skip to Main Content

Adattovábbítás az USA-ba a Privacy Shield után (2. rész)

Kétrészes cikkünkben összefoglaljuk egyrészt a Schrems II. ítélet főbb megállapításait, másrészt sorra vesszük, hogy a gyakorlatban milyen következményekkel fog járni a döntés az adatkezelésekre, és a jövőben milyen formában lehetséges az adattovábbítás az USA-ba. Az ítélet közvetlen következménye a Privacy Shield egyezmény megszűnése, azonban a kérdés nem tisztázott, hogy a jövőben hogyan lehet az USA-ban letelepedett szereplőket bevonni az adatkezelésekbe.

A cikk első része, mely az ételt előzményeivel és magával a döntéssel foglalkozik, elérhető itt.

Mit jelent a döntés a gyakorlatban?

Az Ítélet megszületését követően rengeteg kérdés merült fel arra vonatkozóan, hogy mit is jelentenek majd az Ítéletben tett megállapítások a gyakorlatban:

Mikortól érvénytelen az adatvédelmi pajzs határozat?
Mi a teendő, ha a Privacy Shield alapján történik jelenleg adattovábbítás?
Hogyan továbbítható ezek után az USA-ba személyes adat?
Milyen intézkedéseket kell meghozni Bizottság által elfogadott ÁSZF alapján történő adattovábbítást megelőzően?
Érinti-e mindez a kötelező vállalati erejű szabályok (ún. BCR-ek) alapján történő adattovábbításokat?

A lavina már az Ítélet kihirdetésének napján elkezdődött, a nemzeti adatvédelmi hatóságokon túl számos szakember tette közzé véleményét, észrevételeit és javaslatait (a berlini adatvédelmi biztos például az Ítélet kihirdetését követő napon közleményt tett közzé „Európának digitális függetlenségre van szükséges” címmel, melyben felhívta a berlini adatkezelőket arra, hogy amíg az amerikai jogi szabályozás nem változik, szüntessék meg a személyes adatok USA-ban való tárolását, az oda történő adattovábbítást. A közlemény itt érhető el: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf).

Az Európai Adatvédelmi Testület egy héttel később, július 23-án jelentkezett válasszal a leggyakoribb kérdésekre, melyek jelenleg iránymutatásul szolgálhatnak az adatkezelők és adatfeldolgozók számára. Hozzátesszük, maga a Testület is kijelenti, hogy az Ítélet mélyreható vizsgálata még részükről is folyamatban van, mely vizsgálat eredménye a jelenleg adott válaszokat is érintheti.

Nézzük a leggyakrabban felmerülő kérdéseket:

I. Mikortól érvénytelen az adatvédelmi pajzs határozat?

E tekintetben a Testület egyértelműen úgy foglalt állást, hogy a határozat Bíróság általi érvénytelenítése azonnali hatályú, azaz nincs átmeneti időszak. Ezt különösen azzal indokolják, hogy azért érvénytelenítette azonnal hatállyal a Bíróság a határozatot, mert a vizsgált amerikai jog a cikksorozat első részében kifejtettek szerint nem biztosít az európai joghoz hasonló védelmet. E körben azt is kihangsúlyozza a Testület, hogy a Bíróság ezen vizsgálatát figyelembe kell venni minden Egyesület Állomokba irányuló adattovábbítás esetén, bármely GDPR V. fejezetében meghatározott feltételek mellett történjen az.

II. Hogyan érinti ez a jelenleg a Privacy Shield keretében megvalósuló adattovábbításokat?

A Testület kijelentette, hogy adattovábbítás az Egyesült Államokba a Privacy Shield alapján jelenleg jogellenes.

III. Hogyan továbbítható ezek után az USA-ba személyes adat?

A GDPR által meghatározott egyéb garanciák mellett elviekben továbbíthatóak személyes adatok az USA-ba, figyelemmel azonban arra, hogy a Bíróság által vizsgált megfigyelési programok keretében a FISA 702. cikkén, valamint az EO 12333 alapján történő hatósági felhatalmazás a személyes adatok megismerésére irányadó minden elektronikus formában történő adattovábbításra. Ezt pedig a Bíróság egyértelműen úgy ítélte meg, hogy ezáltal az amerikai jogban nem biztosított a GDPR által megkövetelt Uniós védelmi szint.

