Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Az Európai Bíróság Safe Harbour ügyben hozott C-362/14. sz. határozata, amelyben érvénytelenítette az Európai Bizottság Safe Harbour (biztonságos kikötő) rendszert megalapozó határozatát, a napokban jelent meg.
Dr. Sándor Judit kifejtette: az európai szabályozás alapján harmadik országba csak akkor lehet személyes adatot továbbítani, ha ahhoz az érintett kifejezetten hozzájárul, vagy a továbbított adatok kezelése, feldolgozása során a személyes adatok védelme megfelelő szintű.
Az európai szabályozás és az ennek megfelelő magyar szabályozás konkrétan meghatározza, hogy mikor tekinthető a védelem megfelelő szintűnek.
Az Infotv. alapján megfelelő szintű a védelem, ha azt Európai Unió kötelező jogi aktusa megállapítja, vagy ha erről a harmadik ország és Magyarország között nemzetközi szerződés van érvényben, vagy kötelező szervezeti szabályozás esetén (BCR – az Infótörvény legutóbbi módosítása által Magyarországon is bevezetett jogintézmény, amely lehetővé teszi, a multinacionális vállalatok számára a cégcsoporton belüli adattovábbítást).
Két esetben volt biztosított
Az Európai Unió Bizottsága szerint eddig két esetben volt biztosított az USA-ban a személyes adatok megfelelő védelme – mutatott rá a Sándor Szegedi Szent-Ivány Komáromi Eversheds Ügyvédi Iroda szakértője.
Az első: ha az adattovábbítás olyan amerikai cég részére történt, amely szerepel a Biztonságos Kikötő (Safe Harbour) listán, azaz vállalta, hogy teljesíti az USA kormánya által kiadott, a személyes adatok védelmére vonatkozó úgynevezett „biztonságos kikötő” adatvédelmi elveket.
A második eset: ha utas-nyilvántartási adatokat továbbítanak az Egyesült Államok Vámügyi és Határvédelmi Irodájának.
Ha az USA-ban székhellyel rendelkező vállalat felkerült a Safe Harbour listára, akkor az e cégnek történő adattovábbítást az Európai Unió biztonságosnak tekintette.
A Safe Harbour rendszer jogi alapja
A Safe Harbour rendszer jogi alapját a 1995. október 24-i 95/46/EK irányelv (adatvédelmi irányelv) alapján az Európai Bizottság a 2000. július 26-i 2000/520/EK határozata teremtette meg. Ez a határozat tartalmazza azokat az adatvédelmi elveket is, amelyeket az USA-ban honos vállalatoknak be kell tartaniuk az Európai Unióból származó személyes adatok kezelése során.
Annak a cégnek, amely a Safe Harbour listára felkerült, egy hét pontból álló szabályozásnak kellett önkéntesen megfelelnie. A Safe Harbour rendszer lehetővé tette tehát az uniós állampolgárok személyes adatainak továbbítását az Amerikai Egyesült Államokba.
Mivel azonban nem volt egyértelmű, hogy ki és hogyan ellenőrzi a követelmények betartását meglehetősen vitatott volt a Safe Harbour rendszerben kezelt adatok biztonsága. A Safe Harbour rendszerrel kapcsolatban a fő kifogás az volt, hogy nem veszi figyelembe azt az USA szabályozást, amely alapján az USA hatóságai (mint például a NSA – National Security Agency) hozzáférhetnek az EU állampolgárok személyes adataihoz, és azokat a továbbításuk eredeti céljával akár összeegyezhetetlen módon is kezelhetik.
Ebből eredően az USA hatóságok olyan gyakorlatot folytathatnak, amely sértheti az uniós polgárok alapjogait – emelte ki dr. Sándor Judit.
Az Európai Bíróság ítélete
Az Európai Bíróság ítéletének előzménye volt, hogy 2013-ban Max Schrems osztrák egyetemista a Snowden botrány kirobbanása után azzal fordult a Facebook európai felügyeletét ellátó ír adatvédelmi hatósághoz, hogy vizsgálják meg, hogy a Facebook az európai szabályoknak megfelelően kezeli-e az adatait, amikor hozzáférést biztosít az amerikai titkosszolgálatoknak a közösségi oldalon megadott adatokhoz.
