Brad Smith – Elnök és Jogi Főigazgató 2015. október 20-i bejegyzése
Ha a technológiai érdeklődésű emberek a 2015. évre visszatekintenek, akkor úgy emlékeznek majd októberre, mint az EU és az Egyesült Államok közötti Safe Harbor összeomlásának hónapjára. A 15 éve hatályban lévő nemzetközi jogi megállapodás egyetlen nap alatt érvényét vesztette. Október 6-án az Európai Unió Bírósága egy olyan nemzetközi jogi szabályozást írt felül, amelyet több mint 4000 vállalat alkalmazott nemcsak arra, hogy az Atlanti-óceán két partja között adatokat mozgasson, hanem hogy üzleti tevékenységét végezze és ügyfeleit két, együttesen 800 millió fő lakosságú kontinensen kiszolgálja.
A döntés csak egyértelművé tette azt, amit sokan már egy ideje hangoztattak: a személyi számítógépek hajnalán elfogadott jogszabályok a mindenhol ott levő, felhőre csatlakozott mobiltelefonok korában már nem megfelelőek. Mind az Egyesült Államokban, mind Európában az új technológiai világba illeszkedő új jogszabályokra van szükség.
Ahogy az ügyvédek és a hatóságok gyorsan nekilátnak a helyzet kiértékelésének, egyértelmű, hogy egész sor kisebb intézkedésre valamint egy jelentősebb hosszú távú átalakulásra egyaránt szükség lesz. Mindkét feladat nagyon fontos.
Fontos odafigyelni arra, hogy az intézkedések széles körűek legyenek, mivel az Egyesült Államok és az EU közötti Safe Harbor összeomlása várhatóan erős hullámokat ver fel. Washingtonban és Brüsszelben gyorsan kell a politikusoknak cselekedni, és reménykedjünk, hogy a Kongresszus hamar elfogadja a bírósági jogorvoslatról szóló törvényt (Judicial Redress Act), aminek következtében az európai állampolgárok is fordulhatnak az amerikai bíróságokhoz. Ezen kívül azok a társaságok, melyek hozzánk hasonlóan külön intézkedéseket is alkalmaznak, pl. az EU Modellszerződést, még inkább ezekre lesznek utalva és ezeket fogják kiegészíteni, miközben mindenki a további intézkedéseket tárgyalja.
De a hosszú távú problémamegoldás érdekében pár nyilvánvaló és alapvető tényt is fel kell ismernünk. Olyan megoldások szükségesek, melyek nemcsak a nagy számítástechnikai cégeknek válnak be, hanem az üzleti életben jelen lévő kisvállalkozások, de legfőképpen fogyasztók számára is hasznosak. Ha biztosítani szeretnénk, hogy az adatok az Atlanti-óceán két partja között fenntartható keretek között szélesebb körben mozoghassanak, akkor egy újfajta transz-atlanti megállapodásra van szükségünk. Egy ilyen megállapodásnak a magánszemélyek adatvédelmi jogait saját joguk alapján kellene megvédenie, egyidejűleg biztosítva, hogy a bűnüldöző szervek az embereket új nemzetközi eljárások segítségével biztonságosan meg tudják védeni úgy, hogy megfelelő jogi előírások alapján személyes adataikhoz gyors és megfelelő hozzáférést kapnak.
Ahogy fontolóra vesszük azokat az intézkedéseket, amelyek szóba jöhetnek, fontos szem előtt tartani azt a sok tényezőt, melyek a mostani hónap fejleményeihez vezettek. Ezek a sokfélék és összetettek, és az évek során hatásuk összeadódott. Emiatt bonyolultabb a jelen kihívásokra megoldást találni. Ha nem vesszük ezeket mind figyelembe, akkor csak szépségtapaszokkal korrigálunk olyan kérdéseket, melyek gyökeres változást igényelnek.
