Az Európai Adatvédelmi Testület (EDPB), nemrégiben elfogadta az Alapvető Európai Garanciák elnevezésű ajánlását (02/2020 sz. ajánlás, elérhető a https://edpb.europa.eu/our-work-tools/our-documents/recommendations/edpb-recommendations-022020-european-essential_hu linken).
Az ajánlás alapvetően az európai adatkezelők helyzetét próbálja könnyíteni, azzal, hogy a Schrems II ítéletet követő értelmezési nehézségek tekintetében határoz meg sarokpontokat. Ezek a „sarokpontok” mindenekelőtt azokra az esetekre vonatkoznak, amikor az EU-ban honos adatkezelő/adatfeldolgozó személyes adatot szeretne továbbítani harmadik országba (vagyis az EGT-n kívülre).
Ismeretes, hogy a Schrems II. ítélet, amellett, hogy az EU-USA Adatvédelmi Pajzs Egyezményt „megsemmisítette”, nem érintette az un. modellszerződések (Standard Contractual Clauses; SCCs) alkalmazhatóságát. Felhívta ugyanakkor a bíróság a figyelmet arra, hogy adott esetben az SCCs alapján történő, harmadik országba irányuló adattovábbítások esetén az adatot továbbító (valamint az illetékes felügyeleti hatóság) feladata annak alapos, előzetes vizsgálata, hogy a célország joga, belső jogorvoslati fórumrendszere egyáltalán lehetővé teszi e azt, hogy a címzett eleget tegyen az SCCs-ben rögzített kötelezettségeinek, és így biztosítva legyen a továbbított személyes adatot érintettjeinek az EU-ban biztosítottal lényegileg azonos (ekvivalens) védelmi szintje.
A most elfogadott ajánlás egyfelől azon alapvető elemeket jelöli meg, amelyeket a védelem lényegileg azonos szintjének megítélése szempontjából vizsgálni kell, másfelől a SCCs-ben szerepeltethető, olyan kiegészítő követelményeket mutat be, amelyekkel a lényegileg azonos védelem elősegíthető. (Bár az ajánlás is kiemeli, hogy ezekkel a kiegészítő kötelezettségekkel nem minden esetben biztosítható a megfelelés.)
Az EDBP elöljáróban leszögezi, hogy az EU Bírósága, valamint az Emberi Jogok Európai Bírósága (EJEB) esetjogát vonta elemzés alá az alapvető adatvédelmi garanciák tartalmi elemeinek meghatározása tekintetében. Utalást tesz az ajánlás arra, hogy az EJEB gyakorlata az Emberi Jogok Európai Egyezményén alapul és ezt a gyakorlatot követi az EU Bírósága is (noha az Emberi Jogok Európai Egyezmény formálisan nem része az EU jogának, ugyanakkor az EU Alapjogi Chartája lényegileg azonos rendelkezéseket rögzít).
Lényeges megállapításként az ajánlás leszögezi, hogy a harmadik országba irányuló személyes adat továbbítások hatással vannak az érintettek alapvető jogaira ezért a garanciák teljesítendők, függetlenül attól, hogy szenzitív személyes adatokról van e szó vagy sem, illetve hogy az adattovábbítás következtében került e hátrányos helyzetbe az érintett, vagy sem. Ugyancsak közömbös ebből a szempontból, hogy a továbbított személyes adatot ezt követően felhasználták-e, ellenőrzés alá vonták-e, vagy sem. (Természetesen az un betekintés végetti hozzáférések – illetve azok biztosítása – is az adattovábbítások ezen esetei alá tartoznak, tehát a lényegi megfelelőség feltételeit itt is vizsgálni kell.)
Az ajánlás 4 alapvető garanciát jelöl meg, amelyek a következők:
1. Az adatkezelésnek egyértelmű, pontos, és hozzáférhető szabályokon kell alapulnia
2. A szükségességet és arányosságot igazolni kell az adatkezelés jogszerű céljára tekintettel
3. Legyen hatékony és független felülvizsgálati mechanizmus
4. Az érintettek számára legyen elérhető a hatékony jogorvoslat
1. Az egyértelmű, pontos és hozzáférhető szabályozás tekintetében mindenekelőtt az vizsgálandó, hogy a célországban vannak e belső jogi szabályok (hazai jog), amelyek az egyének által hivatkozhatók a bíróságok előtt, lehetősége van e egyáltalán az érintettnek a bíróság előtti fellépésre, vannak e kikényszeríthető jogai a közhatalmi szervezetekkel szemben, (a GDPR 45. cikk (2) bek. a) pontjában meghatározott kritériumok vizsgálata).
Az alkalmazandó (hazai) jognak meg kell jelölnie, hogy milyen körülmények között és milyen feltételekkel kerülhet sor az adatkezelést előíró intézkedésre. Ha a hazai jog lehetővé teszi az érintetti jogok gyakorlásának korlátozását, akkor meg kell meghatároznia azt is, hogy mi a hatálya az ilyen korlátozásnak (személyi, időbeli, és egyéb feltételek tekintetében egyaránt). Különösen a biztonsági szervek lehallgatási, megfigyelési, és egyéb adathozzáférési jogosultságait előíró szabályok tekintetében kell szükséges a megjelölt kritériumok vizsgálata.
