A 2020. július 16-án hozott ítéletében a Bíróság a döntését arra alapozta, hogy az USA nemzetbiztonsági szolgálatai hozzáférhetnek uniós polgároknak az Egyesült Államokban található szervereken tárolt személyes adataihoz nemzetbiztonsági célból. A Bíróság megállapította, hogy általánosságban véve az adatvédelmi pajzs szabályrendszere az érintettek alapvető jogaival szemben a nemzetbiztonság, a közérdek és a bűnüldözés érdekének elsőbbségére épít. Emellett az Egyesült Államok joga nem teljesíti a GDPR által elvárt arányosság elvét, mivel a jogszabályok által lehetővé tett megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Az uniós polgárokat védő GDPR garanciák tovább sérültek azáltal, hogy az Egyesült Államokban előírt ombudsmani jogorvoslati rendszer nem biztosítja az érintettek számára, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat. Az adatvédelmi pajzs érvénytelenítése nem okoz jogi vákuumot, mivel a GDPR 49. cikkében foglaltak megfelelően alkalmazhatók az adattovábbítás jogszerűségének biztosítására.

Nem változnak a szerződési feltételek

A Bíróság döntése szerint a Bizottság által az adatfeldolgozók vonatkozásában elfogadott általános szerződési feltételek bizonyos esetekben továbbra is alkalmazhatóak, mivel az Unióban biztosított védelem szintjével megegyező védelmet garantálnak. Az adatfeldolgozói szerződési feltételekkel szemben a külföldi adatkezelők részére történő adattovábbítások során használt általános szerződési feltételek érvényességéről a Bíróság a Schrems II ügyben nem döntött.

Hogyan tovább?

„Az ítéletet követően az adattovábbítók az Egyesült Államokba történő személyes adatok továbbításának jogszerűségéről több módon gondoskodhatnak. Ezek közül a kötelező erejű vállalati szabályokat, az általános szerződési feltételeket és a különleges helyzetekben biztosított eltéréseket várhatóan az eddigieknél szélesebb körben alkalmazzák majd” – hangsúlyozta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője.

Kötelező erejű vállalati szabályok (BCR): az adattovábbítók a tagállamok adatvédelmi hatóságainak jóváhagyásával cégcsoporton belül információtovábbítási mechanizmust alakíthatnak ki. Az eszköz előnye, hogy a folyamat megfelelőségét maguk az adatvédelmi hatóságok igazolják, hátránya ugyanakkor, hogy nem terjed ki a beszállítók vagy más, cégcsoporton kívüli szerződéses partnerek vonatkozásában megvalósuló adattovábbításra.

Általános szerződési feltételek: Az adattovábbítók a továbbítás igazolására a jövőben is hivatkozhatnak az általános szerződési feltételekre, ugyanakkor a Bíróság ítélete nyomán ezután fokozott felelősség terheli őket annak felmérésében, hogy az adott harmadik ország joga tiszteletben tartja-e az EU által garantált védelmi szintet. Ezen kötelezettség keretében az adattovábbítónak esetről esetre vizsgálnia kell egyrészt az adott harmadik ország jogrendszerének szabályait, mérlegelnie kell az adattovábbítással felmerülő kockázatokat, és az elszámoltathatóság elvével összhangban a levont következtetéseit szükség szerinti igazolnia is tudni kell. Az egyes adattovábbítások függvényében mindez tehát jelentős ráfordítást, valamint adminisztratív terhet róhat az adattovábbítókra. Az általános szerződési feltételek alapján történő adattovábbítás garanciáinak értékelésében fokozott szerep jut majd a tagállami adatvédelmi hatóságoknak, értékelésük függvényében ugyanakkor az is előfordulhat, hogy amíg egyik adatvédelmi hatóság az adott harmadik ország tekintetében megállapítja a védelem megfelelő szintjét, addig más tagállam adatvédelmi hatósága a megfelelőség hiányát is megállapíthatja. Ez az adatvédelmi szabályozás széttöredezésével fenyegethet, illetve cégcsoport szinten akár az adott országba történő adattovábbítás akadályát is jelentheti pusztán azért, mert az adattovábbító két különböző EU-s tagállamból kezdeményezi az adattovábbítást.