Az adatvédelem valójában alapvető emberi jog. A Safe Harbor összeomlása mindennél jobban mutatja azt, hova fejlődtek az adatvédelmi kérdések. A jogeset Írországban kezdődött, ahol a dublini Fellebbviteli Bíróság aggodalmát fejezte ki amiatt, hogy az európaiak mennyire lehetnek nyugodtak akkor, amikor személyes adataik az Egyesült Államokba kerülnek, ahol a hatóságok sokkal szélesebb körben gyűjtenek személyes adatokat, és ez összeegyezhetetlennek tűnik „az ír alkotmány által védett alapértékekkel”. Ezek nem kis szavak.
Sok szempontból az ír bíróság döntése az adatvédelem hosszú fejlődési útját követte, ami majdnem a II. világháborúig nyúlik vissza. Az Európa Tanács 1950-ben elismerte, hogy a magánélethez való jog alapvető emberi jog. Ez azóta is az európai jog egyik alapköve, amit az Európai Unió Alapjogi Chartája is tartalmaz. Az Európai Bíróság közelmúltbeli ítélete rögtön az első bekezdésében felhívja a figyelmet arra, hogy a Chartában szerepel a „személyes adatok védelme”.
Az amerikaiak könnyen azt gondolhatnák, hogy ebből is látszik, hogy egy másik kontinensen más a jogi megközelítés. De ez hiba lenne. A magánélet védelmének jogát a hatósági beavatkozással szemben az Egyesült Államok alkotmánya már 1791. óta védi, amikor a 4. Kiegészítést a Bill of Rights keretében elfogadták. A maguk idejében, az Amerikai Egyesült Államok és Európa bíróságai is hasonló irányba haladtak, nem véletlenül.
Tavaly az Amerikai Egyesült Államok Legfelsőbb Bírósága egyhangú ítéletben rögzítette, hogy telefonok tartalmának átvizsgálása előtt a rendőrségnek kötelező bírósági engedélyt kérni. A bíróság ezt azzal indokolta: „a mai mobiltelefon nem csupán hasznos technológiai eszköz. Mindazzal, amit tartalmaz és elárulhat, a mobiltelefon sok amerikai esetében magát a „magánéletet” testesíti meg.”
A Legfelsőbb Bíróság megvitatta azt az alkotmányos védelmet, ami előírja, hogy a kormány házkutatás előtt köteles engedélyt kérni. Ezzel kapcsolatban megjegyezte, hogy a telefon átkutatása „jellemzően sokkal többet elárul a kormány számára, mint a legalaposabb házkutatás: a telefon digitálisan nemcsak rengeteg érzékeny információt tartalmaz, amit korábban otthon nem lehetett meglelni, de ezenkívül még magánjellegű információk egész sorát rejtheti, ami egy házból semmilyen formában nem keríthető elő.”
Ez egyrészt figyelemre méltó, másrészt teljesen igaz. Az elmúlt három évtizedben a technológia olyan mértékben átalakította a hétköznapokat, hogy az emberek mára már több információt tárolnak a zsebükben lévő eszközön, mint valaha otthon. Ahogy tudjuk, az adatok nem maradnak kizárólag a telefonon: az érzékeny információnak ott a másolata a „felhőben”, ami valamelyik kontinensen vagy a világon bárhol elhelyezkedő adatközpontot jelent.
Ez az átalakulás magyarázatot ad arra, hogy a technológiai szektorban miért beszélnek egyre többet az adatvédelemről. Az európai döntés előtt épp egy héttel az Apple vezérigazgatója, Tim Cook kifejezetten elismerte, hogy a magánélethez való jog alapvető emberi jog. Magam a Microsoft nevében ugyanezt mondtam idén januárban, egy Brüsszelben tartott beszédben. A Microsoft vezérigazgatója, Satya Nadella már több mint egy éve egyértelműen nyilatkozott arról, hogy a technológiai fejlődést támogatjuk, de az időtálló értékeknek fenn kell maradniuk. És a magánélethez való jog ilyen megőrzendő, időtálló érték.
De az adatvédelmi jogok nem tudnak úgy fennmaradni, ha mindig megváltoznak, amikor az adat máshova kerül. Az embereknek nem kellene alapvető jogaikat csupán azért elveszíteniük, mert a személyes adatuk átlép egy országhatárt. Bár ez még közvetlenül nem került így megfogalmazásra, de ez az elv meghúzódik az Európai Bíróság döntésének minden szava mögött – jogosan.
