Bot főtanácsnok szerint a személyes adatok számára az Egyesült Államokban biztosított védelem megfelelőségének megállapításáról szóló bizottsági határozat nem akadályozza meg a nemzeti hatóságokat abban, hogy felfüggesszék az európai Facebook‑felhasználók adatainak az Egyesült Államokban található szerverekre való továbbítását.
A főtanácsnok indítványa a C‑362/14. sz. ügyben – Maximillian Schrems kontra Data Protection Commissioner
A személyes adatok kezeléséről szóló irányelv1 úgy rendelkezik, hogy az ilyen adatok csak akkor továbbíthatók valamely harmadik országba, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. Az irányelv szerint továbbá a Bizottság megállapíthatja, hogy a harmadik ország megfelelő védelmi szintet biztosít‑e. Amennyiben a Bizottság ilyen értelmű határozatot fogad el, sor kerülhet a személyes adatoknak az érintett harmadik országba történő továbbítására.
Maximillian Schrems, osztrák állampolgár, 2008 óta használja a Facebookot. Az Unió területén lakó többi Facebook‑felhasználóhoz hasonlóan az M. Schrems által a Facebookra feltett adatokat a Facebook ír leányvállalatától részben vagy egészben az Egyesült Államokban található szerverekre továbbítják és ott tárolják. M. Schrems panaszt nyújtott be az ír adatvédelmi hatósághoz, amelyben azt állította, hogy az Edward Snowden által 2013‑ban az Egyesült Államok hírszerző szolgálatainak (különösen a National Security Agency, NSA) tevékenységeire vonatkozóan kiszivárogtatott információkra tekintettel az Egyesült Államok joga és gyakorlata nem biztosít valódi védelmet az ebbe az országba továbbított adatok amerikai állam általi ellenőrzésével szemben. Az ír hatóság többek között azzal az indokkal utasította el a panaszt, hogy a Bizottság 2000. július 26‑i határozatában2 megállapította, hogy az Egyesült Államok az ún. „biztonságos kikötő”3 rendszere keretében megfelelő védelmi szintet biztosít a továbbított személyes adatok számára.
Az ügyben eljáró High Court of Ireland (ír legfelsőbb bíróság) arra vár választ, hogy a Bizottság e határozata azzal a hatással jár‑e, hogy megakadályozza a nemzeti adatvédelmi hatóságot abban, hogy olyan panasz ügyében folytasson vizsgálatot, amely azt állítja, hogy valamely harmadik ország nem biztosít megfelelő védelmi szintet, és adott esetben felfüggessze a vitatott adattovábbítást.
Az ismertetett indítványában Yves Bot főtanácsnok úgy ítéli meg, hogy a Bizottság azon határozatának léte, amely megállapítja, hogy valamely harmadik ország megfelelő védelmi szintet biztosít a továbbított személyes adatoknak, nem teheti semmissé, vagy csökkentheti a nemzeti felügyeleti hatóságok számára a személyes adatok kezeléséről szóló irányelv alapján biztosított jogköröket. Megítélése szerint továbbá a Bizottság határozata érvénytelen.
A főtanácsnok legelőször is úgy ítéli meg, hogy figyelembe véve azt a jelentős szerepet, amelyet a nemzeti felügyeleti hatóságok a személyes adatok védelme terén betöltenek, beavatkozási jogkörüknek sértetlennek kell maradnia. Amennyiben a nemzeti felügyeleti hatóságokat abszolút módon kötnék a Bizottság által elfogadott határozatok, ez elkerülhetetlenül korlátozná az irányelvben számukra biztosított teljes függetlenséget. A főtanácsnok ebből azt a következtetést vonja le, hogy amennyiben a nemzeti felügyeleti hatóság megállapítja, hogy valamely adattovábbítás sérti az uniós polgárokat az adataik kezelése során megillető védelmet, a Bizottság határozatában szereplő általános értékeléstől függetlenül felfüggesztheti ezen adattovábbítást. Az irányelvben a Bizottságra ruházott jogkör ugyanis nem érinti az ugyanezen irányelvben a nemzeti felügyeleti hatóságokra ruházott jogköröket. Más szóval a Bizottság nem rendelkezik hatáskörrel a nemzeti felügyeleti hatóságok jogkörének korlátozására.
Bár a főtanácsnok elismeri, hogy a nemzeti felügyelő hatóságokat köti a Bizottság határozata, azonban úgy ítéli meg, hogy e kötelező erő nem írja elő minden panasz sommás, azaz azonnali, és a megalapozottság vizsgálata nélkül történő elutasítását, még kevésbé azért, mert a megfelelő védelmi szint megállapítása a tagállamok és a Bizottság megosztott hatáskörébe tartozik. A Bizottság határozata valóban fontos szerepet játszik a továbbítás feltételeinek tagállamokon belüli egységesítésében, ugyanakkor ez az egységesítés csak addig érvényes, amíg ez a megállapítás kétségessé nem válik, nevezetesen egy olyan panasz keretében, amelyet a nemzeti felügyelő hatóságoknak az irányelvben számukra elismert vizsgálati és tiltó jogkörükben kell elbírálniuk.
