkor is, ha az Európai Bizottság a tárgyban korábban határozatot fogadott el - foglalta össze az előzményeket Ódor Dániel, a Taylor Wessing ügyvédi iroda főmunkatársa.

Október 16-án aztán a 28 tagállam közös állásfoglalásban kimondta, hogy amennyiben az NSA január végéig nem változtat megfigyelési gyakorlatán, összehangolt akció indulhat azon amerikai vállalatok ellen, amelyek adatkezelési gyakorlatával kapcsolatban kétely merül fel. Mi több, ezt bármely tagállam saját szervei is kezdeményezhetik.

 

Mire volt jó a Safe Harbor?

Jelentősen eltér egymástól az Egyesült Államokban és az Európai Unió országaiban kialakult adatvédelmi szabályozás. A Safe Harbor a két rendszer közelítésére jött létre. Arra kötelezte a tengerentúli tevékenységet folytató amerikai vállalatokat, hogy rendszeres időközönként tanúsítsák: adatkezelési gyakorlatuk megfelel a Szövetségi Kereskedelmi Bizottság előírásainak. Az Amerikai Egyesült Államokban az Európai Unió Bizottsága szerint eddig két esetben volt biztosított a megfelelő védelem: ha az adatot olyan amerikai vállalathoz továbbították, amely szerepel a Biztonságos kikötő listán, azaz vállalta, hogy teljesíti az USA kormányának a személyes adatok védelmére vonatkozó Biztonságos kikötő adatvédelmi elveit; vagy ha az utas-nyilvántartási adatok címzettje az Egyesült Államok Vámügyi és Határvédelmi Irodája volt.

A szabályozást amerikai részről sem vették félvállról, már csak azért sem, mert a kiszabható büntetést igen magas összegben, az érintett cég teljes árbevételének 5 százalékában maximálták. Tizenöt év alatt a Szövetségi Kereskedelmi Bizottság (FTC) nem egy céget marasztalt el a fogyasztók megtévesztéséért, pontosabban azért, mert elmulasztották időben megújítani a Biztonságos kikötő tanúsítványukat.

A megállapodás érvénytelenítésével az eddigi automatikus adatátvitel gyakorlatának vége. Az amerikai székhelyű vállalatoknak az adatvédelem megfelelő szintű biztosítása érdekében más garanciákat kell nyújtaniuk, ami nem várt költségekkel jár, további erőforrásokat igényel. Az egyik lehetőség az Európai Bizottság által elfogadott modellszerződések alkalmazása, amelyek megkötése, naprakészen tartása, esetleges időközbeni módosításai lényegesen nagyobb terhet jelentenek a piac szereplőinek, különösen, ha az adattovábbításban sok szereplő vesz részt.

A másik út az október 1-jétől hazánkban is elérhető kötelező szervezeti szabályozás alkalmazása. Ennek lényege, hogy a Safe Harborhoz hasonlóan szintén egyoldalú kötelezettségvállalás keretében folytatható adattovábbítás harmadik célországba. A Safe Harborral szemben az adja a biztonságot, hogy adattovábbítás kizárólag a tagállami adatvédelmi hatóság által jóváhagyott, kötelező belső adatvédelmi szabályzat alapján történhet. Hátránya, hogy csak vállalatcsoporton belüli megoldás lehet a kötelező szervezeti szabályozás, külső szereplők irányába történő adattovábbításokra nem alkalmazható - magyarázza a Taylor Wessing jogásza.

Nem kell kapkodni

Jóllehet az osztrák joghallgató által kirobbantott ügy látszólag nagyot durrant, az Unióban működő mintegy négyezer amerikai illetőségű cég zömét nem érte meglepetésként a Biztonságos kikötő bezárása. Sokan már korábban kiléptek a megfelelőségi biztosíték alól, mert a megállapodás - legalábbis Snowden felbukkanása óta - kivizsgálás alatt, a titkosszolgálatok adatkezelési gyakorlata pedig az uniós figyelem középpontjában állt. Ezen cégek előtt most sürgős műszaki és jogi lépések állnak, dönteniük kell, mely adatmozgásokat tekintik létfontosságúnak, hogy először azok védelmét szavatolják - emlékeztet a Computerworld párizsi tudósítója. Véleménye szerint a kkv-knak januárig nem kell kivizsgálástól tartaniuk, az Atlanti-óceán innenső oldalán is jelenlévő amerikai óriások viszont számíthatnak arra, hogy előbb-utóbb jogi aktivisták és adatvédelmi szervek kopogtatnak az ajtón, arról érdeklődve, miként szándékoznak védeni az NSA-tól a birtokukban lévő adatokat.