Különleges helyzetekben biztosított eltérések: Az adattovábbítók végső soron a GDPR 49. cikkében foglaltak alapján is továbbíthatnak személyes adatot azzal, hogy ezen eltérések kizárólag ideiglenes jelleggel alkalmazhatóak, és az elszámoltathatóság elve szerint az adatkezelőknek igazolniuk kell, hogy az adattovábbítás vonatkozásában nem áll rendelkezésre sem megfelelőségi határozat, sem más adattovábbítási mechanizmus.

A BREXIT-re is vonatkozik

Az adatvédelmi pajzsról szóló határozat érvénytelensége kihat az Egyesült Királyságból az Egyesült Államokba történő adattovábbításokra is, az ICO közleménye szerint az átmeneti időszakban, tehát 2020. december 31-ig a Bíróság döntései vonatkoznak az Egyesült Királyságra is, a GDPR szabályai pedig megfelelően alkalmazandók.

„A Bíróság döntésére tekintettel az adattovábbítóknak mindenekelőtt javasolt áttekinteni az Egyesült Államokba történő adattovábbításaik garanciáit, felülvizsgálni az adattovábbítások kockázatait, és a kockázatoknak megfelelő új eszközökről gondoskodni az adattovábbítás jogszerűségének biztosítása érdekében. Javasolt továbbá a tagállami adatvédelmi hatóságoknak és az Európai Adatvédelmi Testületnek a kialakult helyzettel kapcsolatos hivatalos közleményeinek, valamint az általános szerződési feltételek várható módosításainak a nyomon követése” – foglalta össze dr. Kádár Ágnes, a Baker McKenzie adatvédelmi szakértője.

A több síkon jelentkező bizonytalanság miatt már az újranyitás megfelelő időpontjának megtalálásához is elengedhetetlen a jó terv, amely egyrészt figyelembe veszi a már ismert tényezőket, másrészt kellően rugalmas szabályai lehetővé teszik a gyors alkalmazkodást a változó körülményekhez.

A tervezéshez szükség van a megfelelő információkra. Ilyenek lehetnek az irányadó jogszabályok, a hatóságok iránymutatásai, az egyes szektorok üzleti jellemzői, a földrajzi elhelyezkedésből adódó specialitások, az egység méretével összefüggő jellemzők, de a munkavállalók egészségi állapotára vonatkozó információk, és akár a dolgozók munkahajlandósága is.

Mindezen információk személyes adatokat is tartalmazhatnak, sőt akár a személyes adatok különleges kategóriáit is, például egészségügyi adatot. „A személyes adatok cél nélküli gyűjtését és tárolását még a bizonytalan körülmények sem indokolhatják, azaz érvényesülnie kell a célhoz kötöttség és adattakarékosság elvének – mondta dr. Vári Csaba, a Baker & McKenzie adatvédelmi csoportjának vezetője. – A beépített és alapértelmezett adatvédelem elve alapján a társaságoknak a személyes adatok biztonságára már a tervezés fázisában is gondolniuk kell. Olyan megoldást kell választani, ami megfelelően gondoskodik a személyes adatok kockázatokkal arányos védelméről.”

Az általános munkajogi szabályok érvényesítése és az egyenlő bánásmód biztosítása mellett alapvető a munkavállalók egészségének védelme, a biztonságos munkafeltételek biztosítása, a munkavédelmi szabályoknak való megfelelés. Mindehhez szükséges a megváltozott munkavégzési körülményekkel járó kockázatok újraértékelése, a folyamatok átgondolása. Az ehhez szükséges eszközök megválasztása során is gondoskodni kell az adatvédelmi szabályok érvényesítéséről.

A jelenleg hatályos jogszabályok szerint a veszélyhelyzet megszűnését követő harminc napig a munkáltató a munkavállaló egészségi állapotának ellenőrzése érdekében megteheti a szükséges és indokolt intézkedéseket. A jogszabályok ugyanakkor nem írják elő, hogy mely intézkedéseket lehet szükségesnek és indokoltnak tekinteni. Ezt mindenképpen a munkáltatónak kell eldöntenie, és döntését – az elszámoltathatóság alapelvét is szem előtt tartva – kellő mértékben alátámasztania.

