Időről-időre napirendre kerül, hogy az Egyesült Államokban is szükséges lenne egy szövetségi szintű általános adatvédelmi szabályozás elfogadása. Az utóbbi időben (persze jól felfogott üzleti érdekek alapján) nagy tech cégek vezetői is többször sürgették a terület szövetségi szintű szabályozását (lásd például Tim Cook vagy Mark Zuckerberg vonatkozó nyilatkozatait). A téma napirenden van amiatt is, hogy az Európai Bíróság Privacy Shieldet érvénytelenítő ítéletét (Schrems II.) követően jelentősen megnövekedett az EU-ból az Egyesült Államokba irányuló adattovábbítások tranzakciós költsége és a kapcsolódó adatvédelmi kockázatok is számottevőek lehetnek, ez pedig arra ösztönözheti az adatkezelőket (és adatfeldolgozókat), hogy alternatív megoldásokat keressenek és ahol csak lehetséges, kerüljék az USA-ba történő adattovábbítást. Hosszú távon tehát a biztonságos EU és USA közötti adatáramlásnak - érvelnek sokan - előfeltétele a megfelelő szövetségi szintű adatvédelmi szabályozás (is).
A szövetségi szintű szabályozással kapcsolatos diskurzus nem csak elméleti síkon zajlik, hiszen a napokban a Szenátus elé került egy törvényjavaslat a szövetségi szintű adatvédelmi szabályozásra ("Setting an American Framework to Ensure Data Access, Transparency, and Accountability Act" vagy röviden, "Safe Data Act"). A tervezet számos a GDPR-ból ismert elemet tartalmaz, ugyanakkor számos eltérést is láthatunk, például a tárgyi hatály tekintetében, hiszen a tervezet szerint a szabályozás nem terjedne ki a munkavállalói adatokra és a nyilvánosan elérhető adatokra sem (rövid összefoglalót a főbb tartalmi elemekről lásd a Szenátus honlapján, illetve itt, Odia Kagantól a Fox Rotschield LLP partnerétől). Fontos megjegyezni, hogy a most benyújtott javaslat nem az első szövetségi szintű szabályozási kezdeményezés, több javaslat került már előterjesztésre (lásd például DelBene képviselő többször is előterjesztett javaslatát), de mindeddig nem sikerült tető alá hozni a szabályozást.
Érdemes megjegyezni, hogy bár általános, a GDPR-hoz hasonló szövetségi szintű adatvédelmi szabályozás jelenleg még nincs az USA-ban, de számos szektorális szabály került elfogadásra, mint pl. a HIPAA vagy a COPPA. Rövid áttekintés az USA adatvédelmi szabályozásról elérhető pl. itt. Fontos kiemelni azt is, hogy bár - leegyszerűsítve - adatvédelmi szabályokról írok a jelen bejegyzésben, ugyanakkor az Európában és az USA-ban alkalmazott megközelítés között eltérések tapasztalhatók, amelyekre a két kontinens adatok védelmét illető szabályozásának és gyakorlatának esetleges összevetése kapcsán figyelemmel kell lennünk, máskülönben nagyon félrevezető következtetések levonására kerülhet sor.
Mi szól a szövetségi szintű szabályozás mellett?
A szövetségi szintű szabályozás elfogadása mellett többféle érv felhozható. Egyrészt, mint fentebb láttuk, az EU és USA közötti adattovábbításokat jelentősen megkönnyítené, ha újabb megfelelőségi határozatot fogadna el a Bizottság az Egyesült Államok tekintetében. Ugyanakkor anélkül, hogy érdemi változások történnének az Egyesült Államokban az adatvédelem kapcsán, kérdéses, hogy egy újabb megfelelőségi határozat mennyiben lehetne időt állóbb, mint elődei a Safe Harbour vagy a Privacy Shield. Persze az kérdéses, hogy önmagában a szövetségi szintű szabályozás léte megválaszolja-e azokat a kérdéseket, amelyek a megfelelőségi határozatok érvénytelenítéséhez vezettek, hiszen ez ennél jóval összetettebb problémakör és az esetlegesen elfogadásra kerülő szabályozás tartalma (különös tekintettel az egyének jogvédelmére és a jogok érvényesíthetőségére) mindenképpen döntő lehet.