Az ír hatóság a panaszt, annak tartalmi vizsgálata nélkül, elutasította arra hivatkozva, hogy a nemzeti hatóság nem bírálhatja felül a Bizottság határozatát. Schrems ezt követően bírósághoz fordult, az ír bíróság pedig az Európai Unió Bíróságától kért állásfoglalást az ügyben – ismertette a Sándor Szegedi Szent-Ivány Komáromi Eversheds Ügyvédi Iroda szakértője.
Az Európai Bíróság ítéletében hatályon kívül helyezte az Európai Bizottság Safe Harbour határozatát és Schrems panaszát visszaküldte az ír adatvédelmi hatóságnak azzal az utasítással, hogy az ügyet érdemben vizsgálja meg.
A bíróság kimondta, hogy a Safe Harbour keretrendszer egyáltalán nem felel meg az uniós normáknak, az adatok nem részesülnek a megfelelő védelemben. Az ítélet szerint a nemzeti hatóságnak igenis kötelességük az ilyen panaszokat megvizsgálni.
A Safe Harbour rendszer ugyanis csak az adatkezelőre vonatkozóan tartalmaz rendelkezéseket, az amerikai hatóságokra vonatkozóan azonban nem. Az uniós állampolgárok semmilyen védelmet nem élveznek az amerikai hatóságok adatgyűjtéseivel szemben, az adatgyűjtés mértéke pedig a nemzetbiztonsági indokokon sokszor túlmutat. A Bíróság a Safe Harbour keretrendszert ezért megszüntette.
A Nemzeti Adatvédelmi és Információbiztonság Hatóság (NAIH) 2015. október 6-án megjelent közleményében (http://naih.hu/files/2015-10-06-Kozlemeny---Safe-harbor.pdf) üdvözölte az Európai Bíróság határozatát, és leszögezte, hogy a döntés értelmében alapjaiban kell újraszabályozni az Egyesült Államokba irányuló adattovábbításokat. A NAIH közleményében leszögezi, hogy az ítéletből fakadó teendőket elemzi, és az uniós országok adatvédelmi hatóságával egységes véleményt dolgoz ki.
Beláthatatlan következmények
Az Európai Bíróság döntésének hatásai beláthatatlanok, mivel a döntés minden olyan USA-ba irányuló adattovábbításra kiterjed, amely a Safe Harbour rendszernek megfelelően történt eddig.
A Safe Harbour rendszer érvénytelenítése nem csak az olyan ismert nagy cégek életét érinti, mit a Facebook, Google, Yahoo, stb., de más vállalkozások ezreit is pl.: a felhő / cloud szolgáltatást nyújtókat, vagy ezeket a szolgáltatásokat igénybe vevőket, tehát azokat, akik fizikailag USA-ban levő tárhelyet használnak.
A döntés után a Bizottság és a nemzeti adatvédelmi hatóságok nyilatkozataiból (így a NAIH nyilatkozatából) úgy tűnik, hogy bár megerősítették a Safe Harbour rendszer azonnali hatálytalanságát, azonban egyelőre elemzik az ítéletet és annak lehetséges hatásait. Jelenleg az egyéb adatküldési mechanizmusokat (pl.. a kötelező szervezeti szabályozás – BCR) nem érinti a jelenlegi döntés.
Meg kell jegyezni ugyanakkor azt is, hogy az Európai Bíróság legfontosabb kifogása a Safe Harbour rendszerrel szemben az volt, hogy nem garantálta az USA hatóságaival szembeni jogvédelmet az érintett európai polgárok számára. Ez azonban a megmaradó adatküldési lehetőségek esetében sem biztosított.
A problémával minden olyan cégnek foglalkoznia kell, amely – tudatosan vagy tudtán kívül, alvállalkozóin keresztül - valamilyen formában adatot tárol vagy kezel az USA területén. Figyelni kell tehát a további fejleményeket és készülni kell a szabályozás változására.
A helyzet tehát nem egyszerű és az érintetteket nyilván arra ösztönzi, hogy a legrövidebb időn belül megfelelő megoldást találjanak az USA-ba irányuló, megfelelő védettséget biztosító adattovábbításra – összegezte végezetül dr. Sándor Judit.
