Nem véd többé a Privacy Shield – újabb mérföldkőhöz érkezett a személyes adatok nemzetközi szintű továbbítására vonatkozó szabályozás

Írta: Dr. Buzás Anna

Az Európai Unió Bírósága 2020. július 16. napján az adatvédelem és főként az adattovábbítás területén kiemelkedő jelentőségű döntést tett közzé, amelyben érvénytelenítette az EU és az USA között létrejött Privacy Shield Egyezményt. Ezen döntéssel alapjaiban változhat meg a globális digitális világ, amelyben a bűnüldözés jogával szemben elsőbbséget élvezhetnek az egyének személyes adatok védelméhez való jogai.

A Bíróság döntése és az eljárás előzménye

A bíróság ítélete következtében a személyes adatoknak az EGT-n kívüli területre történő továbbításához már nem jelent garanciát az adatátvevő Privacy Shield-megfelelőségére való hivatkozása, mert az az EUB megítélése szerint az esetleges visszaélésekkel szemben nem nyújt sem megfelelő szintű védelmet, sem hatékony jogorvoslati lehetőséget az európai állampolgároknak számára.

Az ítélet előzménye egy osztrák Facebook felhasználó által 2013-ban az ír adatvédelmi hatóság előtt indított panaszeljárás, amelynek eredményeképpen az EUB szintén előzetes döntéshozatali eljárás keretei közt mondta ki, hogy a Privacy Shield elődjének számító Safe Harbor intézményrendszer érvénytelen. Ezen döntést követően a Bizottság elfogadta a Safe Harbor helyébe lépő Privacy Shield Egyezményt, azonban az osztrák kérelmező panaszát továbbra is fenntartotta és kérte a hatóságokat, hogy tiltsák meg a személyes adatainak USA-ba történő továbbítását, mivel a Facebook ír leányvállalata által az USA-ba továbbított adatokat az amerikai Facebook anyavállalat hírszerzési és nemzetbiztonsági hatósági vizsgálatokra szolgáltatja ki, amely adatkezelés azonban sérti az Unió Alapjogi Chartájában foglalt alapvető állampolgári jogokat. Az adatok kiadására ugyanakkor a Facebook USA-ban működő anyacégét a kiterjedt bűnüldözés égisze alatt az amerikai jog kötelezi, függetlenül attól, hogy a személyes adatok külföldi (adott esetben európai) felhasználóké vagy sem, amely azonban ellentétben áll az Európai Unió állampolgárainak Alapjogi Chartában és a GDPR-ban lefektetett jogaival.

A panaszeljárás a Facebook Inc. írországi leányvállalatával szemben indult, mivel az ír cég felel az összes, európai Facebook felhasználó személyes adatainak az amerikai anyacég részére történő továbbításáért. Az ügy érdemi kérdése azonban túlmutat a Facebook ír leányvállalatának adatvédelmi jogsértésén, ugyanis az ír Felsőbíróság kérelme nyomán az EUB rendszerszinten vizsgálta két megfelelőségi határozatát, amelynek alapján a GDPR szabályai szerint személyes adatok továbbíthatók az EGT térségen kívüli államokba, így többek között az USA-ba is; az ÁSZF határozatot és a Privacy Shield Egyezményt. Jelenleg ugyanis a GDPR úgy rendelkezik, hogy személyes adatok főszabály szerint csak akkor továbbíthatók valamely harmadik országba, ha az adott harmadik ország ezen adatok számára megfelelő védelmi szintet biztosít. A GDPR szerint a Bizottság megállapíthatja, hogy a harmadik ország a belföldi joga vagy a nemzetközi kötelezettségei alapján megfelelő védelmi szintet biztosít. Ilyen megfelelőségi határozat hiányában azonban az EGT-n kívüli államokban letelepedett vállalatoknak számos többletkötelezettségnek kell eleget tenni annak érdekében, hogy hozzájuk jogszerűen legyenek az adatok továbbíthatók.

Ilyen megfelelőségi határozat volt tehát 2016 óta a Privacy Shield, amelyről egyébként a 2017-es és 2018-as felülvizsgálat során azt állapította meg az Európai Bizottság, hogy azok továbbra is megfelelő védelmi szintet biztosítanak a program keretében továbbított személyes adatok tekintetében. A gyakorlati jelentősége az Egyezménynek az volt, hogy egy egyszerű online regisztrációt követően amerikai vállalatok ezrei számára jelentett jogi megfelelést az adatvédelem területén pusztán azáltal, hogy a Kereskedelmi Minisztériumtól online tanúsítást szereztek, amely igazolja, hogy a vállalat megfelel a Privacy Shield alapelveinek. A tanúsítvány birtokában ezen vállalatokat az adattovábbítás szempontjából úgy kellett tekinteni, mintha az EGT-ben vagy olyan országok egyikében lennének, amelyekkel kapcsolatban a Bizottság megfelelőségi határozatot bocsátott ki. Tekintettel arra tehát, hogy a Privacy Shieldnek való megfelelés a vállalatokat számos egyéb garanciális kötelezettség alól mentesítette - amelyeket egyébként egy harmadik országban székhellyel rendelkező vállalatnak biztosítania kell -, így több, mint 5000 amerikai vállalat döntött a csatlakozás mellett. Ezen vállalatok élete azonban az EUB legfrissebb döntése nyomán nagymértékben megváltozott.