Másrészt az elmúlt időszakban kibontakozott egy olyan adatvédelmi jogalkotási trend, amely hatása alól az USA-nak is nehéz teljesen kivonnia magát. A GDPR 2016-os elfogadását követően sorra születnek az adatvédelmi szabályozások olyan feltörekvő gazdaságokban is, mint Brazília. Ráadásul az USA mögött jelenleg a világ második legnagyobb gazdasága, Kína is közel került ahhoz, hogy átfogó adatvédelmi szabályozást fogadjon el. Persze ezzel szemben felhozható, hogy egy dolog az írott szabályozás, de más kérdés, hogy az miként érvényesül a gyakorlatban. A látszat azonban mégis azt mutathatja, hogy az USA az adatvédelmi szabályozás területén hátrányba kerülhet egy nagy gazdasági riválisával szemben és ez az egyre inkább digitálissá váló világban komoly jelentőséggel bírhat. (A témáról lásd részletesebben ezt az írást, amely a kínai adatvédelmi jogalkotással kapcsolatos számos kérdést és aggályt tárgyal.)
Harmadrészt egységes szövetségi szintű szabályozás hiányában sorra születnek a tagállami szabályok az Egyesült Államokon belül, amely azzal a veszéllyel fenyeget, hogy egy nagyon szétaprózott, a digitális világban a cégek számára jelentős nehézséget és a jogalkalmazáshoz kapcsolódó számos extra költséget jelentő heterogén szabályozási környezet alakul ki. (Az USA tagállamai közül Kalifornia járt élen a saját szabályozásának megalkotásával, ezt követte Virginia és legutóbb csatlakozott hozzájuk Colorado. A három tagállam szabályozásának összehasonlítása, jól áttekinthető formában elérhető itt. Ahogy a JonesDay iroda összefoglalója is kiemeli - bár sok hasonlóság van ezen szabályok között - a tagállami szabályok érdemi eltéréseket is mutatnak, amelyek a több tagállamban aktív cégek számára jelentősen megnehezíthetik a megfelelést. Ráadásul a három élenjáró tagállam mellett számos más államban zajlik az adatvédelmi jogalkotás, így további államok csatlakozhatnak hozzájuk.)
Lesz tehát szövetségi szintű szabályozás?
Sok jel mutat arra, hogy az elkövetkezendő időszakban a téma folyamatosan napirenden szerepel és számos próbálkozást láthatunk majd egy jogszabály elfogadására. Azt viszont nehéz megjósolni, hogy hányadik nekifutásra sikerül eljutni egy szövetségi szintű jogszabály elfogadásáig, ha egyáltalán a közeljövőben sor kerül erre. A téma fontosságát jelzi talán az is, hogy a versenyfeltételeknek az amerikai gazdaságban történő előmozdítása érdekében kiadott elnöki rendelet is több adatkezeléssel kapcsolatos kérdést érint (különösen a big tech cégeket érintően). Másik oldalról komoly lobbitevékenység várható, hiszen azok a tech cégek, amelyek nyilatkozatiakban sürgetik a szövetségi szintű szabályozás elfogadását, nagyon erősen érdekeltek abban, hogy olyan szabályok szülessenek, amelyek keretei között a adatok gyűjtésére és feldolgozására épülő üzleti modelljük továbbra is működőképes lesz. (Az éppen a napokban közzétett gyorsjelentések azt mutatják, hogy a technológiai cégek adatalapú működése - a számos kritika ellenére - jobban virágzik, mint valaha, így a tét óriási. Lásd például az Alphabet (Google) negyedéves eredményeiről szóló beszámolót itt, a Facebook eredményeiről szólót pedig itt. Ebből a szempontból is érdekes lehet az Amazonra Luxemburgban kiszabott rekord összegű GDPR bírság és annak hatása az adatalapú célzott hirdetésekre épülő üzleti modellre.)
