Az Európai Unió és az Egyesült Államok közötti adatáramlás kérdése napjainkban központi szerepet kapott az adatvédelem terén, különösen az EU-USA Adatvédelmi Keretrendszer (DPF) bevezetése óta. A DPF egy önkéntes tanúsítási rendszer, amelynek célja, hogy biztosítsa az európai magánszemélyek adatainak megfelelő védelmét az Egyesült Államokba történő adattovábbítás során. Ez a keretrendszer többek között lehetőséget nyújt az egyének számára, hogy megfelelő jogorvoslatot keressenek, ha úgy érzik, hogy adataik kezelésében visszaélés történt.
Mi az EU-USA Adatvédelmi Keretrendszer?
Az EU-USA Adatvédelmi Keretrendszer, amelyet az Európai Bizottság 2023. júliusában hagyott jóvá, egy olyan rendszer, amely az EGT-ből az Egyesült Államokba továbbított bármilyen típusú személyes adatra vonatkozik, beleértve a kereskedelmi vagy egészségügyi célból feldolgozott személyes adatokat. Amennyiben a fogadó vállalat az Egyesült Államokban rendelkezik a DPF szerinti tanúsítvánnyal akkor jogosult az ilyen típusú adatok kezelésére. Így nincs szükség további védelmi intézkedésekre vagy külön engedélyekre az adattovábbításhoz. A DPF célja, hogy olyan adatvédelmi szintet biztosítson, amely az európai szabályozás szerint „megfelelőnek” minősül, így garantálva, hogy az európai egyének adatai biztonságban legyenek és csak az előírt célokra használják fel őket.
Az egyének jogai a DPF alatt
Az egyének, akik adatai az Egyesült Államokba kerülnek a DPF keretrendszeren keresztül, számos joggal rendelkeznek:
– Tájékoztatáshoz való jog: Az érintetteknek joguk van értesítést kapni adatuk továbbításáról és annak céljáról.
– Hozzáféréshez való jog: Az érintettek kérhetik adataikhoz való hozzáférést, és ha szükséges, kérhetik azok módosítását vagy törlését.
– Panasztétel: Ha egy amerikai vállalat megszegi a DPF kötelezettségeit, az érintettek panaszt nyújthatnak be.
Panasztételi eljárás és jogorvoslat lehetősége
Az egyének számára több mód is rendelkezésre áll, ha úgy érzik, hogy a DPF által tanúsított cég visszaélt adataikkal. Az első lépés általában a céggel való közvetlen kapcsolatfelvétel, amellyel a probléma békés úton rendezhető. Ha ez nem jár eredménnyel, az érintettek a nemzeti adatvédelmi hatóságokhoz (DPA) fordulhatnak. E hatóságok képesek a panasz kezelésére, vizsgálat lefolytatására és megfelelő jogorvoslat biztosítására.
A nemzeti adatvédelmi hatóságok szerepe
Amennyiben egy panasz a nemzeti adatvédelmi hatósághoz kerül, az ügy elbírálása során két eshetőség merülhet fel:
- Ha az Egyesült Államokban működő vállalat önként az uniós adatvédelmi hatóságokat választotta független jogorvoslati fórumként, akkor több uniós adatvédelmi hatóságból álló informális testületet hoznak létre, ami részt vesz a panasz kivizsgálásában, és ha szükséges, kötelező érvényű tanácsot adhat az érintett amerikai cégnek.
- Ha az érintett cég nem vállalta az európai adatvédelmi hatóságokkal való együttműködést, az ügyet az illetékes amerikai hatóságok – például a Kereskedelmi Minisztérium – vizsgálhatják tovább. Erről az érintettet mindig tájékoztatni kell, hiszen jelen esetben ugyanúgy személyes adatokat továbbítanak az Egyesült Államokba. Az érintett ezután dönt arról, hogy az eljárást folytatni kívánja-e.
A hivatalos panaszbejelentést a DPF keretrendszer által előírt panaszbejelentő formanyomtatvány használatával is be lehet nyújtani, amely tartalmazza az eljáráshoz szükséges alapinformációkat, de ennek az űrlapnak a használata opcionális, és dönthetünk úgy, hogy más csatornán keresztül lépünk kapcsolatba a nemzeti adatvédelmi hatósággal. Ne feledjük azonban, hogy az űrlapon kért információkra a panasz kezeléséhez mindenképpen szükség van. A panasz kezeléséhez szükséges információk:
– Név vagy más típusú azonosító, amelyet az amerikai vállalat az azonosításunkra használ (például felhasználónév)
– Elérhetőség (pl. telefonszám, e-mail cím, levelezési cím);
– A saját nevünk (kapcsolattartás céljából)
Ezeket pedig a panasz tartalmi részében szükséges kifejteni:
– Ha ismert, melyik vállalat küldte az adatainkat az Egyesült Államokba?
– Ha ismert, vélhetően mely USA-beli vállalatok vesznek részt a személyes adataink feldolgozásában?
– Miért gondoljuk, hogy a személyes adatainkat az EU-ból továbbították egy adatvédelmi keretrendszer szerinti amerikai vállalatnak?
– Az amerikai vállalat által elkövetett állítólagos DPF-be ütköző jogsértés leírása
– Megpróbáltuk-e már felvenni a kapcsolatot közvetlenül az érintett amerikai vállalattal? És ha igen milyen eredményre jutottunk?
– Milyen egyéb intézkedéseket tettünk a kért információk megszerzése érdekében, és milyen választ kaptunk ezekre az intézkedésekre?
Összegzés
Az EU-USA Adatvédelmi Keretrendszer fontos előrelépés az adatvédelem terén, amely lehetővé teszi az egyének számára, hogy jogorvoslattal éljenek, ha adataik kezelésében szabálytalanságot észlelnek. A rendszer egyértelmű keretet ad a panasztételhez és a jogorvoslathoz, és támogatja az európai érintettek adatainak biztonságát az Egyesült Államokba történő adattovábbítás során.
2025.01.10.
Varga Benedek, jogi munkatárs
Dr. Miklós Péter, ügyvéd
Amennyiben adatvédelmi ügyvéd segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
