A személyes adatok harmadik országokba történő továbbításának feltételeit az Európai Parlament és Tanács (EU) 2016/679. számú a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló rendelet (a továbbiakban: GDPR) V. fejezete szabályozza. Harmadik országnak minősül az Európai Unió területén kívül elhelyezkedő valamennyi ország. A GDPR 44. cikke előírja, hogy személyes adatok harmadik országba történő továbbítása során mind az adattovábbítást végrehajtó adatkezelőnek, mind az adatokat fogadó adatkezelőnek vagy adatfeldolgozónak legalább a GDPR-ban meghatározott adatvédelem szintjét kell garantálnia megfelelő biztonsági intézkedések alkalmazása által. A GDPR 2018-as alkalmazandóvá válása óta több döntés született a harmadik országba történő adattovábbítások kapcsán, melyekben az Európai Unió Bírósága, illetve nemzeti adatvédelmi hatóságok bírálták el az eljárások tárgyát képező adattovábbítási gyakorlat, különösen az adattovábbítás során alkalmazott biztonsági intézkedések és az ezek hátteréül szolgáló nemzetközi megállapodások, határozatok adatvédelmi megfelelőségét. Jelen cikkünkben bemutatjuk az Európai Unió és az Egyesült Államok közötti adattovábbítással kapcsolatos legfontosabb új fejleményeket és kitérünk ezek hátterének ismertetésére.
1. Az új adatvédelmi keretrendszer, adatvédelmi pajzs és alapvetései
Az Egyesült Államok és az Európai Bizottság 2022. március 25-én különállóan közzétett közleményben (a Factsheet „Trans-Atlantic Data Privacy Framework” elérhető itt, illetve itt) nyilvánította ki, hogy elkötelezte magát egy új transzatlanti adatvédelmi keretrendszer kialakítása mellett, amelynek alapvető célja az Európai Unió Bíróságának az adatvédelmi pajzsról szóló megfelelőségi határozat érvénytelenítése kapcsán felvetett adatvédelmi jogi aggályok orvoslása. A keretrendszer legfontosabb feladata, hogy újrateremtse az Európai Unióból az Egyesült Államokba történő adattovábbítás jogi mechanizmusait, garanciális szabályait. Az Egyesült Államok az egyelőre elvi megállapodás értelmében kötelezettséget vállal annak biztosítása érdekében, hogy az állami szervek által végzett hírszerzési tevékenység kiterjedése szükséges és arányos legyen a meghatározott nemzetbiztonsági célok elérésével – tehát bizonyos korlátokat állít elé a magánszemélyek jogaira, szabadságaira és magánszférájára tekintettel, ami biztosítani fogja az Európai Unióból továbbított személyes adatok védelmét, és jogorvoslati lehetőséget biztosít az érintettek számára, amennyiben bebizonyosodik, hogy jogszerűtlenül váltak az amerikai hírszerzési tevékenységet folytató állami ügynökségek „célpontjává”.
Az Egyesült Államok által közzétett Factsheet szerint az új keretrendszer biztosítja például, hogy a hírszerzési céllal végzett adatgyűjtés csak akkor megengedett, hogyha az jogos nemzetbiztonsági érdekek és célok előmozdításához szükséges, és nem érintheti aránytalan mértékben az egyének magánéletet és a polgári szabadságjogok védelmét, továbbá az Európai Unió állampolgárai jogorvoslatért folyamodhatnak egy új, többszintű jogorvoslati fórumhoz, amely magában foglal egy független adatvédelmi felülvizsgálati bíróságot („Data Protection Review Court”), amely az Egyesült Államok kormányán kívülálló, választott személyekből állna, akik teljes hatáskörrel rendelkeznek a panaszok elbírálására és szükség esetén korrekciós intézkedések elrendelésére. További pontként fogalmazza meg az Egyesült Államok, hogy az amerikai hírszerző ügynökségek eljárásokat vezetnek be az új adatvédelmi és polgári szabadságjogokat érintő rendelkezések érvényesülése feletti hatékony felügyelet biztosítása érdekében. A Factsheet szövege alapján az új adatvédelmi keretrendszerben történő részvétel érdekében az amerikai szervezeteknek és vállalatoknak tanúsítania kell majd az Egyesült Államok Kereskedelmi Minisztériumának, hogy a keretrendszerben foglalt alapelveket betartják.
