Menü Bezárás

Az Adatvédelmi Pajzs Egyezmény után

I. Az EU Bíróságának ítélete a C-311/18.sz. ügyben1

1) Az általános adatvédelmi rendelet hatálya alá tartozik a személyes adatoknak a valamely tagállamban letelepedett gazdasági szereplő által valamely harmadik országban letelepedett másik gazdasági szereplő részére kereskedelmi célból végzett továbbítása, függetlenül attól, hogy ezeket az adatokat e továbbítás során vagy azt követően az érintett harmadik ország hatóságai közbiztonsági, honvédelmi és nemzetbiztonsági célból kezelhetik.

2) A GDPR által megkövetelt megfelelő garanciáknak, érvényesíthető jogoknak és hatékony jogorvoslati lehetőségeknek biztosítaniuk kell, hogy azon személyek jogai, akiknek a személyes adatait az általános adatvédelmi kikötések alapján továbbítják harmadik országba, olyan védelmi szinttel rendelkezzenek, amely lényegében azonos az Európai Unióban biztosított védelmi szinttel.

3) A személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló, 2010. február 5-i 2010/87/EU bizottsági határozatnak a vizsgálata nem tárt fel olyan tényezőt, amely e határozat érvényességét érintené. (Tehát az un. modellszerződések/általános szerződési kikötéseknek alkalmazása továbbra is lehetséges.)

5) Az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről szóló, 2016. július 12-i (EU) 2016/1250 bizottsági végrehajtási határozat érvénytelen. Vagyis az ítélet napjától az Adatvédelmi Pajzs (AVP) Egyezmény alapján történő adattovábbítás az USA-ba nem lehetséges, illetve az USA-ba irányuló adattovábbítás az AVP vizsgálata kapcsán feltárt kockázatok miatt a modellszerződések alkalmazása alapján sem lehetséges

II. Milyen adattovábbításokat érint az ítélet?

  1. Az ítélet kihatással van minden az USA-ba irányuló adattovábbításra, amelyek esetében a jövőben a jogszerűség megalapozása tekintetében nem lehet az Adatvédelmi Pajzs Egyezményre hivatkozni, továbbá a modellszerződéseket alkalmazni.

Ez jelenti a közvetlen adattovábbításokat, illetve az olyan cégektől igénybe vett szolgáltatásokat is, amelyek keretében személyes adatok átadása – megismerési lehetőségének biztosítása történik az Egyesül Államokban működő cégek számára pl. felhőszolgáltatás, hírlevél küldő rendszer, vállalati ügyviteli rendszer igénybevétele, ha annak tárhelye az USA-ban van, illetve ennek hiányában is, ha az abban tárol adatokhoz a szolgáltatást nyújtó cég hozzáférhet. Ugyancsak ide sorolhatók a különféle közösségi média felületek (Facebook, Youtube, Twitter) tekintettel arra, hogy az USA-ban bejegyzett társaságokról van szó, illetve, ha van is az EU-ban bejegyzett leányvállalatuk, az általa gyűjtött/tárolt/elemzett/feldolgozott adatok továbbítása az amerikai anyavállalat felé megvalósul (maga a bírósági eljárás is a Facebook Ireland és az anyavállalat közötti adattovábbításból, pontosabban annak megtiltásából indult ki).

Külön érdekesek azok az eszközök, illetve szolgáltatások (vállalatirányítási, belső kommunikációs, illetve üzletviteli platformok pl. SharePoint, Teams, Google Drive/Gmail/GSuite) amelyek szintén USA-beli cégek által, és nagy valószínűséggel USA-ban lévő szervereken/tárhelyeken is működnek, hiszen az ítélet nyomán az ezek igénybevételével megvalósuló adattovábbítások szabályossága is megkérdőjeleződik.

  1. Kihatással van továbbá minden olyan további harmadik országba irányuló adattovábbításra is, amelyek esetében nem született eddig az EU Bizottsága részéről un. megfelelőségi döntést2. (A dolgok jelen állása szerint 2021. január 1-ét követően az Egyesült Királyság is ebbe a kategóriába fog tartozni!) Ezek esetében ugyan a modellszerződések továbbra is alkalmazhatóak, de a Bíróság döntése nyomán fokozott felülvizsgálati kötelezettsége áll fenn az adatot továbbító félnek, a tekintetben, hogy a modellszerződésben biztosított „azonos szintű jogvédelem” lehetőségei ténylegesen érvényesülhetnek e a címzett államában. (E tekintetben a berlini adatvédelmi biztos az ítélet kapcsán megjelentetett közleményében3 külön kiemeli az Oroszországba, Kínába, illetve Indiába irányuló adattovábbításokat, mint „akár még nagyobb kockázattal járó” eseteket!)

