Az Európai Unió Bírósága érvénytelennek nyilvánította az EU-USA adatvédelmi pajzsot (Privacy Shield), mivel nem biztosít megfelelő szintű védelmet az Egyesült Államokba történő adattovábbításoknál – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda. A Schrems II ügyben a Bíróság arról is döntött, hogy az adatkezelők továbbra is továbbíthatnak adatot harmadik országokba az Európai Bizottság által jóváhagyott általános szerződési feltételek keretében. Az érintett adatkezelőknek át kell tekinteni az Egyesült Államokba továbbított adatok folyamatának garanciáit és felülvizsgálni azok kockázatait a jogszerűség biztosítása érdekében.
A 2020. július 16-án hozott ítéletében a Bíróság a döntését arra alapozta, hogy az USA nemzetbiztonsági szolgálatai hozzáférhetnek uniós polgároknak az Egyesült Államokban található szervereken tárolt személyes adataihoz nemzetbiztonsági célból. A Bíróság megállapította, hogy általánosságban véve az adatvédelmi pajzs szabályrendszere az érintettek alapvető jogaival szemben a nemzetbiztonság, a közérdek és a bűnüldözés érdekének elsőbbségére épít. Emellett az Egyesült Államok joga nem teljesíti a GDPR által elvárt arányosság elvét, mivel a jogszabályok által lehetővé tett megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Az uniós polgárokat védő GDPR garanciák tovább sérültek azáltal, hogy az Egyesült Államokban előírt ombudsmani jogorvoslati rendszer nem biztosítja az érintettek számára, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat. Az adatvédelmi pajzs érvénytelenítése nem okoz jogi vákuumot, mivel a GDPR 49. cikkében foglaltak megfelelően alkalmazhatók az adattovábbítás jogszerűségének biztosítására.
Nem változnak a szerződési feltételek
A Bíróság döntése szerint a Bizottság által az adatfeldolgozók vonatkozásában elfogadott általános szerződési feltételek bizonyos esetekben továbbra is alkalmazhatóak, mivel az Unióban biztosított védelem szintjével megegyező védelmet garantálnak. Az adatfeldolgozói szerződési feltételekkel szemben a külföldi adatkezelők részére történő adattovábbítások során használt általános szerződési feltételek érvényességéről a Bíróság a Schrems II ügyben nem döntött.
Hogyan tovább?
„Az ítéletet követően az adattovábbítók az Egyesült Államokba történő személyes adatok továbbításának jogszerűségéről több módon gondoskodhatnak. Ezek közül a kötelező erejű vállalati szabályokat, az általános szerződési feltételeket és a különleges helyzetekben biztosított eltéréseket várhatóan az eddigieknél szélesebb körben alkalmazzák majd” – hangsúlyozta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője.
Kötelező erejű vállalati szabályok (BCR): az adattovábbítók a tagállamok adatvédelmi hatóságainak jóváhagyásával cégcsoporton belül információtovábbítási mechanizmust alakíthatnak ki. Az eszköz előnye, hogy a folyamat megfelelőségét maguk az adatvédelmi hatóságok igazolják, hátránya ugyanakkor, hogy nem terjed ki a beszállítók vagy más, cégcsoporton kívüli szerződéses partnerek vonatkozásában megvalósuló adattovábbításra.
Általános szerződési feltételek: Az adattovábbítók a továbbítás igazolására a jövőben is hivatkozhatnak az általános szerződési feltételekre, ugyanakkor a Bíróság ítélete nyomán ezután fokozott felelősség terheli őket annak felmérésében, hogy az adott harmadik ország joga tiszteletben tartja-e az EU által garantált védelmi szintet. Ezen kötelezettség keretében az adattovábbítónak esetről esetre vizsgálnia kell egyrészt az adott harmadik ország jogrendszerének szabályait, mérlegelnie kell az adattovábbítással felmerülő kockázatokat, és az elszámoltathatóság elvével összhangban a levont következtetéseit szükség szerinti igazolnia is tudni kell. Az egyes adattovábbítások függvényében mindez tehát jelentős ráfordítást, valamint adminisztratív terhet róhat az adattovábbítókra. Az általános szerződési feltételek alapján történő adattovábbítás garanciáinak értékelésében fokozott szerep jut majd a tagállami adatvédelmi hatóságoknak, értékelésük függvényében ugyanakkor az is előfordulhat, hogy amíg egyik adatvédelmi hatóság az adott harmadik ország tekintetében megállapítja a védelem megfelelő szintjét, addig más tagállam adatvédelmi hatósága a megfelelőség hiányát is megállapíthatja. Ez az adatvédelmi szabályozás széttöredezésével fenyegethet, illetve cégcsoport szinten akár az adott országba történő adattovábbítás akadályát is jelentheti pusztán azért, mert az adattovábbító két különböző EU-s tagállamból kezdeményezi az adattovábbítást.
Különleges helyzetekben biztosított eltérések: Az adattovábbítók végső soron a GDPR 49. cikkében foglaltak alapján is továbbíthatnak személyes adatot azzal, hogy ezen eltérések kizárólag ideiglenes jelleggel alkalmazhatóak, és az elszámoltathatóság elve szerint az adatkezelőknek igazolniuk kell, hogy az adattovábbítás vonatkozásában nem áll rendelkezésre sem megfelelőségi határozat, sem más adattovábbítási mechanizmus.
A BREXIT-re is vonatkozik
Az adatvédelmi pajzsról szóló határozat érvénytelensége kihat az Egyesült Királyságból az Egyesült Államokba történő adattovábbításokra is, az ICO közleménye szerint az átmeneti időszakban, tehát 2020. december 31-ig a Bíróság döntései vonatkoznak az Egyesült Királyságra is, a GDPR szabályai pedig megfelelően alkalmazandók.
„A Bíróság döntésére tekintettel az adattovábbítóknak mindenekelőtt javasolt áttekinteni az Egyesült Államokba történő adattovábbításaik garanciáit, felülvizsgálni az adattovábbítások kockázatait, és a kockázatoknak megfelelő új eszközökről gondoskodni az adattovábbítás jogszerűségének biztosítása érdekében. Javasolt továbbá a tagállami adatvédelmi hatóságoknak és az Európai Adatvédelmi Testületnek a kialakult helyzettel kapcsolatos hivatalos közleményeinek, valamint az általános szerződési feltételek várható módosításainak a nyomon követése” – foglalta össze dr. Kádár Ágnes, a Baker McKenzie adatvédelmi szakértője.