Mégis továbbíthat a Schrems II után adatokat az USA-ba a Facebook?

szeptember 16, 2020
Cikkek, GDPR hírek

Mint korábban részletesen beszámoltunk róla, az Ír Adatvédelmi Hatóság 2020. szeptember 9-én megtiltotta a Schrems II ítélet hatására, hogy a Facebook személyes adatokat továbbítson az USA-ba. A Privacy Shield érvénytelenítésével számos amerikai tech cég – élükön a Facebookkal – áttért (volna) az ÁSZF-ek (SCC) alkalmazására, az Egyesült Államok nemzetbiztonsági törvényei kapcsán a Schrems II ítéletben azonban már igazolásra került, hogy az amerikai jogrend nem biztosít az EU-val egyező védelmet a személyes adatok kezelése során. Erre tekintettel a Hatóságnak „nem volt más választása”, mint betiltani az SCC-re hivatkozva az adattovábbítást az USA-ba.

Az ügyben az utóbbi napokban több érdekes fejlemény született, melyekről alább számolunk be.

09.11.

A Facebook 2020. szeptember 11-i bejelentése szerint fellebbezni kíván az ír Hatóság korábbi döntése ellen. Az Ír Legfelsőbb Bírósághoz beadott fellebbezésében a Facebook a Hatóság gyakorlatának bírósági felülvizsgálatát kéri, mivel a DPA például anélkül hozott nyilvánosságra a döntéssel kapcsolatos információkat, hogy azokról előzetesen a többi európai hatósággal konzultált volna. Az ügyben további információt sem a Facebook, sem a Hatóság szóvivői nem hoztak nyilvánosságra.

Ezzel egyidőben az Európai Adatvédelmi Testület (EDPB) is bejelentést tett, miszerint munkacsoportot alakítottak Max Schrems 101 cég ellen tett adatvédelmi panaszainak kivizsgálására.

09.14.

A noyb információi szerint a Legfelsőbb Bíróság döntése értelmében a Facebook kérheti a DPA döntésének bírósági felülvizsgálatát az adattovábbítás megtiltása kapcsán, ugyanis a Bíróság felfüggesztette a DPA tiltásának végrehajtását a cég tengerentúli adatküldési gyakorlatával kapcsolatban, mely döntés ellen a DPA 72 órán belül tiltakozhat.

A NOYB erről szóló cikke szerint a Facebook EU és USA közti adatforgalmával kapcsolatban a DPA 42 napon belül akart a többi európai hatósággal az egységességi mechanizmus keretében konzultálni, amely határidő a bírósági felülvizsgálat miatt már biztosan nem lesz tartható.

A Facebook azon az alapon kérte a felülvizsgálatot, hogy a DPA által meghatározott három hetes válaszadási határidő nem elégséges a jogilag megfelelően alátámasztott válasz megfogalmazására. A cég továbbá azt is kifogásolta, hogy a határidőkről csak a DPA noybnak küldött leveleiből értesült, melyet korábban a szervezet feltöltött weboldalára. A cég szintén megjegyezte, hogy nem tartja tisztességesnek, hogy a Hatóság kizárólag őket veszi elő az üggyel kapcsolatban, holott számos más IT cég küld Írországból az Egyesült Államokba adatokat.

Max Schrems, a noyb vezetője lehangoltan jegyezte meg, hogy nincs meglepve azon, hogy a DPA-t ismét megállította a Facebook, illetve az ír bíróságok a helyes eljárásment be nem tartásáért. Felhívja azonban a figyelmet, hogy egyáltalán nem biztos, hogy végül a Facebook sikerrel fog járni, a mostani kis intermezzo inkább csak néhány nappal, maximum hetekkel hátráltathatja a Hatóságot.

A cikk további részében megemlíti, hogy független szervezetként a NOYB is megvizsgálja a DPA ügymenetét, miután a Hatóság tájékoztatta őket, hogy a jelenlegi ügy nagyrészt helyettesíteni fogja egy korábbi panasszal kapcsolatos eljárást, mely már 7 éve a Hatóság asztalán van érdemi döntés nélkül, annak ellenére, hogy a bíróság 2015-ben utasítást adott a Hatóságnak az ügy mielőbbi tisztázására.

Schrems a cikkben kifejti továbbá, hogy az ír DPA hírhedt arról, hogy rossz eljárási döntéseket hoz, és emiatt ügyeinek nagy részét elveszíti. Ezért döntött úgy, hogy független szakértőként segít az érintettek jogainak megvédésében, melyre véleménye szerint az ír Hatóság erre önállóan nem lenne képes.

Természetesen egyáltalán nem biztos, hogy az EU-USA közötti adattovábbításokkal kapcsolatban gyors megoldás születik, ha mégis, álláspontunk szerint az kizárólag politikai szinten gyökerezhet, ugyanis az EU által elvárt szintű adatvédelem ugyanis sok esetben alapjaiban sérül az Amerikában meghozott megfigyelési törvények miatt, amit adatvédelmi szakmai szempontból nem tűnik egyszerűnek legitimálni a Schrems II döntés fényében. Didier Reynders európai biztos elmondása szerint a Bizottság azon dolgozik, hogy modernizálja a jelenleg használatos SCC-ket, hogy azok a GDPR-nak is megfeleljenek. Az ezzel kapcsolatos első beadható javaslat elkészülését 2020. vége felé várja. Ennek elkészülése már csak azért is fontos, mert meghatározható lehet az EU és a Brexit utáni Egyesült Királyság közti adattovábbítások esetén is.

Dánia: Adatvédelmi panasz a törlés elmulasztása miatt

A norvég adatvédelmi hatóság őszi bírságai

Kinek kell gondoskodnia az adatfeldolgozási szerződés megkötéséről?