Össztűz alá került a Google Analytics, miután korábban nem látott gyorsasággal születnek az adatvédelmi hatóságok elmarasztaló határozatai, megállapítva, hogy az annak használatával megvalósuló amerikai adattovábbítások az uniós általános adatvédelmi rendelet (GDPR) rendelkezéseibe ütköznek. A Google-höz hasonló amerikai nagyvállalatok, köztük a Facebook anyacége, a Meta egyenesen az Európából történő kivonulást fontolgatja, amennyiben az európai adatok amerikai szervereken történő tárolásának jelenleg borús helyzete nem oldódik meg – derül ki a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértőinek összefoglalójából.
Az osztrák adatvédelmi hatóság (DSB) január 13-án közzétett marasztaló döntését követően február 10-én a francia adatvédelmi hatóság (CNIL) jutott hasonló megállapításra. A két döntés ráadásul csak az előszele a más tagállami hatóságoktól Európa-szerte várható döntési hullámnak. Ennek oka, hogy az osztrák és a francia döntés is egyike az EU és EGK valamennyi tagállamában Max Schrems adatvédelmi aktivista szervezete (noyb) által kezdeményezett mintegy 101 eljárásnak, amelyek elsőként nyertek elbírálást és amelyeket – nagy valószínűséggel egyező kimenetellel – hasonló döntések sorozata fog követni.
Max Schrems neve ismerős lehet, hiszen hozzá köthetőek azok az Európai Bírósági ítéletek (2015-ös Schrems I. és 2020-as Schrems II. ítéletek), amelyek a transzatlanti adattovábbítások egyik meghatározó módjaként rendelkezésre állt korábbi európai bizottsági határozatokat (Safe Harbour illetve az azt követő Privacy Shield) érvénytelenítették, tekintettel arra, hogy az amerikai jogszabályok nem biztosítanak megfelelő szintű védelmet az európaiakhoz képest. Ennek oka elsősorban az Európából Amerikába továbbított adatokhoz való amerikai titkosszolgáltati hozzáférésében és ehhez társultan az európai jogalanyok számára elérhető elégtelen jogorvoslatokban keresendő.
A Safe Harbour, illetve a Privacy Shield érvénytelenítését követően az amerikai adattovábbítások során már csak jóval körülményesebb adattovábbítási mechanizmusokra támaszkodhattak az érintett cégek, mint például a legszélesebb körben – és a Google által is – alkalmazott általános adattovábbítási kikötésekre (SCC). Az adatkezelőknek ugyanis, amennyiben egy adott EU-n kívüli harmadik országra vonatkozóan nincs az Európai Bizottság által kimondott megfelelőségi határozat arról, hogy az megfelelő szintű védelmet képes biztosítani a továbbított adatok felett, valamennyi esetben külön értékelést kell végeznünk a kérdéses ország adatvédelmi berendezkedésének vizsgálatára és szükség szerint további szerződéses, technikai és szervezeti intézkedéseket kell hoznunk a védelmi szint feljavítása érdekében. Nos, a döntések fényében a Google kiegészítő intézkedései nem bizonyultak elégségesnek.
„A mostani osztrák és francia döntéseknek azért van kiemelt jelentősége, mert azon túlmenően, hogy 101 panaszból 3-at kifejezetten magyar weboldalak ellen adott be Schrems, a Schrems által véletlenszerűen kiválasztott 3 peches magyar weboldalon túl
valamennyi Google Analytics-ot, Facebook Connect-et vagy egyéb amerikai adattovábbítással járó technikai megoldást alkalmazó weboldal tulajdonosa aggódhat hasonló eljárás indítása miatt, amely komoly bírságfenyegetettséget jelent.
A döntés komolyságát jól mutatja, hogy az eljárás tárgyát képező weboldalelemző szolgáltatás keretében közel sem névre szóló vagy szenzitív adatok Amerikába történő továbbításáról beszélünk, hanem leginkább a weboldal használatának elemzését segítő online azonosítókról, IP címről és böngésző azonosítók amerikai szolgáltató általi kezeléséről, amelyeket ráadásul további titkosítással is elláttak” – foglalja össze Kopasz János, CIPP/E, a Taylor Wessing adatvédelmi szakértője.
Az amerikai adattovábbításokat érintő döntések mögül kétségtelenül felsejlik egy európai adatprotekcionizmus, amely szorgalmazni igyekszik, hogy harmadik országbeli szolgáltatók helyett EU-n belüli vagy olyan szolgáltatókat vegyünk igénybe, amelyek európai szervereken tárolják az adatokat.
Az adatlokalizációs igényeken túlmenően látható, hogy amíg az amerikai titkosszolgálatok jogkörével és ezzel összefüggő jogorvoslati problémákkal kapcsolatban nem kínálnak hathatós megoldást az amerikaiak, addig az EU és az USA közötti kockázatmentes adattovábbításról nehezen beszélhetünk. Mindez pedig gátat szabhat egy feljavított Privacy Shieldről szóló bizottsági határozat elfogadásának, miközben a fentiek alapján látható, hogy égető szükség lenne a transzatlanti adattovábbítások megnyugtató rendezésére.
Nem véletlen, hogy a Google-höz hasonló amerikai nagyvállalatok, köztük a Facebook, Instagram, Whatsapp szolgáltatásait magáénak tudó Meta cégcsoport egyenesen az Európából történő kivonulást fontolgatja, amennyiben az európai adatok amerikai szervereken történő tárolásának jelenleg borús helyzete nem oldódik meg.
Természetesen az európai piac értékesebb ezen vállalatok számára annál, mintsem elhagyják azt, az azonban már könnyen elképzelhető, hogy lényeges különbségek várhatóak az amerikai és európai szolgáltatások között, amennyiben nem rendeződik megnyugtatóan az amerikai adattovábbítások helyzete.
„Ebben a környezetben valamennyi magyar cégnek, amely amerikai adattovábbítással járó szolgáltatásokat vesz igénybe, különös gondot kell fordítania, hogy adatvédelmi szempontból megfelelően körbejárja a kockázatokat, meghozza a szükséges kiegészítő intézkedéseket vagy amennyiben azok nem tűnnének elégségesnek, akár európai szolgáltatóra váltson, hiszen adatexportálóként felelősséggel tartozik a GDPR adattovábbításra vonatkozó rendelkezéseinek betartásáért”
– zárja gondolatait Kopasz János.
