I. Az EU Bíróságának ítélete a C-311/18.sz. ügyben1
1) Az általános adatvédelmi rendelet hatálya alá tartozik a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítása, függetlenül attól, hogy ezeket az adatokat e továbbítás során vagy azt követően az érintett harmadik ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik.
2) A GDPR által megkövetelt megfelelő garanciáknak, érvényesíthető jogoknak és hatékony jogorvoslati lehetőségeknek biztosítaniuk kell, hogy azon személyek jogai, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel rendelkezzenek, amely lényegében azonos az Európai Unióban biztosított védelmi szinttel.
3) A személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5-i 2010/87/EU bizottsági határozatnak a vizsgálata nem tárt fel olyan tényezőt, amely e határozat érvényességét érintené. (Tehát az un. modellszerződések/általános szerződési kikötéseknek alkalmazása továbbra is lehetséges.)
5) Az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozat érvénytelen. Vagyis az ítélet napjától az Adatvédelmi Pajzs (AVP) Egyezmény alapján történő adattovábbítás az USA-ba nem lehetséges, illetve az USA-ba irányuló adattovábbítás az AVP vizsgálata kapcsán feltárt kockázatok miatt a modellszerződések alkalmazása alapján sem lehetséges
II. Milyen adattovábbításokat érint az ítélet?
- Az ítélet kihatással van minden az USA-ba irányuló adattovábbításra, amelyek esetében a jövőben a jogszerűség megalapozása tekintetében nem lehet az Adatvédelmi Pajzs Egyezményre hivatkozni, továbbá a modellszerződéseket alkalmazni.
Ez jelenti a közvetlen adattovábbításokat, illetve az olyan cégektől igénybe vett szolgáltatásokat is, amelyek keretében személyes adatok átadása – megismerési lehetőségének biztosítása történik az Egyesül Államokban működő cégek számára pl. felhőszolgáltatás, hírlevél küldő rendszer, vállalati ügyviteli rendszer igénybevétele, ha annak tárhelye az USA-ban van, illetve ennek hiányában is, ha az abban tárol adatokhoz a szolgáltatást nyújtó cég hozzáférhet. Ugyancsak ide sorolhatók a különféle közösségi média felületek (Facebook, Youtube, Twitter) tekintettel arra, hogy az USA-ban bejegyzett társaságokról van szó, illetve, ha van is az EU-ban bejegyzett leányvállalatuk, az általa gyűjtött/tárolt/elemzett/feldolgozott adatok továbbítása az amerikai anyavállalat felé megvalósul (maga a bírósági eljárás is a Facebook Ireland és az anyavállalat közötti adattovábbításból, pontosabban annak megtiltásából indult ki).
Külön érdekesek azok az eszközök, illetve szolgáltatások (vállalatirányítási, belső kommunikációs, illetve üzletviteli platformok pl. SharePoint, Teams, Google Drive/Gmail/GSuite) amelyek szintén USA-beli cégek által, és nagy valószínűséggel USA-ban lévő szervereken/tárhelyeken is működnek, hiszen az ítélet nyomán az ezek igénybevételével megvalósuló adattovábbítások szabályossága is megkérdőjeleződik.
- Kihatással van továbbá minden olyan további harmadik országba irányuló adattovábbításra is, amelyek esetében nem született eddig az EU Bizottsága részéről un. megfelelőségi döntést2. (A dolgok jelen állása szerint 2021. január 1-ét követően az Egyesült Királyság is ebbe a kategóriába fog tartozni!) Ezek esetében ugyan a modellszerződések továbbra is alkalmazhatóak, de a Bíróság döntése nyomán fokozott felülvizsgálati kötelezettsége áll fenn az adatot továbbító félnek, a tekintetben, hogy a modellszerződésben biztosított „azonos szintű jogvédelem” lehetőségei ténylegesen érvényesülhetnek e a címzett államában. (E tekintetben a berlini adatvédelmi biztos az ítélet kapcsán megjelentetett közleményében3 külön kiemeli az Oroszországba, Kínába, illetve Indiába irányuló adattovábbításokat, mint „akár még nagyobb kockázattal járó” eseteket!)