IV. Használható-e Bizottság által elfogadott ÁSZF az Egyesült Államokba való adattovábbításhoz, ha igen, milyen feltételekkel?

Az adattovábbító által elvégzett vizsgálat eredményétől függően használható, azonban a döntés effektíve levezeti, hogy az amerikai jogrendszer a probléma, nem az, hogy épp melyik amerikai cégnek továbbítják az adatot.

Az adattovábbítást megelőző vizsgálat?

A Bíróság ítéletére figyelemmel a Testület úgy foglalt állást, hogy ÁSZF használata esetén az adattovábbító köteles többrétű vizsgálatot elvégezni annak érdekében, hogy meggyőzödjön arról, hogy a megfelelő védelmi szint a fogadó országban biztosított. Ez értelemszerűen nem csak az USA-ra, hanem minden egyéb harmadik országba való adattovábbításra vonatkozik.

A vizsgálatot a Testület nem a GDPR 35. cikkében foglalt hatásvizsgálatnak nevezi, hanem kifejezetten az adattovábbítás körülményeire vonatkozó teljeskörű vizsgálatának, amelynek a címzett harmadik országot is érintő vizsgálatnak kell lennie, az alábbiak szerint:

• a szerződéses kikötések (ÁSZF) vizsgálata és szükség esetén további garanciákkal való kiegészítése – különösen a GDPR (109) preambulumbekezdésére tekintettel,
• az adattovábbítás körülményeinek részletes vizsgálata esetről esetre,
• a címzett harmadik ország jogrendszere releváns elemeinek vizsgálata – különös tekintettel a harmadik országbeli hatóságoknak a továbbított személyes adatokhoz való esetleges hozzáférését illetően, illetve a GDPR (104) preambulumbekezdésére tekintettel annak vizsgálatára, hogy az érintettek tényleges és érvényesíthető jogokkal, valamint hatékony közigazgatási és bírósági jogorvoslati lehetőségekkel rendelkeznek-e a harmadik országban.

Egyelőre az kérdéses, hogy ezt a vizsgálatot a gyakorlatban hogyan tudjuk majd teljeskörűen elvégezni, pontosan mire kell kiterjednie, milyen további intézkedéseket tudunk majd hozni a megfelelő védelmi szint biztosítása érdekében. A Testület ígérete szerint további útmutatással fog szolgálni e tekintetben, illetve a tagállami felügyeleti hatóságok is megkezdték már az Ítélet vizsgálatát és feltehetően kidolgoznak majd további iránymutatásokat.

Az USA tekintetében jelentek már meg olyan szakmai útmutatások, amelyek a jogrendszer vizsgálatában adnak segítséget. Az osztrák NOYB elnevezésű nonprofit szervezet (melyet egyébként maga Schrems hozott létre) például már egy teljes kérdőívet dolgozott ki a tekintetben, hogy az adatátadók meg tudjanak győződni arról, hogy a címzett szervezet az Ítéletben vizsgált aggályos amerikai FISA 702 vagy az EO 12333 hatálya alá tartozik-e. A kérdőív itt érhető el: https://noyb.eu/en/next-steps-eu-companies-faqs.

A kérdőívből egyértelműen kiderül, hogy a FISA 702, illetve az EO 12333 hatálya kiterjed az amerikai elektronikus hírközlési szolgáltatókra (electronic communication service providers), így – többek között – az összes IT, illetve felhő szolgáltatóra is, úgy, mint például az Amazon, az Apple, a Cloudflare, a Dropbox, a Facebook, a Google, a Microsoft vagy például Verizon Media (azaz az Oath & Yahoo). Ez egyébként nem is kérdéses, hiszen ezek a cégek közzé is tesznek információt arról, hogy az említett jog alapján hogyan és milyen rendszerességgel teljesítenek/teljesítettek adatszolgáltatásokat az amerikai hatóságok felé, csak egy-egy példát említve:

