Felröppent fel a hír (nem először), hogy a Meta cégei, többek közt a Facebook, az Instagram és a WhatsApp is kivonulhat Európából, elérhetetlenné téve ezzel szolgáltatásait a kontinensen.
Számos hazai hírportál, köztük a Telex, az Index, az Origó, a 24.hu, a Mandiner stb. írt arról, hogy előfordulhat, hogy a Facebook és az Instagram idéntől nem lesz elérhető hazánkban. A cikkek közt volt tényszerű, elemzői, pánikkeltő hangvételű is, de az is megfigyelhető, hogy nem minden esetben jutottak azonos konklúzióra az ügy kapcsán.
Az adatbiztonsági szakadék nem újkeletű
Ha a probléma gyökerét is érteni szeretnénk, a 2018-as évig kell visszamennünk. Ez volt az az év, amikor Európában hatályba lépett egy új GDPR szabályozás, az „Általános adatvédelmi rendelet”, mely szigorított a kontinenst érintő adatvédelmi szabályokon. Tekintve, hogy az Amerikai Egyesült Államokban sokkal enyhébb szabályozási korlátok élnek, létrejött egy adatbiztonsági szakadék a két kontinens között, amely orvoslása érdekében gyakorlatilag öt éve folyamatos egyeztetések és tárgyalások folynak.
Korábban, 2015 októberéig a Safe Harbour határozat szabályozta az európai adatok transzatlanti adatátvitelét. A határozatot Max Schrems ügyvéd, adatvédelmi aktivista panaszára érvénytelenítették, miután az Európai Bíróság sem találta alkalmasnak a dokumentum által biztosított adatvédelmet az amerikai hírszerzéssel szemben. A Bíróság kiemelte, hogy az amerikai hírszerzés hozzáfér a személyes adatokhoz, ez pedig ellentmond a magánélet tiszteletben tartásához, és a személyes adatok védelméhez fűződő alapvető jognak.
Azt a Privacy Shield („Adatvédelmi Pajzs”) nevű egyezményt, mely érvénytelenítése nyomán a feszültség kirobbant, 2016 februárjában fogadták el. Az Európai Unió Bírósága négy évre rá, 2020 júliusában érvénytelenítette az EU és az USA közti adattovábbításnak addig keretet adó megállapodást, mert – az elődjéhez hasonlóan – az nem védte kellőképpen az európai felhasználók személyes adatait. A panaszt ismét Max Schrems aktivista nyújtotta be – és ismét sikerrel is járt.
A konfliktus akkor éleződött, mikor 2020 szeptemberében az ír adatvédelmi hatóság (DPC – Irish Data Protection Commission) megpróbálta érvényre juttatni a döntést: felszólította a Facebookot, hogy hagyja abba az európai adatok Amerikába való küldözgetését. Ennek hatására a Meta egy bírósági beadványában közölte, hogy ha az ír adatvédelmi hatóság megtiltja nekik, hogy az európai adatokat tovább küldjék, akkor kénytelenek lesznek kivonulni az európai piacról.
2022 márciusában Joe Biden és Ursula von der Leyen bejelentették, hogy megegyeztek egy új transzatlanti adatáramlási megállapodásról, mely egy új keretet ad az adatok USA-beli továbbításának. Azóta viszont „az apró betűs részeknél” megakadtak a tárgyalások, amelyekből így várhatóan nem is fog megállapodás születni az év vége előtt.
Ellehetetlenülés vagy jogcsorbulás?
Az internet a Metán kívül is tele van olyan szolgáltatókkal, amelyek úgy működnek, hogy az európai felhasználók adatait elküldik az USA-ba, hogy azokat ott dolgozzák fel: ez kiemelten fontos a (tech)cégek üzleti működése szempontjából. A Facebook például az Európában gyűjtött adatok alapján személyre szabott hirdetéseket generál a felhasználóinak, amiket sokkal drágábban tud eladni. Az ehhez elengedhetetlen adatfeldolgozás az USA-ban történik. A fentebb már említett GDPR szabályozás tükrében 2018 óta nem lehet adatokat Amerikába transzportálni, csak úgy, ha arról a két adott fél külön szerződésben megegyezett. Erre szolgált a Privacy Shield is, ám annak eltörlése óta, illetve az új határozattervezet szerint ez nem lesz biztosított a Meta számára a jövőben.
A Facebookra tehát azért veszélyes az új határozattervezet, mert ha teljesen fel kell függesztenie az adattovábbítást, az egész egyszerűen ellehetetleníti a cég működését Európában. Európai szempontból pedig azt fontos kiemelni, hogy amint a felhasználói adatok az USA-beli szerverekre is átkerülnek, úgy már az amerikai adatvédelmi törvények vonatkoznak rájuk, amelyek pedig jelentősen enyhébbek; így nincsen garancia arra, hogy adott esetben hírügynökségek (pl. CIA) ne férjenek hozzájuk.
A július elején kiadott határozattervezetre a többi európai adatvédelmi hatóságnak három hete van, hogy reagáljon. Jelenleg ez a fázis zajlik: várjuk a reakciókat. A konfliktus realitásait erősen megkérdőjelezi azonban a tény, mely szerint a Public Shield már két éve nincsen érvényben, az új határozaton pedig most megy a vita, de a gyakorlatban semmilyen változás nem történt. Az adataink jelenleg is özönlenek az USA-ba, hiába nincsen erre megfelelő jogi keret.
Mi a megoldás?
A probléma kétségkívül összetett, a vita tulajdonképpen 2018 óta zajlik; négy éve keresnek megoldást a problémára. Ha a konfliktus elfajul és bezáródnak a kompromisszum lehetőségei, valóban lehetséges, hogy nem lesz Facebookunk, Instagramunk, Whatsappunk; bár a jelenleg 410 millió aktív felhasználóval rendelkező cég részéről a kivonulással kapcsolatos kijelentés inkább értékelhető nyomásgyakorlásnak, mintsem realitásnak. Fontos azonban kiemelni, hogy az érintett cégek köre sokkal tágabb: amennyiben az új határozattervezetet elfogadják, az minden olyan amerikai vállalatot érinteni fog, mely felhasználói adatokat szállít Európából Amerikába, köztük például a Google-t is.
A kompromisszum tehát mindkét félnek az érdeke, mind a kettő oldalról elmondható, hogy saját magát lőné lábon annyiban, amennyiben nem születne megállapodás. Erre utal a Meta saját közleménye is, mely bár februári, a benne foglaltak semmit sem vesztettek aktualitásukból.