Az Európai Unió Bírósága érvénytelennek nyilvánította az Európai Unió és az Egyesült Államok közötti adatvédelmi pajzs megfelelőségéről szóló bizottsági határozatot 2020. július 22.

Adatvédelem

A személyes adatoknak az Európai Gazdasági Térségen kívüli továbbítására, így a digitális gazdaság minden szereplőjére nézve kiemelkedő jelentőségű döntést hozott az Európai Unió Bírósága (EUB) a július 16-án hozott ítéletében, mivel a döntés jelentős korlátok közé szorítja azon adatkezelők és adatfeldolgozók tevékenységét, amelyek az adatkezelésük során az Egyesült Államokba továbbítják az európai adatalanyok személyes adatait.

Az általános adatvédelmi rendelet (GDPR) általános jelleggel tiltja a személyes adatok Európai Gazdasági Térségen kívüli államok területére történő továbbítását, amennyiben ezen államok nem biztosítják az Európai Unió Alapjogi Chartája 7. és 8. cikkében garantált alapjogok teljesülése érdekében a személyes adatok általános adatvédelmi rendelet által megkövetelt szintű védelmét. Az általános adatvédelmi rendelet által támasztott védelmi szint megfelelőségének megállapítására mindazonáltal sor kerülhet, ha az Európai Bizottság ún. megfelelőségi határozatában dönt arról, hogy az adott harmadik ország jogrendszere az általános adatvédelmi rendelet által biztosított védelmi szinttel egyenértékű védelmet biztosít. Ilyen volt az EU és az Egyesült Államok közötti adattovábbítás vonatkozásában a 2000/520 EK határozattal elfogadott biztonságos kikötő (Safe Harbour), majd ezen határozatnak az EUB C-362/14. számú ítéletével való érvénytelenítését követően, az annak helyébe lépő adatvédelmi pajzs (Privacy Shield) által biztosított védelem megfelelőségéről szóló 2016/1250 határozat. Az adatvédelmi pajzs keretében az amerikai vállalkozások egy tanúsítási és regisztrációs folyamat útján képesek voltak igazolni az általuk biztosított megfelelő védelmi szintet. Az EUB a C-311/18. számú ítéletében azonban megállapította, hogy az adatvédelmi pajzs, mint leggyakrabban alkalmazott adattovábbítási módszer az elődjéhez hasonlóan, lényegében ugyanazon okok miatt nem nyújtja az általános adatvédelmi rendelet által megkövetelt megfelelő védelmet az európai adatalanyok személyes adatainak.

Az EUB ítéletében azzal érvelt, hogy az Egyesült Államok jogrendszere az Unióból továbbított személyes adatok kezelése vonatkozásában nem felel meg az általános adatvédelmi rendelet által támasztott arányosság és szükségesség elvének, mivel továbbra is a nemzetbiztonsági megfontolások élveznek elsőbbséget az adatalanyok jogaival és szabadságaival szemben. Ez a gyakorlatban annyit tesz, hogy a titkosszolgálati megfigyelések nem az általános adatvédelmi rendelet szerinti feltétlenül szükséges mértékre korlátozódnak. További fontos szempontja az EUB érvénytelenítő ítéletének, hogy az általános adatvédelmi rendelet által biztosított védelem a személyes adatok adatvédelmi pajzs alapján történő továbbítása során azáltal is nagymértékben sérül, hogy az Egyesült Államok jogorvoslati rendszere nem biztosítja az érintettek számára, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat, ezáltal nem biztosít az érintetek számára jogorvoslati lehetőséget olyan szerv előtt, amely az általános adatvédelmi rendelet által megkövetelt garanciákkal lényegében azonos biztosítékokat nyújtana.

Az ítélet jelentős ráfordítást és adminisztratív terhet ró az Egyesült Államokba adatot továbbító adatkezelőkre és adatfeldolgozókra, hiszen át kell tekinteniük az adattovábbítási folyamataikat, felül kell vizsgálniuk azok kockázatait, és az eddig adatvédelmi pajzsot alkalmazóknak új adattovábbítási megoldásokat, eszközöket kell kidolgozniuk.

Kérdés azonban, hogy milyen egyéb lehetőségek állnak rendelkezésre az adattovábbítást eddig az adatvédelmi pajzs alapján végző adatkezelők számára?