Ez a kötelezettség akár az adattovábbítások felfüggesztésére irányuló döntést meghozatalára is kiterjed, illetve ilyen döntést a felügyeleti hatóság is hozhat (megjegyzem erre eddig is volt lehetőségük a felügyeleti hatóságoknak a modellszerződésekről szóló 2010/87 bizottsági határozat 4. cikke alapján).
III. Milyen lehetőségek állnak fenn az adattovábbításra?
A Bíróság ítélete rögzíti, hogy az USA irányába (továbbá azon harmadik országok esetében is, amelyek tekintetében a modellszerződés kapcsán lefolytatott felülvizsgálat megállapításai szerint nem garantálható az azonos szintű védelem érvényesülése), a GDPR 49. cikkben írt un. eltérési lehetőség alapján történhet személyes adatok továbbítása. Apró szépséghibája ennek a lehetőségnek, hogy az elvileg az eseti jellegű (egyszeri vagy többszöri, de mindenképpen eseti) adattovábbításokra vonatkozik, amelyek kapcsán esetenként kell a feltételek fennállását vizsgálnia az adattovábbító félnek. E tekintetben ugyanakkor megint az életszerűség, illetve kis és közepes vállalkozások lehetőségei (kapacitás, illetve jogi és egyéb szakértelem megléte) vs. adatvédelmi elvárások „falba” ütközünk.
A GDPR 49. cikk alkalmazásával4 a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:
- az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
- az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
- az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
- az adattovábbítás fontos közérdekből szükséges;
- az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
- az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;
V. Milyen teendői vannak az adatkezelőknek (adattovábbítóknak)
Az adatkezelőnek fel kell mérnie az alábbiakat:
- folytat e olyan adatkezelést amelynek keretében személyes adatok harmadik országba (EGT térségen kívülre) történő továbbítására kerül sor
- igénybe vesz e olyan társaságtól szolgáltatást, amelynek székhelye harmadik országban van, és ha igen ezen szolgáltatás együtt jár e személyes adatok átadásával (pl. a társaság tárhelyén történő tárolása), vagy a szolgáltatás nyújtó társaság általi megismerési/hozzáférési lehetőséggel
- amennyiben történik harmadik országba adattovábbítás (ld. fenti V.1. ill. V.2. pontok), akkor a célország szerepel e az EU Bizottsága által közzétett un. megfelelőségi listán
- ha nem szerepel a célország az előbbi pont szerinti listán, akkor az adatokat fogadó féllel megtörtént e a 2010/87 EU bizottsági határozat5 alapján az un. modellszerződés megkötése (általános szerződési feltételek alkalmazása)
- ha van élő modellszerződés a felek között, akkor felül kell vizsgálni, hogy a címzett államában a jogszabályi előírások, hatósági gyakorlat nem teszi e lehetetlenné a címzett számára a modellszerződésben vállalt kötelezettségek teljesítését, (vagyis az EU-ban érvényesülővel azonos szintű jogvédelmet)
- ha nincs modellszerződés (vagy az előbbiek szerinti vizsgálat megállapította, hogy az nem érvényesülhet hatékonyan), akkor meg kell vizsgálni, hogy a GDPR 49. cikk (1) szerinti adattovábbítást megalapozó feltételek közöl melyik alkalmazható.
1 a teljes ítélet elérhető a következő linken:
2 A megfelelőségi döntéssel érintett országok listája elérhető:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en (a Bizottság honlapján még az USA is szerepel!, értelemszerűen a bírói döntés miatt ez már nem aktuális)
3 https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf
4 A GDPR 49. cikk alkalmazásával összefüggésben az Európai Adatvédelmi Testület iránymutatása elérhető:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf
5 vagy a 2001/497 illetve a 2004/915 határozat alapján