2. Az új adatvédelmi keretrendszer megteremtésének szüksége és háttere, előzményei
Az Amerikai Egyesült Államok és az Európai Unió közötti adattovábbítások kapcsán egészen az Európai Unió Bíróságának 2020. július 16-án a C-311/18. számú ügyben hozott ítéletéig (Data Protection Commissioner kontra Facebook Ireland Limited és Maximillian Schrems, a továbbiakban: „Schrems II-ítélet”) az ún. adatvédelmi pajzs („Privacy Shield”, a Bizottság (EU) 2016/1250 végrehajtási határozata (2016. július 12.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről) volt alkalmazandó, amely az ebben részt vevő szervezetek kötelezettségeit és az egyének személyes adatainak felhasználásával kapcsolatos jogait tartalmazta és amely az Európai Bizottság határozata alapján garantálta a megfelelő szintű védelmet. A Schrems II-ítéletben az Európai Unió Bírósága kimondta az adatvédelmi pajzsról szóló határozat érvénytelenségét, mivel úgy ítélte meg hogy az Egyesült Államok jogrendszere és különösen olyan, az egyének megfigyelésére alkalmas programok alkalmazása az amerikai szervezetek és vállalatok által, melyek az amerikai jog szerint lehetővé teszik, hogy a nemzeti hatóságok hozzáférjenek az Európai Unióból továbbított személyes adatokhoz nemzetbiztonsági célokból – amely célok meghatározása kizárólag az Egyesült Államok vonatkozó jogszabályain alapul, így az Európai Unió ezekre ráhatással nem rendelkezik -, a személyes adatok védelmének sérülését eredményezik, továbbá több ponton sem állnak összhangban az Európai Unió jogával és adatvédelmi alapelveivel, azaz nem biztosított a GDPR-ban foglalt adatvédelmi követelményeknek megfelelő biztonsági szint a transzatlanti adattovábbítások során. Különösen aggályosnak ítélte az Európai Unió Bírósága továbbá, hogy az adatvédelmi pajzs keretében nem volt biztosított az Európai Unió állampolgárai számára a bírósághoz vagy egyéb illetékes hatósághoz fordulás joga az amerikai szervezetekkel szemben esetleges adatvédelmi jogsértések esetére.
Mivel a globalizáció eredményeképpen az Európai Unió és az Egyesült Államok szoros gazdasági kötelékeket ápol, a személyes adatok továbbítása elkerülhetetlen és szükséges a kereskedelmi kapcsolatok fenntartásához és különösen a digitális szolgáltatások igénybevételéhez. Számos tranzakcióhoz személyes adatokat kell megadnunk, erre a legkézenfekvőbb példa internetes megrendelés leadása webshopban. Emellett a digitális platformokkal kapcsolatosan említenünk kell különböző közösségi oldalak használatát – melyek közül napjainkban legnépszerűbb a Facebook és az Instagram, melyek használata kapcsán szintén amerikai szerverekre kerülhetnek személyes adataink. Ezen kívül említést teszünk a közelmúltban nemzetközi visszhangot nyert és aggályokat kiváltó, a Google Analytics alkalmazásával kapcsolatos osztrák adatvédelmi hatósági döntésre (Österrechische Datenschutzbehörde D155.027/2021-0.586.257 számon hozott döntése, melyről korábbi cikkünkben részletesen írtunk: A Google Analytics és az adatvédelem), melyben megállapításra került, hogy nem nyújt elégséges védelmet az, hogyha az Európai Unión belül üzemeltetett weboldal tulajdonosa és a Google LLC között alkalmazásra kerülnek a harmadik országokba irányuló adattovábbításokra vonatkozó általános szerződési feltételek [Standard contractual clauses for data transfers between EU and non-EU countries, „Adattovábbítási ÁSZF”], hanem kiegészítő technikai és szervezési intézkedések meghatározása is szükséges az adatvédelmi megfelelőség biztosításához.