Ehhez még hozzájön az a napi gyakorlat, hogy a személyes adatokat gyakran nem is az emberek, hanem cégek és kormányok továbbítják. Az emberek jellemzően nincsenek is tudatában annak, hogy adataik hova kerülnek továbbításra, vagy hol kerülnek tárolásra. Nem lehet elvárni az emberektől, hogy az adataik védelmére hagyatkozzanak, amikor a fogalom mindig változik, amikor adataikat valaki más továbbítja. Egyetlen alapvető jog sem tud ilyen ingatag alapon megállni.
Ezek az aggodalmak lehet, hogy a háttérben maradtak volna Európában, ha nincsenek az elmúlt két év fejleményei. A dublini Fellebbviteli Bíróság szókimondóan fogalmazott e tekintetben, amikor arra utalt, hogy Edward Snowden leleplezései bizonyítják az Egyesült Államok hatóságainak „nagymértékű túlkapásait”. Az Európai Bíróság is azt a következtetést vonta le, hogy az ügy valós aggodalmakat ébreszt a tekintetben, hogy ha a személyes adatok átkerülnek az Egyesült Államokba, akkor a kormány adatgyűjtési rendszerei számára elérhetővé válnak anélkül, hogy az európaiaknak joguk lenne magukat az Egyesült Államok bíróságai előtt megvédeni.
Gyakorlatilag ezek a leleplezések azt jelentik, hogy az európai jogalkotóknak most újból át kell gondolniuk, hogy az európai állampolgárok továbbra is az otthonival „lényegében azonos” adatvédelemmel rendelkeznek-e azt követően, ha adataik átkerülnek az Atlanti-óceán másik oldalára. Ha nem, akkor a századfordulón elfogadott Safe Harbor nem éleszthető fel új változtatások nélkül. Ez tulajdonképpen azt jelenti, ahogy az Atlanti-óceán mindkét oldalán lévő politikusok számára is egyértelmű, hogy a régi Safe Harbor valami jobbal cserélendő fel.
Globális internetre van szükségünk. Jogi szempontból legalábbis egyszerű lenne a feladat, ha az adatokat nem lenne muszáj mozgatni. Az új jogszabályok egyszerűen azt is előírhatnák, hogy mindenki adata maradjon saját országában, sőt mi több, saját eszközein. De ez visszatérés lenne a digitális középkorba.
Bár egyre inkább lehetséges adatokat egy adott adatközpontban tárolni, a fogyasztók személyes adatainak még így is több indokolt esetben kell országhatárokon átmenniük. Képzeljük el, hogy egy internetes vásárlás során azt az üzenetet kapjuk, hogy a vásárlás azért nem valósítható meg, mert a hitelkártyaadatokat máshol kell feldolgozni. Vagy képzeljük el, hogy azért nem sikerül repülőjegyet foglalnunk, mert az útlevelünk adatait a légitársaság nem adhatja át az úti célunk szerinti országnak. Minden héten számtalanszor előfordul, hogy mint fogyasztóknak vagy állampolgároknak szükségünk van arra, hogy mások oda továbbítsák személyes adatainkat, ahova kerülniük kell. És a jövőbeli technológiai innovációk a személyes adatokat egybe fogják gyűjteni, hogy az eszközök még inkább hasznosabbakká váljanak az emberek számára.
Az adatok nemzetközi mozgatása nemcsak egyéneknek, hanem üzleti vállalkozásoknak, sőt az országoknak is fontos. Az EU Igazságügyi Biztosa, Věra Jourová találóan fogalmazott, amikor az Európai Bíróság döntésére reagált: „fontos, hogy a transz-atlanti adatáramlás folytatódhasson, mert ez a gazdaságunk gerince.”
