Cikkek

Az európai Hatóságok reakciói a Schrems II. ítéletre

Korábban már írtunk a Schrems II. ítélet részleteiről, illetve lehetséges következményeiről. Mai cikkünkben azt vizsgáljuk meg, hogy az egyes európai Hatóságok hogyan reagáltak rá, illetve mit várnak el az adatkezelőktől reakcióként a döntésre.

Németország

A német hatóságokat gyűjtő szervezet (DSK) egy közleménnyel reagált a döntésre, melyben azt vizsgálja, hogyan hat majd a döntés az USA-ba küldött adatokra. A közlemény kiemeli, hogy a Privacy Shield keretében továbbított adatok a korábbiak szerint nem kezelhetők az Európai Bíróság döntése után, mely szerint az amerikai törvények nem biztosítják ugyanazt a védelmet a személyes adatokra vonatkozóan, mint az EU-s rendelkezések.

Az általános szerződéses feltételek (ÁSZF vagy SCC) elvileg továbbra is alkalmazhatók, azonban az esetenként lesz eldöntendő, hogy ezek a garanciák elégségesek-e vagy további biztonsági intézkedésekre van szükség az adatok védelme érdekében. A döntés hatással van a kötelező vállalati szabályokra (BCR) is, melyek esetében is külön védelmi intézkedéseket kellhet hozni, ha az érintettek jogainak védelme alacsonyabb szintű, mint az EU-ban.

A DSK kiemeli, hogy a GDPR 49. cikke alapján adatátvitel továbbra is megengedett minden előírt feltétel teljesülése esetén. Azonban felhívta a figyelmet, hogy mivel a Bíróság ítéletében nem rendelkezett átmeneti időszakról, azoknak a személyeknek, akik jelenleg is továbbítanak adatokat az Egyesült Államokba, azonnal meg kell vizsgálniuk, hogy megfelelnek-e a követelményeknek, és ha nem, akkor ezt meg kell szüntetniük.

A DSK végül hangsúlyozta, hogy az európai Hatóságoknak közösen kell megválaszolniuk a felmerülő kérdéseket, ezzel egyidőben felhívta a figyelmet az Európai Adatvédelmi Testület (EDPB) által kiadott Gyakran Ismételt Kérdésekre.

Hollandia

A Holland Adatvédelmi Hatóság (AP) szintén egy sajtóközleményt adott ki az ítélettel kapcsolatban, melyben kitér az ítélet részleteire és kiemeli, hogy EU-s szervezeteknek a továbbiakban nem szabad ellenőrzés nélkül személyes adatokat továbbítaniuk az Egyesült Államokba. Az AP továbbá megjegyezte, hogy új rendszer kiépítése szükséges a személyes adatok USA-ba történő továbbítására. Az AP most az ítélet gyakorlati következményeit vizsgálja.

Lengyelország

A lengyel Hatóság (UODO) közleményében ismerteti a döntést, illetve annak közvetlen következményeit, majd rögzíti, hogy a továbbiakban az USA-ba történő adattovábbításokat meg kell előzze egy kockázatelemzés (vizsgálat), mely során az adatot továbbító félnek meg kell vizsgálnia, hogy a személyes adatok védelmének elvárt szintje biztosított-e.

Az UODO is a hatóságok széleskörű együttműködését szorgalmazza, hogy az ítélet következményeit EU szerte egységesen közelíthessék meg. Ezzel kapcsolatban a Hatóság kiemeli, hogy szorosan együtt fog működni az EDPB-vel.

Man-sziget

A Man-szigeti Információs Biztos is megszólalt az ügyben. A kiadott sajtóközleményben röviden felvázolja azokat a lépéseket, melyeket az ország vállalkozásainak be kell tartania az ítéletet követően. Különösen arra hívja fel a figyelmet, hogy amennyiben a korábbi adatátviteleik során támaszkodtak az Adatvédelmi Pajzsra, szükséges megvizsgálniuk, hogy továbbra lehetséges-e ezen adatok továbbítása.

Kiemeli továbbá, hogy az SCC-k és BCR-ek esetében is felül kell vizsgálni az adatkezeléseket, hangsúlyozva, hogy ezek a kikötések nem csupán az Egyesült Államokba, hanem valamennyi harmadik országba továbbított adatra vonatkozik.

Norvégia

A Norvég Adatvédelmi Hatóság (Datatilsynet) egy „Kérdések és Válaszok”-at adott ki az ítélettel kapcsolatban, melyben ajánlásokat tesz az Egyesült Államokba és más harmadik országba történő adattovábbítással kapcsolatban. Kitér az adatkezelők kötelezettségeire, illetve az esetleges kivételekre.

Felhívja a figyelmet, hogy a Schrems II. ítélet átmeneti időszak nélkül alkalmazandó, tehát azok az adatkezelők, akik jelenleg is továbbítanak adatot az USA irányban, ezt haladéktalanul be kell szüntessék, kérniük kell a már elküldött adatok törlését, vagy meg kell tenniük a szükséges intézkedéseket, hogy az adatok továbbítása továbbra is megfeleljen a hatályos jogszabályoknak.

A közlemény végül említi, hogy olyan harmadik ország esetében, melyet nem ismernek el megfelelően védettnek, az adatkezelőknek többek között a GDPR 46. cikkére kell támaszkodniuk, hogy megállapítsák, hogy a helyi szabályozási megfelelő szintű védelmet biztosít-e.

Spanyolország

Természetesen a híresen aktív, a Spanyol Adatvédelmi Hatóság (AEPD) is kiadott egy nyilatkozatot az ítéletet követően. Ebben felhívja a figyelmet az Adatvédelmi Pajzs megszűnésére és érvényes átadási mechanizmusnak nyilváníta az SCC-ket, továbbá kijelenti, hogy továbbra is együtt fog működni az EDPB-vel és a többi európai Hatósággal, hogy az ítéletet következesen Európa szerte alkalmazni lehessen.

Kapcsolódó cikkek
Back To Top