Az EU-USA adatvédelmi pajzs érvénytelenné nyilvánításának gyakorlati következményei

Az USA Kereskedelmi Minisztériuma az EU Bíróság döntése ellenére folytatja a Privacy Shield programot és tájékoztatta a résztvevő szervezeteket, hogy az Európai Unió Bíróságának döntése nem mentesíti őket az adatvédelmi pajzsban való részvételükből fakadó kötelezettségeik teljesítése alól – fejtette ki az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője.

A bírósági döntés közvetlen és közvetett hatásai

A döntés közel 3400, Privacy Shield listán szereplő amerikai szervezet és a részükre személyes adatot továbbító európai cég közötti adattovábbítást érint közvetlenül.

Az ítélet közvetett hatása azonban ennél tágabb lehet, hiszen nem csak az Egyesült Államokba való adattovábbítási gyakorlat újra definiálását jelentheti, hanem egyéb harmadik országokat is. Itt különösen Oroszországra, Indiára, Kínára és ameddig nincsen megfelelőségi határozat, addig az Egyesült Királyságra is kell gondolni.

A berlini adatvédelmi biztos egyenesen Európa digitális függetlenségét hangsúlyozta és a berlini adatvédelmi hatóság közleményben hívta fel a berlini adatkezelőket, hogy szüntessék meg az adatok Egyesült Államokban való tárolását és az oda történő továbbítását a jogi keretek megfelelő megváltoztatásáig.

A döntés előzménye, hogy többek között az Európai Adatvédelmi Testület tizenötödik plenáris ülésén, illetve korábban az Európai Parlament is jelezte aggályait az adatvédelmi pajzs által biztosított védelem szintjével kapcsolatban.

Schrems I. és II. ügy - Az Egyesült Államok nem biztosít megfelelő védelmi szintet az európai mérce szerint

Az ítélet közvetlen előtörténetéhez tartozik, hogy Maximillian Schrems a Facebook Ireland Inc. részére történő adattovábbításával kapcsolatos panasza révén 2015. október 6. napján az Európai Unió Bírósága a Schrems I. eljárásban érvénytelenné nyilvánította a transzatlanti adattovábbítást az adatvédelmi pajzs előtt biztosító, 2000/520 számú, az Európai Bizottság által hozott "Safe Harbour" határozatot.

Az ítélet kimondta, hogy az Egyesült Államok joga és gyakorlatai nem biztosítanak elégséges védelmet azzal szemben, hogy az ezen országba továbbított adatokhoz a hatóságok hozzáférjenek – ismertette dr. Karácsony Bálint.

Az osztrák állampolgár M. Schrems ezt követően újrafogalmazott panaszában továbbra is kérte, hogy a jövőre nézve függesszék fel vagy tiltsák meg a személyes adatainak az Unióból az Egyesült Államokba történő továbbítását.

A Schrems II. ügyben a Bíróság az adatvédelmi pajzs GDPR-nak és az Alapjogi Charta magán- és családi élet tiszteletben tartására, a személyes adatok védelmére és a hatékony bírói jogvédelemre vonatkozó rendelkezéseinek való megfelelését értékelte. Kimondta, hogy az adatvédelmi pajzs a nemzetbiztonság, a közérdek és a bűnüldözés követelményeinek elsőbbségét fejezi ki, lehetővé téve a beavatkozást azon személyek alapvető jogaiba, akiknek az adatait az Unióból az Egyesült Államokba továbbítják.

A Bíróság álláspontja szerint a személyes adatok védelmének az Egyesült Államok azon belső szabályozásából eredő korlátozásai nem felelnek meg az Uniós jogban kiforrott arányosság elvének, ha a szabályozáson alapuló megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak.

A Bíróság szerint az adatvédelmi pajzs határozatban az egyes megfigyelési programok végrehajtására vonatkozó felhatalmazás nem került korlátozásra és a nem amerikai személyek számára szóló garanciák nem biztosítottak. A Bíróság hiányolja továbbá az érintett uniós polgárok számára az amerikai hatóságokkal szemben a bíróságok előtt érvényesíthető jogokat.

A döntés gyakorlati jelentősége

Az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője aláhúzta: a döntés gyakorlati jelentősége, hogy az Egyesült Államokbeli szervezetek részére adatot továbbító uniós adatkezelők az adatvédelmi pajzs érvénytelenné nyilvánításával egyéb, megfelelő adatvédelmi szintet biztosító adattovábbítási garanciát kötelesek alkalmazni adattovábbításuk során. Ugyanis a GDPR alapján személyes adatot harmadik országba, illetve nemzetközi szervezet részére csak akkor lehet továbbítani, ha a személyes adatok védelme az adattovábbítást követően is megfelelő, az Európai Unión belüli védelemmel megegyező szinten biztosított.

Ilyennek minősül többek között a harmadik országbeli adatfeldolgozók részére történő továbbításra vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat, melyet a Schrems II. ügyben a Bíróság érvényesnek nyilvánított a továbbiakban is (az adattovábbítási ÁSZF-eket a GDPR 46. cikk (2) c) pontja általános adatvédelmi kikötéseknek nevezi).