Ugyan a kormányzatok azt is előírhatnák, hogy valamennyi fogyasztói adat mindig a fogyasztó hazájában maradjon, de ez olyan lenne, mintha a bankokkal kapcsolatos aggodalmakat azzal akarnánk megoldani, hogy mindenki tartsa otthon a matrac alatt a pénzét. A XXI. században ennél többre van szükség.
Fenn kell tartani a közbiztonságot. Ezeket a kérdéseket még egy harmadik, de döntő tényező teszi még bonyolultabbá: a kormányzatoknak fenn kell tartaniuk a közbiztonságot. Bár sokat lehet a biztonsági kérdések megoldásáról vitázni, széles körű, sőt nemzetközileg is egybehangzó egyetértés van abban, hogy a kormányzatok egyik legfontosabb feladata, hogy a közbiztonságot fenntartsák. Abban is nagy az egyetértés az Atlanti-óceán mindkét oldalán, hogy veszélyes időket élünk.
Erre a kihívásra összepontosítva egyértelművé válik, mi ma az internet legnagyobb ellentmondása. Az internet a világ elsődleges közege, ahol az emberek ötleteiket megoszthatják, és egymással kommunikálhatnak. Ahogyan a távirat, a telefon és más régebbi találmányok esetében, az emberek sokféleképpen hasznát veszik az új technológiának, hogy jót tegyenek, máskor pedig, hogy rosszat.
Ha a közbiztonságot fenn akarjuk tartani a világban, akkor biztosítanunk kell azt az interneten is. Ha a kormányok a való világban akarják a közbiztonságot fenyegető veszélyeket elhárítani és kinyomozni, akkor az interneten tárolt adatokhoz időben és megfelelően hozzá kell férjenek.
Az adatvédelem Rubik kockája. Megdöbbentő az a komplexitás, ami akkor rajzolódik ki, amikor ezeket az elveket megpróbáljuk összehangolni. Muszáj védenünk a magánéletet, mint alapvető emberi jogot. Szükségünk van a globális internetre. Fenn kell tartanunk a közbiztonságot. Találnunk kell egy olyan jogszerű utat, ami az Atlanti-óceán mindkét partján járható. Ezt a négyet együtt és egyszerre kell megvalósítanunk. Ez az adatvédelem Rubik kockája.
Ha hosszú távú és fenntartható megközelítést akarunk találni, akkor mindent újra kell gondolnunk. Az Egyesült Államok fő adatvédelmi jogszabályát 1986-ban fogadták el. Az európai jogszabályok is ez idő tájt léptek hatályba. Az a megközelítés, ami a XX. század vége előtt 15 évvel alakult ki, már nem megfelelő 15 évvel a XXI. század kezdete után. Azóta nemcsak a technológia változott, hanem az egész világ.
Akárcsak a Rubik kocka esetében, a megoldás már kézenfekvőnek tűnik, amikor megvan. A jelen esetben négy lépést kell megtennünk.
Egyrészt az Atlanti-óceán túloldalán is biztosítani kell, hogy az adatok továbbítása során az adattulajdonosokat megillető jogok kövessék az adatokat. Ez egy egyszerű javaslat, ami megkívánná például azt, hogy az Amerikai Egyesült Államok vállalja, hogy csak az EU-s jogszabályoknak megfelelően kér betekintést EU állampolgároknak az Amerikai Egyesült Államokban tárolt személyes adataiba, és viszont.
Másrészt szükség lenne egy új transz-atlanti megállapodásra, amely nemcsak egy biztonságos kikötőt, hanem újfajta kapcsolatot is biztosít két kikötő között. Olyan gyorsított eljárásra van szükség, amelynek során az Amerikai Egyesült Államokbeli hivatalos szervek és az EU-s hivatalos szervek hozzáférhetnek az Atlanti-óceán túloldalára került, de egymás állampolgáraira vonatkozó online személyes adatokhoz úgy, hogy jogszerű kérelmükkel közvetlenül az adott személy lakóhelye szerinti ország illetékes hatóságához fordulnak. A kérelmező kormánynak kizárólag a saját joga által biztosított keretek között lenne szabad információt kérni, és a kérelmét az adatalany állampolgársága szerinti ország illetékes állami hatósága haladéktalanul elbírálná. Ha a kijelölt hatóság úgy dönt, hogy a kérelem az állampolgár országának adatvédelmi és jogszabályi előírásait nem sérti, akkor a kérelmet jóváhagyja és jogerőre emeli, engedélyezve az adatok átadását.