Apple: https://www.apple.com/legal/transparency/pdf/requests-2019-H1-en.pdf
Facebook: https://transparency.facebook.com/government-data-requests/country/US
vagy a Google: https://transparencyreport.google.com/user-data/us-national-security?hl=de

Azt egyébként fontos rögzíteni, hogy a 2010/87/EU határozat mellékletében található modellszerződés eddig is megkövetelte az adatátvevő részéről azt, hogy nyilatkozzon arról, hogy nincs tudomása arról, hogy a rá vonatkozó jogszabályok akadályoznák az adatátadótól kapott utasítások és a szerződésben vállalt kötelezettségek teljesítését (5. általános szerződési feltétel b) pont), illetve azt is, hogy amennyiben bármely oknál fogva nem képes megfelelni az ÁSZF-ben foglalt követelményeknek, haladéktalanul tájékoztatnia kell erről az adatátadót (5. általános szerződési feltétel a) pont).

A vizsgálat eredménye

Amennyiben a vizsgálat eredménye – figyelembe véve az összes lehetséges intézkedést – azt mutatja hogy a címzett harmadik országban a megfelelő védelmi szint biztosított, az adattovábbításra sor kerülhet. Mi azt javasoljuk, hogy az elszámoltathatóság elvére tekintettel minden, a vizsgálat során tett megállapítás, kutatás, beszerzett nyilatkozat, ami a vizsgálat „pozitív” eredményét alátámasztja, legyen írásban dokumentált, így egy esetleg hatósági vizsgálatban bemutatható.

Amennyiben a vizsgálat eredménye- figyelembe véve az összes lehetséges intézkedést – azt mutatja, hogy a címzett harmadik országban a megfelelő védelmi szint nem biztosított, úgy az adatátadó köteles felfüggeszteni vagy megszüntetni az adattovábbítást. Ha továbbra is szeretné folytatni az adattovábbítást, köteles erről – véleményünk szerint a gyakorlatban majd a vizsgálat alapjául szolgáló összes releváns információ átadásával – a felügyeleti hatóságot értesíteni.

Az adattovábbítás felfüggesztésére a 2010/87/EU határozat mellékletében található modellszerződés eddig is lehetőséget adott. Ez különös tekintettel fontos egyébként azért is, mert ugyanezen modellszerződés 6. pontja szerint az érintett, aki a 3. vagy a 11. általános szerződési feltételben említett kötelezettségek egyik fél vagy a további felhasználó általi megsértésének következményeként kárt szenved, kártérítésre elsődlegesen az adatátadótól jogosult.

V. Mit tehet a felügyeleti hatóság?

Erre a kérdésben az Ítélet fent hivatkozott 121. pontja ad választ:

az illetékes felügyeleti hatóság – feltéve, hogy nem létezik a Bizottság által érvényesen elfogadott megfelelőségi határozat – köteles felfüggeszteni vagy megtiltani a személyes adatoknak… harmadik országba irányuló továbbítását, ha…úgy ítéli meg, hogy e kikötéseket e harmadik országban nem tartják be, vagy azokat ott nem lehet tiszteletben tartani, és hogy a továbbított adatok védelme…más eszközzel nem biztosítható…

Vélhetően ezzel a jogukkal a hatóságok nem csak akkor fognak élni, ha az adatátadók az előző pontban kifejtettek szerint a vizsgálat eredményéről tájékoztatják őket, hanem hivatalból is eljárhatnak, és az sem lenne meglepő, ha bírság kiszabásával is járnának majd. Mindenesetre, ahogyan azt az Ítélet leszögezi és az angol hatóság, az ICO is hangsúlyozza közleményében, a felügyeleti hatóságoknak fontos szerepet kell betölteniük a nemzetközi adattovábbításokkal kapcsolatosan a személyes adatok védelmének maradéktalan biztosítása érdekében.

