Össztűz alá került a Google Analytics, miután korábban nem látott gyorsasággal születnek az adatvédelmi hatóságok elmarasztaló határozatai. A döntések értelmében a felhasználói adatok amerikai továbbításai az uniós általános adatvédelmi rendelet (GDPR) rendelkezéseibe ütköznek.

Az osztrák adatvédelmi hatóság (DSB) január 13-án közzétett marasztaló döntését követően február 10-én a francia adatvédelmi hatóság (CNIL) jutott hasonló megállapításra. A két döntés ráadásul csak az előszele a más tagállami hatóságoktól Európa-szerte várható döntési hullámnak. Ennek oka, hogy az osztrák és a francia döntés is egyike az EU és EGK valamennyi tagállamában Max Schrems adatvédelmi aktivista szervezete által kezdeményezett mintegy 101 eljárásnak, amelyeket hasonló döntések sorozata követhet – derül ki a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi szakértőinek összefoglalójából.

Kivonulhat Európából a Facebook és az Instagram a GDPR miatt

A Meta szerint 2022-ben új megállapodás születhet az Európai Unió és a cég között az adatkezelésről, de ha nem, akkor annak igen komoly következményei lehetnek.

Max Schrems neve ismerős lehet, hiszen hozzá köthetőek azok az Európai Bírósági ítéletek (2015-ös Schrems I. és 2020-as Schrems II. ítéletek), amelyek a transzatlanti adattovábbítások egyik meghatározó módjaként rendelkezésre állt korábbi európai bizottsági határozatokat (Safe Harbour illetve az azt követő Privacy Shield) érvénytelenítették.

„A mostani osztrák és francia döntéseknek azért van kiemelt jelentősége, mert azon túlmenően, hogy 101 panaszból 3-at kifejezetten magyar weboldalak ellen adott be Schrems, a Schrems által véletlenszerűen kiválasztott 3 peches magyar weboldalon túl valamennyi Google Analyticsot, Facebook Connectet vagy egyéb amerikai adattovábbítással járó technikai megoldást alkalmazó weboldal tulajdonosa aggódhat hasonló eljárás indítása miatt, amely komoly bírságfenyegetettséget jelent” – mondja Kopasz János, a Taylor Wessing adatvédelmi szakértője.

Az amerikai adattovábbításokat érintő döntések mögül kétségtelenül felsejlik egy európai adatprotekcionizmus, amely szorgalmazni igyekszik, hogy harmadik országbeli szolgáltatók helyett EU-n belüli vagy olyan szolgáltatókat vegyünk igénybe, amelyek európai szervereken tárolják az adatokat.

A Facebook kivonulása helyett egyelőre csak kihátrált a Meta az európai „fenyegetésből"

A Meta szerint nem akarja kivonni sem a Facebookot, sem az Instagramot Európából, és nem is „fenyegetőzött" ilyesmivel. A vállalat azután szólalt meg az ügyben, hogy a média kiszúrta: egy hivatalos dokumentumban belengette a kivonulást.

Az adatlokalizációs igényeken túlmenően látható, hogy amíg az amerikai titkosszolgálatok jogkörével és ezzel összefüggő jogorvoslati problémákkal kapcsolatban nem kínálnak hathatós megoldást az amerikaiak, addig az EU és az USA közötti kockázatmentes adattovábbításról nehezen beszélhetünk. Mindez pedig gátat szabhat egy feljavított Privacy Shieldről szóló bizottsági határozat elfogadásának, miközben a fentiek alapján látható, hogy égető szükség lenne a transzatlanti adattovábbítások megnyugtató rendezésére.

Nem véletlen, hogy a Google-höz hasonló amerikai nagyvállalatok, köztük a Facebook, Instagram, Whatsapp szolgáltatásait magáénak tudó Meta cégcsoport egyenesen az Európából történő kivonulást fontolgatja, amennyiben az európai adatok amerikai szervereken történő tárolásának jelenleg borús helyzete nem oldódik meg.

Természetesen az európai piac értékesebb ezen vállalatok számára annál, mintsem elhagyják azt, az azonban már könnyen elképzelhető, hogy lényeges különbségek várhatóak az amerikai és európai szolgáltatások között, amennyiben nem rendeződik megnyugtatóan az amerikai adattovábbítások helyzete.

„Ebben a környezetben valamennyi magyar cégnek, amely amerikai adattovábbítással járó szolgáltatásokat vesz igénybe, különös gondot kell fordítania, hogy adatvédelmi szempontból megfelelően körbejárja a kockázatokat, meghozza a szükséges kiegészítő intézkedéseket vagy amennyiben azok nem tűnnének elégségesnek, akár európai szolgáltatóra váltson, hiszen adatexportálóként felelősséggel tartozik a GDPR adattovábbításra vonatkozó rendelkezéseinek betartásáért” – hangsúlyozta Kopasz János.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.