VJT & Partners: életbe lépett az EU-USA adatvédelmi pajzsa

2016.08.01. 11:37

A mai naptól életbe lépett az EU-USA adatvédelmi pajzsa. A VJT & Partners szakértője szerint az érintett magyar cégeknek haladéktalanul dönteniük kell a szükséges lépésekről. Milyen lépéseket kell tenniük az érintett magyar cégeknek?

A transzatlanti adatáramlás új keretéről szóló adatvédelmi pajzs 2016. augusztus 1-én végre hivatalosan is életbe lépett. A hír üdvözlendő, de vajon mennyire lesz a pajzs életképes? Kiállja-e majd az Európai Bíróság próbáját?

A VJT & Partners szakértője, dr. Várady Endre szerint az érintett magyar cégeknek haladéktalanul dönteniük kell a szükséges lépésekről.

A Schrems vs. Facebook-ügy

A VJT & Partners szakértői korábbi írásukban ismertették az osztrák jogász, Max Schrems Facebook ellen indított perét, melynek következményeképpen az Európai Bíróság kimondta a biztonságos kikötő (Safe Harbour) érvénytelenségét.

Az indoklás szerint az USA hatóságai hozzáférhettek az EU-ból továbbított személyes adatokhoz, és azokat nem a nemzetbiztonság védelméhez feltétlenül szükséges és arányos módon kezelték.

A több százmilliárdnyi dollár értékű transzatlanti forgalom érdekében az EU és az USA komoly tárgyalásokba bocsátkozott. Most elérkezett a régóta várt pillanat: hosszas egyeztetés után 2016. augusztus 1-én végre hivatalosan is életbe lép az adatvédelmi pajzs (Privacy Shield), a transzatlanti adatáramlás új keretéről szóló megállapodás.

Hogyan működik az adatvédelmi pajzs?

Az Európai Unió területéről csak azoknak az amerikai vállalatoknak továbbítható személyes adat, akik szerepelnek az adatvédelmi pajzs listáján. A vállalatok akkor kerülnek fel az adatvédelmi pajzs listára, ha önkéntesen vállalják a rendszer adatvédelmi alapelveire vonatkozó szabályozás maradéktalan betartását.

Az Egyesült Államok Kereskedelmi Minisztériuma rendszeresen felülvizsgálja a résztvevő cégeket, így annak ellenére, hogy a rendszer önkéntes alapon működik, a szabályok betartása jogilag kikényszeríthető. Abban az esetben, ha a vállalatok nem teljesítik az elvárt követelményeket, szankciókat rónak ki rájuk és eltávolítják őket a listáról.

Az adatvédelmi pajzs kétségkívül fontos előrelépés a biztonságos kikötőhöz képest. A hírszerzés céljából történő nagy mennyiségű adatgyűjtés korlátozva lett, az uniós polgárok jogi védelemben részesülnek az USA-ban (így például Európa adatvédelmi hatóságaihoz fordulhatnak, akik az USA illetékes hatóságaival együtt kivizsgálják az ügyet).

Ezen túl kidolgozásra kerültek megfelelő felülvizsgálati és kikényszeríthetőségi mechanizmusok is – fejtette ki dr. Várady Endre.

Mit hoz a jövő?

A jelentős előrelépések ellenére az adatvédelmi pajzs túlélése kétséges. Az adatvédelmi pajzs nem biztos, hogy kiállja az Európai Bíróság próbáját, hiszen a rendszer továbbra is lehetővé teszi az uniós állampolgárok tömeges megfigyelését. Maga Max Schrems, a Facebook per megindítója ennek kapcsán kijelentette, hogy az új szabályrendszer is meg fog bukni, amint eléri az EU bíróságot.

Az adatvédelmi pajzs életbe lép, de a bizonytalanság továbbra is fennáll. A magyar cégeknek azonban haladéktalanul lépniük kell az USA-ba történő adattovábbítások „legalizálása" érdekében.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis bármikor bírságolhat jogellenes adattovábbítás miatt.

Mit tegyen a cégem?

Az érintett magyar cégeknek haladéktalanul lépniük kell az USA-ba történő adattovábbítások „legalizálása" érdekében. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ugyanis bármikor bírságolhat jogellenes adattovábbítás miatt.

Mit tehetünk ebben a bizonytalan helyzetben? Több megoldás is lehetséges:

Az adatvédelmi pajzs lista ellenőrzése – Ha az érintett amerikai cég a listán szerepel, akkor nincs ok aggodalomra, mivel az adatvédelmi pajzs egyenlőre érvényes jogi keretnek minősül. Hosszú távon azonban érdemes más alternatív megoldásokban is gondolkodni, mivel a szakértő kritikusok szerint az adatvédelmi pajzs a biztonságos kikötő sorsára juthat.

Kötelező szervezeti szabályozás (Binding Corporate Rules (BCR)) alkalmazása – A BCR tűnik most a leginkább biztos adatvédelmi megoldásnak. Ez a modell azonban csak a vállalatcsoporton belüli adattovábbításokra alkalmas, külső cégek esetén nem. A BCR a kötelező tagállami jóváhagyás miatt ugyanakkor költséges és időigényes megoldás.

Modell szerződés (Standard Contracual Clauses (SCC)) megkötése – A biztonságos kikötő bedőlése után sok nemzetközi cég (így a Facebook is) az EU Bizottság által előre kidolgozott SCC-re tért át, mivel ezt a szerződésformát viszonylag gyorsan lehetett alkalmazni. A SCC azonban nem minden üzleti modellre alkalmas, mivel a szerződést minden adattovábbító és fogadó félnek alá kell írnia. Ez különösen hátrányos a dinamikus, sokszereplős cégcsoportok esetében, ahol a tagok gyakran változnak.

Forrás: NASA

A Modell szerződés ellen szól továbbá, hogy Max Schrems ismét nehezményezte a Facebook adatkezelési gyakorlatát az ír adatvédelmi hatóság előtt. Ezúttal azt állítja, hogy a Facebook az SCC-re sem támaszkodhat, mert az amerikai hírszerzés itt is ugyanúgy tömegesen vizsgálja az európaiak személyes adatait. Az ügy valószínűleg az Európai Bíróság elé fog kerülni, így az SCC is a biztonságos kikötő sorsára juthat.

Hozzájárulás beszerzése – Az érintettek kifejezett hozzájárulásának beszerzése esetén elvileg nem kell további jogalap az USA-ba történő adattovábbításhoz. A hozzájárulás azonban csak akkor érvényes, ha az megfelelő előzetes tájékoztatáson alapul. A NAIH egyre szigorúbb gyakorlata tükrében ennek jelenleg kevés cég felel meg.

Összegzés

A magyar vállalatok nincsenek könnyű helyzetben, hiszen a jelenlegi ingatag transzatlanti környezetben komoly kihívást jelent a megbízható és tartós mechanizmusok megteremtése.
A cégeknek ezért javasolt adatvédelmi jogászok véleményét kikérni, akik az adatkezelések sajátosságai alapján segíthetnek a testre szabott megoldások kialakításában – hívta fel végül a figyelmet a VJT & Partners szakértője.