Az Európai Bizottság általános szerződési feltételek [az általános adatvédelmi rendelet 46. cikk (2) bekezdés c) pontja szerint: általános adatvédelmi kikötések] megfelelőségét megállapító 2001/497/EK sz.határozata továbbra is érvényes, így az adatkezelők általános szerződési feltételek alkalmazása esetén továbbra is továbbíthatnak adatot harmadik országokba, elvileg az Egyesült Államokba is.

Az EUB ítélete azonban az általános szerződési feltételek alapján személyes adatokat továbbító, vagy továbbítani kívánó adatkezelőkre nézve is kedvezőtlen változásokat hoz.

Az Egyesült Államokba személyes adatot továbbító adatkezelők és adatfeldolgozók számára ugyanis az általános szerződési feltételek megkötése már nem lesz elegendő a jogszerű adatkezelés biztosítása érdekében, hanem azon túlmenően átfogó vizsgálatot, és azon belül megfelelő kockázatértértékelést kell lefolytatniuk annak megállapításához, hogy az Egyesült Államokban a személyes adatok védelmére vonatkozó garanciák valóban érvényesülni tudnak-e. Amennyiben ezen garanciák ténylegesen nem tudnak érvényesülni, úgy az adattovábbítás nem lesz jogszerű az általános szerződési feltételek megkötése ellenére sem. A fentiek fényében, mivel az Egyesült Államokban a személyes adatok védelmére vonatkozó garanciák az EUB döntése értelmében érvényesülni nem tudnak, ezért az Egyesült Államokba történő adattovábbítás az általános szerződési feltételek kikötése ellenére is nagy valószínűséggel jogszerűtlen adatkezelést eredményez, ami adott esetben az adattovábbítás tagállami adatvédelmi hatóság általi megtiltását és egyéb következményeket vonna maga után. Mindezek alapján jelentősen leszűkült és nehézkessé vált az Egyesült Államokba történő adattovábbítás.

E témakörben javasoljuk az érintett adatkezelők és adatfeldolgozók számára, hogy kísérjék figyelemmel az Európai Adatvédelmi Testület munkásságát, ugyanis a döntés hatására vélhetően új iránymutatás kibocsátása kerül sor az általános szerződési feltételek jogszerű alkalmazásának elősegítése érdekében.

Mit jelent mindez az adatkezelők és adatfeldolgozók számára a gyakorlatban? Van-e lehetőség az Egyesült Államokba irányuló adattovábbításra?

A Bizottság által elfogadott megfelelőségi határozat, illetve általános szerződési feltételek útján biztosított megfelelő garanciák nélkül is sor kerülhet az Egyesült Államokba történő adattovábbításra az általános adatvédelmi rendelet 49. cikkében foglalt kivételes esetekben. Ilyen eset többek között például, ha az érintett kifejezett hozzájárulását adja a személyes adatai tervezett továbbításához azt követően, hogy tájékoztatást kapott az adatkezelés lehetséges kockázatairól, vagy ha az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez szükséges.

Megoldást jelenthet az eddigi, az Egyesült Államokba történő adattovábbítással megvalósított adatkezelés helyett az egyes adatkezelési tevékenységek Európai Unióba történő áthelyezése is. Különösen akkor indokolt ez a megoldás, ha olyan tömeges adatkezelésről van szó, amely esetében a fent említett, jelenleg is rendelkezésre álló megoldások alkalmazása nehézkes vagy lehetetlen, különösen akkor, ha egyébként sem feltétlenül szükséges az Egyesült Államokban történő adatkezelés.


GDPR

Vissza a hírekhez

Hasonló híreink

A MiFID teszttel kapcsolatos adatkezelés követelményei a NAIH gyakorlata alapján

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) hivatalból adatvédelmi hatósági eljárást...

Részletek

A munkavállalók ellenőrzésével kapcsolatos jogszabályi követelmények - avagy a Barbulescu teszt a gyakorlatban

Az Általános Adatvédelmi Rendelet (GDPR) hatálybalépését követően a figyelem középpontjába került a munkavállalók személyes...

Részletek

Bankot bírságolt a NAIH a GDPR megsértése miatt

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) honlapján elérhető az a határozat, amelyben...

Részletek

Megjelent az első GDPR bírság jogellenes adatkezelés miatt

A személyes adatok kezelésére vonatkozó EU rendelet, vagyis az Európai Parlament és Tanács (EU) 2016/679 rendelete (a...

Részletek