Célszerű olyan eszközt választani, amely személyes adatok kezelésével nem jár, ilyenek az anonim információkon alapuló megoldások. Ha a cél személyes adatok kezelése nélkül nem érhető el, akkor a munkáltatónak a munkavállalók és látogatók magánszférájára nézve kevésbé kockázatos megoldást kell választaniuk. Az adatkezelés jogszerűsége érdekében kötelező megfelelő jogalapról gondoskodni. Fontos, hogy a munkavállaló hozzájárulása csak akkor megfelelő jogalap, ha a hozzájárulás megtagadásával a munkavállalót semmilyen hátrány nem éri.

Az adatvédelmi hatóság elvárja, hogy a vállalat a járvány alatti adatkezelés alapvető szabályait pandémiás cselekvési tervben rögzítse. A terv tartalmazhat szabályokat az egységek újranyitására vonatkozóan is, és összhangban kell lennie a munkáltató egyéb belső szabályozóival, ideértve az információbiztonságra vonatkozó szabályozókat is.

A megfelelő tervezést követően a munkáltatónak végre is kell hajtania a tervet, illetve gondoskodnia kell a benne foglaltak betartatásáról. „Az egészséget nem veszélyeztető, biztonságos munkafeltételek biztosítása érdekében szóba jöhetnek személyes adatok kezelésével nem járó megoldások, mint például a higiéniai előírások rögzítése, a munkaeszközök, irodák fokozott takarítása, fertőtlenítőszerek biztosítása, a szociális távolság megtartását elősegítő jelölések alkalmazása vagy üvegfal alkalmazása a recepción”- tette hozzá dr. Kádár Ágnes, a Baker & McKenzie adatvédelmi csoportjának ügyvédjelöltje. Indokoltak lehetnek a személyes adatok kezelésével járó megoldások is, például a munkavállalók egészségi állapotának kérdőíves mérései, lázmérés, COVID-19 tesztek végzése vagy mobil applikációs figyelmeztetési mechanizmusok. Az egészségi állapotra vonatkozó szűrővizsgálatokat a munkáltató maga nem jogosult elvégezni, azokat kizárólag egészségügyi szakember vagy annak szakmai felelősségvállalása mellett más személy – például nővér, humánszolgálat külön titoktartási kötelezettséget vállaló kijelölt munkatársa – végezheti. A munkáltató csak a vizsgálatok eredményét ismerheti meg.

Egyes megoldások a munkavállalók és látogatók magánszférájára nézve nagyobb kockázatot jelentenek – ilyen például az applikáció, amely rögzíti az érintkezéseket és figyelmeztető jelzést küld, ha a felhasználó fertőzött személyekkel került kapcsolatba. Ilyenkor a munkáltató köteles lehet adatvédelmi hatásvizsgálatot végezni, vagy ha a kockázatok ezt indokolják, akkor az adatvédelmi hatósággal előzetesen konzultálni.

Ha az adatkezelés jogalapja a munkáltató vagy harmadik fél jogos érdeke – például kérdőívek kitöltetése esetén –, a munkáltatónak úgynevezett érdekmérlegelési tesztet kell készítenie, amely igazolja, hogy ezek az érdekek elsőbbséget élveznek az érintett érdekeivel, alapvető jogaival és szabadságaival szemben. Ha a cégnél működik üzemi tanács, és a tervezett adatkezelés a munkavállalók nagyobb csoportját érinti, a döntés előtt legalább tizenöt nappal kötelező az üzemi tanács véleményét kikérni az intézkedés tervezetéről. Ezen kívül a cég a személyes adatok kezelésének szabályairól köteles a munkavállalókat és a látogatókat előzetesen, igazolhatóan tájékoztatni. Ha a munkáltató különleges személyes adatokat – például egészségügyi adatokat – is kezel, azok biztonságos őrzéséről különös körültekintéssel köteles gondoskodni.

A munkáltatóknak a koronavírus terjedésére és a jogszabályi környezet változásaira figyelemmel folyamatosan értékelniük kell valamennyi adatkezelésüket, és szükség szerint a pandémiás tervben foglaltakat a változó körülményekhez kell igazítaniuk. Az értékelés keretében azt kell megvizsgálniuk, hogy fennállnak-e még az adatkezelést indokolttá tévő körülmények, illetve nem merültek-e fel az érintettek magánszférájára nézve kevésbé kockázatos megoldások. Ha pedig a cél megvalósult, és a munkáltatónak már nincs szüksége a személyes adatokra (és jogszabály sem írja elő azok kötelező megőrzését), a személyes adatokat törölni vagy anonimizálni kell.