A fenti példák alapján összefoglalóan megállapítható, hogy az Európai Unióban alkalmazandó adatvédelmi alapelvek, rendelkezések, továbbá a nemzeti adatvédelmi hatóságok gyakorlata fényében, továbbá személyes adataink védelme tekintetében rendkívül aggályos annak ténye és tudata, hogy előfordulhat, hogy egy tevékenységét az Európai Unión belül végző adatkezelő megfelelő biztonsági garanciák hiányában továbbítja személyes adatainkat, majd azok az Egyesült Államokban kerülnek felhasználásra, ahol a jogszabályok nem tiltják, hogy adott esetben állami szervek korlátozás nélkül hozzáférjenek azokhoz, nem beszélve akár jelentős érdeksérelmet okozó adatvédelmi incidens bekövetkezéséről.
3. Schrems első kritikája
Max Schrems, az Európai Unió Bírósága előtt folyt ügyekben született Schrems-ítéletek „névadója”, az osztrák None of your business („noyb”) nevezetű adatvédelmi aktivista egyesület tiszteletbeli elnöke, az Egyesült Államok és az Európai Bizottság által közzétett közleményekre fejezte ki első kritikus reakcióit. Többek között hangsúlyozza, hogy csupán egy „elvi megállapodást” („political announcement”) tartalmaznak a közzétett közlemények, melyek konkrét kidolgozott rendelkezéseket nem tartalmaznak. Inkább politikai nyilatkozatnak tekinti és e körben kiemeli, hogy ilyen már 2015-ben és a továbbiak során is született, melyet jogi kötőerővel nem ruháztak fel, így akár kijelenthető, hogy „harmadik alkalommal kezdődik ugyanaz a játék”. Schrems továbbá nyilvánvalónak tartja, hogy ez az elvi megállapodás szimbolikus jelentőséggel bír, amelyet az Európai Bizottság elnöke, Ursula von der Leyen fontosnak tartott, de a brüsszeli szakértők körében nincs támogatottsága a közleményeknek, mivel az Egyesült Államok eddig nem hozott érdemi intézkedést, így előrelépés nem történt.
4. Észrevételeink az új adatvédelmi pajzs kapcsán
A nemzetközi „elvi megállapodások” vagy politikai jellegű nyilatkozatok és megállapodások vonatkozásában általánosan megállapítható, hogy hosszas két- vagy többoldalú tárgyalásokat, egyeztetési folyamatokat igényelnek, így jelenleg nem látható előre, hogy az Egyesült Államok és az Európai Bizottság által közzétett közlemények nyomán mikor fog jogi kötőerővel bíró megállapodás születni. Alapvetően azzal szembesülünk, hogy két merőben eltérő általános jogelvekkel, jogi hagyományokkal rendelkező entitás törekszik megállapodni olyan kérdésekben, melyek mély gyökerekkel rendelkező jogintézmények és eltérő értelmezésben megjelenő szabadságjogok összehangolását, módosítását igényelné annak érdekében, hogy az Európai Unió oldaláról teljesen aggálymentes és egységes adatvédelmi jog és gyakorlat kerülhessen megteremtésre (például a magánszemélyek alapvető jogait és szabadságait érintő korlátozások arányossága az állami hírszerző ügynökségek által folytatott megfigyelések kapcsán eltérő értelmezésben jelenhet meg a két entitás oldaláról és álláspontja szerint).
További időt igényel a tárgyalások és egyeztetések lefolytatásán kívül az az Egyesült Államok által megfogalmazott és vállalt kötelezettség, hogy az amerikai szervezetek és vállalatok addig nem lehetnek részesei az új adatvédelmi keretrendszernek, amíg azt el nem fogadják, illetőleg az erre kijelölt szervnek megfelelőségüket tanúsítják. Ennek megvalósítása az elkötelezett szervezetek és vállalatok számára hosszú hónapokat vehet igénybe.
Felmerül továbbá, hogy az újonnan létrejövő adatvédelmi keretrendszer, mint az Európai Bizottság által elfogadott végrehajtási határozat, az Európai Unió Bírósága előtt indított eljárás keretében megtámadható lesz, így a keretrendszert létrehozni kívánó feleknek kiemelt figyelmet kell fordítaniuk bármely adatvédelmi aggály elkerülésére, a végleges szöveg elfogadása előtt történő kiküszöbölésére. Összefoglalóan megállapítható, hogy az elvi megállapodásnak hosszú utat kell bejárnia, amire jogi kötőerővel bíró megállapodás keletkezik belőle.
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