A főtanácsnok emellett úgy ítéli meg, hogy azon esetben, amikor rendszeres zavarok jelentkeznek abban a harmadik országban, ahová személyes adatokat továbbítanak, a tagállamoknak jogosultaknak kell lenniük az Európai Unió Alapjogi Chartájában biztosított alapvető jogok, köztük a magán‑ és a családi élet tiszteletben tartásához való jog, valamint a személyes adatok védelméhez való jog biztosításához szükséges intézkedések meghozatalára.
A 2000/520 határozat érvényességére vonatkozó eljárás során kifejtett kétségekre figyelemmel a főtanácsnok úgy ítéli meg, hogy a Bíróságnak meg kell vizsgálnia e kérdést, és arra a következtetésre kell jutnia, hogy a határozat érvénytelen. Mind a High Court of Ireland, mind pedig maga a Bizottság megállapításaiból az következik ugyanis, hogy az Egyesült Államok joga és gyakorlata anélkül teszi lehetővé az uniós polgárok továbbított személyes adataira vonatkozó széleskörű adatgyűjtést, hogy e polgárok hatékony jogi védelmet élveznének. E ténybeli megállapítások bizonyítják, hogy a Bizottság határozata nem tartalmaz elegendő biztosítékokat. A biztosítékok e hiányossága miatt a határozat végrehajtási módja nem felel meg az irányelvben és a Chartában foglalt követelményeknek.
A főtanácsnok továbbá úgy ítéli meg, hogy az amerikai hírszerző szolgálatoknak a továbbított adatokhoz való hozzáférési joga beavatkozást jelent a magánélet tiszteletben tartásához való jogba és a személyes adatok védelméhez való jogba, amely jogokat a Charta biztosít. Ehhez hasonlóan az, hogy az uniós polgárok az Egyesült Államokban nem rendelkeznek tényleges meghallgatáshoz való joggal az adataik lehallgatása és megfigyelése vonatkozásában, a főtanácsnok szerint beavatkozást jelent az uniós polgárok hatékony jogorvoslathoz való jogába, amelyet a Charta védelemben részesít.
A főtanácsnok szerint az alapvető jogokba történő e beavatkozás ellentétes az arányosság elvével, különösen azért, mert az amerikai hírszerző szolgálatok által folytatott ellenőrzés tömeges és nem célzott. Az amerikai hírszerző szolgálatok személyes adatokhoz való hozzáférése ugyanis általános jelleggel vonatkozik valamennyi személyre és valamennyi elektronikus hírközlési eszközre, valamint a továbbított adatok összességére (ideértve a kommunikáció tartalmát is), anélkül hogy a kitűzött általános érdekű cél alapján bármilyen megkülönböztetést, korlátozást vagy kivételt alkalmazna. A főtanácsnok úgy ítéli meg, hogy ilyen körülmények között valamely harmadik ország semmiképpen sem tekinthető úgy, hogy megfelelő védelmi szintet biztosít, még kevésbé azért, mert a biztonságos kikötő bizottsági határozatban létrehozott rendszere nem tartalmaz a továbbított adatok tömeges és általános hozzáférésének elkerülésére alkalmas biztosítékokat. Az Egyesült Államokban ugyanis az uniós polgárok tekintetében egyetlen független hatóság sem ellenőrizheti a személyes adatok védelmére vonatkozó elveknek az amerikai nemzetbiztonsági ügynökségekhez hasonló közjogi szereplők általi megsértését.
Az uniós polgárok alapvető jogait érintő sérelem ilyen megállapítása esetén a főtanácsnok szerint a Bizottságnak fel kellett volna függesztenie a határozat alkalmazását még akkor is, ha jelenleg tárgyalásokat folytat az Egyesült Államokkal a megállapított hiányosságok megszüntetése céljából. A főtanácsnok egyebekben rámutat arra, hogy noha a Bizottság úgy határozott, hogy tárgyalásokat folytat az Egyesült Államokkal, ennek éppen az az oka, hogy előzetesen megállapította, hogy e harmadik ország által a biztonságos kikötő rendszerén belül biztosított védelmi szint nem megfelelő, és hogy a 2000. évi határozat már nem felel meg a tényleges helyzetnek.
1 A személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelv (HL L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.).
2 A 95/46/EK európai parlamenti és tanácsi irányelv alapján, az Egyesült Államok Kereskedelmi Minisztériuma által kiadott „biztonságos kikötő” adatvédelmi elvek által biztosított védelem megfelelőségéről és az ezzel kapcsolatos gyakran felvetődő kérdésekről szóló, 2000. július 26-i 2000/520/EK bizottsági határozat (HL L 215., 7. o.; magyar nyelvű különkiadás 16. fejezet, 1. kötet, 119. o.).
3 A biztonságos kikötő rendszere számos, a személyes adatok védelmére vonatkozó elvet tartalmaz, amelyekhez az amerikai vállalkozások önkéntes alapon csatlakozhatnak.