Ez a kötelezettség akár az adattovábbítások felfüggesztésére irányuló döntést meghozatalára is kiterjed, illetve ilyen döntést a felügyeleti hatóság is hozhat (megjegyzem erre eddig is volt lehetőségük a felügyeleti hatóságoknak a modellszerződésekről szóló 2010/87 bizottsági határozat 4. cikke alapján).

III. Milyen lehetőségek állnak fenn az adattovábbításra?

A Bíróság ítélete rögzíti, hogy az USA irányába (továbbá azon harmadik országok esetében is, amelyek tekintetében a modellszerződés kapcsán lefolytatott felülvizsgálat megállapításai szerint nem garantálható az azonos szintű védelem érvényesülése), a GDPR 49. cikkben írt un. eltérési lehetőség alapján történhet személyes adatok továbbítása. Apró szépséghibája ennek a lehetőségnek, hogy az elvileg az eseti jellegű (egyszeri vagy többszöri, de mindenképpen eseti) adattovábbításokra vonatkozik, amelyek kapcsán esetenként kell a feltételek fennállását vizsgálnia az adattovábbító félnek. E tekintetben ugyanakkor megint az életszerűség, illetve kis és közepes vállalkozások lehetőségei (kapacitás, illetve jogi és egyéb szakértelem megléte) vs. adatvédelmi elvárások „falba” ütközünk.

A GDPR 49. cikk alkalmazásával4 a személyes adatok harmadik ország vagy nemzetközi szervezet részére történő továbbítására vagy többszöri továbbítására csak az alábbi feltételek legalább egyikének teljesülése esetén kerülhet sor:

  1. az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról;
  2. az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges;
  3. az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
  4. az adattovábbítás fontos közérdekből szükséges;
  5. az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
  6. az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására;

V. Milyen teendői vannak az adatkezelőknek (adattovábbítóknak)

Az adatkezelőnek fel kell mérnie az alábbiakat:

  1. folytat e olyan adatkezelést amelynek keretében személyes adatok harmadik országba (EGT térségen kívülre) történő továbbítására kerül sor
  2. igénybe vesz e olyan társaságtól szolgáltatást, amelynek székhelye harmadik országban van, és ha igen ezen szolgáltatás együtt jár e személyes adatok átadásával (pl. a társaság tárhelyén történő tárolása), vagy a szolgáltatás nyújtó társaság általi megismerési/hozzáférési lehetőséggel
  3. amennyiben történik harmadik országba adattovábbítás (ld. fenti V.1. ill. V.2. pontok), akkor a célország szerepel e az EU Bizottsága által közzétett un. megfelelőségi listán
  4. ha nem szerepel a célország az előbbi pont szerinti listán, akkor az adatokat fogadó féllel megtörtént e a 2010/87 EU bizottsági határozat5 alapján az un. modellszerződés megkötése (általános szerződési feltételek alkalmazása)
  5. ha van élő modellszerződés a felek között, akkor felül kell vizsgálni, hogy a címzett államában a jogszabályi előírások, hatósági gyakorlat nem teszi e lehetetlenné a címzett számára a modellszerződésben vállalt kötelezettségek teljesítését, (vagyis az EU-ban érvényesülővel azonos szintű jogvédelmet)
  6. ha nincs modellszerződés (vagy az előbbiek szerinti vizsgálat megállapította, hogy az nem érvényesülhet hatékonyan), akkor meg kell vizsgálni, hogy a GDPR 49. cikk (1) szerinti adattovábbítást megalapozó feltételek közöl melyik alkalmazható.

1 a teljes ítélet elérhető a következő linken:

http://curia.europa.eu/juris/document/document.jsf;jsessionid=79A9F6D4C441C1B0E1BB674FF3B58578?text=&docid=228677&pageIndex=0&doclang=HU&mode=req&dir=&occ=first&part=1&cid=9719131

2 A megfelelőségi döntéssel érintett országok listája elérhető:

https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en (a Bizottság honlapján még az USA is szerepel!, értelemszerűen a bírói döntés miatt ez már nem aktuális)

3 https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf

4 A GDPR 49. cikk alkalmazásával összefüggésben az Európai Adatvédelmi Testület iránymutatása elérhető:

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

5 vagy a 2001/497 illetve a 2004/915 határozat alapján