Adatvédelem • GDPR • 2020. július 22.
A személyes adatoknak az Európai Gazdasági Térségen kívüli továbbítására, így a digitális gazdaság minden szereplőjére nézve kiemelkedő jelentőségű döntést hozott az Európai Unió Bírósága (EUB) a július 16-án hozott ítéletében, mivel a döntés jelentős korlátok közé szorítja azon adatkezelők és adatfeldolgozók tevékenységét, amelyek az adatkezelésük során az Egyesült Államokba továbbítják az európai adatalanyok személyes adatait.
Az általános adatvédelmi rendelet (GDPR) általános jelleggel tiltja a személyes adatok Európai Gazdasági Térségen kívüli államok területére történő továbbítását, amennyiben ezen államok nem biztosítják az Európai Unió Alapjogi Chartája 7. és 8. cikkében garantált alapjogok teljesülése érdekében a személyes adatok általános adatvédelmi rendelet által megkövetelt szintű védelmét. Az általános adatvédelmi rendelet által támasztott védelmi szint megfelelőségének megállapítására mindazonáltal sor kerülhet, ha az Európai Bizottság ún. megfelelőségi határozatában dönt arról, hogy az adott harmadik ország jogrendszere az általános adatvédelmi rendelet által biztosított védelmi szinttel egyenértékű védelmet biztosít. Ilyen volt az EU és az Egyesült Államok közötti adattovábbítás vonatkozásában a 2000/520 EK határozattal elfogadott biztonságos kikötő (Safe Harbour), majd ezen határozatnak az EUB C-362/14. számú ítéletével való érvénytelenítését követően, az annak helyébe lépő adatvédelmi pajzs (Privacy Shield) által biztosított védelem megfelelőségéről szóló 2016/1250 határozat. Az adatvédelmi pajzs keretében az amerikai vállalkozások egy tanúsítási és regisztrációs folyamat útján képesek voltak igazolni az általuk biztosított megfelelő védelmi szintet. Az EUB a C-311/18. számú ítéletében azonban megállapította, hogy az adatvédelmi pajzs, mint leggyakrabban alkalmazott adattovábbítási módszer az elődjéhez hasonlóan, lényegében ugyanazon okok miatt nem nyújtja az általános adatvédelmi rendelet által megkövetelt megfelelő védelmet az európai adatalanyok személyes adatainak.
Az EUB ítéletében azzal érvelt, hogy az Egyesült Államok jogrendszere az Unióból továbbított személyes adatok kezelése vonatkozásában nem felel meg az általános adatvédelmi rendelet által támasztott arányosság és szükségesség elvének, mivel továbbra is a nemzetbiztonsági megfontolások élveznek elsőbbséget az adatalanyok jogaival és szabadságaival szemben. Ez a gyakorlatban annyit tesz, hogy a titkosszolgálati megfigyelések nem az általános adatvédelmi rendelet szerinti feltétlenül szükséges mértékre korlátozódnak. További fontos szempontja az EUB érvénytelenítő ítéletének, hogy az általános adatvédelmi rendelet által biztosított védelem a személyes adatok adatvédelmi pajzs alapján történő továbbítása során azáltal is nagymértékben sérül, hogy az Egyesült Államok jogorvoslati rendszere nem biztosítja az érintettek számára, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat, ezáltal nem biztosít az érintetek számára jogorvoslati lehetőséget olyan szerv előtt, amely az általános adatvédelmi rendelet által megkövetelt garanciákkal lényegében azonos biztosítékokat nyújtana.
Az ítélet jelentős ráfordítást és adminisztratív terhet ró az Egyesült Államokba adatot továbbító adatkezelőkre és adatfeldolgozókra, hiszen át kell tekinteniük az adattovábbítási folyamataikat, felül kell vizsgálniuk azok kockázatait, és az eddig adatvédelmi pajzsot alkalmazóknak új adattovábbítási megoldásokat, eszközöket kell kidolgozniuk.
Kérdés azonban, hogy milyen egyéb lehetőségek állnak rendelkezésre az adattovábbítást eddig az adatvédelmi pajzs alapján végző adatkezelők számára?
Az Európai Bizottság általános szerződési feltételek [az általános adatvédelmi rendelet 46. cikk (2) bekezdés c) pontja szerint: általános adatvédelmi kikötések] megfelelőségét megállapító 2001/497/EK sz.határozata továbbra is érvényes, így az adatkezelők általános szerződési feltételek alkalmazása esetén továbbra is továbbíthatnak adatot harmadik országokba, elvileg az Egyesült Államokba is.
Az EUB ítélete azonban az általános szerződési feltételek alapján személyes adatokat továbbító, vagy továbbítani kívánó adatkezelőkre nézve is kedvezőtlen változásokat hoz.
Az Egyesült Államokba személyes adatot továbbító adatkezelők és adatfeldolgozók számára ugyanis az általános szerződési feltételek megkötése már nem lesz elegendő a jogszerű adatkezelés biztosítása érdekében, hanem azon túlmenően átfogó vizsgálatot, és azon belül megfelelő kockázatértértékelést kell lefolytatniuk annak megállapításához, hogy az Egyesült Államokban a személyes adatok védelmére vonatkozó garanciák valóban érvényesülni tudnak-e. Amennyiben ezen garanciák ténylegesen nem tudnak érvényesülni, úgy az adattovábbítás nem lesz jogszerű az általános szerződési feltételek megkötése ellenére sem. A fentiek fényében, mivel az Egyesült Államokban a személyes adatok védelmére vonatkozó garanciák az EUB döntése értelmében érvényesülni nem tudnak, ezért az Egyesült Államokba történő adattovábbítás az általános szerződési feltételek kikötése ellenére is nagy valószínűséggel jogszerűtlen adatkezelést eredményez, ami adott esetben az adattovábbítás tagállami adatvédelmi hatóság általi megtiltását és egyéb következményeket vonna maga után. Mindezek alapján jelentősen leszűkült és nehézkessé vált az Egyesült Államokba történő adattovábbítás.
E témakörben javasoljuk az érintett adatkezelők és adatfeldolgozók számára, hogy kísérjék figyelemmel az Európai Adatvédelmi Testület munkásságát, ugyanis a döntés hatására vélhetően új iránymutatás kibocsátása kerül sor az általános szerződési feltételek jogszerű alkalmazásának elősegítése érdekében.
Mit jelent mindez az adatkezelők és adatfeldolgozók számára a gyakorlatban? Van-e lehetőség az Egyesült Államokba irányuló adattovábbításra?
A Bizottság által elfogadott megfelelőségi határozat, illetve általános szerződési feltételek útján biztosított megfelelő garanciák nélkül is sor kerülhet az Egyesült Államokba történő adattovábbításra az általános adatvédelmi rendelet 49. cikkében foglalt kivételes esetekben. Ilyen eset többek között például, ha az érintett kifejezett hozzájárulását adja a személyes adatai tervezett továbbításához azt követően, hogy tájékoztatást kapott az adatkezelés lehetséges kockázatairól, vagy ha az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez szükséges.
Vissza a hírekhez
A NAIH 250 millió forintra büntetett egy bankot mesterséges intelligenciával megvalósított jogszerűtlen adatkezelés miatt
A MiFID teszttel kapcsolatos adatkezelés követelményei a NAIH gyakorlata alapján
A munkavállalók ellenőrzésével kapcsolatos jogszabályi követelmények - avagy a Barbulescu teszt a gyakorlatban
Bankot bírságolt a NAIH a GDPR megsértése miatt
Honlapunk sütiket használ annak érdekében, hogy személyre szabott módon tudjuk megjeleníteni Önnek a tartalmakat. Kérjük, olvassa el Süti Kezelési Tájékoztatónkat, amelyben további információkat olvashat a sütikről és azok kezeléséről. Beállításait módosíthatja ezen a linken vagy saját böngészőjének beállításaiban.
Ezek a sütik szükségesek a weboldal futtatásához, és nem kapcsolhatók ki. Az ilyen sütik csak olyan műveletekre vonatkoznak, mint például a nyelv, az adatvédelmi preferenciák. Beállíthatja a böngészőjét, hogy blokkolja ezeket a sütiket, de webhelyünk esetleg nem megfelelően fog működik.
A Süti Adatkezelési Tájékoztatót megismertem és hozzájárulok ahhoz, hogy a Gárdos Mosonyi Tomori Ügyvédi Iroda, mint adatkezelő a Google Analytics sütikkel kapcsolatban az IP címemet statisztikai célból kezelje. Tudomásul veszem, hogy a hozzájárulásomat bármikor visszavonhatom.