VI. Vonatkozik-e ez más, a GDPR 46. cikkében meghatározott garanciák szerinti adattovábbításra, például a BCR-ekre?

Nagyon úgy tűnik, hogy igen. Habár a vizsgálat kifejezetten az ÁSZF-határozatra és az alapján megvalósuló adattovábbításra vonatkozott, a GDPR 46. cikkében foglalt garanciák melletti továbbítás mindegyikére vonatkozik az, hogy adattovábbításra csak akkor kerülhet sor, „ha az adatkezelő vagy adatfeldolgozó megfelelő garanciákat nyújtott, és csak azzal a feltétellel, hogy az érintettek számára érvényesíthető jogok és hatékony jogorvoslati lehetőségek állnak rendelkezésre” – GDPR 46. cikk (1) bekezdés.

Ezt erősíti meg a Testület is a gyakori kérdésekre adott válaszában a 9). pontban.

VII. A 49. cikkben foglalt eltérésekre hivatkozással továbbítható-e személyes adat harmadik országba, ha igen, milyen feltételekkel?

Korábbi cikkünkben is hangsúlyoztuk, hogy a 49. cikk csak kisegítő jelleggel alkalmazható, azaz a tervezett adattovábbítás előtt az adatátadóknak először olyan lehetőségekre kell törekedniük, amelyek révén az adatátadást a GDPR 45. és 46. cikkében foglalt mechanizmusok egyikének keretében hajthatják végre.

A 49. cikk szerinti adattovábbítás szabályairól a Testület külön iránymutatásban foglalkozik, a legfontosabb feltételeket azonban a mostani válaszaiban is ismét kihangsúlyozta:

• a 49. cikk (1) bekezdés a) pontja szerint az érintett hozzájárulásán alapuló adattovábbítás esetén a hozzájárulásnak
o kifejezettnek,
o esetileg az adott adattovábbításra vonatkozónak kell lennie (tehát nem lehet általános hozzájárulás, minden egyes adattovábbítási művelet előtt esetileg be kell szerezni),
o a hozzájárulást megelőzően az adatátadónak tájékoztatnia kell az érintetett az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról.
• a 49. cikk (1) bekezdés b) pontja esetén, amennyiben az adattovábbítás valamely szerződés teljesítéséhez szükséges, az adattovábbításra szinten csak eseti jelleggel kerülhet sor, az eseti jelleget pedig minden adattovábbítás előtt vizsgálni kell.

Hogyan tovább a Privacy Shield nélkül?

A fentiek alapján az jól látható, hogy egyelőre úgy tűnik, a jövőben nem lesz az eddigiekhez hasonlóan „egyszerű” folyamat harmadik országba (különösen az USA-ba) adatot továbbítani.

De mit is kell tenni most?

Mi egyelőre, további erre vonatkozó hivatalos állásfoglalás hiányában jelenleg az alábbiakat javasoljuk:

I. Vizsgáljuk át az összes adatkezelési folyamatot és azonosítsuk, ha sor kerül személyes adatok USA-ba történő továbbítására, különös tekintettel például az igénybe vett szolgáltatókra (pl. felhőszolgáltatókra).

Sok esetben felmerül, hogy nem is tudunk arról, hogy egyes igénybe vett Unióban tevékenységi hellyel rendelkező szolgáltatók továbbítanak harmadik országba személyes adatokat (pl. felhőszolgáltató az USA-ban lévő tárhelyen tárolja vagy egyéb szolgáltató USA-beli leányvállalata részére továbbítja a személyes adatokat). A NOYB ezzel kapcsolatosan azt javasolja, hogy keressük fel közvetlenül a szolgáltatókat e kérdésben, melyhez egy-egy minta e-mail üzenettel is segítenek: https://noyb.eu/en/next-steps-users-faqs

II. Ha azonosítottuk, hogy sor kerül adattovábbításra az USA-ba:

a. Amennyiben arra a Privacy Shield alapján kerül sor: haladéktalanul szüntessük meg az adattovábbítást, hiszen ez jelenleg jogellenes adattovábbításnak minősül.