Az előrelátóbbak közé tartozott az uniós bíróságokat többször megjárt Microsoft, amely már az évtized elején a felhőszolgáltatásaihoz kapcsolódó szerződések részévé tette a jogi és műszaki értelemben egyaránt átvett uniós adatvédelmi irányelveket; hivatalos EU-s állásfoglalást kért és kapott az adatvédelmi hatóságoktól és a Nemzetközi Szabványügyi Szervezettől (ISO). Októberben a redmondi cég megerősítette, hogy felhőszolgáltatásainak - köztük az Azure és az Office 365 - adatmozgásainál tekintettel van a személyiségi jogok uniós szabályok szerinti védelmére.

 

Mi lesz helyette?

Sokan tartanak a tengerentúlon attól, hogy az Európai Unió tagországai nem jutnak közös nevezőre, adatvédelmi hatóságaik más-más elveket követnek, s ezzel hintába ültetik az amerikai vállalatokat. Az október 29-én zárult amszterdami Nemzetközi Privacy Konferencián azonban máris olyan javaslatokat terjesztettek elő a résztvevők, amelyekkel javítható a transzatlanti és nemzetközi adatvédelem.

- Az EU és az USA évekig győzködte egymást, hogy egyedül az általa képviselt eljárás helyes. Mindketten igyekeztek feltalálni a spanyolviaszt, s így a személyi adatok védelmének viszonylag könnyen megvalósítható megoldásai sem kerültek át a gyakorlatba - fogalmaz Jacob Kohnstamm, a holland adatvédelmi hatóság elnöke. A konferencia résztvevői szerinte félretették a szabályozási különbségeket, s így sikerült megtenni a magánemberek, vállalatok, kormányok és felügyeleti szervek életét megkönnyítő első lépéseket.

Ezzel azonban az elvi megállapodások még nem kerülnek át a gyakorlatba. Modellszerződéseket, kötelező erejű vállalati szabályokat alkotni és aláírni egyszerű volna, de semmi biztosíték nincs arra, hogy ezzel az adott cég valóban megfelel az elvárt követelményeknek és a célország adatvédelmi szervei jóvá is hagyják azt - emlékeztet egy brüsszeli ügyvédi iroda tanácsadója. Mások viszont a felmondott megállapodás 2.0 változatában bíznak. Az egyik lobbicsoport szerint, amelynek az Amazon, a Facebook, a Google és a Microsoft is tagja, a jelenlegi szabályozás bizonytalanságba taszította a Biztonságos kikötő elveire építő európai és nemzetközi vállalatokat. Az Apple-t, az IBM-et és az SAP-t tagjai között számláló másik lobbiszervezet, a Digital Europe felhívásában arra sürgeti az Európai Bizottságot és az amerikai kormányt, hogy mielőbb jussanak megállapodásra egy új Biztonságos kikötőről.

Amennyiben januárig nem születik konszenzus, helyi vélemények szerint az újvilági cégek számíthatnak arra, hogy a nemzeti hatóságok összehangolt akciókat indítanak. Jay Cline, a PricewaterhouseCoopers szakértője azonban kételkedik ennek a forgatókönyvnek a megvalósulásában. Szerinte a munkanélküliséggel küzdő európai országok nem kockáztatják meg a sok ezer embernek munkát adó amerikai vállalatokkal való konfrontációt. Azt már könnyebben elképzelhetőnek tartja, hogy a Szilícium-völgy pénzben dúskáló csúcstechnológiai cégei ellen perek indulnak, annál inkább, mert némelyiküket többször beidézték már az uniós hatóságok. Végül pedig a legvalószínűbb, hogy gyorsítani fogják az új adatvédelmi törvény elfogadását, amelynek végső szövege új alapokra helyezi az európai polgárok személyi adatainak a védelmét, miközben az adatvédelmi hatóságokat felhatalmazza arra, hogy a törvényt megsértő vállalatokat globális bevételük 2 százalékáig terjedő büntetéssel sújthassa.

Hirdetés

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.