Rés a pajzson (1. rész) – ha adatkezelő és harmadik országba továbbít adatot

Luxembourg, 2017. május 10. Az Európai Unió Bíróságának, a Curiának a bejárata Luxembourgban 2017. május 10-én, amikor megkezdődik a tárgyalás a menedékkérők elosztását célzó uniós mechanizmus ellen benyújtott magyar és szlovák kereset ügyében. (MTI/EPA/Julien Warnand)
Vágólapra másolva!
Az Európai Bíróság még a nyár folyamán meghozott ítéletében (Schrems II.) a felülvizsgált EU-USA adatvédelmi pajzs határozatot (2016/1250) érvénytelennek nyilvánította, és kiemelte, hogy amennyiben általános adatvédelmi kikötések alapján kerül sor harmadik országba történő adattovábbításra, abban az esetben olyan védelmi szinttel kell rendelkezni, amely lényegében azonos az Európai Unióban biztosított védelmi szinttel. A Kovács Réti Szegheő Ügyvédi Iroda szakértői háromrészes írásának első részét olvashatják.
Vágólapra másolva!

Legyen szó akár harmadik országban lévő anya- vagy leányvállalatról, üzleti partnerről, szolgáltatóról (például: Mailchimp), ha adatkezelőként adatot továbbítunk számukra, akkor komoly adatvédelmi bírságot kockáztatunk, ha nem tudjuk igazolni a megfelelő adatvédelmi garanciákat. Már Magyarországon is láttunk példát ilyen meg nem felelőségből eredő adatvédelmi bírság kiszabására.

Az ítélet kapcsán az adatkezelők részéről azóta is számtalan kérdés merült fel a harmadik országokba való jogszerű adattovábbításokkal kapcsolatban, amelyre tekintettel az Európai Adatvédelmi Testület véleményezésre közzétett egy ajánlást (1/2020. számú ajánlás), amely részletezi azokat a kiegészítő garanciákat (technikai és jogi megoldások), amelyek az EU által előírt védelmi szintnek való megfelelés biztosításával lehetővé teszik az adatok harmadik országokba való továbbítását.

A legnagyobb bizonytalanságot azonban az EU-USA adatvédelmi pajzs ítéletének azon indokolása okozta, amely gyakorlatilag kimondta, hogy az USA jogi szabályozása nem felel meg az EU által megkövetelt védelmi szintnek, így semmilyen, felek közötti szerződési rendelkezés sem tud megfelelő védelmi szintet nyújtani, hiszen azok nem kötik a hatóságokat.

Tekintettel arra, hogy a jelenlegi szabályozás minden esetben az adatkezelő felelősségét hangsúlyozza a harmadik országokba való adattovábbítások esetében is, az ajánlás egy többlépcsős rendszert épített fel az EU védelmi szintjének biztosítása érdekében.

Több esetben találkozunk azzal a téves vélekedéssel, hogy a Schrems II. ítélet okán nem lehet jogszerűen adatot továbbítani harmadik országba, a megfelelő védelmi szint biztosítása mellett azonban erre továbbra is van lehetőség.

Első körben mindig szükséges a továbbított adatok körét, a továbbítás módját és helyszínét azonosítani, amely az adatkezelési tájékoztatónak, illetve szabályzatnak is kötelező eleme. A Bizottság által korábban biztonságosnak ítélt harmadik országokba való adattovábbítás további intézkedés nélkül a jövőben is jogszerű lesz.

E tekintetben a https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

weboldalon elérhető az adatkezelési szempontból a Bizottság által jóváhagyott országok listája.

A harmadik ország jogszabályi környezetének vizsgálata során elsősorban azon jogszabályokat szükséges vizsgálni, amelyek előírják a hatóságok részére való kötelező adattovábbítást.

Így különösen a bűnüldözésre és a nemzetbiztonsági intézkedésekre vonatkozó szabályozást, valamint az ezzel kapcsolatban kialakult gyakorlatot, így például annak lehetőségét, esélyét is javasolt vizsgálni, hogy a harmadik ország hatósága megkísérli megszerezni az adatot akár az adatkezelő tudta nélkül is.

Forrás: MTI/EPA/Julien Warnand

A harmadik ország biztonságának megítélése során érdemes vizsgálni továbbá részletesen szabályozott adatvédelmi törvény és független adatvédelmi hatóság létét, továbbá a nemzetközi adatvédelmi intézkedésekkel való összhang megteremtésére való törekvés mértékét is.

E körben a javaslat különösen a független nemzetközi szervek döntéseit tartja irányadónak, így példaként az Európai Unió Bíróságának és az Emberi Jogok Európai Bíróságának döntéseit, vagy a civil szervezetek jelentéseit emeli ki.

Amennyiben azonban az adott ország jogszabályi környezetének vizsgálatával az adatkezelő arra a következtésre jut, hogy az nem felel meg az EU által megkövetelt minimális védelmi szintnek – példának az ajánlás kiemelte az amerikai FISA jogszabályt, amelynek bizonyos rendelkezései nem felelnek meg az EU által megkövetelt arányosság követelményének-, ilyen esetekben a kiegészítő garanciák (supplementary measures) alkalmazása válik szükségessé.

Fontos kiemelni, hogy a kiegészítő garanciák kiválasztása és alkalmazása során az adatkezelőnek mindig mérlegelni kell a harmadik országba továbbított adat formátumát, természetét, és az adathoz kapcsolódó adatfeldolgozók körét és a közöttük fennálló kapcsolatrendszert.

(A Kovács Réti Szegheő Ügyvédi Iroda szakértői háromrészes írásuk második részében a kiegészítő garanciákkal és lehetséges szerződéses kikötésekkel foglalkoznak részletesen – a szerk.)