Kiemelendő, hogy a Schrems II. ügyben hozott ítélet nem vonatkozik az Egyesül Államokbeli adatkezelők részére történő adattovábbításra, csak adatfeldolgozókra. Azonban várható, hogy az adatkezelőknek való adattovábbításra is alkalmazandók az újonnan értelmezett szabályok, különösen, ha az EU Bíróság az ilyen adattovábbításra vonatkozó ÁSZF határozatot is érvényteleníti. Ez még nagyobb terhet ró az adatkezelőkre, ugyanis az érintettek számára biztosított védelmi szint két adatkezelő viszonylatában általánosságban alacsonyabb, mint adatkezelő és adatfeldolgozó tekintetében.

A Bíróság értelmezése világossá tette, hogy a gyakorlatban az általános adatvédelmi kikötésen alapuló adattovábbítás többlet felelősséget és kötelezettséget jelent az adatkezelő és az adattovábbítás címzettje számára. Ugyanis az általános adatvédelmi kikötés alkalmazása az adattovábbítás szereplőinek előzetes aktív magatartását követeli meg a védelmi szint megfelelőségére vonatkozó ellenőrzés. A címzett köteles tájékoztatni az adatátadót arról, ha nem képes eleget tenni az általános adatvédelmi kikötéseknek, az adatátadó pedig köteles felfüggeszteni az adattovábbítást és/vagy az előbbivel kötött szerződéstől elállni.

Az Európai Adatvédelmi Testület Schrems II. ügy elemzése kapcsán tartott plenáris ülésén előadta, hogy elsősorban az adatátadó, de ha szükséges, akkor a címzett köteles az általános adatvédelmi kikötések tartalmát, az adattovábbítás egyedi körülményeit és a címzett nemzeti jogi szabályozását ellenőrizni és vizsgálni. Utóbbi a GDPR 45. cikk (2) bekezdésében rögzített, nem kimerítő jellegű, a jogállamiság, az emberi jogok és alapvető szabadságok tiszteletben tartását is magában foglaló felsorolás alapulvételét teszi szükségessé a védelmi szint megfelelőségének mérlegelése során.

Ha a vizsgálat szerint a címzett országa nem biztosít megfelelő védelmi szintet, az adatátadó köteles további kikötéseket hozzáadni az általános adatvédelmi kikötésekhez. Az adatvédelmi kikötésekhez adandó rendelkezések tekintetében az Európai Adatvédelmi Testület és az adatvédelmi hatóságok ajánlása várható a jövőben.

A gyakorlati nehézségeket jelzi, hogy az ír adatvédelmi hatóság az általános adatvédelmi kikötéseken alapuló, Egyesült Államokba történő adattovábbítást megkérdőjelezhetőnek minősítette. Továbbá maga a Schrems II. ügyben hozott ítélet is hangsúlyozza az egyéb adattovábbítási mechanizmusok alkalmazását. Ilyennek tekinthetők a GDPR 49. cikkében meghatározott különös helyzetekben biztosított eltérések, melynek alkalmazása során az Európai Adatvédelmi Testület 2018/2. számú iránymutatása követendő.

Érdemes Magyarországon is szakértőkhöz fordulni

A magyar adatvédelmi hatóság még nem hozott a berlini adatvédelmi hatósághoz hasonló döntést és nem tiltották meg vagy függesztették fel az Egyesült Államokba történő adattovábbítást.

Mit szükséges tennie az adatkezelőknek? Kötelesek az adatkezelési tájékoztatókat, az adatkezelési tevékenységek nyilvántartását, illetve az adatvédelmi hatásvizsgálatokat módosítani és megfelelő garanciát találni az USA-ba történő adattovábbításra. A cégeknek a mindennapi rutinná vált tevékenységek során ügyelniük kell az Egyesült Államokba történő megváltozott adattovábbítási szabályokra, megvizsgálva, hogy az adott szolgáltató (például: Zoom, Facebook) milyen védelmi szintet biztosít. Ennek során figyelemmel kell lenniük a megalkotásra váró hatósági útmutatásokra.

Amennyiben szükséges, úgy a cégek kötelesek a 2010/87 bizottsági határozatban szereplő általános szerződési feltételeknek megfelelő adatvédelmi kikötéseket tartalmazó szerződéseket kötni az amerikai szolgáltatókkal.

A vizsgálatot a címzettel együttműködve kötelesek lefolytatni az adatátadók. Ennek megfelelően, az előírásoknak való megfelelést segítve sok nagy amerikai cég, például a felhőalapú szolgáltatást nyújtó Microsoft Cloud, vagy a hírlevél küldéséhez használt Mailchimp sajtóközleményt adott ki arra vonatkozóan, hogy ők eddig is kettős garanciát biztosítva alkalmazták az általános adatvédelmi kikötéseket az érvénytelenített adatvédelmi pajzs mellett.

A szabályoknak való megfelelésben történő segítségnyújtás során érdemes szakértőkhöz fordulni – tanácsolta végezetül az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője.