Írásunkban az Európai Unió Bíróságának C‑311/18. sz. ügyben, 2020. július 16. napján hozott (ún. Schrems II.) ítéletével kapcsolatos adatvédelmi feladatokat foglaljuk össze.
Schrems II. ítélet
Az ítélet érvénytelennek nyilvánította az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12‑i (EU) 2016/1250 bizottsági végrehajtási határozatot (Privacy Shield), amely korábban a GDPR 45. cikkének megfelelő védelmi szintet biztosított olyan Egyesült Államokban székhellyel rendelkező szervezetek felé történő adattovábbítások során, amelyek csatlakoztak a Privacy Shieldhez.
Az Egyesül Államokban székhellyel rendelkező szervezethez történő adattovábbítás új folyamata a GDPR szerint
A Privacy Shield hiányában adattovábbításra kizárólag akkor kerülhet sor, ha az adatkezelő, adatfeldolgozó a GDPR 46. cikkében meghatározottak szerint megfelelő garanciákat nyújt (pl. a Bizottság által elfogadott általános adatvédelmi kikötések), valamint az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre.
Megfelelőségi határozat és megfelelő garancia hiányában a GDPR 49. cikke határozza meg azokat a különös helyzetekben biztosított eltéréseket, amelyek alapján eseti jelleggel sor kerülhet személyes adat továbbítására (pl. az érintett kifejezett hozzájárulása alapján).
Harmadik országba adatot továbbító szervezetek új kötelezettségei
Az általános szerződési feltételeken alapuló adattovábbítások kapcsán a Bíróság meghatározott olyan feltételeket, amelyeket a harmadik országba történő adattovábbításokat megelőzően az adatkezelőnek, adatfeldolgozónak vizsgálni kell ahhoz, hogy igazolni tudja, a GDPR által megkövetelt védelmi szint a személyes adatok továbbítását követően is biztosított. A Bíróság ennek érdekében pontosította azokat az elemeket, amelyeket figyelembe kell venni a védelmi szint biztosítottságának megállapításakor.
A vizsgálatnál – a szerződéses kikötéseken túl – figyelembe kell venni a címzett ország jogrendszerének releváns elemeit is, ideértve azt az esetet is, hogy ezen ország hatóságai esetlegesen hozzáférhetnek-e a továbbított adatokhoz. A Bíróság elsődlegesen az adatot továbbító szervezet számára, másodlagosan az illetékes felügyeleti hatóságok számára előírta, hogy Bizottság által elfogadott megfelelőségi határozat hiányában kötelesek felfüggeszteni vagy megtiltani a személyes adatoknak általános adatvédelmi kikötéseken alapuló, harmadik országba irányuló továbbítását, ha úgy ítéli meg, hogy a kikötéseket a harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani.
A Bíróság fentiekben meghatározott követelményeiből az alábbi konkrét feladatok határozhatóak meg:
- Az adatátadó szervezet és az adattovábbítás címzettje kölcsönösen együttműködve kötelesek előzetesen ellenőrizni, hogy a harmadik országban tiszteletben tartják-e a GDPR által biztosított védelmi szintet;
- Az adatátadó szervezet köteles meggyőződni arról, hogy a harmadik ország joga megfelelő védelmet biztosít az uniós jog tekintetében az általános adatvédelmi kikötések alapján továbbított személyes adatoknak, szükség esetén az e kikötések által biztosított garanciákon felül további garanciákat nyújtva;
- A címzett köteles tájékoztatni az adatátadót arról, ha nem képes eleget tenni az általános adatvédelmi kikötéseknek;
- Amennyiben további garanciák nyújtásával sem lehet biztosítani a megfelelő védelmi szintet, adatátadó köteles felfüggeszteni az adattovábbítást és/vagy a címzettel kötött szerződéstől elállni.
Az Egyesült Államokba való adatok továbbításánál a továbbiakban hatékonyabb megoldásokat javasolt igénybe venni, pl. általános adatvédelmi kikötések, kötelező erejű vállalati szabályok, valamint a Bíróság által meghatározott követelményeknek megfelelően, körültekintően kell eljárni.
Harmadik országokba történő adattovábbítással kapcsolatos feladatok
- Vizsgáljuk át az összes adatkezelési folyamatot és azonosítsuk, ha sor kerül személyes adatok Egyesült Államokba történő továbbítására, különös tekintettel az igénybe vett szolgáltatókra (pl. felhőszolgáltatókra).
- Ha azonosítottuk, hogy sor kerül adattovábbításra az Egyesült Államokba:
- amennyiben azok a Privacy Shield alapján kerülnek továbbításra, javasoljuk, hogy haladéktalanul szüntessék meg az adattovábbítást, mert ez jelenleg jogellenes adattovábbításnak minősül. Ha az adattovábbításra valamely igénybe vett szolgáltató által kerül sor, úgy haladéktalanul hívjuk fel az adattovábbítás megszüntetésére, amennyiben ennek nem tesz eleget, értesítsük erről a felügyeleti hatóságot.
- amennyiben az adattovábbításra a GDPR 46. cikkében foglalt valamely garancia alapján kerül sor (pl. Bizottság által elfogadott általános adatvédelmi kikötések vagy BCR), szükséges meggyőződnünk arról, hogy a továbbított személyes adatok védelme megfelel a GDPR által megkövetelt védelmi szintnek.
- A vizsgálat lefolytatása során meg kell győződnünk a megfelelő védelmi szintről, ehhez nyújt segítséget a NOYB által elkészített kérdőív.
- Amennyiben a vizsgálat során megállapítható, hogy az adattovábbítás vagy az adattárolás az Egyesült Államokban székhellyel rendelkező adatkezelő/adatfeldolgozó részéről olyan jogi szabályozás alá esik, amely alapján a továbbított személyes adatokhoz a harmadik ország hatóságai hozzáférhetnek, a megfelelő védelmi szint nem biztosított. Az adattovábbítást ez esetben is javasoljuk megszüntetni.
- Amennyiben a fenti vizsgálat eredményeképp folytatható az adattovábbítás, további vizsgálat szükséges ahhoz, hogy meg tudjuk állapítani az adattovábbítás során biztosított technikai és szervezési intézkedések megfelelőségét, illetve, hogy az egyéb szabályozások érinthetik-e a személyes adatok megfelelő védelmi szintjének sérülését. Amennyiben e vizsgálat alapján az kerül megállapításra, hogy a személyes adatok megfelelő védelme biztosított, úgy a Bizottság által elfogadott általános adatvédelmi kikötések, illetve a BCR alapján az adattovábbításra sor kerülhet. Ellenkező esetben az adatok továbbítását meg kell szüntetni.
- A vizsgálatok eredményeit minden esetben javasoljuk írásban dokumentálni.
Schrems II. ítélet utóélete
Az Európai Adatvédelmi Testület közleményében hangsúlyozta, hogy részletesen meg fogja vizsgálni az ítéletet és további felvilágosítást, iránymutatást fog nyújtani az érintettek számára
Az Egyesült Államok a Privacy Shield érvénytelenítésének ellenére nyomatékosította, hogy az Európai Bíróság döntése nem mentesíti a résztvevő szervezeteket kötelezettségeik alól, továbbra is végrehajtja a határozatban foglaltakat.
Gyakori kérdések
Mikortól érvénytelen az adatvédelmi pajzs határozat?
Az Európai Adatvédelmi Testület egyértelműen úgy foglalt állást, hogy a határozat Bíróság általi érvénytelenítése azonnali hatályú, nincsen átmeneti időszak.
Hogyan érinti ez a jelenleg a Privacy Shield keretében megvalósuló adattovábbításokat?
A Testület kijelentette, hogy adattovábbítás az Egyesült Államokba a Privacy Shield alapján jelenleg jogellenes, azokat a Bíróság ítéletében foglalt követelmények teljesülésével kell új alapokra helyezni.
Hogyan továbbítható ezek után az Egyesült Államokba személyes adat?
A GDPR által meghatározott egyéb garanciák mellett elviekben továbbíthatóak személyes adatok, ilyenek lehetnek pl. a kötelező erejű vállalati szabályok, amelyek alkalmazásánál figyelembe kell venni a Bíróság ítéletében meghatározott követelményeket.
Használható-e a Bizottság által elfogadott általános adatvédelmi kikötések (ÁSZF) az Egyesült Államokba való adattovábbításhoz, ha igen, milyen feltételekkel?
A Testület úgy foglalt állást, hogy ÁSZF használata esetén az adatot továbbító szervezet minden esetben köteles részletes vizsgálatot végezni annak érdekében, hogy meggyőzödjön a fogadó ország védelmi szintjének megfelelőségéről. Ez értelemszerűen nem csak az Egyesült Államokra, hanem minden egyéb harmadik országba való adattovábbításra vonatkozik. Javasoljuk, hogy az elszámoltathatóság elvére tekintettel minden, a vizsgálat során tett megállapítás, kutatás, beszerzett nyilatkozat, ami a vizsgálat „pozitív” eredményét alátámasztja, legyen írásban dokumentált.
Mit tehet a felügyeleti hatóság?
A Bíróság ítélete szerint az illetékes felügyeleti hatóság – feltéve, hogy nem létezik a Bizottság által érvényesen elfogadott megfelelőségi határozat – köteles felfüggeszteni vagy megtiltani a személyes adatoknak harmadik országba irányuló továbbítását, ha úgy ítéli meg, hogy e kikötéseket a harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és a továbbított adatok védelme más eszközzel nem biztosítható. A felügyeleti hatóság e kötelezettségének hivatalból és az adatot továbbító szervezet tájékoztatását követően is eleget tehet.
Vonatkozik-e ez más, a GDPR 46. cikkében meghatározott garanciák szerinti adattovábbításra, például a BCR-ekre?
Amennyiben a harmadik országba történő adatátadásra BCR szabályok alkalmazásával kerül sor, az említett vizsgálatokat ugyanúgy el kell végezni, mint az ÁSZF esetében.
A GDPR 49. cikkben foglalt eltérésekre hivatkozással továbbítható-e személyes adat harmadik országba, ha igen, milyen feltételekkel? A 49. cikk csak kisegítő jelleggel alkalmazható. A tervezett adattovábbítás előtt az adatot átadó szervezetnek először olyan lehetőségekre kell törekedniük, amelyek révén az adatátadást a GDPR 45. és 46. cikkében foglalt mechanizmusok egyikének keretében hajthatják végre. A 49. cikk szerinti adattovábbítás szabályairól a Testület külön iránymutatásban foglalkozik.