Végezetül a hazai jognak világos, egyértelmű előzetesen megismerhető szabályokat kell tartalmaznia arra nézve is milyen garanciák biztosítottak az egyének számára az önkényes beavatkozással, visszaéléssel szemben. (Természetese figyelemmel arra, hogy esetenként más és más tartalma van az előzetes megismerhetőségnek, például nyilván nem jelenti a megismerhetőség az érintett azon jogának biztosítását, hogy a kommunikációja egyébként legális megfigyeléséről előzetesen értesüljön.)
2. A szükségesség és arányosság igazolása kapcsán azt kell vizsgálni, hogy az érintett jogainak a belső jog szerint lehetséges korlátozása (szabadságába történő beavatkozás, pl. megfigyelés), illetve mértéke, jellege arányos e annak a közérdekű célnak a fontosságával, amelynek elérése indokolja a beavatkozás. Az arányosság vizsgálata mellett (azzal együtt) arra is figyelemmel kell lenni, hogy a személyes adatok védelmével kapcsolatos korlátozás, beavatkozás csak annyiban egyeztethető össze az EU-s jogvédelem szintjével, amennyiben az feltétlenül szükséges, vagyis a kitűzött cél csak így érthető el (és ezt objektív kritériumoknak kell igazolnia). Az ajánlás kifejezetten felhívja rá a figyelmet, hogy az előbb említett garanciális szabályoknak különösen automatizált adatkezelés esetén kell széleskörűen érvényesülniük.
Az olyan szabályozás, amely korlátozás, és megkülönböztetés nélkül lehetővé teszi az adott országba továbbított személyes adatok ellenőrzését, azok tárolását, vizsgálatát jó eséllyel nem felel meg a szükségesség, arányosság kritériumának. (A Schrems II ítéletre utalva megjegyzi az EDPB, hogy az Adatvédelmi Pajzs Egyezmény kapcsán éppen az volt a fő probléma, hogy gyakorlatilag az USA belső jogszabályai korlátozás nélkül biztosították a nemzetbiztonsági szervek számára a továbbított személyes adatokhoz való hozzáférést.)
3. A hatékony és független felülvizsgálati mechanizmus elsősorban azt jelenti, hogy az adott belső jog szerint bíróság, vagy független közigazgatási hatóság jogosult a korlátozások szükségességét/megengedhetőségét és jogszerűségét felülvizsgálni, megítélni, engedélyezni. A független közigazgatási hatóság esetén a függetlenség legalábbis annyit jelent, hogy annak tagjai olyan hivatalos személyek, akik a parlament, vagy a miniszterelnök kinevezése alapján látják el hivatalukat, és az adott szervezet a végrehajtó hatalomtól függetlenül, vagyis annak irányítási/utasítási hatáskörén kívül működik. A hatékony felülvizsgálati lehetőségek, jogosítványok tekintetében nagyon fontos, hogy az ezt a feladatot ellátó szervek rendelkeznek e teljes hozzáféréssel a szükséges dokumentumokhoz, beleértve a zártan kezelt/titkos iratokat is, továbbá, hogy e szervezetek ellenőrzései nyilvánosak e.
4. A hatékony jogorvoslat lehetősége szempontjából annak vizsgálata bír jelentőséggel, hogy az az adott ország belső joga biztosít e az egyének számára olyan tényleges, bírói (vagy más, ténylegesen független jogvédelmet biztosító) fórum előtt érvényesíthető, gyakorolható jogorvoslati lehetőségeket, amelyeket abban az esetben vehetnek igénybe, ha úgy vélik megsértették a személyes adataikkal kapcsolatos jogaikat. Természetesen e garanciák vizsgálatánál is figyelemmel kell arra, hogy jogvédelem biztosítása (illetve a jogorvoslati jog gyakorlása) nem veszélyeztetheti a jogos állami, védelmi érdekeket, ugyanakkor az ilyen eljárások esetén éppen az vizsgálandó, hogy van e olyan független szerv, amely az ilyen jogkörben eljáró (nemzetbiztonsági) szerveket jogosult felülvizsgálni, illetve rájuk nézve kötelező döntést hozni.
A harmadik országba irányuló személyes adat továbbítások kapcsán tehát az adatot továbbító és az adatot fogadó fél együttműködése már előzetesen is kiemelt jelentőséggel bír, hiszen a fent megjelölt lényegi garanciák, illetve az azok hátterét képező belső jogi előírások, gyakorlat közös feltérképezése az adattovábbítással kapcsolatos döntés, megállapodás elengedhetetlen előzetes feltétele. Csak ezt követően, és ez alapján lehet megítélni, hogy az adattovábbítás kapcsán a felek között létrejött SCCs-ben meghatározott garanciák ténylegesen tudnak-e a gyakorlatban érvényesülni. Amennyiben az adatot fogadó fél belső jogának előírásai e garanciák tényleges érvényesülését megkérdőjelezik, abban az esetben az EU-ban biztosított jogvédelemmel lényegileg megegyező védelemről nem beszélhetünk, így az adattovábbítás nem lehet szabályos (adott esetben azt a felügyeleti hatóságnak is meg kell tiltania).