Az EUB ugyanis ítéletében megállapította, hogy a Privacy Shield Egyezmény, hasonlóan elődjéhez, a Safe Harbor határozathoz a nemzetbiztonság, a közérdek és a bűnüldözés követelményeinek elsőbbségét fejezi ki, amely így lehetővé teszi a beavatkozást azon személyek alapvető jogaiba, akiknek az adatait az Unióból e harmadik országba továbbítják. A Bíróság hozzátette továbbá, hogy az Egyezmény adós maradt mindemellett olyan megfelelő jogorvoslati intézményrendszer kialakításával is, amelynek alapján az érintettek a hatóságok esetleges jogsértéseivel szemben bírói úton tudnák érvényesíteni jogaikat. Mindezek miatt pedig a Bíróság az Egyezmény érvénytelensége mellett döntött.

Hogyan tovább?

Tekintettel arra, hogy az USA-ban letelepedett vállalkozások számára a Bizottság csak a Privacy Shield programra korlátozottan állapította meg az adatvédelmi alapelveknek való megfelelést, így vállalkozások ezreinek kell a jövőben átalakítania adattovábbítási mechanizmusát.  Az Amerikai Kereskedelmi Minisztérium a Bíróság döntésével kapcsolatban ugyan kijelentette, hogy továbbra is folytatni fogja a tanúsítási folyamatokat és az Egyezményhez csatlakozott vállalatok listáját is naprakészen tartja, ez azonban nem jelenti azt, hogy a jövőben a vállalatok tétlenek maradhatnak. Amennyiben ugyanis csupán egy érvénytelen Egyezmény alapján kiállított tanúsítvány jelenti az adattovábbítások jogalapját, úgy azt a Bíróság és a nemzeti adatvédelmi hatóságok is a jövőben jó eséllyel figyelmen kívül fogják hagyni, és az adattovábbítást jogellenesnek fogják minősíteni, így az érintett vállalkozások jelentős összegű adatvédelmi bírságokra számíthatnak.

A Bíróság ugyanakkor kijelentette, hogy döntése nem jelent joghézagot, mivel a GDPR kifejezetten rendelkezik azon esetekről és követelményekről, amelyeknek a vállalkozásoknak megfelelőségi határozat vagy megfelelő garanciák hiányában eleget kell tenniük. Így tehát nem tehet mást a vállalkozás, minthogy alaposan megvizsgálja adatvédelmi folyamatait és eleget tesz a GDPR ezen esetekre meghatározott valamely követelményének, így többek között dönthet úgy, hogy

  • beszerzi az adattovábbításhoz az érintett kifejezett hozzájárulását;
  • igazolja, hogy az adatkezelés fontos közérdekből szükséges;
  • igazolja, hogy az adattovábbítás szerződés teljesítéséhez szükséges;
  • igazolja, hogy az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
  • kötelező erejű vállalati szabályokat alkalmaz;
  • a GDPR alapján jóváhagyott magatartási kódexet alkalmazza; vagy
  • az Európai Bizottság által elfogadott Általános Szerződési Feltételeket alkalmazására tér át.

Egy biztos, bárhogy is dönt az érintett vállalkozás, az EUB döntése értelmében többé nem lesz elegendő arra hivatkozni, hogy az adattovábbítás megfelel valamely magatartási kódexben vagy a Bizottság által jóváhagyott Általános Szerződési Feltételekben foglaltaknak. A multinacionális cégek vonatkozásában ez a gyakorlatban azt jelenti, hogy az adatátadók a céltársaság vonatkozásában kötelesek lesznek széleskörű vizsgálatot és értékelést lefolytatni annak feltárása érdekében, hogy megállapíthatók-e az adott célországban a személyes adatok védelmére hivatott alapvető garanciák. Ennek hiányában az adatkezelés nem lesz jogszerű és az európai tagállamok adatvédelmi hatóságai ettől fogva kötelesek lesznek felfüggeszteni vagy megtiltani a személyes adatoknak az USA-ba (vagy más EGT-n kívüli országba) történő továbbítását, ha az ügy vizsgálata során a hatóságok arra a következtetésre jutnak, hogy a GDPR védelmi kikötéseit a célországban nem tartják tiszteletben vagy az ott érvényes jogrend miatt azokat nem lehet betartani és az Unió Alapjogi Chartája által megkövetelt védelem más eszközzel nem biztosítható.