Ha az adattovábbításra valamely igénybevett szolgáltató által kerül sor, úgy haladéktalanul hívjuk fel az adattovábbítás megszüntetésére.

b. Amennyiben adattovábbításra a GDPR 46. cikkében foglalt valamely garancia alapján kerül sor (pl. Bizottság által elfogadott ÁSZF vagy BCR), szükséges a fent említett vizsgálat elvégzése.

Mivel az egyértelmű az Ítélet alapján, hogy a vizsgált amerikai jogi szabályozás, különösen a FISA 702. cikke, valamint az EO 12333 alapján lehetséges hatósági hozzáférés miatt az USA-ba továbbított személyes adatokra vonatkozóan nem biztosít megfelelő szintű védelmet, javasolt elsőként erre irányuló vizsgálatot lefolytatni.

A NOYB fent említett kérdőíve segítségül szolgálhat ennek felmérésre: https://noyb.eu/en/next-steps-eu-companies-faqs. Itt két különböző kérdőív is található, egy kifejezetten arra az esetre, amikor közvetlenül az USA-ban lévő címzetthez történik az adattovábbítás, egy pedig arra az esetre, amikor az Unióban letelepedett szolgáltató által kerülnek az USA-ban lévő társ/leányvállalataihoz továbbításra az adatok.

i. Amennyiben megállapítható, hogy az adattovábbítás vagy az adattárolás az adott USA-beli adatkezelő/adatfeldolgozó részéről a fent említett jogi szabályozás alá esik, tehát a továbbított személyes adatokhoz a megfigyelési programok keretében az amerikai hatóságok hozzáférhetnek, a megfelelő védelmi szint nem biztosított. Az adattovábbítást ez esetben a fenti a. pontban kifejtettek szerint javasoljuk megszüntetni, hiszen a megfelelő védelmi szint az ÁSZF, illetve a BCR által sem biztosítható.

Sokan találkozhattak már a Google legújabb próbálkozásával, amiben tájékoztatnak, hogy átállnak a Privacy Shieldről az ÁSZF-re, azonban a fent kifejtettek szerint álláspontunk ez sem nyújt megoldást a problémára, hiszen az Ítéletben sem a vizsgált Facebook-al volt a „gond”, hanem az amerikai jogrendszerrel.

ii. Amennyiben az kerül megállapításra, hogy az adattovábbítás vagy az adattárolás az adott USA-beli adatkezelő/adatfeldolgozó részéről nem esik a fent említett jogi szabályozás, úgy további vizsgálat szükséges, mely kiterjed az adattovábbítás során biztosított technikai és szervezési intézkedések megfelelőségére, illetve arra, hogy egyéb szabályozások érinthetik-e a személyes adatok megfelelő védelmi szintjének sérülését.

Ennek a gyakorlati megvalósításra jelenleg nem született egyértelmű válasz a hivatalos szervek részéről, mindenesetre javasolt az USA-beli adatátvevőt közvetlenül vagy amennyiben az Unióban letelepedett szolgáltató által kerül sor adattovábbításra, úgy a szolgáltatót külön nyilatkoztatni arról, hogy nincs tudomása arról, hogy a rá vonatkozó jogszabályok a személyes adatok GDPR által biztosított megfelelő védelmi szintjének sérülését okozhatják.

Amennyiben a vizsgálat alapján az kerül megállapításra, hogy a személyes adatok megfelelő védelme biztosított, úgy az ÁSZF, illetve a BCR alapján az adattovábbításra sor kerülhet.

c. Amennyiben adattovábbításra a GDPR 49. cikkében foglalt eltérések alapján kerül sor, szükséges a felülvizsgálat, hogy az valóban megfelel-e az e cikkben foglalt feltételeknek (különös tekintettel a Bizottság által is említett eseti jelleg vizsgálatára).

III. Ha ennek ellenére továbbra is folytatni kívánjuk az adattovábbítást vagy érintetti felhívásunk ellenére az igénybevett szolgáltató nem szünteti meg az adattovábbítást, értesítsük erről a felügyeleti hatóságot.

Back To Top