Ha az Egyesült Államok kormánya vállalná, hogy ezt az eljárást az Egyesült Államokban tárolt EU-s adatok esetében betartja, akkor egyszerűen eleget tenne az Európai Bíróság által felvázolt jogi előírásoknak. A bíróság előírta, hogy az EU állampolgárok Egyesült Államokba továbbított adatai „lényegében ugyanolyan” szintű jogszabályi védelemben részesüljenek, mint hazájukban. Pontosan ezt biztosítaná az előbbi vállalás, mivel a kormányzatok továbbra is a saját joguk szerint járnának el. Az eljárás mindkét irányban működne: amikor amerikai adatok kerülnek át Európába, akkor az amerikai állampolgárok továbbra is az Egyesült Államok joga és az Alkotmányában foglalt elvek védelme alatt állnának.
Harmadrészt, más megközelítéssel kellene azonban kezelni azokat a személyeket, akik az Atlanti-óceán túloldalára költöznek. Az Amerikai Egyesült Államok kormánya például szabadon fordulhasson kizárólag saját bíróságaihoz, amerikai jog alapján, hogy olyan EU-s állampolgárról szerezzen be adatot, aki az Amerikai Egyesült Államokba költözött, és ugyanez vonatkozzon egy EU tagállam kormányára is, ha az Amerikai Egyesült Államok állampolgárai az adott tagállamban telepednek le. Ez összeegyeztethető a régóta kialakult jogi elvekkel, valamint a gyakorlattal, hogy a közbiztonsági kérdések akkor merülnek fel leginkább, amikor az egyén egy joghatóságban fizikailag is ott van.
Végezetül a kormányoknak az Atlanti-óceán mindkét oldalán meg kellene állapodniuk abban, hogy egy jogszerűen működő vállalkozás által kezelt adatokhoz nagyon kevés kivételtől eltekintve csak a vállalkozásnak küldött hivatalos kérelem útján kísérelnek meg hozzáférni, még akkor is, ha az adott tartalmat a vállalkozás a felhőben tárolja. Ez megoldást jelentene a felhőszolgáltatásokat igénybe vevő vállalkozások jelenlegi főbb jogi aggályaira.
Új előremutató megoldás. Vannak más árnyalatok és bonyodalmak is, melyeket át kell még gondolni. De ilyenek mindig vannak. Ez az alapvető megközelítés azonban eloszlatná a meglévő jogi zavart, mert egyértelműsítené, hogy az emberek nem veszítik el a magánélethez fűződő jogaikat akkor, amikor adataik országhatárokat lépnek át, és van olyan hatályos és jogilag megfelelő alap a bűnüldöző szervek számára, hogy hozzáférjenek azok az adatokhoz, melyekhez a közbiztonság fenntartsa érdekében muszáj hozzáférni.
Ez a megoldás azt is szükségessé tenné, hogy a kormányzatok a régi jogszabályokat és jogi eljárásokat elővegyék, és végre modernizálják. Vannak, akik ezt kihívásnak tartják, és igazuk is van. De ez mostanra már időszerűvé vált. Ebben a hónapban a régi jogi rendszer összeomlott, de az alapok már jó ideje inogtak. Az elmúlt években egyértelművé vált, hogy az új évszázad új adatvédelmi kereteket kíván. Eljött az ideje, hogy ezt kiépítsük.
A szerzőről
Elnök és jogi főigazgató
Brad Smith a Microsoft elnöke és jogi főigazgatója. Brad Smith kulcsszerepet tölt be abban, hogy a társaságot kifelé képviselje, és a társaság munkáját számos olyan kritikus kérdésben irányítsa, mint például az adatvédelem, a biztonság, a hozzáférhetőség, a környezeti fenntarthatóság és a digitális integráció.